ALC | SOX em TI

Glossário — SOX em TI

Termos essenciais de auditoria SOX aplicada à TI — controles, frameworks e jargão de auditor externo.

SOX (Sarbanes-Oxley Act)

Lei americana de 2002 que exige controles internos sobre relatórios financeiros em empresas de capital aberto. Empresas brasileiras com ADR ou subsidiárias listadas nos EUA estão sujeitas.

ITGC (IT General Controls)

Controles gerais de TI que sustentam a confiabilidade dos sistemas que produzem relatórios financeiros. Cobrem 4 domínios: gestão de acessos, gestão de mudanças, operações de TI e segurança lógica.

SoD (Segregation of Duties)

Segregação de funções — princípio que impede que a mesma pessoa execute tarefas conflitantes, como criar fornecedor e aprovar pagamento. Quebra de SoD é achado material frequente em auditoria SOX.

Big Four

As quatro maiores firmas de auditoria global: Deloitte, EY, KPMG e PwC. Conduzem a auditoria externa SOX da maioria das empresas listadas.

PCAOB

Public Company Accounting Oversight Board — órgão americano que regula firmas de auditoria de empresas listadas. Define o padrão técnico que Big Four aplica em SOX.

COSO

Committee of Sponsoring Organizations — framework de referência para controles internos. A maioria dos programas SOX usa COSO 2013 como base conceitual.

COBIT

Control Objectives for Information and Related Technologies — framework de governança de TI publicado pela ISACA. Útil para mapear controles ITGC a objetivos de TI.

Materialidade

Limite financeiro abaixo do qual o auditor não exige controle rigoroso. Tipicamente entre 0,5% e 1% do faturamento. Define o escopo SOX da TI.

Controle preventivo

Controle que impede o erro antes que aconteça — ex.: aprovação obrigatória antes da mudança em produção. Auditor prefere preventivo a detectivo.

Controle detectivo

Controle que identifica o erro após o fato — ex.: reconciliação mensal. Aceitável em SOX quando controle preventivo não é viável.

Controle compensatório

Controle alternativo que mitiga risco quando o controle principal não pode ser implementado. Exige documentação formal e teste regular.

Ressalva (qualification)

Achado material no relatório de auditoria que limita a opinião do auditor. Ressalva SOX gera divulgação pública e impacta preço das ações.