O Compliance, mais do que estar em conformidade, refere-se a um estado de integridade empresarial, e assume a função de garantir que individual e corporativamente, as regras de conduta e as políticas da organização são efetivamente cumpridas, elevando a sua missão e valores, exigindo um alinhamento permanente neste sentido.
Tendencialmente, as abordagens no sentido de estar em conformidade com normativos e regulamentos, quer externos, quer internos, de agir de acordo com um conjunto de regras, pedidos ou ordens (tradução literal de “to comply”, origem do termo “compliance”), evolui para níveis de rigor e exigência cada vez mais elevados e abrangentes.
A crescente preocupação com o Compliance deve ser encarada como uma evolução natural e condição sinequanone de sobrevivência das organizações, dada a importância crescente do fator Humano em todo o processo e a complexidade daí resultante.
Não podemos mais limitar-nos à responsabilidade de cumprir o que que é imposto, é-nos exigida responsabilização dos nossos atos e o assumir das consequências, por respeito aos direitos e liberdades do Ser Humano. Porque também estes direitos e liberdades, começam a estar intrinsecamente ligados ao sucesso das organizações, pelo princípio da autorregulação e da transparência, o Compliance assume contornos que extrapolam designadamente os princípios de anticorrupção, aprofundando o tema no que diz respeito a um dos ativos que tem vindo a assumir relevância extrema: os dados pessoais.
A gestão das organizações torna-se gradativamente, uma gestão que assenta na transparência, na gestão vs mitigação do risco e nos princípios de ética e conduta, recorrendo a processos de auditoria, procedimentos e políticas internas e à promoção de padrões comportamentais que levem a evitar e a denunciar irregularidades.
Os resultados expectáveis de rigor e de uma melhoria contínua, passam claramente, também, por ter como referências nas frameworks de trabalho, as guidelines e os requisitos que advêm de normas ISO, aliando estes controlos a uma mudança comportamental, que conduza a uma consciencialização da responsabilidade individual e do seu impacto nas organizações e na sociedade.
A abrangência não pode tornar o rigor um detalhe.
Sedimentar os nossos projetos visando níveis de qualidade, de segurança de informação e de Compliance elevados, pressupõe a observância de normas como a ISO 9001(Gestão de Qualidade), a ISO 19600 (também conhecida como a ISO Compliance, pois trata-se de uma norma de diretrizes sobre sistemas de gestão de compliance), ISO 31000 (Gestão de Risco, que poderá comprometer o Compliance), bem como as ISO27000, ISO 27001 e ISO27002, referentes a requisitos e guidelines de implementação de Sistemas de Segurança de Informação.
Se viável e estrategicamente definido, será sempre uma mais valia para as organizações, contar com a chancela da(s) própria(s) certificação(ões), independentemente do âmbito ser mais ou menos alargado, relativamente à segurança da informação, mais ou menos específico relativamente a questões de conformidade, nomeadamente quanto à proteção de dados e de dados pessoais.
Na verdade, as linhas mestras, neste contexto serão as mesmas e irão requerer planeamento, ações e reações em “tempo real”, face ao mundo digital em que vivemos e face a uma evolução que, de tão célere e de cenários tão inesperados e únicos, como o é a Pandemia atual da Covid-19, já não se compadece com a ausência de uma resposta cabal e igualmente ágil, por parte das organizações.
Por: Lara Silva, Legal & Compliance Security Auditor na Hardsecure
