Erick Matheus Santos e Gustavo Ferreira*
A Lei Sarbanes-Oxley (SOX), promulgada nos Estados Unidos e voltada para a governança corporativa, traz as novas questões regulatórias sobre a privacidade de dados e os constantes processos de violações de segurança, forçando as empresas a aumentarem a conscientização e a responsabilidade sobre as ações internas de seus funcionários.
Um dos instrumentos para tal controle é a matriz Segregation of Duties ou Segregação de Funções (SoD). Sem ela, as segregações inadequadas de funções podem dificultar a prevenção, detecção e investigação de fraudes, o que pode levar a declarações financeiras incorretas, punições regulatórias, danos à reputação da empresa e redução da confiança dos investidores. Há também o risco de apropriação indébita de ativos, que envolve terceiros ou funcionários de uma organização que abusam de sua posição para roubá-la por meio de atividade fraudulenta.
Ou seja, se os controles internos não forem confiáveis, abrem-se precedentes para aumentar os testes substantivos pela auditoria interna e pelo auditor externo, traduzindo-se em custos adicionais para a organização. E as descobertas mais sérias podem levar a uma avaliação pelo auditor externo de que a empresa possui uma deficiência significativa ou fraqueza material.
Por último, se os SoDs não estiverem presentes, levanta-se a questão sobre se as informações e provas obtidas são confiáveis, isentas de erros ou podem sugerir a existência de uma distorção material. Como resultado, o auditor pode aumentar o tamanho das amostras, diminuir o limite de testes substantivos ou aumentar os procedimentos de auditoria em geral.
Por isso, os SoDs devem ser proporcionais ao tamanho, à complexidade e ao risco geral das operações de uma empresa e do ambiente de relatórios financeiros, o que os torna importantes nos esforços para reduzir fraudes e aumentar a eficácia operacional.
Controles compensatórios podem existir para mitigar os riscos resultantes da falta de segregação adequada de funções. Entretanto, eles incluem trilhas de auditoria, reconciliação, revisões de supervisão e logs de transações que podem encarecer os custos. Portanto, recomenda-se que a SoD seja implantada por meio de um projeto e sustentada ao longo do tempo.
Prevenir resultados desastrosos
Sem a SoD, qualquer destes cenários mostra claramente a possibilidade de resultados desastrosos, exatamente o que não se tolera na Lei SOX. Como resultado, o objetivo de gerenciamento de risco dos controles SoD é evitar que ações unilaterais ocorram em processos-chave nos quais os efeitos irreversíveis estejam além da tolerância de uma organização a erros ou fraudes.
Independentemente da metodologia, ou do framework que sustenta o processo de gerenciamento de risco de uma empresa, a SoD é assunto relevante, pois a gestão de perfil de acesso é uma preocupação recorrente entre membros de comitês de auditoria, especialmente em períodos de ameaças cibernéticas cada vez mais frequentes.
Para nós, auditores independentes para certificação SOX, é evidente perceber que quanto maior a preocupação com a SoD e seus desdobramentos, de uma maneira preventiva, maior é o nível de maturidade de governança da empresa em todo o seu processo de gerenciamento de riscos.
*Erick Matheus Santos e Gustavo Ferreira são gerentes na área de Internal Audit & Financial Advisory da Protiviti, empresa especializada em soluções para gestão de riscos, compliance, ESG, auditoria interna, investigação, proteção e privacidade de dados.
Na Pesquisa de Conformidade com a Sarbanes-Oxley (SOX) da Protiviti, cerca de 700 entrevistados de organizações de capital aberto foram ouvidos durante o ano de 2019.
Nesse estudo anual, a Protiviti identifica tendências e padrões na aplicação da SOX. Neste artigo, falaremos sobre tendência de diminuição de custos, evolução do tempo médio para implementação e demais percepções dos gestores sobre o método.
Tendência decrescente de custo de conformidade em SOX
A partir de resultados obtidos pela pesquisa Sarbanes-Oxley da Protiviti 2019 foi possível identificar uma diminuição dos custos em relação ao ano anterior.
Considerando que vivemos um momento de mudanças nas regras contábeis (Leasing e Receitas) e os grandes esforços de transformação digital nas áreas de auditoria e controle das organizações, faria sentido pensar em aumento de custos, mas não é o que foi constatado nas pesquisas.
Tendência de aumento em horas para o cumprimento da lei
Outro resultado que chama bastante atenção é o tempo médio empregado pelas organizações para os controles de SOX. A maioria das empresas dedicou mais horas a essa atividade do que no ano anterior (as horas aumentaram 10% ou mais).
Mudanças externas nos padrões contábeis e de auditoria, bem como alterações na forma como essas regras estão sendo aplicadas pelas autoridades reguladoras, são alguns dos fatores que contribuem para o aumento das horas de conformidade.
Mudanças internas, geralmente relacionadas à transformação digital e à adoção de tecnologias emergentes, também exigem que as equipes de auditoria passem mais tempo examinando possíveis novos problemas de controle e os riscos relacionados.
Além disso, o PCAOB (Conselho de Supervisão Contábil de Empresa Pública) continuou seu controle meticuloso de auditorias realizadas por empresas de auditoria externa. E isso geralmente se traduz em auditores externos empregando mais tempo em seus testes e análises relacionados à SOX, bem como na qualidade e consistência geral de suas auditorias.
Instrumentos de controle
Em se tratando da SOX, podemos dizer que existe um conjunto mais ou menos estável de instrumentos de controle. No entanto, a necessidade de identificar com maior precisão falhas de controle em diferentes áreas das companhias, vem levando a implementação de novas estratégias ligadas às mudanças que estão acontecendo nas organizações.
Além disso, novos pronunciamentos contábeis, orientações do PCAOB sobre a precisão do controle, orientações da SEC acerca da necessidade de considerar ameaças cibernéticas ao implementar e testar controles internos provavelmente contribuíram para aumentar a quantidade e os tipos de controle.
Na pesquisa Sarbanes-Oxley da ICTS Protiviti 2019 esse aumento foi percebido. Em comparação com os dados do ano anterior, houve saltos significativos no uso de análise de dados pelas empresas, bem como por seus auditores externos.
A maioria das organizações utilizou ferramentas tecnológicas para testar os controles da seção 404 da SOX em 2018 e 2019, mais frequentemente para contas a pagar, controles gerais de TI e processos de conciliação contábil.
Também houve um crescimento substancial no uso de ferramentas tecnológicas para áreas como o fluxo de trabalho de aprovação automatizado e a avaliação do controle de acesso/segregação de funções.
Embora essas ferramentas possam não conter tecnologia de ponta, seu uso proporciona ganhos de eficiência que podem ser medidos, comunicados e usados como evidência da necessidade de investir em formas mais avançadas de automação.
Também, digno de nota, mais organizações estão começando a empregar tecnologias avançadas, como automação de processos robóticos (RPA) e aprendizado de máquina/deep learning nas suas iniciativas.
Embora os números ainda sejam relativamente baixos, eles aumentaram significativamente em relação ao ano anterior. Essa tendência acompanha a pesquisa da ICTS Protiviti sobre o uso crescente de RPA e da inteligência artificial.
Além disso, uma gama mais ampla de atividades de controle está sendo apoiada por tecnologia avançada em comparação com anos anteriores do nosso estudo. Por exemplo, mais de 60% dos auditores externos utilizam ferramentas tecnológicas para testar os controles da Seção 404 da SOX e quase metade utiliza a análise de dados como parte do processo.
Com este artigo, esperamos ter trazido um breve resumo sobre os resultados observados na pesquisa Sarbanes-Oxley da Protiviti 2019. Como você pôde acompanhar, houve mudanças significativas na forma como as organizações fazem conformidade a SOX, com diminuição de custos e aumento de médio das horas empregadas nesse trabalho. Além disso, também tivemos a ascensão de novos tipos de controle interno.
Você gostou deste conteúdo? Assine nossa newsletter e receba mais dicas como essa.
