Em meados de 2002, duas grandes empresas passaram por escândalos por conta de fraudes contábeis. Em reação à crise, os Estados Unidos logo aprovaram uma lei chamada SOX, que estabelece requisitos importantes para evitar falhas em auditorias, especialmente de empresas de capital aberto como a Enron e a WorldCom.
O que é a SOX?
SOX é uma sigla para Sarbanes Oxley Act, uma lei, aprovada nos Estados Unidos em 2002, que prevê mecanismos de auditoria e contabilidade para assegurar mais transparência e uma melhor governança corporativa. Dessa forma, a lei tem como objetivo diminuir o risco dos negócios e evitar fraudes.
A lei tem como foco as empresas de capital aberto dos EUA. Assim, todas essas organizações, as subsidiárias integrais e as empresas estrangeiras que atuam em algum território dos Estados Unidos (e tenham capital aberto) são obrigadas a seguir suas determinações. Além disso, organizações que oferecem o serviço de auditoria também precisam estar em conformidade com a legislação.
Com a aprovação da lei, os custos das empresas relativos ao compliance aumentaram consideravelmente, de modo que profissionais com o conhecimento técnico necessário se tornaram ativos valiosos. Para empresas brasileiras, a imposição da SOX vai para aquelas que oferecem ADRs (American Depositary Receipts) para negociação da NYSE.
A lei SOX
A lei SOX tem como foco a regulação de empresas com capital aberto, listadas na bolsa de valor dos Estados Unidos. Além das organizações estrangeiras com capital aberto que atuam no território dos EUA, a lei também acaba incluindo algumas sociedades de capital fechado.
Nesse caso, ela determina que entidades privadas não devem destruir ou falsificar os seus dados financeiros de propósito. Se isso ocorrer, a própria legislação determina algumas sanções para as empresas que fizerem essas alterações ilegais.
Principais pontos da lei
Entre suas determinações, a lei SOX determina alguns “títulos” importantes na fiscalização desta legislação. Um dos mais relevantes entre eles é o Public Company Acconuting Oversight Board (PCAOB), que é responsável pelas auditorias em empresas públicas. Para as empresas privadas, essa auditoria deve ser contratada e realizada anualmente.
Nesse sentido, ainda tratando das empresas privadas, a lei estabelece que as organizações contratadas para auditoria devem ser independentes da auditorada para que não haja nenhum conflito de interesse.
A SOX enxerga os CEOs e os CFOs das empresas como os grandes responsáveis pela veracidade das informações obtidas nas auditorias (informações essas que devem ser disciplinada com fácil acesso para todos os interessados). Esses profissionais também devem se certificar da autenticidade de documentos e do envio das demonstrações financeiras e da estrutura de controle interno para a Comissão de Valores Mobiliários dos Estados Unidos.
Todas essas demonstrações financeiras precisam ser publicadas por seus emissores. É de suma importância que todas as informações e declarações contidas nesses documentos sejam precisas e verdadeiras. Além disso, as demonstrações devem incluir os passivos, obrigações e transações financeiras.
Os relatórios financeiros anuais devem conter a publicação que os emissores fizeram. A SOX exige que nesses relatórios tenham conclusões sobre a funcionalidade dos controles e procedimentos adotados internamente para garantir segurança fiscal. Ademais, caso haja mudanças nas condições financeiras ou nas operações da organização, os emissores são obrigados a divulgar ao público o mais rápido possível e com informações clara e de fácil compreensão.
Leia também: ISO 19001 – Padronização de Auditorias Internas e Externas
A certificação SOX
Como a SOX é uma lei, e não uma norma de certificação, as empresas não têm a obrigação de obter um certificado específico. Entretanto, algumas organizações certificadoras criaram programas de certificação que atestam e dão certeza para as empresas que elas, de fato, estão seguindo as determinações obrigatórias da lei SOX.
Diferente da lei, o foco da certificação SOX não é exclusiva às empresas de capital aberto ou mesmo aos escritórios de contabilidade: todas as organizações têm a ganhar com a construção e prática de sistemas que evitem fraude fiscal. Nesse sentido, a certificação tem como objetivo qualificar o profissional para que ele compreenda e ponha em prática o compliance com a legislação.
Nesse sentido, os programas de certificação são destinados, especialmente, a funcionários e gerentes envolvidos com avaliação de risco, políticas e procedimentos de compliance, além daqueles que trabalham com atividades de controle, monitoramento, auditoria, gestão de dados e outros. Assim, diversos tipos de profissionais são elegíveis para obter a certificação, como auditores, gestores de risco e compliance e, até mesmo, técnicos de TI.
Como obter certificação SOX
A amplitude de profissionais que podem buscar a certificação faz com que haja uma série de organizações que oferecem certificado SOX. Os títulos geralmente são obtidos mediante provas, que são aplicadas após o fornecimento de materiais de estudo e as respectivas aulas, que costumam acontecer integralmente em ambientes digitais.
Além desses certificados atestarem o conhecimento sobre a lei SOX, garantindo a excelência no exercício de um cargo de gerência, por exemplo, a maioria das empresas certificadoras determinam nível mínimo de 3 anos de experiência. Assim, as credenciais também certificam a experiência profissional na área de 1.200 horas nos últimos três anos.
Dessa maneira, obter o certificado SOX tem como primeiro passo a procura por empresas certificadoras que ofereçam esse serviço. Por fim, essa certificadora poderá realizar a certificação por meio de cursos com uma prova final, fazendo auditorias dentro das organizações para observar o modo de funcionamento de suas auditorias fiscais ou um combo dos dois.
Como implementar a SOX
A lei SOX determina alguns dos requisitos analisados durante as auditorias de fiscalização, que ocorrem anualmente. Dessa forma, para implementar as exigências dessa lei, as empresas precisam organizar seus sistemas contábeis e seus processos de auditoria internos.
1. Relatório de controle interno:
Assim, uma das mais relevantes preocupações que as empresas devem ter está na construção de um Relatório de Controle Interno. Neste documento, é preciso discorrer sobre as funções da administração, de forma que a atribuição sobre as responsabilidades pelas demonstrações financeiras chegue nela.
Esse controle interno é parte indispensável do sistema, já que sua principal função é ilustrar, com transparência, os processos financeiros. Assim, as falhas de procedimentos são facilmente detectadas e podem ser rapidamente relatadas para a alta direção.
2. Estratégia de segurança:
Como a empresa garante segurança em sua contabilidade? É preciso revisar o sistema de segurança para assegurar conformidade com as políticas formais que a SOX exige. Essas determinações também abrangem a comunicação e a prática das políticas de segurança de dados estabelecidas no processo.
Nesse sentido, o sistema de segurança de dados deve ser construído e colocado em prática de forma consistente, garantindo que todas as informações financeiras sejam seguramente armazenadas e possam ser usadas em transações correntes. Dessa forma, estratégias de segurança mais usadas, e previstas pela lei, costumam ser:
-
Controle de acesso:
Quando se fala em acesso, a lei está se referindo aos controles de entrada físicos eletrônicos. Nesse caso, a SOX determina a necessidade de cada profissional ter acesso de entrada apenas nos locais essenciais para seu trabalho. Dessa forma, crachás, fechaduras e senhas de logins, por exemplo, devem ser específicos para os serviços de cada um dos colaboradores
-
Vazamento de dados:
Sobre os itens de segurança de uma empresa, é essencial que ela tenha um sistema que atue contra o vazamento de dados. Essa não é uma exigência da SOX, ou seja, a própria empresa pode escolher se irá investir ou não em um sistema desse tipo. Entretanto, a demonstrar estar preocupada com a segurança de dados é, também, uma forma de atuar contra fraudes fiscais.
-
Backup de dados:
Ainda pensando em segurança de dados, é importante que as empresas pensem em um mecanismo seguro de backup de dados. Dessa forma, uma ambiente externo, que seja seguro e que cumpra os requisitos da SOX, deve armazenar as informações da empresa (especialmente de demonstração financeira).
-
Acompanhamento de alterações:
As empresas devem ter documentado e detalhado os processos de adição e gerenciamento de novos usuários em seus sistemas, especialmente nos financeiros. Dessa forma, somente colaboradores de confiança executarão atividades como instalação de softwares e alterações de bancos de dados.
3. Documentação:
As empresas devem manter documentação que comprova as conformidades com a SOX. Além disso, a documentação armazenada precisa ser constantemente atualizada, para que a empresa possa provar que está monitorando seu sistema, garantindo que ele realmente cumpra as exigências dessa lei.
Objetivos e vantagens da SOX
A grande função da lei SOX é evitar a ocorrência de fraudes fiscais. Com isso, ela também tem como objetivo proteger os investidores de possíveis golpes e, consequentemente, faz com que as empresas conquistem uma imagem de “confiáveis” perante o mercado. Dessa forma, os principais benefícios de conhecer a fundo a SOX são:
- O aprendizado de técnicas necessárias para a regularização da empresa perante as legislações aplicáveis;
- Uma governança corporativa mais transparente;
- Melhor controle na condução dos negócios para os proprietários;
- Melhor posicionamento da empresa em mercados mais amplos;
- Gestão de risco e compliance de acordo com os padrões do mercado.
Mesmo que, no Brasil, não seja obrigatório seguir as determinações dessa lei, é interessante que gestores e alta direção conheçam as exigências da SOX para, assim, terem uma noção sobre a construção de estratégias que proporcionem maior segurança em suas auditorias fiscais.
Nesse sentido, a certificação SOX costumar ser a fornecedora desse conhecimento, operando no sentido de facilitar o processo de adequar uma empresa à legislação. Principalmente para as organizações dos Estados Unidos, essa é uma das formas mais seguras de sinalizar a capacitação do profissional para conduzir o processo de implementação da SOX na prática.