Quinta-feira, 24 novembro de 2005 - 15:54
Luciana Coen

COMPUTERWORLD - Reunimos vocês para falar sobre Sarbanes-Oxley. Como este não é um tema específico de TI, pediremos para cada um falar sobre o status do projeto em sua empresa e o nível de conhecimento sobre o assunto que a área de TI deve ter, no seu caso, para levar um projeto como este.

RENATO BLANCO (VCP) - Vou falar um pouco da empresa. O trabalho começou no fim de 2004, iniciamos um diagnóstico com apoio da consultoria Delloite. E em 2005, está na pauta da diretoria este assunto. Fizemos recentemente uma reunião em que passamos o status de todas as ações. E, como você falou, o assunto não é TI. Muitas vezes, a área de processos afirma que o problema é da área de TI. Mas Sarbanes não é só TI. TI está na empresa para apoiar este movimento dentro da organização.

Teremos uma pré-auditoria este mês (novembro), feita pela PricewaterhouseCoopers. Como a VCP tem papéis no exterior, até o fim de 2006 ela precisa emitir o certificado, ela decidiu fazer uma pré-auditoria agora. E depois, faremos um "self-assesment" para, em julho de 2006, recebermos a auditoria final.

Entre todas as ações, foram identificados cerca de 170 pontos de controle dentro do diagnóstico já levantado. E o que mexeu muito na organização é o nível de acesso das informações no sistema. Até dentro dos itens que foram divulgados pelas empresas que já passaram pela certificação, são três os itens de maior desafio: sistemas de informação, integridade de sistemas (aquela questão de planilhas eletrônicas que ficam sendo manipuladas fora dos sistemas) e segregação de função. Esta, ficou de responsabilidade da TI. Estamos revendo todos os níveis de acesso das pessoas.

CW - Mas os três principais pontos que você falou estão relacionados a TI, não?

BLANCO - Sim, dos dez principais, os três primeiros pontos críticos estão relacionados diretamente a TI. Os demais estão ligados a capacitação de profissionais, nível gerencial não adequado a publicação de informações, entre outros. Tem até nível de segurança dos executivos de finanças, que na hora em publicam os dados devem estar devidamente informados, não podem se comunicar com o mercado antes de publicações de balanços. Então, um grande movimento foi de segregar as funções do SAP (sistema de ERP utilizado pela VCP). Passamos de 1,5 mil perfis de acesso para 460 perfis, de acordo com cada cargo dentro da organização. Tudo isto para garantir que quem compra não libera, quem recebe não aprova e outros pontos.

Para tudo isso, é preciso ter envolvimento da alta administração. O prazo para terminar este trabalho será 31 de outubro. E já começamos o processo de pré-auditoria da PricewaterhouseCoopers. Já apresentamos os 170 itens devidos. Agora, é preciso ver se o auditor garante aquele controle. E aquilo que é fraqueza material precisa estar classificado.

CW - O que é fraqueza material?

BLANCO - Você tem três tipos de classificação. Tudo aquilo que é fraqueza material, depois de auditado, o CFO precisa declarar que a empresa não tem o controle do processo mencionado. Ele é obrigado a declarar. Se for identificada esta fraqueza material e não estiver declarada, a multa é de cinco milhões de dólares e prisão de até 20 anos.

CW - Mas um executivo brasileiro é preso?

BLANCO - Parece que esta lei só vale para território americano. Mas isto tudo é importante pelo valor da companhia. Já tiveram cerca de três mil empresas com certificado já emitido pela SEC. Destas, 14% declararam fraqueza material. Dentro das fraquezas materiais, entre as 10 citadas, três são de TI.

JORGE PEREZ (GM) - De fato, a grande preocupação por parte da empresas americanas é que, qualquer desvio ou sonegação de informação nesta certificação, a sansão legal é aplicada em cima do CFO e CEO lá nos Estados Unidos. Mesmo se acontecer alguma coisa em uma subsidiária.

LUCIO ANTONIO NUBILE (Cummins) - A abrangência da lei é em território americano. A princípio ela se estende dentro de território americano. Se a empresa transcende este território, a matriz juridicamente constituída responde pelas ações dos escritórios pelo mundo.

BLANCO - No nosso caso, a matriz é no Brasil. Mas nós temos um general manager, norte-americano. Mas não sei se ele tem qualquer impacto sobre esta penalidade, pelo fato de a matriz estar no Brasil.

JOAQUIM DIAS GARCIA NETO (Pão de Açúcar) - Mas não é só o executivo ser preso. Existe um risco do negócio. Não se pode correr o risco de não poder ter ADRs lá fora.

MARCOS CALDAS (Sadia) - Mas há uma coisa fundamental, que diz respeito ao gerenciamento de uma companhia. Então, há questões como formação deste conselho, autonomia do conselho. Um CEO pode tomar uma decisão de negócio que leva a empresa a perder muito mais dinheiro do que um ponto de fraqueza, por exemplo. Então, é engraçado como o foco fica em questões de fraqueza e decisões de governança, ética, estão sendo deixadas de lado.

Na Alcoa (Marcos Caldas foi CIO da Alcoa no Brasil por mais de 10 anos e deixou a companhia recentemente. Agora, responde pela área de TI da Sadia), por ser empresa norte-americana, nós já fizemos a certificação. Agora, na Sadia, a empresa não se preocupou somente com a questão transacional. Querem mostrar que não é porque os controles estão dentro do auditado, que não haverão mais problemas. Se você tem um swap de moedas que pode impactar o resultado, o acionista precisa saber. Como quantificar riscos? Como avaliar impactos no meio ambiente.

Atualmente, o auditor virou um juiz. Agora ele tem uma percepção das coisas que não é estatística. O auditor ficou com um poder, e eu diria um medo, porque ele chega em um nível de detalhamento muito grande. Mas acho que para nós, de TI, é um momento muito importante. Devíamos aproveitar este momento para fazer governança de TI. Muitas das coisas que estão em SOX, tem a ver com o que sempre falamos: tirar a responsabilidade de várias coisas de TI, mexer nos sistemas de forma emergencial, sem respeitar os processos.

CW - Como está o processo na Sadia?

CALDAS - A Deloitte foi contratada para determinar pontos de fraqueza. E vamos arrumar a casa para pegarmos a certificação. A mudança é muito grande. A questão de validade de senha, perfil de usuário, entre outros pontos. Agora, se tivermos uma pane no sistema à noite, há um processo para registrar, o dono da aplicação tem de ser notificado. Validamos quem entrou e quem saiu de cada sistema, e com que perfil. E isto não pode ficar com a área de TI. Isto é importante.

Para nós, de TI, acabamos ficando com 5 a 10% de trabalho-extra que vamos ter de incorporar. E se você entregar algo do qual não tem certeza, terá trabalho dobrado.

Se pegar um data center. Fazíamos auditoria a cada dois anos. Agora, teremos de fazer anualmente. E neste momento, você vai ter de pegar 20% do teu pessoal para atender a auditoria e SOX. Não tem outro jeito. A demanda será enorme.
Terceirização também torna-se um assunto bastante preocupante. Até brincamos que BPO (sigla para Business Process Outsourcing) não pode ser Business "Problem" Outsourcing...

GARCIA NETO - Os conceitos são basicamente os mesmos. Temos uma responsabilidade muito grande porque a maioria dos pontos identificados são de responsabilidade de TI. Dos cerca de 200 itens, 170 estão relacionados a TI. Então entramos muito mais como parceiros e a auditoria é a área líder neste processo. Nós partimos de uma vantagem grande, que é ter conhecimento de todos os processos da empresa.

Mas como o nosso prazo é curto, muitas vezes tem sido mais fácil alterar processos, do que alterar sistemas. No momento da auditoria, queremos que o processo seja auditado, não o sistema. Nós não temos ERP, e sim um sistema desenvolvido internamente. E isto aumenta ainda mais os pontos de controle. A PricewaterhouseCoopers é nossa consultoria, em dois focos: um de nos ajudar e diagnosticar os pontos e outro foco de documentar o que nós estamos fazendo.

Nossos prazos são audaciosos: dezembro.

CW - Seria o caso de considerar a implementação de um ERP por causa disso?

GARCIA NETO - Sim, mas o que ocorre é que não temos prazo. Mas só para deixar claro: o legado não é um problema.

CW - Vocês têm de ter mais controle por não terem um ERP padrão?

GARCIA NETO - Sim, porque você tem a questão da integração entre sistemas. É preciso alterar essas integrações e passar a encriptar arquivos. Então, o problema que se tem com planilha - e todos nós temos, é um ponto crítico em qualquer área de TI - temos também dentro de alguns sistemas. Porque não o ERP neste momento? Por causa de prazo. Teremos auditorias que começarão a ocorrer a partir de 1 de janeiro.

CALDAS - Mas este é um ponto interessante que é: o fato de você ter um ERP te dá alguma facilidade ou certificação do SOX? Não. Eles poderiam até pensar nisso, ter algum tipo de blindagem em desenvolvimento, no sentido de nos ajudar em alguma coisa. O que eles oferecem é um produto de rastreabilidade.

GARCIA NETO - Eles oferecem um módulo de pontos de controle, gerenciamento de riscos. E o prazo realmente é inviável para nós.

NUBILE - SOX para mim veio como um presente de Natal. Nunca tive tanta facilidade para implementar alguma coisa, do que com a SOX. Com isso, tivemos a oportunidade de fazer diversas implementações de controles adicionais que, muitos deles até tinham sido levantados como necessários há muito tempo. Agora, todos os controles foram feitos. A Cummins foi certificada o ano passado. A empresa montou uma equipe mundial e começou um trabalho muito forte do ponto de vista mundial. Tecnologia não é responsável diretamente pelo projeto, mas sim uma área cujo trabalho é essencialmente tornar o processo confiável, do ponto de vista do mercado e do acionista. A equipe desenvolve dois grandes passos de verificação. Existe uma modelagem de controles, um processo comum de identificação de possíveis falhas e problemas e o que temos de fazer para resolver estas situações. Nosso auditor era a Price também. Existe uma equipe que vem fazer uma pré-avaliação, que identifica, numa amostra pequena, como está a performance de determinado controle. E esta equipe perfaz o mesmo caminho que aquele auditor fez, com uma pré-avaliação um pouco mais completa.

Esta equipe sinaliza as falhas e chamamos a equipe para corrigi-las e fazer a certificação.
Muita gente atribuía à tecnologia determinadas deficiências. E o que acabamos percebendo é que as pessoas do ciclo de negócios estão preocupadas em fazer com que os processos aconteçam exatamente da forma como estão descritos.

Os controles precisam ser feitos, manual ou via ERP. A gente confia nos fornecedores de ERP, que dizem que temos uma segurança transacional intrínseca transacional. Ninguém até hoje conseguiu provar isso por A + B, mas a gente acredita neles e gasta milhões de dólares em seus sistemas.

Os ciclos de negócio perceberam que eles são responsáveis pelo processo. São eles que precisam se certificar de que aquilo é um processo confortável, caso precisem justificar.

Eu percebi muito fortemente as pessoas vindo na minha sala e identificando vulnerabilidades, pedindo nossa ajuda. E isto é muito bom.

E estamos agora em uma segunda fase. SarbOx é um novo modo de vida. Eu criei uma estrutura só de suporte a isso - na Argentina tenho duas pessoas, nos distribuidores tenho mais duas pessoas e duas pessoas aqui na fábrica. Eu sempre batalhei para as informações ficarem na companhia, para as idéias serem documentadas. E eu consegui muito disto, com SarbOx.

No início, é difícil fazer as pessoas seguirem os processos, preencherem os campos. E, hoje, as pessoas são mais responsáveis pelo que fazem.

CALDAS - Ser ético deveria ser uma coisa natural. Hoje, é um problema de legalidade. Acho que vamos ver que, mais para a frente, as falências vão continuar acontecendo. Agora, acho absurdo o dinheiro que se gasta em vista de ser adequado a SOX. Isto deveria ser uma coisa natural.

BLANCO - Muitas vezes, você está direcionado para um controle, e uma decisão estratégica é que foi o problema. Então, mais empresas vão falir por má administração mesmo.

GARCIA NETO - Acho que é um presente de Natal sim. Mas tem muita coisa ruim que usuários aproveitam e dizem que seus problemas são para SOX. Então, precisamos tomar cuidado com isso. Muitas áreas aproveitam para empacotar outras questões junto com SOX. E precisamos também frear este movimento. É inevitável a criação de uma área de segurança que esteja dentro da área de tecnologia da informação.

PEREZ - Sou o CSO da GM. As regiões na companhia não são exatamente divididas como de costume, mas sou o executivo de segurança para uma região específica da GM. Agora, eu acho sim que Sarbanes-Oxley foi um presente de Natal. Porque ela dá o foco certo para a área de segurança, que tem também como função estar adequada a leis.
Qualquer esforço que se faz para gerar um produto e colocar no mercado será, cedo ou tarde, documentado. Temos de ter certeza disso. Digo isso simplesmente pelo fato de que a lei volta a colocar o processo de negócio na mão do dono de negócio. Estamos nisso desde 2003, emitimos certificações. E acabamos desenvolvendo um processo a fim de desenvolver uma forma unificada de controles. O ponto é o seguinte: no começo do ano, a gente começa a fazer aquilo que chamamos de "pre-assessment". E a auditoria vem a diz que você está de acordo com o que o mercado considera. Mas as auditorias não estão mais auditando verdadeiramente.

De ano para ano, existem ações legais mandatórias, que precisam ser aplicadas no sistema. E esta ações acabam se sobrepondo a processos. E isto acaba abrindo lacunas que, quando auditadas, serão vistas. Temos um prazo para fazer nossa remediação, antes que a Deloitte venha auditar tudo o que achamos necessário.

Controle de acesso, por exemplo, será sempre um problema. E sabe porquê? Porque a classificação é muito genérica. A SarbOx tem tido um impacto bastante positivo na empresa.

Temos uma questão cultural. Em cinco anos, teremos uma cultura voltada para SarbOx - se não aparecer alguma coisa pior, do ponto de vista dos controles.

CALDAS - Esta mudança cultural é muito forte. Mais do que a gente imagina.

PEREZ - É impressionante o mercado que se criou. E o objetivo não é tanto se o CFO vá em cana. O que acontece agora, temos mudanças. Mas agora, vou fazer uma terceirização: a empresa com quem vou terceirizar tem certificado emitido? Não? Que pena, não posso terceirizar com ela. Para mim, a tomada de crédito é o mais importante de estar adequado. Hoje, as auditorias chegam a estar com falta de gente.

CALDAS - Lembram do analista de OeM (Organização e Métodos)? Pois é, nada se cria. Agora estamos precisando de pessoas com este perfil em TI.

PEREZ - O ano passado toda área de TI da GM teve de se certifica em ITIL. Isto porque não havia uma linguagem comum e precisávamos disso. No fim das contas, o "Grande Irmão" não será um computador com uma camerazinha. Será um processo que todos seguem de forma idêntica.

REINALDO LORENZATO (Sonopress) - Bom, nós lá já recebemos os duendes e estamos esperando o Papai Noel! Somos uma empresa alemã e há dois anos sabemos que, até o fim de 2006, tendo ADRs no mercado americano ou não, vamos ter uma pressão para implementar. A idéia, então, é nos anteciparmos à provável demanda que teremos no ano que vem. O que temos lá é uma pequena SarbOx, o IAS (sigla para International Accounting Standard), que é muito parecido em vários termos com a SarbOx, mas é muito antigo e utilizado por empresas européias. Uma vez por ano recebemos uma auditoria. Quem nos audita no Brasil é a Ernst & Young. Esta auditoria avalia o balanço e as contas. E depois uma vez a cada três anos recebemos uma auditoria externa, que faz uma avaliação geral. Concordo com todos aqui, que é realmente um presente de Natal, porque isto desonera a área de TI de muitas coisas que são colocadas em nossa área. E percebemos que isso incrementa a colaboração. Alguns usuários querem criar esta barreira.

CW - Gostaria de saber qual é o impacto de investir em SarbOx? Quem está em multinacional tem ajuda da matriz?

CALDAS - Mesmo que tenha dinheiro enviado para o primeiro processo, você tem um limite de investimento anual. E alguma coisa será com certeza sacrificada pelo investimento em adequação.

GARCIA NETO - E todo mundo aqui está tendo de gastar dentro do ciclo de orçamento. Não houve muito tempo para planejar.

NUBILE - No fundo, hoje aparece uma linha em nosso sistema de budget que te autoriza a colocar fundos para atividades de Sarbanes-Oxley. Acontece que o teu alvo continua sendo o mesmo. Então, na prática, colocamos um montante naquilo, mas temos de retirar de outro lugar. Tivemos uma alocação orçamentária específica em 2003 e em 2004. Mas agora, em 2006, que a coisa já é nossa, tive de considerar a atividade da lei. Porém, aquilo não me deu o direito de extrapolar o meu orçamento. Concluindo: para o lançamento do programa temos uma ajuda da corporação. Mas agora tenho de manter as áreas de SarbOx.

CALDAS - Acontece que não é só dinheiro, mas também tempo. Por isso que digo que é restritivo. Ele ocupa tempo das pessoas que trabalham da empresa. Já disse que, de 5 a 10% do tempo dele, de agora em diante, ficará alocado em SOX.

PEREZ - Normalmente nas multinacionais, temos o custo do recurso humano. E teremos também o custo de consertar os problemas, que não devíamos ter cometido. Não considero este custo injusto para a área de TI.

GARCIA NETO - Então, no primeiro momento, você gasta mais. E depois haverá um custo recorrente, que será incorporado à área de TI. Hoje, empresas estão colocando na balança o custo de aderir e manter-se na bolsa. É preciso colocar na ponta do lápis. Acho que para nós vale a pena porque o custo de empréstimo aqui no Brasil está muito alto.