Aula - 5 Gestão de Compliance

Prévia do material em texto

AULA 5 
GESTÃO DE COMPLIANCE 
Prof. Alexandre Francisco de Andrade 
 
 
2 
TEMA 1 – PRINCIPAIS CONCEITOS – COMPLIANCE EM TI 
Para alguns profissionais de TI, para manter uma corporação segura e 
lucrativa, é necessário investir em compliance e criar programas de segurança 
abrangentes que cumprem com as obrigações de conformidade. Ainda assim, 
nem sempre o compliance será suficiente, e assim há a necessidade de aprimorar 
constantemente os processos com melhores práticas, pois a informação de uma 
corporação é o seu maior patrimônio – referência aqui a qualquer ativo, conteúdo 
e dado, que devem ser protegidos da maneira correta e compatível com os 
negócios corporativos. 
E como fazer para que o negócio da corporação funcione e avance com o 
uso da segurança da informação? Sabemos que o compliance implica agir dentro 
das regras e auxilia com práticas alinhadas em normas, controles externos e 
internos, e também nas políticas e diretrizes da corporação. E como a segurança 
da informação interfere na credibilidade de uma corporação, com resultado 
lucrativo ou de perda, dependerá de como é usada e aplicada ao mercado do 
negócio. 
O compliance assegura que todos cumpram com as normas dos órgãos 
regulatórios e as normas da corporação, aplicadas nas esferas: trabalhista, fiscal 
ou contábil. Para garantir que a política de segurança seja cumprida, o compliance 
deve buscar uma solução de segurança digital e assegurar a proteção dos dados. 
De acordo com Assi (2018), o Compliance mobiliza a gestão a ser mais proativa 
e preventiva no gerenciamento e tratamento dos riscos, tais como: 
 problemas trabalhistas; 
 problemas tributários; 
 autuações e sanções por parte da administração pública direta ou indireta; 
 danos ao patrimônio físico; 
 falhas em ferramentas de TI, sistemas e na segurança da informação 
armazenada e compartilhada; 
 falhas em contratações de clientes, parceiros e fornecedores; 
 fraudes e desvios financeiros por parte dos colaboradores que ocupam 
cargos de confiança e gestão; 
 corrupção de agentes públicos; 
 lavagem de dinheiro. 
 
 
3 
A segurança da informação é a prática de exercer a devida diligência e o 
devido cuidado para proteger a confidencialidade, a integridade e a 
disponibilidade de ativos comerciais críticos importantes, e que por essa razão 
precisam ser resguardados em uma infraestrutura de TI. (Lima, 2018). 
Com um programa eficaz de segurança da informação, uma corporação 
tem a visão sistêmica das necessidades, com a implementação de controles 
físicos, técnicos e administrativos, apropriados para atender seus objetivos. Todos 
os responsáveis pela segurança seguem as melhores práticas para afastar os 
invasores que tentam prejudicar os negócios ou para reduzir a quantidade de 
danos causados por um ataque bem-sucedido. 
Há um certo tempo, as corporações adotavam uma abordagem mais 
técnica, e dependiam muito de sistemas e ferramentas para proteger sua rede 
(dispositivos como firewalls, filtros de conteúdo, segmentação de rede e acesso 
restrito). Observamos atualmente que essas salvaguardas ainda são necessárias, 
mas com uso de estratégias mais sofisticadas superamos os controles técnicos 
anteriores. Vejamos as ameaças mais comuns (Segurança..., 2018): 
 Scan: ataque que quebra a confidencialidade com o objetivo de analisar 
detalhes dos computadores presentes na rede (como sistema operacional, 
atividade e serviços) e identificar possíveis alvos para outros ataques. 
Prevenção: manutenção de um firewall e uma configuração adequada da 
rede. 
 Worm: são alguns dos malwares mais comuns e antigos, softwares com o 
intuito de prejudicar o computador “hospedeiro”. São perigosos devido à 
sua capacidade se espalhar rapidamente pela rede e afetar arquivos 
sigilosos. 
 Rootkit: é uma ameaça que teve origem na exploração de kits do Linux, 
com objetivo de fraudar o acesso logando no sistema como root, ou seja, 
usuário com poder para fazer qualquer coisa. Os ataques são feitos por 
meio de um malware; a máquina é infectada, os arquivos maliciosos se 
escondem no sistema e, com essa discrição, liberam o caminho para os 
invasores agirem; trata-se de um grande perigo para ambientes 
corporativos. 
 DDoS (negação de serviço): o Distributed Denial of Service está entre os 
riscos mais frequentes; seu objetivo é tornar um sistema, infraestrutura ou 
 
 
4 
servidores indisponíveis, causando interrupção dos serviços, por meio do 
uso de banda larga, falhas de software ou excessivo uso de recursos. 
 Ransomware: é um conjunto de vírus do tipo malware que tem sido 
massivamente utilizado para a prática de crimes de extorsão de dados 
(sequestro de dados); a finalidade é bloquear todos os arquivos do 
computador, impedindo que o sistema possa ser utilizado adequadamente, 
e encaminhando mensagens solicitando o pagamento para resgate; devido 
ao número de ataques, é visto atualmente como a maior das ameaças. 
 Vírus de resgate: com a expansão dos ataques de ransomware, os 
cibercriminosos criaram um vírus que ativa a oferta de um programa para 
resgatar os dados sequestrados. Ou seja, é um vírus que oferece outro 
para que o usuário pague por uma solução ilegítima. 
 Antivírus falsos: da mesma maneira que existe o vírus de resgate, uma 
nova onda de antivírus falsos oferece um produto para rastrear ameaças e 
limpar o computador. Esses vírus são conhecidos como do tipo locker 
(bloqueador); assim como o ransomware e o malware, solicita pagamentos 
por bitcoins ou cartão de crédito. 
 Phishing: é envio de mensagens de e-mail, quando o invasor se passa por 
uma instituição legítima e confiável (geralmente bancos e serviços de 
transação online), induzindo a vítima a passar informações cadastrais. É 
utilizado em ataques de BEC (Business E-mail Compromise), que tem 
como propósito fazer com que representantes da empresa alvo pensem 
estar se comunicando com executivos. Dessa maneira, as instituições 
acabam fazendo depósitos em conta de terceiros sem saber que se trata 
de uma fraude. O pior disso tudo é que o criminoso não deixa rastros, pois 
a mensagem não contém nenhum anexo ou links. 
Neste sentido, é exigido que o profissional de segurança seja muito mais 
diligente e proativo em sua abordagem, empregando medidas que garantam a 
melhor proteção possível aos ativos digitais de uma corporação. É preciso seguir 
regras e padrões centrados nos requisitos de terceiros, como governo, estrutura 
de segurança, e termos contratuais do cliente. Esses objetivos para o compliance 
são críticos para o sucesso, porque a falta de conformidade resultará na perda da 
confiança do cliente, e das operações de negócios em um mercado específico. 
 
 
5 
TEMA 2 – IMPORTÂNCIA DO PROGRAMA DE SEGURANÇA PARA AS 
NORMAS 
Sabemos que o compliance é importante para as corporações; ainda assim, 
como estão tão concentradas em desenvolver produtos, serviços e administrar 
seus negócios, ignoram a crescente necessidade de uma estratégia de 
gerenciamento de compliance. 
A violação de dados é prática crescente, e muitos ataques são facilmente 
evitáveis com uma inspeção de compliance, pois diretivas de compliance 
incentivam as corporações a agir de forma responsável em relação a seus 
clientes, funcionários, parceiros de negócios e acionistas – eles que confiam na 
entrega dos dados. 
Caso haja uma violação, e os dados sejam roubados devido à falta de 
medidas de segurança adequadas, então a corporação deve enfrentar as 
possíveis consequências, que incluem pesadas multas e penalidades, aplicação 
de custos legais, perda de reputação, perda da confiança e lealdade de seus 
stakeholders; chegando à possibilidade de perder o negócio. 
Pense, se os custos iniciais de compliance são muito altos para o negócio, 
considere ter os custos finais se a corporação não cumprir com as leis e normas. 
Então, um gerenciamento de negócio efetivo apresentaum compliance na 
segurança de informações, pois cada corporação tem obrigações específicas que 
não podem ser negligenciadas. Dessa maneira, a importância do compliance é 
atender normas de segurança. 
Uma corporação deve determinar que o cumprimento das regras de 
compliance é necessário, para não ter que enfrentar repercussões negativas; às 
vezes, acontece o descumprimento intencional de algumas corporações, que 
enxergam o compliance na segurança da informação como um incômodo, por 
conta do investimento em mão de obra e logística. 
Deve-se evitar o fracasso em cumprir as normas de segurança; as 
corporações não podem se arriscar a receber uma série de multas dispendiosas 
e custas civis com processos penais; ou seja, não é prudente negligenciar o 
compliance na segurança da informação: as corporações devem ver o compliance 
como um requisito e não como uma escolha. 
 
 
6 
As corporações devem conhecer as várias questões jurídicas e de 
compliance, e desenvolverem em sua estratégia de compliance os requisitos 
necessários para sustentar as normas de segurança. 
Figura 1 – Requisitos 
 
O principal recurso de um programa de segurança é ajudar a proteger os 
dados das corporações, por meio de um gerenciamento de dados determinado 
por regulamentações governamentais e outras práticas. Os pontos principais de 
valor que devem ser considerados são: 
 informações do produto (designs, planos, pedidos de patentes, código-
fonte e desenhos). 
 informações financeiras (avaliações de mercado e registros financeiros da 
própria corporação). 
 informações do cliente (informações confidenciais de nome de clientes). 
A importância das normas de segurança está na proteção dos dados, ou 
seja, trata-se de proteger a confidencialidade, a integridade e a disponibilidade. 
Estabelecer a participação da gerência.
Avaliar as diretivas e riscos de compliance com base nos produtos, serviços,
mercados e países com os quais a corporação interage.
Estudar os padrões e examinar as melhores práticas já identificadas.
Autorizar fontes externas, como consultores, advogados, reguladores,
seguradoras ou prestadores de serviços, como um recurso para orientação e
para responder a questões de compliance.
Treinar funcionários para maximizar o compliance com as leis e regras, e
minimizar o risco de multas, litígios e publicidade adversa devido à não
conformidade.
Envolver a equipe de compliance no processo de desenvolvimento de novos
produtos e serviços, para abordar os riscos associados.
Assegurar a eficácia da auditoria com frequência e intensidade compatíveis
com a complexidade e o tamanho da organização.
 
 
7 
As consequências de uma falha nessa proteção incluem: perdas de negócios, 
responsabilidade legal e perda de competitividade da corporação, por exemplo: 
 Falha em proteger a confidencialidade dos dados: resultam no roubo 
dos números de cartão de crédito de um cliente, com consequências legais 
e perda de mercado. 
 Falha na integridade dos dados: resultam em um cavalo de Troia sendo 
implantado em seu software, permitindo que um intruso passe segredos 
corporativos para os concorrentes; se afetar os registros contábeis, a 
corporação não saberá mais seu verdadeiro status financeiro. 
Ter um programa de segurança significa que uma corporação tomou 
medidas para reduzir o risco de perder dados de várias maneiras, definindo um 
ciclo de vida para gerenciar a segurança das informações e da tecnologia. Por 
isso, ter um bom programa de segurança garante uma visão geral de como uma 
corporação manterá os dados seguros. Os principais passos de um bom programa 
de segurança são: 
 Designar um responsável para coordenar e executar o programa de 
segurança. 
 Avaliar os riscos que a corporação enfrenta para poder decidir sobre 
maneiras apropriadas e econômicas para gerenciá-los. 
 Esses riscos avaliados podem incluir um ou mais itens, como: 
o perda física de dados (por catástrofes naturais, perda de energia 
elétrica; perder o acesso aos dados por falha do disco, entre 
outros); 
o acesso não autorizado aos próprios dados e dados de clientes; 
o intercepção de dados em trânsito (riscos transmitidos entre sites 
das corporações); 
o dados nas mãos de terceiros; 
o corrupção de dados (como cavalos de Troia ou um erro de 
software que sobrescreve dados válidos). 
 Políticas e procedimentos é o ponto em que a corporação decide o que 
fazer; as áreas que o programa deve abranger incluem: segurança física 
de documentos; autenticação, autorização e responsabilidade para 
emissão e revogação de contas; conscientização da segurança para todos; 
garantia que o TI esteja nas políticas específicas. 
 
 
8 
 Proteção contra vírus com manutenção em estações de trabalho, na 
verificação de e-mails, conteúdo da web, transferências de arquivos com 
conteúdo mal-intencionado, configuração de sites, e dados de backup 
apropriados. 
 Relacionamento com fornecedores e parceiros, sendo necessário tomar 
medidas para avaliar a capacidade de proteger dados, com práticas de 
segurança razoáveis. 
 Cumprir com um ou mais padrões definidos por terceiros, como padrões 
regulatórios; agências governamentais; Sarbanes-Oxley; entre outros. 
 Plano de compliance para auditoria e avaliações de segurança periódicas 
estar sempre por dentro das novas ameaças de segurança, com a 
tecnologia certa e o treinamento da equipe. 
Um programa de segurança nunca está completo; a questão do compliance 
em TI está sempre em processo de mudanças durante o ciclo de vida do 
programa. A importância de atender a normas e leis está na avaliação dos riscos, 
e na possibilidade de fazer planos para mitigá-los, implementar soluções, 
monitorar para ter certeza de que o programa de segurança está funcionando 
conforme o esperado, e usar essas informações como feedback para a próxima 
fase de avaliação, atendendo sempre à necessidade de melhoria contínua do 
compliance. 
TEMA 3 – ISO/IEC 27001 E A ISO/IEC 27002 
A ISO 27001 é o padrão para a implementação de um Sistema de Gestão 
da Segurança da Informação (SGSI), pelo qual as corporações são certificadas 
ao atender determinados requisitos. A ISO 27002 pode ser considerado um 
documento de apoio à ISO 27001, dando orientação e aconselhamento sobre a 
implementação. 
Sabemos que existem vários outros padrões na família ISO 27000, que 
ajudam a fornecer orientações de implementação da ISO 27001; a ISO 27002 é a 
mais conhecida delas. Vejamos alguns destaques da família 27000: 
 27003: discute o design e a implementação do SGSI. 
 27004: fornece diretrizes para avaliar o desempenho do SGSI 
implementado no 27001, o que auxilia na exigência do 27001 de avaliar o 
desempenho do SGSI. 
 
 
9 
 27005: descreve métodos de gerenciamento de risco. 
 27007: aconselha como satisfazer as condições de auditoria da ISO 27001. 
 27008: fornece detalhes sobre como avaliar os controles. 
 27009: dá conselhos específicos ao setor industrial sobre como 
implementar controles específicos. 
Observe que há muitos outros documentos nesta família, mas os 
mencionados são os mais úteis para a maioria das corporações. Então, não são 
só dois padrões de certificação separados, mas um padrão de certificação com 
um documento de orientação. 
Conforme Palma (2018), a ISO/IEC 27001 é a norma que define os 
requisitos para um Sistema de Gestão da Segurança da Informação (SGSI), que 
está descrito como um sistema de gestão global de uma corporação, com base 
em uma abordagem de risco do negócio, para estabelecer, implementar, operar, 
monitorar, revisar, manter e melhorar a segurança da informação. 
Conforme Hintzbergen et al. (2018), a ISO/IEC 27001:2013 é a norma para 
os requisitos do Sistema de Gerenciamento de Segurança da Informação 
(Information Security Management System – ISMS). E um SGSI inclui: 
 estrutura organizacional; 
 políticas; 
 atividades de planejamento; 
 responsabilidades; práticas; 
 procedimentos; 
 processos; 
 recursos. 
A ISO 27001 é uma norma que uma corporação deve utilizar como base 
para obter certificação empresarial em gestão da segurança da informação, sendo 
destaque como a única norma internacional auditável na definição de requisitos 
para um SGSI. 
 
 
 
10 
Figura 2 – ISSO/IEC 27001 
 
Para obter a certificação, inicialmente, é preciso conhecer o padrão da ISO 
27001 e seus requisitos; para isso, deve-se: nomear alguém com conhecimento e 
sólida experiência na implementação de um SGSI; ter o apoio da liderança 
corporativa; ter um plano de ações para o escopo do SGSI (considerando o 
contexto corporativo); estabelecer os resultados da análise da implementação; 
definir os objetivos, os custos e o cronograma da implementação do SGSI. 
Um dos pontos importantes é estabelecer a declaração de 
responsabilidade do SGSI; ter uma auditoria regular para suportar um ciclo de 
melhoria contínua; e planejar o processo, com registro dos dados, análises e 
resultados. Uma das alternativas é buscar um software de avaliação de risco que 
seja simples e eficaz, com estrutura e recursos para estar em conformidade com 
a ISO 27001. 
Com a implementação de controles com foco na mitigação de riscos, a 
corporação precisa decidir se deve tratar, tolerar, encerrar ou transferir os riscos, 
pois é importante documentar todas as decisões, já que um auditor desejará 
analisá-las durante uma auditoria de registro para a certificação. 
Sabemos que a norma exige que os programas de conscientização de 
pessoal trabalhem sobre a segurança da informação; a intenção é exigir que 
praticamente todos os funcionários mudem a maneira como trabalham, como 
obedecer a uma política clara e bloquear seus computadores sempre que saírem 
de suas estações de trabalho. Com treinamento, fica mais fácil transmitir essa 
filosofia e ter a garantia do compliance. 
As corporações sabem que a documentação é essencial para dar base aos 
processos, políticas e procedimentos necessários do SGSI; modelos de 
documentação, desenvolvidos por especialistas da ISO 27001, são 
disponibilizados e formatados para atender à personalização da corporação, 
atendendo aos requisitos necessários, que incluem: 
 o escopo do SGSI; 
ISO/IEC 27001 provê REQUISITOS
Estabelecer, implementar, manter e 
melhorar continuamente um Sistema de 
Gestão de Segurança da Informação 
(SGSI)
 
 
11 
 política de segurança da informação: 
o processo de avaliação de risco de segurança da informação; 
o processo de tratamento de risco de segurança da informação; 
o a Declaração de Aplicabilidade. 
 objetivos de segurança da informação: 
o prova de competência; 
o informação documentada determinada pela organização como 
necessária para a eficácia do SGSI. 
 planejamento e controle operacional; 
 resultados da avaliação de risco de segurança da informação; 
 resultados do tratamento de risco de segurança da informação; 
 evidência do monitoramento e medição de resultados; 
 processo de auditoria interna documentado; 
 evidência dos programas de auditoria e resultados da auditoria; 
 evidência dos resultados das análises críticas; 
 prova da natureza das não-conformidades e quaisquer ações 
subsequentes tomadas; 
 evidência dos resultados de quaisquer ações corretivas tomadas. 
A ISO 27001 suporta um processo de melhoria contínua, e requer que o 
desempenho do SGSI seja analisado e revisado quanto à eficácia e ao 
compliance, além de identificar melhorias nos processos e controles existentes. 
Para tanto, a ISO/IEC 27001:2013 exige auditorias internas do SGSI em 
intervalos planejados, pois um conhecimento prático de trabalho do processo de 
auditoria é crucial para a gestão na implementação e manutenção do compliance. 
Um auditor líder certificado ensina como planejar, executar, liderar e conduzir uma 
auditoria de segurança da informação eficaz. Durante a auditoria, o auditor 
avaliará se a documentação atende aos requisitos da Norma ISO 27001, 
indicando as áreas de não-conformidade e melhoria potencial do sistema de 
gestão. 
Conforme Palma (2018), a ISO/IEC 27002 é um código de práticas com um 
conjunto completo de controles que auxiliam na aplicação do Sistema de Gestão 
da Segurança da Informação. 
 
 
12 
Para Hintzbergen et al. (2018), a ISO/IEC 27002:2013 é um código de 
prática para controle de segurança da informação, que descreve os controles e 
objetivos referentes às boas práticas de controle de segurança da informação. 
TEMA 4 – DOCUMENTOS ELETRÔNICOS E O COMPLIANCE 
Com o aumento do uso de tecnologias que permitem o armazenamento de 
documentos eletrônicos e a comunicação eletrônica com clientes, com governo, 
com fornecedores e com parceiros de negócios, muitas corporações foram 
levadas a considerar o status legal dessas informações e o efeito legal dessa 
comunicação. 
Muitas corporações reconhecem a necessidade de atender a novas leis, 
que permitem e garantem a admissibilidade da informação eletrônica, ao permitir 
que documentos sejam concluídos, com as submissões administrativas e as 
solicitações feitas em formato eletrônico. 
 Figura 3 – Cultura de compliance na gestão documental 
 
É importante difundir a cultura de compliance no ambiente corporativo, pois 
grandes multas e processos judiciais podem impactar nos negócios se as 
corporações estiverem em não conformidade. 
A gestão documental precisa atender algumas práticas para ser valorizada, 
evitando problemas com o fluxo de trabalho. Todos devem conhecer as regras e 
a solidez de uma cultura corporativa em compliance: 
CULTURA DE 
COMPLIANCE NA 
GESTÃO 
DOCUMENTAL
Insira 
compliance na 
cultura 
corporativa
Desenvolva 
políticas 
consistentes
Garanta uma 
experiência 
personalizada
Conte com 
soluções 
inovadoras
 
 
13 
 a cultura corporativa em compliance deve ser disseminada como regra para 
todos os funcionários, o que evita problemas sistêmicos gravíssimos com 
ações judiciais; 
 as políticas devem ter pontos específicos e consistentes em relação a 
documentos físicos e eletrônicos (servidores, computadores, backup, 
dispositivos mobile, e arquivos); 
 com pessoas despreparadas e treinamentos ineficientes, uma cultura em 
compliance se enfraquecerá; é preciso promover a lealdade e o 
compromisso, evitando riscos específicos em cada departamento; 
 com soluções inovadoras e parcerias de negócios mais preparados, é 
possível conseguir respostas rápidas na absorção das políticas na gestão 
documental e na gestão de informações, aumentando a eficiência, a 
produtividade e compliance em toda a corporação. 
Muitas corporações adotam uma legislação de assinatura digital, modelada 
para validação jurídica, garantindo a segurança dos documentos e evitando as 
fraudes digitais, o que impacta no uso de documentos eletrônicos, para 
estabelecer relações de negócios e realizar interações com outras corporações e 
indivíduos. 
Alguns requisitos legais e obrigações de instituições precisam ser 
cumpridos para garantir a admissibilidade e a confiabilidade de documentos 
eletrônicos. Dessa maneira, e atendendo ao fluxo crescente de uso da internet, 
as corporações precisam adotar meios seguros para se conectarem em rede e 
garantir a acessibilidade de todos, possibilitando a continuidade dos negócios. 
Como garantir um documento eletrônico de confiabilidade, tendo sido 
gerado, armazenado ou comunicado, com a integridade da informação e a 
autenticidade garantida do remetente? 
Por meio de uma padronização jurídica, garantida por criptografia 
complexa, no Brasil temos ferramenta disponível que funcionam como um CPF ou 
CNPJ eletrônico, após a criação da Infraestrutura de Chaves Públicas Brasileira – 
ICP Brasil. No contexto de adequação, com o propósito de atender a uma 
demanda mundial, propostas de assinatura digital apareceram, dentre elas: 
 E-Sign Act e UETA (Estados Unidos). 
PIPEDA (Canadá). 
 Electronic Signature Directive 1999/93/EC (União Europeia). 
 
 
14 
 MLEA (contratos internacionais). 
A falta de medidas adequadas de segurança da informação em relação a 
documentos eletrônicos pode constituir uma violação das obrigações legais em 
alguns países, e resultar em multas. 
Com a Lei n. 11.419, de 2006, os documentos eletrônicos começaram a ser 
aceitos com assinaturas digitais, e aceitos em âmbito do Poder Judiciário com um 
certificado digital aprovado nas normas ICP Brasil. Uma corporação deve: verificar 
a prevenção de autenticidade e integridade de documentos eletrônicos; arquivar 
documentos eletrônicos com uso de tecnologias e procedimentos que garantam a 
autenticidade e integridade durante todo o tempo de armazenamento; aplicar 
sistemas de informação com proteção adequada de dados pessoais, atendendo 
o compliance nas disposições da lei que rege a proteção de dados. 
Figura 4 – Gestão de documentos 
 
Para atender aos negócios complexos das corporações, e à questão de ter 
um arquivo eletrônico e com certificado digital, é necessário que se tenha rapidez 
e eficiência aos procedimentos de trabalho corporativo. As vantagens são: 
 assinar documentos em qualquer lugar; 
 ter validade jurídica (CPF ou CNPJ); 
 é impossível ter fraudes; 
 economia com a redução do volume de papel; 
 rapidez na assinatura dos documentos; 
 utilização on-line de corporações e órgãos públicos (IR Online). 
Para atender ao compliance com os requisitos legais relacionados à 
preservação da autenticidade e da integridade de uma gestão em documentos 
eletrônicos durante todo o seu ciclo de vida, as corporações devem estabelecer 
um sistema de gerenciamento de segurança de informações baseado em risco. 
GESTÃO DE 
DOCUMENTOS
REDUÇÃO DE 
CUSTOS
DIMINUIÇÃO 
DO VOLUME
AUMENTO DA 
QUALIDADE
AGILIDADE NO 
ACESSO
GARANTIA DE 
SEGURANÇA 
JURÍDICA
PRESERVAÇÃO 
DA MEMÓRIA
UNIFORMIZAÇÃO 
DE PROCESSOS
 
 
15 
De acordo com Pereira et al. (2002), uma gestão eletrônica de documentos 
deve estar baseada em técnicas e métodos para facilitar o arquivamento, o 
acesso, a consulta e a difusão das informações contidas nos documentos. 
Para garantir as boas práticas em registros e evitar problemas com a 
aceitação de litígio, uma corporação deve avaliar periodicamente seus 
procedimentos com uso consistente de uma estratégia de gerenciamento de risco, 
com um processo de avaliação em compliance. 
Cada corporação deve analisar suas próprias operações e registros para 
determinar quais informações são vitais e úteis; medidas apropriadas devem ser 
tomadas para proteger a integridade dos documentos eletrônicos no curso normal 
dos negócios. É importante evitar a falha e a falta de cuidado profissional, pois 
isso constituirá numa violação das obrigações legais, e pode resultar em pesadas 
multas. 
Lembro que o gerenciamento de TI e da segurança da informação são pré-
requisitos para uma utilização adequada; ou seja, são sistemas de processamento 
de registros eletrônicos projetados e implementados de forma a garantir que os 
registros não possam ser alterados ou modificados. Dessa maneira, com as 
políticas e controles de segurança de dados adequados, a corporação terá 
defesas sólidas e consistentes com as práticas de segurança da informação. 
TEMA 5 – BENEFÍCIOS DA CERTIFICAÇÃO DE COMPLIANCE 
O objetivo da certificação de compliance é promover o compliance e a ética 
por meio da certificação de profissionais de compliance qualificados, visando: 
melhorar a credibilidade das corporações com certificação em compliance entre 
seus parceiros; incentivar o crescimento pessoal e profissional continuamente na 
prática de compliance e da ética; fornecer um padrão de conhecimento interno e 
externo necessário para a certificação das atividades; focar na carreira 
profissional por meio do reconhecimento em compliance e ética; melhorar o 
rendimento geral, eliminando a incerteza e ampliando a atuação no mercado. 
Essa certificação envolve um processo rigoroso de auditoria dos controles 
de segurança de uma organização. Numa visão geral, define critérios para 
gerenciar dados de clientes com base em cinco princípios de serviços de 
confiança, que incluem: 
 segurança; 
 
 
16 
 disponibilidade; 
 integridade de processamento; 
 confidencialidade; 
 privacidade. 
É um passo importante para as corporações garantirem que seus sistemas 
sejam relevantes para atender esses princípios; nada é mais crítico para as 
corporações do que proteger seus clientes, para que eles possam, por sua vez, 
proteger melhor as suas próprias corporações. 
O gerenciamento em compliance é uma plataforma abrangente de 
governança, risco e conformidade. As corporações devem entender que o fluxo 
de trabalho na gestão de riscos não deve ser complexo, pois se alinham em três 
elementos: 
 identificar o risco; 
 responder ao risco; 
 monitorar o risco. 
Todo fluxo de trabalho de risco numa corporação deve se basear em regras 
e regulatórios que se integram aos recursos de compliance, permitindo que etapas 
de conformidade, programas de segurança e de auditoria, sejam preparados para 
o registro de riscos. Veja na figura a seguir os benefícios práticos nas atividades 
em compliance. 
Figura 5 – Benefícios 
 
OPORTUNIDADE DE NEGÓCIOS E VANTAGEM COMPETITIVA
ATRAÇÃO DE INVESTIMENTOS
IDENTIFICAÇÃO DE RISCOS E ANTECIPAÇÃO DE PROBLEMAS
CORREÇÃO EFETIVA DE NÃO-CONFORMIDADES
CONHECIMENTO PARA OS COLABORADORES
LIMITAÇÃO DE RESPONSABILIDADE
SUSTENTABILIDADE DO NEGÓCIO
 
 
17 
Segundo Montelli e Taborda (2019), para implementar um sistema de 
compliance passível de certificação, é necessário escolher o tipo de norma que a 
corporação quer seguir. São elas: 
 A ISO 19000 (Compliance Management Systems Guidelines): estabelece 
diretrizes e recomendações sobre sistema de compliance, e não é passível 
de certificação. 
 A ISO 37001 (Anti-Bribery Management System): é certificável e trata de 
políticas antissuborno, que devem integrar um programa de compliance 
com a finalidade de mitigar custos, riscos e danos decorrentes do suborno; 
tem efeitos e recebe reconhecimento de organizações e autoridades 
internacionais. 
 A DSC 10000: diretrizes para o sistema de compliance. Certificável pela 
EBANC (Empresa Brasileira Acreditora de Normas Compliance), e seu 
reconhecimento é somente no âmbito do território nacional. Essa 
certificação envolve um processo rigoroso de auditoria dos controles de 
segurança de uma organização. 
 O Inmetro é o organismo responsável pelo processo de acreditação de 
corporações interessadas em desenvolver as tarefas de avaliação da 
conformidade (laboratório, organismo de certificação ou organismo de 
inspeção), segundo requisitos estabelecidos. 
Casemiro (2018) trata de um ponto interessante sobre os padrões 
normativos: 
Os padrões normativos baseiam-se na orientação de várias 
organizações, como a Câmara de Comércio Internacional (CCI), a 
Organização para Cooperação e Desenvolvimento Econômico (OCDE), 
a Transparência Internacional e vários governos, que representam um 
consenso global sobre as principais práticas antissuborno e modelos de 
Compliance. Destinam-se a aplicar-se a organizações de todos os 
tamanhos, onde quer que elas possam fazer negócios. Especialistas de 
empresas, governos e organizações não-governamentais, provenientes 
de 34 países participantes, 18 países observadores e sete organizações 
do segmento, compõem o comitê que elaborou a norma de Sistema de 
Gestão Antissuborno. 
O suborno é uma das questões mais destrutivas e desafiadoras do 
mundo. Com mais de US $ 1 trilhão pagos em subornos a cada ano, as 
consequências são catastróficas, reduzindo a qualidade de vida, 
aumentando a pobreza e erodindo a confiança do público. No entanto, 
apesar dos esforços em nível nacional e internacional para combater o 
suborno, continua a ser uma questão significativa.Reconhecendo isso, 
a ISO desenvolveu então este padrão para ajudar as organizações a 
combater o suborno e promover uma cultura empresarial ética. Isso inclui 
a adoção de uma política antissuborno, nomeação de uma pessoa para 
supervisionar a conformidade antissuborno, treinamento, avaliações de 
 
 
18 
risco e due diligence em projetos e parceiros de negócios, 
implementação de controles financeiros e comerciais e a instituição de 
procedimentos de relatório e investigação. 
Convém salientar que estas normas não são a grande salvação e a 
receita infalível contra suborno, fraude e corrupção. Mas podem fornecer 
evidências de que uma organização tomou medidas razoáveis para 
prevenir irregularidades e pode ser levada em consideração pelos 
promotores e juízes, caso ocorra um evento relacionado a suborno, 
fraude ou corrupção. As autoridades enfatizam regularmente a 
importância de se ter um programa de Compliance e antissuborno 
eficazes. 
As corporações, cada vez mais, são obrigadas a operar sob regulamentos 
complexos, ou seja, regulamentações e leis que abrangem os três níveis: federal, 
estadual e municipal; e que apresentam vários requisitos, com restrições de certas 
atividades. 
Dessa forma, a certificação em compliance deve estar estruturado nos 
fundamentos e princípios do Committee of Sponsoring Organization of the 
Treadway Commission (COSO), e respeitar os representantes da American 
Accounting Association, American Institute of Certified Public Accountants, 
Financial Executives Internationl, Institute of Managements Accountants e Institute 
of Internal Auditors, que está ligado ao Instituto dos Auditores Internos do Brasil 
(Audibra), pela Federação Latino-Americana de Auditores Internos (FLAI). 
Destaca-se o reconhecimento nas obediências da convenção interamericana 
contra a corrupção; da convenção da OCDE sobre o combate à corrupção de 
funcionários públicos estrangeiros em transações comerciais internacionais; e da 
convenção das nações unidas contra a corrupção. Todas essas convenções são 
ratificadas pelo Brasil, com reconhecimentos obrigatórios e inviolavelmente, 
condicionadas nas Leis n. 9.613/98 (Lavagem de Dinheiro) e 12.846/13 
(Anticorrupção). 
 
 
 
19 
REFERÊNCIAS 
ASSI, M. Compliance: como implementar. São Paulo: Trevisan, 2018. 
CASEMIRO, T. Sistemas de gestão antissuborno e de compliance. Portal APCER 
Brasil, 20 abr. 2018. Disponível em: <https://www.apcergroup.com/pt-
br/newsroom/331/sistemas-de-gestao-antissuborno-e-de-compliance>. Acesso 
em: 10 mar. 2019. 
HINTZBERGEN, J. et al. Fundamentos de segurança da informação: com base 
na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018. 
LIMA, A. Gestão da segurança e infraestrutura de tecnologia da informação. 
São Paulo: Senac, 2018. 
MONTELLI, B.; TABORDA, B. G. Certificações de Compliance e sua importância 
nas organizações. Portal Federasul. Disponível em: 
<https://www.federasul.com.br/news_certificacoes-de-compliance-e-sua-
importancia-nas-organizacoes/>. Acesso em: 10 mar. 2019. 
PALMA, P. O que é ISO 27001 e 27002. GSTI, abr. 2018. Disponível em: 
<https://www.portalgsti.com.br/2018/04/resumo-iso-27001-iso-27002-iso-27003-
iso-27004-e-iso-27005.html>. Acesso em: 10 mar. 2019. 
PEREIRA, F. et al. A prática da gestão do conhecimento em empresas 
públicas. Rio de Janeiro: E-papers, 2002. 
SEGURANÇA da informação: entenda as principais ameaças. Alerta Security, 
20 ago. 2018. Disponível em: <https://www.alertasecurity.com.br/seguranca-da-
informacao-entenda-as-principais-ameacas/>. Acesso em: 10 mar. 2019.