Pós-Graduação 2009

Sarbanes Oxley - SOX

Jairo Willian Pereira

Sec+, Net+, MCSO, ITIL, LPIC, MCSA & MCSE Certified

jairo.pereira@gmail.com

CON – A2 18

Índice SOX

1. Antes da SOX

2. Caso Enron

3. Caso Arthur Andersen

4. Caso Wordcom

5. Outros casos

6. Overview SOX

7. Timeline x Pioneiros

8. Principais seções SOX

9. (in)segurança e SOX

10. Compliance, controles e riscos!

11. Exercícios

12. Links

13. Discussões

CON – A2 19

Antes SOX

• Época de imprevistos;

• Facilidade de fraudes;

• Diversas “falhas” em controles internos;

• Manipulação de números;

• Demonstrativos financeiros “imprecisos”;

• Quebra de empresas e insegurança;

Descontrole.

CON – A2 20

Antes SOX

ENRON

• 11/2001 – Adulteração de resultados;

• SPE – Proteção de investimentos (PUT);

• HRA – Transferência de ativos SPE;

• Triangulações – Disfarces de empréstimos;*

• Ethical Code – Exceções constantes;

CON – A2 21

Antes SOX

ENRON

- US$90,00 - US$ 0,70

- 5ª. Maior USA - Falência em 1 mês

- 200 mil ADRs:1 - Suicídio Cliff Baxter

- Era pré/pós Enron - Bolsa 1929/2008 (SP)

- Recomendações - ADV x ANA X AUD :(

- Bancos “confiáveis” - Redução de serviços

CON – A2 22

Antes SOX

ENRON

CON – A2 23

Antes SOX

ARTHUR ANDERSEN

• Aceita práticas criativas de Enron;

• Não ofereceu “auditoria independente”;

• Recebia muito, trabalhava pouco;

• Destruição de documentos comprometedores;

• Profissão Contábil e de Auditoria sub-judice;

• Não apresentação de “fatos relevantes”;

CON – A2 24

Antes SOX

ARTHUR ANDERSEN

- 89 anos - Fechou em meses

- Big Five - 85.000 / 2300

- Preços altos - Desprestígio total

- 2ª no Brasil (16,64%) - Migração Deloitte

- Empresa-Modelo - Risco de imagem

- US$ 5 bilhões/ano - Concorrência :)

CON – A2 25

Antes SOX

ARTHUR

CON – A2 26

Antes SOX

WORLDCOM

• 1999-2002 demonstrativos contábeis forjados;

• Maior caso de fraude contábil dos USA; (AA)

• Desvio de foco para preservar “bons negócios”;

• Ajustes fiscais a cada trimestre (Qx/FY);

• US$17bi lançamentos notas – investiment grade;

• Aquisições (eliminação concorrência e disfarce);

CON – A2 27

Antes SOX

WORLDCOM

- Atrás apenas AT&T; - Ressurgindo...

- Grandes acionistas; - Prisão e confisco;

- 2ª cia de DDD USA - Nova MCI e W.I.P...

- Referência de gestão; - Andersen novamente!

- Grandes aquisições; - Uso concordata e leis;

- Premiado B. Ebbers - Perpétua – bens.

CON – A2 28

Antes SOX

WORLDCOM

CON – A2 29

Antes SOX

OUTROS

- Xerox firma contrato de 5 anos e contabiliza 1º;

- 2000-2001 Bristol - descontos abusivos x notas;

- Parmalat mascarava real situação financeira;

- Merk infla receitas e ajusta despesas (induzir);

- Imclone Systems - negado medicamento cancêr;

- ...

CON – A2 30

Overview SOX

• SOX, Sarbox, SOA, “lei responsabilidade fiscal”

• Paul Sarbanes & Michael Oxley;

• Editada com objetivo de restaurar confiança;

• Promulgada em julho/2002; * **

• Possui 11 títulos, 1107 seções!

• Conformidade e avaliações continuas;

• Foco responsabilidade penal “alta direção” Multas, prisões e sanções extendidas;

• ADR, Empresas de Capital Aberto (US);

• Seções 302 e 404 mais referenciadas;

CON – A2 31

Timeline x Pioneiros

• Vale

• Petrobras

• Votorantim

• Sadia

• Embraer

• ImBev

• CEMIG

• Gerdau

• Sabesp

• Perdigão

• Telemar

• Bancos...

CON – A2 32

Principais seções SOX

• Seção 302

Responsabilidade corporativa pelos demonstrativos

financeiros publicados - alta direção.

• Seção 409

Requer informações atualizadas e rápidas de condições

ou operações financeiras, para informar investidores e

quaisquer interessados.

• Seção 806

Penalidades civis e criminais pela adulteração de documentos.

CON – A2 33

Principais seções SOX

• Seção 404

Provê mecanismo de avaliação da eficácia, estrutura e

procedimentos dos Controles Internos que possam gerar

“output” para relatórios financeiros. Preza que um relatório de

"Auditores Externos" ateste a acuracidade da informação.

• Seção 406

“Código de Ética” para gestores financeiros;

• Seção 1107

Tratamento sobre retaliações contra informantes.

CON – A2 34

Seção 302

Responsabilidade corporativa pelos demonstrativos

financeiros publicados sobre sua responsabilidade.

Conferência de “reports” entregues a SEC;

Redistribuição de lucro/prejuízo por diferenças;

Peridiocidade na distribuição de informações/balanços;

Relacionamentos direto ou indiretos empresa-diretores;

Limitação de benefícios/flexibilidades alto-escalão;

Ilegalidades Sanções extendidas;

CON – A2 35

Seção 404

Mecanismos de avaliação e acompanhamento dos “controles

internos”, que forneçam acuracidade das informações envolvidas.

Criação de comissão sob supervisão da SEC;

SEC - poderes de auditoria e punição;

Accounting Oversight Board (PCAOB) padrão conduta;

Limitação atuação de auditores “independentes”;

Relacionamento cruzado (ex-funcionários, nepotismo...);

Não rastreabilidade de eventos.

CON – A2 36

Hierarquia

IOSCO

CON – A2 37

COSO x 302 & 404

Acuracidade das informações Controles internos

Demonstrativos financeiros Responsabilidade corporativa

1stD

3rdD

2ndD

Source: Committee of Sponsoring

Organizations of the Treadway Commission.

CON – A2 38

(in)segurança e SOX

J Transparência, credibilidade e controle;

J Melhor imagem para mercado;

J Valorização das ações;

J Regras, menores problemas jurídicos.

J Aderência agências Reguladoras e Auditorias;

J Padrões, gestão documental (EDM), CVS + ERPs.

x Maiores riscos de fraudes;

x Publicidade negativa no mercado;

x Penalidades impostas pela SEC;

x Redução do valor das ações;

x Política de arquivamento de e-mails.

x Ações judiciais impetradas por acionistas;

X

CON – A2 39

(in)segurança e SOX

1. Qual o nível de CONHECIMENTO sobre a Lei SOX e seus impactos

que V.Sa. atribui aos responsáveis pelo projeto na sua empresa?

a) Total

conhecimento

b) Bom

conhecimento

c) Regular

d) Insuficiente

e) Praticamente nulo

Fonte: 9ª Mesa de Debates do Audit Committee Institute – ACI, KPMG (03/2007).

CON – A2 40

Overview SOX

Objetivo: Elevação dos níveis de “Governança Corporativa”

CON – A2 41

Compliance, controles & riscos!

Processo de compras: quais os riscos envolvidos?

Controle [ m & M ]

CON – A2 42

Compliance, controles & riscos!

Processo de compras: quais os riscos envolvidos?

• Deficiência na avaliação da situação financeiras dos fornecedores;

• Sistema vulnerável ou sem integração desejável;

• Capacidade de entrega deficiente por parte dos fornecedores;

• Contratos inadequados, fraude ou corrupção;

• Pagamentos ou adiantamentos indevidos;

• Dependência de apenas um fornecedor;

• Custos voláteis dos suprimentos (commodities);

P.A.I!

CON – A2 43

Exercício – Risk ID

1. Identifique os controles associados aos riscos identificados no

processo e eventuais deficiências dos controles reportados.

2. Observe que poderá existir a

possibilidade de um mesmo

controle estar associado a

mais de um risco. Os grupos

deverão apresentar os

principais controles e/ou deficiências identificadas para discussão.

Descrição do Risco Controle / Deficiência

Atrasos no fornecimento de materiais e material não atende padrões qualidade

Aquisição materiais em desacordo com solicitação (quantidade, padrões, …).

Compras em condições comerciais desfavoráveis

Atraso no pagamento dos fornecedores ou liberação de recursos errada (NF)

Pagamentos por materiais não recebidos.

Falhas no recolhimento de impostos relacionados a mercadoria

Atividades Tempo

Leitura/explicação do material 3-5min

Identificação dos controles e deficiências 10min

Discussão dos resultados 10min

CON – A2 44

Exercício – Processo ID Mgm

Escrever a documentação;

Mapear processo (dependências “controle interno”);

Necessidade de “Projetos”?;

Pontos fortes, fracos e redundâncias;

Identificar “inputs” & “outputs” (foco Auditoria!);

Ações e ajustes necessários;

“Controle Perfil”

CON – A2 45

Overview SOX

Objetivo: Elevação dos níveis de “Governança Corporativa”

CON – A2 46

Cartoon

CON – A2 47

Homework

Resenha sobre 302 e 404 – Sarbanes Oxley

? [!]

CON – A2 48

Links

http://www.niap-ccevs.org/cc-scheme/dd_docs/

http://www.defenselink.mil

http://www.securitycartoon.com

http://www.ietf.org/rfc.htm

http://www.claybennett.com

http://www.iso.org

http://www.iosco.org

http://www.wikipedia.org

http://www.sans.org

CON – A2 49

Dúvidas ?

CON – A1 50

Fim