Existem normas, regulamentos e leis que regem as atividades das empresas, a fim de evitar problemas como falta de ética e corrupção nos negócios — é aí que surge o compliance. No que diz respeito ao compliance em TI, há um conjunto de boas práticas que podem ser adotadas e ajudarão a manter a empresa em conformidade com os regimentos internos e a legislação.
No artigo de hoje, explicaremos melhor o termo, qual é a relação dele com a governança corporativa e apresentar essas ações a serem aplicadas. Continue acompanhando a leitura para saber mais sobre o assunto!
O que é compliance?
A palavra pode ser traduzida, a grosso modo, como conformidade. Ela vem do termo em inglês “to comply” que quer dizer “cumprir algo”. O objetivo é garantir que os processos e as pessoas em uma empresa cumpram com normas reguladoras, leis e regulamentos internos adotando boas práticas.
Por meio dele, torna-se possível evitar penalidades como multas e outros tipos de sanções. O compliance em TI tem grande abrangência. Entre os pontos de maior atenção, estão:
- uso de novas tecnologias (que podem esbarrar em alguma lei);
- segurança dos dados;
- políticas de acesso;
- uso de tecnologias e ferramentas que ajudam a evitar fraudes.
Dentro da legislação brasileira, há diversos tópicos voltados para o compliance nas empresas. Entre os quais:
- Lei nº 9.279/1996, a Lei de Propriedade Industrial;
- Lei n.º 9.296/1996, a Lei de Interceptação;
- Lei nº 9.609/1998, a Lei de Software;
- Lei nº 9.610/1998, a Lei de Direitos Autorais;
- Lei nº 12.527/2011, a Lei de Acesso à Informação;
- Lei nº 12.551/2011, a chamada Lei Home Office e Teletrabalho;
- Leis de nº 12.735 e 12.737/2012, relacionadas aos Crimes Eletrônicos;
- Decreto n.º 7.845/2012, a Lei de Tratamento da Informação Classificada;
- Lei n.º12.965/2014, referente ao Marco Civil da Internet;
- Lei n.º 12.846/2013, a chamada Lei Anticorrupção;
- Lei nº 12.850/2013, relacionada às Provas Eletrônicas;
- Decreto n.º 7962/2013, a Lei do Comércio Eletrônico.
Qual é a diferença entre compliance e governança corporativa?
Apesar de serem temos distintos, eles estão relacionados, sendo duas políticas complementares. O compliance é um dos aspectos básicos dentro da governança corporativa. No segundo caso, trata-se de métodos e políticas internas que ajudam a planejar, monitorar e controlar o uso das atividades de TI.
A governança em TI é um conjunto de boas práticas adotadas por gestores, analistas, técnicos e usuários — que trabalham, ou não, no setor. O objetivo é melhorar a utilização da tecnologia dentro da empresa, reduzir riscos, diminuir custos e melhorar a tomada de decisão (alinhando a estratégia de TI com a do negócio, de maneira geral).
Já o compliance em TI se trata da obediência às normas externas (e maiores). Entre elas, podemos citar:
- leis;
- decretos;
- regulamentos;
- instruções normativas.
Portanto, de modo geral, podemos dizer que a governança corporativa estabelece um regimento interno que possibilita o compliance e a adequação à regulamentações que vêm de fora.
Afinal, quais são as melhores práticas de compliance em TI?
Existem diversas práticas aconselháveis para garantir o compliance em TI. Nos tópicos a seguir explicaremos algumas delas.
Investimento no cloud computing
Soluções voltadas para a computação em nuvem ajudam a diminuir o trabalho das equipes, facilita a comunicação e ainda contribuem para a redução de custos. Algumas dessas ferramentas já são voltadas para garantir o compliance. Elas têm diversas funcionalidades como:
- armazenamento de bases de dados;
- exposição dos requisitos necessários para adequação às normas, regulamentos e leis;
- checagem de políticas de segurança;
- monitoramento de sistemas;
- acompanhamento de indicadores de cumprimento dos requisitos de compliance.
Utilização de um Software as a Service (SAAS)
Essas soluções armazenam bases de dados que podem ser acessadas a qualquer momento, de qualquer lugar. Assim, todos os colaboradores têm disponível, o tempo todo, os documentos relacionados às políticas de segurança, regulamentações e legislação vigente.
Cuidado com o Bring Your Own Device (BYOD)
A Lei Anticorrupção é bem clara quando responsabiliza a empresa pelos conteúdos acessados pelos colaboradores. Apesar de a ideia já ser bem-aceita em algumas organizações, muitos gestores ainda têm medo de que esses profissionais não utilizem os próprios aparelhos da maneira adequada (como é o caso do uso de pen drives).
Os riscos estão ligados, principalmente, à segurança dos dados, sistemas e redes corporativas. Para evitar isso, é possível criar políticas que ajudem a inibir ações de má-fé ou de equívocos decorrentes do desconhecimento. Entre os recursos que podem ser empregados, estão:
- assinatura de termos de responsabilidade;
- backups periódicos dos dados;
- uso de senhas e bloqueio automático dos dispositivos.
Utilização de ferramentas voltadas para monitoramento de TI
A ideia, aqui, é monitorar o uso dos recursos de TI e das ações dos usuários. Isso ajuda a identificar as principais falhas, o que pode ser feito para corrigi-las e ainda tornar a produtividade mais eficiente.
Essa parte é importante para identificar o uso de softwares não licenciados — muitas vezes usados pelos colaboradores sem o conhecimento da empresa. Assim, evita-se descumprir a legislação, ao mesmo tempo em que se garante o uso apenas de ferramentas aprovadas pela organização.
Adoção de um programa voltado para a governança corporativa
Como visto, a governança corporativa anda de mãos dadas com o compliance. Por isso, é de suma importância estabelecer um programa voltado para ela dentro do contexto organizacional. As falhas na TI quando não se cria uma política clara envolvem um orçamento comprometido, ineficiência no cumprimento dos prazos, investimento inadequado em novas tecnologias e resultados distantes da meta inicial.
Não é incomum encontrar os setores de tecnologia da informação e jurídico batendo de frente por questões relacionadas ao cumprimento de normas e leis — principalmente quando se trata de investimentos em inovação e novas ferramentas. Para adotar o compliance em TI, é preciso ter uma base bem sólida de governança corporativa, ao mesmo tempo em que se preza pela produtividade, eficiência e satisfação dos usuários envolvidos.
