É hora da evolução da SOX

Mais que apenas apresentar relatórios, empresas precisam ter visão dos riscos. E o CIO tem papel fundamental neste processo

CIO/ Marina Pita

24/09/2008

Está na hora das empresas evoluírem em relação aos controles internos e demonstração contábil, avalia Alfred John Bacon, consultor-sênior de finanças corporativas e controles internos da Petrobras. Especialista em controle contábil e prestação de contas de empresas de capital aberto, Bacon defende, no entanto, que está na hora das companhias irem além dos parâmetros estabelecidos pelo COSO (Committee of Sponsoring Organizations of the Treadway Commission) e evoluírem para o Enterprise Risk Management (ERM) - COSO II.
De acordo com Bacon, essa é uma forma eficiente de não apenas garantir que o relatório contábil da companhia seja um espelho de sua condição e administração, mas também uma forma de ganhar uma visão estratégica dos riscos da companhia. "É partindo do conhecimento acumulado com SOX que as empresas podem evoluir para uma visão mais abrangente do processo", sentencia o consultor-sênior da Petrobras, maior companhia brasileira de capital aberto.
Nesse sentido, ele explica, a Petrobras vem tomando uma série de medidas para fazer o mapeamento de riscos e controles nos processos de negócio, para ter uma visão gráfica de tudo. "Como os auditores querem compreender os processos de negócio de forma clara, adotamos uma ferramenta para ter essa visão", afirma Bacon.
As agências de classificação de risco, tais como a Fitch e a Moody, estão se preparando para incluir a análise de ERM em seus relatórios. A Standard & Poor's já começa a analisar o risco das companhias incluindo como critério a adoção de políticas de Enterprise Management Risk – ou a falta delas.
Em paralelo, as maiores fornecedoras de ERP – SAP e Oracle – apresentam ao mercado suas versões de plataforma para ERM. A própria Petrobras esta adotando a solução da multinacional alemã, de GRC (Governance, Risk e Compliance), já que usa o ERP da SAP.
"Observamos que empresas que adotaram ERM apresentam melhorias nos processos. Na Petrobras, por exemplo, realinhamos as áreas de finanças e contábil. Mudamos para uma estrutura centralizada e corporativa que garante que todos usem os mesmos processos", explica Bacon. Segundo o consultor, esse tipo de medida reduz ainda o prêmio do seguro da companhia.
Entre os vários passos em direção ao ERM, Bacon evidencia a gestão de mudanças e controles de acessos (CCM). Segundo ele, não é a toa que os auditores mantêm boa parte da atenção aí. A segregação de funções, controles configuráveis e transações de dados mestres merecem atenção especial dos CIOs.
Obviamente, diz ele, a Petrobras esta adaptando sua solução de GRC, já que existe diferença entre as regras vendidas pela SAP e aquelas usadas pela companhia de petróleo. "É preciso fazer alguns ajustes", avalia Bacon, "mas o relatório de exceções gerados pelo sistema otimiza muito o trabalho do gestor".
Segundo ele, há cinco coisas imprescindíveis que os CIOs devem saber sobre GRC se quiserem acompanhar o negócio na globalização, o que implica em maior necessidade de padronização e controles. São elas:
1- Muitos controles manuais ainda podem ser automatizados.2- Os controles automáticos só são validos quando os controles gerais da TI forem confiáveis (especialmente no que diz respeito ao controle de acesso e gestão de mudança)3- Os controles internos devem ser monitorados automaticamente.4- É cada vez mais importante para o negócio ter uma resposta sobre os riscos da companhia antes dos auditores.5- GRC permite a geração de um dashboard executivo de riscos, com dados gerais do negócio, gerados em tempo real.