Custos relacionados à conformidade aumentaram em quase metade das empresas, aponta pesquisa

Segunda-feira, 27 de outubro de 2008, 20h22 – TI Inside

Para conduzir os negócios na economia mundial de hoje, as empresas devem cumprir regulamentações específicas de cada país e, muitas vezes, adaptar-se às mudanças ou diferentes interpretações de que as regras estão sujeitas ao longo do tempo. De acordo com uma pesquisa global independente, 45% das empresas registraram um aumento no tempo e nos recursos financeiros necessários para garantir a conformidade com os 13 principais grupos de regulamentações e padrões cada vez mais presentes ao redor do mundo – lei Sarbannes-Oxley, HIPAA, Gramm-Leach-Bliley, J-SOX, Payment Card Industry Standard (PCI), Bill 198, CLERP-9, King Report, AS4360 e ACSI33, Policy 52-109, Loi de Securite Financiere (LSF) e L262/2005.

O estudo, patrocinado pela CA, ouviu cerca de 575 diretores de TI ou executivos de cargos superiores de empresas de grande e médio porte, sediadas nas Américas do Norte, Central e do Sul, na Europa e na região Ásia-Pacífico.

O estudo revelou que a natureza mutável das regulamentações é um fator importante para o aumento dos custos. Na América do Norte, 41% das empresas apontaram a introdução de novas regulamentações como uma razão para o aumento das despesas com conformidade. Na região Ásia-Pacífico, onde a J-SOX – a equivalente japonesa à lei americana Sarbanes-Oxley, que estabelece maior controle dos processos operacionais e financeiros para combater fraudes interna –, foi recentemente aprovada, esse número foi significativamente maior, alcançando 55%. A Europa e as Américas Central e do Sul registraram 40% e 29%, respectivamente.

Mudanças nas regulamentações já existentes também foram apontadas como um fator impactante nos gastos, por 49% das empresas das Américas do Norte, Central e do Sul, por 39% das empresas negócios da região Ásia-Pacífico e por 34% das empresas européias.

O estudo também mostrou que a maioria dos participantes contava com processos manuais para atingir a conformidade, apesar desses processos e da falta de controle centralizado serem "uma receita para a espiral de custos" em um ambiente cada vez mais regulamentado. Mais de dois terços das empresas pesquisadas relataram que mantinham as informações a respeito dos seus controles de conformidade de TI em diversas planilhas e, com freqüência, dentro de unidades organizacionais diferentes. Além disso, mais de 75% disseram que as operações, os testes, o monitoramento e o reporte dos controles de TI eram, na melhor das hipóteses, uma combinação entre processos manuais e automatizados.

Américas Central e do Sul

De acordo com a pesquisa, entre as empresas latino-americanas que foram obrigadas a entrar em conformidade, Basiléia 2 (90%), Sarbannes-Oxley (89%) e AS4360/ACSI33 (88%) são os padrões normativos mais adotados. Além disso, as empresas da região relacionam o aumento dos custos com conformidade a fatores diversos, tais como mudanças de regras (49%) e automação de TI (38%), adotada para racionalizar os esforços com a necessidade da conformidade. É importante ressaltar, também, que para 38% dos altos executivos latino-americanos ouvidos na pesquisa, a conformidade tornou-se uma prioridade.

Na América Latina, algumas empresas estão adotando ‘melhores práticas’ para estarem à frente de seus concorrentes no processo de conformidade. Mas a tarefa de garanti-la é difícil para empresas de todos os tamanhos e de todas as indústrias; a efetividade do processo depende da companhia como um todo e requer coordenação e documentação adequadas. Na região, 42% das empresas utilizam a ISO 17799 ou a ISO 27001 como prática recomendada, enquanto 39% optaram pela ISO/IEC 20000 e 31%, pelo CoBIT.

Em todas as regiões pesquisadas, das 13 normas e regulamentações comuns avaliadas, o estudo mostra que a lei Sarbannes-Oxley (Sox) teve o maior impacto nos custos na TI e nas empresas de maneira geral. A Sox foi seguida, em termos de custos, pela CLERP-9, uma regulamentação australiana para contabilidade corporativa e, em termos de impacto na organização de TI, pela Basiléia 2, norma global que rege a adequação de capital de bancos internacionais. As regulamentações que seguiram a Sox em relação ao maior impacto nas empresas de maneira geral foram as australianas: CLERP-9 e AS4360 – para gerenciamento de riscos – e ACSI33 – para o processamento, o armazenamento e a comunicação de informações do governo.