SOX 404: A conformidade custa?

Sue Patterson, Directora Financeira da Sun, é responsável pela certificação e conformidade internas da empresa com a Secção 404 da lei Sarbanes-Oxley. Na Parte II desta série de duas partes, Sue Patterson partilha a sua experiência na conformidade com a legislação e oferece informações aprofundadas sobre como tirar o máximo proveito dos seus esforços de conformidade.

Leia as respostas a estas perguntas: Quais são os efeitos da legislação Sarbanes-Oxley (SOX) numa empresa e respectiva equipa executiva? A SOX obriga as empresas a contratarem pessoal financeiro interno adicional? Pode dar-nos uma breve explicação daquilo que tem de fazer para agir em conformidade com a SOX? Acredita que a SOX reduz os comportamentos fraudulentos? Não é um pouco "Big Brother"? Se tal funcionar, acha que valerá a pena em termos de confiança do investidor? Que conselhos tem para empresas de dimensões diferentes, com base nas experiências que teve no trabalho de conformidade para a Sun? Quais foram os desafios e vantagens desse esforço na Sun? A que se refere Scott McNealy quando coloca as seguintes questões relativamente à SOX 404?: "Sabe quem tem acesso a que sistemas? Tem a certeza? Estaria a SEC de acordo?" A SOX afecta a privacidade de uma empresa? Os executivos empresariais são afectados a outros níveis pessoais ou financeiros? Qual é o custo deste programa para as empresas? Diria que esta legislação terá um impacto mundial na medida em que tornará os negócios com empresas americanas mais seguros?

P: Quais são os efeitos da legislação Sarbanes-Oxley (SOX) numa empresa e respectiva equipa executiva? A SOX obriga as empresas a contratarem pessoal financeiro interno adicional?

R: Do ponto de vista táctico, a procura de recursos tem sido incrível. Algumas empresas poderão ser capazes de contratar pessoal a partir dos recursos internos e outras terão de crescer com consultores externos. A Sun tentou potenciar o máximo possível os recursos internos, mas também teve de contratar alguns recursos externos.

As pequenas empresas sentirão maiores dificuldades sem a utilização de recursos externos. Gerou-se um enorme alarido junto das pequenas empresas em torno da legislação, em particular a secção 404, visto que as médias e grandes empresas são capazes de conseguir a conformidade mas, para as pequenas empresas, trata-se de uma tarefa extremamente difícil.

Os executivos necessitam de apoiar o esforço da conformidade e estabelecer um tom apropriado sobre a mesma. O tom no topo de uma organização exerce um verdadeiro impacto sobre o resto do ambiente de controlo e, por fim, os relatórios financeiros.

A gestão executiva da Sun estabeleceu um tom muito forte no topo acerca da conduta ética, fazendo o que tinha de ser feito e relatando aquilo que não é correcto. Por fim, tudo isso passa para os relatórios financeiros. Os gestores das outras empresas deverão aproveitar esta oportunidade para reiterar o seu empenho nos padrões éticos elevados e bom governo empresarial.

P: Pode dar-nos uma breve explicação daquilo que tem de fazer para agir em conformidade com a SOX?

R: Em primeiro lugar, necessita de documentar todos os seus processos financeiros. Na Sun, por exemplo, um processo financeiro pode ser o processo de folha de salários, "procure-to-pay", compensação de incentivo, esse tipo de coisas. Necessita de documentar todo o processo e identificar os controlos-chave. Um exemplo de um controlo-chave em "procure-to-pay" pode ser a obtenção da aprovação da sua ordem de encomenda pelo número de pessoas requerido antes de a submeter ao vendedor.

Em segundo lugar, tem de avaliar o design, colocando-se no plano de fundo e observando o processo e controlos e vendo se está coberto. Em seguida, a parte verdadeiramente morosa é o teste do processo. Por exemplo, terá de testar se possui o número correcto de assinaturas na sua ordem de encomenda. Para fazê-lo, terá de obter uma amostra de um número X de ordens de encomenda e assegurar que cada uma possua o número correcto de assinaturas - basicamente, testar as transacções.

E se não passar o teste, terá de reparar o controlo e retestá-lo. E não se esqueça que os seus auditores independentes virão igualmente fazer os seus próprios testes.

1. Documentar
2. Avaliar o design
3. Testar
4. Remediar
5. Re-testar
6. Obter a aprovação dos auditores independentes

P: Acredita que a SOX reduz comportamentos fraudulentos?

R: O tempo o dirá. Existem pontos de vista opostos. Algumas pessoas afirmam que, se vai enganar, há-de enganar. E se vai enganar numa ordem de venda ou se vai fazer declarações falsas, provavelmente irá igualmente enganar na sua certificação 404.

Contudo, esta legislação torna isso realmente difícil com os auditores independentes como outro poder de equilíbrio. Se uma má equipa executiva assinar a certificação 404 sem fazer o trabalho, como poderá passar a fase dos auditores? Esta é a parte que dá credibilidade a todo o processo.

Foi criado um órgão dirigente chamado Public Company Accounting Oversight Board (PCAOB) como parte da legislação Sarbanes-Oxley. O seu trabalho é regular os auditores. Acreditava-se, especialmente no escândalo Enron, que parte da culpa residia nos auditores. Aparentemente, os gestores não estavam a fazer a coisa certa, mas na Enron os auditores também não estavam a fazer a coisa certa.

Por isso, a legislação criou o PCAOB, que regula os auditores. O PCAOB faz inspecções, analisa documentos de trabalho, multa ou expulsa os auditores da actividade, se for preciso, por auditorias mal efectuadas. O clima mudou muito.

P: Não é um pouco “Big Brother”?

R: É um pouco "Big Brother" e é muito, muito dispendioso - tanto para as empresas como para os reguladores. Contudo, os reguladores estão a obter a aprovação dos seus orçamentos com muito pouca luta por parte do Congresso Americano. Estão a contratar pessoas de toda a parte para o PCAOB, uma vez que possuem um grande programa de inspecção que irá auditar as empresas de auditoria.

P: Se tal funcionar, acha que valerá a pena em termos de confiança do investidor?

R: Teoricamente, sim. Embora ache que a confiança é uma daquelas coisas intangíveis que são difíceis de calcular em termos daquilo que irá ligar o botão.

P: Que conselhos tem para as empresas de dimensões diferentes, com base nas experiências que teve no trabalho de conformidade para a Sun?

R: Descreverei a resposta em três passos:

1. A primeira chave para o sucesso é ter os recursos apropriados para o esforço. É demasiado grande para ser feito de noite e nos fins-de-semana e o risco de inconformidade é demasiado grande. Poderá ter mais problemas por inconformidade do que por não ter o trabalho feito. Poderá igualmente ser considerado como não tendo agido em conformidade por ter uma coisa que se chama fraqueza material. Se tiver uma fraqueza material nos seus controlos internos sobre os relatórios financeiros, possui uma deficiência tão grande que poderá resultar numa exposição inexacta material nas declarações financeiras, o que é muito grave. Em seguida, os auditores independentes terão de emitir uma coisa que se chama parecer desfavorável, que diz que essa empresa XYZ possui um sistema de controlo interno ineficaz sobre os relatórios financeiros. Pode imaginar o que poderá acontecer com o preço das acções e com a reputação da empresa caso tal se verifique.
   
   
2. A segunda chave para o sucesso é obter o patrocínio executivo, tanto a nível verbal como a nível prático, de modo a apoiar o esforço.
   
   
3. Em terceiro lugar, caso não tenha começado, comece o mais depressa possível e continue. Comunique regularmente com os seus auditores, comité de auditoria e equipa executiva, de modo a mantê-los a par da situação.

P: Quais foram os desafios e vantagens desse esforço na Sun?

R: Um dos desafios que tivemos na Sun foi a natureza descentralizada da forma como fazemos as coisas. Uma vez que estamos representados em muitos países diferentes e possuímos várias unidades de negócio diferentes, existem formas diferentes de implementar certos processos. Por isso, chamamo-los processos globais, embora efectivamente não o sejam.

Por outro lado, o que tentámos fazer como uma empresa é utilizar o processo de certificação 404 como alavanca para conduzir a globalização, melhoramento de processo e eficácias, algo que acho que seria igualmente benéfico para outras empresas. A nossa atitude era: se vamos gastar todos estes recursos e dinheiro para a conformidade, porque não procurar também formas de melhorar os nossos processos? Existiam controlos que sabíamos que necessitavam de reparação e que agora encontram-se reparados.

A vantagem é que melhorámos o nosso sistema de controlo interno e potenciámos o esforço e os gastos. Mas por outro lado, se tudo que for capaz de fazer é obter a conformidade, então conseguiu atingir o objectivo.

P: A que se refere Scott McNealy quando coloca as seguintes questões relativamente à SOX 404?: “Sabe quem tem acesso a que sistemas? Tem a certeza? Estaria a SEC de acordo?”

R: Scott McNealy refere-se ao facto da conformidade SOX requerer mais do que a documentação e os processos de actualização, de modo a assegurar a integridade dos dados financeiros. A utilização de salvaguardas técnicas como, por exemplo, uma solução de gestão de identidade eficiente, é muito importante, uma vez que lida com requisitos de conformidade associados ao controlo interno de direitos de acesso e direitos sobre os dados e aplicações que alimentam os processos de relatórios financeiros.

Falando de um modo mais simples, se não sabe quem tem acesso aos seus sistemas financeiros, como pode garantir a integridade dos seus relatórios? A Sun dispõe de um whitepaper muito informativo com pormenores sobre o tema.

P: A SOX afecta a privacidade de uma empresa?

R: A legislação aumenta o poder que o Governo tem de aceder aos seus livros e é muito mais punitiva no sentido em que o seu CEO ou CFO pode ir para a cadeia por declarações falsas, o que não é necessariamente uma coisa má depois daquilo que vimos com a Enron e outras empresas. Por isso, acho que o Governo está a mostrar a sua força e o seu poder e a transmitir uma mensagem aos executivos empresariais que diz que está a levar isso a sério e que está a observá-los.

P: Os executivos empresariais são afectados a outros níveis pessoais ou financeiros?

R: O Governo pode igualmente tentar obter as finanças individuais, pelo menos, os lucros que fizeram em resultado de práticas duvidosas, de modo a assegurar que os executivos não possam pretextar ignorância relativamente ao que se passa nas suas empresas. São agora considerados pessoalmente responsáveis por tudo o que acontece nas respectivas empresas.

P: Qual é o custo deste programa para as empresas?

R: Ouvi dizer algures que a conformidade SOX custa cerca de 1 milhão de dólares por cada mil milhões de dólares em rendimentos. Em Julho de 2004, a META Group afirmou que cerca de 64% de todas as empresas públicas dispunha de um orçamento dedicado a conformidade regulamentar financeira, sendo o orçamento médio projectado de $7,2 milhões em 2005. Ouvi também dados estatísticos que demonstram que os custos de auditoria para empresas aumentarão 50%. Por isso, os custos são significativos. Assim que as empresas de final de ano de calendário começam a publicar os seus relatórios com a SEC nos finais de Março, começaremos a ver qual é o verdadeiro impacto.

P: Diria que esta legislação terá um impacto mundial na medida em que tornará os negócios com empresas americanas mais seguros?

R: Penso que tal fazia parte do objectivo. A confiança dos investidores mundiais junto do mercado de capitais americano encontrava-se a piorar devido aos escândalos empresariais. Ouvi dizer que outros países encontram-se a implementar programas semelhantes à Sarbanes-Oxley - a Europa e o Canadá, por exemplo. Por isso, toda esta pressão de melhorar o governo empresarial e a transparência financeira está a ganhar popularidade. Uma vez mais, o tempo dirá se a confiança nos mercados americanos aumenta como resultado desta legislação.