O impacto da Lei SARBANES-OXLEY no ambiente de segurança corporativo brasileiro

29 de abril de 2016

“Poucas pessoas já ouviram falar desta lei norte-americana, criada para coibir fraudes contábeis, com reflexos na área de segurança corporativa. Nosso grande problema é que ela exige aplicação nas filiais fora dos EUA e aos seus fornecedores, acenando com pesada penalidades aos CEOs ou CFOs que não atendam às suas exigências”.

Em 2002, o mundo se surpreendeu com os escândalos envolvendo grandes empresas norte-americanas com a falsificação de demonstrações contábeis e a utilização de empresas de auditoria para endossar seus problemas.

A consequencia mais grave para os EUA, naquela ocasião, foi a perda da confiança dos acionistas, especialmente daqueles que investiam em ações. Se aquelas fraudes ocorriam em empresas daquele porte, com o envolvimento de uma das “Big Five”, o que poderia estar acontecendo no mercado e que ainda não teria transpirado ?

Para evitar o esvaziamento dos investimentos financeiros, o Senador Paul Sarbanes (Democrata de Maryland) e Michael Oxley (Republicano de Ohio), assinaram em 30 de julho de 2002 a lei que carrega seus nomes. Basicamente, esta lei exige a criação de mecanismos de auditoria e segurança, incluindo a criação de comissões encarregadas de supervisionar as atividades e operações das empresas, inibindo a ocorrência de fraudes.

O não atendimento a estas normas, dentro de um prazo pré-estabelecido para implementação, poderá sujeitar o CEO ou o CFO destas empresas a penalidades pesadíssimas, que inclui penas de prisão de até 20 anos. Dentre estas normas, passaram a ser exigidas características de confiabilidade e disponibilidade dos sistemas e aplicativos que apresentam informações que indiquem a situação da organização no momento em que são acessadas.

E estes são dois dos três princípios que norteam a prática de segurança de informação (Confiabilidade, Disponibilidade e Confidencialidade).

Na verdade, esta lei vem endossar a visão executiva da área de segurança das empresas, que assume a necessidade de garantir transparência e precisão nas funções de negócio executadas, refletindo nos produtos ou serviços prestados. É uma questão de redução dos riscos corporativos, que potencializa os invetimentos realizados nas atividades de negócio, minimizando proativamente a possibilidade de serem afetados por eventos.

A bem da verdade, esta é uma percepção intuitiva, pois não há que se falar em proteção quando desconhecemos o risco.

A Lei SarBox (primeira sílaba dos nomes dos seus criadores) obriga as empresas que possuem capital aberto e ações negociadas na bolsa de NY a responder pelo que fazem com o dinheiro. Não só internamente, mas também em filiais de outros países, podendo extender esta exigência para fornecedores. Parecido com o que é apregoado pela área comercial de empresas que atuam na área de segurança, esta lei atua na redução dos riscos com a utilização do dinheiro dos outros, nas mão dos responsáveis pelas organizações.

No Brasil, existem um grande número de artigos que são inconsistentes com a legislação brasileira. Alguns são até mesmo ilegais, frente às nossas normais atuais.

Mas o que interessa saber nesse momento é que para os CEOs e CFOs americanos, suas filiais no Brasil devem se enquadrar à esta realidade americana, sob pena deles mesmos serem legalmente responsabilizados por omissão deste assunto. As áreas de auditoria (no caso de empresas do segmento financeiro) ou de segurança (genericamente falando) devem trabalhar na elaboração de mecanismos de registro e evidências que atendam às exigências normativas da SarBox, não esquecendo dos requisitos técnicos que demandam alta disponibilidade dos sistemas ou aplicativos que são utilizados.

Uma das exigências desta lei é que a empresa disponibilize mecanismos que permitam aos seus investidores verificarem em tempo real a situação (financeira, p.e.) e utilização dos recursos. O grande problema é que não há menção, na própria lei, de como esta disponibilidade deve ser garantida. Isto pode gerar conflitos e dúvidas.

O que eu tenho sugerido aos meus clientes, é que procurem parceiros que possuam grande visão de negócios, com experiência em projetos de segurança corporativa, para elaborar estratégias de contingência e continuidade de negócios, aderentes aos objetivos exigidos pela lei.

É claro que não bastarão estratégias, que não poderiam impedir o risco de uma interrupção devido à um problema de sistema. Mas elas serão fundamentais, uma vez que devem entender a necessidade da organização (de acordo com os requisitos da Lei SarBox), conciliando as soluções com a legislação brasileira, de forma a atender às necessidades legais do negócio.

Trata-se de uma tarefa complexa, pois nossa legislação não permite a adoção integral da lei americana, devido a conflitos de Direito. Em contrapartida, para o executivo que está nos EUA isto é um mero detalhe -que não se atendendo- coloca seu próprio pescoço a prêmio.

Este pode ser um bom momento para darmos mais um passo em direção à valorização do profissional que extrapola o conhecimento técnico, interagindo com diferentes cenários corporativos e oferecendo soluções que integram diferentes exigências. Pessoalmente, acho que este novo desafio é uma grande oportunidade de separarmos o joio do trigo, identificando o simples “escovador de bytes” do verdadeiro profissional integrado à uma tendência mundial de valorização da segurança como diferencial competitivo de negócio.