Nas últimas semanas, o caso Delve colocou em cima da mesa uma questão incómoda para o setor do compliance.

O que acontece quando o compliance deixa de se centrar na gestão de riscos e passa a tornar-se apenas uma aparência?

A Delve, startup norte-americana especializada em compliance regulatório relacionado com SOC 2, GDPR ou ISO 27001, prometia revolucionar o setor através de automatização, integrações automáticas, inteligência artificial e certificações obtidas em questão de dias.

A mensagem era extremamente atrativa: reduzir a complexidade do compliance a um processo rápido, automatizado e praticamente imediato.

E o mercado respondeu.

A empresa conseguiu grande visibilidade, investimento relevante e uma valorização milionária em muito pouco tempo.

No entanto, há algumas semanas começaram a surgir acusações muito graves após uma fuga de informação que teria afetado centenas de clientes.

Entre outras questões, a empresa é acusada de:

• não aplicar realmente inteligência artificial aos controlos, como prometia
• não realizar as integrações automáticas anunciadas
• reutilizar procedimentos e políticas através de simples “copy & paste”

Até aqui, poderia tratar-se de publicidade enganosa ou de uma visão demasiado agressiva do negócio. Nada particularmente novo.

Mas as acusações vão mais longe.

Fala-se de:

• relatórios de auditoria pré-fabricados
• evidências fictícias de reuniões que nunca aconteceram
• testes de controlos que nunca foram executados
• estruturas de auditoria utilizadas apenas como fachada

Se tudo isto se confirmar, estaríamos perante um caso extremo do que poderíamos chamar fake compliance.

O problema não é apenas a Delve

Para além do caso concreto, o verdadeiro debate é outro.

Porque a pergunta incómoda não afeta apenas quem vende este tipo de serviços.

Afeta também quem os compra.

Até que ponto algumas organizações aceitam determinados modelos de compliance porque o verdadeiro objetivo não é gerir riscos, mas simplesmente obter o certificado?

Quando o compliance se reduz a entregáveis

Este tipo de modelos partilha um mesmo padrão:

• controlos documentados, mas não executados
• evidências armazenadas, mas não verificadas
• sistemas desenhados para “passar” auditorias, e não para gerir riscos

Na aparência, o sistema existe.

Mas, na prática, não oferece segurança real.

Para explicar de forma simples, seria como obter o certificado da inspeção automóvel sem que ninguém verificasse realmente o veículo.

Teria o certificado.

Mas provavelmente não conduziria descansado.

O que está realmente em causa

O impacto deste tipo de situações vai muito além da reputação de uma empresa concreta.

O que está em causa é a confiança nos sistemas de compliance.

Porque, se as evidências deixam de ser fiáveis, se os controlos não são realmente executados e se as certificações deixam de refletir a realidade operacional de uma organização, o sistema perde completamente o seu sentido.

Uma reflexão necessária

A automatização, a inteligência artificial e a eficiência são positivas e necessárias.

O problema não é a tecnologia.

O problema surge quando o compliance deixa de ser entendido como um sistema de gestão e passa a transformar-se apenas num produto que se entrega.

E essa diferença começa a tornar-se cada vez mais importante.