SOX Apostila

SEMINARIO ICARO
O mundo corporativo depois da
Por Dra. Patrcia Peck
Regulamentaes e TI
2005 Copyright Dra. Patricia Peck
SEMINARIO ICARO
Cenrio Atual
A tica e os valores devem vir sempre
antes das normas, quer sejam regras
internas ou mesmo Leis. So, portanto, o
seu substrato mais valioso.
As novas Regulamentaes so, por sua
vez, normas para impor um regime tico
de atuao empresarial como o caso do
ato constitucional Sarbanes-Oxley.
SEMINARIO ICARO
Qual o Certo e o Errado

da Sociedade Digital ?
SEMINARIO ICARO
Cenrio Atual
A Convergncia digital traz impactos:
COMPORTAMENTAIS
NEGOCIAIS
TICOS
LEGAIS
SEMINARIO ICARO
Cenrio Atual
Experimente chegar ao trabalho e no receber
nenhuma informao:
Seu inbox est vazio.
A Internet est fora do ar.
Os jornais e revistas no chegaram.
O telefone no toca.
Ningum fala com voc.
Qual a sensao?
Somos dependentes da informao (ento, como
restringir uso de email, uso de messenger, uso de
handheld, o que fazer com o uso do iPod de 60gb dentro
da empresa?)
SEMINARIO ICARO
Cenrio Atual
Quem aqui ja enviou email

para a pessoa errada?
Pode ser caso de vazamento de informao
confidencial, com afronta a BASILEIA II, SARBOX,
CLT, LEI 8112/90, CP, NCC (clausula contratual) ?
Pode ser caso de divulgao inadequada de fato
relevante, com afronta a Instruo CVM 358?
Pode ser caso de divrcio?!!
SEMINARIO ICARO
Como aplicar Governana neste cenrio?

Ambiente Estruturado
Banco de Dados
A maior parte das empresas

possui informaes contidas
em um ambiente no
estruturado. Tal ambiente
carente de proteo,
com processos deficientes ou
inexistentes, no havendo
garantia da confidencialidade,
disponibilidade e integridade
das informaes.
Ambiente NO Estruturado
Imagens (.jpg, .gif, resoluo, cor, ...)
Vdeos (.wma, .avi, tamanho, ...)
Documentos (.doc, .pdf, .ppt, ...)
Voz (formato, qualidade, ...)
Som (mp3, durao, tamanho, ...)
Webpages (.html, tipo, finalidade, ...)
Papis (A4, A3, tipo, importncia, ...)
Esta a ltima verso?

Onde est aquele contrato?
Existe uma cpia de segurana?
Em qual dos dois lados a informao de sua empresa est mais concentrada?
SEMINARIO ICARO
Como aplicar Governana neste cenrio?

O VELHO
Analgico
Fsico
tomos
Servios Fixos
Coletivos
Banda estreita
Equipamentos dedicados
Baixa velocidade de transmisso
Comunicao por fio
Monoplio
Propriedade Estatal
Protocolos Fechados
Unidirecionais
Comutao de circuitos
O NOVO Aonde ja estamos!

Digital
Virtual
Bits
Servios Mveis
Pessoais
Banda Larga
Equipamentos multifuncionais
Alta velocidade transmisso
Comunicao sem fio
Competio
Propriedade Privada
Protocolos Abertos
Interativos
Comutao de pacotes
* Paradigmas do mundo novo fonte HP

SEMINARIO ICARO
Sociedade Atual
A
Manifestao de Vontade no presencial!

As
testemunhas so as mquinas!
o arquivo original o digital, o impresso

cpia!
Nos meios eletrnicos tudo PROVA!

SEMINARIO ICARO
Objetivos e Desafios
Na viso empresarial, as novas regulamentaes
exigem TRANSPARNCIA.
TRANSPARNCIA representa GOVERNANA.
GOVERNANA EM TI representa CONTROLE.

CONTROLE exige SEGURANA DA INFORMAO
que necessita de EDUCAO e MONITORAMENTO.
EDUCAO significa CONSCIENTIZAO.
Isso tudo requer em termos tecnicos e legais quer dizer
PREVENO e GESTO DE RISCO.
SEMINARIO ICARO
Como TI contribui para

aplicar os princpios de
Governana e transparncia
exigidos por Sarbanes?
SEMINARIO ICARO
Por que Sarbanes-Oxley e Basileia II

exigem Segurana da Informao e
Monitoramento?
Por que no tratam apenas tecnologia e
processos, mas principalmente de
PESSOAS!
SEMINARIO ICARO
Nossas equipes, colaboradores, usurios

de modo geral ou so um SOLDADO DE
DEFESA, ou so uma UNIDADE DE
ATAQUE em potencial contra a prpria
empresa! Em que posio o seu time se
encontra?
O que estamos combatendo afinal?
SEMINARIO ICARO
Novo Modelo de Ameaas
Cavalo de Tria (Trojan Horse)
Cookies
Boatos (Hoaxes)
Virus
Worm
Email uso inadequado

Software espio (Spyware)
Browser uso inadequado
Download de arquivos
Programas uso inadequado
SEMINARIO ICARO
Abordagem Fraudulenta desconfie!!!

-----Mensagem original----De: adm_spc@scpc.com.br [mailto:adm_spc@scpc.com.br]
Enviada em: Monday, August 15, 2005 12:21 PM
Para: patriciapeck@uol.com.br
Assunto: Notificao: Cancelado ou Pendente de Regularizao
RSF5 - CONFIDENCIAL PARA: 197884b - EXTRATO DE DBITO
Prezado cliente,
Comunicamos que consta em nosso banco de dados vrias pendncias financeiras em
seu CPF / CNPJ, das quais no foram quitadas nas respectivas datas de vencimento.
Pedimos a vossa ateno a este comunicado, pois, medidas legais sero adotadas, tais
como a incluso em nosso Sistema de Proteo ao Crdito e Bloqueio no Cadastro
Nacional de Pessoa Fsica, bem como no Cadastro Nacional de Pessoa Jurdica.
Visualize o extrato de dbitos para maiores esclarecimentos.
Ausncia de
logomarca da
instituio
Clique abaixo para visualizar o extrato dos dbitos.
extrato dos
dbitos
Falta de meno a endereo por

extenso
"AS INFORMACOES ACIMA, DE USO EXCLUSIVO DO DESTINATARIO, SAO

PROTEGIDAS POR SIGILO CONTRATUAL. SUA UTILIZACAO POR OUTRA
PESSOA, OU PARA FINALIDADE DIVERSA DA CONTRATADA, CARACTERIZA
ILICITO CIVIL, TORNANDO A PROVA IMPRESTAVEL PARA O PROCESSO".
SCPC - Servio Central de Proteo ao Crdito
SEMINARIO ICARO
Abordagem Fraudulenta desconfie!!!

-----Mensagem original----De: flores@floresonline.com.br [mailto:flores@floresonline.com.br]
Enviada em: Friday, August 12, 2005 12:02 AM
Para: patriciapeck@uol.com.br
Assunto: Voce Recebeu Flores
Ausncia de
logomarca da
instituio
Oi, Amor da minha vida Remetente obscuro, que

provoca
curiosidade
no
Voc acaba de receber flores!Para
visualizar
a mensagem,
necessrio que
usurio
faa download do Visualizador Virtual.Clique
no link abaixo para que
seja aberta a janela de downloads e escolha na opo "Abrir" para que as
flores e a mensagem sejam exibidas:
http://www.floresonline.com.br/receber.asp?num=352754&email=amorsecreto@uol.com.br
Clique e saiba quem pensou em voc!
Envie voc tambm,entre em nosso site e no deixe de se cadastrar!

Esperamos que goste das flores.
Visite tambm nosso site http://www.floresonline.com.br para conhecer
nossos servios de entrega de arranjos para todo Brasil.
SEMINARIO ICARO
Problemas atuais do mundo corporativo:

- Falta de integridade dos relatrios pblicos divulgados
- Falta de transparncia na divulgao de informaes
- Possibilidade de fraudes contbeis
- Desconfiana dos investidores
- Penalidades inadequadas
Deficincia nos Controles

Uma deficincia nos controles indica uma falha no desenho, na
implementao e/ou na eficcia operacional de uma atividade de controle.
SEMINARIO ICARO
Novas Regulamentaes
Por tudo isso, a avaliao de risco das
empresas, inclusive para obteno de
crdito, passa a ser medida pela sua
capacidade de proteger seus ativos, o
que est diretamente relacionado ao
atendimento dos requisitos de Segurana
da Informao com implementao de
controles para garantir a transparncia e
o sigilo novas exigncias como
Sarbanes, Basileia II, CVM 358, outros.
SEMINARIO ICARO
O que estamos Prevenindo
Risco de perda resultante de processos internos

inadequados ou deficientes, pessoas, sistemas ou de
eventos externos.
Inclui o risco legal.
RISCOS OPERACIONAIS
ERROS DE FUNCIONRIOS
FALHAS DE COMPUTADOR
DOCUMENTOS IRREGULARES
FRAUDES DE TODA A SORTE
PASSIVO JUDICIAL
Precisamos de fato praticar Governana Corporativa!

SEMINARIO ICARO
Exigncias de Sox, Basileia II, CVM 358
Objetivo fornecer maior confiana ao investidor e sustentabilidade

as organizaes;
Exige que as empresas demonstrem boas prticas corporativas:

a) Impe procedimentos efetivos de governana corporativa;
b) Penalidades com imposio civil e criminal internacional;
c) Ampliao da cultura de tica profissional;
d) Declarao de Responsabilidade da administrao em
estabelecer e manter um sistema de controles internos e mtricas
efetivas para:
1. Avaliao da efetividade dos Controles;
2. Declarao de auditoria independente certificando a avaliao
da gerncia;
3. Declarao identificando a metodologia/ framework usado para
implementar e avaliar os controles internos;
SEMINARIO ICARO
Planejamento e Implementao estruturada
SEMINARIO ICARO
SEMINARIO ICARO
SEMINARIO ICARO
SEMINARIO ICARO
Sox ( Sarbanes Oxley )

Lei da Responsabilidade Fiscal
"o gerenciamento da integridade, confiabilidade e transparncia da informao"
Transparncia na publicao dos relatrios financeiros

Criao de repositrios de banco de dados e de reteno das
informaes para auditoria a longo prazo
Fluxo de trabalho (workflow) de aprovao dos dados
Seo 302 Comunicao de Irregularidades e Atos iLegais - Requer
trimestralmente certificao do CEO / CFO no arquivamento de relatrios peridicos
sob a seo 13 (a) ou 15 (d).
Seo 404 - Avaliao dos Controles Internos - Requer uma afirmao da eficcia
da estrutura e procedimentos dos Controles Internos para os relatrios financeiros e
um relatrio emitido anualmente pelos Auditores externos atestando a acuracidade
da afirmao do gerenciamento.
Seo 802 - Penalidades Criminais pela alterao de documentos.
Seo 906 Responsabilidade corporativa pelos relatrios financeiros.
SEMINARIO ICARO
considerada um divisor de guas na gesto das corporaes.

A SOX atua em duas pontas, j que cria um organismo regulador das
empresas de auditoria e aumenta de forma considervel as
responsabilidades e as penas dos executivos, alm de aumentar a
complexidade da administrao da empresa (ex. criao de comits).
A SOX torna Diretores Executivos e Diretores Financeiros
explicitamente responsveis por estabelecer, avaliar e monitorar a
eficcia dos controles internos sobre relatrios financeiros e divulgao.
Em caso de violao da SOX, os diretores,auditores e consultores
dessas empresas estaro sujeitos a pena dessa Lei,que vo de 10 a
20 anos de priso e multa de at US$ 5 milhes.
A Sarbanes-Oxley exige cultura de tica

profissional
SEMINARIO ICARO
Necessidade de criao de um sistema atravs do qual os

executivos da empresa possam efetuar investigao
independente e formal dos documentos contbeis da
companhia.
Necessidade de reviso e certificao pelo CEO dos
trabalhos realizados pelo CFO e departamentos contbeis.
Alterao do rating das companhias brasileiras conforme
o nvel de adoo das boas prticas de Governana
Corporativa.
Elaborao pela empresas (ou, explicao SEC sobre a
razo de no possuir) de Cdigo de tica aplicvel aos
executivos de alto escalo, incluindo os diretores da
Companhia e demais responsveis por assuntos financeiros.
SEMINARIO ICARO
OUTRAS INOVAES:
Emprstimos Proibio de emprstimos para Diretores e Conselheiros.
Planos de Benefcios Limitao aos planos de benefcios para
empregados. Nas empresas brasileiras, aplica-se aos planos de
aposentadoria.
Dever de Conduta dos Advogados Novos e rgidos padres de
conduta aplicveis aos advogados internos e externos das empresas.
Contedo e Publicidade das Informaes Prestadas SEC
regulamento visando melhorar a qualidade das informaes prestadas,
bem como aumentar seu alcance.
Comit de Auditoria Ser o rgo responsvel pela escolha,
remunerao e monitoramento das empresas de auditoria e contabilidade,
que dever ser composto por membros independentes pertencentes ao
Conselho de Administrao (Pode ser feita adaptao do Conselho Fiscal
S/A).
Conselho de Auditores de Companhia Aberta criao de novo
Conselho que ser responsvel pelo registro de empresas de auditoria,
determinaes de padres contbeis e disciplinares a serem seguidos.
SEMINARIO ICARO
A QUEM SE APLICA ?
s companhias brasileiras que possuam ADRs negociados nas bolsas de
valores americanas, a seus dirigentes, a seus advogados e a seus
auditores;
s empresas brasileiras subsidirias de empresas estrangeiras listadas
na SEC, a seus dirigentes, a seus auditores e a seus advogados;
s companhias brasileiras que tem interesse ou se encontram em fase de
preparo para o lanamento de ADRs em Bolsas Americanas, a seus
dirigentes, a seus auditores e a seus advogados; e
s empresas brasileiras que tenham preocupao (em funo de rating,
por exemplo), com a tendncia do mercado brasileiro em atender e adotar
regras de melhor transparncia, prestao de contas e equidade na gesto
financeira empresarial.
SEMINARIO ICARO
SEMINARIO ICARO
Aspectos relacionados ao cumprimento do artigo 404

A avaliao da administrao deve estar baseada em
procedimentos suficientes para avaliar o desenho e a
eficcia operacional (testes) dos controles internos.
Apenas mapear (no testar) no suficiente.
A administrao deve manter evidncia (documentao de
7 anos) do processo de avaliao e testes dos controles
internos.
Deficincias significativas (Significant Deficiency) nos
controles internos sobre informaes e relatrios financeiros
devero ser divulgadas ao mercado.
Uma deficincia material (Material Weakness) impedir a
administrao de afirmar que a companhia possui
controles internos adequados.
SEMINARIO ICARO
Auditoria de
demonstraes financeiras
Compreenso e considerao dos

controles internos apenas para
desenvolver o enfoque de auditoria.
Objetivo principal a emisso de
um parecer sobre as demonstraes
contbeis e no sobre os controles
internos.
Auditoria do 404
Enfoque 100% baseado em

controles.
Deve avaliar e testar os controles
nas diversas reas de negcios e
operacionais para opinar sobre sua
efetividade (mais ampla e mais
profunda)
sobre
os
relatrios
financeiros.
Ausncia histrica de erros nas
demonstraes financeiras no
necessariamente evidncia de
controles adequados.
SEMINARIO ICARO
Principais Desafios
1. Os controles internos no se encontram documentados conforme
requerido (COSO).
2. Deficincias Materiais e Deficincias Significativas sero identificadas
e, conseqentemente, devero ser solucionadas.
3. Prazo exguo.
4. Complexidade, diversidade e disperso geogrfica.
5. Grande nmero de processos, sub-processos e contas contbeis.
6. Necessidade de capacitao de recursos.
7. Concentrao de recursos com expertise de controles internos
(riscos, controles, auditoria e etc.) e conhecimento especfico
(contbil, tributrio, processos tpicos da indstria).
8. Concorrncia com outros grandes projetos internos tambm
estratgicos e prioritrios.
9. Implementar um processo que garanta a continuidade nos anos
subseqentes.
SEMINARIO ICARO
Deficincias mais comuns (lista limitada)

1. Falta de eficcia da atuao do Comit de Auditoria.
2. Deficincia ou ausncia de programa de preveno e controle de
fraudes.
3. Processos realizados em planilhas eletrnicas com controles manuais
(conciliaes, elaborao de demonstraes financeiras,etc.).
4. Segregao de funes com definio clara de Aladas e Poderes.
5. Processos de reviso e aprovao informais (uso de email, sms,
messenger sem guarda adequada de documentao ou workflow sem
trilha de auditoria).
6. Deficincia ou ausncia de Controles gerais de TI e controles internos
bsicos.
7. No considerar adequadamente o aspecto multi-location (unidade de
negcio, Geografia, entidades legais, etc.).
8. No definir e executar um plano de treinamento interno
9. No ter um plano de comunicao partindo do CEO para a base do
projeto e vice-versa.
10.No consultar com os auditores, especialistas e consultores externos.
SEMINARIO ICARO
Representao grfica do processo de avaliao do artigo 404
SEMINARIO ICARO
A SOX e as empresas brasileiras: CENRIO ATUAL

Apesar da SOX ser aplicvel apenas s empresas
brasileiras com ADRs listadas na SEC ou subsidirias destas,
a anlise do atual cenrio das empresas brasileiras
demonstra a crescente preocupao dos dirigentes no s
com os ditames da SOX, mas com os princpios da boa
governana corporativa.
Estudo recentemente apresentado no 4 Congresso
Brasileiro de Governana Corporativa demonstra que duas
de cada trs empresas brasileiras de mdio e grande porte
tm bom conhecimento dos ditames da SOX e dos princpios
das melhores prticas de Governana Corporativa.
A questo a PRATICA! E A VERIFICAO DA PRATICA!
SEMINARIO ICARO
MANIFESTAES E CONSEQNCIAS DA SOX NO BRASIL

Cartilha CVM - publicada em 2002, apesar de no exigir adeso compulsria,
determina padres de boa governana aplicveis a todas as companhias abertas.
Novo Mercado da Bovespa e Nveis 1 e 2 - Segmento lanado pela BOVESPA
em 2002, de aplicao facultativa, visando incentivar o crescimento sustentado do
mercado de valores mobilirios brasileiro, bem como melhorar o rating das
empresas que detm aes negociadas na BOVESPA.
Cdigo das Melhores Prticas de Governana Corporativa do Instituto
Brasileiro de Governana Corporativa IBGC (apesar de existir previamente
SOX, este foi aprimorado e j existe sua terceira edio).
Cdigos de tica/Governana Corporativa ex: PREVI/PETRUS.
Reforma da Lei das SAs ainda que anterior promulgao da SOX, a reforma
da Lei nasceu no contexto do fortalecimento do mercado e da Governana
Corporativa, trazendo em seu bojo inovaes que evidenciam a preocupao com
a proteo ao acionista minoritrio e a melhora do nvel das informaes prestadas
pela companhia.
Adaptao s novas regras pelos Auditores Independentes Auditorias
Independentes vem reformulando sua administrao e procedimentos para
atender as inovaes trazidas pela SOX.
SEMINARIO ICARO
Causas do fracasso de implantao de projetos na rea de TI:
O que necessrio para mudar ?

Estratgias; Estrutura organizacional; Reviso de Processos; Reviso de
Mtricas;
Mudana
Cultural;
Capacitao;
Comunicao;
Comprometimento da Direo; Transparncia de Propsitos, etc.
SEMINARIO ICARO
Recomendaes Gerais para estar

Compliance com as novas
Regulamentaes
GESTO DE RISCO
(de modo que a implementao de controles
no gere riscos legais)
SEMINARIO ICARO
Compliance das Regulamentaes exige:

Gesto Legal do Risco Digital em 3 nveis:
1. Nvel Tecnologias
2. Nvel Processos
3. Nvel Pessoas
Com medidas:
Corretivas em carter emergencial
Preventivas em carter Estrutural
Orientativas em carter Educacional
SEMINARIO ICARO
PETI Plano Estratgico de TI deve estar alinhado com os

objetivos do Negcio e com a estratgia de arquitetura jurdica
para garantir a confidencialidade, integridade e disponibilidade
da informao.
Viso
Regras
Controles
PETI
Poltica de Segurana
Tecnologia
Processos
Blindagem Legal
IPS (Sistema de Preveno Intruso)

Antivrus
Anti-Spam
Firewall
Testes de vulnerabilidade
Outros
SEMINARIO ICARO
Metodologia
PREVENO
Implementao das Polticas, Contratos e das Ferramentas Tecnolgicas
Elaborao de um Plano de Contingncia e Continuidade Legal para
Resposta a Crise Digital
CONTROLE
Definio clara da Gerao de Evidncias e Provas digitais, captao,
armazenagem e uso dos dados para fins legais implementao das
Ferramentas Tecnolgicas e dos Acordos de Outsourcing e SLA
MONITORAMENTO
Acompanhamento permanente dos ambientes de uso de informao
com todos os documentos legais j adequados para fazer o mesmo
sem quebra de privacidade, ou responsabilidade civil e criminal!
FUNCIONRIO
FORNECEDOR
CLIENTE
SEMINARIO ICARO
Gesto Legal do Risco Digital

4 ELEMENTOS PARA GESTO DE RISCO EM CANAIS ELETRONICO
Clculo do Risco (PSR)
SEGURANA
1. Risco por Lei (Nacional)

2. Risco por Acordo/Tratado
(Internacional)
PROVA
PRIVACIDADE 3. Risco por Regulamentao de

Mercado (ex. Bolsa, CVM, Bacen)
Responsabilidade
Digital da Marca
4. Risco por contrato

5. Risco por relaes solidrias
6. Risco por exposio pblica
PRODUTIVIDADE
7. Risco Institucional / tico
preciso criar uma Blindagem Legal!

SEMINARIO ICARO

PCN Legal Plano de Contingncia e Continuidade
ESTRATGIA
PROCESSO
CAPACITAO
COMUNICAO
MTRICA
CONTROLE
A Gesto Legal da Informao deve integrar ICT com os Processos de Negcio para atender:
Cenrios Complexos
Relaes Interdependentes
Obrigaes Solidrias
Limitao de Responsabilidades
Gerenciamento do Risco
Educao do Usurio
No existe Governana sem atendimento aos requisitos mnimos de Controle:
como ter Poltica de Privacidade, Poltica de Segurana da Informao, Poltica
de uso de email por Funcionrio, outros.
SEMINARIO ICARO
importante saber tambm que a concepo de um sistema de

controle interno deve sempre levar em considerao a avaliao
de riscos da administrao, bem como a relao custo x
benefcio da implantao do controle.
SEMINARIO ICARO
Tabela Geral de Riscos (Internos e Externos)
SEMINARIO ICARO
Base Histrica de Dados - Para mitigar risco necessrio identific-lo, avaliar o seu
impacto financeiro, bem como a sua probabilidade de ocorrncia nos diversos
processos da Instituio Financeira. Logo, necessrio a estruturao de uma base
histrica de dados que sustente uma projeo segura das perdas futuras. Vale
lembrar que quanto maior a complexidade operacional da Instituio Financeira,
mais crtico se torna o prazo que resta para a implantao desse controle.
byCopyright
Patrcia
PeckPeck
2005
Dra. Patricia
SEMINARIO ICARO
Por que tudo tem a ver com Privacidade?
Quando as testemunhas so
mquinas, as investigaes
relacionadas a problemas com
segurana, fraudes, crimes
eletrnicos, exigem alguma quebra
de sigilo de dados, muitas vezes
protegidos por privacidade, ou aes
de monitoramento que podem tipificar
interceptao.
SEMINARIO ICARO
Situaes que mais geram conflito
Monitoramento de Rede
Monitoramento de Email
Monitoramento de Internet
Monitoramento de Catraca Eletrnica
Monitoramento Cmeras Internas
SORRIA, VOC
EST SENDO
FILMADO!
SEMINARIO ICARO
Privacidade em Meios Eletrnicos

Como determinar o limite entre Privacidade e Segurana
de Informao dentro dos ambientes corporativos?
Privacidade absoluta X Privacidade Relativa

(presuno de valor)
(contratual)
Direito Privacidade - Constituio Federal 88 e pela

Conveno de Estraburgo de 1981.
CF/88 - Art. 5o. X so inviolveis a intimidade, a
vida privada, a honra e a imagem das pessoas,
assegurado o direito a indenizao pelo dano
material ou moral decorrente de sua violao.
NRPOL Norma de Referncia a Privacidade Online
(FCAV) www.privacidade.org.br
SEMINARIO ICARO
DE NADA ADIANTA TER AS REGRAS

SEM INFORMAR, SEM EDUCAR, SEM
CONSCIENTIZAR!
SEMINARIO ICARO
JOGO DOS ERROS
EDUCAO DO USURIO ESSENCIAL

byCopyright
Patrcia
PeckPeck
2005
Dra. Patricia
SEMINARIO ICARO
Fatores Crticos de Sucesso
PRIVACIDADE
SEGURANA
PROVA
MONITORAMENTO
SEMINARIO ICARO
Soluo
Melhor Estratgia
Princpio da Transparncia
Informao
X
Omisso
Passar a regra do jogo, NO JOGO!
SEMINARIO ICARO
Questes para reflexo:

Sua empresa registra os processos de maneira eficiente?
Ela possui ferramentas para a gesto do conhecimento?
Existem meios de acompanhar as informaes da empresa em tempo real?
As auditorias so completas e esto adequadas s exigncias legais?
Sua empresa est ou no segura? Qual o nvel dessa segurana?
So tomadas medidas que visam o gerenciamento dos riscos?
H necessidade de criar novas aplicaes ou as atuais j bastam?
Os usurios dos sistemas de sua empresa esto satisfeitos com as aplicaes?
Existe necessidade de integrar os sistemas da empresa?
A Tecnologia da Informao est bem implantada?
Os ativos da empresa esto protegidos? Tem certeza?
Como anda a reputao de sua empresa frente ao mercado? E na internet?
Existe backup de dados e aplicao de redundncia?
Os colaboradores da empresa esto cumprindo o seu papel? H confiana?
Estamos educando, temos usurios conscientes ou inconseqentes?
Quais os planos para o futuro? Sua empresa ter ou no futuro?
E agora? Estou perdido?
Ser que s sou Eu? Ser?
Por onde comear?
SEMINARIO ICARO

CLUSULA CONTRATUAL DA SEGURANA DA INFORMAO
A CONTRATANTE poder manter registros sobre todas as

atividades relacionadas execuo do presente CONTRATO que
sejam efetuadas atravs de acessos fsicos ou lgicos s
informaes confidenciais, equipamentos, softwares, instalaes,
programas-fonte e quaisquer outros ativos de informao da
CONTRATANTE, com o objetivo de:
a) apurar a observao da poltica de segurana da informao da
CONTRATANTE;
b) determinar ocorrncia de algum comprometimento dos ativos de
informao da CONTRATANTE, por exemplo, perda ou modificao
de dados no autorizada.
c) identificar a divulgao e reproduo no autorizada de
informaes confidenciais
d) auditar, por si ou por terceiro contratado, as responsabilidades
contratuais e extracontratuais.
SEMINARIO ICARO

CLUSULA CONTRATUAL DA SEGURANA DA INFORMAO
A CONTRATADA obriga-se a utilizar programas de proteo e segurana

de informaes que busquem evitar qualquer acesso no autorizado aos
seus sistemas, seja em relao aos que eventualmente estejam sob sua
responsabilidade direta, seja atravs de link com os demais sistemas da
CONTRATANTE, ou ainda por utilizao de e-mail.
Constituem, ainda, obrigaes da CONTRATADA sempre que utilizar
sistemas que faam interface com os sistemas da CONTRATANTE:
a) Seguir os parmetros mnimos de Segurana de Informaes,
estabelecidos pela CONTRATANTE, conforme Anexo (...) ;
b) Quando solicitado por escrito pela CONTRATANTE, realizar, prioritria e
concomitantemente, as alteraes para sanar possveis problemas de
segurana ou de vulnerabilidade nos sistemas que tenham sido
comunicados pela CONTRATANTE.
c) Assegurar que os dispositivos fornecidos pela CONTRATADA para
armazenamento de informaes (exemplo: mdias magnticas, eletrnicas,
ticas) ou, ainda, os ambientes tecnolgicos, canais de comunicao entre
as Partes (exemplo: sites, links, hiperlinks, Banners), estejam livres de
programas de computadores ou outros recursos tecnolgicos que possam
causar perda de integridade, confidencialidade ou disponibilidade de dados
ou informaes da CONTRATANTE ou de terceiros com os quais a
CONTRATANTE mantenha relacionamento comercial (exemplo: vrus,
cavalos de tria).
SEMINARIO ICARO
Sarbanes exige controles, que exige monitoramento,

que exige que haja uma Poltica de Segurana da
Informao necessita do cumprimento de
requisitos legais para ser implementada:
1.
Esteja claro e expresso o uso do monitoramento

(harmonizar com os princpios gerais de direito e a
questo da Privacidade);
Tenha uma poltica de conduta tica e de e uso das
ferramentas tecnolgicas (certo e o errado);
Os contratos sejam ajustados com clusulas
especficas de segurana da informao e com
definio de terminologia (glossrio);
Tenha uma poltica de Classificao da Informao
(pblica, sensvel, confidencial, restrita).
2.
3.
4.
SEMINARIO ICARO
Recomendaes:
importante projetar ARQUITETURA TCNICA E LEGAL ADEQUADA!
... uma forte estrutura de controles internos (com workflow) que ajude a
manter a companhia na direo do crescimento e da lucratividade;
... procedimentos que permitam cumprir as novas exigncias para a emisso de
relatrios e para a divulgao decretada pela Lei Sarbanes-Oxley com uma
estrutura que resista ao exame minucioso de seu auditor independente, a SEC e
de outros rgos reguladores;
... Histrico de banco de dados e fluxo de informaes ampliado e adequado
que permita a tomada de melhores decises empresariais e tambm a guarda
das Provas Legais;
... a companhia tornando-se uma empresa-lder, reconhecida pela governana
corporativa, conhecida pela qualidade e integridade de seus relatrios financeiros
GERA DIFERENCIAL COMPETITIVO!
ESTAMOS EDUCANDO?
ESTAMOS MONITORANDO?
ESTAMOS COM AS PROVAS LEGAIS VLIDAS,

NTEGRAS E ACESSVEIS?
SEMINARIO ICARO
Quais as Consequncias Legais

Novo Cdigo Civil
Art. 186. Aquele que, por ao ou omisso voluntria, negligncia ou

imprudncia, violar direito e causar dano a outrem, ainda que exclusivamente moral,
comete ato ilcito.
Art. 187. Tambm comete ato ilcito o titular de um direito que, ao exerc-lo, excede
manifestamente os limites impostos pelo seu fim econmico ou social, pela boa-f
ou pelos bons costumes.
Art. 927 Aquele que, por ato ilcito (arts. 186 e 187), causar dano a outrem, fica
obrigado a repar-lo. Pargrafo nico: Haver obrigao de reparar o dano,
independente de culpa, nos casos especificados em lei, ou quando a atividade
normalmente desenvolvida, pelo autor do dano implicar, por sua natureza, risco par os
direitos de outrem.
Art.1016. Os administradores (cargo de gerente para cima) respondem solidariamente

perante a sociedade e os terceiros prejudicados, por culpa no desempenho de suas
funes.
CLT - Dever de Sigilo
Art. 482 - Constituem justa causa para resciso do contrato de trabalho pelo
empregador:
(...) g) violao de segredo da empresa;
SEMINARIO ICARO
Quais as Consequncias Legais

Falar em um chat que alguem cometeu algum crime (ex. ele um ladro...)
Calnia
Art.138 do C.P.
Dar forward para vrias pessoas de um boato eletrnico
Difamao
Art.139 do C.P.
Enviar um email para a Pessoa dizendo sobre caracteristicas dela (gorda, feia, vaca,...)
Injria
Art.140 do C.P.
Enviar um email dizendo que vai pegar a pessoa
Ameaa
Art.147 do C.P.
Enviar um email para terceiros com informao considerada confidencial
Divulgao de segredo
Art.153 do C.P.
Enviar um virus que destrua equipamento ou conteudos
Dano
Art.163 do C.P.
Copiar um conteudo e no mencionar a fonte, baixar MP3
Violao ao direito autoral
Art.184 do C.P.
Criar uma Comunidade Online que fale sobre pessoas e religies
Escrnio por motivo de religio
Art.208 do C.P.
Acessar sites pornogrficos
Favorecimento da prostituio
Art.228 do C.P.
Criar uma Comunidade para ensinar como fazer um gato
Apologia de crime ou criminoso
Art.287 do C.P.
Enviar email com remetente falso (caso comum de spam)
Falsa identidade
Art.307 do C.P.
Fazer cadastro com nome falso em uma loja virtual
Insero de dados falsos em sistema
Art.313-A do C.P.
Entrar na rede da empresa ou de concorrente e mudar informaes (mesmo que com

uso de um software)
Adulterar dados em sistema de informaes
Art.313-B do C.P.
Se voc recebeu um spam e resolve devolver com um vrus, ou com mais spam
Exerccio arbitrrio das prprias razes
Art.345 do C.P.
Participar do Cassino Online
Jogo de azar
Art.50 da L.C.P.
Falar em um Chat que algum isso ou aquilo por sua cor
Preconceito ou Discriminao Raa-CorEtnia
Art.20 da Lei 7.716/89
Ver ou enviar fotos de crianas nuas online (cuidado com as fotos de seus filhos)
Pedofilia
Art.247 da Lei 8.069/90
Usar logomarca de empresa em um link na pagina da internet, em uma comunidade, em

um material, sem autorizao do titular, no todo ou em parte.
Crime contra a propriedade industrial
Art.195 da Lei 9.279/96
Emprega meio fraudulento, para desviar, clientela de outrem, exemplo, uso da marca
do concorrente como palavra-chave ou link patrocinado em buscador
Crime de Concorrncia Desleal
Art.195 da Lei 9.279/96
Usar copia de software sem ter a licena para tanto
Crimes Contra Software Pirataria
Art.12 da Lei 9.609/98
SEMINARIO ICARO
Quais as Consequncias Legais?
SEMINARIO ICARO
Supremo Tribunal Federal

ACRDO DO SUPREMO TRIBUNAL FEDERAL MANDADO DE SEGURANA
(Tribunal Pleno)
Relator: O Sr. Ministro Maurcio Corra
Agravante: PF
Agravado: Presidente do Tribunal de Contas da Unio
(...)
6. Ademais, inexiste regra jurdica que assegure ao agravante o uso do "e-mail"
para interesses particulares ou que impea sua excluso do rol dos usurios
por desobedincia s normas estabelecidas pelo TCU, sendo impertinentes
as alegaes de que os princpios constitucionais da isonomia, do devido
processo legal, do contraditrio e da ampla defesa teriam sido violados,
visto que cabe Administrao dispor sobre a utilizao dos instrumentos
oferecidos a seus servidores, ampliando ou restringindo o alcance de cada
um deles, de acordo com sua convenincia.
VOTO
O Sr. Ministro Marco Aurlio: Senhor Presidente, o pano de fundo
compreensvel e eu tenderia a assentar que cumpre Administrao Pblica
definir a utilizao desse meio moderno de transmisso de idias e de mensagens
SEMINARIO ICARO
Para onde vamos?

1.
Identidade Digital obrigatria subsididada eCPF e eCNPJ;
2.
Legislao que exija a guarda dos logs por minimo de 3

anos obrigatoriamente (CE por 5 anos) de Provedores de
internet, email, de servios como chats e comunidades;
3.
Software mnimo de segurana obrigatrio de fbrica para

os hardwares que sejam destinados a consumidores finais
(especialmente PC e notebook);
4.
Disciplina de Etica e Cidadania Digital nas escolas ensino

basico e fundamental, universidades e nas empresas;
5.
Incluso Digital com Educao Digital - Inserao de um elearning de segurana da informao no equipamento;
6.
Utilizao de um Seguro de Risco Eletronico ESURANCE

ja existente na Europa e agora no Brasil UIB/ISC/Mapfre.
SEMINARIO ICARO
reas de Atuao
CHECK-UP LEGAL anlise tcnica e jurdica
dos ambientes de comunicao eletrnica da
empresa e do uso da informao, para fins de
compliance com novas regulamentaes como
Sarbanes, Basileia II e ISO BR 17799, com
diagnstico de riscos e vulnerabilidades e
recomendaes de solues (intranet, internet,
extranet, home office, ambientes wireless e
outros). Elabora-se um parecer e um plano de
ao de implementaes, com assessoria para
acompanhar as mesmas.
SEMINARIO ICARO
Exemplo - Check List Sarbanes Reduzido

1. Os dirigentes da empresa conhecem profundamente as novas
regulamentaes implementadas pela Sarbanes-Oxley e o que elas visam
prevenir?
2. As principais reas de administrao da empresa possuem conhecimento
sobre os objetivos e exigncias de Lei Sarbanes?
3. A avaliao dos controles internos da organizao est bem
implementada? Quais?
4. A empresa possui metodologias que visam garantir o cumprimento dos
relatrios financeiros? Quais?
5. garantida a guarda eficaz de um repositrios de banco de dados e de
reteno das informaes para auditoria em longo prazo?
6. Os executivos da empresa e demais pessoas envolvidas esto cientes de
suas responsabilidades e das penalidades que podem sofrer em virtude
desta Lei?
7. A empresa adota algum cdigo de tica com cincia formal de todos os
seus executivos e demais responsveis pelos assuntos financeiros?
8. So utilizadas metodologias e mtricas para o gerenciamento dos riscos
na empresa, incluindo o risco eletrnico e operacional? Quais?
9. Sua empresa possui Poltica de Segurana da Informao Implementada e
Treinada? Qual?
SEMINARIO ICARO
Check List Sarbanes

10. Sua empresa possui Poltica de Classificao da Informao Implementada
e Treinada? Qual?
11.Sua empresa possui um workflow de processos implementado, alinhado
com uma Poltica de Aladas e Poderes?
12.Sua empresa pratica segregao de funes estratgicas que podem
representar risco financeiro ou impactar o cumprimento da Lei SarbanesOxley?
13.Sua empresa pratica monitoramento eletrnico de emails, rede, internet,
intranet, extranet, home Office, handhelds, outros? Esta informado? Como?
14.Sua empresa restringe o uso de dispositivos de armazenamento porttil
como memory key, ipod, handheld, outros?
15.Sua empresa faz guarda dos emails e messengers trocados em nome da
mesma internamente ou perante terceiros? Pr quanto tempo?
16.Sua empresa faz uso de mecanismos seguros de identificao e
autenticao de usurios, para garantir autoria dos documentos gerados?
17.Sua empresa faz uso de assinatura ou certificao digital?
18.Os executivos da rea financeira e jurdica, bem como diretoria ou conselho
fazem uso obrigatrio de assinatura ou certificao digital?
Importante integrar com check up de 17799, com de Resposta a
Incidentes, Monitoramento e Privacidade, e com de
Documentao Eletronica e Prova Digital.
SEMINARIO ICARO
Obrigada!
Dra. Patricia Peck
Advogada especialista em Direito Digital;
Formada em Direito pela Universidade de So Paulo;
Especializao na Harvard Business School;
MBA em Marketing pela Madia Marketing School;
Autora do Livro Direito Digital pela Editora Saraiva e co-autora dos
livros e-Dicas e Internet Legal.
Tel: (11) 6847-4629

contato@patriciapeck.com.br
www.patriciapeck.com.br

SOX Apostila

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

SOX Apostila

Загружено:

Авторское право:

Доступные форматы

SEMINARIO ICARO

O mundo corporativo depois da

Por Dra. Patrcia Peck

2005 Copyright Dra. Patricia Peck

Qual o Certo e o Errado

2005 Copyright Dra. Patricia Peck

A Convergncia digital traz impactos:

2005 Copyright Dra. Patricia Peck

Quem aqui ja enviou email

Como aplicar Governana neste cenrio?

A maior parte das empresas

Esta a ltima verso?

Como aplicar Governana neste cenrio?

O NOVO Aonde ja estamos!

* Paradigmas do mundo novo fonte HP

Manifestao de Vontade no presencial!

o arquivo original o digital, o impresso

Nos meios eletrnicos tudo PROVA!

GOVERNANA EM TI representa CONTROLE.

Como TI contribui para

2005 Copyright Dra. Patricia Peck

Por que Sarbanes-Oxley e Basileia II

2005 Copyright Dra. Patricia Peck

Nossas equipes, colaboradores, usurios

Novo Modelo de Ameaas

Cavalo de Tria (Trojan Horse)

Email uso inadequado

Abordagem Fraudulenta desconfie!!!

RSF5 - CONFIDENCIAL PARA: 197884b - EXTRATO DE DBITO

Clique abaixo para visualizar o extrato dos dbitos.

Falta de meno a endereo por

"AS INFORMACOES ACIMA, DE USO EXCLUSIVO DO DESTINATARIO, SAO

SCPC - Servio Central de Proteo ao Crdito

2005 Copyright Dra. Patricia Peck

Abordagem Fraudulenta desconfie!!!

Oi, Amor da minha vida Remetente obscuro, que

Envie voc tambm,entre em nosso site e no deixe de se cadastrar!

2005 Copyright Dra. Patricia Peck

Problemas atuais do mundo corporativo:

Deficincia nos Controles

O que estamos Prevenindo

Risco de perda resultante de processos internos

Precisamos de fato praticar Governana Corporativa!

Exigncias de Sox, Basileia II, CVM 358

Objetivo fornecer maior confiana ao investidor e sustentabilidade

Exige que as empresas demonstrem boas prticas corporativas:

Planejamento e Implementao estruturada

2005 Copyright Dra. Patricia Peck

2005 Copyright Dra. Patricia Peck

2005 Copyright Dra. Patricia Peck

2005 Copyright Dra. Patricia Peck

Sox ( Sarbanes Oxley )

Transparncia na publicao dos relatrios financeiros

considerada um divisor de guas na gesto das corporaes.

A Sarbanes-Oxley exige cultura de tica

Necessidade de criao de um sistema atravs do qual os

2005 Copyright Dra. Patricia Peck

2005 Copyright Dra. Patricia Peck

Aspectos relacionados ao cumprimento do artigo 404

Compreenso e considerao dos

Enfoque 100% baseado em

Deficincias mais comuns (lista limitada)

Representao grfica do processo de avaliao do artigo 404

2005 Copyright Dra. Patricia Peck