A Grande Mentira de Compliance
‘Grandes mentiras frequentemente voltam para assombrar o narrador.’
Ao longo de quase duas décadas de vida profissional, não é raro encontrar momentos em que me questiono se o que ouvimos de nossos clientes realmente é verdade.
Trabalhando a maior parte do tempo como prestador de serviços cujo objetivo é assessorar os clientes a evitar riscos e estar de alguma forma, em conformidade – ou no termo original em inglês, compliance – com algum requerimento legal, ou melhores práticas de controles internos ou ainda com o objetivo de evitar perdas, sejam elas financeiras ou não, muitas vezes me deparo com uma situação curiosa.
Por exemplo, frequentemente, em conversas diversas com líderes das áreas financeira e de tecnologia, de empresas dos mais variados portes e culturas, tenho sido questionado sobre um assunto relativamente novo no Brasil, Gestão de Ativos de Software, que é a disciplina que busca manter um adequado controle sobre este tipo de ativo que nas empresas é classificado como intangível, mas que já responde por mais de 21% dos gastos do orçamento de Tecnologia da Informação, superando até mesmo o gasto com hardware nos últimos quatro anos, segundo o relatório IT Key Metrics Data (Feb/2014), do Gartner.
Não raro, ao mencionar os benefícios da adoção destes processos de controle para este tema, a resposta imediata é: “aqui em nossa empresa não temos esse problema, nós controlamos nosso software adequadamente”, ou “temos a ferramenta “X” que é sensacional para este tipo de tarefa e nos trouxe um retorno de Y”.
O que é interessante nesta situação é como as pessoas rapidamente respondem que tem tudo sob controle, quando na verdade, elas mesmas sabem que não tem, ou pior ainda, não fazem a menor ideia do tamanho do problema até que comecem a receber solicitações de auditorias de software, por parte dos fabricantes.
Nenhuma organização está totalmente em compliance. Na verdade essa não é uma mentira que as pessoas contam para si mesmas. Elas contam para os outros também, compartilhando esse conceito ilusório que tem de seu próprio ambiente de controles internos.
Este comportamento gera um perigo maior, uma falsa sensação de segurança que pode sabotar a real solução para problemas reais, aqueles que estão ali dentro da empresa prontos para serem detonados quando o gatilho correspondente for acionado, e muitas vezes, o gatilho é acionado quando menos se espera.
Importante notar que estar “compliance” não é um processo que tem data para começar e para terminar. É um caminho sem fim, onde controles adequadamente criados para monitorar os riscos reais de uma operação, devem ser executados, testados e reportados periodicamente, para que então os resultados possam ser fornecidos para o público adequado: órgãos reguladores, auditores, acionistas e etc.
Esta dinâmica de compliance é resultado do próprio momento em que vivemos, com tantas revoluções tecnológicas acontecendo em um intervalo de tempo cada vez menor. Um mundo cada vez mais conectado, com blocos comerciais cada vez mais integrados e coesos. O que era correto e/ou suficiente hoje, pode não ser daqui a seis, doze meses, logo, aquela certificação conquistada com muito sacrifício há um ano atrás precisa ser renovada, pois o mundo avança em constante mudança.
É claro que existem organizações que buscam estar sempre à frente nesta corrida por compliance, mas isso é diferente de estar completamente em compliance.
Para citar o exemplo de Gestão de Ativos de Software, essas seriam as empresas que atendem os requisitos da auditoria de compliance de licenciamento com rapidez, apresentando controles adequados, atualizados, e nas quais os trabalhos ocorrem com a rapidez que devem ocorrer, e que, se existir algum ajuste dos níveis de utilização de software, este ajuste não irá causar grandes estragos no orçamento. Essas empresas também tem prontas as listas de pontos de atenção e questionamentos aos fabricantes de software e seus auditores, estabelecendo uma conversa de nível técnico adequado, equilibrado e frequentemente conseguem negociar de maneira vantajosa algum eventual custo de regularização.
Finalmente, estas empresas não enxergam as atividades de compliance como um peso adicional sobre suas operações, pelo contrário, trabalham melhor quando estas atividades estão incorporadas no dia a dia de suas operações.
Grandes mentiras frequentemente voltam para assombrar o narrador. Não minta para si mesmo sobre compliance.
E o que você acha sobre o tema? Acredita que ele tem sido pouco ou inadequadamente debatido nas empresas? Como sua empresa está tratando este tema?
This article was contributed by André Rangel. If you would like to get in contact with André please contact him via email – alr@hsce.com.br.
Can’t find what you’re looking for?
More from ITAM News & Analysis
-
Broadcom is removing expired VMware licences from its portal - take action now!
Hot on the heels of Broadcom’s announcement of the end of perpetual licences for VMware it has given customers barely a week to download any keys for licenses from its portal with expired support. This is ... -
Who Loses When Broadcom Wins?
News of a new Broadcom deal rarely arrives with great fanfare. The November 2023 VMware acquisition provoked open worry online and in business circles, with many critics wondering whether the former Hewlett-Packard spinoff’s reputation would prove ... -
Software Vendor Insights: What do the numbers tell us about the opportunities for ITAM negotiations?
What software vendor insights can be gained from the latest financial results from Amazon, Google, Broadcom, Salesforce, IBM and SAP? An important part of ITAM is paying close attention to the health of the companies we ...