Em: http://www.tiespecialistas.com.br/2011/01/sox-como-ferramenta-de-qualidade-em-ti/
Quem trabalha em multinacional conhece. A SOX, ou lei Sarbanes-Oxley tem sido desde 2002, assunto do café, quando chega a vez de reclamar de alguma coisa. Saem todos dizendo: “Nem me fale…” mas poucos realmente entendem as implicações.
A SOX foi criada na crise anterior, quando várias empresas confessaram que tinham feito uma “maquiagem” na contabilidade. Isso afetou negativamente a bolsa de Nova York, abalou a confiança das pessoas nas empresas e provocou escândalos em 2001, e no ano seguinte, os senadores americanos Paul Sarbanes e Michael Oxley foram relatores de um projeto de lei, conhecido hoje como SOX.
Na famigerada lei, consta de sua seção 404, o que a área de Tecnologia de uma empresa deveria fazer para melhorar a transparência das operações da empresa. Coisas básicas como fazer backup´s, manter acessos restritos por senha segura e comprar licenças dos softwares da empresa. O que talvez não seja tão básico é o conceito de conflito de interesses, que determina que haja segregação de tarefas nos sistemas corporativos. Assim, a pessoa que solicita a compra de um produto não pode ser a mesma que aprova a compra e nem a mesma que recebe e confere a mercadoria.
Para mostrar a todos que a área de Tecnologia fez a lição de casa e mantém todos os requisitos exigidos, são produzidos toneladas de relatórios com as evidências de que tudo foi feito de acordo. Desde controles de acesso, com data e hora de cada “login” no sistema, até evidências que os backups foram feitos e armazenados num cofre à prova de fogo.
Quando o auditor (palavrão para muita gente) chega, ele analisa as evidências e aprova ou não as atividades da área de Tecnologia, faz recomendações de melhorias e sugere novos métodos de controle e novas evidências. Ou seja, solicita mais trabalho das pessoas envolvidas.
Já que se vai ter todo este trabalho para apresentar evidências ao auditor, por que não usar esses mesmos controles para medir a qualidade do trabalho executado ??
Se é necessário fazer backup, produzir evidência que o backup foi feito e apresentar ao auditor, o responsável pode aproveitar e revisar os procedimentos de backup para ver se aquela nova pasta de rede entrou no backup mensal. O mesmo se aplica para todas as evidências que são produzidas para auditoria. O trabalho é basicamente o mesmo. Basta que se encare a coisa não como uma “tortura”, mas como um procedimento de qualidade.
Nas fábricas existem diversos controles para assegurar qualidade dos produtos entregues. As entregas da tecnologia também podem ser medidas e ter sua qualidade assegurada. Sugiro aproveitar o mesmo trabalho feito para os auditores, melhorando a produtividade da própria área de Tecnologia.
Auditoria deve ser usada para beneficiar o negócio e ela não vai deixar de existir. Aliás, depois desta crise de 2008/2009 acho que aumentarão os controles sobre as operações das empresas, pelo menos em alguns setores. O auditor é encarado como “inimigo”, mas ele pode ser um poderoso aliado para que as falhas de operação sejam substituídas por aumento de eficiência e de produtividade.
Excelente matéria.
ResponderExcluirConcordo plenamente....as Empresas devem extrair ao máximo dos auditores para seu benefício, pois, estes detêm uma gama de conhecimento proporcionado pela própria dinâmica da profissão, que devem ser aproveitado ao máximo.