Publicado no cio.com.br
Na busca pela conformidade e pela garantia de transparência para os stakeholders, cada vez mais, a TI será peça chave para as organizações. Não seja só um espectador do que estão fazendo, domine essa agenda.
Nos últimos anos, temos um número crescente de textos falando sobre a importância do Compliance para as organizações. Se pararmos para pensar, é algo curioso, dado que estar em compliance significa estar em conformidade com algo que, em tese, é uma referência de boa prática ou um normativo a ser seguido.
Por que, então, temos que escrever e convencer alguém, ou alguma organização, que é importante estar em conformidade com algo que é bom? Não seria o comportamento esperado?
Se voltarmos ao fim da década de 90, início dos anos 2000, vamos nos lembrar do famoso episódio da Enron e das fraudes contábeis que balançaram Wall Street. Acionistas enganados por balanços alterados e por sistemas de informação que possibilitavam a adulteração de informações. Este episódio ensinou que o complicado mundo de Tecnologia da Informação era uma ferramenta poderosa, a ser usada tanto para o lado positivo quanto para o negativo. Nem sempre estar conforme algo correto fez parte das estratégias de negócio, infelizmente.
Voltando ao presente, no contexto brasileiro, a demanda por ações de transparência e combate à corrupção estão colocando a agenda de compliance entre as prioritárias dos conselhos de administração. Mais uma vez, de forma mais poderosa ainda, a TI pode e deve ser vista como uma grande aliada a esse combate. Aqui, trago quatro dicas advindas de lições aprendidas para alinhar a TI à agenda de compliance de sua organização.
1. Estabeleça princípios de compliance tecnológico alinhados à estratégia da organização:
– Defina, aprove e comunique corretamente a todos os colaboradores o que a empresa irá monitorar, como ela pretende fazer isso e quais são os comportamentos proibidos e quais são os desejados.
– Traduza as definições em controles tecnológicos, tais quais o monitoramento de tráfego de rede, controle de palavras-chave em e-mail e chats corporativos, alertas de conteúdo, entre outros.
– Mais importante: foque em estimular o comportamento desejado e premie os bons exemplos. Gaste mais tempo nisso do que no papel de polícia, vigiando e punindo. Faça esse último apenas quando realmente necessário.
2. Garanta uma cadeira no Comitê Executivo de Compliance para a Tecnologia da Informação:
– Grande parte das ações de conformidade corporativa pode passar por TI e, em muitos casos, nenhum representante da área está presente nas discussões. Acabam recebendo apenas demandas do estilo “faça isso para ontem”. Envolva os arquitetos de informação e os especialistas em segurança para contribuírem para a agenda de compliance global do negócio.
– Sendo o representante de TI deste comitê, aproveite para educar a todos sobre como a Tecnologia da Informação pode ser um forte aliado no combate à corrupção e a práticas não aceitáveis. Busque bons exemplos e casos e venda para o seu comitê.
3. Busque elevar a maturidade dos controles de Governança de TI para novos patamares:
Não é nenhuma novidade que o mercado de TI possui diversos e bons modelos de referência para Governança e Compliance.
– Busque elevar a maturidade de seus processos, uma vez que práticas internacionais já foram testadas com sucesso em diversas organizações e podem lhe servir de guia.
– Busque apoio principalmente no framework do CobiT®5, uma vez que é usado como base pelas principais empresas de auditoria e pelos órgãos de controle brasileiros, mesmo que eles não citem diretamente.
– Implante uma cultura de conformidade dentro da própria TI, buscando processos maduros. Dê especial atenção às disciplinas de Gestão de Identidade e Acesso, Gestão da Segurança da Informação, Arquitetura e Gestão de Controles Internos/Externos.
4. Comunique em excesso e foque na agenda positiva:
– A maioria das empresas trata compliance como agenda negativa e com tom punitivo. Inverta essa lógica e você verá o sucesso. Busque trazer palestras, comunicados e bons exemplos de como estar em conformidade com boas práticas e normas pode ser uma alavanca de negócios.
– Premie os melhores comportamentos e, principalmente sendo um gestor, lidere pelo exemplo. Uma liderança forte e íntegra serve muito mais à organização do que um bom manual escrito.
Na busca pela conformidade e pela garantia de transparência para os stakeholders, cada vez mais, a TI será peça chave para as organizações. Não seja só um espectador do que estão fazendo, domine essa agenda.
Carlos Eduardo Costa de Carvalho é mestre em Engenharia de Produção pela COPPE/UFRJ, sócio e fundador da Bridge Consulting. Acumula diversas experiências de transformação digital e melhoria de processos para áreas de TI em empresas públicas e privadas. Professor de MBA em Estratégia e Governança de Tecnologia da Informação, certificado ITIL Expert, CGEIT e ISO 20.000 Auditor