Degemer / Blog / General / Gestão de Compliance: qual a importância de fazer uma?

Gestão de Compliance: qual a importância de fazer uma?

A gestão de compliance é uma prática para toda empresa garantir a conformidade de seus processos internos e externos com as leis, normas do mercado e regulamentos específicos a cada área de atuação.

No Brasil, o compliance ganhou força com a aprovação da Lei Anticorrupção, e mais tarde, com a formalização da Lei Geral de Proteção de Dados (LGPD). Nos últimos anos, o gerenciamento de compliance tem ganhado mais força para impedir ações indevidas ou ilegais por parte das empresas, principalmente quando falamos da manipulação de dados sensíveis e fraudes.

No artigo de hoje, vamos entender o que é a Gestão de Compliance, qual sua importância e porque ela deve ser feita com cuidado. Continue lendo!

Primeiro, o que é compliance?

O termo compliance pode ser traduzido como "conformidade", e é exatamente isso a que ele se refere: o fato de uma instituição estar em conformidade com a legislação local e regulamentos da indústria.

Em outras palavras, a área de compliance de uma empresa garante a legalidade e a ética para cada processo interno e externo, realizado por funcionários ou prestadores de serviço.

Ela existe porque cada instituição opera em um ambiente complexo, com múltiplos fornecedores, colaboradores e clientes, o que destaca a necessidade de um sistema de regras e normas.

É importante dizer que "estar em conformidade" tem significados diferentes para cada área de atuação. Um restaurante, por exemplo, precisa seguir as regulamentações da Agência Nacional de Vigilância Sanitária (ANVISA), enquanto empresas que lidam com dados de transações financeiras precisam estar em compliance com o BACEN.

Mas, segundo uma pesquisa do World Economic Forum, apenas 14% das organizações dizem que possuem bons recursos e uma boa equipe para atender às demandas de segurança e compliance. Esse número só evidencia que, apesar de importante, a gestão de compliance não atingiu um nível satisfatório de desempenho.

Gestão de Compliance: o que é?

Na prática, a área de compliance não é um departamento isolado dentro de uma instituição, e sim um sistema que faz parte de todas as tomadas de decisão do negócio.

A gestão de compliance é um conjunto de normas, políticas e diretrizes internas para assegurar que a empresa cumpra as leis e regulamentos de maneira correta. Isso engloba as operações internas e externas que envolvem prestadores de serviço ou fornecedores.

Dados da Be.Aliant revelam que 65% das empresas brasileiras operam com um time de compliance de duas à cinco pessoas, e apenas 17% delas possuem um profissional exclusivamente dedicado para a área.

Isso significa que, na maioria das grandes empresas do país, os profissionais de compliance se dividem em outras tarefas e precisam mobilizar todas as equipes para agir em conjunto.

Como estruturar esse processo?

O ponto de partida do gerenciamento de compliance é entender como funcionam os processos internos, onde o time analisa todas as etapas e identifica quais atividades podem apresentar riscos legais, regulatórios ou éticos. A partir disso, a gestão de compliance propõe adequações para reduzir o nível de exposição da empresa.

Essa análise é especialmente importante para empresas que lidam com dados sensíveis de clientes ou usuários, como empresas de software ou redes sociais.

A partir do mapeamento dos riscos, a empresa precisa criar normas de condutas e implementá-las como políticas internas para todos os times. Também é responsabilidade da instituição oferecer treinamentos para que os colaboradores entendam como prevenir e como agir em casos de falha de segurança.

A gestão de compliance é algo que precisa ser revisado periodicamente, principalmente em mercados em que é comum a atualização de regulamentações. Caso contrário, uma gestão desatualizada pode seguir representando riscos sérios à empresa, aos clientes e a sua reputação.

Por que é importante ter uma gestão de compliance?

O gerenciamento de conformidade é fundamental para aumentar a transparência da empresa, evitando fraudes, multas e danos à reputação da organização. Ela também atua para proteger seus colaboradores e clientes.

Ações como lavagem de dinheiro e corrupção, por exemplo, podem ser rastreadas pela gestão de compliance. Mesmo que o objetivo final seja prevenir tais ações, esse conjunto de práticas pode detectar atividades fraudulentas e corrigi-las o quanto antes.

Para empresas que lidam com coleta de dados, o cuidado com conformidade deve ser ainda maior. Em 2014, o escândalo entre uma empresa de tecnologia, que detém as principais redes sociais do mundo, e de uma consultoria deixou um marco na história da privacidade de dados.

Na época, a consultoria recolheu dados de cerca de 80 milhões de usuários da rede social, a fim de investigar possíveis cenários nas eleições estadunidenses em 2016. Os usuários não foram avisados que suas informações estavam sendo recolhidas por uma empresa terceirizada.

Até hoje, esse segue sendo um dos maiores casos de quebra de compliance em relação à privacidade de dados na internet.

Os 7 pilares da gestão de compliance

Suporte da alta administração, avaliação de riscos, código de ética e políticas internas, controles internos, treinamento e documentação, canal de denúncias e correção de falhas.

O objetivo final de qualquer empresa é estar em conformidade com os regulamentos e principais órgãos do setor. No entanto, mesmo com uma boa gestão de compliance estruturada, é possível encontrar desvios de condutas ou falhas de segurança.

Nesse sentido, entram em cena os 7 pilares da gestão de compliance:

1. Suporte da alta administração

O sucesso de um programa de compliance depende do apoio da alta administração. Todos os líderes, gerentes e C-Levels devem participar do seu planejamento e organização.

Isso é importante para demonstrar para os funcionários que compliance é um assunto sério e que todos devem fazer sua parte.

2. Avaliação de riscos

É necessário avaliar cada etapa dos processos internos e documentar toda a análise. Como cada empresa possui um nível de risco diferente, o mapeamento precisa refletir as especificidades do negócio.

3. Código de ética e políticas internas

O código de ética é um documento que detalha quais ações são encorajadas dentro de uma empresa, e quais não são toleradas. Além disso, também são fundamentais para criar uma cultura organizacional conscientizada em relação a compliance.

Já as políticas internas são mais operacionais: definem procedimentos, processos e responsáveis por cada ação.

4. Controles internos

Os controles internos são uma "checagem" realizada pela própria equipe, com foco em identificar irregularidades e prevenir ações fraudulentas antes que causem danos à organização.

Em uma empresa de desenvolvimento de software, por exemplo, os controles internos podem envolver: revisão de código com foco em segurança, gestão de vulnerabilidades e auditorias de logs de acesso.

5. Treinamento e documentação

As regras estabelecidas para manter um alto nível de compliance devem ser comunicadas à toda equipe e deve haver um registro formal dessas normas.

Também é responsabilidade da empresa oferecer treinamento adequado para os colaboradores, a fim de aumentar a qualidade da gestão de compliance.

6. Canal de denúncias

Um canal de denúncias seguro e anônimo permite que qualquer colaborador reporte uma irregularidade, ajudando na detecção de falhas ou erros de segurança.

7. Correção de falhas

Essa deve ser a prioridade da gestão: corrigir falhas e garantir que elas não aconteçam novamente. A solução varia de acordo com a falha detectada, seja causada por processos sem certificados de segurança ou por colaboradores.

Como as empresas podem se manter em conformidade com diferentes regulamentos?

Apesar de parecer um processo complexo, toda instituição deve operar em níveis diferentes para estar em conformidade com órgãos de regulamentação variados, desde os mais amplos (como a legislação federal) até os mais nichados para cada setor do mercado.

Na ManageEngine, além de seguir as orientações da LGPD e da General Data Protection Regulation (GDPR), aplicada na Europa, atuamos com os principais certificados de compliance do mercado, como o ISO/IEC, SOC e mais.

Em paralelo, cada produto oferece compliance para áreas de atuação específicas. Por exemplo: o ADAudit Plus, uma solução de auditoria do Active Directory, reafirma conformidade com:

SOX: baseada na Lei Sarbanes-Oxley, criada em 2002 para garantir transparência, governança corporativa e controles internos em empresas de capital aberto;
HIPAA: focada no setor de saúde e seguros, essa lei oferece uma maior proteção para dados sensíveis de saúdes dos pacientes;
PCI DSS: desenvolvida especialmente para operadoras que processam pagamentos por cartão com objetivo de proteger informações financeiras e evitar vazamentos de dados;
FISMA: determina que agências federais criem protocolos de seguranças rigorosos para lidar com informações sensíveis ao público;
GLBA: implementada para garantir uma camada de segurança a mais em instituições de serviços financeiros em relação ao compartilhamento de dados de seus clientes.

IA e o futuro da gestão de compliance

Apesar dos grandes avanços que a Inteligência Artificial (IA) trouxe para as organizações, ela ainda representa sérios riscos de segurança.

Um estudo do Google fez um alerta para uma nova tendência: malwares adaptáveis gerados por Inteligência Artificial que se moldam a qualquer ambiente invadido para não deixar rastros. Isso dificulta a atuação preventiva e a correção de falhas, aumentando ainda mais os ataques de cibersegurança.

A pesquisa também chama atenção para ataques elaborados de engenharia social a partir de deepfakes (vídeos e áudios manipulados por Inteligência Artificial utilizado em golpes online).

Outro relatório da Veracode aponta que 45% dos códigos gerados por IA possuem falhas graves de segurança, facilitando ataques e vazamento de dados sensíveis (como número de CPF e dados de cartão de crédito).

Mesmo que 65% das organizações dizem ter visibilidade sobre como as ferramentas de IA são utilizadas internamente, 51% acreditam que o uso aumenta consideravelmente os riscos de segurança.

Enquanto não existir uma regulamentação rigorosa em relação ao uso de IA para prevenir ataques de cibersegurança, as empresas que adotam a tecnologia precisam fazer uma gestão de compliance e assumir responsabilidade em caso de falhas graves.

É preciso ter um controle de qualidade criterioso, métricas de segurança e testes de confiabilidade, além de estabelecer um plano proativo se a empresa for exposta.

Conclusão

A gestão de compliance é um elemento indispensável dentro de qualquer ambiente corporativo, pois ela tem como objetivo final proteger a empresa de irregularidades e, em muito casos, proteger os dados de seus clientes e usuários.

Mesmo com as diferentes regulamentações, a sua empresa precisa estar a par de todas as atualizações e garantir que todos os processos sejam executados com segurança, atenção e de maneira legal.

O VulnerabilityPlus da ManageEngine ajuda sua empresa a rastrear pontos de vulnerabilidade, analisar ataques e gerenciar sua conformidade por meio de uma auditoria completa. Clique aqui e faça um teste grátis!

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil.