"COMPLIANCE" E A GESTAO DE RISCOS

COMPLIANCE E GESTÃO DE RISCOS

O conceito de Compliance está intimamente ligado a “Cumprir” e “Executar” os regulamentos internos e externos da empresa. Desta maneira é possível afirmar que se trata do dever de estar em conformidade e de cumprir todos os regulamentos e executar suas atividades. Agrega a este termo o dever de verificar se, para que haja o cumprimento destas regras, existe algum desvio e, em caso positivo, ajustá-lo.

A Gestão de Compliance, em interação com outros setores da empresa, atua na chamada governança executiva, visando otimização do trabalho, consolidando padrões e fortalecimento a saúde financeira da organização.

Metodologias de TI - Regulamentações


Inicialmente deverá ser analisado como a área de TI interage na empresa com os outros departamentos e, principalmente, com a área de negócios, para que o alinhamento estratégico seja estabelecido. Assim, através dos conceitos de estratégias aplicados, sejam levantados os pontos cegos ou conflitantes para serem corrigidos. Evidente que esse trabalho de análise, enfrentamento de problemas e aplicação de estratégias não é algo feito da noite para o dia. Requer desejo de mudanças, planejamento e aplicação de regras e métodos que visem o crescimento da empresa. Desse modo, metodologias padrões vão surgindo para que possibilitem boas práticas de TI, baseadas em certificações internacionais que classificam temas e orientam.
Não podemos falar de TI sem mencionar a Governança.
O termo Governança vem de governar. Governança corporativa é a reunião de processos, regulamentos, leis padrões, etc, que visa organizar a administração ou controle de uma empresa. Toda a empresa (acionistas, administração, funcionários, clientes, fornecedores, etc) devem estar envolvidas nessa relação de Governança, pois é uma área de análise de abordagens diversas, buscando as melhores práticas. Visa garantir que os envolvidos se adequem ao planejamento, de modo que a administração dos vários setores funcione adequadamente conforme as suas diretrizes pré-estabelecidas. Conclui-se que o alinhamento estratégico com a Ti é fator preponderante para o sucesso dos projetos.

Analisemos algumas das metodologias que envolvem Governança e Ti:

(ITIL) -Information Technology Infrastructure Library – são bases e diretrizes desenvolvida nos anos 80 pela CCTA (Central Computer and Telecommunications Agency). Está atualmente sob responsabilidade da OGC (Office for Government Commerce). A OGC é uma organização governamental inglesa responsável por tarefas que aumentam a eficiência de negócios do governo. O ITIL foca o cliente e a qualidade nos serviços, além de ser um ícone nos processos de gerenciamento de serviços de TI. A certificações ITIL são recomendadas para qualquer profissional que atue na área de TI.

Como adquirir esta certificação

Atualmente há duas instituições responsáveis pelas certificações em ITIL: a EXIN (Examination Institute for Information Science in the Netherlands ) e a ISEB
São três níveis de certificação. A certificação Foundation e as complementares: Practitioner e Manager.
Certificação Foundation: não é necessário fazer nenhum tipo curso e nem comprovar experiência. A prova é online. Este nível é o mais procurado, porque é mais acessível. Já os outros dois níveis, além de serem muito caros (R$ 3.000,00 e R$ 9.000,00), o nível é muito mais profundo e a garantia de retorno não é certa. No entanto, não restam dúvidas de que, em termos de currículo, a pessoa certificada tem chances mais relevantes.
O exame ITILFoundation é realizado nos Centros de Testes VUE ou PROMETRIC. Para fazer a prova basta você acessar o site de uma destas duas instituições e agendar o local e data para a prova. Existe em várias cidades do Brasil.

SOX - Sarbanes-Oxley
A Lei Sarbanes-Oxley (2002) reeditou as regras para a governança corporativa. Apelidada de SOX, ela é composta de 11 títulos e engloba principalmente a responsabilidade penal da administração. Foi criada para reorganizar e firmar a confiança do investidor.
No Brasil, essa lei se adequa a multinacionais de capital americano e empresas brasileiras com ações naquele país. Praticamente obriga que as empresas atuantes no mercado financeiro de capital aberto sejam profundamente éticas.
Estão entre empresas brasileiras que se obrigam a SOX: a Petrobras, TAM, Brasil Telecom, Ultragaz, Grupo Pão de Açúcar e Telemig Celular.
A SOX determina pontos obrigatórios como, por exemplo, que a criação e edição de documentos referentes a Seção 404 sejam no padrão ISO e que sejam usados editor de texto e planilhas, havendo, nesta seção, documentos em papel que sejam digitalizados para arquivo. Com referência aos processos de negócio, os riscos devem ser cadastrados e os desenhos arquivados, além da obrigação de publicar em vários web sites tudo que se refira a seção 404.


COBiT:

COBIT - Control Objectives for Information and Related Technology é uma framework que visa orientar e principalmente CONTROLAR processos. FRAMEWORK é um software que visa tornar "certas coisas", normalmente procedimentos complexos e tediosos, em processos mais fáceis e eficientes. Ele automatiza e ao mesmo tempo controla. Normalmente é usado por programadores como um conjunto de conceitos que organiza e facilita o trabalho num padrão determinado, bastando apresentar os comandos corretos. Podemos resumir dizendo que COBIT é um kit de ferramentas para a gestão de TI.

O COBIT como ferramenta para TI é ético e transparente, buscando atender o cliente da melhor maneira.

Auxilia principalmente três categorias na empresa: os gerentes, os usuários e os auditores.

COSO (Committee of Sponsoring Organizations of the Treadway Commission)
É uma entidade sem fins lucrativos criada em 1975 nos EUA, composta de representantes das maiores associações de classe (área financeira) com o objetivo de analisar e de algum modo solucionar o problema das muitas fraudes nos relatórios financeiros e contábeis das empresas.
Seus objetivos principais estão nos controles internos.
Em função da globalização e a preocupação das empresas em se adaptar aos padrões internacionais de gestão e controle de riscos, as determinações recomendadas pelo COSO são bem aceitas nas grandes empresas brasileiras e também no mundo todo.

BSC - Balanced Scorecard

Este conceito foi criado em 1992 por Robert Kaplan e David Norton e é utilizado por empresas de grande porte do mundo todo. É uma metodologia de gestão de estratégias e foca quatro pontos importantes: definição da estratégia da empresa, gerência do negócio e de serviços e a gestão da qualidade.

A metodologia analisa a gestão e o desempenho e está intimamente ligada a gerência de projetos. Sob a ótica do BSC, é gerado uma visão equilibrada e principalmente integrada da empresa e, desse modo, as estratégias sob os pontos de vista financeiro, clientes, processos internos, aprendizado e crescimento tomam corpo e podem ser utilizadas gerando os objetivos esperados.

Segundo o WIKIPÉDIA,

“ Desde que foi criado, o BSC vem sendo utilizado por centenas de organizações do setor privado, público e em ONG s no mundo inteiro e foi escolhido pela renomada revista Harvard Business Review como uma das práticas de gestão mais importantes e revolucionárias dos últimos 75 anos.”


Norma ISO/IEC 17.799
A ISO/IEC 17.799 é uma norma de Segurança da Informação.
É um conjunto de ações padronizadas que são recomendadas para a gestão de Segurança da Informação. Entretanto, possui um imenso número de controles e requerimentos que devem ser observados para que a segurança da informação seja resguardada e, desse modo, obter esta certificação torna-se um processo complexo.

Norma ISO/IEC 27.001
É uma certificação da segurança da informação. Trata-se de Norma internacional para referência da implantação de processos de gestão de segurança da informação, publicada pelo International Organization for Standardization em outubro de 2005, e o nome correto é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001". Deve ser usada em conjunto com a com ISO/IEC 17.799.

Dilma Resende
Especialista em Direito Digital e TI