Há alguns anos, começámos a falar de DevOps. Depois vieram o SecOps, o FinOps e o DataOps.
Todas estas disciplinas chegaram à mesma conclusão: gerir um processo complexo não consiste em ter boas ferramentas, mas sim em construir um sistema capaz de funcionar de forma contínua, automatizada e mensurável.
No entanto, há uma área da empresa que ainda não passou por essa transformação. Em demasiadas organizações, a conformidade continua a ser um dos últimos grandes processos geridos com base em e-mails, folhas de cálculo e lembretes pessoais.
Paradoxalmente, nunca houve tantas obrigações regulamentares… nem tantas ferramentas para as gerir. E, no entanto, muitos departamentos de Compliance continuam a dedicar boa parte do seu tempo a procurar documentos, a reconstruir provas e a lembrar-se de tarefas pendentes.
A razão não é que faltem ferramentas. É que a maioria foi concebida para resolver obrigações específicas, e não para gerir a conformidade de forma abrangente. Uma para o canal de denúncias, outra para a gestão de terceiros, outra para os riscos… mas nenhuma para o conjunto.
O problema já não é a falta de software. É a falta de um sistema operativo para a conformidade.
Talvez o problema nunca tenha sido a regulamentação.
O problema nunca foram as regras
Quando se pergunta a um responsável pela conformidade qual é a sua maior dificuldade, ele quase nunca responde que é interpretar uma lei.
Os problemas costumam ser muito mais banais.
- Quem é que devia ter revisto esta política?
- Que fornecedor ainda está por avaliar?
- Onde estão as provas desse controlo?
- Quem fez a última aprovação?
- Quais são os funcionários que ainda não concluíram a formação obrigatória?
- Que riscos é que já não são revistos há seis meses?
O trabalho de compliance hoje em dia não se resume apenas a conhecer a legislação.
Consiste em garantir que centenas de pequenos processos aconteçam na altura certa. E, acima de tudo, que fique registado.
O compliance já não se resume à documentação
Durante anos, associamos a conformidade regulamentar a documentos: políticas, procedimentos, matrizes de risco, relatórios ou registos.
Mas a realidade é outra. Hoje em dia, o compliance é uma atividade contínua. Todos os dias acontecem coisas:
- É contratado um funcionário.
- Assina-se um fornecedor.
- Uma política é alterada.
- Acontece um incidente.
- Foi detetado um novo risco.
- Uma certificação expira.
- É executado um controlo.
Cada um desses eventos gera uma obrigação. E cada obrigação precisa de um responsável, um prazo, uma prova e uma rastreabilidade. O verdadeiro objetivo da conformidade já não são os documentos. São os processos que geram esses documentos. Por outras palavras: já não estamos a gerir documentação.
Estamos a gerir as operações.
Operações de Conformidade
Cada vez mais organizações estão a perceber que a conformidade regulamentar tem de funcionar como um processo contínuo, e não como um projeto que só se reativa sempre que se aproxima uma auditoria.
Não basta preparar uma auditoria. Tens de estar preparado para qualquer auditoria, a qualquer momento.
Não basta guardar provas. É preciso criá-las naturalmente, à medida que a organização funciona.
Não basta reagir quando surge um problema. É preciso identificar quais são as tarefas pendentes antes mesmo de o problema surgir.
Chamamos a esta forma de trabalhar de Compliance Operations (ComplianceOps): uma gestão da conformidade baseada em processos contínuos, automatização, colaboração e rastreabilidade.
Operações de Conformidade em ação
Em vez de depender de e-mails, folhas de cálculo do Excel e da memória de alguém, os processos passam a fazer parte do funcionamento normal da organização.
Quando entra um novo colaborador, recebe automaticamente as políticas que tem de aceitar, são-lhe atribuídas as formações obrigatórias, são-lhe solicitados os formulários necessários e cada aceitação fica registada. (People Compliance).
Quando se adiciona um fornecedor, inicia-se o seu processo de homologação, recolhe-se a documentação necessária, calcula-se a sua importância e programa-se automaticamente a sua reavaliação futura. (Third Party Manager).
Quando surge um incidente, este é documentado no momento em que ocorre, são atribuídos responsáveis e prazos, são criadas as tarefas de resolução, as provas são guardadas e fica registada toda a cronologia, desde a deteção até ao encerramento. (Incident Manager).
Quando uma política muda, segue-se o processo de aprovação, publica-se a nova versão, pede-se novamente a aprovação a quem de direito e guarda-se o histórico completo das versões e assinaturas. (Policy Manager).
Quando um risco está há meses sem ser revisto, o sistema não se limita a lembrar que ele existe. Mostra toda a sua evolução: quem o identificou, como é que a sua gravidade mudou, que controlos foram implementados, que provas existem e quando é que deve ser reavaliado. (Gestor de Risco).
Não depende de ninguém se lembrar.
O sistema acompanha o processo.
A auditoria deixa de ser um projeto
Muitas organizações encaram a auditoria como uma corrida de última hora.
- Semanas à procura de documentos.
- A reavaliar decisões.
- À procura de provas.
- O problema quase nunca é a auditoria.
- O que se passa é que as provas nunca foram recolhidas corretamente desde o início.
As organizações mais maduras funcionam exatamente ao contrário. Vão reunindo as provas dia após dia. Quando chega a auditoria, limitam-se a mostrar o que já existe.
Porque a melhor auditoria é aquela que praticamente se prepara sozinha.
O verdadeiro trunfo é a confiança
A maioria das organizações não vai ser questionada só por não ter uma política.
Vão ser questionados porque não conseguem provar que essa política estava em vigor, que foi aprovada, comunicada, aceite e revista. Cada vez mais clientes, investidores, administrações públicas, entidades certificadoras e organismos reguladores procuram exatamente o mesmo.
Não querem promessas. –> Querem provas.
E essa diferença muda completamente a forma como entendemos o compliance.
O futuro da conformidade vai ser operacional
Tal como o DevOps mudou a forma de desenvolver software e o SecOps transformou a segurança, tudo indica que a conformidade regulamentar vai evoluir para modelos muito mais operacionais.
- Menos documentos isolados.
- Menos processos manuais.
- Menos folhas de cálculo.
- Mais automatização.
- Mais integração.
- Mais acompanhamento.
- Mais provas.
Porque o objetivo da conformidade já não é apenas cumprir uma norma. É fazer com que a conformidade passe a fazer parte do funcionamento natural da organização. As empresas que compreenderem esta mudança não só vão dedicar menos tempo a preparar auditorias, como também vão tomar melhores decisões, reagir mais rapidamente aos riscos e conseguir demonstrar a sua conformidade a qualquer momento.
É isso mesmo que são as Operações de Conformidade.
E provavelmente será a próxima grande evolução da conformidade.
O compliance do futuro não vai ser avaliado pelo número de políticas que uma organização tiver. Vai ser avaliado pela sua capacidade de demonstrar, a qualquer momento, que essas políticas funcionam mesmo e são cumpridas.
O Compliance deixou de ser um departamento.
Está a começar a tornar-se o sistema operativo da organização.
Em Ithikios já há algum tempo que estamos a construir esta visão: uma plataforma onde pessoas, políticas, riscos, incidentes, terceiros, controlos e evidências fazem parte de um único sistema operativo de conformidade.
Porque achamos que o futuro não passa por ter mais ferramentas isoladas, mas sim por dispor de uma plataforma capaz de gerir a conformidade de forma contínua.
Como é que o trabalho da tua equipa mudaria se a conformidade deixasse de depender do Excel, de e-mails e de lembretes para se tornar um processo dinâmico, automatizado e sempre pronto para apresentar provas?
Se quiseres ver como isto se aplica à tua organização, pede uma demonstração.