Vivemos em um século cujo cenário de negócio é crescentemente instável e desafiador, exigindo das corporações preocupação em ter credibilidade frente ao público interno e externo.
Diante da preocupação com ameaças, onde determinada circunstância ou evento com o potencial de causar impacto negativo sobre a confidencialidade, integridade ou disponibilidade de informação ou sistemas de informação, os C’ Level, passaram a se preocupar com a garantia de integridade dos fatos, com compliance e análise de risco e essa garantia envolve o papel da auditoria de SI.
Os riscos crescem exponencialmente, sobretudo nos mercados. É preciso estar ciente das vulnerabilidades e das possíveis ameaças mencionando os riscos e sua probabilidade de ocorrer, transparência é elemento que proporciona segurança para o investidor.
Por um lado, a disseminação do uso de sistemas proporcionou eficiência, melhores controles, rapidez, redução de custo e maior rentabilidade para as companhias, por outro, trouxe dependência, pois os sistemas passaram a carregar e disponibilizar as informações, que se tornaram seu maior patrimônio.
Na mídia sucessivos escândalos financeiros proporcionaram destruição da imagem de algumas corporações temos como exemplo a Enron e Parmalat. Também não podemos esquecer que estar vulnerável e não ter uma estratégia de continuidade de negócios correta, alinhados com falta de padrões para gerenciar os riscos contribuem para grandes tragédias como a de 11 de setembro.
No geral uma organização não só precisa de um sistema de informação, mas também de um sistema de controle interno para assegurar a credibilidade da informação registrada para controle de potenciais erros.
Em vista das múltiplas ameaças, a falta de análise de riscos e compliance, podem prejudicar a saúde e a continuidade dos negócios. Para se minimizar tal risco, existem as auditorias.
Uma análise de riscos é importante para determinar os possíveis riscos que poderão ocorrer na operação. Uma ferramenta de revisão geral de segurança em sistemas já operacionais, revelando aspectos que às vezes passariam despercebidos.
Há necessidade de controles internos e de um conjunto de regras, políticas e procedimentos para eliminar ou minimizar os riscos. A maneira de se obter tal controle é em estar aderente com algum compliance, sendo que este não pode ser mais um obstáculo ao funcionamento da empresa, deve ser sinônimo de eficiência. Outro aspecto interessante do compliance está relacionado com as diversas ferramentas de seguranças que surgem para lhe atender.
Podemos citar como exemplo o PCI (Payment Card Industry - Data Security Standard ou Norma de Segurança de Dados para o Setor de Cartões de Pagamento). O PCI reduzirá o armazenamento e a transmissão de forma incorreta dos dados de cartões, diminuindo o índice de fraudes.
Após seu surgimento, diversos produtos de segurança de sistemas foram lançados, como o McAfee Easy PCI Plan, uma especifica e robusta solução de proteção integrada de conformidade, composta pelos produtos McAfee Total Protection, McAfee Foundstone, o McAfee IntruShield e McAfee Data Loss Prevention (DLP). Todos estes produtos estão relacionados diretamente às exigências desse padrão, de modo que possam ajudar as empresas a obter aprovação nas auditorias da norma PCI e atingir uma conformidade sustentável.
Uma auditoria de sistemas é uma revisão dos procedimentos internos, efetuada por profissionais qualificados, com a finalidade de assegurar a integridade dos registros e proporcionar credibilidade aos resultados obtidos. Ela também contribui apresentando recomendações de possíveis melhorias.
A auditoria não deve ser entendida como uma conotação negativa, pela qual se visaria a identificar erros. Percebemos que com auditoria é uma forma de conseguimos melhorias com os processos, mais recursos, investimentos e principalmente transparência para investidores.
De acordo com a ComputerWorld, o número de notificações de incidentes online, incluindo tentativas de fraude, cresceu 39% em 2008 em comparação com 2007, afirma o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br). Pesquisas como a do Ponemon Institute revelam que clientes perdem confiança em organizações que não garantem segurança de dados.
O C’ Level começa a rever seus conceitos, no sentido de privilegiar a transparência de seus resultados e a garantia de que seus processos internos atendam à legislação local. O Ato Sarbanes-Oxley, sancionado pelo Congresso americano em 2002, pelos senadores Paul Sarbanes e Michael Oxley, acabou servindo para alavancar essa revisão de conceitos e processos nas corporações e a disseminação de controles mais rígidos para garantir a ética nos negócios, afinal, os acionistas e investidores, não se preocupam mais somente com a lucratividade de seu investimento, mas também com a segurança e a reputação daqueles que administram o seu capital
No mercado nacional, a VCP - Votorantim Celulose e Papel – passou a ter um conselho fiscal permanente que assumiu também as atribuições de um Comitê de Auditoria, mapeou os controles internos e os processos de divulgação de informações ao mercado, além de constituir um Comitê de Divulgação, para assegurar que todos os controles fossem executados adequadamente. Adicionalmente, o sistema de gestão integrada SAP passou a segregar as funções de solicitações e aprovações. As medidas integram um conjunto de adaptações à Lei Sarbanes-Oxley, aprovada nos Estados Unidos, em 2002, com o objetivo de assegurar a confiabilidade nas demonstrações contábeis e financeiras das companhias que negociam papéis em bolsas de valores norte-americanas.
Com busca nas melhores práticas de governança corporativa, a VCP obteve a adesão ao Nível 1 de Governança Corporativa Diferenciada da Bolsa de Valores de São Paulo (Bovespa) e consolidada em 2005 com o ingresso no Índice de Sustentabilidade Empresarial (ISE) da Bovespa.
O objetivo é evitar que investidores, acionistas e parceiros de negócios testemunhem firmas, aparentemente sólidas se desmanchando no ar pela ausência de uma gestão ética, profissional e pró-ativa.
No geral percebemos que melhorar o controle de processos é a garantia que não existirão falhas de sistemas ou mesmo possibilidade de fraudes, contribuindo para estabilidade e crescimento do negócio.
A certeza que os controles estão sendo seguidos e que os números são reais, ajuda no planejamento correto, investimento, melhores resultados e na busca de investidores.
