Publicado na CompliancePME em 10 de dezembro de 2021

Compliance é um fato da vida para quase todas as empresas – especialmente em setores altamente regulamentados, como saúde, serviços financeiros e governo. E embora o compliance esteja frequentemente sob o manto dos departamentos jurídicos, de gerenciamento de risco ou outros, a TI certamente estará envolvida nos esforços de conformidade de qualquer organização.

Os CIOs e outros executivos de alta tecnologia devem estar cientes de todas as regulamentações que envolvem dados, privacidade, segurança e outros elementos de tecnologia. Eles podem desempenhar um papel fundamental para garantir que suas organizações não sejam atingidas por pesadas multas por não conformidade.

Executivos de TI em saúde e setores relacionados durante anos tiveram que lidar com o impacto da Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), por exemplo, que exige a segurança e privacidade das informações eletrônicas de saúde. Mas o ambiente regulatório tornou-se cada vez mais complexo, especialmente com o surgimento de tantas novas regras que cobrem a privacidade de dados, incluindo o Regulamento Geral de Proteção de Dados da UE (GDPR) e o Ato de Privacidade do Consumidor da Califórnia (CCPA).

Dezenas de países e estados dos EUA estão seguindo o exemplo com regulamentações semelhantes para proteger os dados de indivíduos. A empresa de pesquisa Gartner previu que, até o final de 2023, as leis de privacidade modernas cobrirão as informações pessoais de 75% da população mundial.

Aqui estão alguns erros a evitar, de acordo com especialistas:

Tratar auditores como adversários

Às vezes é difícil não adotar uma postura defensiva, diz Gary Kern, CIO da Middlefield Banking. Isso pode acontecer quando os auditores e examinadores questionam as iniciativas de TI e seu impacto na conformidade. “Você tem pessoas que definem sua estratégia bem pensada e sabe que eles vão comentar algo”, diz ele.

Permitir que isso crie atrito não ajudará em nada, no entanto. “É sempre melhor ter discussões cara a cara e falar sobre suas perspectivas e contemplar como isso pode tornar seu ambiente melhor”, diz Kern. “A esperança é que todos busquem a mesma coisa, inclusive aqueles que fizeram as regras de compliance, e isso é garantir que não aconteçam erros, que o ambiente seja melhor e haja mais transparência no processo”.

Kern teve a chance de colocar essa tática à prova com um exame no banco. “Eu não estava necessariamente a bordo com algumas das conclusões preliminares, então tive uma discussão aprofundada com o examinador líder de TI para chegar aos ‘porquês’ dos comentários e tentar explicar de forma não defensiva o que podemos estar fazendo em vez disso”, diz ele. “Chegamos a um acordo que ambos consideramos justo e então seguimos em frente”.

Cerca de seis meses depois, o examinador pediu a Kern para participar de um painel de banqueiros em uma conferência anual de treinamento nacional de examinadores. “Essa foi uma grande experiência para mim, que forneceu insights ainda melhores sobre todo o processo”, diz ele.

Frequentemente, os reguladores obtêm suas observações de relatórios de auditoria interna (IA), diz Samir Datt, Diretor Administrativo da Prática de Consultoria de Tecnologia da consultoria Protiviti. “Se os CIOs colaborarem e adotarem o processo de IA em vez de se esconderem, eles terão a oportunidade de abordar proativamente a conformidade regulatória antes da revisão regulatória”, diz ele.

Manipulação incorreta de exceções

Existem exceções para a maioria das regras e isso se aplica aos regulamentos que regem diferentes aspectos de TI.

“Raramente a resposta é certa em 100% dos casos, especialmente se houver compensações de negócios, segurança e impacto no cliente”, diz Kern. “Portanto, é bom implementar um processo de gerenciamento de exceções”.

Isso inclui documentar o que está sendo feito e porque pode entrar em conflito com uma regra de conformidade existente; quais etapas adicionais estão sendo tomadas para atender aos objetivos de conformidade; se contornar uma regra está sendo feito permanentemente ou se será revisado regularmente; e quais partes interessadas seniores que não são de TI aprovaram sobre a adequação da exceção.

“É verdade que existem algumas regras que simplesmente não podem ser contornadas”, afirma Kern. “Mas na situação em que uma decisão de negócios precisa ser feita para ‘aceitar o risco’, certifique-se de que isso seja totalmente explicado. Deve-se registrar como a intenção da regra de conformidade pode ser tratada de outras maneiras, ou a justificativa para por qual razão ela pode não fazer sentido em cada situação”.

Falhar em preparar sua equipe

Como acontece com a maioria dos aspectos de TI, a falta de habilidades, experiência e conhecimento necessários pode levar a problemas quando se trata de conformidade.

“Uma forte estratégia de conformidade começa com sua equipe”, diz Rashmi Kumar, CIO do provedor de tecnologia Hewlett Packard Enterprise (HPE). É importante que os CIOs construam uma equipe de conformidade que use uma abordagem de melhoria contínua para lidar com as mudanças de requisitos regulatórios relacionados à TI, diz ele.

A equipe de compliance de TI global da HPE “depende de um plano de melhoria contínua, onde identificamos continuamente as mudanças necessárias ao programa de conformidade nas áreas de relatórios, engajamento e gerenciamento de controle”, afirma Kumar. “Aproveitando nossa abordagem de compliance, conseguimos melhorar nosso tempo de entrega de evidências em cinco dias”.

Os esforços de compliance precisam ser multifuncionais, diz Kumar. “Tornamos a conformidade uma responsabilidade de todos, incluindo-a nas metas de cada indivíduo” dentro e fora da TI, diz ele. “Isso garante que [a empresa tenha] suporte e engajamento de toda a organização, aumentando a cultura de compliance”.

Permitir o compliance para ditar a segurança

Embora os líderes de TI e cibersegurança precisem estar a par das questões de compliance, especialmente mandatos regulatórios, “a meta deve ser sempre um programa de segurança sólido que ofereça suporte adequado ao seu negócio, aos objetivos da empresa e ao setor vertical em que você opera”, afirma Russel Prouix, CISO na empresa de pagamentos de saúde Zelis. “Se você fizer isso, compliance se tornará um resultado e não apenas a meta”.

As medidas básicas de segurança geralmente são mal gerenciadas, resultando em um obstáculo para a conformidade, diz Prouix. Isso inclui correção adequada e gerenciamento de vulnerabilidade, higiene de segurança de conta de usuário (ou remoção de contas em tempo hábil quando um funcionário deixa a organização), uso de autenticação de dois fatores para acesso remoto e segurança adequada e gerenciamento de dispositivo móvel para dispositivos móveis, diz o CISO.

“A segurança adequada requer uma abordagem de cima para baixo”, diz Prouix. Antes de tentar implementar qualquer iniciativa do programa de segurança cibernética, incluindo aquelas que apoiam a conformidade, “você deve ter a adesão do conselho, do CEO e da liderança executiva para definir o tom”, diz ele. A TI e a segurança precisam se associar à empresa para garantir a proteção de dados e, ao mesmo tempo, permitir que os dados fluam para que a empresa floresça e se mantenha competitiva, diz ele.

Omitir as principais ferramentas de tecnologia

Há todo um mercado de tecnologias que atendem às necessidades de compliance e, embora as equipes jurídicas e de compliance possam ser responsáveis por adquiri-las, os líderes de TI podem certamente estar envolvidos em ajudar a selecionar e implantar as soluções mais adequadas.

O Gartner, em setembro de 2021, identificou três áreas em que os líderes de compliance devem concentrar seus investimentos em tecnologia. Uma delas são os sistemas básicos de registro. Os investimentos nesses sistemas para compliance podem reduzir a captura de dados ad hoc necessária para relatórios e construir conjuntos de dados que poderiam desbloquear o potencial da análise e inteligência artificial (IA) para compliance, diz a empresa.

Outra área são os fluxos de trabalho habilitados digitalmente. As equipes jurídicas e de compliance enfrentam mais trabalho para gerenciar do que nunca, diz o Gartner, e digitalizar os fluxos de trabalho de maior volume é viável por meio da tecnologia e pode fornecer melhorias significativas no fluxo de trabalho.

A terceira área é a gestão digital de riscos. A volatilidade regulatória, a transformação do negócio digital, o aumento dos riscos de segurança cibernética e a magnitude das informações derivadas do risco monitorado e das atividades de segurança estão prejudicando a capacidade das organizações de gerenciar riscos de maneira eficaz por meios analógicos tradicionais, afirma a empresa. Os líderes de compliance devem procurar oportunidades para otimizar o gerenciamento de riscos e atividades relacionadas à conformidade e melhorar sua compreensão dos riscos por meio da integração do sistema com fontes de dados de nível operacional, afirma.

A adoção de tecnologia para a equipe de compliance média atrasa muitas outras funções corporativas, observa Zack Hutto, Diretor de Consultoria em Práticas Jurídicas e de Compliance do Gartner. As equipes devem primeiro estabelecer sistemas básicos de registro e, em seguida, investir em ferramentas para facilitar os principais fluxos de trabalho, antes de explorar oportunidades mais sofisticadas, como gerenciamento de risco habilitado digitalmente, diz ele.

Não entender a intenção do regulamento

Em alguns casos, a compreensão das organizações sobre uma questão regulatória pode não estar totalmente alinhada com a intenção regulatória, o que pode levar à confusão. Isso pode se aplicar a questões relacionadas a TI, como privacidade de dados.

“Frequentemente, vemos empresas voltando atrás com uma resposta sem realmente entender o que os reguladores pedem”, diz Datt. “Os reguladores costumam fornecer observações/MRAs [questões que requerem atenção], o que é uma ‘dica’ do que eles realmente veem como um problema”.

Portanto, em vez de focar excessivamente na verborragia do MRA ou observação, as organizações deveriam realmente entender o espírito do que está sendo indicado, diz Datt. “Um bom diálogo colaborativo com os reguladores ajuda a entender o espírito do que está sendo indicado”, afirma.

Falta de governança estruturada

Embora as organizações possam ter processos e controles substantivos em vigor, elas geralmente carecem de uma governança estruturada e estrutura de risco que confirme a cobertura de risco, bem como o alinhamento de seus processos e controles aos requisitos regulamentares, diz Datt.

“A falta de processos estruturados e documentados pode levar a uma arquitetura/controles corporativos não racionalizados, agitação na resposta a consultas regulatórias ou de outras partes interessadas ou possíveis pontos cegos de exposição”, diz Datt.

Os CIOs e outros líderes de tecnologia devem ajudar a facilitar uma estrutura de governança geral que reúne equipes de segurança da informação, arquitetura corporativa, aplicativos e infraestrutura de uma forma que incorpore o compliance regulamentar na entrega de tecnologia desde o projeto, diz Datt.

Originalmente publicado no CIO.