O diretor de TI sempre fica mais preocupado depois da primeira leitura da lei. Preocupação desnecessária, dizem os diretores nesta mesa-redonda: a distância entre a realidade e a lei não é tão grande assim, caso o diretor invista em esquemas de qualidade, inclusive em segurança. Contudo, nas leis muito jovens, como a Sarbanes-Oxley, existe uma tendência ao exagero. Às vezes, fica tão caro montar um sistema de coleta de evidências que determinados negócios não se justificam mais. Será que a sociedade quer realmente pagar esse custo, na forma de, por exemplo, menos empregos?
A mesa-redonda foi coordenada pelo diretor editorial do Informática Hoje, Wilson Moherdaui, e pelo editor executivo, Márcio Simões. Participaram: Álvaro Teófilo, gerente executivo de segurança da informação do Santander Banespa; Dorival Dourado, diretor de operações e serviços da Serasa; Edison Raul Barretti, gerente de estratégias de TI da Sabesp; Elisabete Cecília Januário Chaves, diretora de desenvolvimento e tecnologia da Prodam; George Washington Menezes, gerente nacional de ativos da Caixa; José Francisco Alvarez Raya, gerente-geral de tecnologia do Banco do Brasil; Paulo César Caldera Brantes, gerente de coordenação de TI do Serpro; e Paulo Renato Fabiano Franco, diretor de tecnologia da Liberty Seguros.

IH — O gasto com a submissão a novas leis, como a Sarbanes-Oxley, obriga a empresa a investir menos em itens como segurança?

Álvaro — Poucas empresas investem tanto em segurança quanto banco, mas posso afirmar que o valor investido em combate à fraude nunca foi grande coisa. Temos investimentos diretos e indiretos. Quando a área de TI investe num sistema de backup, investe em segurança, mas muitas vezes o valor do investimento cai na conta da TI, não da segurança. É a mesma coisa com alta disponibilidade, que também é segurança. Então, muitas vezes, os valores de fato aplicados em segurança estão subestimados.
Vamos dar o exemplo da Sarbanes-Oxley. Ela nos trouxe o benefício de conhecer a fundo os processos e os subprocessos. De novo, fizemos poucos investimentos para construir o que a Sarbanes pede em termos de segurança — até porque ela não pede nada, ela fala da necessidade de controles internos. Assim, o grau de maturidade da empresa em segurança é que vai determinar o quanto ela precisa investir em segurança para se adequar às normas. Até porque muita empresa não precisava investir em segurança até agora, pois não tinha como vender isso para o cliente.

José — Discutimos muito no banco se as leis são oportunidades ou problemas. Em geral, as leis tentam estabelecer controles, transparência. Para os bancos, confiança é um diferencial de mercado, e por isso há muito tempo fazemos investimentos que resultem em confiança. Outra coisa: quanto mais a gente busca se adequar às boas práticas, mais fácil fica. E quanto mais desorganizado, mais difícil, eu imagino. Então, acaba virando um ciclo: é melhor se antecipar e adotar boas práticas, que às vezes nem são exigidas por lei, o que torna a adequação posterior mais fácil. Fazer as coisas por mera imposição é pior, é mais caro.

IH — E no banco vocês têm um processo de adequação as novas leis e normas, um processo com nome, dono e tudo o mais?

José — Temos. Temos uma diretoria para segurança, uma para controles internos, uma de controladoria, uma de riscos. Essas diretorias dão a orientação e cabe a cada diretor cumprir a orientação.

Álvaro — Lembrei agora: faz seis ou oito meses que a 3.380 foi editada pelo Banco Central; ela exige a existência de uma área para o controle dos riscos operacionais. Praticamente todos os bancos já montaram essa área, exatamente da forma como a circular está exigindo. É uma das virtudes da auto-regulamentação.

George — Nos bancos, já discutimos quem deve ser o chefe da área de segurança, porque não confundimos mais segurança da informação com segurança da TI. Segurança da informação é mais amplo. Estou falando até da segurança do que é impresso em papel. Assim, acho que o investimento em segurança ampla é bem maior que o investimento naquela segurança tradicional, de antivírus, por exemplo. Existe a preocupação com a continuidade dos negócios, com o risco operacional — nossa capacidade de investimento está diretamente relacionada ao risco operacional. [É um dos efeitos do Acordo da Basiléia 2: quanto maior o risco operacional, menos o banco pode dispor do dinheiro dos correntistas.] Mesmo a Lei 8.666 [é a lei de licitações], que poderia ser um entrave, pode resultar em iniciativas como o pregão eletrônico, que trouxe uma agilidade fantástica para a Caixa, e já fizemos compras com 50% de redução nos preços. Uma coisa: os bancos conseguem se antecipar por causa das discussões e dos fóruns na Febraban.

Paulo Renato — As empresas de seguros estão um degrau atrás dos bancos, porque nossa entidade legisladora, a Susep, só recentemente começou a se preocupar com regulamentação, lavagem de dinheiro, essas coisas. Mas a Liberty também responde para uma casa matriz, é uma empresa de 100 anos, tem suas práticas e seus processos de controle. Hoje estamos sujeitos a quatro processos de auditoria durante o ano: Susep, Boston (onde fica a matriz), interno e o da Ernst & Young. Desde 2003 a empresa vem passando por um processo pesado de adequação à Sarbanes-Oxley.
Existe uma linha fina entre o adequado e o exagerado. Os executivos, o presidente, eles ficam meio que reféns de questões que eles não conhecem bem: ligadas a riscos, controles, documentação de processos, dualidade de responsabilidade... De modo geral, um presidente não percebe bem questões operacionais, e acho que isso é um desafio significativo para os presidentes. Eles querem que tudo seja resolvido logo, como se isso fosse uma coisa binária, ser ou não ser. Na verdade, é um processo. Estar organizado faz sentido, porque acelera a decisão de onde colocar os controles, mas existe o risco de excesso de formalismo. Excesso de formalismo é uma definição boa para burocracia, o que pode levar uma empresa a montar estruturas desnecessárias para cumprir seu papel, e a perder competitividade. O papel do CIO é ajudar todos a enxergar o que é adequado e o que é exagerado.

IH — E o que você considera adequado bate com o que o auditor considera adequado?

Paulo Renato — Tem conflito. E o auditor sempre ganha. Mas o conflito é saudável.

Álvaro — Mas se usamos as boas práticas de mercado, que todo mundo usa, o auditor não vai conseguir argumentar por muito tempo, a não ser que tenha argumentos muito bons.

Paulo Renato — Em algumas empresas, não existe ainda liberdade para uma conversa aberta depois da auditoria. É o que chamamos na Liberty de exit meeting, uma reunião na presença do presidente da mesa e dos auditores, uma reunião de balanço, em que podemos discutir o que julgamos fora de propósito. O auditor usa as mesmas listas de checagem que nós usamos, então, se alguma coisa não foi aprovada, existe sim uma interpretação do que está nessas listas.

IH — Nessa batalha entre o adequado e o exagerado, a tendência é que ganhe o exagerado?

Paulo Renato — É o que está acontecendo neste momento. E não vamos falar só dos auditores, vamos falar também do legislador. A Susep passou várias circulares impondo regras que, realisticamente, não têm sentido. Não podemos tratar contratos de R$ 100,00 e de R$ 100 milhões como se fossem iguais, do ponto de vista do controle dos negócios. Os riscos são diferentes, e precisamos discuti-los. Com esse exagero, podemos até inviabilizar uma operação, um negócio: o controle fica mais caro que o negócio em si.

Dorival — Na área financeira, compliance é mais forte por causa dos impactos da empresa financeira no mercado. Os órgãos reguladores tentam reduzir os riscos por meio de leis e normas. Eu concordo com o Paulo, aí a gente cai um pouco no desespero, mas acho que depois do tsunami vem a razão. Eu costumo usar como exemplo a resolução 3.380 do Banco Central. A primeira leitura é preocupante, mas depois a gente começa a ver que a distância não é tão grande, ou que às vezes a gente faz mais do que a resolução pede. Mas compliance é na verdade um conjunto de processos, para te dar controle e gestão sobre o que você está fazendo. Vale para quando desenvolvemos um aplicativo: se estamos com a cabeça lá na frente, na compliance, adotamos desde já metodologias, princípios, práticas. Por isso é importante olhar outros aspectos da empresa que ajudam no futuro: plano de continuidade dos negócios, segurança física, políticas de classificação das informações. Por isso compliance não é um problema só do CIO, mas da empresa inteira. Quanto mais a empresa usa sistemas eletrônicos, maior o risco operacional que a TI coloca à empresa, e maior a ajuda que essas leis nos trazem. É fundamental que haja comunicação contínua, comunicação interna. Todo mundo precisa entender por que esse compliance é importante para a empresa. E todo mundo contribui para o risco da empresa e do sistema financeiro de alguma maneira.
A gente nota que, no mercado brasileiro, nem todo mundo está cuidando das questões de compliance. As empresas no topo da pirâmide estão. Muitas outras enfrentam uma dificuldade terrível.
Uma pesquisa diz que, em função de compliance, o custo da empresa aumenta uns 30%. Esse número é discutível, mas a idéia central é — existe um custo administrativo, que só vai voltar ao longo dos anos, porque a empresa mexe com processos, com infra-estrutura, com a qualificação das pessoas. E, em alguns casos, o investimento em compliance não dá nenhum aumento de eficiência. Você tem de implementar os controles e ponto final.

Paulo Renato — Vamos partir da hipótese de que a empresa não estava organizada e foi obrigada a se organizar por causa de alguma lei. Mas uma coisa é ficar mais eficiente por causa da lei, e outra coisa é provar que a empresa está correta. Ficar provando é que deixa a empresa mais cara e mais lenta.

Álvaro — Existe aqui uma oportunidade: quem passou pela Sarbanes-Oxley não precisa mais nada para tirar um certificado ISO 27.001. Pode ser uma boa oportunidade de marketing. Só tem meia dúzia de empresas com a 27.001.

Dorival — Vou fazer uma propaganda agora: nós somos ISO 27.001. Mas recebemos tantas auditorias por ano que tenho duas pessoas na Serasa só para receber auditor.

IH — No médio prazo vale a pena?

Dorival — Não. É um processo de longo prazo.

Paulo César — Posso dizer que compliance não é nem hardware nem software. É investimento em processos, em pessoas, em conscientização, é uma coisa mais ampla. Não adianta desenvolver sistemas se as pessoas que vão usar aquele sistema não estiverem conscientes. E os processos também precisam ser bem definidos. Só assim o investimento em compliance pode dar algum resultado operacional bom.

Elisabete — A Prodam está há quase dois anos numa grande reforma, porque as secretarias e as subprefeituras de São Paulo agora podem escolher outros fornecedores. Então, estamos trabalhando com boas práticas; estamos trabalhando em 17 processos dos 34 do Cobit [modelo de referência para a gestão da área de TI]. Estamos implementando ITIL também. Como não dá para atender todas as necessidades do município, que pelo menos a Prodam possa ter a inteligência, possa ser a integradora, não só da TI, mas dos dados também. A gente está começando a trabalhar com fábrica de software também — é muita coisa nova ao mesmo tempo. Diferente das empresas no setor bancário, nós temos muitos processos a consolidar ainda, dentro da Prodam e das secretarias.
Cada secretaria é um mundo diferente: finanças, saúde, educação, as grandes secretarias. E tem as menores, como cultura. Este ano, melhoramos o escritório de projetos, para mostrar os benefícios dos controles para os funcionários da própria Prodam e para os clientes.

Paulo César — Às vezes, o próprio cliente não enxerga as diferenças. Ele pergunta: por que você presta aquele serviço com essa qualidade para o cliente X e para mim não? Às vezes, o cliente não está preparado; para receber um serviço de maior qualidade, ele precisa passar por um processo de reforma da infra-estrutura, precisa instituir processos.

IH — Barretti: dentro da Sabesp, a tendência da TI é se antecipar aos problemas?

Edison — Para nós, a Sarbanes pode ser resumida a uma palavra: oportunidade. Há muitos anos ansiávamos pela implementação de modelos como o Cobit, o ITIL. Uma boa governança só traria vantagens para a empresa. Mais objetivamente, procuramos nos antecipar à regulamentação. Mas existem barreiras culturais tremendas, especialmente para uma empresa que, por décadas, foi puramente estatal. Cada um fazia do jeito que achava melhor fazer. Depois, chega um momento em que todos são obrigados a fazer o que a legislação exige — é uma grande oportunidade para introduzir uma série de controles e para revisar processos. Sempre digo para os auditores que nós estamos do mesmo lado, e que temos os mesmos desejos. Se o auditor sente empatia por você, ele fica aberto para discutir as formalidades em excesso. Um exemplo: a certa altura, os auditores queriam que a correção de um erro, notado num sistema em produção, passasse por todos os passos da metodologia de desenvolvimento de sistemas. Temos 36 fases nessa metodologia. Não adianta querer fazer um reunião de kick off  [pontapé inicial], fazer documentação, se estou com um erro num sistema em produção! Se é um erro, se está fora das especificações originais do sistema, então corrige e comunica e registra, mas sem exageros. Isso foi muito bem aceito, como muitos outros pontos foram bem aceitos. Quando eu vou conversar com qualquer pessoa da empresa para falar de compliance, eu sempre mostro dois dedos: você tem que ser honesto e parecer honesto, você tem que fazer a coisa certa e reunir evidências. Outra vantagem: por questão de segurança, estamos impedindo o funcionamento de mensagens instantâneas, de Orkut, e e-mails na web. Então, aumenta a produtividade. Mas a comunicação precisa ser incansável, precisa dizer as mesmas coisas o tempo todo.

José — O que mais me incomoda, nesse negócio todo, é a quantidade de vezes que sou obrigado a mostrar que estou na norma.

Álvaro — Se a gente olhar bem os resultados das auditorias de Sarbanes, vai perceber que muitos dos controles nas empresas são manuais. É uma oportunidade de melhoria. Se você joga esses controles num sistema, tira um pouco do peso da cultura da empresa. Por exemplo: o gerente de uma agência precisa de uma autorização do cara lá de cima. Hoje, ele pega o telefone e fala: Fulano, estou fazendo essa operação, me passa um e-mail confirmando. Isso é um processo manual, que até pode ser fraudado. A automação dos controles vai ser um ponto importante daqui para a frente.

Edison — No planejamento de 2007, temos 62 projetos, perto de 30 são para melhorar os processos ligados à Sarbanes, e a maioria deles é de automação de controles.

Paulo Renato — Mas isso é custo também

Edison — É custo, mas é também ganho de eficiência.

Paulo Renato — Eu queria falar duas palavrinhas sobre a questão cultural. Tudo isso — essas iniciativas ligadas a compliance — não tem muito charme, e então temos de motivar as pessoas. As pessoas querem trabalhar em projetos inovadores, como lançar banco via celular. Compliance é um serviço de bastidores. É um desafio e tanto manter a equipe motivada para cumprir a Sarbanes-Oxley. E se a equipe não está motivada e treinada, não só a de TI, mas de toda a empresa, vamos ser obrigados a colocar controles para administrar a má vontade e a burrice.

IH — Existe tecnologia para automatizar qualquer tipo de controle?

Álvaro — Existe, sim, mas também vejo empresas por aí em que todo o sistema contábil está baseado em Excel. Acreditem. Eu pessoalmente estou focando agora na gestão das operações terceirizadas, começando a exigir dos parceiros o mesmo nível de maturidade, e esse pessoal está sofrendo, porque os contratos são muito enxutos. A gente até percebe que uma empresa de porte pequeno, por exemplo, já não consegue mais vender produtos para um banco de porte médio, por causa dessas exigências.

Paulo Renato — A pergunta que fica é se a sociedade quer pagar isso, porque no fundo é dela que tudo emana.