FACULDADE DE ADMINISTRAÇÃO E NEGÓCIOS DE SERGIPE FANESE NÚCLEO DE PÓS-GRADUAÇÃO E EXTENSÃO NPGE SARBANES-OXLEY

FACULDADE DE ADMINISTRAÇÃO E NEGÓCIOS DE SERGIPE FANESE NÚCLEO DE PÓS-GRADUAÇÃO E EXTENSÃO NPGE SARBANES-OXLEY BRUNO VIEIRA DE MENEZES DAYSE SOARES SANTOS JADSON DE SÁ LUCIELMO DE AQUINO SANTOS SAULO JOSÉ MATOS DOS SANTOS ARACAJU 2011

FACULDADE DE ADMINISTRAÇÃO E NEGÓCIOS DE SERGIPE FANESE NÚCLEO DE PÓS-GRADUAÇÃO E EXTENSÃO NPGE SARBANES-OXLEY Trabalho de Conclusão de Módulo de Governança de TI - ITIL, do curso de Especialização em Bancos de Dados FANESE, submetido à banca examinadora para avaliação de conclusão do referido módulo. Orientador: Prof. Evislan Souza BRUNO VIEIRA DE MENEZES DAYSE SOARES SANTOS JADSON DE SÁ LUCIELMO DE AQUINO SANTOS SAULO JOSÉ MATOS DOS SANTOS ARACAJU 2011

RESUMO Esse artigo foi desenvolvido visando explanar um pouco mais sobre a lei Sarbanes Oxley (SOX), relacionando a criação da mesma com os escândalos e quedas de grandes empresas. No presente artigo será comentado sobre empresas brasileiras com capital aberto no mercado norte americano, mostrando como a manipulação dessas empresas afeta e mantém um período de crise e de credibilidade no mercado, ocasionando uma grande falta de confiança de investidores. As informações serão descritas no artigo de forma objetiva, sucinta e clara exemplificando e mostrando os motivos pela qual a lei foi sancionada.

1. SUMÁRIO 3. INTRODUÇÃO... 01 4. GOVERNANÇA CORPORATIVA... 02 5. GOVERNANÇA EM TI... 03 6. ESCANDALOS CORPORATIVOS... 04 6.1. ENRON... 05 6.1. XEROX... 06 6.2. PARMALAT... 07 7. SARBANES-OXLEY... 08 8. RESPONSABILIDADES DA LEI... 10 9. CONCLUSÃO... 11 10. REFERÊNCIAS... 12

3. INTRODUÇÃO Em resposta aos escândalos envolvendo companhias de grande porte foi promulgada uma Lei de Sarbanes-Oxley conhecida como SOX, o nome se deu devido ao senador Paul Sarbanes e o deputado Michael Oxley, que tiveram a iniciativa, em uma tentativa de recuperação da credibilidade dos investidores. A lei padroniza e aperfeiçoa o controle financeiro de empresas que possuem capital na Bolsa de Nova York, a ideia se deu após a decorrência das fraudes executivas de empresas como a Enron por exemplo. Diante dos escândalos foi necessário urgentemente reavaliar alguns padrões de governança corporativa, esses repercutiram bastante e até chegaram a alterar algumas regulamentações financeiras, em uma análise rápida é notável que a SOX veio com determinação de penas e responsabilidades aos executivos que por ventura tentasse fraudar as empresas, onde existe a pena de condenação com multa e pena de reclusão, a multa poderá variar de 1 a 5 (cinco) milhões de dólares e a reclusão poderá ser entre 10 e 20 anos, de acordo com a auditoria, ressaltando que existe uma ênfase nas empresas de capital aberto na bolsa de Nova York, independendo de qual país sejam

4. GOVERNANÇA CORPORATIVA Nos anos 90, foi iniciado um movimento principalmente nos Estados Unidos, onde acionistas notaram a necessidade de novas regras que os protegessem dos abusos da diretoria executiva das empresas, da inércia de conselhos de administração inoperantes e das omissões das auditorias externas. A preocupação da Governança Corporativa é criar um conjunto eficiente de mecanismos, tanto de incentivos quanto de monitoramento, a fim de assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos acionistas. A boa Governança proporciona aos proprietários (acionistas ou cotistas) a gestão estratégica de sua empresa e a monitoração da direção executiva. As principais ferramentas que asseguram o controle da propriedade sobre a gestão são o conselho de administração, a auditoria independente e o conselho fiscal. A ausência de conselheiros qualificados e de bons sistemas de Governança Corporativa tem levado empresas a fracassos decorrentes de: Abusos de poder (do acionista controlador sobre minoritários, da diretoria sobre o acionista e dos administradores sobre terceiros); Erros estratégicos (resultado de muito poder concentrado no executivo principal); Fraudes (uso de informação privilegiada em benefício próprio, atuação em conflito de interesses). 4.1. OBJETIVO O principal objetivo é de recuperar e garantir a confiabilidade em uma determinada empresa para os seus acionistas. Criando um conjunto eficiente de mecanismos, tanto de incentivos quanto de monitoramento, a fim de assegurar que o comportamento dos executivos esteja sempre alinhado com o interesse dos acionistas.

4.2. BENEFÍCIOS A boa Governança Corporativa contribui para um desenvolvimento econômico sustentável, proporcionando melhorias no desempenho das empresas, além de maior acesso a fontes externas de capital. Por estes motivos, torna-se tão importante ter conselheiros qualificados e sistemas de Governança Corporativa de qualidade. Evitando-se assim diversos fracassos empresariais decorrentes de: Abusos de poder Do acionista controlador sobre minoritários, da diretoria sobre o acionista e dos administradores sobre terceiros; Erros estratégicos Resultado de muito poder concentrado no executivo principal; Fraudes Uso de informação privilegiada em benefício próprio, atuação em conflito de interesses. 5. GOVERNANÇA EM TI A Governança de TI é uma derivação de Governança Corporativa, inclui estruturas de relacionamentos e processos que tem como objetivos dirigir e controlar a organização para que esta alcance seus objetivos mas que, simultaneamente, devem equilibrar os riscos em relação ao retorno da tecnologia de informação e a seus processos. São estruturas e processos que permitem controlar a execução e a qualidade dos serviços, viabilizando o acompanhamento de contratos internos e externos, ou seja, a Governança em TI define as condições para o exercício eficaz da gestão com base em conceitos consolidados de qualidade. Governança de TI é o modelo como as decisões são tomadas e responsabilidades direcionadas para encorajar um comportamento desejável no uso de TI (WEILL, ROSS, 2004). A Governança em TI visa designar os direitos de decisão nas questões relevantes com o propósito de atingir os objetivos de negócio da organização. Internamente, a governança deve desenvolver competências e designar os direitos de decisão nas questões de real valor tendo por fim atingir os objetivos de negócio. Neste aspecto, a governança em TI se apresenta como uma estrutura bem definida

de relações e processos que controlam e dirigem uma organização dentro de um cenário de extrema competitividade. O foco é permitir que as perspectivas de negócios, de infra estrutura, de pessoas e de operações sejam levadas em consideração no momento de definição do que mais interessa à empresa, alinhando a tecnologia da informação à essa estratégia. 6. ESCANDALOS CORPORATIVOS 6.1. ENRON A Enron Corporation era uma companhia de energia, localizada em Houston, Texas. A Companhia tinha mais de 20.000 funcionários, foi uma das companhias líderes no mundo em distribuição de energia (eletricidade, gás natural) e comunicação. Seu faturamento atingia $101 bilhões de dólares no ano de 2000. Kenneth Lay, ex-presidente e fundador da Enron, criou um grande esquema para maquiar os faturamentos da companhia, juntamente com Analistas, Contadores, Advogados, Bancos e etc. A Companhia começou a mostrar o seu declínio anteriormente mascarado em 16 de outubro de 2001, onde, a Enron anuncia um prejuízo líqüido de 618 milhões de dólares no terceiro trimestre, por causa de uma despesa excepcional de um bilhão de dólares. Em 22 de outubro de 2001 a Comissão de Operações na Bolsa americana (SEC) abre uma investigação sobre as relações de negócios obscuros entre a Enron e vários fundos privados dirigidos pelo diretor financeiro do grupo, Andrew Fastow, que logo depois foi demitido pela Companhia Enron, levando consigo Um bilhão e duzentos milhões de dólares do capital da Companhia. Alvo de diversas denúncias de fraudes contábeis e fiscais e com uma dívida de US$ 13 bilhões, o grupo pediu concordata em dezembro de 2001 e arrastou consigo a Arthur Andersen, que fazia a sua auditoria. Na época, as investigações revelaram que a Enron havia manipulado seus balanços financeiros, com a ajuda de empresas e bancos, e escondeu dívidas de US$ 25 bilhões por dois anos consecutivos, tendo seus lucros inflados artificialmente.

O governo dos Estados Unidos abriu dezenas de investigações criminais contra executivos da Enron e da Arthur Andersen. A Enron foi também processada pelas pessoas lesadas. De acordo com os investigadores, os executivos e contadores, assim como instituições financeiras e escritórios de advocacia, que à época trabalhavam para a companhia, foram, de alguma forma e em diferentes graus, responsáveis pelo colapso da empresa. Em razão de uma série de escândalos financeiros coorporativos, como o da Enron, foi redigida a lei Sarbanes-Oxley, em 2002. 6.2. XEROX A XEROX é uma empresa com sede em Norwalk nos Estados Unidos fundada em 1906, com 136.000 funcionários e atuante em 160 países. Atualmente a companhia adquiriu a Affiliated Computer Services com o intuito de crescer em questão de processos de negócios e gestão de documentos. Em 2002 a Xerox se envolveu em um escândalo contábil admitindo que tinha exagerado sua receita durante os últimos cinco anos em quase $ 2 bilhões. A revelação, seguindo a varias fraudes na WordCom e Enron, prejudica ainda mais a confiança na economia dos EUA, O escândalo da Xerox, no entanto, é duplamente chocante, porque seus problemas pareciam ter sido resolvido por uma investigação em abril pela Comissão de Valores Mobiliários, o chefe de vigilância financeiros dos EUA. Que a auditoria estimou que o exagero da Xerox das receitas, atingiu vendas de equipamentos, trazendo para a frente, foi de US $ 3 bilhões. Sob as novas contas a cifra equivalente é de R $ 6,4 bilhões, o que levou as ações da Xerox cair 10%. A empresa, entretanto, foi capaz de reivindicar que o exagero da receita líquida foi de US $ 1,9 bilhão por causa de várias outras revisões de suas contas. No entanto, ele ainda admite que os seus lucros durante 1997-2001 foram superestimados em US $ 1,4 bilhão. A SEC acusou a Xerox de ter "enganado e traído investidores" através de uma série de truques contábeis para manipular seus lucros e enriquecer executivos de topo. Um sistema de contabilidade Xerox era conhecido internamente como "projeto de Mozart" por causa de seu brilho suposto criativo.

6.3. PARMALAT A Parmalat é uma empresa italiana de produtos alimentícios. Fundada por Calisto Tanzi em 1961 na cidade de Collecchio, na província de Parma. Ficou bastante conhecida em todo o mundo por patrocinar grandes clubes de futebol e de elaborar modelos de co-gestão, contratando grandes jogadores para sua equipe. Foi uma grande empresa européia de produtos lacticínios antes de a justiça italiana declarar sua falência em dezembro de 2003. Em 2004, veio a crise impulsionada pela expansão desmedida e desvios de caixa, fraude contábil atribuídos aos controladores italianos de mais de 10 bilhões de euros. A empresa enfrentou cinco pedidos de falência na justiça. Não conseguiu honrar compromissos financeiros com fornecedores, bancos e produtores de leite. Acumulou dívidas estimadas em US$ 1,8 bilhão. O ministro Rodrigues armou um plano emergencial para fatiar o que restou da Parmalat e transferiu a gestão das indústrias para cooperativas brasileiras. O mundo dos negócios começou a se questionar o porquê a Parmalat incomodava tanta gente e o porquê o governo tratou a questão como problema de Estado? O que Rodrigues tentou evitar foi, em primeiro lugar, um caos social. A Parmalat era responsável por 8% da captação de leite no Brasil e garantia o sustento de milhares de produtores. Em 2007, veio a crise do mercado leiteiro com a apreensão de dois lotes de leite da Parmalat pela ANVISA, porque estavam com suspeita de adulteração com soda cáustica e peróxido de hidrogênio, H2O2. Foi um escândalo que desvendou a adulteração em duas cooperativas de Minas Gerais que vendiam leite para Parmalat e também outras grandes empresas. 7. SARBANES-OXLEY Em conseqüência das fraudes e escândalos contábeis que, atingiram grandes corporações nos Estados Unidos como Enron, Arthur Andersen, Xerox e outros, foi criada a Lei Sarbanes-Oxley (SOX) em 30 de julho de 2002 por iniciativa do senador Paul Sarbanes e o deputado Michael Oxley.

O intuito da criação dessa lei é tentar evitar a fuga dos investidores, causada pela perda de confiança em relação às escriturações contábeis e aos princípios de governança nas empresas. A SOX contém 11 títulos e foca principalmente a responsabilidade penal da alta administração. O seu objetivo é aumentar e restabelecer a confiança do investidor e a sustentabilidade das corporações, essa lei afetou a forma como as empresas de capital aberto passaram a relatar suas operações financeiras. A SOX acabou apresentando um impacto significativo sobre a área de tecnologia da informação das organizações ao nível mundial uma vez que se insere no âmbito da governança corporativa. No Brasil, a lei se aplica às empresas com ações negociadas nos mercado de capitais dos Estados Unidos, ou seja, multinacionais de capital americano e empresas brasileiras com ações naquele país. Porém as responsabilidades criadas na lei são de interesse de todas as empresas que desejam se atualizar sobre práticas de gestão que estão entrando em vigor nos Estados Unidos e que, em curto prazo, repercutira mundialmente. Grande parte da discussão em torno da SOX concentra-se nas Seções 302 e 404: A Seção 302 determina que diretores executivos e diretores financeiros devem declarar pessoalmente que são responsáveis pelos controles e procedimentos de divulgação. Cada arquivo trimestral deve conter a certificação de que eles executaram a avaliação do desenho e da eficácia desses controles. Os executivos certificados também devem declarar que divulgaram todas as deficiências significativas de controles, insuficiência materiais e atos de fraudes ao seu Comitê de auditoria. A SEC também propôs uma exigência de certificação mais abrangente que inclui os controles internos e os procedimentos para a emissão de relatórios financeiros, além da exigência relacionada com os controles e procedimentos de divulgação. A Seção 404 determina uma avaliação anual dos controles e procedimentos internos para a emissão de relatórios financeiros. Além disso, o auditor independente da companhia deve emitir um relatório distinto que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros.

As penalidades pelo descumprimento da SOX, em relação a integridade nas demonstrações financeiras e a certificação de demonstrativos em desacordo com a lei, gera uma multa que variam de um milhão a cinco milhões de dólares e penas de reclusão entre 10 e 20 anos, pois as regras exigidas pela SOX são direcionadas as empresas com capital aberto na NYSE e também em suas filiais, como a economia brasileira que também deverá ter o controle da implantação a legislação. Por conta da Lei de SOX é obrigatória a observância de práticas de segurança de sistemas em redes e critérios rígidos para uso de aplicações de terceiros por companhias que se encontram ao alcance da lei. Invasão de sistemas, ataques, vírus, acesso indevido a banco de dados, fraudes de senhas entre as demais ameaças em segurança da informação de uma corporação, caso não haja provas suficientes de adoção de medidas preventivas coordenadas de acordo com a seção 404, podem implicar em responsabilidade direta dos administradores possibilitando concretas sessões civis e penais. Dois pontos importantes devem ser observados em relação a uso de sistema de informação no âmbito da lei de SOX: Segurança de sistemas de informação: A adequação do conteúdo da SOX deve ocorrer entre toda a cadeia de comunicação da empresa, principalmente nos recursos concernentes a informações financeiras. Sistemas de gestão - ERP (Enterprise Resource Planning), aplicativos contábeis, sistemas de relacionamento com clientes - CRM (Customer Relationship Management), Sistemas de gerenciamento de cadeia de suprimentos (Supply Chain Management), em conjunto com as demais aplicações de comunicação, banco de dados e armazenamento de informações precisam estar em sintonia com as regras adotadas na legislação. Consequentemente, a atenção do administrador deve se estender à utilização de todo e qualquer recurso tecnológico da empresa por parte dos funcionários e as políticas de segurança da informação adotadas devem ser adaptadas ao teor do Ato Sarbanes-Oxley. Uma atenção especial também deve ser conferida a terceirização (outsourcing) de serviços; Controle de registros: Um arquivo de registros de procedimentos é fundamental para tranquilidade dos administradores. Estes registros devem ser tanto tangíveis (em papel) ou intangíveis (arquivos digitais e demais mídias) e a redundância em sistemas de backup é altamente recomendada. No bojo da lei

encontram-se disposições que penalizam severamente a falsificação, destruição e perda de documentos e registros, bem como prevêem a observação de prazos para seu armazenamento após o fechamento de cada exercício fiscal.

8. RESPONSABILIDADES DA LEI Dentre as 1107 seções da lei de SOX, as seções 302 e 404 são as mais comentadas. A seção 302, como foi dito anteriormente, trata da responsabilidade pessoal dos diretores executivos e diretores financeiros e a seção 404 determina uma avaliação anual dos controles e procedimentos internos para fins de emissão dos relatórios financeiros. A seção 404 é a que mais impacta a área de TI. É requerida uma avaliação da infra-estrutura operacional e pessoal de TI das empresas. Os relatórios devem ser encaminhados à SEC (Security Exchange Comission - órgão regulador das empresas de capital aberto dos EUA), uma instituição equivalente a Comissão de Valores Mobiliários (CVM) no Brasil. Os relatórios devem conter: - Atestado de responsabilidade dos administradores da empresa e manutenção da estrutura dos controles internos; - Avaliação e relatório de cumprimento de metas, ao final de cada ano fiscal, da eficácia dos procedimentos internos adotados para emissão de relatórios financeiros; - Declaração que o auditor independente da companhia atestou a avaliação dos procedimentos elaborada pela administração. A Lei SOX reflete diretamente seus dispositivos nos sistemas de tecnologia da informação após a regulamentação das atividades de contabilidade e auditoria das empresas de capital aberto.

5. CONCLUSÃO A lei Sarbanes-Oxley é extensa e detalhada, apresentando diversas regras que devem ser implementadas. No entanto, seu principal objetivo é transformar os princípios de uma boa governança corporativa em leis, evitando assim o surgimento de fraudes nas empresas. Todavia, grande parte da discussão e das incertezas em torno da eficácia da SOX está centrada nas seções 302 e 404. Por exemplo, os requisitos da SOX não fazem nenhuma distinção com base no tamanho da receita de uma empresa, ou seja, empresas de tamanho pequeno a médio enfrentam os mesmos desafios tanto orçamentários quanto com pessoal, em seus esforços para atender a SOX. Isto leva a concluir que empresas de maior porte encontrarão desafios pouco diferentes das de pequeno e médio porte. Entretanto, a proporção da estrutura de controles internos em prática terá influência significativa sobre aas atividades de cada uma.

6. REFERÊNCIAS http://noticias.uol.com.br/economia/ultnot/2006/07/05/ult35u48298.jhtm - 01/08/2011 http://www.fraudes.org/showpage1.asp?pg=312 01/08/2011 http://pt.wikipedia.org/wiki/enron -02/08/2011 http://pt.wikipedia.org/wiki/lei_sarbanes-oxley -03/08/2011 http://www.istoedinheiro.com.br/noticias/6827_parmalat+afogada+no+escandalo 04/08/2011 http://www.bbc.co.uk/portuguese/economia/020628_xeroxcg.shtml - 06/08/2011 http://www.citadini.com.br/auditoria/fsp020629a.htm - 06/08/2011