Esta aí a grande dificuldade, pois evidenciar aquilo que a pessoa já esta cansada de saber é desgastante, mas deve ser feito por alguém. Afinal o oficial de conformidade (em inglês Compliance Officer) busca o cumprimento das regras e efetua testes de aderência, em muitas vezes em conjunto com a auditoria.
Mas por que tanto rancor? Por desconhecimento da função e porque a maioria das pessoas tem aversão a controles quando cobrados por outros, mas quando ele cria é novidade, não é mesmo?
Em um evento, o Andre Vertamatti, do Banco Volkswagen brilhantemente definiu a diferença entre compliance e auditoria:
Você quando compra um carro, recebe do vendedor o manual do veiculo e nota fiscal de compra, por comprar um carro, deduzimos que você tenha carteira de habilitação e conheça as leis de transito, ao entrar no veiculo você identifica no painel uma imagem em vermelho solicitando que você coloque o sinto, este é o compliance, pois existem leis, o manual do carro orienta (ops! Mas quem lê manual mesmo?) e o sinal avisa, mas por distração você sai sem o cinto de segurança e ainda liga do celular para um amigo gritando “peguei a maquina, é show” e dá de cara com “marronzinho” ou Policial Militar, este é o auditor, que evidencia que você não cumpriu as regras e leva algumas “multinhas”.
Em minha experiência profissional já presenciei o contador do banco enviando aquele e-mail de fechamento com instruções de fechamento de carteiras, entrega de conciliações e metodologias de apuração de resultado, emissão de balancetes entre outros, mas quando pedimos para elaborar um procedimento para alguma atividade de sua área, nunca tem tempo.
E a área de TI, desenvolve uma enormidade de sistemas, mas quando pedimos a documentação do sistema, nem sempre tem, portanto o criador vai embora e a manutenção do sistema também, para que correr este risco, neste momento será que precisamos de um agente de compliance ou auditor para solicitar isso? E controle de acesso para que serve mesmo? Serve para (in)segurança da informação ou (des)governança corporativa ou (des)controle interno.
Falar de ISO 27000, ISO 20000, ISO 31000, COBIT, ITIL e COSO (ERM) para algumas pessoas estamos falando grego, até mesmo para alguns auditores é complicado, e sempre que posso oriento os profissionais de controles internos e compliance a buscar conhecimento sobre o assunto para poder discutir com todos os interessados e responsáveis na empresa, pois ele não precisa fazer, mas necessita entender a necessidade da organização e solicitar que façam.
A cultura de controle está melhorando, em comparação ao passado, mas esta longe do ideal, entretanto devemos evidenciar que para muitos ainda é novidade, as questões de gestão de riscos, segurança da informação, acesso remoto, computação na nuvem, geração “Y”, outsourcing, gestão de continuidade de negócios, recuperação de desastres, contabilidade internacional entre outros, deve estar na alça de mira dos profissionais de compliance e auditoria, afinal compliance não é somente leis e regulamentos, é gestão.
Artigo publicado Blog do Marcos Assi no IT Web sobre compliance de TI, acesse o link ao lado e confira BLOG – Controles internos,
Fonte: Blog de Marcos Assi.
Nenhum comentário:
Postar um comentário