Sarbanes-Oxley

Este tópico tem por objetivo apresentar a Lei Sarbanes-Oxley e seus principais objetivos.

A Lei Sarbanes-Oxley, uma lei dos Estados Unidos, é aplicável no Brasil somente às empresas que possuam títulos ou valores mobiliários negociados nos mercados de capitais norte-americanos. No Brasil a Lei Sarbanes-Oxley tem influenciado as práticas de “Governança Corporativa” e recentemente influenciou a CVM - Comissão de Valores Mobiliários, a qual, através de Instrução CVM nº. 480/09 passou a exigir, de forma similar ao requerido pela Lei Sarbanes-Oxley, uma certificação pela administração, sobre a efetividade dos controles relacionados ao processo de reporte financeiro. A função de SOX Compliance é objeto deste estudo de caso único que tem por foco uma instituição financeira de grande porte que cujas conclusões poderão ser úteis na estruturação destas funções de controle em outras grandes instituições financeiras de grande porte no Brasil, as quais em sua maioria, embora empresas brasileiras, estão sujeitas aos requisitos da Lei Sarbanes-Oxley uma vez que acessam os mercados de capitais norte-americanos.

Escândalos de manipulação de informações contábeis emergiram em grande quantidade no final da década de 90 e início do novo milênio nos Estados Unidos. Segundo pesquisa realizada pela KPMG, entre Janeiro de 1997 a Junho de 2002 aproximadamente um décimo das empresas abertas nos Estados Unidos republicaram as suas Demonstrações Financeiras pelo menos uma vez (em 1997: 92 republicações; 2001: 225 republicações; 2002:250 republicações). Escândalos envolveram companhias tradicionais norte-americanas e tiveram profundo impacto sobre a confiança dos investidores, a ponto de requerer uma ação drástica do Legislativo Norte-Americano.

A Lei Sarbanes-Oxley é conhecida como a norma mais importante para o mercado de capitais norte-americano desde os anos 30. Entretanto, existem controvérsias quanto ao sucesso desta lei, a qual tem sido questionada em relação ao efeito sobre a competitividade do mercado de capitais norte-americano e seu alto custo de manutenção.

A lei como afirmou Borgerth (2007) teve como objetivo restaurar o equilíbrio dos mercados por meio de mecanismos que assegurem a responsabilidade da alta

administração de uma empresa sobre a confiabilidade das informações financeiras por ela fornecida ao mercado.

Dentre os principais requisitos da Lei Sarbanes-Oxley, escolhidos em relação ao propósito deste estudo, tem-se:

Quadro 2 – Principais requisitos da Lei Sarbanes Oxley (para o propósito deste estudo)

Fonte: Elaborado pelo Autor.

Os requisitos da Lei Sarbanes-Oxley, conforme demonstrados acima, em geral dizem respeito à estruturação de políticas gerais de governança corporativa. Entretanto, apresenta requisitos específicos no que diz respeito aos controles internos sobre o processo de reporte financeiro (art. 404).

Com a nova lei, por exemplo, a partir dos requisitos do seu artigo 404, pelo qual os administradores devem certificar que revisaram e testaram os controles internos relacionados aos processos de reporte financeiro, não é mais possível a um administrador alegar desconhecer o “estado geral” dos controles internos sobre este processo.

A Lei Sarbanes-Oxley trouxe de volta à discussão pela administração sênior das organizações a necessidade de controles internos sobre o processo de reporte financeiro e regras específicas de governança corporativa.

Art Descrição

“Disclosure Certificate” (certificado de divulgação) a ser assinado pelo CFO-Chief Financial Officer (Diretor Financeiro) e pelo CEO-Chief Executive Officer (Executivo Principal). Este certificado cobre:

• a revisão das informações financeiras;

• sua acurácia;

• apresentação justa das informações financeiras;

• controles internos relacionados às informações divulgadas;

• controles internos contábeis.

404 Relatório Anual da Administração sobre Controles Internos. Uma avaliação da administração

sobre a efetividade dos controles internos sobre o processo de reporte financeiro.

906 Requer que o CFO e o CEO certifiquem as informações periódicas encaminhadas à SEC que_{incluam demonstrações financeiras.}

A Lei, diferentemente do que se pode imaginar, não impacta somente as companhias listadas nas bolsas de valores norte-americanas, havendo muitas empresas que decidiram adotar os preceitos da Lei Sarbanes-Oxley em consideração ao fato de que seus principais parceiros comerciais estão sujeitos a estas regras. Muitos reguladores locais expandiram seus requisitos para garantir alinhamento com estas práticas, como iniciativa para coibir a incidência de fraudes contábeis como as que se verificaram nos Estados Unidos. Lembrando, que escândalos contábeis também ocorreram em outros países, não somente nos Estados Unidos.

No Brasil pesquisa realizada por Camazano (2007), conforme já anteriormente mencionado, no tópico sobre “Riscos Operacionais”, demonstrou haver muitos pontos de convergência entre os requisitos para conformidade à Lei Sarbanes-Oxley e do novo acordo da Basiléia no que diz respeito à Gestão de Riscos Operacionais.

Borgerth (2007) em seu livro intitulado “SOX Entendendo a Lei Sarbanes- Oxley” conclui quanto à efetividade da Lei Sarbanes-Oxley para o aprimoramento da confiabilidade da informação que, embora ainda haja muito que fazer para que as empresas alcancem um nível de transparência que garanta a confiabilidade da informação, a Lei Sarbanes-Oxley constitui uma ferramenta poderosa dentro do que o ambiente legislativo é capaz de garantir. E, faz uma ressalva, de que por mais abrangente e ameaçadora que seja a Lei Sarbanes-Oxley, a mesma por si só não é o bastante para coibir a ocorrência de fraudes.

Abordagem para certificação dos controles internos sobre o processo de reporte financeiro:

Abordagem geralmente utilizada para a certificação dos controles internos sobre o processo de reporte financeiro, tal como apresentado na figura abaixo, envolve a identificação das rubricas contábeis que oferecem riscos de erros materiais ao processo de reporte financeiro, identificação dos processos e sub- processos que geram os saldos contábeis, análise dos riscos e do desenho e efetividade operacional dos controles, considerando “as assertivas financeiras”.

Figura 4 – Modelo de Análise de Riscos ao Processo de Reporte Financeiro - SOX

Fonte: KPMG (2007).

As assertivas financeiras são: Integridade (Completeness); Existência (Existence); Acurácia (Acuracy); Avaliação (Valuation); Propriedade (Ownership) e Apresentação (Presentation).

Integridade diz respeito ao fato de que toda a transação contábil realizada deve ser objeto de registro contábil.

Existência diz respeito ao fato de que toda transação registrada contabilmente deve corresponder a uma transação real, existente.

Acurácia diz respeito ao fato de que todo o registro deve ser feito de forma acurada, no que diz respeito ao valor, prazo, taxa, contraparte, na rubrica-contábil correta, etc.

Avaliação diz respeito a que a transação registrada deve estar avaliada de forma correta.

Propriedade diz respeito ao fato de que a transação registrada deve representar direitos e obrigações válidos para a entidade que está realizando o registro.

Apresentação diz respeito ao fato de que os registros contábeis devem ser apresentados nas demonstrações financeiras de forma correta, classificados contabilmente de forma correta.

O processo segundo o qual os controles internos sobre o processo de reporte financeiro são avaliados geralmente envolve:

• A definição de níveis de materialidade para erros/falhas com impacto acima dos quais são considerados “reportáveis”, “significantes” e “material”.

• Uma análise preliminar das demonstrações financeiras com vistas a identificar rubricas contábeis significativas, ou com probabilidade de ocorrência de erros/falhas significantes.

• Realização de uma análise preliminar de riscos (risco inerente, risco de controle e risco residual).

• Designação das contas e respectivos processos in-scope para fins de SOX;

• Mapeamento dos processos-chave que geram as informações contábeis.

• Identificação dos riscos ao processo de reporte financeiro, tomando por base as “assertivas financeiras” (integridade, existência, acurácia, valorização, propriedade e apresentação).

• Identificação dos controles internos-chave, analisando se o desenho do controle é efetivo para mitigação dos riscos.

• Testes dos controles-chave.

Além disto, testes específicos são realizados para IT Governance (Governança de Tecnologia da Informação) e IT General Controls (Controles Gerais de Tecnologia da Informação), bem como testes periódicos específicos “dentro dos sistemas” para controles internos críticos realizados por sistemas.

Os controles-chave são definidos conforme apresentado por Marks (2008) como, um controle que, se falhar, significa que existe no mínimo probabilidade razoável que um erro material nas demonstrações financeiras não seria prevenido ou detectado tempestivamente. Em outras palavras, um controle chave é um que é requerido para fornecer razoável segurança de que erros materiais seriam prevenidos ou detectados tempestivamente.

Embora tenha havido muitas críticas aos custos excessivos de conformidade com a Lei Sarbanes-Oxley, esta posição não é unânime, Rittenberg e Miller (2005, p.55), por exemplo, relacionaram um número de melhorias decorrentes da Lei Sarbanes-Oxley, entre as quais:

1. Um ambiente de controle mais engajado, com participação ativa do Conselho, Comitê de Auditoria e Administração;

2. Análises mais profundas dos controles de monitoramento, juntamente com o reconhecimento de que monitoramento é parte integrante dos processos de controle;

3. Mais estrutura para os processos de fechamento de final de ano e registro de entradas manuais, com aumento no reconhecimento da crescente complexidade destas áreas;

4. Implementação de atividades anti-fraude, com processos definidos em funcionamento incluindo responsabilidade por acompanhamento pela partes definidas e abordagens de resolução;

5. Melhor entendimento dos riscos associados com controles gerais de computação e a necessidade de melhorar tanto procedimentos de controle como de auditoria para ganhar certeza de que riscos associados com sistemas computadorizados estejam mitigados. 6. Documentação melhorada dos controles e processos de controles

que podem servir como base para treinamentos, diretrizes práticas para o dia-a-dia e avaliação gerencial.

7. Definição melhorada de controles, e o relacionamento entre controles e riscos por toda a organização;

8. Inclusão dos conceitos de controle na organização, com um entendimento mais amplo pelo pessoal operacional e administração de suas responsabilidades pelos controles;

9. Melhorias na adequação das trilhas de auditoria como base para suportar tanto as avaliações operacionais como de auditoria da adequação dos controles e reporte financeiro.

10. Re-implementação dos controles básicos – tais como segregação de funções, reconciliações periódicas de contas, e processos de autorização – que tinham sido enfraquecidos conforme as organizações diminuíram ou consolidaram operações. (tradução livre do autor)

Neste ponto, cabe esclarecer, o foco do artigo 404 da Lei Sarbanes-Oxley, no processo de “reporte financeiro”. Esta Lei requer dos gestores que mantenham estrutura para certificar que os controles sobre o processo de reporte financeiro operem de forma efetiva. A nosso ver, para grandes e bem controladas empresas, a Lei Sarbanes-Oxley deve ter tido um impacto muito inferior ao impacto que vem sendo reportado. Como veremos no estudo de caso apresentado a seguir, na

instituição objeto do estudo, os custos de implantação da Lei Sarbanes-Oxley não foram extraordinários e foram vistos como complemento às políticas existentes , que naquela organização são até mais restritivas do que as previstas pela Lei Sarbanes- Oxley. Os benefícios mencionados por Rittenberg e Miller (2005), embora não tenha sido objeto deste trabalho, puderam ser em parte confirmados, através de entrevistas, na instituição objeto deste estudo.