The ITAM Review

News, reviews and resources for worldwide ITAM, SAM and Licensing professionals.

A Grande Mentira de Compliance

DSC_0172

‘Grandes mentiras frequentemente voltam para assombrar o narrador.’

Ao longo de quase duas décadas de vida profissional, não é raro encontrar momentos em que me questiono se o que ouvimos de nossos clientes realmente é verdade.

Trabalhando a maior parte do tempo como prestador de serviços cujo objetivo é assessorar os clientes a evitar riscos e estar de alguma forma, em conformidade – ou no termo original em inglês, compliance – com algum requerimento legal, ou melhores práticas de controles internos ou ainda com o objetivo de evitar perdas, sejam elas financeiras ou não, muitas vezes me deparo com uma situação curiosa.

Por exemplo, frequentemente, em conversas diversas com líderes das áreas financeira e de tecnologia, de empresas dos mais variados portes e culturas, tenho sido questionado sobre um assunto relativamente novo no Brasil, Gestão de Ativos de Software, que é a disciplina que busca manter um adequado controle sobre este tipo de ativo que nas empresas é classificado como intangível, mas que já responde por mais de 21% dos gastos do orçamento de Tecnologia da Informação, superando até mesmo o gasto com hardware nos últimos quatro anos, segundo o relatório IT Key Metrics Data (Feb/2014), do Gartner.

Não raro, ao mencionar os benefícios da adoção destes processos de controle para este tema, a resposta imediata é: “aqui em nossa empresa não temos esse problema, nós controlamos nosso software adequadamente”, ou “temos a ferramenta “X” que é sensacional para este tipo de tarefa e nos trouxe um retorno de Y”.

O que é interessante nesta situação é como as pessoas rapidamente respondem que tem tudo sob controle, quando na verdade, elas mesmas sabem que não tem, ou pior ainda, não fazem a menor ideia do tamanho do problema até que comecem a receber solicitações de auditorias de software, por parte dos fabricantes.

READ ALSO:  Reader Survey Results - Hot topics, trends and priorities for 2020

Nenhuma organização está totalmente em compliance. Na verdade essa não é uma mentira que as pessoas contam para si mesmas. Elas contam para os outros também, compartilhando esse conceito ilusório que tem de seu próprio ambiente de controles internos.

Este comportamento gera um perigo maior, uma falsa sensação de segurança que pode sabotar a real solução para problemas reais, aqueles que estão ali dentro da empresa prontos para serem detonados quando o gatilho correspondente for acionado, e muitas vezes, o gatilho é acionado quando menos se espera.

Importante notar que estar “compliance” não é um processo que tem data para começar e para terminar. É um caminho sem fim, onde controles adequadamente criados para monitorar os riscos reais de uma operação, devem ser executados, testados e reportados periodicamente, para que então os resultados possam ser fornecidos para o público adequado: órgãos reguladores, auditores, acionistas e etc.

Esta dinâmica de compliance é resultado do próprio momento em que vivemos, com tantas revoluções tecnológicas acontecendo em um intervalo de tempo cada vez menor. Um mundo cada vez mais conectado, com blocos comerciais cada vez mais integrados e coesos. O que era correto e/ou suficiente hoje, pode não ser daqui a seis, doze meses, logo, aquela certificação conquistada com muito sacrifício há um ano atrás precisa ser renovada, pois o mundo avança em constante mudança.

É claro que existem organizações que buscam estar sempre à frente nesta corrida por compliance, mas isso é diferente de estar completamente em compliance.

Para citar o exemplo de Gestão de Ativos de Software, essas seriam as empresas que atendem os requisitos da auditoria de compliance de licenciamento com rapidez, apresentando controles adequados, atualizados, e nas quais os trabalhos ocorrem com a rapidez que devem ocorrer, e que, se existir algum ajuste dos níveis de utilização de software, este ajuste não irá causar grandes estragos no orçamento. Essas empresas também tem prontas as listas de pontos de atenção e questionamentos aos fabricantes de software e seus auditores, estabelecendo uma conversa de nível técnico adequado, equilibrado e frequentemente conseguem negociar de maneira vantajosa algum eventual custo de regularização.

READ ALSO:  Market Guide - Free Inventory Tools

Finalmente, estas empresas não enxergam as atividades de compliance como um peso adicional sobre suas operações, pelo contrário, trabalham melhor quando estas atividades estão incorporadas no dia a dia de suas operações.

Grandes mentiras frequentemente voltam para assombrar o narrador. Não minta para si mesmo sobre compliance.

E o que você acha sobre o tema? Acredita que ele tem sido pouco ou inadequadamente debatido nas empresas? Como sua empresa está tratando este tema?

 

This article was contributed by André Rangel. If you would like to get in contact with André please contact him  via email – alr@hsce.com.br.

 

Image Credit 

email

About André Rangel

André Rangel is a subject matter expert on Software License Optimization, Software Asset Management (SAM) and Software License Contract Compliance.

André has experience helping organizations to optimize their SAM programs as well as assisting both software vendors and their customers (licensees) in understanding software deployment and entitlements, help them to better manage their software and hardware assets, reducing exposures and obtaining greater value from investments in software and hardware.

André is subject matter expert on SAP Application Security (including implementation and assessment), SAP Basis System Administration Technology Platform. André has over than 17 years of experience on Segregation of Duties controls, focusing SAP systems, from release 3.x to actual ECC 6.0 on financials, Controlling, Treasuring and Consolidation controls.

His overseas work experience includes security and risk management projects on USA, United Kingdom, Chile, Peru, Argentina and Bolívia.

Leave a Comment