Gerenciamento de Conformidades – Parte 4
Será que é realmente necessário manter práticas de conformidades na nossa empresa, qual é o preço que pagamos em se não manter a “ordem” em nossas práticas? Há alguma vantagem competitiva por trás de tudo isso?
Vamos ver nessa sequência da série as respostas para essas perguntas chaves quando falamos de conformidade.
Conseqüências da Não-Conformidade
Muitas empresas são compelidas a lidar com requisitos de GRC para evitar as conseqüências legais e os riscos da não-conformidade. As conseqüências da não-conformidade geralmente incluem referências a penalidades civis e criminais, mas considere primeiro o efeito sobre a reputação da organização para com os clientes e acionistas e sua capacidade de acessar os recursos de que precisa para ter sucesso. De muitas formas, as conseqüências financeiras e legais não exercem tanta pressão quanto, e são mais remotas que, o custo real da diminuição da reputação da marca.
As conseqüências da não-conformidade variam de uma regulamentação para outra, mas podem incluir:
- Perda de reputação, da confiança de clientes e parceiros comerciais
- Perda da fatia do mercado se os concorrentes estiverem em conformidade e sua organização não
- Perda do foco de metas e objetivos de negócios
- Multas significativas (tanto pessoais como organizacionais)
- Responsabilidade pessoal legal e até mesmo encarceramento por crime
- Litígio por parte de acionistas e outros
- Acesso limitado a mercados de capitais e perda de admissão no mercado de ações
- Classificações de crédito reduzidas
- Capacidade limitada para fazer negócios em jurisdições específicas
- Supervisão regulatória aumentada
A ameaça dessas conseqüências potenciais oferece motivação significativa para que organizações e seus executivos gerenciem a conformidade de maneira eficiente e proativa.
Oportunidades de Negócios
Conformidade não representa apenas desafios a superar, mas também oferece oportunidades para melhoria dentro de sua organização. Essas oportunidades de negócios incluem a chance de melhorar processos, criar vantagem competitiva e integrar ainda mais o TI em seus negócios para melhorar o ROI.
Visibilidade, Medição e Melhoria de Processos
A maioria das regulamentações exige que as organizações tenham processos de negócios documentados, mensuráveis e repetíveis e que esses processos tenham controles apropriados em vigor para evitar erros ou fraude. Processos automatizados geralmente têm controles mais efetivos que os manuais e os auditores geralmente podem confiar mais em controles automatizados em nos manuais porque são menos sujeitos a erros humanos ou transgressões intencionais. Por isso, os requisitos de conformidade podem ser mais bem satisfeitos através da automação de processos manuais ineficientes e potencialmente falíveis. Embora a justificativa primária para automatizar processos seja melhorar controles técnicos e a capacidade de repeti-los, um benefício adicional é que isso melhora a eficiência e a visibilidade e, portanto, o potencial de gerenciamento desses processos. Alguns exemplos potenciais de controles automatizados incluem os seguintes:
- Requisitos de senha e complexidade automatizados como aqueles impostos pelo AD DS (Active Directory® Domain Services).
- Automação de fluxo de trabalho para concessão, modificação e finalização de acesso de usuário que pode ser desenvolvida usando-se o Windows® SharePoint® Services.
- Soluções de controle de mudanças automatizado como o Microsoft Visual Studio®.
O gerenciamento de identidades automatizado fornece um bom exemplo de como um processo automatizado melhorar a eficiência. Muitos auditores chamaram a atenção para a falta de controles técnicos em torno do processo de gerenciamento do ciclo de vida do usuário que envolve a criação, modificação e exclusão da conta e do perfil do usuário. Para lidar com essa deficiência, organizações implementaram ferramentas de gerenciamento de identidade automatizadas tais como o AD DS. Embora a finalidade dessas ferramentas seja primariamente automatizar os controles técnicos em torno de processos de negócios críticos, implementá-los também melhora a eficiência do processo de gerenciamento de usuários.
Vantagem Competitiva
Em muitas indústrias, adesão forte ou precoce a documentos de autoridade de GRC reconhecidos pela indústria e práticas relacionadas pode criar uma vantagem competitiva para uma organização. Organizações que fornecem serviços a outras empresas podem beneficiar-se de conformidade precoce e comprovada a regulamentações, pois outras empresas têm mais probabilidade de fazer negócios com aquelas em conformidade que estejam em posição de ajudá-las a lidar com seus próprios requisitos de conformidade de uma forma visível e comprovada. Quando a concorrência puder concordar com requisitos contratuais de GRC sem uma solução abrangente, sua organização pode recomendar uma solução de GRC que seja uma clara vantagem competitiva.
Empresas de terceirização de TI, escritórios de serviços, indústrias de processamento de informações e empresas de administração de seguros de saúde são exemplos de organizações que podem beneficiar-se dessa vantagem competitiva. A implementação de padrões também pode levar a maior agilidade do TI e permitir que uma organização atenda necessidades de negócios mais rápida e completamente, de uma forma compatível.
Existem exemplos ou declarações públicas disponíveis, como comunicados à imprensa e endossos de sites da Web, que devem ser considerados. A Microsoft recomenda que você consulte seu auditor e conselheiro legal quando desenvolver uma declaração pública a respeito de conformidade porque há certas limitações.
Privacidade é outra preocupação significativa para empresas e indivíduos hoje em dia. Conformidade forte com normas de privacidade também proporciona uma vantagem competitiva para as organizações. As organizações podem negociar sua conformidade com normas de privacidade para construir confiança e uma fatia do mercado com os consumidores e amainar a preocupação predominante com privacidade e roubo de identidade em meio ao público. Além disso, como a conformidade com a EUDPD é um pré-requisito para fazer negócios em alguns países/regiões da Europa, a conformidade com essa regulamentação pode abrir novos mercados para os produtos e serviços de uma organização.
Na próxima parte iremos ver um resumo dos 8 documentos de Autoridade de GRC.
Um abraço,
Rodrigo Dias