Cadastre-se e receba o nosso conteúdo

Marcos Assi

Professor e Comendador MSc. Marcos Assi é Mestre em Ciências Contábeis e Atuariais pela PUC-SP.
Possui Certificação Internacional pelo ISACA – CRISC – Certified in Risk and Information Systems Control e Certificação pela Exin – ISFS – Information Security Foundation e autor de diversos livros. +

Cuidado ao contratar seus profissionais de compliance, controles internos, riscos e auditoria

Nos últimos meses, tenho notado que as pessoas perderam um pouco da noção de segurança e da privacidade de dados pessoais e corporativos, justamente nos grupos de aplicativos, nos quais as pessoas têm trocado planilhas com informações das empresas em que trabalham ou já trabalharam. Estamos confundindo “network” com troca de informações, quer sejam elas políticas, procedimentos, matrizes de riscos, modelos de relatórios de auditoria, ao quais, em muitos casos, foram adquiridos por meio de consultorias, mas a proatividade deixa de lado a segurança e o sigilo das informações.

Acredito que precisamos enfatizar em nossos programas de segurança da informação que este tipo de “ajuda” está totalmente fora das políticas de conduta e ética, sem contar os inúmeros materiais de outras pessoas que são disponibilizados sem permissão e, em muitos casos, sem fonte ou referência. De vez em quando surgem até normas ISO, que são documentos restritos e segundo termos do próprio documento não podem ser repassados. Mas por que isso acontece?

Não paro por aqui não, existem profissionais que são contratados como especialistas nas empresas, sejam eles CLT ou consultores em GRC (assim fica melhor para contemplar os departamentos), e pedem modelos de matrizes de compliance, políticas de gestão de terceiros, de conduta e ética, planos de auditoria, modelos de procedimentos de due dilligency e até de políticas de prevenção a lavagem de dinheiro! Mas este profissional não deveria possuir tal conhecimento para implementar isso na empresa que o contratou? Será que estou muito implicante e chato, ou o empresário contratou errado? Tenho esta dúvida.

E o que mais me assusta é que muitos pedem modelos de tudo e outros que repassam documentos sem pensar nos direitos autorais de quem os criou e/ou comprou. E mais uma vez questiono: por que isso acontece? Acredito que a vontade de ajudar deve ser maior que a segurança. Muitos destes “ditos” profissionais vivem do conhecimento dos outros e, às vezes, conseguem enganar algumas pessoas por algum tempo, isso sem contar os inúmeros casos de plágio que já identificamos, nos modelos de cópia e cola de internet, principalmente de códigos de conduta e ética das empresas que disponibilizam tal conteúdo em seu portal na rede mundial.

Portanto, se você trabalha com controles internos, compliance, riscos, segurança da informação e auditoria, deveria olhar dentro de sua própria empresa a forma como seus documentos são compartilhados na rede externa, principalmente no WhatsApp, e orientar melhor o pessoal interno para que em hipótese alguma compartilhe documentos de sua empresa para “ajudar” alguém. Peça que estudem, trabalhem, leiam e busquem aprender como fazer; dessa forma, o profissional fica cada vez melhor, fazendo com que a eficiência e a eficácia sejam melhoradas, evitando certos riscos de vazamento de informações. Contudo, antes de alguma crítica, gostaria de frisar que é somente uma dica.

Assim, cuidado ao contratar profissionais, sejam eles por CLT ou terceiros. Obtenha comprovação de que realmente conhecem do assunto e poderão agregar ao seu negócio. Estou cansado de arrumar trabalhos ruins dos outros, concorrer com empresas que apresentam documentos de capacitação técnica falsos, desacreditando o trabalho em GRC de profissionais engajados em um mundo corporativo honesto. Afinal, compliance, agora virou uma “commodity”. Não basta ter somente políticas e regras, devemos mostrar como realmente podemos agregar valor ao negócio, com controles internos e gestão de riscos mais eficientes, e termos programas de compliance focados no negócio. Aqui vale o comentário: implemente um programa de compliance, pois o programa de integridade é somente uma parte do compliance e focada na prevenção à corrupção, mas muita gente tem feito isso por falta de conhecimento.

E se possível for, tenha uma auditoria interna e/ou externa que seja validadora de seus processos. Os auditores não são inimigos de sua empresa, são profissionais que buscam dar segurança aos seus processos operacionais, tendo em vista que sempre temos alguém tentando tirar vantagens de nosso negócio. Entendo que devemos avaliar melhor com quem e como as pessoas trabalham, pois quando não demonstramos a efetividade dos programas de governança, riscos e compliance, os empresários acreditam que isso é “modinha” e não dão valor ao trabalho bem realizado por muitos profissionais do mercado. E atenção: não existe a área de governança e compliance; governança é um modelo de gestão, e não uma diretoria, mas em breve falaremos sobre isso.

(08.10.2018)