EADCONTEUDO
COMPLIANCE Direito Digital Dilma Resende 01/01/2012
2
EADCONTEUDO
MÓDULO O1 COMPLIANCE E GESTÃO DE RISCOS O conceito de Compliance está intimamente ligado a “Cumprir” e “Executar” os regulamentos internos e externos da empresa. Desta maneira é possível afirmar que se trata do dever de estar em conformidade e de cumprir todos os regulamentos e executar suas atividades. Agrega a este termo o dever de verificar se, para que haja o cumprimento destas regras, existe algum desvio e, em caso positivo, ajustá-lo. A Gestão de Compliance, em interação com outros setores da empresa, atua na chamada governança executiva, visando otimização do trabalho, consolidando padrões e fortalecimento a saúde financeira da organização.
Metodologias de TI - Regulamentações Inicialmente deverá ser analisado como a área de TI interage na empresa com os outros departamentos e, principalmente, com a área de negócios, para que o 2
3
EADCONTEUDO alinhamento estratégico seja estabelecido. Assim, através dos conceitos de estratégias aplicados, sejam levantados os pontos cegos ou conflitantes para serem corrigidos. Evidente que esse trabalho de análise, enfrentamento de problemas e aplicação de estratégias não é algo feito da noite para o dia. Requer desejo de mudanças, planejamento e aplicação de regras e métodos que visem o crescimento da empresa. Desse modo, metodologias padrões vão surgindo para que possibilitem boas práticas de TI, baseadas em certificações internacionais que classificam temas e orientam. Não podemos falar de TI sem mencionar a Governança. O termo Governança vem de governar. Governança corporativa é a reunião de processos, regulamentos, leis padrões, etc, que visa organizar a administração ou controle de uma empresa. Toda a empresa (acionistas, administração, funcionários, clientes, fornecedores, etc) devem estar envolvidas nessa relação de Governança, pois é uma área de análise de abordagens diversas, buscando as melhores práticas. Visa garantir que os envolvidos se adequem ao planejamento, de modo que a administração dos vários setores funcione adequadamente conforme as suas diretrizes pré-estabelecidas. Conclui-se que o alinhamento estratégico com a Ti é fator preponderante para o sucesso dos projetos. Analisemos algumas das metodologias que envolvem Governança e Ti: (ITIL) -Information Technology Infrastructure Library 1 – são bases e diretrizes desenvolvida nos anos 80 pela CCTA (Central Computer and Telecommunications Agency). Está atualmente sob responsabilidade da OGC (Office for Government Commerce). A OGC é uma organização governamental inglesa responsável por tarefas que aumentam a eficiência de negócios do governo. O ITIL foca o cliente e a qualidade nos serviços, além de ser um ícone nos processos de gerenciamento de serviços de TI. A certificações ITIL são recomendadas para qualquer profissional que atue na área de TI. Como adquirir esta certificação Atualmente há duas instituições responsáveis pelas certificações em ITIL: a EXIN (Examination Institute for Information Science in the Netherlands ) e a ISEB2
1
Sergio Rubinato Filho, consultor e vice-presidente do itMSF Brasil, explica o que se entende por ITIL. "Ao contrário do que se pensa, não é apenas uma metodologia, mas um conjunto de práticas que não são simplesmente implementadas mas, sobretudo, incorporadas ao cotidiano das empresas”. Mais que um conjunto de livros com as melhores práticas para o gerenciamento de serviços em TI, o ITIL é um padrão reconhecido e aceito pelo mercado há mais de duas décadas. "O ITIL descreve processos de forma eficiente para garantir a prestação dos serviços acordados”.
2
http://www.bcs.org/bcs/products/qualifications/iseb/
3
4
EADCONTEUDO São três níveis de certificação. A certificação Foundation e as complementares: Practitioner e Manager. Certificação Foundation: não é necessário fazer nenhum tipo curso e nem comprovar experiência. A prova é online. Este nível é o mais procurado, porque é mais acessível. Já os outros dois níveis, além de serem muito caros (R$ 3.000,00 e R$ 9.000,00), o nível é muito mais profundo e a garantia de retorno não é certa. No entanto, não restam dúvidas de que, em termos de currículo, a pessoa certificada tem chances mais relevantes.
O exame ITILFoundation é realizado nos Centros de Testes VUE 3 ou PROMETRIC. Para fazer a prova basta você acessar o site de uma destas duas instituições e agendar o local e data para a prova. Existe em várias cidades do Brasil.
SOX - Sarbanes-Oxley A Lei Sarbanes-Oxley (2002) reeditou as regras para a governança corporativa. Apelidada de SOX, ela é composta de 11 títulos e engloba principalmente a responsabilidade penal da administração. Foi criada para reorganizar e firmar a confiança do investidor. No Brasil, essa lei se adequa a multinacionais de capital americano e empresas brasileiras com ações naquele país. Praticamente obriga que as empresas atuantes no mercado financeiro de capital aberto sejam profundamente éticas. Estão entre empresas brasileiras que se obrigam a SOX: a Petrobras, TAM, Brasil Telecom, Ultragaz, Grupo Pão de Açúcar e Telemig Celular. A SOX determina pontos obrigatórios como, por exemplo, que a criação e edição de documentos referentes a Seção 404 4 sejam no padrão ISO e que sejam usados editor de texto e planilhas, havendo, nesta seção, documentos em papel que sejam digitalizados para arquivo. Com referência aos processos de negócio, os riscos devem ser cadastrados e os desenhos arquivados, além da obrigação de publicar em vários web sites tudo que se refira a seção 404.
COBiT: 3
http://www.vue.com A seção 404 determina uma avaliação anual dos controles e procedimentos internos para emissão de relatórios financeiros. Além disso, o auditor independente da companhia deve emitir um relatório distinto que ateste a asserção da administração sobre a eficácia dos controles internos e dos procedimentos executados para a emissão dos relatórios financeiros. (WIKIPÉDIA) 4
4
EADCONTEUDO
COBIT - Control Objectives for Information and Related Technology é uma framework que visa orientar e principalmente CONTROLAR processos. FRAMEWORK é um software que visa tornar "certas coisas", normalmente procedimentos complexos e tediosos, em processos mais fáceis e eficientes. Ele automatiza e ao mesmo tempo controla. Normalmente é usado por programadores como um conjunto de conceitos que organiza e facilita o trabalho num padrão determinado, bastando apresentar os comandos corretos. Podemos resumir dizendo que COBIT é um kit de ferramentas para a gestão de TI. O COBIT como ferramenta para TI é ético e transparente, buscando atender o cliente da melhor maneira. Auxilia principalmente três categorias na empresa: os gerentes, os usuários e os auditores.
COSO (Committee of Sponsoring Organizations of the Treadway Commission) É uma entidade sem fins lucrativos criada em 1975 nos EUA, composta de representantes das maiores associações de classe (área financeira) com o
5
5
6
EADCONTEUDO objetivo de analisar e de algum modo solucionar o problema das muitas fraudes nos relatórios financeiros e contábeis das empresas. Seus objetivos principais estão nos controles internos. Em função da globalização e a preocupação das empresas em se adaptar aos padrões internacionais de gestão e controle de riscos, as determinações recomendadas pelo COSO são bem aceitas nas grandes empresas brasileiras e também no mundo todo.
BSC - Balanced Scorecard Este conceito foi criado em 1992 por Robert Kaplan e David Norton e é utilizado por empresas de grande porte do mundo todo. É uma metodologia de gestão de estratégias e foca quatro pontos importantes: definição da estratégia da empresa, gerência do negócio e de serviços e a gestão da qualidade. A metodologia analisa a gestão e o desempenho e está intimamente ligada a gerência de projetos. Sob a ótica do BSC, é gerado uma visão equilibrada e principalmente integrada da empresa e, desse modo, as estratégias sob os pontos de vista financeiro, clientes, processos internos, aprendizado e crescimento tomam corpo e podem ser utilizadas gerando os objetivos esperados. Segundo o WIKIPÉDIA, “ Desde que foi criado, o BSC vem sendo utilizado por centenas de organizações do setor privado, público e em ONG s no mundo inteiro e foi escolhido pela renomada revista Harvard Business Review como uma das práticas de gestão mais importantes e revolucionárias dos últimos 75 anos.”
Norma ISO/IEC 17.799 A ISO/IEC 17.799 é uma norma de Segurança da Informação. É um conjunto de ações padronizadas que são recomendadas para a gestão de Segurança da Informação. Entretanto, possui um imenso número de controles e requerimentos que devem ser observados para que a segurança da informação seja resguardada e, desse modo, obter esta certificação torna-se um processo complexo. Norma ISO/IEC 27.001
6
EADCONTEUDO
7
É uma certificação da segurança da informação. Trata-se de Norma internacional para referência da implantação de processos de gestão de segurança da informação, publicada pelo International Organization for Standardization em outubro de 2005, e o nome correto é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação - requisitos mas conhecido como "ISO 27001". Deve ser usada em conjunto com a com ISO/IEC 17.799.
7