Controles de conformidade em uma auditoria

No âmbito das auditorias de sistemas de gestão legais ou regulamentares de qualquer tipo, é de vital importância considerar os controles de conformidade previamente identificados para mitigar os riscos detectados na entidade.

Neste artigo usaremos a Proteção de Dados Pessoais e o Criminal Compliance como exemplo de sistemas de gestão.

A título de exemplo, mas não exaustivo, veremos alguns desses controles, que são implementados com o objetivo de mitigar os riscos associados ao uso de informações com dados pessoais, ou são uma série de controles que visam mitigar o risco de cometimentos criminais que foram previamente identificados como tendo um lugar em uma organização.

Muitos desses controles se aplicarão a ambos os regulamentos, especialmente aqueles relacionados ao crime de descoberta e divulgação de segredos (Art.197 do Código Penal): “Qualquer pessoa que, para descobrir segredos ou violar a privacidade de outrem, sem o seu consentimento, apreenda os seus papéis, cartas, e-mails ou quaisquer outros documentos ou objectos pessoais, interceda as suas telecomunicações ou utilize dispositivos técnicos para ouvir, transmitir, gravar ou reproduzir som ou imagem, ou qualquer outro sinal de comunicação, será punido com pena de prisão de um a quatro anos e multa de doze a vinte e quatro meses”. Claramente, a conduta criminosa envolve a divulgação de informações que contêm dados pessoais na maioria dos casos.

Nesse contexto, foi possível identificar como controles efetivos:

• Procedimento de registro/cancelamento/modificação de funcionários.- Procedimento que consiste em manter atualizado o acesso às informações de um funcionário tanto quando ele começa a fazer parte da empresa quanto quando sai dela.
• Controles de acesso físico às instalações e arquivos.- Neste caso, nos referimos à manutenção de um sistema de acesso controlado através do uso de chaves, cartões ou dados biométricos que impossibilitam o acesso de qualquer funcionário ou membro externo da organização a todas as informações da entidade que se encontra em suas instalações.
• Assinatura do compromisso de confidencialidade por todos os colaboradores.– Em consonância com o exposto, é importante que todos os trabalhadores se comprometam a agir com a máxima confidencialidade e diligência em relação às informações que tratam em seu local de trabalho.
• Digitalização da documentação física.- Este controle visa manter um duplo arquivo de documentação física de forma a garantir sua custódia em formato digital.
• Treinamento de funcionários.- Além dos treinamentos exigidos por lei, como a Prevenção de Riscos Ocupacionais, é necessário que a força de trabalho conheça as noções e diretrizes mínimas de atuação relacionadas à Proteção de Dados e, no caso de haver a implantação de um Sistema de Gestão de Riscos Criminais, aquelas relacionadas ao Compliance Criminal.
• Criptografia e exclusão de informações.- Neste caso, trata-se de tentar criptografar as informações, evitando qualquer violação de segurança desde o momento em que são enviadas até chegarem ao destinatário final. E, por outro lado, e aludindo neste caso ao disposto no Regulamento Geral Europeu de Proteção de Dados, eliminar toda a informação que seja dispensável e desnecessária para os fins para os quais foi recolhida no momento, evitando assim que venha à luz ilegalmente.

Ao realizar uma auditoria de qualquer um dos dois regulamentos mencionados, serão solicitadas evidências dos controles que vimos acima. Essas evidências devem ser mostradas à equipe de auditoria de forma clara e precisa, além de serem atualizadas. Deve-se notar que os controles aplicados são eficazes na mitigação do risco para o qual foram escolhidos. A não divulgação das evidências solicitadas pela equipe de auditoria resultará em uma série de “Não Conformidades” ou “Ressalvas” no “Relatório de Auditoria” que resultarão em um resultado negativo para a organização.

Na GlobalSuite Solutions contamos com o software GlobalSuite®, inteiramente desenvolvido pela nossa equipa que permite a implementação, gestão e manutenção de todos os requisitos exigidos pelas normas do sistema de gestão em todo o tipo de organizações e setores. Ter um software que ajude a automatizar a gestão desse sistema trará múltiplos benefícios para sua empresa ao trabalhar na implementação do sistema em sua organização. Além disso, oferecemos a ajuda e aconselhamento necessários para a implementação de um serviço de Criminal Compliance ou Proteção de Dados.