É muito comum nas empresas que as equipes internas confundam as atividades de Compliance e Auditoria com àquelas relacionadas à Governança, seja ela Corporativa ou de TI. Isto se deve ao fato de ambas as atividades se apoiarem fortemente em processos cobertos pelo framework do Cobit (Control Objectives related to Information Technology), o qual também é utilizado fortemente pelo BACEN, para efeito de mapeamento de controles de processos de TI e geração de Indicadores internos.
Quando um analista de Governança vai à campo efetuar, por exemplo, um mapeamento de GAP’s de processos de TI e inicia realizando diversas entrevistas nas áreas envolvidas, rapidamente àqueles departamentos associam tais atividades com as de Auditoria e/ou Compliance, gerando certo receio e resistência nas entregas das informações mais corretas e adequadas (verdadeiras). Muitas das vezes, durante tais processos de entrevistas individuais com pessoas chaves em cada processo de TI, as informações corretas sobre o estado atual de maturidade dos processos somente aparecem nas entrelinhas das respostas fornecidas. Caberá então ao próprio analista de Governança responsável pelo processo de mapeamento de GAP’s nas áreas de TI, tornar bem claro a real necessidade de parceria bem como os reais objetivos da análise (melhoria de processos de TI, mapeamento de processos, revisão do ciclo de PDCA, adequações internas, demais levantamentos, etc).
Em processos de Auditoria ou Compliance muitas vezes busca-se os responsáveis pelos processos de TI nas áreas, tenham estes processos envolvimento ou não com o balanço contábil da empresa, como no caso coberto pelo lei Sarbanes-Oxley (SoX), bem como normalmente são solicitadas evidências de que tais processos estão seguindo conforme o determinado e obedecendo demais aspectos de legislação e segurança. Muitas das vezes, tais processos de Auditoria são até mesmo reativos, na busca de “culpados” por determinadas ocorrências geradas, as quais tenham ou não trazido determinados riscos operacionais ou mesmo de imagem à Corporação. Daí porque o temor e resistência diante de tais processos de Governança.
Processos relacionados à Auditoria e Compliance não necessariamente estão sob o mesmo guarda chuva dentro da empresa, muitas vezes constituindo áreas totalmente diferentes no Organograma interno. Mesmo assim, é de vital importância que tais áreas internas estejam em pleno e total sincronismo e alinhamento de atuação, objetivando parcerias e redução do esforço ou até mesmo eliminando possíveis retrabalhos.
Além disto, não podemos nos esquecer dos aspectos ligados à Cultura organizacional (empresa Americana, Européia, Asiática ou Brasileira), que ligados aos aspectos chamados políticos ou de “top-down” dos processos, podem acelerar ou facilitar tais objetivos de processos nas organizações, como também emperrar os mesmo, dificultando a implementação de uma boa e adequada Governança na organização.
Pense nisto antes de sair à campo no próximo processo de GAP Analysis, e obtenha sucesso !
http://www.tiespecialistas.com.br/2010/08/governanca-de-ti-x-compliance-auditoria/
Comentários