Ao longo dos anos, a Tecnologia da Informação se tornou a espinha dorsal para o negócio de muitas empresas e deixou de ser uma opção, tornando-se um diferencial competitivo. Entretanto essa dependência exige muitos cuidados, tais como garantir que os investimentos em TI gerem valor ao negócio, que os processos de TI sejam eficientes e que a disponibilidade das operações seja mantida, além da necessidade de aderência aos processos contratuais, aos mecanismos regulatórios e à legislação vigente.
Para endereçar esses desafios, as empresas recorrem cada vez mais aos modelos e frameworks de Governança, Gestão de Riscos e Conformidade (Compliance) ou simplesmente GRC. Esses termos por muito tempo viveram em “ilhas”, como se cada um observasse o outro a partir da sua respectiva “praia”, e raramente uniam seus esforços, recursos, processos e sistemas para alcançar objetivos comuns. Felizmente isso vem mudando, pois tratar de GRC sob uma perspectiva integrada tem chamado a atenção de muitas empresas.
De acordo com o ITGI (IT Governance Institute), Governança é o conjunto de responsabilidades e práticas exercidas pelos executivos e pela alta direção da empresa com o objetivo de fornecer orientação estratégica, assegurando que os objetivos da companhia sejam alcançados e que os recursos sejam utilizados de forma responsável.
Existem padrões e guias internacionais de boas práticas de governança de TI que podem ser utilizados como referência, tais como: COBIT (Control Objectives for Information and related Technology), um framework de boas práticas de TI; ITIL (IT Infrastructure Library), um conjunto de melhores práticas para o gerenciamento de serviços de TI; ISO/IEC 27001, um padrão de sistema de gestão de segurança da informação, dentre outros.
A definição de Gestão de Riscos do Risk IT Framework, determina que essa atividade deve envolver todas as unidades de negócios da organização para prover uma visão abrangente de todos os riscos relacionados à TI. Uma estrutura corporativa de gerenciamento de riscos (Enterprise Risk Management) proporciona um maior alinhamento com o negócio, eficiência dos processos de TI, maior disponibilidade das operações com uma consequente redução de incidentes, tudo isso gerando valor ao negócio. Em empresas prestadoras de serviços, a gestão de riscos pode representar oportunidades de novos negócios.
Por fim, Conformidade é o ato de aderir e demonstrar adesão a leis e regulamentos externos, assim como a políticas e procedimentos corporativos. Controles internos devem ser implementados para garantir ainda a eficiência das operações e a confiabilidade dos relatórios financeiros. As “não-conformidades” custam caro, podem gerar impacto financeiro e afetar a imagem da empresa.
Uma pesquisa da Advanced Market Research com empresas nos Estados Unidos, estimou os investimentos em GRC, no ano de 2010, em US$ 29,8 bilhões, um crescimento de 3,9% em relação ao ano anterior.
Governança de TI, Gestão de Riscos e Conformidade não devem ser tratados como disciplinas isoladas pois a gestão centralizada dessas atividades é uma tendência irreversível. Além disso, GRC é parte integrante da gestão corporativa e proporciona o alinhamento estratégico com o negócio e a entrega de valor, além de uma melhor gestão dos recursos e do desempenho da TI.