SONO PROFUNDO...
O interesse em #Governança de TI cresceu nas ultimas décadas do século XX quando empresas começaram "a acordar" para a relevância de gerenciar de forma estratégica e controlada a tecnologia da informação. E despertaram da pior maneira possível: sofrendo impacto de não ter se preocupado com isso antes!
Os dois acontecimentos exemplificados a seguir são alguns dos mais famosos que aterrorizaram (perdão, quis dizer sensibilizaram) as empresas dentre as últimas décadas do Século XX e primeira do século XXI.
1999 - O BUG DO MILÊNIO
Esta expressão ganhou fama nos últimos anos da década de 90. Surgia a previsão de um problema tecnológico de nível micro, mas com impactos desastrosos: as datas em diversos sistemas empresariais tinham somente 2 dígitos no campo de ano, como por exemplo 94 para representar 1994.
Assim, quando o calendário mudasse de 1999 para 2000 os sistemas computacionais poderiam interpretar que estavam no ano de 1900, gerando falhas imensuráveis e generalizadas.
Foi uma corrida neurótica em busca de correções e renovações de sistemas, mas felizmente as empresas sobreviveram, aliviadas. O que também sobreviveu e que, no entanto, não era motivo de alívio foi a pergunta:
por que os milhões de empresários não haviam pensado nisso antes?
Resposta é óbvia: porque não investiram adequadamente na administração da tecnologia da informação.
Motivados por este e dezenas de outros episódios (gerais ou particulares da empresa), cada vez mais, empresas concluíam de que TI deve deixar de ser tratada como um simples provedor de recursos e entrar na pauta estratégica da organização.
2001 - ESCANDALOS CORPORATIVOS
A partir de 2001, o mundo empresarial se viu preocupado com um conjunto de grandes escândalos corporativos envolvendo empresas americanas como por exemplo o caso da ENRON.
Multinacional de capital aberto do ramo de energia, que empregava cerca de 12 mil profissionais, a estadunidense ENRON foi investigada e condenada por manipular seus balanços financeiros. Foram descobertas fraudes financeiras, dívidas escondidas e simulação lucratividade de forma a atrair investidores.
Após colapso o grupo pediu concordata em dezembro de 2001, o que consequentemente fez quebrar dezenas de empresas ligadas a ENRON, dentre elas a Arthur Andersen, grande multinacional de auditoria.
Casos parecidos ocorreram com multinacionais americanas de capital aberto como: WorldCom, Xerox, Qwest e Tyco. As notícias correram o mundo.
2002 - LEI SARBANES-OXLEY
Vale lembrar que episódios como estes afetam a economia global, quebram investidores e empresas dependentes, desencadeiam prejuízos em efeito dominó e geram insegurança (quem será a próximo)?
Crises financeiras se instalaram e o governo americano não estava nada satisfeito com a recorrência generalizada destes casos.
Em Julho de 2002, visando maior rigor para gestão financeira de empresas e para penas de executivos corruptos, o senador Paul Sarbanes e o deputado Michael Oxley assinaram a Lei americana Sarbanes-Oxley.
Conhecida com SOX ou SOA (Sarbanes-Oxley Act), a lei estabelecia critérios e métodos de auditoria e segurança rigorosos, abrangendo regras como:
- auditorias independentes devem ser feitas por empresas rotativas novas regras para publicação de resultados financeiros
- regras para que não hajam conflito de interesses na atuação de analista corretores, corretoras e auditores
- responsabilidades criminais e penalidades para executivos que descumprirem regulamentos
Dentre outras...
O IMPACTO DA SOX NA GOVERNANÇA CORPORATIVA
Até aqui provavelmente não está claro para você a relação entre fraudes, a Sarbanes-Oxley Act e a governança de tecnologia da informação, mas já da para entender que as empresas começaram a se preocupar mais com a governança corporativa.
Ora, a lei se tornou mais rigorosas e as penas maiores, e isso significa que empresas precisam garantir excelência em seus padrões de gestão empresarial. O medo da auditoria aumentou! Qualquer inconsistência representa um risco.
REQUISITOS DA SARBANES-OXLEY QUE AFETAM TI
A seguir, alguns exemplos de requisitos que afetam a TI das empresas, reproduzidos a partir das seções 302 e 404 da norma.
02 requisitos na Seção 302 (exemplos):
- Os sistemas de controle interno sobe a emissão de relatórios financeiros devem ser projetados sob a supervisão do CEO e do CFO, incluindo, as subsidiárias;
- os sistemas de controle de relatórios financeiros também devem ser projetados sob a supervisão do CEO e do CFO.
02 requisitos na Seção 304 (exemplos):
- A alta administração tem a responsabilidade de estabelecer e manter uma estrutura adequada de controle interno e procedimentos para relatórios financeiros;
- A alta administração deve avaliar a efetividade do sistema de controle interno sobre relatórios financeiros.
Não custa lembrar que tais relatórios são emitidos por sistemas computacionais, certo? Mas, para entender ainda mais o nível de impacto em TI, bastar acrescentar que a lei exige que estes relatórios financeiros atendam a requisitos de qualidade da informação como: disponibilidade, conformidade, integridade, acessibilidade, dentre outros.
SABE O QUE TUDO ISO SIGNIFICA?
Todas estas regras juntas significam que se durante um processo de auditoria ocorrem desvios como:
- uma informação não está disponível num #Banco de Dados por qualquer motivo de falha;
- o sistema emitiu um relatório cujas informações "não batem" com o balanço financeiro, por causa de um bug ou falha qualquer;
- as informações financeiras não estavam acessíveis a auditores internos no sistema porque o perfil de usuário dele não permitiam acesso (embora devesse).
Para todos estes casos, a consequência poderia ser a prisão dos executivos da empresa, sobretudo o CEO e CFO.
Estes chefes executivos passaram a enxergar o perfeito funcionamento da #Infraestrutura de TI e maturidade de processos como #Desenvolvimento e manutenção de software não mais apenas como necessidades mas como questões de vida ou morte!
Acho que agora deu para entender porque o cenário despertou neles maior interesse em governança de TI!
Você pode fazer o download da Lei original (de 2002) aqui: Lei Sarbanes-Oxley
