Os assuntos são complementares, mas não querem dizer a mesma coisa. Afinal, como a gestão de riscos se insere na governança de TI?

Muito se fala sobre gestão de riscos e governança de TI no mundo corporativo. Essas duas expressões estão em todos os lugares, mas não quer dizer que todo mundo entenda o que elas significam. Ainda pode acontecer dos dois conceitos se mesclarem e, no fim das contas, não se sabe o que faz cada um deles.

Essas palavras não aparecem juntas por acaso. Apesar de representarem conceitos diferentes, elas estão ligadas diretamente uma com a outra. Não sabe como? Leia esse post até o fim e descubra!

O que é gestão de riscos?

Os riscos são inerentes a qualquer atividade empresarial, mas isso não significa que eles não possam ou não devam ser gerenciados, mitigados e controlados. Pelo contrário: a gestão de riscos existe justamente para tornar os negócios menos vulneráveis aos problemas que eventualmente aparecerão.

Nesse contexto, gestão de riscos é a atividade de identificar potenciais ameaças ao sucesso do negócio e criar medidas para reduzir os possíveis danos causados por elas. Esse gerenciamento é uma atividade não apenas da área de TI, mas de toda a organização.

Por exemplo, se uma empresa realiza vendas a prazo, ela tem o risco financeiro de não receber. Multas, processos na justiça, acidentes de trabalho e falhas logísticas também são bons exemplos de riscos comuns.

O processo geralmente envolve as etapas de identificação, análise qualitativa e quantitativa, planejamento de resposta, monitoramento, mitigação e controle dos riscos.

O que é governança de TI?

É o meio pelo qual as empresas conseguirão extrair os melhores resultados dos seus investimentos em TI. A tecnologia é um fator estratégico para a maioria dos negócios, mas sempre existe um conflito entre ter que investir mais para melhorar e precisar cortar custos.

A governança de TI permite que essa área seja mais produtiva, desperdice menos recursos e sirva ao seu propósito: contribuir para o crescimento e a competitividade do negócio. O principal objetivo é justamente alinhar o setor com as estratégias da organização.

Na prática, a governança corresponde à utilização de diretrizes e processos padronizados para controlar serviços e aplicações de TI. Para isso, é necessário envolver não apenas os profissionais de tecnologia, mas executivos, gestores e usuários.

A governança de TI pode ser dividida em cinco frentes:

  1. Alinhamento estratégico: busca relacionar os recursos e investimentos de TI com as necessidades do negócio;
  2. Entrega de valor: garante que a performance de TI seja suficiente para, de fato, gerar valor para a empresa;
  3. Gestão de recursos: busca evitar desperdícios e gerenciar tanto as pessoas quanto as tecnologias que compõem a TI;
  4. Mensuração de desempenho: é impossível gerenciar o que não se mede, não é mesmo? Todos os processos de TI devem ter seu desempenho mensurado;
  5. Gestão de riscos: identifica e atua na mitigação de riscos e no aumento da segurança da informação.

Como os dois conceitos se relacionam?

Como você já viu, a gestão de riscos é um dos componentes da governança de TI. Quando aplicada a essa área, os objetivos dela são:

  • Diagnosticar ameaças à segurança da informação presentes na rede e nos equipamentos da empresa;
  • Identificar as fontes das ameaças;
  • Detectar e eliminar procedimentos inseguros adotados pelos usuários;
  • Selecionar medidas e tecnologias de prevenção e proteção adequadas ao tamanho e contexto da empresa;
  • Elencar softwares, sistemas, dispositivos, servidores e equipamentos utilizados que não atendem aos requisitos de segurança;
  • Avaliar a estrutura física da empresa.

No fim das contas, apesar de não depender exclusivamente dela, a governança de TI não estaria completa sem a gestão de riscos. Apesar de não ser uma atividade única do setor de tecnologia, ela desempenha papel fundamental na melhoria dos sistemas e da infraestrutura tecnológica da empresa.

Juntas, gestão de riscos e governança de TI tornarão sua estrutura mais confiável e melhorarão a imagem da sua equipe de tecnologia diante do resto da empresa, fornecedores e clientes.

Você tem experiência com alguma das duas atividades? Como andam a gestão de riscos e a governança de TI na sua empresa? Compartilhe com a gente!