WirelessBR

Vem de longe a tradição norte-americana em ressaltar a figura do acionista minoritário do mercado de capitais. Esta tradição foi fortemente abalada com os problemas contábeis e financeiros recentes verificados em empresas como Enron, Worldcom, Tyco e Arthur Andersen, consideradas modelos de administração e da força do capitalismo. 

O escopo da legislação federal "The U.S. Public Company Accounting Reform and Investor Protection Act of 2002", mais conhecida como Sarbanes-Oxley Act of 2002, se insere no âmbito da governança corporativa. Rígidos parâmetros legais foram impostos às companhias de capital aberto e suas subsidiárias cujas ações são negociadas em Bolsas ( NYSE e Nasdaq ), o que inclui algumas corporações estrangeiras que negociam ADRs (1) naquele país, alçados à força de lei. 
A partir da promulgação da Sarbanes-Oxley, o que era recomendável passa a ser obrigação legal: a boa governança e a ética nos negócios de companhias com presença no mercado mobiliário.

Em suas 1107 Seções, a Sarbanes-Oxley imputa responsabilidades jamais vistas perante os diretores de corporações, que vão desde o pagamento de multas ( que podem chegar a U$ 5 milhões ) ao cumprimento de longas penas de reclusão, sanções estendidas aos auditores que atestarem balanços com números fraudulentos. 

Ao regular a atividade de contabilidade e auditoria das empresa de capital aberto, a Sarbanes-Oxley reflete diretamente seus dispositivos nos sistemas de tecnologia da informação. Impossível separar-se processos de negócios e tecnologia no panorama corporativo atual. 

A Seção 404 da lei é o principal foco de atenção das empresas neste particular, por trazer os mandamentos sobre os controles de processos internos e sistemas contábeis. Esta Seção determina uma avaliação anual dos controles e processos internos para a realização de relatórios financeiros, com a obrigação de emissão de relatório, a ser encaminhado à SEC (2) que ateste estes parâmetros. Este relatório deve conter: 

• Atestado de responsabilidade dos administradores da empresa e manutenção da estrutura dos controles internos e demais procedimentos;

• Avaliação e relatório de cumprimento de metas, ao final de cada ano fiscal, da eficácia dos procedimentos internos adotados para emissão de relatórios financeiros; 

• Declaração que o auditor independente da companhia atestou a avaliação dos procedimentos elaborada pela administração.

Os tais "processos" e "controles" internos se aplicam em sentido amplo, vale dizer, todo e qualquer procedimento administrativo que resulte em números passíveis de auditoria ( a lei descreve quais são os procedimentos não auditáveis ). 
Assim temos, por força da Sarbanes-Oxley, a obrigatoriedade da observância de práticas de segurança de redes e critérios rígidos para uso de aplicações terceirizadas por companhias que se encontram ao alcance da presente lei. Invasões em sistemas, ataques, vírus, roubo de dados, fraudes de senhas e demais ameaças à segurança das informações da companhia podem, se não houver prova suficiente de adoção de medidas preventivas coordenadas com os parâmetros da Seção 404, implicar em responsabilidade direta dos administradores, surgindo daí possibilidades concretas de sanções civis e penais. 

Verificamos dois pontos de preocupação imediata no que toca o uso da tecnologia da informação inserido no âmbito da Sarbanes-Oxley: 

Segurança de sistemas de informação - a adequação do conteúdo da Sarbanes-Oxley deve se dar entre toda a cadeia de comunicação da empresa, principalmente nos recursos concernentes a informações financeiras. Sistemas de ERP (3), aplicativos contábeis, sistemas de CRM (4), Supply Chain Management (5), em conjunto com as demais aplicações de comunicação, banco de dados e armazenamento de informações precisam estar em sintonia com as regras adotadas na legislação. Em contínuo, a atenção do administrador deve se estender à utilização de todo e qualquer recurso tecnológico da empresa por parte dos funcionários, e as Políticas de Segurança da Informação adotadas devem ser adaptadas ao teor da Sarbanes-Oxley. Especial atenção também deve ser conferida ao outsourcing (6). Nos Estados Unidos, a chamada cybersecurity liability (7) começa a ter evidência entre os executivos financeiros. 

Controle de registros - um repositório de registros de procedimentos adequado é fundamental para o sono tranqüilo dos diretores e presidentes do conselho de administração das corporações. Estes registros devem ser tanto tangíveis ( papel ) ou intangíveis ( arquivos e demais mídias ), e a redundância em sistemas de back-up é altamente recomendada. No bojo da lei encontram-se disposições que penalizam severamente a falsificação, destruição e perda de documentos e registros, bem como prevêem a observação de prazos para seu armazenamento após o fechamento de cada exercício fiscal. 

A adoção de diretrizes para a segurança da informação que alcancem toda e qualquer contratação de tecnologia é uma atitude salutar e extremamente recomendável no momento pós promulgação da lei em foco. 

Verificamos que a mera configuração de tentativa de fraudar relatórios financeiros é passível de multas altíssimas e penas restritivas de liberdade sob a ótica da Sarbanes-Oxley, e mais do que nunca, a atitude preventiva é uma das melhores práticas no sentido de obstar suas conseqüências. 

A revisão de processos, reestruturação de conselhos e adoção de políticas que disseminem o conceito de governança corporativa buscado pelo legislador no caso de companhias sob as asas da lei batizada de Sarbanes-Oxley são medidas obrigatórias e urgentes. Os fornecedores de soluções de tecnologia da informação ganham novas possibilidades para desenvolvimento de ferramentas que auxiliem os administradores neste particular, uma vez que todos os processos empresariais internos, hoje, dependem intrinsecamente de recursos tecnológicos. 

(1) American Depositary Receipts, recibos de depósito americano de ações de empresas estrangeiras, não negociáveis no país de origem.

(2) Security Exchange Comission, órgão regulador das empresas de capital aberto dos EUA;

(3) Enterprise Resource Planning, sistemas de gestão;

(4) Customer Relationship Management, sistemas de relacionamento com clientes;

(5) Sistemas de gerenciamento de cadeia de suprimentos;

(6) Terceirização.

(7) Responsabilidade sobre segurança da informação.

(*) Rodney de Castro Peixoto (rodney@csalaw.com.br) é advogado especialista em tecnologia da informação, consultor de empresas de Internet, autor do livro "O Comércio Eletrônico e os Contratos" Ed. Forense, 2001, e professor do IPGA - Instituto de Pós-Graduação Avançada .
Seus trabalhos na área das telecomunicações estão relacionados no website Direito Digital