AUDIT ONE - auditoria de sistemas

AUDITONE
Rua 16 de Julho, 42/603
90550.020/Porto Alegre-RS
Fone: (51) 3029.0500
info@auditone.com.br

RISCO OPERACIONAL & LICENCIAMENTO DE SOFTWARE

As recentes turbulências da economia mundial são um reflexo direto dos equívocos praticados na avaliação e prevenção dos riscos operacionais. Controles eficientes não impedem perdas, mas minimizam a possibilidade de danos capazes de abalar a saúde financeira das empresas e de causar prejuízos para os investidores.

O problema é que a falta de conhecimento e práticas saudáveis em algumas áreas termina por reduzir os controles e agigantar os riscos. Atualmente não há empresa de capital aberto ou instituição financeira que não utilize maciçamente computadores e seus periféricos. O uso intensivo da informática é uma condição para o sucesso das empresas. Assim como não se vislumbra a possibilidade de bom desempenho sem a utilização de computadores, também não se pode enxergar a mesma condição sem o uso dos programas que recheiam nossos equipamentos.

A acentuada redução dos preços dos equipamentos está evidenciando que os investimentos em softwares são equivalentes, ou até mesmo maiores, que os recursos investidos em hardware. A conseqüência lógica é a necessidade cada vez maior de controlar os investimentos, os gastos, as despesas e, principalmente, a utilização dos programas de computador.

A Lei “Sarbanes–Oxley (SOX)” delineou, ainda que não especificamente, a necessidade das companhias de capital aberto e com ações na NASDAQ de controlarem os riscos operacionais, entre este, certamente, a utilização de programas de computador. Na esteira da norma norte-americana, a Comissão de Valores Mobiliários/CVM vem tratando do assunto no território nacional.

Também no Brasil, ainda que não o faça expressamente, a Resolução 3380/2006 do BACEN trata dos riscos operacionais oriundos da utilização de programas de computador no âmbito das instituições financeiras. Estabelece a regra do Banco Central:

“Art. 2º Para os efeitos desta resolução, define-se como risco operacional a possibilidade de ocorrência de perdas resultantes de falha, deficiência ou inadequação de processos internos, pessoas e sistemas, ou de eventos externos.

§ 1º A definição de que trata o caput inclui o risco legalassociado à inadequação ou deficiência em contratos firmados pela instituição, bem como a sanções em razão de descumprimento de dispositivos legais e a indenizações por danos a terceiros decorrentes das atividades desenvolvidas pela instituição.

§ 2º Entre os eventos de risco operacional, incluem-se:
...
IV - práticas inadequadas relativas a clientes, produtos e serviços;” (grifamos e destacamos)

Evidentemente que a utilização irregular de programas de computador está encerrada na previsão contida na norma do Banco Central, consubstanciando a utilização de programas de computador entre os eventos que ensejam a possibilidade de riscos operacionais, através da possibilidade do descumprimento dos dispositivos legais provocarem o dever de indenizar os danos causados pelas práticas inadequadas relativas a produtos e serviços.

Raros são os gestores capazes identificar, controlar e prevenir os riscos decorrentes da utilização equivocada de softwares, pouco importando se de boa ou má-fé. A origem do problema está no desconhecimento das regras vigentes e das práticas contratuais.

É evidente que a utilização irregular de programas de computador expõe a empresa ou entidade financeira ao risco de pesadíssimas perdas. Embora a legislação não tenha definido diretamente o valor das indenizações pelo uso irregular de softwares (“pirataria”), existe na lei especial que regula a matéria (Lei nº 9.609/98) a previsão de ser aplicada sanção equivalente a 3.000 (três mil) vezes o valor programa irregular.

É verdade que a previsão legal acima referida não é específica para o usuário ilegal de software, mas também é verdadeiro que diversos juízes já aplicaram a supra mencionada sanção.

Para que se tenha uma dimensão do risco operacional das empresas e entidades financeiras que utilizam programas irregulares, basta observar que uma única cópia irregular do sistema operacional Windows Vista, na versão que custa aproximadamente R$ 500,00, sujeita o usuário a uma sanção de R$ 1.500.000,00. Se considerarmos que se trata de um banco que possui 10000 computadores e que a mesma instituição possui um índice de irregularidade no uso de programas de computador de 10%, veremos que o mesmo está correndo um risco de R$ 1.500.000.000,00 somente pelo uso dos sistemas operacionais. Se acrescentarmos a este bolo que computadores não funcionam apenas com sistemas operacionais, mas precisam de outros aplicativos muito mais caros (processadores de texto, planilhas, apresentações, bancos de dados, etc.), chegamos a conclusão que o risco operacional decorrente do uso de programas de computador é alarmante e não está recebendo o tratamento exigido.

A verdade é que qualquer empresa enfrenta esse tipo de problema. Eventual exceção, caso exista, serve unicamente para confirmar a regra. O que importa, nesse caso, é o tamanho do problema. Mas esta é uma questão que as empresas e instituições financeiras não ousam enfrentar corretamente e que os órgãos de controle, por desconhecimento, também não enfrentam.

Na realidade, empresas e instituições financeiras sequer sabem se estão ou não correndo riscos e, muito pior, em caso afirmativo o tamanho desses riscos. Dificilmente um administrador pode responder, com certeza, que sua empresa não está correndo risco nesta área e qual o tamanho desse risco.

Como em outros segmentos, os controles passam por auditorias independentes que tenham em seus quadros pessoal com conhecimento sobre a matéria.

Os problemas com licenciamento vão muito além da vontade da administração utilizar ou não programas irregulares. O que se verifica é que as empresas sequer são capazes de comprovar o uso regular dos programas que efetivamente adquiriram, seja pela falta ou extravio de documentos, seja pelas irregularidades praticadas pelos fabricantes e fornecedores de softwares.

E quando se fala em controlar ou auditar o uso de programas de computador não se está falando em simplesmente contar softwares e apresentar um inventário. Na verdade, um inventário de programas instalados em uma base de computadores é uma tarefa sem qualquer complexidade, possível de ser realizada até mesmo manualmente (ainda que com dispêndio excessivo de tempo) ou por outros softwares com esta finalidade.

Fazer um inventário de softwares é apenas a parte mais simples do trabalho. Além de elaborar um rol de programas instalados é preciso também fazer um inventário das licenças existentes. Neste caso não há programas capazes de realizar tal tarefa e é preciso profissionais com conhecimento especializado. Se realizar um inventário de software é uma tarefa fácil, fazer um inventário de licenças é uma tarefa complexa, que exige conhecimento especializado e pouco disponível no mercado.

Elaborados os inventários é preciso conciliar os resultados, interpretando e analisando legislação, contratos, documentos e notas fiscais. Neste caso, o trabalho de conciliação exige ainda maior conhecimento e cuidado.

O que se percebe é que os investidores, autoridades e gestores ainda não prestaram a necessária e exigida atenção no problema dos riscos operacionais decorrentes do uso de programas de computador.