A Lei Sarbanes-Oxley (SOX), promulgada em 2002 nos Estados Unidos, trouxe um impacto significativo na área de auditoria, especialmente na auditoria de sistemas. A SOX estabeleceu exigências rigorosas para o controle interno das empresas, incluindo os sistemas de informação, e reforçou o papel do auditor independente na avaliação da efetividade desses controles. Com base em seu conhecimento sobre a influência da Lei Sarbanes-Oxley (SOX) na auditoria de sistemas, analise criticamente as seguintes asserções: I. A SOX se aplica apenas a empresas americanas, não afetando empresas de outros países. II. A SOX exige que as empresas implementem um sistema de controle interno abrangente, incluindo controles específicos para os sistemas de informação. III. A SOX transfere a responsabilidade principal da avaliação do controle interno para os auditores independentes, exonerando a administração da empresa. IV. A SOX exige que os auditores independentes testem os controles internos dos sistemas de informação, fornecendo razoável segurança sobre a confiabilidade das informações financeiras. V. A SOX contribuiu para a padronização global das práticas de auditoria, elevando o nível de qualidade e confiabilidade das auditorias de sistemas.

Analisando cada asserção à luz dos efeitos da Lei Sarbanes-Oxley (SOX) sobre controles internos e auditoria (incluindo TI):

I. “A SOX se aplica apenas a empresas americanas, não afetando empresas de outros países.” Falsa. Embora seja uma lei dos EUA (federal), ela atinge também empresas estrangeiras que tenham valores mobiliários registrados/negociados no mercado americano (por exemplo, listadas em bolsas dos EUA ou registradas na SEC), além de impactar indiretamente práticas globais por efeito de mercado e governança.

II. “A SOX exige que as empresas implementem um sistema de controle interno abrangente, incluindo controles específicos para os sistemas de informação.” Verdadeira. A SOX (especialmente a Seção 404) exige que a administração estruture, documente e avalie a efetividade dos controles internos sobre o reporte financeiro. Como os relatórios financeiros dependem fortemente de sistemas, isso necessariamente envolve controles de TI (ex.: controles gerais de TI, acesso, mudanças, operações, integridade de processamento etc.).

III. “A SOX transfere a responsabilidade principal da avaliação do controle interno para os auditores independentes, exonerando a administração da empresa.” Falsa. A responsabilidade primária é da administração, que deve avaliar e reportar sobre a efetividade do controle interno. O auditor independente não substitui a administração; ele atesta/opina sobre a avaliação e/ou a efetividade dos controles (conforme regras aplicáveis), mas não “exonera” a gestão.

IV. “A SOX exige que os auditores independentes testem os controles internos dos sistemas de informação, fornecendo razoável segurança sobre a confiabilidade das informações financeiras.” Verdadeira no contexto das auditorias de controle interno sobre reporte financeiro: o auditor, ao emitir opinião/atestado, precisa testar controles relevantes, e em ambientes informatizados isso inclui controles de TI (ITGCs e controles automatizados relevantes). O objetivo é obter segurança razoável sobre a confiabilidade do reporte financeiro.

V. “A SOX contribuiu para a padronização global das práticas de auditoria, elevando o nível de qualidade e confiabilidade das auditorias de sistemas.” Verdadeira como efeito prático. A SOX elevou o rigor de governança e controles internos, influenciando fortemente frameworks (ex.: maior adoção de boas práticas de controle interno e de controles de TI) e servindo de referência para políticas e exigências em diferentes mercados, aumentando a exigência por qualidade e robustez em auditorias (inclusive de sistemas).

Logo, estão corretas II, IV e V.

Alternativa correta: (C).