As organizações de setores altamente regulamentados geralmente enfrentam obstáculos de conformidade. Os prazos podem variar, os conjuntos de dados aumentam continuamente e os processos internos podem estar desatualizados, mas a solução desses desafios pode ser simplificada. O aprimoramento da governança de informações é uma opção transformadora a ser explorada, especialmente para organizações de serviços financeiros. O setor está sujeito a requisitos regulatórios rigorosos devido à natureza dos negócios no setor. As pessoas encarregadas da criação de políticas, do investimento em tecnologia e do gerenciamento da conformidade normativa devem conhecer suas opções e traçar estratégias adequadas.

Um cenário regulatório exigente

As organizações de serviços financeiros estão sujeitas a uma maior supervisão regulatória das comunicações digitais. Compreender os requisitos sobre quais dados devem ser retidos, como devem ser retidos e por quanto tempo é fundamental para os negócios. Embora esse esforço possa parecer complicado, o primeiro passo é saber quais normas se aplicam e o que se espera para atender suficientemente a cada obrigação.

Um exemplo importante é a Regra 17a-4 do Securities and Exchange Act. Essa regra descreve os requisitos para a retenção e preservação de registros por corretores e outras entidades regulamentadas. A Regra 17a-4(b)(4) da SEC exige que uma corretora retenha os originais de todas as comunicações recebidas e cópias de todas as comunicações enviadas pela corretora relacionadas a seus “negócios como tal” por pelo menos três anos e, nos primeiros dois anos, em um local de fácil acesso.

Além disso, o 17a-4 inclui disposições específicas para o uso de armazenamento “compatível com worms” (Write Once, Read Many) para determinados tipos de registros eletrônicos. A Securities and Exchange Commission (SEC) forneceu orientações sobre esse tópico em 2022, acrescentando uma alternativa de trilha de auditoria à exigência existente de que os corretores preservem os registros eletrônicos exclusivamente em um formato não regravável e não apagável.  Essas mudanças permitem o uso de tecnologia moderna para cumprir essas regras, eliminando a necessidade de utilizar armazenamento legado que é lento e caro.

Outro exemplo que está sob a autoridade da SEC é a regra 15F(g)(1) da CFTC SEA 15F(g)(1) da Commodities Future Trading Commission (CFTC). Essa regra tem escopo mais limitado no que se refere à atividade de negociação de futuros de commodities. Ela exige que as corretoras mantenham todas as comunicações diárias de negociação relacionadas a swaps baseados em títulos.

Os exemplos acima representam apenas algumas das obrigações regulatórias relacionadas à comunicação que o setor de serviços financeiros enfrenta. As disposições de notificação da Financial Industry Regulatory Authority (FINRA) são outro exemplo de obrigações regulatórias às quais as organizações podem estar sujeitas. As organizações que não estão em conformidade podem estar sujeitas a multas, danos à reputação e interrupção das operações comerciais.

Soluções de governança de informações da Microsoft

A maioria das organizações espera que os órgãos reguladores aumentem o monitoramento de suas comunicações no futuro e, como resultado, essas organizações começaram a revisitar a Purview Platform da Microsoft. Dessa forma, é fundamental que os tomadores de decisão das organizações de serviços financeiros entendam suas opções, e a governança de informações é fundamental para manter práticas sólidas de retenção e preservação. Os programas de governança de informações orientados por conformidade também devem destacar as políticas relacionadas aos canais de comunicação autorizados, pois isso ajudará as organizações a acompanhar os dados que precisam arquivar e reduzirá o risco de usar comunicações não monitoradas.

Para manter a reclamação, as organizações de serviços financeiros devem explorar o Microsoft 365 (M365). Embora muitas organizações de serviços financeiros já tenham adotado o M365 para e-mail, gerenciamento de documentos e colaboração, elas continuam a ingerir mensagens em soluções de arquivamento separadas. Esses arquivos legados estão em vigor há 10, 15 ou até mais de 20 anos, geralmente armazenando petabytes de informações. Eles podem ter recursos para eDiscovery, retenção legal, supervisão e retenção de registros. As organizações estão revisitando o M365 e planejando seu roteiro para aproveitar o M365 como seu sistema de arquivamento de registros para atender às obrigações regulamentares.

O reaproveitamento de ferramentas já em uso para outras funções proporciona economia significativa de custos e facilidade de implementação. A Microsoft oferece os mesmos recursos das soluções de arquivamento legadas, incluindo arquivamento, supervisão, eDiscovery e gerenciamento de registros. O setor de serviços financeiros e os órgãos reguladores reconhecem que o M365 Purview pode atender a requisitos especializados, como os regulamentos 17a-4.

Os principais recursos incluem:

• Gerenciamento de retenção e registros: O M365 tem recursos incorporados para permitir que as organizações gerenciem conteúdo de alto valor e cumpram as obrigações regulamentares. A aplicação de rótulos e políticas de retenção fornece uma governança de linha de base dos dados nas cargas de trabalho do M365.
• Microsoft Purview eDiscovery Premium: Essa solução permite que as organizações preservem os dados do M365 no local, coletem informações potencialmente responsivas e, em seguida, revisem e eliminem esses dados no ambiente do M365. As organizações podem reduzir a quantidade de dados irrelevantes, mas confidenciais, que saem de seu ambiente e, assim, economizar na produção futura.
• Retenção legal e preservação no local: Há um fluxo de trabalho de comunicação integrado para enviar notificações de retenção legal aos custodiantes e acompanhar as confirmações. Os usuários também podem criar automação em torno da preservação no local em escala com APIs do Graph ou usar uma interface do usuário para gerenciar o processo.
• Arquivamento em conformidade: As organizações podem reter dados para cumprir os requisitos da FINRA, SEC, FERC e outros.  Há recursos disponíveis para simplificar as obrigações de conformidade de supervisão/vigilância, permitindo que os usuários analisem as comunicações e iniciem investigações quando ocorrerem violações.
• Prevenção contra perda de dados (DLP): Esses recursos ajudam a controlar dados confidenciais no Exchange, Teams, SharePoint, OneDrive e dispositivos. Ter esses recursos em uma única plataforma é extremamente valioso.  É fundamental lembrar que a introdução do M365 como sistema de arquivamento de registros leva a uma série de atualizações de documentação. É necessário um inventário e uma revisão da documentação para garantir que os recursos sejam refletidos nas políticas organizacionais, nos procedimentos, nas atividades de integração e desligamento de funcionários e nos materiais de treinamento. Embora isso leve algum tempo para começar a funcionar, as organizações devem observar um ROI substancial e maior facilidade de uso após a implementação. 

Para saber mais sobre as opções de governança de informações para atender aos requisitos regulamentares e reduzir os riscos, faça o download do nosso white paper.