Mitos da certificação na ISO 27001


Mário Sérgio Ribeiro (*) Um movimento importante ocorreu nos últimos dois anos acerca da procura e da conquista da certificação de empresas nacionais na ISO 27001, a norma de segurança da informação. Os motivos para tanto talvez pouco importem – Read more

O Porquê de se ter um Gerenciamento de Crise.


Mário Sérgio Ribeiro (*) ________________________________________________________________________________________ Em tempos bicudos, especialmente como esse em que vivemos, considero de extrema importância que qualquer empresa, seja ela pública ou privada, ter um Gerenciamento de Crise implementado.   Infelizmente, uma Crise não anuncia quando vai ocorrer, Read more

Desafios de 2022.


(*) Mário Sérgio Ribeiro Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma Read more

Desafios de 2022.

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Não sou o tipo de profissional que gosta de ficar fazendo previsões no campo que atuo, ainda mais nos tempos atuais, onde a quantidade de variáveis é imensa e haja modelos e cenários para acertar alguma coisa. De toda forma, fiz um pequeno exercício dos principais desafios que as empresas vão precisar enfrentar nesse ano de 2022 na temática da privacidade de dados, cibersegurança, resiliência organizacional e auditoria de terceiros e, se me permitem, compartilho aqui com vocês.

Privacidade de dados e informação.

Para aquelas empresas que implementaram o seu Modelo de Tratamento e Governança dos Dados em conformidade com a LGPD o desafio agora é outro e, certamente, mais pesado. Governar é ter construído métricas e indicadores de qualidade para saber diuturnamente como a coisa anda. Todos sabemos que controlamos somente o que programamos, princípio básico de programação e controle. Então não adianta ter criado e implementado o melhor projeto do mundo se você não planejou o controle no mesmo nível; nesse caso, a recíproca também cabe. Logo, um projeto equilibrado, pressupõe um monitoramento que traga os indicadores necessários para a devida Governança. E mais desafio: mão de obra qualificada para fazer essa Governança. Vou aqui fazer um adendo que talvez muita gente vá torcer o nariz. Mão de obra qualificada não é sinônimo de certificações obtidas e falo com conhecimento de causa. Sou defensor de certificações e posso falar um pouco sobre, pois durante minha gestão na ISACA de 2003 a 2006 fui o Diretor de Educação no Brasil, responsável pelas certificações CISA e CISM na época.  São importantes aliados na vida profissional, mas não é instrumento de marketing.  As empresas devem olhar muito mais para o histórico, trajetória com o tema, os resultados e as entregas do profissional ao longo de sua carreira. Isso parece algo absolutamente óbvio, mas as vezes o óbvio…

Junta-se ao que falei a devida interação das áreas na empresa no intuito único da preservação da marca diante de uma Lei que vem forte com multas e com arranhões em reputação. Conseguir essa sinergia não é nada fácil. Líderes de fato, colaboradores conscientizados, matrizes de responsabilidades entre outros são elementos chaves. Não é para um ou outro aparecerem na foto como o bonzão, o que interessa é o brand da empresa!

Para as empresas que ainda não iniciaram e nem implementaram seu Tratamento é bom começar a arregaçar as mangas. A ANPD já concluiu, dentro do cronograma que estabeleceu, a dosimetria para as multas e pode tratar de maneira retroativa, isto é, para agosto de 2018, quando a Lei foi sancionada. Para quem pensa que a Agência está parada, está enganado e pode ter problemas. Fora essa questão de multa, penso ser muito mais crítico o problema reputacional que um incidente de privacidade pode trazer para a empresa. O desafio é grande e olha que não estamos falando de algumas poucas empresas. Os últimos números apontam que apenas 30% (acho até que é muito) das empresas nacionais se adequaram à LGPD (precisaríamos até saber esse grau de conformidade com a Lei). De toda forma o sentimento é que um volume muito grande de empresas estão fora da conformidade e precisam fazê-lo rapidamente.

Concluindo essa questão da conformidade com a LGPD queria deixar uma importante observação: o diagnóstico/auditoria dos Terceiros críticos da empresa para com a LGPD. Esse é um tema sempre relegado à um segundo plano e que causam transtornos terríveis quando ocorre um incidente. Já escutei e já auxiliei empresas em inúmeros casos. Esse é um desafio que parece que ninguém quer enfrentar. Fiz até um post recente no Linkedin Mario Sergio Ribeiro | LinkedIn caso queiram mais detalhes.

Cibersegurança/Segurança da Informação

Não vou ficar aqui citando pesquisas de A de B…mas pelos incidentes que são noticiados vivemos um momento bem delicado nessa questão. No terreno da cibersegurança, onde o meio que se desenvolve é a Internet, a frase que se escuta é: …não é se a empresa será atacada, mas quando! Esse quando é só uma questão do tamanho da empresa, do que faz e o valor de seus dados/informação. O desafio é enorme porque não é todo mundo que dispõe de investimento para defesa e, até quando dispõe, esbarra na falta de conscientização de quem assina o cheque. O que pode ser feito para mitigar essa situação é conhecer de forma pormenorizada nos riscos e investir de forma madura nas contramedidas. Não há varinha de condão aqui!

Do lado da segurança da informação o maior desafio sempre foi e permanecerá por um bom tempo sendo o investimento na educação das pessoas. Inúmeros incidentes poderiam ter sido evitados se a coisa fosse feita da forma correta. Falo isso há mais de 30 anos, mas parece que não vai mesmo…Essa educação é constante, deve ter um Programa e em 2022 esse desafio permanece mais vivo do que nunca!

Resiliência Organizacional

Plano de Continuidade de Negócios, Recuperação de Desastre de TI, de Resposta Incidentes de Segurança da Informação/Cibersegurança precisam estar devidamente atualizados para servir de contingenciamento para, e principalmente, mitigar os eventos de cauda longa. Esses eventos não podemos e não devemos ficar correndo atrás. Então, o desafio para dar musculatura à resiliência organizacional é a criação/atualização desses Planos, principalmente as empresas que estão voltando ao presencial ou mesmo no modelo híbrido. Prestem atenção pois estamos tratando de rompimento pilares importantes como a Disponibilidade de Confidencialidade.

Era isso. Obrigado pela leitura.

Espero que o ano de 2022 seja ótimo para você e que seja Feliz!

Abraço.

Até a próxima.

_______________________________________________________________

(*) 62 anos, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP.

Precisamos criar a cultura de realizar Testes com maior frequência. (06mai14)

enigma.consultoria Sem categoria Leave a comment   , , , , ,

(*) Mário Sérgio Ribeiro

Ao escolher o tema Teste para escrever esse artigo, fiquei pensando na primeira vez em que tive que me defrontar com essa fatídica palavra. Acho que eu estava com 3-4 anos e frequentava o que na época chamava parque infantil. Fui desafiado por um coleguinha a subir em um brinquedo, que eram cubos de ferro que se entrelaçavam até uma altura de uns 5 metros, acho. Era um primeiro Teste, um Teste que mostraria o quanto eu estava preparado para vencer o medo ou não. Com dificuldade cheguei ao final, mas lembro de que ao descer, me desequilibrei e tomei um tombo. Acho que a adrenalina baixou e desprezei a descida; nada grave, mas ficou a lição.

Eu como você passamos nossa vida pessoal e profissional sendo testados a todo o momento. Em alguns deles temos tempo de planejar no que vamos ser testados e em outros não temos esse tempo de planejamento e temos que usar nosso conhecimento e experiência adquiridos para, digamos, passar no Teste, ou pelo menos enfrentá-lo.

Então chegamos a um primeiro ponto. Nós, como seres humanos em constante evolução, somos testados em muitos momentos em nossa vida. Aproveitamos os resultados de cada Teste que somos submetidos para avaliar onde temos pontos fracos e onde temos nossos pontos fortes; esperamos que da próxima vez que o dito Teste aparecer, esteja melhor, corrigindo, se não todos, alguns dos pontos fracos mais críticos e mantendo intacto ou melhorado nossos pontos fortes. E assim caminhamos…

Essa introdução trata apenas de uma reflexão sobre como nós seres humanos inconscientemente temos esse tema ao nosso lado durante nossa existência. Resolvi escrever sobre o mesmo em face de uma indagação realizada um dia desses por um amigo sobre a Copa do Mundo no Brasil. Bradava o amigo sobre a correria para se deixar tudo pronto para a dita cuja data de 12 de junho. Dizia o amigo: “Vi as pessoas se preocupando com os superfaturamentos de tudo, com os atrasos, etc., mas não vi ninguém se preocupando em saber se as obras e tudo que tem ser realizado, e claro, serão entregues aos 47 do segundo tempo, estão passando pelos devidos Testes. Será que alguém tá vendo isso?”. Palavra mágica: Testes!

Sem entrar em detalhes na discussão da Copa do Mundo e tudo que está ficando para trás, respondi ao amigo como um engenheiro de formação que sou, mas que não atua na área há 30 anos, que no caso de obras de engenharia as normas técnicas são rígidas e exigem uma quantidade muito grande de Testes; afinal de contas, são vidas humanas que estão em jogo. Não posso acreditar, a despeito da correria, que Testes obrigatórios tenham sido “esquecidos” em nome de entregar o que tem ser entregue no prazo para a FIFA. Não posso pensar ao contrário! Espero que tudo tenha sido feito dentro das normas.

Uma empresa, instalada em uma determinada edificação, com processos de negócios e/ou de manufatura definidos e em operação, tocados por pessoas e com o apoio incondicional da Tecnologia (da informação, automação e de outras), como ela encara a questão dos Testes? Para detalhar um pouco a questão tenho que fixar a abrangência dessa minha conversa. Não tratarei aqui dos Testes em processos de manufatura, em função de ser totalmente obrigatório para o negócio e uma exigência do mercado. Nessa abrangência do escopo falaremos do serviço e consequentemente de processos de negócios.

Comecemos pela Instalação física de sua empresa. São várias engenharias envolvidas em uma edificação comercial: civil, elétrica, hidráulica, incêndio, etc. A manutenção preventiva dos itens dessas engenharias é imperativo, qualquer coisa ao contrário, é negligência pura. Testes devem sempre ser planejados e executados quando algo novo deve ser implantado ou algo deve ser reformado ou retirado. Mudanças devem ser sempre, sempre testadas! Nesses Testes, conforme detalharemos mais à frente, a premissa número 1 é encontrar os pontos fracos à exaustão.

Existe alguém em sua empresa destacado para isso? Está capacitado para a função? Existe gestão sobre o assunto? Não, minha instalação é em um condomínio e isso está na mão do síndico/administradora, ele cuida de tudo… Uma série de acidentes poderia ser evitada pela absoluta negligência que administradores tratam essa questão. Você sabia que existe uma especialidade na engenharia que trata de combate a incêndio? Existe um livro sobre o assunto que tem mais de 400 páginas. É pouco? Pense nisso!

E as Pessoas, existem Testes para elas? Sim, existem, e não são somente os realizados para a admissão na empresa. Os Testes que eu quero tratar são aqueles a serem executados durante o contrato de trabalho. Já vi muita experiência boa por aí. Por exemplo, empresas que antes de saírem para o mercado na procura de um profissional para uma dada vaga fazem um processo seletivo interno, composto de Testes, análise de currículo e entrevista. Excelente! Outro tipo de Teste que muitas empresas adotam é a chamada Avaliação 180 ou mesmo a 360º, onde o profissional pode ser avaliado pelo gestor, por um par, por um subordinado e recebe o resultado de seus pontos fortes e fracos em uma conversa. Se bem implantado, trata-se de uma eficaz alternativa de melhoria nas Pessoas. Áreas de Compliance, Controles Internos e Segurança da Informação, por exemplo, também realizam Testes com Pessoas. Por exemplo, para quem atua no setor financeiro e de seguros tem o Teste de capacitação na prevenção a lavagem de dinheiro, na segurança da informação, tem os Testes para avaliar a conscientização e educação dos colaboradores quanto a SI e a Engenharia Social.

E a TI, hein? O que podemos falar dela? Teste é um item que o profissional de TI aprende a soletrar desde criancinha. Deve-se testar tudo antes de se colocar em produção, essa é a máxima. Antes de se colocar um determinado hardware (uma estação de trabalho, por exemplo) deve-se testar, um sistema, deve se testar, um link de comunicação, deve-se testar, estratégias de contingência, deve-se testar…O Teste faz parte da vida da TI e de seus profissionais. O que acontece, infelizmente, é que o Teste é a última linha do cronograma de um projeto e até chegar lá, normalmente a grana e o prazo já foram para o ralo. E então? Bem, ou não se faz, ou se faz na meia boca, como dizemos no linguajar popular. Na melhor hipótese faz-se o Teste, aponta os pontos fracos e há prazo e grana para se fazer um novo Teste e colocar o item em produção; na pior hipótese, coloca-se o item em produção sem Teste algum. Problemas? Muitos! As áreas de negócios que dependem da TI cada vez mais, rezam…os profissionais de TI sabem disso e rezam também, quando invariavelmente caem nessa ciranda.

E os processos da empresa, o que temos para eles? É muito importante para qualquer empresa que ela tenha seus processos definidos, projetado seus fluxos e pessoal treinado para utilizá-los. A falta dessa maturidade com relação aos processos e a consequente não implantação de padronização das atividades de negócios, sabemos que pode aumentar e muito o risco operacional nas empresas. Quantos incidentes podem ter por conta de processos que em Testes realizados notamos que estão mal desenhados? Que faltam atividades em seu fluxo? Que entidades relacionadas estão cumprindo atividades que não são suas?

É fundamental que a área de Risco Operacional juntamente com Compliance, Controles Internos, Segurança da Informação, TI e Auditoria Interna trabalhem juntas para diminuir os riscos de incidentes relacionados aos processos. Por exemplo, a área de Compliance e Controles Internos devem ter anualmente elencados em um cronograma, quais são os Testes que devam ser realizados e em qual periodicidade; segurança da informação e TI a mesma coisa. Fraudes, vazamento de informação, espionagem industrial, sabotagem e mais um sem número de ameaças podem ter sua origem em processos que não tem o devido nível de maturidade implantado. E testando encontramos suas fraquezas.

É isso, esse é o mote! Devemos planejar e executar Testes com o intuito de buscar ferozmente os pontos fracos daquilo que estamos testando. Aquele celebre frase que você já deve ter ouvido, “…realizamos todos os Testes e deu tudo 100% certo; nada saiu errado…” , pode até ser verdade, o que na grande maioria dos casos eu duvido. É importante termos em mente sempre que planejamos e executamos Testes que estamos buscando as fraquezas, e não somente o que está operando eficazmente.

Quando você for pensar em realizar Testes deve elencar três etapas:

Etapa 1 – Planejamento

Etapa 2 – Execução

Etapa 3 – Avaliação

 

Na Etapa 1 – Planejamento, algumas atividades que você deve pensar são:

  • Qual o objetivo ou objetivos dos Testes a serem realizados
  • Qual o Escopo e a abrangência
  • Avaliar possíveis restrições dos Testes
  • Desenvolver as estratégias dos Testes (tempo, métodos, cenários, etc.)
  • Especificar logística para o Teste (se for o caso)
  • Especificar a programação do Teste (fase de preparação e execução)

 

Já a Etapa 2 – Execução, algumas atividades que você deve pensar são:

  • Coordenador dos Testes checa todos os itens preparatórios
  • Coordenador dá início aos Testes
  • Pessoas/equipes destacadas fazem as anotações necessárias durante a execução dos Testes
  • Coordenador finaliza os Testes

 

Já a Etapa 3 – Avaliação, algumas atividades que você deve pensar são:

  • Compilam-se todas as informações coletadas dos Testes
  • Relata os Pontos fracos e pontos fortes dos Testes
  • Avalia-se de forma geral e propõem-se Recomendações

 

Entendo que a dinâmica das empresas nos dias atuais não permite que Testes sejam realizados da forma mais periódica possível. Entretanto, considero fundamental que itens críticos dentro de instalações, pessoas, TI e processos devam merecer atenção especial. A Alta Administração deve ser sensibilizada e entender que os Testes devem fazer parte do orçamento das áreas e apoiá-los. É sempre melhor encontrar os problemas em Testes do que na “vida real”. Para quem gosta de futebol tem uma máxima antiga: “É melhor errar na hora do treino e corrigir, do que na hora do jogo.”

Até a próxima!

_______________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br

 

Compliance – importância, relacionamentos e desafios – 07abril14

enigma.consultoria Sem categoria Leave a comment   , , , ,

(*) Mário Sérgio Ribeiro

Após os escândalos da Enron, WorldCom e outras no início dos anos 2000, áreas como Compliance e Controles Internos começaram a ganhar o devido destaque dentro das organizações. De lá para cá, outros tantos escândalos ocorreram, uma enxurrada de regulamentações entraram no ar e a função Compliance vem tomando páginas de jornal e TV, como antes não se viam por aqui. E como consequência, claro, valoriza-se a carreira, paga-se melhor aos profissionais da área. Mas…

Crescendo a importância e responsabilidades, na mesma proporção vem os desafios a serem enfrentados. Desafios esses que trazem em seu bojo a necessidade de claramente definir o papel desse “novo Compliance” que se espera. Como a área deve se estruturar, discutir como será o relacionamento com outras áreas da empresa, como, e esse um dos grandes desafios, inserir o Compliance no “DNA da empresa”, como se alinhar a Governança Corporativa. Enfim, como administrar isso tudo?

A palavra Compliance tem origem no verbo em inglês “to comply” que significa executar o que lhe foi imposto, o que significa à empresa estar em conformidade é o dever de cumprir e fazer cumprir regulamentos internos e externos às suas atividades. Por aí já podemos deduzir um dos principais desafios a ser enfrentado pela área: ser e estar em Compliance são uma obrigação individual de cada colaborador dentro da empresa.

Segundo a ABBI e a FEBRABAN Compliance tem como missão: “assegurar, em conjunto com as demais áreas, a adequação, fortalecimento e o funcionamento do sistema de Controles Internos da Instituição, procurando mitigar os riscos de acordo com a complexidade de seus negócios, bem como, disseminar a cultura de controles para assegurar o cumprimento de leis e regulamentos existentes.” Nessa definição de Compliance existem duas palavrinhas de grande complexidade: riscos e controles.

Os riscos de Compliance a que se atém a missão pode ser desmembrado em dois: o risco de imagem e reputação e o risco legal. O risco de imagem e reputação consideramos intangível, não é como um risco com impacto financeiro, que pega diretamente no bolso da empresa e se consegue medir em reais. É diferente. Ele ataca aquilo que a empresa ficou a sua vida inteira construindo: sua marca e a reputação que carrega. Não consigo medi-lo com números, mas consigo saber se tal impacto pode ser mínimo, ou pode jogar a marca “barranco abaixo”. O mercado e seus consumidores regem o que deve ser feito com a empresa. Exemplo? Veja o caso recente da Siemens. Olhe os esforços que tem sido feito pela Alta Administração da empresa e pelo seu Compliance Officer mundial para “limpar a barra” de bobagens feitas no passado. Quer outro bom exemplo, e meus alunos que leem esse artigo vão se lembrar, veja o documentário Enron, os mais espertos da sala. É simples assim!

Diferente do Risco de imagem e reputação, onde quem julga é o mercado, no Risco legal o problema é com os reguladores e a justiça. Pegamos por exemplo uma nova dor de cabeça que aparece para a área de Compliance: a Lei 12.846, a chamada Lei Anticorrupção em vigor desde 29 de janeiro último. Ela é completa sob a ótica dos riscos. Tem o risco de imagem e reputação, por conta da repercussão e do envio da empresa culpada para o CNEP (cadastro nacional de empresas punidas), tem o risco econômico-financeiro, por conta das pesadas multas e tem o legal, onde a empresa e seus proprietários podem ser processados civil e criminalmente.

Um aluno um dia desses em uma aula fez-me uma pergunta onde tive que vestir um chapéu um tanto espinhoso: “Professor, se o senhor fosse o presidente, dono da empresa, o que faria, como pensaria para criar essa área, a tal função de Compliance nos dias atuais?”.

Antes de começar, uma explicação para algo que uma parte dos que estão lendo esse artigo devem estar estranhando. Caramba, o presidente pensando sobre a função Compliance, isso não é demais? Não deve ser “mais embaixo” na estrutura? Alguém não tão poderoso?

O aluno contextualizou o Compliance dentro da mesma importância e características de trabalho da Auditoria Interna: autonomia e independência. Quanto mais alto colocado na estrutura, mais autonomia e mais independência para atuar. Tudo bem, se trata de um exercício, que nem sempre na vida das empresas é assim. Mas, voltemos..

Uma vez eu li em algum lugar, livro ou artigo, que o que existe de mais solitário no mundo é a Decisão. E essa de nosso presidente não fica atrás. Bem, vamos enfrentar então…

Começaria por enumerar os passos que teria que tomar e executar:

1. Convocaria as pessoas de minha confiança para escutar o que eles

conhecem e teriam para falar sobre o assunto;

2. Faria um benchmarking informal do mercado usando meu networking;

3. Compilaria essas informações e voltava com o pessoal de confiança;

4. Traçaria o perfil do profissional e solicitaria à área competente da empresa a
busca pelo profissional. Requisito imprescindível: conduta moral e ética
absolutamente ilibada;

5.  Contrataria esse profissional sem pressa;

6. Na primeira reunião de trabalho, solicitaria um Plano Estratégico da Área
para ser apresentado em 15 dias.

7. Deixaria claro nessa primeira reunião que esse profissional responderia
diretamente a mim, o presidente.

O Compliance Officer para o presidente: se o senhor encerrou, eu preciso de pelo menos um profissional emprestado de alguma área, dois seria ideal, para auxiliar nesse trabalho? Presidente; Ok, concedido. Fale com o diretor de RH.

E agora o chapéu do Compliance Officer, meu Deus, 15 dias para preparar um Plano desses…mãos à obra…um mínimo seria:

1. Levantar tudo que for possível sobre a empresa (negócios, cultura organizacional, governança corporativa, incidentes de compliance, etc.), o que existe de normativos, regulamentos, etc. na qual a empresa necessita cumprir,

o que há hoje na empresa de políticas, normas, códigos, etc.;

2. Compilar e ter entendimento das informações coletadas;

3. Preparar um Plano anual que tenha pelo menos os seguintes itens:

  • Missão da área;
  • Propósito;
  • Resultados esperados a curto e médio prazo;
  • Estruturação da área (posicionamento na estrutura organizacional, profissionais (quantos, perfil, descrição de trabalho, etc.);
  • A função do Compliance (os riscos de compliance, as responsabilidades, programa de treinamento, elaboração de políticas, manuais, códigos, enfim, o O Que e o Como de tudo que for da função);
  • A matriz de responsabilidades com outras áreas (Controles Internos, Risco, Auditoria Interna, Segurança da Informação, TI, RH, Jurídico);
  • A relação com Órgãos Reguladores e de Fiscalização;
  • Orçamento anual da área (custeio e investimento).

4. Preparar o ppt e ir para a “arena”!

O Compliance Officer (CO) quando estiver montando seu Plano e na arena fazendo sua apresentação, deve saber que o antigo Compliance de cumprimento de normas ficou para trás. O novo Compliance deve estar totalmente alinhado com a Governança Corporativa da empresa, sendo um de seus pilares, trazendo para a corporação credibilidade e confiabilidade; pensar no que há de melhor mundialmente de práticas de negócios e incorporar na empresa.

Entre tantos espinhosos desafios, acredito que o mais complicado, e isso deve ficar muito bem demonstrado quando o CO estiver na arena, é falar da necessidade de colocar no sangue da empresa, das pessoas que por ela trabalham, a necessidade de entenderem e praticarem o Compliance. Para esse desafio não deve se poupar esforços e recursos. O risco de Compliance que falamos no início é perpetrado por pessoas e não por alienígenas. São pessoas que lavam dinheiro, cometem fraudes, subornam, são negligentes com controles, vazam informação confidencial, etc.  Dessa forma, pessoas são o elo fraco dessa corrente de Compliance. Deve haver um grande esforço no desenvolvimento de padrões éticos, de condutas morais; isso começa no processo de seleção de candidatos, se intensifica durante o contrato de trabalho e se perpetua, se for o caso, com um ético processo de desligamento. Antigo mais ainda funciona nesses tempos bicudos: o exemplo vem das pessoas de cima!

Claro que existe uma série de outras atividades da função de Compliance que poderíamos estar aqui falando e detalhando, como a dura atividade de se relacionar com reguladores e fiscalização, com gestores de áreas internas da empresa, que são parceiros diretos do Compliance. Mas se seu tivesse que escolher um elo dessa corrente de trabalho de Compliance, que se mostra como um grande desafio, eu não tenho dúvida em apontar os colaboradores da empresa. Se você conseguir colocar o Compliance no DNA da empresa, pode começar a pensar em dormir mais tranquilo!

Até a próxima!

____________________________________________________________________________________________

(*) 54 anos, engenheiro, mestre em segurança da informação pela USP. Sócio da ENIGMA Consultoria. Professor da FIA-USP e da ANBIMA. E-mail: mario.ribeiro@enigmaconsultoria.com.br