Compliance e Governança de TI você sabe quais são as diferenças?

em Tendências.

O termo Compliance ganhou destaque nos ambientes corporativos nos últimos anos. Contudo, ainda há muita gente que o confunde com o conceito de Governança de TI.

Na velocidade em que processos organizacionais se tornaram mais complexos e interligados, com maior presença de agentes reguladores internos e externos, a popularidade de práticas como o Compliance é bastante compreensível. Confundi-las com outras que têm alguma semelhança, também.

A mudança de consciência dos consumidores, o desenvolvimento das ferramentas de comunicação e a expansão dos mecanismos de transparência fortaleceram esse conceito, que tem a ver com alinhar e agir conforme as regras e normas.

E nós sabemos que, com mais gente envolvida, com mais órgãos fiscalizadores e com o maior controle graças às ferramentas tecnológicas, atuar dentro das obrigações legais se tornou fundamental para toda empresa.

Todo esforço para evitar problemas jurídicos, de imagem e até de relacionamento com o público — os quais podem ser fatais para qualquer negócio —, é bem-vindo. Ao mesmo tempo, é preciso criar garantias do uso eficiente da tecnologia.

Neste artigo, vamos destrinchar os conceitos de Governança de TI e Compliance para eliminar de uma vez por todas essa confusão.

O que é Governança de TI?

Vamos começar relembrando o conceito de governança aplicado à tecnologia.

Glossário de TI da Gartner aponta a Governança de TI como “processos que garantem o uso eficaz e eficiente da TI, permitindo que uma organização atinja seus objetivos”.

Dizendo de uma maneira um pouco mais prática, a Governança de TI abrange as melhores práticas, procedimentos, normas e outras medidas que objetivam a otimização das atividades internas e de gestão de TI.

Ou seja, ela garante maior segurança de dados, diminui riscos, orienta adequadamente em casos de problemas e pode servir para controlar corretamente os processos dos departamentos de tecnologia nas empresas.

Ela visa manter o funcionamento pleno e íntegro das atividades relacionadas à TI. Seu grande objetivo é garantir a estabilidade e a segurança de sistemas, processos, equipamentos e transações organizacionais que dependem da área de tecnologia, além das que pertencem a ela.

Especificamente, um bom plano de Governança de TI pode conter maneiras de lidar com falhas, panes, ciberataques etc., além de definir práticas de excelência para a área de TI.

É fundamental que a diretoria e gerência estejam incluídas na delimitação das atividades para que possam traçar estratégias organizacionais alinhadas. Além disso, é essencial que otimizem as atuações de suas equipes em consonância com o departamento de TI.

Também vale destacar que as práticas de governança corporativa fornecem apoio ao CIO para que ele tome decisões sobre as atividades, objetivos e rumos da sua própria equipe, inclusive organizando-a melhor e tornando-a mais ágil e eficaz.

Benefícios da Governança de TI

Em resumo, aqui estão as principais vantagens que as empresas obtêm com uma boa Governança de TI:

  • mais alinhamento da TI com as metas e estratégias organizacionais;
  • ganho de conformidade;
  • facilidade para converter metas estratégicas em projetos de TI;
  • auxílio no gerenciamento de projetos e portfólio;
  • redução de riscos relacionados à tecnologia;
  • facilitação do planejamento estratégico de TI;
  • auxílio na medição de desempenho;
  • maior incorporação da TI na cultura da organização;
  • melhorias na gestão de demanda (solicitações de serviços de TI por outros departamentos);
  • otimização das operações do departamento de TI;
  • aumento da visibilidade dos projetos de tecnologia.

Passos iniciais para implementar a Governança de TI

Confira, a seguir, alguns passos iniciais para implementar uma estratégia de Governança de TI no seu negócio.

Avalie os riscos

Um dos principais objetivos da Governança de TI é gerenciar os riscos do negócio.

Para saber qual sistema adotar como parte da estratégia de segurança de TI, por exemplo, é preciso compreender as vulnerabilidades. Isso permitirá discussões produtivas e facilitará a tomada de decisões.

Convença a diretoria da importância da Governança de TI

A governança efetiva de TI exige que os padrões e processos sejam implementados em muitas áreas da arquitetura corporativa.

Portanto, a diretoria deve ser uma defensora disposta, informada e ativa para sustentar as mudanças e práticas que deverão ser implementadas.

Crie um comitê

A Governança de TI afeta toda a organização. Para conseguir que o projeto avance, a nomeação de um comitê de direção que inclua a liderança empresarial e representantes de todas as funções é um grande passo à frente.

Esse time será o responsável por se reunir e revisar as políticas e procedimentos de TI regularmente.

Realize auditorias

Para garantir a adesão e sucesso, realize auditorias regulares dos processos implementados para a Governança de TI. Os resultados da auditoria podem ser usados ​​para ajustar o programa.

O que é Compliance?

A palavra Compliance vem de comply, que em inglês significa cumprir. Também pode ser traduzida como conformidade. A falta de um termo à altura em português é talvez a maior causa do não entendimento desse conceito.

No ambiente empresarial, Compliance tem a ver com garantir que a organização cumpra todos os regulamentos, controles, ISOs, padrões e diretrizes em relação a seus processos.

Segundo a Gartner, “a conformidade com as regulamentações está relacionada às leis que a empresa deve obedecer, ou corre o risco de sanções legais”.

Assim, praticando Compliance, o negócio terá níveis de ética e qualidade elevados nos campos tributário, fiscal, ambiental, previdenciário, trabalhista, jurídico, ético, de imagem, de relacionamento com o cliente, de excelência de procedimentos, entre outros.

Benefícios das práticas de Compliance

Uma organização que adota ferramentas e práticas de Compliance pode obter inúmeras vantagens, tais como:

  • minimização de riscos de ações trabalhistas;
  • melhora da reputação perante o seu público;
  • diminuição de custos operacionais com processos técnicos mais eficientes e alinhados com práticas de excelência do mercado;
  • adequação às leis trabalhistas e fiscais;
  • redução de fraudes internas, bem como desvios de recursos e outras incorreções.

Compliance na TI

Se pensarmos o Compliance especificamente para a área de TI, veremos que ele vem carregado desse significado mais amplo no negócio.

Um software, por exemplo, é desenvolvido em conformidade com as especificações criadas por um órgão normativo e depois implantado em total acordo com o contrato de licenciamento do fornecedor. Isso evita problemas técnicos, pois cumpre com o que é determinado pela empresa desenvolvedora e, ao mesmo tempo, atende às indicações normativas de direitos autorais.

Adotando normas e padrões técnicos de reconhecimento internacional, a área de TI poderá ter processos mais seguros e ágeis, que podem ser facilmente integrados a ferramentas e soluções tecnológicas que também seguem essas normas e padrões.

Passos iniciais para implementar Compliance em TI

O mais correto é pensar em passos iniciais para criar uma cultura de Compliance na empresa como um todo e, consequentemente, na área de tecnologia. Confira algumas dicas.

Torne as políticas e os procedimentos ainda mais sólidos

Um código de conduta bem definido, somado às políticas e procedimentos da organização, é a base do programa de Compliance.

Faça com que todos os envolvidos com a operação de tecnologia conheçam as diretrizes internas e externas. E demonstre claramente que o objetivo final é proteger a organização contra riscos — inclusive legais.

Treine e eduque sua equipe

Políticas e procedimentos não farão muito se sua equipe não estiver familiarizada com eles. A educação e o treinamento também são partes essenciais de um programa de Compliance eficaz.

Lembre-se que os novos funcionários não são os únicos que precisam de treinamento. A capacitação contínua é uma parte importante da manutenção de uma cultura ativa de conformidade.

Comunique-se com eficácia

A manutenção de linhas de comunicação abertas entre os funcionários e a gerência, entre clientes e fornecedores e entre as organizações de gerenciamento e parceiras, também é essencial.

É vital criar um ambiente em que as pessoas se sintam seguras para apresentar preocupações ou apontar erros.

Realize auditorias internas

Ao realizar auditorias regulares, você pode identificar inconformidades antes que elas se tornem um problema.

Isso também ajuda a priorizar melhorias e obter uma compreensão mais profunda dos processos e procedimentos que existem atualmente em sua operação tecnológica.

Capriche na documentação

A documentação e a manutenção de registros também são importantes. Isso significa ter tecnologias eficazes implementadas.

As planilhas só podem funcionar no rastreamento da conformidade até que apareçam as dificuldades com a escalabilidade e a confiabilidade se torne muito difícil de gerenciar.

Por isso, use boas soluções de gerenciamento de conformidade. Assim você poderá rastrear e relatar facilmente o que deve ser modificado para que a melhoria contínua seja incorporada à cultura organizacional.

Em que Compliance e Governança de TI divergem?

Ambas, como mencionado anteriormente, divergem em suas práticas principais. Enquanto a Governança de TI se encarrega de propor e orientar as atividades, processos e funções baseadas em padrões de excelência, Compliance foca em questões de normas, leis e diretrizes para as quais essas ações devem se ajustar.

Uma preza pela execução de qualidade dos processos, enquanto a outra cuida para que eles sigam as normas de reguladores externos e até mesmo internos.

Existem empresas em que profissionais — ou até áreas inteiras — ficam responsáveis por estabelecer as práticas de Compliance ou de Governança de TI. Todavia, é importante que haja a delimitação de cada área e sua comunicação aos colaboradores, de modo que fique bem claro por quais competências cada uma é responsável.

Caso contrário, os profissionais de Governança ou os encarregados de implantá-la poderão ter problemas com a falta de envolvimento dos trabalhadores de TI e de outros setores. Há chances de eles pensarem que suas ações, na verdade, correspondem às de Compliance, relacionadas a processos de auditoria e fiscalização interna — o que é temido por muitos funcionários por conta de questões culturais.

Por falar nisso, também é preciso trabalhar para mudar a mentalidade dos colaboradores. Até lá, faz-se necessária a correta distinção entre as duas abordagens.

Como elas se relacionam?

Compliance e Governança de TI delimitam normas e padrões para garantir que os processos de uma empresa funcionem adequadamente, sendo esse seu principal ponto em comum.

Quando o gestor de TI une e atua para que esses dois conceitos sejam aplicados em seu departamento, os benefícios obtidos podem ser amplos e duradouros.

Além de garantir maior segurança às informações e procedimentos, é possível economizar com a diminuição de falhas e com a otimização do fluxo de trabalho.

O departamento de TI pode colaborar também para que a empresa se torne mais transparente, elevando sua imagem junto aos clientes como uma entidade responsável e comprometida com as melhores ações de responsabilidade fiscal, trabalhista, social e ambiental.

É importante apontar que um dos desafios da gestão de TI consiste em planejar, executar e monitorar a correta aplicação das orientações e ferramentas de ambas as práticas.

Por isso, é necessária a participação de toda a equipe junto ao CIO, bem como de outros gestores, fornecendo apoio para a solução desse desafio.

Qual é o papel do CIO quando se trata de Governança de TI e Compliance?

Entre as leis relacionadas à TI e às regulamentações de governança, os executivos de TI lidam hoje com questões mais legais. Elas incluem regulamentos de conformidade, regras de privacidade e proteção de dados.

Assim, não é incorreto afirmar que ao papel do CIO estão sendo somadas funções de proteção da ética, além da orquestração da operação e da defesa da inovação tecnológica.

Cada vez mais, cabe aos líderes de TI a tarefa de trabalhar junto à alta hierarquia empresarial para garantir que o negócio esteja em conformidade com a legislação e com as boas práticas tecnológicas.

Cai sobre as mãos dos CIOs, por exemplo, a tarefa de encontrar meios de monitorar o bom uso das soluções virtualizadas que se popularizam dia após dia — evitando assim o chamado Shadow IT, que é quando as aplicações são adquiridas e utilizadas sem o consentimento do departamento de TI.

Ou seja, além de ser o driver do desenvolvimento tecnológico na organização, o CIO passa a ser um defensor de conformidade. Por isso, precisa estar antenado às mudanças legislativas, acompanhar a evolução de métodos e práticas, entre outras funções.

Enfim, o gestor de TI deve buscar formas de controlar e monitorar se todas as práticas de Governança de TI e de Compliance estão sendo atendidas e aplicadas corretamente. Além disso, deve planejar de antemão formas de corrigir e readequar as que não estão.

 

Quer saber mais sobre as soluções da Locaweb Corp? Acesse nosso site!