You are currently browsing the monthly archive for Outubro, 2006.
O Celso conseguiu definir muito bem, em uma palavra, o que eu estava buscando no meu post anterior: Sinergia. É isso que falta para o sucesso de muitas iniciativas de controles internos. Não basta implementar, não basta haver cooperação, deve se buscar sinergia dentro e fora da organização, somente assim poderemos ter controles eficientes e eficazes. Sem sinergia teremos uma infinidades de áreas batendo cabeças e apontando o dedo um para o outro.
Outro problema que ocorre muitas vezes é o desespero em se adequar a um conjunto de regras escritas, as ditas melhores práticas. O Augusto citou o exemplo das exigências das auditorias pela adequação a estas “melhores práticas”, mas acredito que eles não são os únicos a seguir este caminho. Já testemunhei alguns profissionais sentirem um impulso incontrolável para incluirem um controle adicional, só por que ele faz parte de um padrão. É como se o profissional sentisse que não tinha feito seu trabalho e buscasse uma forma de encaixar aquele controle quadrado na organização. Mas, surpresa, o buraco é redondo, para entrar vai ter de forçar muito a barra e o resultado vai ser uma área de segurança desacreditada e um controle ineficiente.
Outro elemento que muita vezes falta, é o registro adequado das circunstâncias que levaram a decisão pela adotação do controle X ou Y. E este registro deve fazer parte do processo de gestão dos seus controles. Não fica muito mais simples discutir com o auditor se você tiver registrado os dados que foram análisados para a tomada de uma decisão e a interpretação que foi feita deles? Isso também não pode apoiar a evolução do processo, uma vez que daqui a um (ou cinco) anos, quando o responsável pela revisão do controle, que pode ou não ser você, for reavaliá-lo, ele terá todos os dados necessários para fazê-lo de forma efetiva e consistente com os processos anteriores.
Isso se torna especialmente importante quando falamos sobre excessões. No caso de excessões aos padrões definidos, quatro elementos fundamentais precisam fazer parte do registro: Descrição, Justificativa, Remediação e Tratamento. Primeiramente precisamos descrever em que o controle adotado difere dos padrões estabelecidos, ou qual o controle não implementado se este for o caso. A seguir, precisamos justificar as razões para esta ocorrência, incluindo evidências destas razões sempre que possível. Devemos descrever os procedimentos que foram aplicados para remediar a ausência ou adoção parcial do controle, se aplicável. Por fim, devemos descrever o plano de ações para tratar a excessão identificada, sempre definindo prazos e responsabilidades.
Tendo um sistema assim como base, nem o mais cri-cri dos auditores poderá fazer ressalvas infudadas ao trabalho realizado, desde que ele tenho sido fundamentado em dados fidedignos e análises criteiosas. Ou seja, desde que tenhamos feito adequadamente o nosso trabalho.
Por sugestão do meu grande amigo Luiz Zanardo (aka Picachu, aka Voide, aka Fuzzy Project) meu primeiro post é sobre Compliance versus Segurança.
Hoje em dia, muitos profissionais, de diversas áreas, estão questionando o quão efetivo está sendo a adequação das organizações as mais diversas normas, leis e regulamentações. Um exemplo claro é a Sarbox, que muitos dizem estar trazendo grande complexidade aos ambientes corporativos, sem agregar muito no que diz respeito a prevenção da manipulação dos dados financeiros a qual ela se propõe.
De quem seria a culpa? Dos governos? Da direção das empresas? Ou dos profissionais que implementam estas regulamentações em suas organizações?
Acho que um pouco de cada .
Em suma eu creio que falta a todos uma postura mais pró-ativa no desempenho de seus respectivos papéis.
Os governos devem, não apenas responder a catastrofes como o caso da Enron, mas atuar de forma mais preventiva. Como isso pode ser feito? Primeiramente fazendo o dever de casa e dando o exemplo, construindo modelos de governança que se tornem a modelo a ser seguido. Exigindo de seus fornecedores a adoção de medidas similares, e buscando educar a sociedade sobre os benefícios destas ações e a importância de cobrar esta postura das organizações com quem negocia no dia-a-dia. Também deve ser evitado a exigência de mudança de forma drástica e em intervalos de tempo irreais, apenas para agradar a opinião pública, pois o resultado será a adoção de verdadeiras gambiarras, apenas para agradar o auditor, mas que não representam a realidade das empresas auditadas.
A direção das empresas, por sua vez, deve deixar de pensar em termos de “o mínimo para passar na auditoria”, e passar a entender que os itens avaliados devem ser não apenas considerados na construção da estratégia da organização, como ser uma parte fundamental dela. Quando adotamos a estratégia do mínimo necessário, o que criamos são processos ineficientes, complexos e desconexos, que além de não atenderem aos objetivos para os quais foram criados, atravancam o funcionamento das organizações. Compliance por compliance é dinheiro jogado no lixo. Se compliance é uma demanda que não pode ser evitada, ao menos devemos tirar o máximo proveito destas iniciativas. Falando nos termos do BSC, por exemplo, as iniciativas de compliance são excelentes oportunidades de aprimorar as perspectivas de Processos Internos, e Aprendizagem e Crescimento.
Ao profissional de segurança falta a iniciativa de amarrar os processos de compliance, de uma forma estruturada que possibilite o aprimoramento dos processos existentes e desenvolvimento de novos processos altamente integrados aos sistemas de gestão internos. É preciso deixar de tratar cada demanda de forma separada e considerá-las como partes de um todo, que leva a melhoria de toda a organização. Também é preciso iniciar um processo de conscientização dos níveis hierarquicos superiores sobre a importância do trabalho preventivo e pró-ativo e de como isso pode polpar tempo e dinheiro a organização, quando uma nova demanda regulatória surgir e a visão positiva que o mercado terá da consciência e iniciativa da instituição. Além disso, é importante salientar os benefícios que a organização poderá obter do novo controle e como ele se integra e complementa os controles existentes.
Também deve ser deixado de lado o terrorismo do compliance. Devemos conquistar a cooperação das outras partes da organização pela conscientização delas da importância das ações sendo tomadas, não pelo terrorismo do Finding da auditoria.
Claro que, mesmo com todas estas ações, ainda haverão percalços, porém, sem elas o resultado será muito pior: será a instituicionalização do caos em nome do compliance.
Compliance sim, mas não em nome do compliance, mas sim da segurança e do bem da organização.
Este é o meu Blog sobre segurança da informação. Aqui postarei comentários, idéias e opiniões pessoais sobre SI.
Se você quiser saber sobre mim, o lugar correto para encontrar informações é http://rafaelhashimoto.wordpress.com, mas se você quer ler sobre minha visão sobre segurança da informação, você está no lugar certo.
Ainda estou trabalhando no formato deste blog, portanto considerem-no como sendo uma versão Beta.
Aproveitem a leitura e espero poder contibuir bastante.
