 Ricardo Castro
Gerente de Educação |
Os desafios no atendimento de exigências regulamentares, de controle e qualidade em tecnologia são evidentes, uma vez que cada vez mais é indissociável a TI das práticas cotidianas de comunicação e negócios.
Muitas vezes nos esquecemos de aspectos de controle quanto tratamos de temas relacionados a tecnologia da informação. Uma das práticas que impactam cada vez mais nosso dia a dia é o atendimento a leis nacionais e, por vezes, internacionais no desenvolvimento de aplicações e criação de soluções.
Um grande equívoco que (infelizmente) ainda figura no senso do cidadão comum é a afirmação de inexistência de leis que no âmbito da Internet e no uso dos recursos tecnológicos, como se o ambiente informático fosse um mundo sem leis, no qual se admitiria qualquer conduta, ainda que ofensiva a empresas e pessoas.
Além disso, devido ao fato de a TI ter viabilizado processos de negócios pervasivos integrados entre organizações, há ainda uma crescente necessidade de assegurar que os contratos incluam importantes requisitos de TI em áreas tais como privacidade, confidencialidade, propriedade intelectual e segurança.
A Alta Administração deve garantir que os cumprimentos dos requisitos regulatórios externos sejam tratados como parte de um planejamento estratégico ao invés de se materializar em uma reação tardia e custosa. Os membros da alta direção também devem dar o tom do alto escalão e estabelecer políticas e procedimentos para seus gerentes e equipes, visando garantir que os objetivos corporativos sejam alcançados, o risco seja minimizado e a conformidade seja atingida. A alta gerência deverá encontrar o equilíbrio adequado entre desempenho e conformidade, garantindo que as metas de desempenho não coloquem em risco a conformidade e, de forma recíproca, que o regime de conformidade seja adequado e não restrinja excessivamente a operação do negócio.
Dessa forma, a conformidade com as leis e regulamentos externos é um dos objetivos estratégicos de negócio para a maioria das corporações e, no contexto de tecnologia, deve ser suportado adequadamente por sistemas de informação para a adequada redução de riscos negativos ao negócio e partes interessadas.
O COBIT 5 mapeia os Objetivos Corporativos nas dimensões do balanced scorecard e os vincula a Objetivos de TI para que se garanta a conformidade com leis e regulamentos externos, a saber:
|
Dimensão Financeira
|
Dimensão Cliente
|
Dimensão Interna
|
|
|
|
Aprofundando mais a aplicação de processos de gestão e governança de TI e sua contribuição e para a conformidade com as leis e regulamentos externos do COBIT 5, temos:
-
APO02 Gerenciar a estratégia: ajuda a garantir a existência de um alinhamento entre o plano de TI e os objetivos gerais da organização, inclusive as exigências de governança.
-
MEA02 Monitorar, avaliar e analisar o sistema de controle interno: permite que a diretoria avalie se os controles são adequados para cumprir os requisitos de conformidade.
-
MEA03 Monitorar, avaliar e analisar a conformidade com os requisitos externos: ajuda a garantir que os requisitos de conformidade externos sejam identificados, a alta direção estabeleça a orientação para a conformidade e a conformidade de TI em si seja monitorada, avaliada e informada como parte da conformidade geral com os requisitos da organização.
O guia de auditoria do COBIT 5 explica como os auditores podem fornecer uma garantia independente da conformidade e aderência às políticas derivadas de diretivas internas ou de exigências legais, regulatórias ou contratuais externas, confirmando que todas as ações corretivas para tratar de qualquer falha na conformidade tenham sido tomadas tempestivamente pelo responsável pelo processo.
Os desafios no atendimento de exigências regulamentares, de controle e qualidade em tecnologia estão cada vez mais evidentes, uma vez que cada vez mais é indissociável a TI das práticas cotidianas de comunicação e negócios.
E você? O que pensa a esse respeito?
Referências
Fonte: ITFORUM 365, em 27.08.2015.