Diretrizes para Modelo Interado de Governança Corporativa E de Governança Da Tecnologia Da Informação

1
DIRETRIZES PARA MODELO INTERADO DE GOVERNANÇA

CORPORATIVA E DE GOVERNANÇA DA TECNOLOGIA DA
INFORMAÇÃO
Rodrigo de Grazia Bacha Estevam

João Souza Neto
Brasília – DF
2015
2
3
RESUMO
Esta pesquisa teve por objetivo propor um modelo único e integrado de Governança
Corporativa e Governança de Tecnologia da Informação para empresas do setor privado e
para estatais no cenário brasileiro. O modelo proposto foi elaborado a partir de uma revisão
bibliográfica que resultou na análise de códigos de Governança Corporativa e de frameworks
de Governança de TI que pudessem atender o objetivo da pesquisa. O modelo proposto foi
avaliado em uma reunião de grupo focal composta por especialistas das áreas de Governança
Corporativa e Governança de Tecnologia da Informação. O grupo focal contribuiu não só com
sugestões pontuais, mas também com propostas de estudos futuros. O modelo proposto
integra a Governança Corporativa com a Governança de Tecnologia da Informação, com a
participação efetiva do Conselho de Administração na condução da Governança de
Tecnologia da Informação.
PALAVRAS-CHAVE: Governança Corporativa. Governança de Tecnologia da Informação.

KING III. COBIT 5. ABNT NBR ISO/IEC 38500.
4
ABSTRACT
This research aimed to propose a single model that integrates the Corporate Governance and
the Governance of Information Technology for companies in the private and public sector in
the brazilian scenario. The proposed model was developed from a literature review that
consisted in the analysis of corporate governance codes and IT governance frameworks that
could meet the research objective. Then, the proposed model was evaluated in a focus group
meeting, composed of experts from the areas of Corporate Governance and Information
Technology Governance. The focus group helped not only with specific suggestions, but also
with proposals for future studies. The proposed model integrates the Corporate Governance
and the Information Technology Governance, with the active participation of the Board in the
direction of the Information Technology Governance.
KEYWORDS: Corporate Governance. IT Governance. KING III. COBIT 5. ABNT NBR

ISO/IEC 38500.
5
LISTA DE FIGURAS
Figura 1 – Modelo de Governança – ABNT NBR ISO/IEC 38500.........................................30
Figura 2 – Matriz de Arranjo de Governança de TI..................................................................32
Figura 3 – Framework de Governança de TI (WEILL e ROSS)..............................................34
Figura 4 – Áreas de foco na Governança de TI.......................................................................35
Figura 5 – Quatro domínios inter-relacionados do COBIT......................................................36
Figura 6 – Cubo do COBIT......................................................................................................37
Figura 7 – Evolução do COBIT................................................................................................40
Figura 8 – Princípios do COBIT 5............................................................................................40
Figura 9 – Objetivo da Governança: Criação de Valor.............................................................41
Figura 10 – Visão Geral dos Objetivos em Cascata.................................................................41
Figura 11 – Habilitadores do COBIT 5.....................................................................................43
Figura 12 – Divisão de Governança e Gestão do COBIT 5......................................................44
Figura 13 – Visão Geral dos Processos do COBIT 5................................................................44
Figura 14 – Sistema de Governança Corporativa (IBGC)........................................................61
Figura 15 – KING III................................................................................................................63
Figura 16 – Camadas de Governança e a inter-relação entre as diferentes estruturas e padrões

...................................................................................................................................................69
Figura 17 – Estrutura de supervisão do governo sul africano para a implantação do

PSCGICTPF..............................................................................................................................72
Figura 18 – Funcionamento do Sistema de Governança (PSCGICTPF)..................................73

6
LISTA DE TABELAS
Tabela 1 - Pesquisa com palavras-chave simples.....................................................................22
Tabela 2 – Pesquisa com palavras-chave compostas................................................................22

7
LISTA DE GRÁFICOS
Gráfico 1 – Distribuição das Instituições por Estágios do iGovTI...........................................77
Gráfico 2 – Aderência dos Resultados aos Princípios do KING III.........................................80

8
LISTA DE QUADROS
Quadro 1 – Princípios Específicos da Governança de TIC Adotados a partir da Inter-relação

entre estas Normas e Padrões do PSCGICTPF.........................................................................75
Quadro 2 - Percentual de Auditorias Realizadas nos Órgãos (iGovTI)....................................78
Quadro 3 - Implantação de Governança de TI no Órgão/Empresa...........................................79
Quadro 4 - Utilização de Governança de TI no Órgão/Empresa..............................................79
Quadro 5 – Limitações de grupos focais e ações para mitigá-las.............................................85
Quadro 6 – Análise dos Frameworks e/ou Normas de Governança de TI abordados na

Pesquisa com relação ao seu Relacionamento com a Governança Corporativa.......................87
Quadro 7 - Análise dos Códigos de Governança Corporativa Abordados na Pesquisa com

relação ao seu Relacionamento com Normas e/ou Frameworks de Governança de TI............94
Quadro 8 – Análise do Modelo Integrado de Governança Corporativa e de Governança da TI

da África do Sul abordado na pesquisa com Relação ao seu Relacionamento com Normas e/ou
Frameworks de Governança de TI, e Governança Corporativa...............................................98
Quadro 9 – Relação entre KING III e COBIT 5.....................................................................103
Quadro 10 – Perfil profissional dos participantes do grupo focal..........................................107

9
LISTA DE SIGLAS E ABREVIATURAS
ABNT NBR ISO/IEC 38500:2009 - Norma para Governança de TI

ABNT NBR ISO/IEC 27005:2008 - Framework para Gestão de Riscos
APF - Administração Pública Federal
BSC – Balanced ScoreCard
CAPES - Coordenação de Aperfeiçoamento de Pessoal de Nível Superior
CEO - Chief Executive Officer
CIO - Chief Information Officer – Diretor de TI
COBIT - Control Objectives for Information and Related Technology
COSO - Committee of Sponsoring Organizations of the Treadway Commission
DPME - Department of Performance Monitoring and Evaluation
DPSA – Department of Public Service and Administration
EDM - Evaluate, Direct and Monitor
ECGI – European Corporate Governance Institute
GC - Governança Corporativa
GF - Grupo Focal
GICTF - Governance of Information and Comunication Technology
GITO - Government Information Technology Office
GITOC – Government Information Technology Officer Council
GTI - Governança de Tecnologia da Informação
HoD – Head of Department
IBCA - Instituto Brasileiro de Conselheiros de Administração
IBGC - Instituto Brasileiro de Governança Corporativa
iGovTI - Indice de Governança de TI
ISACA - Information Systems Audit and Control Association
ISO - International Organization for Standardization
ITGI - IT Governance Institute
ITIL - Information Technology Infrastructure Library
KING III - Código de Governança Corporativa Sul Africano
MPSA - Minister of Public Service and Administration
OCDE - Organização para a Cooperação e Desenvolvimento Econômico
PIB - Produto Interno Bruto
PSCGICTPF - Public Service Corporate Governance of Information and Communication
10
Technology Policy Framework

PMBoK - Project Management Body of Knowledge
PRINCE2 - PRojects IN Controlled Environments
RACI - Responsible, Accountable, Consulted and Informed
SEFTI - Secretaria de Fiscalização de Tecnologia da Informação
SISP - Sistema de Administração dos Recursos de Informação e Informática
TCU - Tribunal de Contas da União
TI - Tecnologia da Informação
TIC - Tecnologia da Informação e Comunicação
TOGAF - The Open Group Architecture Framework
UCB - Universidade Católica de Brasília
11
SUMÁRIO
RESUMO...................................................................................................................................8
ABSTRACT...............................................................................................................................9
LISTA DE FIGURAS.............................................................................................................10
LISTA DE TABELAS............................................................................................................11
LISTA DE GRÁFICOS..........................................................................................................12
LISTA DE QUADROS...........................................................................................................13
LISTA DE SIGLAS E ABREVIATURAS............................................................................14
SUMÁRIO...............................................................................................................................16
1. INTRODUÇÃO.............................................................................................................18
1.1 REVISÃO DA LITERATURA.....................................................................................21
1.2 FORMULAÇÃO DO PROBLEMA.............................................................................23
1.3 QUESTÃO DE PESQUISA..........................................................................................24
1.4 RELEVÂNCIA DO ESTUDO......................................................................................24
1.5 OBJETIVOS..................................................................................................................26
1.5.1 OBJETIVO GERAL.................................................................................................26
1.5.2 OBJETIVOS ESPECÍFICOS....................................................................................26
2. REFERENCIAL TEÓRICO........................................................................................27
2.1 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO.....................................27
2.1.1 NORMA ABNT NBR ISO/IEC 38500.....................................................................28
2.1.2 MODELO DE WEILL E ROSS................................................................................31
2.1.3 FRAMEWORK COBIT 4.1.......................................................................................34
2.1.4 FRAMEWORK COBIT 5..........................................................................................39
2.2 GOVERNANÇA CORPORATIVA.............................................................................55
2.2.1 RELATÓRIO CADBURY........................................................................................59
2.2.2 IBGC – INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA.......61
2.2.3 KING III – SOUTH AFRICA CODE OF GOVERNANCE....................................62
2.3 MODELOS INTEGRADOS DE GOVERNANÇA CORPORATIVA E DE TI......68
2.3.1 POLÍTICA DE SERVIÇO PÚBLICO DE GOVERNANÇA CORPORATIVA DA
TECNOLOGIA DA INFOMAÇÃO E COMUNICAÇÃO...............................................68
2.4 PESQUISAS REALIZADAS NOS SETORES PÚBLICO E PRIVADO.................76
2.4.1 LEVANTAMENTO DE GOVERNANÇA DE TI DO TCU....................................76
2.4.2 PESQUISA UCB SOBRE GOVERNANÇA............................................................78
3. METODOLOGIA.........................................................................................................81
12
3.1 CLASSIFICAÇÃO DA PESQUISA............................................................................81

3.2 DESCRIÇÃO DA PESQUISA.....................................................................................82
4. RESULTADOS...................................................................................................................87
4.1 ANÁLISE DOS MODELOS DE GOVERNANÇA CORPORATIVA,
GOVERNANÇA DE TI E MODELOS INTEGRADOS DE GOVERNANÇA
CORPORATIVA E DE GOVERNANÇA DE TI.............................................................87
4.1.1 ANÁLISE DOS FRAMEWORKS/NORMAS DE GOVERNANÇA DE TI
APRESENTADOS COM RELAÇÃO AO SEU RELACIONAMENTO COM
GOVERNANÇA CORPORATIVA..................................................................................87
4.1.2 ANÁLISE DOS CÓDIGOS DE GOVERNANÇA CORPORATIVA
GOVERNANÇA DE TI.....................................................................................................94
4.1.3 ANÁLISE DA POLÍTICA DE SERVIÇO PÚBLICO DE GOVERNANÇA
CORPORATIVA DA TECNOLOGIA DA INFOMAÇÃO E COMUNICAÇÃO COM
RELAÇÃO A GOVERNANÇA CORPORATIVA E A GOVERNANÇA DE TI...........97
4.1.4 AVALIAÇÃO DOS MODELOS DE GOVERNANÇA..........................................99
4.2 PROPOSTA DE MODELO INTEGRADO DE GOVERNANÇA CORPORATIVA
E GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO.....................................102
4.3 GRUPO FOCAL..........................................................................................................107
4.3.1 REALIZAÇÃO DO ENCONTRO..........................................................................108
4.3.2 RESULTADOS DO GRUPO FOCAL...................................................................111
5. CONCLUSÃO...................................................................................................................113
5.1 LIMITAÇÕES DO ESTUDO.....................................................................................114
5.2 RECOMENDAÇÕES PARA TRABALHOS FUTUROS.......................................115
6. REFERÊNCIAS BIBLIOGRÁFICAS............................................................................116
7. APÊNDICE........................................................................................................................121
7.1 APÊNDICE A – APRESENTAÇÃO DO GRUPO FOCAL....................................121
13
1. INTRODUÇÃO
Segundo Magalhães (2007), a governança corporativa (GC) congrega um conjunto de

práticas relacionadas à administração das sociedades, que visam minimizar os naturais
conflitos entre os acionistas e a administração, não se confundindo nem se limitando, todavia,
à proteção do acionista minoritário, uma vez que serve à sociedade, aí considerados todos os
envolvidos na consecução do projeto empresarial, ou seja, as diversas categorias de acionistas,
credores, empregados, investidores, governo e a comunidade em que ela atua. Com efeito, o
acionista controlador também se beneficia com a adoção das boas práticas de governança na
sociedade, uma vez que tais práticas agregam valor administrativo e gerencial à companhia.
Entendem-se como posturas essenciais para a boa governança corporativa a
integridade ética, permeando todos os sistemas de relações internas e externas, o senso de
justiça, no atendimento das expectativas e das demandas de todos os “constituintes
organizacionais”; a exatidão na prestação de contas, fundamental para a confiabilidade na
gestão; a conformidade com as instituições legais e com os marcos regulatórios [...]; e a
transparência, dentro dos limites [...]. (ROSSETTI, 2009, p. 142).
Rossetti (2009) enfatiza ainda que umas das mais importantes dimensões da governança
corporativa são os seus valores, que lhe dão sustentação, e amarram concepções, práticas e
processos de alta gestão: disclosure (transparência), fairness (senso de justiça, equidade),
accountability (prestação responsável de contas) e compliance (obediência às leis).
King (2013) afirma que atualmente fala-se do contexto triplo do negócio – a área de
negócio das organizações não pode estar interessada simplesmente nas linhas de fundo. Em
vez disso, as empresas devem viver no contexto triplo das finanças, da sociedade e do meio
ambiente.
Ainda, segundo King (2013), o impacto do contexto triplo é enorme. As organizações
precisam mostrar aos investidores que eles são bons cidadãos corporativos e que têm a
capacidade de sobreviver em um século de mudança e turbulência, além de integrar a
sustentabilidade ambiental em seus relatórios.
Pela grande quantidade de códigos existentes, na Governança Corporativa, foram
selecionados, para essa pesquisa, os códigos de acordo com o grau de relevância na área e a
aderência ao tema considerando o cenário internacional e o nacional.
A forma com que os investimentos e as tecnologias têm sido gerenciadas tem feito
com que os executivos de tecnologia e os de negócios reconheçam que o sucesso da TI,
14
atualmente, não está na tecnologia em si, mas sim na forma como ela é governada
(PETERSON, 2004). É a partir desse contexto que desponta a governança de TI como uma
tentativa de garantir que o dinheiro investido em tecnologia esteja agregando valor à
organização. Destaque-se que em uma série de publicações, especialmente após a quebra de
grandes empresas norte-americanas por fraudarem seus relatórios financeiros, a Governança
de TI (GTI) aparece como um meio de justificar e, principalmente, otimizar os investimentos
realizados em TI (DE HAES e VAN GREMBERGEN, 2004).
Diferentes pesquisas têm levantado indícios que empresas com bons modelos de
Governança de TI apresentam resultados superiores aos de seus concorrentes, especialmente,
porque tomam decisões consistentes sobre a TI (WEILL, 2004; WEILL e ROSS, 2004a).
Mecanismos como a presença de comitês, a participação da área de tecnologia na formulação
da estratégia corporativa, bem como os processos de elaboração e aprovação de orçamentos e
projetos de TI são apenas alguns mecanismos que procuram encorajar um comportamento
consistente da organização, buscando sempre alinhar os investimentos de TI com a missão,
estratégia, valores e cultura organizacional (WEILL e ROSS, 2005).
Como a TI tem sido amplamente apontada como um dos principais componentes das
grandes organizações, a governança de TI torna-se um assunto de grande relevância para a
alta administração. Os riscos referentes às tecnologias adotadas, assim como o seu
desempenho, a sua relação com as estratégias corporativas e, ainda, as políticas e
responsabilidades ligadas à TI certamente irão afetar a organização, em uma maior ou menor
proporção. Uma simples quebra de segurança, um erro ou um ataque de vírus já são
suficientes para causar um sério prejuízo financeiro, e de reputação e imagem à organização
(HARDY, 2006).
Segundo King (2013) a governança corporativa ao redor do mundo está promovendo o
conceito de relatórios integrados. É um conceito cujo tempo chegou. Os relatórios
corporativos do último século não atendem os propósitos atuais e não direcionam decisões
conscientes por parte dos investidores em relação à capacidade das organizações de criar valor
sustentado no nosso mundo.
Segundo Gartner (2012) “O board, ou Conselho de Administração, das empresas está
priorizando os gastos com Tecnologia da Informação (TI) e vendas. TI e vendas estão lado a
lado entre as prioridades de 175 membros da diretoria de companhias, especialmente nos
Estados Unidos e no Reino Unido”. Ainda segundo Gartner (2012), dos Conselhos de
Administração entrevistados, 90% disseram que a TI é uma "contribuição estratégica" para as
operações da empresa e que o investimento em Tecnologia da Informação aumentaria
15
consideravelmente até 2014. Metade dos entrevistados concorda que a TI pode "mudar as
regras da concorrência" em seus setores.
Dado o direcionamento dos investimentos, identificado na pesquisa do instituto
Gartner (2012), e a necessidade contínua de prestação de contas e transparência nas
organizações, faz-se necessária uma integração entre a Governança Corporativa e a
Governança de Tecnologia da Informação, devidamente direcionada pela alta administração
da organização, principalmente com atuação do Conselho de Administração, uma vez que a
Governança de Tecnologia da Informação agregará mais valor se estiver norteada pelos
objetivos estratégicos da organização.
Na maioria dos códigos de Governança Corporativa pesquisados não existem
princípios relacionados à Governança de Tecnologia da Informação. Da mesma forma, nas
normas e frameworks de Governança de Tecnologia da Informação não se define qual a sua
relação com a Governança Corporativa. Foi identificado apenas um modelo integrado de
Governança Corporativa e de Governança de TI, utilizado no governo sul-africano, mas que
não foi aderente aos objetivos dessa pesquisa.
O objetivo desse trabalho é a elaboração de diretrizes para modelo integrado de
Governança Corporativa e de Governança de Tecnologia da Informação, que seja adequado à
realidade de empresas privadas e empresas estatais brasileiras.
16
1.1 REVISÃO DA LITERATURA
Nesta revisão, foi adotada a cronologia organizada por teorias relacionadas aos temas
principais: Governança Corporativa e Governança de Tecnologia da Informação. Foi
realizado, entre junho e julho de 2012, um levantamento das principais publicações
pertinentes ao tema e que foram pesquisadas em bases científicas nacionais e internacionais,
utilizando-se expressões simples e compostas, nas Línguas Portuguesa e na Língua Inglesa
conforme apresentado nas Tabelas 1 e 2. As pesquisas com palavras-chave simples tiveram o
objetivo de explorar os temas de forma isolada, para compreensão de cada tipo de
Governança, desde os aspectos históricos até os códigos, normas e frameworks mais
modernos. Na pesquisa com palavras-chave compostas, o pesquisador buscou possíveis
relações entre a Governança Corporativa e de Tecnologia da Informação a fim de identificar
códigos ou tendências de atuação conjunta dessas Governanças.
A principal base científica pesquisada foi a Coordenação de Aperfeiçoamento de
Pessoal de Nível Superior – CAPES, que disponibiliza o Portal de Periódicos
(www.periodicos.capes.gov.br), uma biblioteca virtual que reúne e disponibiliza a instituições
de ensino e pesquisa no Brasil um acervo de mais de 29 mil títulos com texto completo.
Segundo CAPES (2013), o Portal de Periódicos foi lançado em novembro de 2000 e é uma
das maiores bibliotecas virtuais do mundo, reunindo conteúdo científico de alto nível
disponível à comunidade acadêmico-científica brasileira. Permite, ainda, acesso a 130 bases
referenciais, nove bases dedicadas exclusivamente a patentes, além de livros, enciclopédias e
obras de referência, normas técnicas, estatísticas e conteúdo audiovisual. A Universidade
Católica de Brasília (UCB) possui convênio com a CAPES, o que garante a seus alunos o
acesso aos artigos disponibilizados na área reservada do portal.
Para realização das buscas no portal da CAPES, foram selecionadas as seguintes bases
para pesquisas: ScienceDirect, Cambrigde Journal e Scielo. Foram feitas, ainda, buscas no
portal Google Acadêmico (http://scholar.google.com.br).
17
Tabela 1 – Pesquisa com palavras-chave simples

CAPE Cambridge Science
Palavras-Chave Simples S Scielo Journals Scholar Direct
Governança Corporativa 260 49 9710 177
Corporate Governance 61575 96 4060 436000 17273
Information Technology
Governance 246 8 11 2490 30744
Governança de TI 17 5 945 5
Governança de Tecnologia da
Informação 3 5 253 1
IT Governance 355 352 360942 29900 57452
Fonte: Elaborado pelo autor
Tabela 2 – Pesquisa com palavras-chave compostas

Palavras-Chave CAPE Cambridge Science
Compostas S Scielo Journals Scholar Direct
Governança Corporativa e
Governança de TI 3 0 0 51 21
Corporate Governance and
IT Governance 89 0 21 141 115
Dentre os resultados obtidos, identificou-se um elevado número de publicações sobre
Governança Corporativa. As publicações abordam a necessidade de atender os pilares
fundamentais da Governança Corporativa, principalmente, os relativos à prestação de contas e
transparência. Além disso, foram identificadas publicações que enfocam a responsabilidade
social e ambiental das organizações e a ética, principalmente no setor privado. A maioria das
publicações de Governança Corporativa relaciona-se ao setor privado.
Ainda com relação à Governança Corporativa, após a pesquisa com palavras-chave,
foi explorado o site do Instituto Europeu de Governança Corporativa (ECGI – European
Corporate Governance Institute), uma associação científica sem fins lucrativos que tem por
finalidade fornecer um fórum de debate e diálogo entre acadêmicos, legisladores e
profissionais, com foco nas principais questões de Governança Corporativa e, assim,
promover as melhores práticas de Governança. No portal do instituto
(http://www.ecgi.org/codes/all_codes.php), são disponibilizados códigos de Governança
Corporativa de todo mundo.
18
Com relação às pesquisas acerca da Governança de TI, identificou-se uma ênfase na

implantação da Governança a fim de estabelecer maior controle e alinhamento com a área de
negócio das organizações.
Nas pesquisas compostas, foram identificadas várias publicações que exaltam a
necessidade de alinhamento entre TI e negócio, mas em nenhum dos resultados obtidos foi
identificada uma integração entre a Governança Corporativa e a Governança de Tecnologia da
Informação, tão pouco um código/framework que contemplasse as duas governanças.
No início de 2013, em continuidade à pesquisa, foi identificado um modelo integrado
de Governança Corporativa e Governança de TI, aplicado no governo da África do Sul. O
modelo foi estudado em sua totalidade a fim de se identificar os pontos positivos e negativos
de sua proposição aos objetivos desta pesquisa.
1.2 FORMULAÇÃO DO PROBLEMA
Segundo TCU (Brasil, 2012), em outubro de 2012, o TCU – Tribunal de Contas da União
fez uma pesquisa, envolvendo 337 instituições públicas, e constatou uma evolução de 38%
para 50% das instituições com estágio intermediário na implantação de Governança de TI,
demonstrando evolução constatada na última pesquisa do TCU que evidenciava 54% dos
órgãos em estado inicial, dos quais 34% continuam neste estágio na pesquisa de 2012. Ainda
de acordo com essa pesquisa, a evolução da área pública na implantação de Governança de TI
deve-se, em parte, à atuação da Alta Administração que é responsável pela avaliação e
estabelecimento das políticas de Governança, gestão e uso corporativo de TI em 64%. Apesar
do envolvimento da Alta Administração nas definições políticas, a pesquisa afirma que apenas
34% dos órgãos realizam avaliação e monitoramento. Assim sendo, o envolvimento da Alta
Administração, atualmente, é direcionamento em sua maioria apenas à definição política, não
havendo uma conexão mais consistente, que possa direcionar a Governança de TI conforme
os objetivos estratégicos do órgão.
Segundo Masson, Junior, Pereira (2013), com relação ao setor privado, conforme pesquisa
realizada no primeiro semestre de 2013, por mestrandos do curso de Gestão do Conhecimento
e da Tecnologia da Informação, da Universidade Católica de Brasília, identificou-se que as
empresas privadas têm um direcionamento para estabelecer seu próprio modelo de
governança corporativa, enquanto que na Governança de TI, a maioria das empresas não
utiliza nenhum framework, ou seja, não tem Governança de TI.
19
Nenhuma das pesquisas realizadas identificaram uma integração entre a governança

corporativa e governança de TI, nem no setor público, nem no privado.
Segundo Gartner (2012) mais de 90% dos Conselhos de Administração consideram a
TI estratégica, e afirmam que há uma priorização e aumento de investimentos em TI nas
empresas.
O problema identificado nesta pesquisa foi a falta de integração da Governança
Corporativa com a Governança de TI. Nenhuma das pesquisas avaliadas identificou algum
tipo de integração em que a Governança Corporativa pudesse direcionar a Governança de TI,
fazendo com que a TI atuasse conforme os objetivos corporativos e estratégicos da empresa.
Dado o direcionamento dos investimentos, identificado na pesquisa do instituto Gartner
(2012), e a necessidade contínua de prestação de contas e transparência nas organizações, essa
integração entre a Governança Corporativa e a Governança de Tecnologia da Informação faz-
se necessária, sendo devidamente direcionada pela alta administração da organização, com
atuação decisiva do Conselho de Administração, uma vez que a Governança de Tecnologia da
Informação agregará mais valor se estiver norteada pelos objetivos estratégicos da
organização.
1.3 QUESTÃO DE PESQUISA
Baseado nas reflexões do problema de pesquisa, estabelece-se a seguinte questão: É

viável a proposição de diretrizes para um modelo de governança único que integre a
governança corporativa e a governança de TI de empresas setor privado e público do cenário
nacional?
1.4 RELEVÂNCIA DO ESTUDO
Segundo Infoexame (2013), um estudo, baseado em uma pesquisa com 1256 empresas
e executivos de TI em todo o mundo, aponta que a tecnologia da informação continuará a ser
um elemento estratégico para as empresas durante os próximos anos e que mais de 80% das
companhias brasileiras pesquisadas afirmam que a tecnologia é um fator muito importante
para o sucesso nos negócios.
A Tecnologia da Informação (TI) tem se tornado cada vez mais um elemento
indispensável para as organizações. A grande diversidade de recursos tecnológicos e a
constante evolução desses recursos têm exigido atenção dos gestores que buscam estabelecer
20
uma relação ótima entre custos envolvidos e retornos esperados (LAURINDO, 2001). De
acordo com Luftman (2000), o alinhamento estratégico entre TI e negócio pode ser descrito
como a aplicação de recursos de TI em tempo e de modo apropriado, em harmonia com as
estratégias de negócio, metas e necessidades. Assim, com esta visão, no contexto das
organizações, parte-se do pressuposto que a TI apoia a estratégia da organização, sendo
devidamente planejada e executada para tal fim. Entretanto, a ausência de alinhamento entre
estratégias de negócios e de TI tem sido apontada como uma das causas de resultados
adversos de investimentos em TI (LAURINDO, 2001).
As informações obtidas nesse levantamento não deixam margem à dúvida de que a
situação da GTI na Administração Pública Federal (APF) ainda se encontra em estado
precário e pode-se inferir que a adoção dos conceitos de GTI pela APF ainda é incipiente. [...]
há instituições que geram recursos orçamentários substanciais e que não demonstraram boa
Governança de TI no presente levantamento, o que sugere maior risco na gestão do dinheiro
público (BRASIL, 2010e).
AgenciaBrasil (2012) afirma em entrevista com o Ministro da Ciência e Tecnologia,
Marco Antonio Raupp, que o governo espera, em quatro anos, que os investimentos do setor
privado em inovação, ciência e tecnologia atinjam as mesmas cifras do que é aplicado pelo
setor público. Hoje, os investimentos das empresas representam 0,55% do Produto Interno
Bruto (PIB) do país, enquanto o governo injeta o equivalente a 0,61% do PIB. Segundo IDC
(2012), os gastos mundiais com TI, em 2013, devem ultrapassar US$ 2,1 trilhões, o que
representa um crescimento de 5,7% em relação ao investimento de 2012, de acordo com
projeção da IDC. Já nos mercados emergentes, a consultoria avalia que as despesas com TI
terão alta de 8,8%, ultrapassando a casa dos US$ 730 bilhões. Os países que compõem o
chamado BRIC (Brasil, Rússia, Índia e China) deverão continuar a dominar os investimentos
em TI entre os países emergentes, sendo que a China será responsável por mais de um quarto
dos gastos.
Gartner (2013) afirma que o investimento mundial em TI deve subir 4,2 por cento em
2013, para 3,7 trilhões de dólares, uma aceleração ante o crescimento de 1,2 por cento
estimado para o ano passado.
Um modelo integrado de governança de Governança Corporativa e de Governança de
TI, com atuação efetiva do Conselho de Administração, poderia garantir, não só a otimização
dos controles para obtenção de conformidade, transparência e prestação de contas para o
Conselho de Administração definidas por Rossetti (2006), como também o uso adequado do
21
investimento realizado em TI, alinhado com seus objetivos estratégicos citado por Laurindo
(2001), ampliando a capacidade de governança da organização como um todo.
1.5 OBJETIVOS
1.5.1 OBJETIVO GERAL
Elaborar diretrizes para a criação de um modelo de governança único que integre a

Governança Corporativa e a Governança de TI em empresas privadas e empresas estatais do
cenário brasileiro.
1.5.2 OBJETIVOS ESPECÍFICOS
- Identificar códigos de Governança Corporativa que contemplem a Governança de

Tecnologia da Informação;
- Identificar frameworks de Governança de Tecnologia da Informação que tenham
relação com códigos de Governança Corporativa;
- Propor diretrizes para modelo de governança único que integre a Governança
Corporativa e a Governança de TI em empresas privadas e empresas estatais do
cenário brasileiro;
- Submeter as diretrizes propostas à avaliação de gestores de Governança e de Gestão.
22
2. REFERENCIAL TEÓRICO
2.1 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO
De acordo com Weill e Ross (2006), “as empresas administram muitos ativos –
pessoas, dinheiro, instalações e o relacionamento com os clientes, mas a informação e as
tecnologias que coletam, armazenam e disseminam informações talvez sejam os ativos que
lhes causem maior perplexidade.” Em um cenário onde a gestão de negócios sofre mudanças
constantes, a gestão da informação tende a ser um fator crucial e, muitas vezes, a gestão da TI
não acompanha a mudanças que os negócios necessitam.
Segundo Gartner (2012) “O board, ou Conselho de Administração, das empresas está
priorizando os gastos com TI, assim como os investimentos feitos em vendas. TI e vendas
estão lado a lado entre as prioridades de 175 membros da diretoria de companhias,
especialmente nos Estados Unidos e no Reino Unido”. Ainda de acordo com o Gartner
(2012), “Dos Conselhos de Administração entrevistados na pesquisa, 90% disseram que TI é
uma ‘contribuição estratégica’ para as operações da empresa e que o investimento em
Tecnologia da Informação aumentaria consideravelmente até 2014. Metade dos ouvidos pelo
levantamento concorda que a TI pode ‘mudar as regras da concorrência’ em seus setores. Os
membros do Conselho estão cada vez mais interessados em diversificar as ofertas das linhas
de negócios. CIOs (Chief Information Officer – Diretores de TI) e outros gerentes de TI
deverão dedicar mais tempo para analisar suas estratégias e pensar em novas tecnologias e
sistemas.”
A Governança de TI vem ao encontro da necessidade de aumento de produtividade por
meio do uso de tecnologias e de mecanismos que permitam definir com clareza os objetivos,
alinhados à estratégia da empresa, e acompanhar e avaliar os resultados, além de estabelecer
responsáveis pela tomada de decisão, com uma prestação de contas transparente. Essas
características impulsionam o uso de Governança de TI nas empresas no atual cenário
competitivo do mercado, a fim de alcançarem os objetivos estratégicos projetados pela alta
Administração e alavancar os resultados do negócio.
ABNT (2009) afirma que “a maioria das organizações usa a TI como uma ferramenta
fundamental de negócios e poucas podem funcionar de forma eficaz sem ela. A gestão eficaz
de TI é um fator importante nos planos de negócios futuros de muitas organizações.”
De acordo com Weill e Ross (2006) “empresas de melhor desempenho têm
retornos sobre investimentos em TI até 40% maiores que seus concorrentes. Essas
23
empresas de maior desempenho auferem proativamente o valor de TI pela clareza

nas estratégias de negócio e no papel da TI em concretizá-las, na mensuração e
gerenciamento do que se gasta e ganha com a TI, na atribuição das responsabilidades
pelas mudanças organizacionais necessárias para tirar proveito dos novos recursos
de TI e no aprendizado com cada implementação, tornando-se mais hábeis em
compartilhar e reutilizar seus ativos de TI”.
A Governança de TI é um modelo de gestão que engloba as características abordadas
por Weill e Ross (2006) nas empresas com alto resultado no retorno de investimentos em TI e
propicia aos Conselhos de Administração um alinhamento estratégico e a responsabilidade na
execução das iniciativas de TI conforme suas expectativas.
Weill e Ross (2006) definem Governança de TI como a especificação dos direitos
decisórios e do framework de responsabilidades para estimular comportamentos desejáveis na
utilização de TI.
Segundo o ITGI (2010), “Governança de TI é uma parte integrante da Governança
Corporativa, e consiste na liderança e estrutura organizacional e de processos que garantem
que a Tecnologia de Informação sustente e expanda os objetivos e estratégias da empresa”.
A ABNT (2009) define Governança de TI como “sistema pelo qual o uso atual e
futuro da TI é dirigido e controlado para dar suporte à organização e monitorar seu uso para
realizar seus planos”.
Fernandes (2012) afirma que o principal objetivo da Governança de TI é alinhar a TI
aos requisitos de negócio, considerando soluções de apoio ao negócio, assim como a garantia
da continuidade dos serviços e a minimização da exposição do negócio aos riscos de TI.
2.1.1 NORMA ABNT NBR ISO/IEC 38500
Segundo ABNT (2009) a norma ABNT NBR ISO/IEC 38500:2009 foi publicada em
2009 e teve seu desenvolvimento alinhado com as definições de Governança Corporativa
publicadas no relatório do Comitê de Aspectos Financeiros de Governança Corporativa, o
Relatório Cadbury, publicado em 1992. O mesmo relatório forneceu a definição dos
princípios de Governança Corporativa para a fundação da Organização para a Cooperação e
Desenvolvimento Econômico (OCDE) em 1999.
De acordo com ABNT (2009), a norma se destina a orientar e guiar os envolvidos no
projeto e implementação de sistema de gestão de políticas, processos e estruturas de
Governança de TI que apoiem a Governança Corporativa. A norma é aplicável a todas as
24
organizações, incluindo empresas públicas e privadas de qualquer porte, entidades

governamentais e não-lucrativas independentemente da extensão de seu uso de TI.
Ainda de acordo com a ABNT (2009), o objetivo principal desse padrão é prover um
framework de princípios direcionados a gestores para usá-los na avaliação, monitoramento e
direcionamento do uso da Governança de TI em suas empresas. Além de promover o uso
eficaz e aceitável de TI em todas as empresas, pelas partes interessadas, assegurando que, se o
padrão for seguido, elas podem ter confiança na Governança Corporativa de TI da sua
empresa.
As despesas relacionadas com TI nas empresas podem representar uma grande fatia do
todo e vêm crescendo gradativamente nos últimos anos. No entanto, o retorno sobre os
investimentos realizados em TI nem sempre é alcançado conforme a expectativa da alta
Administração das empresas. Dentre os fatores críticos para se alcançar os resultados
esperados, pode-se destacar a ênfase em aspectos técnicos, financeiros e no cronograma de
atividades de TI, em vez de se focar no contexto estratégico e de negócio do uso de TI.
A norma é baseada em seis princípios e um modelo que podem ser utilizados em
qualquer empresa, oferecendo as diretrizes básicas para a implementação de uma Governança
de TI eficaz.
1. Responsabilidade:
O princípio aborda o entendimento e aceitação das responsabilidades relacionadas à
TI, tanto a grupos, quanto a indivíduos da empresa. Diretores devem avaliar as opções
para a garantia de responsabilidades do uso atual e futuro de TI na empresa. O plano
deve ser direcionado e monitorado continuamente para que os responsáveis possam
prestar contas de forma objetiva a transparente à direção.
2. Estratégia:
A estratégia de negócios é focada na capacidade atual e futura da TI da empresa. Os
planos estratégicos de TI devem satisfazer às necessidades atuais e contemplar as
necessidades futuras da empresa relacionadas ao uso de TI. Na elaboração das
estratégias, os diretores devem realizar uma eficiente gestão de riscos, prevendo
ameaças e oportunidades para o uso de TI.
3. Aquisição:
Princípio direcionado à realização de aquisições com base em análises futuras por
meio de tomada de decisões claras e transparentes. Além disso, estabelece um
25
equilíbrio apropriado entre benefícios, oportunidades, custos e riscos do uso de TI, a

curto, e longo prazo.
4. Desempenho:
Nesse princípio, o foco é direcionado à garantia de que o uso de TI apoiará os
processos de negócio de acordo com a capacidade necessária. A qualidade e o
desempenho são mensurados para garantir que haja recursos suficientes para atender
as necessidades da empresa, de acordo com os níveis de serviços acordados.
5. Conformidade:
Necessidade de garantir que o uso de TI satisfaça as obrigações (regulamentos,
legislação, leis e contratos), políticas internas, padrões e diretrizes. Este princípio zela
pela contínua conformidade interna da empresa com os sistemas de Governança de TI.
Além das obrigações, o princípio ainda sugere que o plano direcione as ações de TI de
maneira ética.
6. Comportamento.Humano:
Princípio voltado para a definição de políticas, práticas e decisões de TI que
demonstrem respeito pelo comportamento humano, incluindo as necessidades atuais e
em evolução de todas as pessoas envolvidas com o uso de TI na empresa. As políticas
devem garantir que comportamentos humanos sejam identificados e, apropriadamente,
considerados nos processos.
O ciclo de vida de cada um dos princípios citados acima é direcionado pela alta administração
de acordo com o modelo de Governança Corporativa de TI da norma apresentado na Figura 1.
Figura 1 – Modelo de Governança da ABNT NBR ISO/IEC 38500

26
Fonte: ABNT (2009)
O modelo é divido em três elementos chave: Avaliar, Direcionar e Monitorar, descritos

abaixo:
 Avaliar:
Os diretores examinam e julgam o uso atual e futuro de TI na empresa, incluindo
estratégias e propostas, e considerando pressões internas e externas que influenciam os
negócios, e, direta ou indiretamente, proporcionam alteração de Tecnologias,
economia e influências políticas.
 Direcionar:
Esse elemento retrata a responsabilidade dos diretores pelo desenvolvimento e
implantação de planos e políticas, direcionando investimentos em projetos e operações
de TI.
 Monitorar:
Os diretores têm por responsabilidade o monitoramento do desempenho de TI com os
sistemas de mensuração mais apropriados. O planejamento para mensurar o
desempenho deve estar alinhado com os objetivos de negócio.
2.1.2 MODELO DE WEILL E ROSS
A definição de Governança de TI de Peter Weill e Jeane Ross tem sua fundamentação

baseada na tomada de decisão relativa à Tecnologia da Informação, ou seja, a Governança
determina, acima de tudo, quem toma as decisões (WEILL e ROSS, 2006).
De acordo com Weill e Ross (2006), “o lado comportamental da
Governança de TI define os comportamentos formais e informais e confere direitos
decisórios a indivíduos ou grupos de indivíduos específicos. O lado normativo
define mecanismos, formalizando os relacionamentos e estabelecendo regras e
procedimentos operacionais para assegurar que os objetivos sejam atingidos.”
Ainda de acordo com Weill e Ross (2006), uma Governança de TI eficaz deve tratar de
três questões:
1. Quais decisões devem ser tomadas para garantir a gestão e uso eficazes de TI?
2. Quem deve tomar essas decisões?
27
3. Como essas decisões devem ser tomadas e monitoradas?

O framework proposto pelos autores responde às duas primeiras perguntas com uma Matriz de
Arranjos de Governança, apresentada na Figura 2.
Figura 2 – Matriz de Arranjo de Governança de TI
Fonte: WEILL E ROSS (2006) adaptado pelo autor.
Weill e Ross (2006) define a Matriz de Arranjos por meio de uma representação
baseada na inter-relação das cinco decisões-chave (colunas) e seus possíveis arquétipos
(linhas) para especificar o processo decisório. As cinco decisões-chave, que buscam fazer da
TI um ativo estratégico da empresa, são:
 Princípios de TI: esclarece o papel de negócio da TI. Define como a TI é
utilizada no negócio. Os princípios de TI devem definir o comportamento
desejável tanto para profissionais como para usuários de TI.
 Arquitetura de TI: define os requisitos de padronização e integração de
processos na empresa de acordo com o papel da TI no negócio. É a
organização lógica dos dados, aplicações e infraestruturas, definida a partir de
um conjunto de políticas, relacionamentos e opções técnicas adotadas para
obter a padronização e a integração técnicas e de negócio desejadas.
 Infraestrutura de TI: é a base da capacidade planejada de TI disponível para
todo o negócio, na forma de serviços compartilhados e confiáveis, e utilizada
por aplicações múltiplas.
 Necessidades de Aplicação de Negócios: necessidade comercial de aplicações
de TI, compradas ou desenvolvidas internamente. Costuma ter dois objetivos
conflitantes: criatividade, que identifica maneiras novas e eficazes de gerar
28
valor para o cliente, e disciplina, que consiste em aproveitar e ampliar a

arquitetura da empresa, e manter o foco no comprometimento dos recursos
necessários para concretizar metas de projetos e negócios.
 Investimentos e Priorização de TI: escolha das iniciativas que terão apoio
financeiro e com quanto recurso elas contarão. As decisões sobre investimento
em TI enfrentam três dilemas: Quanto gastar? Em que gastar? Como conciliar
as necessidades de diferentes grupos de interesse?
Além das decisões-chave, a Figura 2 aborda os arquétipos para especificar os direitos

decisórios na Governança de TI. Cada arquétipo identifica o tipo de grupo envolvido na
tomada de decisão de TI:
 Monarquia de Negócio: Grupo de executivos de negócios ou executivos
individuais.
 Monarquia de TI: os profissionais de TI, isoladamente, tomam as decisões de
TI. .
 Feudalismo: Líderes das unidades de negócio da empresa, detentores de
processos-chave ou seus representantes. Tem foco nas necessidades locais de
silos isolados na empresa.
 Federalismo: Executivos do nível de diretoria e grupos de negócio. Inclui
executivos de TI como participantes adicionais. .
 Duopólio de TI: As decisões representam o consenso bilateral entre executivos
de TI e algum outro grupo (executivos de negócio, líderes de unidade de
negócio ou de processos).
 Anarquia: Indivíduos ou pequenos grupos tomam suas decisões com base em
necessidades locais.
Weill e Ross (2006) afirma que a matriz de arranjos organiza os tipos de decisões e os
arquétipos do processo decisório. Porém, a terceira questão de Governança – como as
decisões serão tomadas e monitoradas – requer a formulação e implementação de mecanismos
de Governança, como comitês, funções e processos formais. O framework de Governança de
TI proposto, incluindo o contexto das três questões fundamentais citadas acima, é apresentado
na Figura 3.
29
Figura 3 – Framework de Governança de TI (WEILL e ROSS)
Fonte: WEILL E ROSS (2006)
2.1.3 FRAMEWORK COBIT 4.1
De acordo com ITGI (2010), o framework de governança de TI, COBIT® (Control

Objectives for Information and Related Technology – Objetivos de Controle para Tecnologia
da Informação e Tecnologias Relacionadas), elaborado pelo Instituto de Governança de TI
(ITGI – IT Governance Institute), fornece boas práticas por meio de um modelo de domínios
e processos e apresenta atividades em uma estrutura lógica e gerenciável. As boas práticas do
COBIT representam o consenso de especialistas. Elas são mais focadas nos controles e menos
na execução. Essas práticas irão ajudar a otimizar os investimentos em TI, assegurar a entrega
dos serviços e prover métricas para avaliar quando as coisas saem erradas.
A primeira versão do COBIT foi lançada em 1996 pela ISACA (Information Systems
Audit and Control Association - Associação de Auditoria e Controle de Sistemas de
Informação) como um conjunto de objetivos de controle para as aplicações de negócio. Em
1998, a segunda versão do COBIT foi lançada com a inclusão de uma ferramenta de suporte à
30
implementação e as especificações de objetivos de alto nível e detalhados. Em seguida, em

2000, a terceira versão do COBIT foi lançada com a inclusão de normas e guias associados à
gestão. Ainda neste ano, o ITGI se tornou o principal editor do framework. Em 2002, a
Sarbanes Oxley Act (Lei Sarbanes Oxley) foi aprovada, impulsionando a adoção do COBIT
nos Estados Unidos. Por fim, em 2005, a quarta versão do COBIT foi lançada tendo como
diferencial a melhoria dos controles a fim de garantir a segurança e a disponibilidade dos
ativos de TI das organizações. Em 2007, uma revisão da quarta versão foi lançada com a
nomenclatura de COBIT 4.1, incluindo mudanças na descrição dos objetivos e no
cascateamento dos processos em relação ao negócio, e processos gerais de TI.
Ainda, de acordo com o ITGI (2010), “A Governança de TI é de responsabilidade dos
executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e
processos que garantam que a área de TI suporte e aprimore os objetivos e as estratégias da
organização”.
O sucesso na entrega de serviços de TI às áreas de negócio está vinculado à
implantação de um sistema interno de controles pelos executivos da organização. Nesse
sentido, o COBIT contribui, provendo métricas e modelos de maturidade para medir a eficácia
da Governança de TI na organização, realizando o alinhamento entre TI e negócio, com a
transparência dos papéis, além de buscar a maximização dos benefícios, responsabilidade no
uso dos recursos de TI e uma gestão de riscos gerenciada apropriadamente.
O ITGI (2010) afirma que “A mensuração do desempenho é essencial para a
Governança de TI. Isto é suportado pelo COBIT, que inclui a definição e o monitoramento
dos objetivos de mensuração. Muitas pesquisas identificaram a falta de transparência dos
custos, do valor e dos riscos de TI como uma das mais importantes metas da Governança de
TI. Embora outras áreas de foco contribuam, a transparência é primariamente atingida através
da medição de desempenho.”. Segundo o COBIT 4.1, as áreas de foco da Governança de TI
são apresentadas conforme a Figura 4.
Figura 4 – Áreas de Foco na Governança de TI
31
Fonte: ITGI (2010)
Os processos do COBIT são subdivididos em quatro domínios e 34 processos,

alinhados com as áreas responsáveis por Planejar, Construir, Executar e Monitorar, provendo
uma visão total da área de TI. Segundo ITGI (2010), “para que a Governança de TI seja
eficiente, é importante avaliar as atividades e riscos da TI que precisam ser gerenciados.
Geralmente, eles são ordenados por domínios de responsabilidade de planejamento,
construção, processamento e monitoramento.” No modelo COBIT, esses domínios são
denominados:
 Planejar e Organizar (PO): Provê direção para entrega de soluções (AI) e entrega de
serviços (DS);
 Adquirir e Implementar (AI): Provê as soluções e as transforma em serviços;
 Entregar e Suportar (DS): Recebe as soluções e as torna passíveis de uso pelos
usuários finais;
 Monitorar e Avaliar (ME): Monitora todos os processos para garantir que a direção
definida seja seguida.
A Figura 5 apresenta os quatro domínios de processos.
Figura 5 – Quatro domínio inter-relacionados do COBIT

32
Fonte: ITGI (2010)
Poucas empresas terão necessidade da aplicação dos 34 processos listados no COBIT

4.1. Assim, apesar de os processos serem utilizados para verificar a totalidade das atividades e
responsabilidades na Governança de TI das organizações, os processos podem ser
combinados e utilizados de acordo com a necessidade de cada organização. Cada processo
tem uma relação com os objetivos de negócio e os de TI, assim como informações sobre os
indicadores de medição, atividades-chave, as principais entregas e o responsável por cada
uma delas.
De acordo com o ITGI (2010), “O modelo COBIT une os requisitos de
negócios para informação aos objetivos dos serviços de TI. O modelo de processos
do COBIT permite que as atividades de TI e os recursos que as suportam sejam
apropriadamente gerenciados e controlados com base nos objetivos de controle do
COBIT, bem como alinhados e monitorados usando seus objetivos e métricas”.
Os recursos de TI são administrados pelos processos de TI, identificados pela
organização, necessários para alcançar os objetivos de TI que respondem aos requisitos de
negócio. Esse é o princípio do modelo, representado na Figura 6 pelo Cubo do COBIT.
Figura 6 – Cubo do COBIT
Fonte: ITGI (2010)
Dentre os processos do COBIT 4.1, no domínio Monitorar e Avaliar (ME), destaca-se

o processo ME4 (Prover Governança de TI). De acordo com a ITGI (2010), esse processo tem
33
por finalidade o estabelecimento de uma efetiva estrutura de Governança que envolve a

definição das estruturas organizacionais, dos processos, da liderança, dos papéis e respectivas
responsabilidades para assegurar que os investimentos corporativos em TI estejam alinhados e
sejam entregues em conformidade com as estratégias e os objetivos da organização.
Segundo ITGI (2010), o processo ME4 é subdivido em sete objetivos de controle:
1. ME4.1 Estabelecimento de uma Estrutura de Governança de TI
Definir, estabelecer e alinhar a estrutura de Governança de TI com a Governança
organizacional e o ambiente de controle. Basear a estrutura em processos e modelos de
controle de TI adequados e implementar práticas e responsabilidades claras para evitar falhas
de controle interno e supervisão. Certificar-se de que a estrutura de Governança de TI
assegura a conformidade com leis e regulamentos, está alinhada com as estratégias e os
objetivos da organização e corresponde a tais estratégias e objetivos. Produzir relatórios sobre
o status da Governança de TI e questões relacionadas.
2. ME4.2 Alinhamento Estratégico
Habilitar a Alta Direção no entendimento das questões estratégicas de TI, tais como os
papéis de TI, as capacidades e os conhecimentos tecnológicos. Certificar-se de que há um
entendimento compartilhado entre o negócio e a TI quanto ao potencial de contribuição de TI
com a estratégia de negócio. Trabalhar com o Conselho de Administração para definir e
implementar as estruturas de Governança, como um comitê de estratégia de TI, para dar
direção estratégica ao gerenciamento relativo à TI, assegurando que a estratégia e os objetivos
sejam propagados de cima para baixo nas unidades de negócio e nas funções de TI e que o
crédito e a confiança sejam desenvolvidos entre o negócio e a TI. Permitir o alinhamento de
TI ao negócio no que tange à estratégia e à operação, incentivando a corresponsabilidade entre
o negócio e a TI para tomar decisões estratégicas e obter os benefícios dos investimentos em
TI.
3. ME4.3 Entrega de Valor
Gerenciar os programas de investimentos e demais recursos e serviços de TI para
assegurar que eles forneçam o maior valor possível no suporte aos objetivos e estratégia do
negócio. Assegurar que sejam alcançados os resultados esperados pelo negócio quanto aos
investimentos de TI, que o escopo completo de esforços necessários para o alcance desses
resultados seja entendido, que estudos de caso abrangentes e consistentes sejam criados e
aprovados pelas partes interessadas, que os ativos e investimentos sejam gerenciados durante
seus ciclos de vida econômicos, que exista o gerenciamento ativo da realização dos benefícios
(como contribuição com os novos serviços, ganhos de eficiência e resposta rápida para as
34
demandas do cliente). Impor uma abordagem disciplinada de gerenciamento de portfólio,

programas e projetos, insistindo que o negócio tenha responsabilidade sobre todos os
investimentos de TI e assegurando que a TI otimize os custos da disponibilização dos serviços
e da capacidades da TI.
4. ME4.4 Gerenciamento de Recursos
Supervisionar o investimento, o uso e a alocação dos recursos de TI por meio de
avaliações periódicas das iniciativas e operações de TI, visando assegurar a existência de
recursos suficientes e o alinhamento com objetivos estratégicos e necessidades de negócios
atuais e futuras.
5. ME4.5 Gestão de Riscos
Trabalhar com o Conselho de Administração para definir o apetite corporativo por
riscos de TI e obter uma razoável segurança de que as práticas de gerenciamento de riscos de
TI são adequadas para assegurar que os riscos atuais de TI não excedem o apetite de risco da
Alta Direção. Integrar as responsabilidades de gerenciamento de riscos com a organização,
assegurando que as áreas de negócios e de TI regularmente avaliem e reportem os riscos
relacionados à TI e os seus impactos e que a posição dos riscos de TI da organização seja
transparente para todas as partes interessadas.
6. ME4.6 Medição de Desempenho
Confirmar se os objetivos acordados de TI foram atingidos ou excedidos ou se o
progresso na direção dos objetivos de TI atende às expectativas. Quando os objetivos
acordados não forem atingidos ou o progresso não for como esperado, deve-se revisar as
ações de correção. Regularmente, deve-se reportar para a Alta Direção os portfólios,
programas e o desempenho de TI relevantes, suportados por relatórios que permitam à Alta
Direção revisar o progresso da organização no que diz respeito aos objetivos definidos.
7. ME4.7 Avaliação Independente
Obter avaliação independente (interna ou externa) sobre a conformidade de TI com
leis e regulamentos relevantes, como políticas padrões e procedimentos organizacionais, com
práticas geralmente aceitas e o efetivo e eficiente desempenho de TI.
A matriz de responsabilidade do processo ME4 define o CEO (Chief Executive Officer
– Presidente) como principal responsável pelo processo, e o Conselho de Administração
(Board) da empresa, como responsável pela prestação de contas. O processo é responsável por
integrar a Governança de TI aos objetivos de Governança Corporativa e ter conformidade
com leis, regulamentações e contratos, preparando relatórios gerenciais sobre estratégia, o
35
desempenho e os riscos de TI e atender aos requisitos de Governança em alinhamento com as

diretrizes da Alta Direção.
2.1.4 FRAMEWORK COBIT 5
Segundo ISACA (2012), a quinta versão do COBIT foi lançada em 2012, cinco anos
após a versão anterior, o release da quarta versão, chamada de COBIT 4.1. A Figura 7
demonstra a evolução do framework, por meio de suas versões e suas principais
características, desde o seu lançamento, em 1996.
Figura 7 – Evolução do COBIT
Fonte: ISACA (2012)
O COBIT 5 fornece um framework de linguagem comum que auxilia as empresas no

alcance de seus objetivos de Governança e gestão de TI. Em resumo, ajuda a empresa na
criação de valor de TI pela manutenção do equilíbrio entre a realização dos benefícios e a
otimização de níveis de risco e do uso dos recursos de TI. O COBIT 5 habilita a Governança e
a gestão de TI de uma forma holística por toda a empresa, tendo o negócio e as áreas
36
funcionais de TI contemplados fim-a-fim, considerando o interesse de TI de partes

interessadas, internas e externas. O COBIT 5 é genérico e útil para empresas de todos os
tamanhos, de fins comerciais, sem fins lucrativos, ou em setores públicos. O COBIT 5 é
composto por 37 processos, divididos em cinco domínios(ISACA, 2012a).
2.1.4.1 Princípios do COBIT 5
A Figura 8 ilustra os cinco princípios do COBIT 5.

Figura 8 – Princípios do COBIT 5
Fonte: ISACA (2012)

1. Identificar as necessidades das partes interessadas:
Empresas existem para criar valor para suas partes interessadas por meio da manutenção
do equilíbrio entre a realização dos benefícios e a otimização dos riscos e do uso dos
recursos de TI, conforme apresentado na Figura 9.
Figura 9 – Objetivo da Governança: Criação de Valor
Fonte: ISACA (2012)

37
O COBIT 5 fornece todos os processos requeridos e outros habilitadores para apoiar a

criação de valor do negócio pelo uso adequado de TI. Porque toda empresa tem objetivos
diferentes, a empresa pode customizar o COBIT 5 para atender seu próprio contexto por
meio dos objetivos em cascata, traduzindo objetivos de alto nível da empresa em objetivos
gerenciáveis, específicos, relacionados com a TI, e mapeá-los para processos e práticas
específicas. A Figura 10 demonstra em detalhes a visão geral dos objetivos em cascata.
Figura 10 – Visão Geral dos Objetivos em Cascata
Fonte: ISACA (2012)

2. Cobrir a empresa fim-a-fim:
O COBIT 5 integra a Governança de TI à Governança Corporativa da empresa. Nesse
contexto, o framework abrange todas as funções e processos da empresa, não focando
apenas nas funções de TI, mas no tratamento da informação e tecnologias relacionadas
como ativos da empresa. Considera todos os habilitadores de Governança Corporativa e
de TI, analisando a empresa de ponta a ponta, o que é importante para a Governança e
gestão das informações e tecnologias relacionadas dentro da empresa.
3. Aplicar um framework único e integrado:

Existem vários padrões e boas práticas de TI, cada um fornecendo orientações e um
subconjunto de atividades relacionadas à TI. O COBIT 5 realiza um alinhamento com
outros padrões utilizados nas empresas a fim de incorporá-los para estabelecer um
framework único para Governança Corporativa e de TI. Dentre outros frameworks, o
COBIT 5 alinha-se com padrões e boas práticas como o ITIL (Information Technology
Infrastructure Library - Bilioteca de Infraestrutura da TI), ISO (International
38
Organization for Standardization - Organização Internacional para

Padronização), PMBoK (Project Management Body of Knowledge - Corpo de
Conhecimento de Gestão de Projetos), PRINCE2 (PRojects IN Controlled Environments –
Projetos em Ambientes Controlados) e TOGAF (The Open Group Architecture
Framework - Grupo Aberto de Arquitetura de Framework).
4. Habilitar uma abordagem holística:

O COBIT 5 define um grupo de habilitadores para apoiar a implantação de uma
Governança global e um sistema de gestão para a empresa. Os habilitadores auxiliam no
alcance dos objetivos da empresa. O COBIT 5 define sete categorias de habilitadores
(Figura 11):
1. Princípios, políticas e frameworks;
2. Processos;
3. Estruturas organizacionais;
4. Cultura, ética e comportamento;
5. Informação;
6. Serviços, infraestrutura e aplicações;
7. Pessoas, habilidades e compentências.
Figura 11 – Habilitadores do COBIT 5
Fonte: ISACA (2012)
5. Separar Governança de gestão:

O COBIT 5 deixa clara a distinção entre Governança e gestão. Estas duas disciplinas
abrangem diferentes tipos de atividades, requerem diferentes estruturas organizacionais e
servem para diferentes propósitos. O framework aborda a divisão entre a Governança e a
39
gestão de TI, sendo que a Governança de TI é parte da Governança Corporativa da empresa, e

não é tratada de forma isolada como na versão anterior.
ISACA (2012a) aborda os processos de Governança em um domínio exclusivo do
framework chamado de EDM (Evaluate, Direct and Monitor), com cinco processos, que
asseguram que as necessidades das partes interessadas da empresa (stakeholders) sejam
avaliadas (Evaluated) para determinar o equilíbrio para alcançar os objetivos estratégicos;
definindo a direção (Direction) por meio de priorizações e tomada de decisão; e monitorando
(Monitoring) o desempenho e a conformidade. A gestão (PBRM – Plan, Build, Run and
Monitoring) é definida como planos (Plan) que constroem (Build), executam (Run) e
monitoram (Monitoring) atividades alinhadas com o direcionamento baseado na Governança
Corporativa para atingir os objetivos estratégicos.
Os processos de gestão são a evolução do COBIT 4.1. A figura 12 apresenta a
separação de Governança e gestão proposta no COBIT 5. A Governança é representada por
um domínio e a gestão em outros quatro.
Figura 12 – Divisão de Governança e Gestão do COBIT 5
Fonte: ISACA (2012)

A figura 13 mostra por completo os 37 processos de Governança e gestão do COBIT
5.
Figura 13 – Visão Geral dos Processos do COBIT 5
40
Fonte: ISACA (2012)
2.1.4.2 Gestão de TI: Domínios APO, BAI, MEA e DSS
Segundo ISACA (2012a) a gestão de TI do framework COBIT 5 contém quatro

domínios, de acordo com as áreas de responsabilidade de planejar, criar, executar e monitorar
e oferece abrangência fim-a-fim das operações de TI. Esses domínios são uma evolução do
domínio e estruturas de processos do COBIT 4.1. Os nomes dos domínios são escolhidos de
acordo com as designações das principais áreas, mas contêm mais verbos para descrevê-los.
Abaixo, apresentação de cada domínio de gestão de TI e seus processos, segundo ISACA
(2012):
1. Alinhar, Planejar e Organizar (APO – Align, Plan and Organize)

O domínio APO é responsável pelo planejamento da Gestão de TI e é dividido em 13
processos, descritos abaixo:
01. Gerenciar a estrutura de gerenciamento de TI: Esclarece e mantém a visão e

missão da governança de TI da organização. Implementar e manter mecanismos e
41
políticas de acesso para gerir a informação e o uso da TI na empresa conforme os

objetivos da governança de TI, em consonância com seus princípios e políticas.
Proporciona uma abordagem de gestão coerente para que os requisitos de
governança da empresa possam ser cumpridos, abrangendo os processos de gestão,
estruturas organizacionais, papéis e responsabilidades, atividades confiáveis e
repetíveis, e as habilidades e competências.
02. Gerenciar estratégia: Fornece uma visão holística do negócio e ambiente de TI

desejados, o direcionamento futuro, e as iniciativas necessárias à migração para o
ambiente projetado. Tem o propósito de alinhar os planos de TI com os objetivos
de negócio. Comunicar claramente os objetivos e responsabilidades de cada um,
dentro da estratégia de TI, para que eles sejam compreendidos e assimilados por
todos envolvidos.
03. Gerenciar arquitetura corporativa: Estabelecer uma arquitetura comum que

consiste em processos de negócios, informações, dados, aplicação e camadas da
arquitetura de TI, realizando de forma eficiente e eficaz as estratégias de TI por
meio da criação de modelos e práticas. Definir os requisitos para a taxonomia,
normas, diretrizes, procedimentos, modelos e ferramentas, e fornecer uma ligação
para esses componentes. Melhorar o alinhamento, aumentar a agilidade e melhorar
a qualidade das informações e gerar redução de custos por meio de iniciativas de
TI.
04. Gerenciar inovação: Manter uma consciência e serviços de TI relacionados com

as tendências de negócio, identificar oportunidades de inovação e planejar como se
beneficiar da inovação em relação às necessidades do negócio. Analisar quais as
oportunidades de inovação empresarial ou melhorias que possam ser criadas por
tecnologias emergentes, serviços ou de inovação de negócios de TI. Influenciar o
planejamento estratégico e as decisões de arquitetura de TI da empresa.
05. Gerenciar Portfólio: Executar o investimento da empresa conforme

direcionamento estratégico considerando diferentes categorias de investimentos e
os recursos e restrições de financiamento. Avaliar, priorizar e balancear programas
e serviços, gestão de demanda dentro das restrições de recursos e de
42
financiamento, o equilíbrio com base no seu alinhamento com os objetivos

estratégicos da empresa. Monitorar o desempenho do portfólio de serviços e
programas em consonância com o programa e desempenhos dos serviços ou
alteração de prioridades da empresa.
06. Gerir o orçamento e custos: Administrar as atividades financeiras relacionadas

com TI, abrangendo orçamento, custos, gestão de benefícios, e priorização dos
gastos com o uso de práticas formais de orçamento e de um sistema justo e
equitativo de alocação de custos para a empresa. Consultar as partes interessadas
para identificar e controlar os custos e benefícios totais no contexto dos planos
táticos e estratégicos de TI, iniciando ações corretivas quando necessário.
07. Gerir os recursos humanos: Otimizar as capacidades dos recursos humanos da

empresa conforme objetivos estratégicos. Comunicar os papéis e responsabilidades
definidas, planos de aprendizagem e crescimento, e as expectativas de
desempenho.
08. Gerenciar relacionamentos: Gerenciar o relacionamento entre o negócio e TI de

uma maneira formal e transparente, que garanta foco na realização de um objetivo
comum, e compartilhada dos resultados empresariais bem-sucedidos em prol dos
objetivos estratégicos e dentro da limitação dos orçamentos e tolerância ao risco.
09. Gerenciar contratos de serviços: Alinhar serviços e níveis de serviço de TI com

as necessidades e expectativas da empresa, incluindo identificação, especificação,
projeto, publicação, acordo de nível de serviço, e acompanhamento de serviços de
TI, níveis de serviço e indicadores de desempenho. Certificar-se de que os serviços
de TI e níveis de serviço atendam às necessidades empresariais atuais e futuras.
10. Gerenciar fornecedores: Gerenciar serviços relacionados à TI prestados por

todos os tipos de fornecedores para atender as necessidades da empresa, incluindo
a seleção de fornecedores, gestão de relacionamentos, gestão de contratos e revisão
e monitoramento de desempenho de fornecedores conforme acordo de nível de
serviço.
43
11. Administração de qualidade: Definir e comunicar os requisitos de qualidade em

todos os processos, procedimentos e resultados relacionados aos objetivos da
empresa, incluindo controles, monitoramento contínuo e uso de práticas
comprovadas e padrões na melhoria contínua.
12. Gerenciar risco: Identificar, avaliar e reduzir os riscos relacionados à TI dentro

dos níveis de tolerância estabelecidos pela diretoria executiva da empresa.
13. Gerenciar a segurança: Definir, operar e monitorar um sistema para gestão de

segurança da informação.
2. Construir, Adquirir e Implementar (BAI – Build, Acquire and Implement)

O domínio BAI é responsável pela implementação da Gestão de TI e é dividido em 10
01. Gerenciar programas e projetos: Gerenciar todos os programas e projetos do

portfólio em alinhamento com a estratégia da empresa.
02. Gerenciar definição de requisitos: Identificar soluções e analisar os requisitos

antes da aquisição ou criação para assegurar que eles estejam em conformidade
com os requisitos estratégicos corporativos que cobrem os processos de negócio,
aplicações, informações / dados, infraestrutura e serviços. Coordenar com as partes
interessadas afetadas a revisão de opções viáveis, incluindo custos e benefícios,
análise de risco e aprovação de requisitos e soluções propostas.
03. Gerenciar e construir soluções: Estabelecer e manter soluções em conformidade

com os requisitos da empresa abrangendo design, desenvolvimento,
aquisição/terceirização e parcerias com fornecedores. Gerenciar configuração,
testes, requisitos de gestão e manutenção dos processos de negócio, aplicações,
informações/dados, infra-estrutura e serviços.
04. Gerenciar disponibilidade e capacidade: Equilibrar as necessidades atuais e

futuras de disponibilidade, desempenho e capacidade de prestação de serviços com
custo reduzido. Avaliar capacidades atuais, e prever necessidades futuras com base
44
em requisitos, análise de impactos e avaliação de risco do negócio para planejar e

implementar ações para atender as necessidades.
05. Gerenciar habilitação de mudança organizacional: Maximizar a probabilidade

de implementar com sucesso a mudança organizacional sustentável em toda a
empresa, de forma rápida e com risco reduzido, cobrindo o ciclo de vida completo
da mudança e todas as partes interessadas afetadas no negócio e TI.
06. Gerenciar mudanças: Gerenciar todas as mudanças de maneira controlada,

incluindo mudanças de padrão e manutenção de emergência relacionadas com os
processos de negócio, aplicações e infraestrutura. Inclui procedimentos e padrões
de mudança, avaliação de impacto, priorização e autorização, mudanças
emergenciais, acompanhamento, elaboração de relatórios, encerramento e
documentação.
07. Gerenciar a mudança na aceitação e transição: Aceitar e aplicar novas soluções

operacionais, incluindo planejamento de implementação de sistema, conversão de
dados, testes de aceitação, comunicação, preparação de lançamento, promoção
para alteração ou produção de novos processos e serviços de TI, e uma revisão
pós-implementação.
08. Gerenciar o conhecimento: Manter a disponibilidade de conhecimento relevante,

atual, validado e confiável para suportar todas as atividades do processo e facilitar
a tomada de decisão. Plano para a identificação, coleta, organização, manutenção,
utilização e retirada de conhecimento.
09. Gerenciar ativos: Gerenciar os ativos de TI por meio de seu ciclo de vida para se
certificar de que o valor entregue esteja dentro de um custo reduzido, permanecerá
operacional, esteja contabilizado e protegido fisicamente, e que os bens que são
fundamentais para apoiar a capacidade de serviço sejam confiáveis e disponíveis.
Gerenciar licenças de software para garantir que o número ideal seja adquirido,
45
mantido e implementado em relação ao negócio, e que o software instalado esteja

em conformidade com os acordos de licença.
10. Gerenciar configuração: Definir e manter as descrições e as relações entre os

principais recursos e as capacidades necessárias para prestar serviços habilitados
por TI, incluindo a coleta de informações de configuração, o estabelecimento de
linhas de base, verificação e auditoria de informações de configuração e atualizar o
repositório de configuração.
3. Entregar, Serviço e Suporte (DSS - Deliver, Service and Support)

O domínio DSS é responsável pela execução da Gestão de TI e é dividido em 06
01. Gerenciar operações: Coordenar e executar as atividades e procedimentos

operacionais necessários para a entrega de serviços internos e terceirizados de TI.
02. Gerenciar solicitações de serviços e incidentes: Fornecer uma resposta rápida e

eficaz às solicitações dos usuários e resolução de todos os tipos de incidentes.
Restaurar o serviço normal; registrar e atender às solicitações dos usuários e
registrar, investigar, diagnosticar, escalar e solucionar incidentes.
03. Gerenciar problemas: Identificar e classificar os problemas e suas causas raízes e

fornecer resolução atempada para prevenir incidentes recorrentes. Fornecer
recomendações de melhorias.
04. Gerenciar continuidade: Estabelecer e manter um plano para permitir ao negócio

e à TI responder a incidentes e interrupções, a fim de continuar a operação de
processos críticos de negócios e serviços de TI necessários e manter a
disponibilidade de informações em um nível aceitável para a empresa.
05. Gerenciar Serviços de Segurança: Proteger informações da empresa para manter

nível de risco aceitável para a segurança da informação, de acordo com a política
46
de segurança da empresa. Estabelecer e manter as funções de segurança da

informação e privilégios de acesso e realizar o monitoramento de segurança.
06. Gerenciar controles de processos de negócios: Definir e manter controles

apropriados dos processos de negócio para assegurar que as informações
relacionadas e processadas atendam a todos os requisitos de controle relevantes
das informações. Identificar os requisitos de controle de informações relevantes e
gerenciar e operar os controles adequados para garantir que o processamento das
informações satisfaçam esses requisitos.
4. Monitorar, analisar e avaliar (MEA - Monitor, Evaluate and Assess)

O domínio MEA é responsável pelo monitoramento da Gestão de TI e é dividido em
03 processos, descritos abaixo:
01. Monitor, analisar e avaliar o desempenho e conformidade: Recolher, validar e

avaliar negócios, TI e os objetivos e métricas do processo. Monitorar processos
verificando se estão sendo executados conforme métricas acordadas e fornecer
informação de forma sistemática e em tempo hábil.
02. Monitor, analisar e avaliar o sistema de controle interno: Monitorar e avaliar

continuamente o ambiente de controle, incluindo a auto-avaliações e revisões
independentes de garantia. Permitir o gerenciamento para identificar deficiências e
ineficiências de controle e iniciar ações de melhoria. Planejar, organizar e manter
os padrões de avaliação de controles internos e atividades de garantia.
03. Monitorar e avaliar o cumprimento das exigências externas: Avaliar se os

processos de TI estão em conformidade com as leis, regulamentos e exigências
contratuais. Obter a garantia de que os requisitos foram identificados e respeitados,
e integrá-lo a conformidade de TI com a conformidade integral da empresa.
2.1.4.3 Governança de TI: Domínio EDM

47
ISACA (2012) afirma que o domínio EDM está em consonância com os conceitos do
padrão da ABNT NBR ISO/IEC 38500:2009 e é dividido em cinco processos:
1. EDM01: Garantir Configuração e Manutenção do Framework de Governança:

O processo é responsável por analisar a articular os requisitos para a Governança
Corporativa de TI e implantar e permitir a manutenção eficaz de estruturas, princípios,
processos e práticas, com transparência e responsabilidades para alcançar a missão, metas e
objetivos da organização.
O processo ainda tem como propósito prover uma abordagem da Governança de TI
consistente, coerente e alinhada com a Governança Corporativa. Para garantir que as decisões
de TI estejam em consonância com as estratégias e objetivos da organização, os processos de
TI devem ser supervisionados de forma eficaz e transparente, em conformidade legal e
regulatória, além de cumprir os requerimentos de Governança propostos pelo Conselho de
Administração.
O processo apoia a realização de objetivos primários relacionados à TI como o
alinhamento de TI com a estratégia de negócios da organização, o comprometimento da
gestão executiva da organização para a tomada de decisão relacionada diretamente à TI e a
entrega de serviços de TI conforme os requisitos de negócio da organização. Por meio deste
direcionamento de objetivos relacionados à TI, o processo tem como referência alcançar três
metas principais:
a. Ter um modelo de tomada de decisão estratégica eficaz, alinhado com as
expectativas das partes interessadas e com o ambiente interno e externo da
organização;
b. Incorporar o sistema de Governança de TI à Governança Corporativa;
c. Garantir que o sistema de Governança de TI seja operado de maneira eficaz na
organização.
Para alcançar as metas propostas, o COBIT 5 sugere na matriz de responsabilidades,
descrita na tabela RACI (Responsible, Accountable, Consulted and Informed), a atuação do
Conselho de Administração da empresa como prestador de contas (Accountable1) do processo
junto aos acionistas. Como responsáveis (Responsible) pelo processo, são destacados os perfis
do CIO, assim como os executivos de negócio e o comitê executivo estratégico da
organização. Dentre as várias sugestões de consultados (Consulted), podem-se citar os
1
Accountable é um termo da língua inglesa, sem tradução exata para o português, que significa Responsável. O
termo é utilizado na Governança Corporativa para desempenhar a função de prestação de contas. Prestar contas é
supor responsabilidade para decisões, incluindo a obrigação de informar, explicar e responder pelos resultados.
48
Auditores e o responsável pela Gestão de Risco da empresa. Finalizando as responsabilidades,

como informados (Informed), destacam-se o Gestor de Pessoas e o Gestor de Projetos da
organização.
Como orientação relacionada ao processo, o COBIT 5 relaciona padrões como o
COSO (Committee of Sponsoring Organizations of the Treadway Commission – Comitê de
Organizações Patrocinadoras da Comissão Treadway), o padrão da ABNT NBR ISO/IEC
38500:2009, os princípios de Governança Corporativa da OCDE, além do código de
Governança Corporativa KING III.
2. EDM02: Garantir Entrega de Benefícios

O segundo processo do domínio otimiza a contribuição de valor ao negócio a partir dos
processos de negócios, serviços de TI e ativos de TI resultantes de investimentos, com custos
aceitáveis, realizados pela TI.
O processo tem como propósito proteger o valor ideal de inciativas, serviços e ativos de
TI, custo, eficiência de entregas de serviços e soluções de TI, e um retrato confiável e preciso
dos custos e benefícios projetados para que as necessidades de negócio sejam apoiadas de
forma eficiente e eficaz.
O processo apoia a realização de cinco objetivos primários relacionados à TI como a
Estratégia de alinhamento entre TI e negócio; Realização de benefícios por meio de
investimentos e serviços de TI; Transparência nos custos, riscos e benefícios do uso de TI;
Entrega de serviços de TI em conformidade com os requisitos de negócio e Conhecimento,
expertise e iniciativas para inovação de negócios. As principais metas relacionadas ao
processo são:
a. Garantia de valor ideal por meio de portfólio de iniciativas, serviços e ativos de
TI aprovado pela organização;
b. Derivação do valor ideal do investimento de TI por meio de práticas de gestão
na organização;
c. Investimentos individuais contribuindo para atingir o valor ideal nos serviços
de TI (satisfação e percepção de valor das partes interessadas com relação às
entregas de TI).
A matriz RACI do processo sugere como prestador de contas o Conselho de
Administração da empresa e como responsáveis pelo processo os Gerentes de TI, Financeiro e
Executivos da empresa, incluindo o CEO (Chief Executive Officer - Presidente) da empresa.
No papel de consultados e informados, o processo sugere em conjunto Auditores, Gerentes de
49
Pessoas, de Riscos e um Escritório de Gestão de Valor, que também tem o papel de

Responsável na terceira prática do processo.
Como orientação relacionada ao processo, o COBIT 5 relaciona padrões como COSO
e a ABNT NBR ISO/IEC 38500:2009, além de estabelecer referência com o KING III nos
princípios 5.2 e 5.4, no código sul-africano.
3. EDM03: Garantir Otimização de Risco

O processo garante que a tolerância e apetite a riscos da empresa sejam compreendidos,
articulados e comunicados, e que o risco do valor de TI seja identificado e gerenciado.
O propósito do processo é garantir que o risco relacionado à TI na organização não exceda
o apetite e tolerância, que o impacto do risco da TI na organização seja identificado e
gerenciado e que o potencial para falhas na conformidade proposta pela organização seja
minimizado.
Quatro objetivos primários relacionados diretamente à TI são abordados no processo:
Gestão de riscos de negócio relacionados à TI, Transparência nos custos, benefícios e riscos
da organização, Segurança da Informação, Infraestrutura de processos e aplicações, e
Conformidade de TI com as políticas internas da organização. As principais metas
relacionadas ao processo são:
a. Definição de limites de riscos e Comunicação do conhecimento dos riscos
relacionados à TI;
b. Gestão eficiente e eficaz dos riscos de TI da organização;
c. Identificação e Gestão dos riscos de TI da organização, não permitindo que
sejam excedidos o apetite e a tolerância dos riscos.
A matriz RACI do processo sugere como prestador de contas o Conselho de
Administração. Como Responsável pelo processo, são sugeridas as atuações dos Gerentes de
Risco, TI, Executivos do negócio, incluindo o CEO da empresa e o Comitê Executivo
Estratégico. Exercem papéis de Consultados os Gerentes Financeiro, de Operação e de
Processos, e papéis de Informados o Gerente de Projetos e o Escritório de Gestão de Valor.
Como orientação relacionada ao processo, são relacionados os padrões COSO e a
ABNT NBR ISO/IEC 38500:2009, além da ABNT NBR ISO/IEC 27005:2008 (framework
para Gestão de Riscos). O KING III é relacionado ao EDM03 pelos princípios 5.5 e 5.7 do
código de Governança sul-africano.
4. EDM04: Garantir Otimização de Recursos

50
O processo garante adequação de capacidades (pessoas, processos e tecnologia)

relacionadas à TI suficientes, e disponíveis para apoiar os objetivos da organização de forma
eficiente com otimização de custos.
O propósito do processo é assegurar que as necessidades de recursos da organização sejam
atendidas de maneira ideal, com otimização de custos de TI e aumento da probabilidade de
realização de benefícios e prontidão para mudanças futuras.
São abordados três objetivos primários relacionados à TI no processo: Agilidade em TI;
Otimização de ativos, recursos e capacidade, e Pessoas motivadas e competentes em TI e no
negócio. As principais metas relacionadas ao processo são:
a. Suprir a necessidade de recursos da organização com capacidade otimizada;
b. Atender as necessidades de prioridades da empresa com alocação de recursos
dentro de restrições orçamentárias;
c. Atingir otimização do uso de recursos por meio do completo ciclo de vida
econômico da empresa.
A matriz RACI do processo sugere a prestação de contas apresentada pelo Conselho
de Administração. As Responsabilidades são direcionadas aos Gerentes de TI e Executivos da
organização, incluindo o CEO e o Comitê Executivo Estratégico. Como Consultados o
processo sugere o Gerente Financeiro e de Operações da organização, dentre outros. Por fim,
como Informados, o processo indica os gestores de Projetos e de Valor, além dos detentores
dos processos de negócio.
Como orientação pertinente ao processo são relacionados os padrões da ABNT NBR
ISO/IEC 38500:2009 e a TOGAF, além do KING III, sendo vinculado ao EDM04 pelo
princípio 5.6 do código de Governança sul-africano.
5. EDM05: Garantir a Transparência com as Partes Interessadas

O processo garante que a mensuração e relatórios da conformidade e desempenho de TI
na organização sejam transparentes, com a aprovação das partes interessadas nos objetivos,
métricas e ações corretivas necessárias.
O propósito do processo é assegurar que a comunicação com as partes interessadas seja
eficaz e em tempo hábil para tomada de decisão, e que os padrões para relatório sejam
estabelecidos para ampliar desempenho, identificar áreas para melhoria e confirmação que os
objetivos e estratégias relacionados à TI estão alinhados com as estratégias da Governança
Corporativa da organização.
51
O processo apoia a realização de três objetivos primários relacionados à TI como

Comprometimento da Gestão Executiva para tomada de decisão relacionada à TI;
Transparência de custos, benefícios e riscos, e Entrega de serviços de TI em conformidade
com os requisitos de negócio. As principais metas relacionadas ao processo são:
a. Relatórios das partes interessadas alinhados com seus requisitos;
b. Relatórios em tempo hábil, completos e precisos;
c. Comunicação eficaz e satisfação das partes interessadas.
A tabela RACI do processo sugere que a prestação de contas seja feita pelo Conselho
de Administração. A Responsabilidade foi direcionada aos Gerentes Executivo e de TI. Como
Consultados foram indicados os Gerentes Financeiro e de Operações, além dos executivos de
negócios. Como Informados no processo, foram sugeridos os detentores dos processos de
negócio.
Como orientação inerente ao processo, são relacionados os padrões COSO, ABNT
NBR ISO/IEC 38500:2009 e KING III.
2.2 GOVERNANÇA CORPORATIVA
Rossetti (2009, p.141) define governança corporativa como um conjunto de princípios,

propósitos, processos e práticas que rege o sistema de poder e os mecanismos de gestão das
empresas, abrangendo: propósitos dos proprietários, sistema de relações proprietários-
conselho-direção, maximização do retorno total dos proprietários, minimizando oportunismos
conflitantes com este fim, sistema de controle e de fiscalização das ações dos gestores,
sistema de informações relevantes e de prestação de contas às partes interessadas nos
resultados corporativas e sistema guardião dos ativos tangíveis e intangíveis das companhias.
Silveira (2004) afirma que a governança corporativa pode ser entendida como o
conjunto de mecanismos de incentivos e controle, internos e externos, que visam a minimizar
os custos decorrentes do problema de agência. Jensen e Meckling (1976) definem a relação de
agências como um contrato onde uma ou mais pessoas (o principal) empregam outra pessoa (o
agente) para realizar algum serviço/tarefa a seu favor e, para isso, delegam algum poder
decisório a este agente. A relação de agência não ocorre somente entre acionistas e gestores,
mas sim em qualquer relacionamento que envolver a delegação de determinada tarefa a
alguém. Assim sendo, segundo Jensen e Meckling (1976), uma empresa poderia ser
considerada um conjunto de contratos entre agentes e principais, a começar pelo de caráter
mais estratégico, entre acionistas e gestores.
52
Segundo Magalhães (2007), A governança corporativa (GC) congrega um conjunto de

práticas relacionadas à administração das sociedades, que visam minimizar os naturais
conflitos entre os acionistas e a administração, não se confundindo nem se limitando, todavia,
à proteção do acionista minoritário, uma vez que serve à sociedade, aí considerados todos os
envolvidos na consecução do projeto empresarial, ou seja, as diversas categorias de acionistas,
credores, empregados, investidores, governo e a comunidade em que ela atua. Com efeito, o
acionista controlador também se beneficia com a adoção das boas práticas de governança na
sociedade, uma vez que tais práticas agregam valor administrativo e gerencial à companhia.
No início da década de noventa, mais precisamente em 1992, foram divulgados os
primeiros trabalhos com práticas de Governança Corporativa. O primeiro código de boas
práticas de Governança Corporativa desenvolvido por uma empresa foi o “Relatório
Cadbury”, desenvolvido por uma equipe liderada por Adrian Cadbury que é considerado o pai
da Governança Corporativa. Segundo Cadbury (1992), “a Governança Corporativa é o
sistema e a estrutura de poder que regem os mecanismos por meio dos quais as companhias
são dirigidas e controladas”.
No Brasil, o primeiro código de Governança Corporativa foi desenvolvido pelo
Instituto Brasileiro de Governança Corporativa - IBGC, em 1999, com foco na atuação dos
Conselhos de Administração e sua conduta esperada. De acordo com o Ibgc (1999),
Governança Corporativa é o sistema que assegura aos sócio-proprietários o governo
estratégico da empresa e a efetiva monitoração da diretoria executiva. A relação entre
propriedade e gestão se dá por meio do Conselho de Administração, a auditoria independente
e o Conselho fiscal, instrumentos fundamentais para o exercício do controle. A boa
Governança Corporativa garante equidade aos sócios, transparência e responsabilidade pelos
resultados (accountability).
De acordo com Rossetti (2006), a Governança Corporativa tem sua sustentabilidade
definida em um sistema de valores composto por:
 Equidade (Fairness): Senso de justiça e igualdade no tratamento entre os acionistas.
Participação justa, prudente e imparcial em respeito aos direitos dos minoritários em
relação aos majoritários.
 Transparência (Disclosure): Transparências nas informações, sejam elas relativas à
alta gerência ou sejam relativas a outros níveis. A transparência implica clareza nas
relações, gerando confiança e proporcionando à gestão insumos suficientes para
análise de riscos, seja com cenários críticos ou com novas oportunidades.
53
 Prestação de Contas (Accountability): Prestação de contas com responsabilidade

fundamentada nas melhores práticas contábeis e de auditoria. Os agentes de
Governança recebem a responsabilidade e liberdade de gestão das partes interessadas
ou acionistas e têm a obrigação de apresentar uma prestação de contas transparente e
precisa de todo o recurso administrado.
 Conformidade (Compliance): obediência aos regulamentos, políticas e normas.
Rossetti (2006) afirma, ainda, que os valores são os pilares para os quatro elementos-
chave na Governança Corporativa e que existem dois modelos de Governança Corporativa: o
modelo anglo-saxão e o nipo-germânico.
Segundo Lethbridge (1997), o modelo de Governança anglo-saxão tem sua raiz na
separação entre propriedade e gestão, como ocorre predominantemente nos Estados Unidos da
América e no Reino Unido, e suas participações acionárias são relativamente pulverizadas e
bolsas de valores maduras garantem liquidez nas participações. Neste modelo, o executivo
tem como maior desafio o aumento de rentabilidade do negócio e a consequente valorização
de mercado da empresa, prestando contas diretamente aos acionistas (shareholders).
Lethbridge (1997) ainda afirma que no modelo nipo-germânico, a propriedade do
capital é mais concentrada e muitas participações acionárias são de longo prazo. O modelo é
predominantemente utilizado na Alemanha e no Japão e contempla um conjunto ampliado de
direitos e interesses em sua gestão. Ao contrário do modelo anglo-saxão, o foco dos resultados
e da gestão Corporativa não está somente nos acionistas, tendo seu alcance ampliado para
todas as partes interessadas nos resultados (stakeholders).
Rossetti (2006) define os quatro elementos-chave da Governança Corporativa (GC)
como:
1. Relacionamento entre as partes interessadas: O relacionamento é o principal
fator da Governança Corporativa. O relacionamento entre partes interessadas,
que levou ao desenvolvimento da GC, tem base no ativismo pioneiro de países
em que predomina a atividade acionária, onde ocorre a separação entre
propriedade e gestão, como os Estados Unidos da América e a Inglaterra. O
relacionamento é o fator crucial para gerenciamento dos conflitos de agência,
que ocorrem entre acionistas e executivos. O governo da empresa tem como
principal objetivo a obtenção dos resultados esperados pelos acionistas por
meio das ações de seu corpo executivo; assim sendo, é natural que haja
conflitos no caminho e a forma como é realizado o relacionamento entre as
54
partes determinará, de forma direta, o sucesso ou insucesso na obtenção dos

resultados. Com uma gestão de relacionamentos adequada, o conflito de
agência é mitigado e a possibilidade de conclusão dos objetivos aumenta.
2. Propósitos estratégicos: Definem as expectativas dos acionistas. Norteiam os
objetivos que servirão de base para as ações do executivo. Envolvem um
relacionamento estreito entre acionistas, Conselho de Administração e
executivo. Geralmente, são elaborados pelos Conselhos de Administração por
meio de políticas corporativas e diretrizes para negócios e gestão. As políticas
corporativas são definidas em alto nível, com atuação extremamente
estratégica e vinculada diretamente às expectativas dos acionistas e são
baseadas na relação de governo entre os acionistas e o Conselho de
Administração. A partir das políticas, são elaboradas diretrizes estratégicas
para o negócio e a gestão, que direcionarão os objetivos do executivo e sua
forma de administrar a empresa. As diretrizes podem ser elaboradas pelo
Conselho de Administração, em conjunto com o executivo, uma vez que
definirão a forma de atuação na gestão – responsabilidade do executivo – de
acordo com os objetivos estratégicos da empresa – representada pelo Conselho
de Administração.
3. Estrutura de Poder: a relação de Governança retrata, além de objetivos de
negócio e expectativas, uma demarcação de poderes pautada na transparência e
na definição de regras de convivência para que os processos decisórios possam
ser compartilhados entre o corpo executivo e Conselho de Administração. A
determinação de diretrizes de gestão traz, como parte do trabalho, a definição,
em nível macro, da estrutura organizacional, assim como o papel de cada uma
das partes envolvidas na gestão da empresa. Além da transparência, na
definição da estrutura e papéis é imprescindível que haja definições relativas a
sucessões dos cargos.
4. Práticas de gestão: as práticas de gestão são baseadas nas melhores práticas de
Governança Corporativa. Na gestão, é importante ressaltar os aspectos de
integridade ética nas relações internas e externas. Com relação ao trato com os
negócios, é importante conduzir a gestão com competência, integridade e
envolvimento construtivo.
55
2.2.1 RELATÓRIO CADBURY
De acordo com o Ibgc (2012), Cadbury foi escolhido pelo Banco da Inglaterra em
1991 como chairman2 da comissão formada para estudar esse assunto, após um grande
número de escândalos que levaram à necessidade de uma revisão cuidadosa do papel dos
Conselhos de Administração e de sua composição e responsabilidades na Inglaterra. A
comissão que ele presidiu e que adotou o nome de Comissão Cadbury representava um
esforço conjunto da Bolsa de Valores de Londres, da "Accountancy Profession" e do
Conselho de Reporte Financeiro (Financial Reporting Council), todos da Inglaterra. Chegou-
se à conclusão de que esse tema não havia sido avaliado de maneira suficientemente ampla e
profunda na Inglaterra quanto em outros países, particularmente nos Estados Unidos. Neste
país (EUA), acionistas ativistas, grandes blocos de ações detidos por fundos de pensão com
gerentes de interesse público, e a natureza geralmente litigiosa da sociedade, desenvolveram
um exame minucioso dos Conselhos e de seus membros.
De acordo com Cadbury (1992), a economia dos países depende da gestão e eficiência
de suas empresas. Os Conselhos devem ter liberdade para conduzir o rumo das empresas por
meio de um framework de prestação de contas eficaz. Cadbury acreditava que esta é a
essência de qualquer sistema de uma boa Governança Corporativa. Cadbury ainda define
Governança Corporativa como um sistema pelo qual as empresas são dirigidas e controladas.
O Comitê publicou em dezembro de 1992 o código Cadbury, ou Relatório Cadbury,
que tem o foco das práticas centrado nos interesses dos acionistas, contemplando os papéis
dos Conselhos de Administração, auditoria e os acionistas da empresa.
Conforme Rossetti (2011), o Relatório Cadbury baseia-se em cinco termos focados em
relação aos dois princípios (prestação de contas responsável e maior transparência): que
implicam no grau de responsabilidade de conselheiros e executivos, na análise e apresentação
de informações para os acionistas e outras partes interessadas sobre o desempenho da
companhia; na frequência, na clareza e na forma como as informações contábeis e seus
complementos devem ser apresentados; na constituição e no papel dos conselhos (colocação
de ordem); nas responsabilidades dos auditores e na extensão de suas atribuições e ainda, nas
ligações entre acionistas, conselhos e auditores.
2
O Chairman é o mais alto funcionário de um grupo organizado, como um conselho, comitê ou assembléia
deliberativa. A pessoa que detém o cargo, normalmente, é eleito ou nomeado pelos membros do grupo.
56
Rossetti (2011) afirma ainda que o Relatório Cadbury é considerado um dos quatro
marcos históricos da Governança Corporativa, juntamente com o ativismo de Robert Monks,
a OCDE e a Lei Sarbarnes-Oxley.
Segundo Rossetti (2011), o Relatório Cadbury destacou-se na época por ser pioneiro e
introduzir uma proposta inovadora que se encaixava com a necessidade das empresas
britânicas com relação à Governança Corporativa.
Segundo Rossetti (2011), em 1992 foi publicada a versão do relatório que antes havia
conquistado mais de 200 representações. A gestão de várias corporações do Reino Unido foi
altamente influenciada através das recomendações do Relatório Cadbury. O relatório abriu
caminho para que muitos códigos fossem criados em outros países. Rossetti (2011) traz quatro
principais temas tratados no documento:
• O conselho de administração deve reunir-se regularmente, manter
controle sobre a companhia e monitorar sua direção executiva;
• Os conselheiros não executivos exercerão julgamentos independentes
sobre a estratégia, o desempenho, a destinação dos recursos e os
padrões de conduta da companhia;
• É admitida a existência de conselheiros que exercem cargos de direção;
• É dever do Conselho apresentar uma avaliação equilibrada e
compreensível da situação da companhia.
O relatório foi revisado e aperfeiçoado ao longo dos anos por meio de novos códigos
de Governança desenvolvidos no Reino Unido conforme apresentado abaixo:
• Relatório Greenbury – 1995;
• Relatório Hampel – 1998;
• Relatório Trunbull – 1999;
• Relatório Higgs – 2003.
Mesmo após as revisões e aperfeiçoamentos, o código não apresenta nenhuma prática
relacionada à Governança de Tecnologia da Informação, tendo seus princípios enraizados e
desenvolvidos ao longo dos anos com o foco na atuação do Conselho de Administração e na
prestação de contas no Reino Unido.
57
2.2.2 IBGC – INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA
O Instituto Brasileiro de Governança Corporativa teve início em 1994, quando o

administrador Bengt Hallqvist e o professor e consultor João Bosco Lodi entenderam a
necessidade da constituição de modelos e práticas de gestão direcionadas a cooperar com a
alta gestão das empresas brasileiras. A crença nos valores desta proposta conduziu um seleto
grupo de empresários, conselheiros, executivos, consultores e estudiosos a instituir, em 27 de
novembro de 1995, o IBCA - Instituto Brasileiro de Conselheiros de Administração. Em
1999, enfim, o instituto passou a se atribuir o nome de Instituto Brasileiro de Governança
Corporativa (IBGC). Atualmente é a referência brasileira na área de Governança Corporativa
e é reconhecido internacionalmente como um grande difusor das melhores práticas da área.
De acordo com o Ibgc (1999), em maio de 1999, foi lançado o primeiro Código de
Melhores Práticas de Governança Corporativa do Brasil, focado no Conselho de
Administração. Um ano após o lançamento do código, o instituto realizou o primeiro
congresso brasileiro de Governança Corporativa, com a intenção de divulgar os conceitos e
práticas de Governança Corporativa, e iniciou sua trajetória no cenário nacional, evoluindo
seu código e suas ações, no decorrer dos anos, sempre buscando a melhoria da gestão
corporativa nas empresas. Atualmente o Código de Melhores Práticas de Governança
Corporativa se encontra na 4ª edição, lançada em 2009, abrangendo temas oriundos do
desenvolvimento do mercado de capitais e dos desdobramentos da crise econômica mundial
de 2008. A 4ª edição foi destinada a organizações de uma forma mais ampla, incorporando em
seus objetivos empresas do terceiro setor, cooperativas, estatais, fundações e órgãos
governamentais. O código é dividido em 6 capítulos (Propriedade, Conselho de
Administração, Gestão, Auditoria Independente, Conselho Fiscal e Conduta e conflito de
Interesses), sendo que o principal foco é o modelo de gestão administrativa da Governança,
com maior intensidade nas atuações do Conselho de Administração, controle interno e
conduta na empresa.
A figura 14 apresenta o sistema de Governança Corporativa, conforme a 4ª edição do
código.
Figura 14 – Sistema de Governança Corporativa (IBGC)

58
Fonte: IBGC (1999)
O código do IBGC é sólido em suas proposições, porém, para os padrões modernos de

Governança Corporativa mundial, carece de comitês ou estruturas específicas para gestão de
riscos e Tecnologia da Informação. A gestão de riscos é abordada no código como atribuição
direta do Conselho de Administração que, na proposta do IBGC, tem um escopo de atuação
bem amplo com a responsabilidade de realizar toda a gestão de ameaças e oportunidades
inerentes à empresa. Outro fator de destaque é a inexistência de Governança da Tecnologia da
Informação. A Tecnologia é abordada no código somente com relação a canais de
comunicação para difusão e acesso ágil à Informação, porém, nenhum posicionamento quanto
à Governança da Informação, que, no contexto atual de Governança, é um dos ativos mais
valiosos de qualquer empresa.
2.2.3 KING III – SOUTH AFRICA CODE OF GOVERNANCE
Segundo King (2012), em 1992, um ex-Juiz do Supremo Tribunal, Mervyn King, foi
convocado pelo governo sul africano para liderar um comitê do setor privado, denominado
“King Committe” (Comitê King), criado com a finalidade de elaborar diretrizes para a
Governança Corporativa na África do Sul. No mesmo ano, foi publicado o primeiro
documento pelo comitê, com uma abordagem integrada e que compreendia o ciclo de vida dos
negócios nas empresas, abrangendo não apenas a visão dos acionistas, como no modelo de
Governança anglo-saxão, mas também de todas as partes interessadas. O comitê revisou o
primeiro relatório em 2002, lançando a segunda versão, denominada King II, em 2009, e, após
59
nova revisão, foi lançada a terceira versão do código de Governança Corporativa, o King III.
A figura 15 apresenta o código KING III.
Figura 15 – KING III
Fonte: King (2009)
Ainda segundo King (2012), quando o King III foi lançado, em 2009, Adrian Cadbury,
considerado como o Pai da Governança Corporativa na literatura da área afirmou: “A
Governança de ontem tinha foco em elevar a eficácia dos Conselhos. Governança hoje é
direcionada ao papel das organizações na sociedade e Governança amanhã será direcionada
pelo King III”.
A filosofia do King III é baseada em liderança, sustentabilidade e cidadania
Corporativa. Líderes responsáveis direcionam estratégias da organização e empreendem
operações com foco no alcance de economia sustentável, responsabilidade social e
desempenho ambiental. Os princípios do código são elaborados, de modo que qualquer
entidade – pública, privada ou sem fins lucrativos – possa aplicá-los e atingir um nível
elevado de Governança Corporativa (KING, 2009).
O código adota uma abordagem de risco baseada em auditoria interna para determinar
se os controles são eficazes na gestão do risco direcionada pela estratégia da organização.
Existe uma recomendação na terceira versão do código para integração da análise econômica,
social e ambiental, reportando como os negócios da organização têm impactado positiva e
60
negativamente à comunidade e como se pretende melhorar os aspectos positivos e mitigar ou

mesmo eliminar os aspectos negativos para os próximos anos.
Mervyn King acredita que os clientes de amanhã estarão muito inclinados por
integrações entre negócio, sociedade e meio ambiente, e que as organizações, tendo por base a
percepção dos clientes, terão que estar cada dia mais adaptadas a estas responsabilidades e se
vendo na responsabilidade de planejar os próximos anos dentro destas perspectivas de gestão.
Quando uma organização consegue comprovar resultados econômicos, além de meras ações e
planejamento de responsabilidades sociais e de meio ambiente, comprova de maneira efetiva
seu potencial de longevidade e consegue ampliar sua atratividade para novos investidores
(KING, 2012).
“Somos pessoas bem informadas e sabemos que, há muito, existem várias ‘pontas
soltas’. Nós temos que iniciar a jornada, no entanto, e acredito que a Governança é muito
importante para fazer estas coisas acontecerem. Se começarmos agora, pelo menos teremos a
chance de ter um futuro sustentável. Caso contrário, poderá ser muito tarde para a humanidade
no planeta terra” (KING , 2009).
King (2013) afirma que atualmente fala-se do contexto triplo do negócio – a área de
negócio das organizações não pode estar interessada simplesmente nas linhas de fundo. Em
vez disso, as empresas devem viver no contexto triplo das finanças, da sociedade e do meio
ambiente.
Ainda segundo King (2013) o impacto do contexto triplo é enorme. As organizações
precisam mostrar aos investidores que eles são bons cidadãos corporativos e que têm a
capacidade de sobreviver em um século de mudança e turbulência, além de integrar a
sustentabilidade ambiental em seus relatórios.
O King III, na parte de conformidade, tem por finalidade a utilização de princípios, ao
invés de regras. Este código de Governança não utiliza mais o conceito de “cumprir ou então”
(comply-or-else), utilizado nos códigos antigos, e sim o conceito de “aplicar ou explicar”
(apply-or-explain), que propicia à organização afirmar se realmente utiliza os princípios do
código ou explicar o motivo pelo qual adotou outra prática ou princípio. Este conceito,
aparentemente, soa como se determinasse uma grande flexibilidade no cumprimento dos
princípios, todavia é mais rigoroso neste cumprimento e na adoção dos conceitos de
Governança nas organizações, pois possibilita ao gestor refletir sobre os princípios propostos
e interagir com o comitê para expor suas opiniões, estabelecendo uma rotina de melhoria
contínua no código, além de aumentar o envolvimento dos gestores com os princípios
propostos (KING, 2012).
61
King (2009) afirma que o código é composto por nove elementos e setenta e cinco
princípios, sendo que existem boas práticas direcionadas a cada princípio. Porém, as boas
práticas são sugestões de uso, e, portanto, empresas que optam pela adoção do código podem
utilizar as práticas que são convenientes à sua estratégia de Governança.
Dos nove elementos de Governança existentes no código, três novos foram
desenvolvidos e inseridos na terceira versão do código, o King III. Dentre eles estão o resgate
de negócios (Business Rescue) e transações afetadas e fundamentais (Fundamental and
Affected Transactions). Segundo King (2009) o elemento de resgate de negócios é relativo à
capacidade de salvar as empresas economicamente viáveis em caso de falha na gestão
financeira, enquanto o de transações afetadas e fundamentais direciona ao gestor boas práticas
para que esteja ciente de suas responsabilidades e deveres na realização de fusões, aquisições
e/ou incorporações. O terceiro novo elemento, e certamente entre os de maior destaque no
código, é a inclusão de boas práticas de Governança da Tecnologia da Informação.
De acordo com King (2009), sistemas de Informação foram utilizados como
habilitadores para o negócio, mas já se tornaram pervasivos no sentido de que eles são
construídos diretamente na estratégia do negócio. A onipresença da TI nos negócios,
atualmente, elenca a Governança de TI como um fator empresarial indispensável. Na maioria
das empresas, a TI se tornou parte integral do negócio e parte fundamental para apoio,
sustentação e crescimento do negócio. A TI não realiza apenas o papel de habilitador
operacional, mas, acima de tudo, tornou-se um importante ativo estratégico para criar e
explorar oportunidades e ganhar vantagem competitiva no mercado. A facilidade de
automação de processos com o uso adequado da TI resultou na ampliação dos investimentos e
da dependência das empresas em soluções de TI. Neste sentido, as empresas, acompanhando a
evolução da Internet e do comércio eletrônico, têm realizado a gestão dos negócios
eletronicamente, realizando transações instantâneas. Esta evolução na gestão traz riscos
significativos que devem ser regulados e controlados. Assim sendo, o código fornece os
aspectos mais relevantes da Governança de TI para os diretores. Devido à complexidade e
natureza ampla e constante da Governança de TI, essa seção no código não tende a ser
definitiva e sim focada em iniciar um maior grau de consciência sobre Tecnologia da
Informação em nível de direção.
Segundo King (2009), a Governança de Tecnologia da Informação é o quinto elemento
de Governança Corporativa do código, sendo formada por sete princípios:
62
1. O Conselho de Administração deve ser responsável pela Governança de

Tecnologia da Informação
O princípio tem por finalidade estabelecer a responsabilidade pela Governança de

Tecnologia da Informação ao Conselho de Administração da organização. O Conselho recebe
a incumbência de inserir a Governança como tema efetivo da agenda do Conselho, além de
garantir que as políticas de TI e controles internos estejam estabelecidos e implementados. De
acordo com o código, o Conselho ainda pode atuar com boas práticas de promoção de uma
cultura ética de Governança de TI e de consciência da organização por meio de uma
linguagem comum de TI.
O ponto principal do princípio é a atuação do Conselho de Administração,
consolidando, de acordo com o código, a necessidade da alta Administração da Governança
Corporativa da organização de estar envolvida diretamente com a gestão em nível macro da
Governança de TI da organização, estabelecendo políticas e controles e recebendo relatórios
com a eficácia do que foi demandado à Governança de TI.
2. TI deve estar alinhada com os objetivos de desempenho e sustentabilidade da

empresa
Este princípio tem como base o foco no uso adequado da TI de acordo com os
objetivos estratégicos da empresa. As boas práticas deste princípio sugerem a participação do
Conselho de Administração, garantindo que a estratégia da TI esteja integrada com a
estratégia da organização e seus processos de negócio. Outra prática importante do princípio,
com atuação do Conselho de Administração sugerida pelo código, é a garantia que existirão
processos na Governança de TI para identificar e explorar oportunidades para aumento de
desempenho e sustentabilidade da empresa por meio do uso adequado da TI.
3. O Conselho de Administração deve delegar à gestão de TI a responsabilidade

de implantar o framework de Governança de TI
O princípio tem como objetivo central a delegação da responsabilidade da

implementação do framework de Governança de TI homologado pelo Conselho de
Administração ao CIO da organização. Além da indicação de um CIO qualificado para a
demanda da Governança, o Conselho de Administração ainda tem a possibilidade de criar um
comitê de tecnologia para auxiliá-lo no direcionamento da Governança de TI.
63
4. O Conselho de Administração deve monitorar e avaliar investimentos e

despesas significativos de TI
O princípio tem foco na análise de custos da TI. Entre suas práticas destacam-se, mais
uma vez, o papel do Conselho de Administração na Governança de TI, supervisionando a
entrega de valor da TI e monitorando o retorno do investimento de projetos significativos de
TI. Ainda de acordo com as práticas sugeridas, o Conselho de Administração ainda deve obter
da TI (CIO) garantias independentes da Governança de TI e dos controles de serviços
terceirizados de TI.
5. TI deve fazer parte da gestão de riscos da empresa
O princípio tem por finalidade a inserção da TI como parte integral da gestão de risco,
que é um dos pontos de maior relevância na Governança de TI. De acordo com o código, a TI
não só deve compor a gestão de risco, como ser responsável pela criação dos mecanismos de
gestão de risco por meio de sistemas em conjunto com outras áreas. Dentre as práticas
sugeridas, o CIO deve demonstrar regularmente ao Conselho de Administração que a empresa
tem acordos de nível de serviços adequados para recuperação de desastres. O Conselho de
Administração tem responsabilidade neste princípio voltado para garantir a conformidade
legal e de padrões, normas e regras relativas à TI.
6. O Conselho de Administração deve garantir que os ativos de Informação são

administrados eficientemente
Neste princípio as práticas são relativas à privacidade de informações de usuários. As

práticas apontam o Conselho como responsável por garantir que exista na organização um
sistema em condições para gestão da informação, com segurança e privacidade, além de ter
um planejamento de gestão da segurança, devidamente implantado, tratando a informação
como um ativo de negócio.
7. Os Comitês de Risco e de Auditoria devem apoiar o Conselho de

Administração quanto às responsabilidades da TI
O princípio direciona suas boas práticas na assessoria dos comitês de risco de e

auditoria, dando suporte ao Conselho de Administração quanto às definições do uso da TI nas
64
áreas de risco e auditoria. O apoio é relativo à definição de controles e relatórios, tanto para a
realização da aferição de riscos e auditoria em tempo hábil e de forma eficaz. O comitê de
riscos auxiliará o Conselho de Administração aferindo os resultados dos controles definidos
para gestão de riscos de TI da organização. O comitê de auditoria deve considerar o uso da TI
para melhoria contínua da eficácia e cobertura da auditoria na organização.
2.3 MODELOS INTEGRADOS DE GOVERNANÇA CORPORATIVA E DE TI
2.3.1 POLÍTICA DE SERVIÇO PÚBLICO DE GOVERNANÇA CORPORATIVA DA

TECNOLOGIA DA INFOMAÇÃO E COMUNICAÇÃO
De acordo com PSCGICTPF (2013), a PSCGICTPF (Public Service Corporate

Governance of Information and Communication Technology Policy Framework – Framework
da Política de Serviço Público de Governança Corporativa da Tecnologia da Informação e
Comunicação) foi elaborada em alinhamento com a Governança Corporativa do governo sul-
africano representada por 12 resultados estratégicos baseados nos princípios de Batho Pele 3 de
igualdade de acesso a serviços, aumento de produtividade e redução de custos, além de
melhorar a qualidade e a acessibilidade dos serviços públicos, melhorando a eficiência e
prestação de contas aos beneficiários de bens e serviços públicos. O propósito da Tecnologia
da Informação e Comunicação (TIC) é permitir que os princípios de Batho Pele fossem
alcançados em sua plenitude.
Várias investigações foram realizadas a fim de aferir as deficiências na prestação de
serviços de TIC no governo sul-africano. Segundo PSCGICTPF (2013, p.3), a primeira delas
foi em 1998 com o relatório da Comissão Presidencial, que afirma que todas as decisões
relevantes da área de TIC devem vir da liderança política e gerencial do Estado, e não podem
ser delegadas, exclusivamente, a especialistas de TIC e, ainda, que a gestão de TIC deve estar
no mesmo nível de gestão de outras áreas. A Comissão conclui o relatório, defendendo a
posição que um framework de governo deveria ser criado para essa finalidade.
Ainda segundo PSCGICTPF (2013, p.3), em 2000, o Conselho de Ministros aprovou a
criação de um Escritório de Governo de Tecnologia da Informação (GITO - Government
Information Technology Office), com a premissa de que cada Departamento deverá ser
responsável pelo alinhamento ao planejamento de TIC, seu direcionamento estratégico e
3
Batho Pele (Sotho: "As pessoas em primeiro lugar") é uma iniciativa política sul-africana introduzida pela
primeira vez pela Administração Mandela em 1º de Outubro de 1997, para representar a melhor prestação de
bens e serviços para o público.
65
planos de gestão. Além disso, o GITO deverá se reportar ao Chefe do Departamento (HoD –
Head of Department) e compor a Equipe de Gestão Executiva. Desde a publicação do
Relatório da Comissão Presidencial, em 1998, pouco mudou no que diz respeito à Governança
de TIC no serviço público sul-africano até 2010, de acordo com a Auditoria Geral do governo.
Assim sendo, a Auditoria Geral entregou, no final de 2010, ao governo as seguintes
orientações:
(A) Em nível de governo, um framework de Governança de TIC deve ser colocado em
prática a fim de implementar uma estratégia de TIC nacional baseada em processos e
padrões definidos, para enfrentar os riscos de TIC;
(B) As regras e responsabilidades da Governança de TIC devem ser definidas e
implementadas para garantir o uso adequado de TIC no Serviço Público.
PSCGICTPF (2013, p.3) afirma que, em 2011, a Auditoria Geral descobriu que houve
pouco progresso no plano, com apenas 21% dos Departamentos com controles de Governança
de TIC adequados, que ainda eram insustentáveis devido ao fato de não estarem alinhados
pela Administração, não sendo, portanto, aplicáveis no Departamento conforme a expectativa
inicial do projeto. Os demais 79% dos Departamentos não tinham um framework de controle
ou não implementaram nenhum aspecto de Governança de TIC.
A visão da Auditoria Geral é de que a TIC deve ser governada e gerenciada por uma
liderança política em nível de Diretoria, e sustentada por boas práticas internacionalmente
aceitas, na forma de Governança Corporativa, baseada no KING III, a norma ISO\IEC 38500
para a Governança Corporativa da TIC e o COBIT como Framework de Governança de TIC.
Ele também coloca a responsabilidade da Governança de TIC totalmente nas mãos da
Liderança Política e da Gestão Executiva (PSCGICTPF, 2013).
A figura 16 retrata as diferentes camadas de Governança e a inter-relação entre as
diferentes estruturas e padrões.
Figura 16 - Camadas de Governança e a inter-relação entre as diferentes estruturas e padrões

66
Fonte: PSCGICTPF(2013)
Nesse contexto apresentado pela Auditoria Geral a autoridade executiva e a gestão dos
Departamentos precisam estender a Governança Corporativa como uma boa prática de gestão
de Governança Corporativa da TIC. Na execução de Governança Corporativa das TIC, eles
devem fornecer as estratégias necessárias, arquiteturas, planos, políticas, estruturas,
procedimentos, processos, mecanismos e controles e cultura ética. Para fortalecer ainda mais a
Governança Corporativa das TIC, o GITO deve ser uma parte integrante da Diretoria
Executiva do Departamento (PSCGICTPF, 2013).
Segundo PSCGICTPF (2013, p.4), a governança Corporativa das TIC é uma função
contínua que deve ser incorporada em todas as operações de um Departamento, de Poder
Executivo e do nível de Gestão Executiva para o negócio e prestação de serviços de TIC. No
projeto a Governança Corporativa da TIC é implementada em duas camadas diferentes:
(a) de Governança Corporativa da TIC (este CGICTPF) e
(b) Governança de TIC (GICTF).
PSCGICTPF (2013, p.4) afirma que para resolver o acima mencionado, o
Departamento de Administração e Serviço Público (DPSA – Department of Public Service
and Administration), em colaboração com o Conselho Diretor de Tecnologia da Informação
do Governo (GITOC – Government Information Technology Officer Council) e a Auditoria
Geral, desenvolveram o Framework da CGICTPF.
Segundo PSCGICTPF (2013, p.5), o objetivo do projeto é institucionalizar a
Governança de TIC como parte integrante da Governança Corporativa dentro dos
Departamentos de governo da África do Sul. Este PSCGICTPF fornece à liderança política e
executiva um conjunto de princípios e práticas que devem ser cumpridas, juntamente com
uma abordagem de implementação a ser utilizada para Governança Corporativa de TIC dentro
dos Departamentos.
67
Conforme PSCGICTPF (2013, p.5), o PSCGICTPF é aplicável a todos os níveis de

governo, órgãos de Estado e empresas públicas da África do Sul.
A estrutura governamental da república sul africana é baseada em uma democracia
constitucional dividida em três níveis, além de um sistema judicial independente, operando
em um sistema parlamentar. A autoridade legislativa é executada pelo Parlamento da África
do Sul. O poder executivo é exercido pelo Presidente da África do Sul, que é chefe de estado
e chefe de governo, e seu gabinete. O Presidente é eleito pelo Parlamento para um mandato
fixo. Os níveis do governo atuam de forma inter-relacionada conforme descrito abaixo:
 Legislativo: Parlamento constituído pela Assembleia Nacional e pelo Conselho
Nacional de Províncias;
 Executivo: O presidente, que é ao mesmo tempo Chefe de Estado e Chefe de Governo;
 Judiciário: O Tribunal Constitucional, o Supremo Tribunal de Recurso, e o Supremo
Tribunal;
O nível executivo tem o Presidente como principal executivo, e conta com o apoio do
Vice-Presidente e dos ministros que compõem o ramo executivo do governo nacional. O
Presidente e os Ministros são membros do Parlamento e são nomeados para dirigir os vários
departamentos do governo nacional. Cada Ministério é responsável por um ou mais
Departamentos, e alguns Ministérios têm um Vice-Ministro a quem podem delegar alguma
responsabilidade.
Segundo PSCGICTPF (2013), a implementação do framework é apoiada por diretrizes
de implementação a serem emitidas pelo DPSA, que formará a base para a Auditoria Geral
executar auditorias independentes. Para habilitar um Departamento para implementação da
PSCGICTPF, são seguidas três fases:
1. O ambiente da Governança Corporativa das TIC será estabelecido por Departamento;
2. O Departamento planejará e implementará o alinhamento estratégico e de negócios
relativos a TIC, e
3. O Departamento entrará em um processo iterativo para alcançar melhoria contínua de
Governança Corporativa e Governança de TIC.
A figura 17 apresenta a estrutura de supervisão do governo sul africano para a implantação do

PSCGICTPF.
68
Figura 17 - Estrutura de Supervisão do Governo Sul Africano para a Implantação do

PSCGICTPF
Na estrutura apresentada pela Figura 16, o Gabinete Presidencial define as resoluções

que influenciam a governança exercida pelos Ministérios. Na estrutura dos Ministérios, o
Ministério de Serviços Públicos e Administração (MPSA - Minister of Public Service and
Administration) tem a responsabilidade pelas tecnologias de informação e comunicação no
69
serviço público. O Departamento de Serviço Público e Administração (DPSA - Department

of Public Service and Administration) é responsável pelo apoio ao Ministério em conduzir a
transformação do serviço público. O DPSA é apoiado pelo Departamento de Monitoramento
de Desempenho e Avaliação (DPME - Department of Performance Monitoring and
Evaluation) que é responsável por monitorar e avaliar os serviços conforme o CGICTF
(PSCGICTPF, 2013).
Segundo PSCGICTPF (2013), no Nível departamental, os Departamentos Nacionais e
Provinciais têm a responsabilidade de criar a liderança, a estrutura organizacional e os
processos necessários para implantação da governança de TI. O GITOC compõe uma
comissão permanente com a finalidade de aconselhar e coordenar os Departamentos na
condução da implantação da governança de TI.
A figura 18 representa o funcionamento do sistema de Governança. A Liderança
Executiva fornece a direção estratégica do Departamento. O direcionamento estratégico,
juntamente com as influências internas e externas, determinam os objetivos estratégicos. A
Governança de TIC é executada em nível de gestão executiva por meio das funções de
avaliação, direcionamento e monitoramento. A gestão da execução do negócio é feita por
meio da estrutura organizacional e da utilização de recursos relevantes.
Figura 18 – Funcionamento do Sistema de Governança (PSCGICTPF)

70
Fonte: PSCGICTPF (2013)
PSCGICTPF (2013) afirma que a Governança de TIC é um subconjunto da

Governança Corporativa e parte integral do sistema de Governança. Especificamente sobre a
Governança de TIC, as responsabilidades são definidas da seguinte forma:
(a) o Poder Executivo dispõe da liderança política;
(b) o Chefe de Departamento fornece a liderança estratégica e é responsável pela
implementação da Governança Corporativa da TIC; e
(c) a Gerência Executiva é responsável por garantir que a Governança Corporativa da
TIC seja implementada e gerida.
De acordo com PSCGICTPF (2013) a Governança Corporativa da TIC envolve a
avaliação e direcionamento, a realização dos objetivos estratégicos e o uso de TIC para
permitir o negócio departamental e o monitoramento da prestação de serviços de TIC a fim de
garantir a melhoria contínua de serviços. Inclui a determinação de metas e planos estratégicos
e planos anuais de desempenho para prestação de serviços de TIC.
Ainda de acordo com PSCGICTPF (2013, p.25), a fim de dar foco à Governança
Corporativa de TIC no Serviço Público, os seguintes objetivos foram adotados pelo GITOC:
(a) Identificar, definir e prescrever uma Governança de TIC uniforme e uma diretriz de
implementação para o Serviço Público;
71
(b) Firmar a Governança de TIC como um subconjunto da Governança Corporativa;

(c) Criar valor de negócio por meio de capacitação em TIC, garantindo o alinhamento
estratégico de negócios e TIC;
(d) Providenciar recursos relevantes de TIC, estrutura organizacional e capacidade
para permitir a prestação de serviços de TIC;
(e) Realizar e monitorar o desempenho da prestação de serviços de TIC e a
conformidade com as políticas internas e externas relevantes, estruturas, leis, regulamentos,
normas e práticas;
(f) Implementar a gestão das TIC no Departamento, com base no framework COBIT, e
(g) Posicionar a função do GITO como parte integrante da Gerência Executiva.
PSCGICTPF (2013, p.25) afirma que a base da Governança de TIC são as boas
práticas e padrões internacionais de Governança Corporativa e de TIC: King III, ISO/IEC
38500 e COBIT. O quadro 1 contém os princípios específicos da Governança de TIC
adotados a partir da inter-relação entre estas normas e padrões.
Quadro 1 - Princípios Específicos da Governança de TIC Adotados a partir da Inter-relação

entre estas Normas e Padrões do PSCGICTPF
Princípio 1: Mandato Político

A Governança de TIC deve possibilitar a criação do mandato político do
Departamento. O Poder Executivo deve assegurar que a Governança Corporativa da
TIC conclua com êxito o mandato político do Departamento.
Princípio 2: Mandato Estratégico
A Governança de TIC deve possibilitar a criação do mandato político do
Departamento. O Chefe do Departamento deve garantir que a Governança de TIC
conclua com êxito o plano estratégico do Departamento.
72
Princípio 3: Governança de TIC

O Chefe do Departamento é responsável pela Governança Corporativa de TIC. O
Chefe do Departamento deve criar um ambiente favorável no que diz respeito à
Governança Corporativa de TIC dentro do cenário aplicável legislativo, regulamentar e
de segurança de informação.
Princípio 4: Alinhamento Estratégico de TIC
A entrega de serviços de TIC deve estar alinhada com os objetivos estratégicos do
Departamento. A Gerência Executiva deve garantir que a prestação de serviços de TIC
esteja alinhada com os objetivos estratégicos departamentais e de negócios conforme as
capacidades atuais e futuras das TIC. É preciso garantir que a TIC estejam adequadas à
finalidade para os níveis de serviço Acordados e de qualidade para as necessidades de
negócios atuais e futuros.
Princípio 5: Despesas Relevantes de TIC
A Gerência Executiva deve monitorar e avaliar as despesas relevantes de TIC. A
Gerência Executiva deve monitorar e avaliar as principais despesas em TIC, garantindo
que sejam realizadas por razões comerciais válidas e permitindo monitorar e gerenciar
os benefícios, oportunidades, custos e riscos decorrentes dessas despesas, assegurando
que os ativos de informação sejam adequadamente gerenciados.
Princípio 6: Gerenciamento de Riscos e Garantias
A Gerência Executiva deve assegurar que os riscos de TIC são geridos e que as funções
de TIC são auditadas. A Gerência Executiva deve assegurar que os riscos de TIC são
administrados dentro da prática de gestão de risco do Departamento. Deve também
assegurar que a função das TIC é auditada como parte do plano de auditoria
departamental.
Princípio 7: Comportamento Organizacional
A Gerência Executiva deve garantir que a prestação de serviços de TIC é sensível ao
comportamento organizacional/cultura. A Gerência Executiva deve garantir que a
utilização da TIC demonstra a compreensão e respeito ao comportamento/cultura
organizacional.
2.4 PESQUISAS REALIZADAS NOS SETORES PÚBLICO E PRIVADO

73
Nesta seção são analisadas duas pesquisas realizadas na área de Governança

Corporativa e de Tecnologia da Informação. A análise tem por foco principal conhecer o grau
de maturidade e adoção de códigos de Governança Corporativa e de Governança de TI no
cenário nacional, no setor público e no setor privado.
2.4.1 LEVANTAMENTO DE GOVERNANÇA DE TI DO TCU
Segundo TCU (Brasil, 2012), em outubro de 2012 foi realizado pelo TCU mais um
levantamento de Governança de TI, com o objetivo de acompanhar e manter base de dados
atualizada com a situação de Governança de TI na APF. O de 2012 foi aplicado em 337
instituições que responderam ao questionário do levantamento. Os resultados foram
agrupados nos seguintes segmentos da Administração Pública Federal: EXE-Dest,
abrangendo as empresas públicas federais e as sociedades de economia mista; EXE-Sisp,
abrangendo as instituições que fazem parte do Sistema de Administração dos Recursos de
Informação e Informática (SISP); JUD, abrangendo as instituições que fazem parte do Poder
Judiciário; LEG, abrangendo as instituições que fazem parte do Poder Legislativo; e MPU,
abrangendo as instituições que fazem parte do Ministério Público da União (MPU).
O Gráfico 1 apresenta um comparativo do estágio da Governança de TI entre as
avaliações de 2010 e 2012.
Gráfico 1 – Distribuição das Instituições por Estágios do iGovTI
Fonte: iGovTI (2013)

74
De forma geral, a evolução da Governança de TI ocorrida no setor público é

significativa, a evolução dos estados intermediário e aprimorado indica isso.
No questionário, identificam-se questões relevantes sobre Governança. A primeira
dimensão do índice iGovTI relevante para esta pesquisa é a Liderança. Nessa dimensão,
destaca-se o item 1.2, cuja primeira questão (Q12a) se refere à responsabilidade pela
avaliação e pelo estabelecimento das políticas de Governança, gestão e uso corporativo de TI.
O resultado aponta que 65% dos órgãos afirmam ser a Alta Administração responsável,
enquanto os outros 35% afirmam que não. Essa questão sinaliza o envolvimento direto da
Alta Administração do órgão com as definições e políticas de Governança de TI.
A questão Q12e – Avalia e monitora o cumprimento das políticas de Governança,
gestão e uso corporativo de TI, demonstra que apenas 34% dos órgãos realizaram avaliação e
monitoramento, enquanto os outros 64%, não. Já a questão Q13b – Estabeleceu indicadores
de desempenho para cada objetivo de gestão e de uso corporativos de TI, apresenta que 64%
dos órgãos não estabeleceram indicadores de gestão. A questão Q13e – Estabeleceu
mecanismos de gestão de risco relacionados aos objetivos de gestão e uso corporativos de TI,
mostra um cenário ainda mais grave, apenas 4% dos órgãos estabeleceram mecanismo de
gestão de risco.
Pela avaliação do iGovTI de 2012, apesar da indicação que a Alta Administração é
responsável pela Governança de TI, não houve constatação da atuação da Alta Administração
como responsável de fato, uma vez que o percentual baixo de outros itens mostram uma
contradição.
Outro item desta dimensão que se destaca é o 1.5 – “Em 2010 ou 2011, foi realizada
auditoria formal, por iniciativa da própria instituição, em quais dos temas a seguir”. Os temas
foram divididos em questões, apresentadas no Quadro 2, com os respectivos percentuais de
auditorias realizadas.
Quadro 2 – Percentual de Auditorias Realizadas nos Órgãos (iGovTI)

Questão Descrição Percentual de auditoria
Q15a Auditoria de Governança de TI 11%
Q15b Auditoria de sistemas de informação 17%
Q15c Auditoria de segurança da informação 19%
Q15d Auditoria de contratos de TI 30%
Q15e Auditoria dos dados 9%
75
Os resultados apresentam um cenário crítico com relação à auditoria. A maioria dos

órgãos não realiza auditoria sistemática de TI. Dentre os percentuais, o maior foi com relação
a contratos, mesmo assim, apenas 30% dos órgãos a realizam. A auditoria de sistemas de
informação e segurança não chega a 20% dos órgãos. A auditoria garante não só a
transparência, mas, acima de tudo, a aferição da conformidade da Governança de TI com os
objetivos da instituição.
O iGovTI de 2012 mostra que a implantação de Governança de TI no setor público
brasileiro está em estágio inicial quanto ao envolvimento da alta administração na avaliação e
monitoramento contínuo da Governança de TI, aferindo os resultados e a efetividade de
controles conforme objetivos estratégicos estabelecidos em cada um.
2.4.2 PESQUISA UCB SOBRE GOVERNANÇA
Segundo Masson, Junior, Pereira (2013), no primeiro semestre de 2013, foi realizada
uma pesquisa por Mestrandos do curso de Mestrado em Gestão do Conhecimento e da
Tecnologia da Informação da Universidade Católica de Brasília, quando foi aplicado um
questionário com 18 perguntas a empresas e órgãos do setor público e privado, tendo por
objetivo conhecer a realidade da Governança Corporativa e de TI e verificar sua relação com
os princípios de Governança de TI do código de Governança Corporativa KING III. Dentre as
perguntas aplicadas, duas estão relacionadas diretamente à implantação de Governança
Corporativa e de TI, conforme apresentado nos quadros 3 e 4.
Quadro 3 – Implantação de Governança de TI no Órgão/Empresa

Pergunta: Seu órgão/empresa implementa Governança de TI?
COBIT 4.1 39,2%
COBIT 5 8,6%
Não 52,2%
Quadro 4 – Utilização de Governança Corporativa no Órgão/Empresa

Pergunta: Seu órgão/empresa utiliza código de Governança Corporativa?
IBGC 8,7%
76
Modelo próprio 17,4%

Nenhum 69,6%
BSC 4,3%
Conforme observado no quadro 3, a Governança de TI não é utilizada em 52,2% das

empresas/órgãos pesquisados. Dentre os 48,8% demais, o framework COBIT é único citado,
sendo que 39,2% utilizam a versão 4.1, e os outros 9,6% a versão 5. A pesquisa não aponta o
grau de maturidade da implantação, apenas registra o framework utilizado.
O quadro 4 demonstra um cenário de menor conhecimento e maturidade com relação à
Governança Corporativa, em que apenas 30,4% das empresas/órgãos da pesquisa utilizam
algum modelo/código. A grande maioria, 69,6%, não utiliza nenhum modelo/código. Dentre
as que fazem uso de algum modelo/código, 17,4% utilizam modelo próprio, enquanto 8,7%
utilizam o modelo brasileiro do IBGC e 4,3% informaram o uso do BSC – Balanced
ScoreCard, que é utilizado para medição e gestão de desempenho, principalmente com
relação ao planejamento estratégico, não sendo considerado um código de Governança
Corporativa. A pesquisa aponta, acima de tudo, a carência de Governança Corporativa no
setor público brasileiro, que não apresenta nenhum modelo/código em mais de 70% dos
órgãos pesquisados. Dentre as empresas privadas da pesquisa, todas utilizam algum
modelo/código de Governança Corporativa. O setor privado brasileiro aponta uma tendência
em criar modelos que sejam adaptados às suas empresas.
A pesquisa também buscou relacionar os resultados com os sete princípios do KING

III relacionados ao quinto elemento de Governança Corporativa do código. O resultado da
análise de aderência dos processos do KING III é demonstrado no Gráfico 2.
Gráfico 2 – Aderência dos Resultados aos Princípios do KING III

77
Com relação à análise de aderência, percebe-se que 34% dos órgãos não atendem a
nenhum dos princípios do KING III. Também se identifica que nenhum dos órgãos
pesquisados atende à totalidade dos princípios propostos pelo KING III. De forma geral, os
índices de aderência dos órgãos pesquisados aos princípios do Código KING III estão abaixo
de 50%, variando de 13,04% no caso do Princípio 4, que trata de necessidade do Conselho de
Administração monitorar e avaliar investimentos e despesas significativas em TI, a 47,83%
para o Princípio 2, que aborda a necessidade de a TI estar alinhada com o desempenho e
objetivos de sustentabilidade da empresa. Os resultados apresentam um princípio de adoção
de Governança de TI sem que haja integração estabelecida com a Governança Corporativa.
78
3. METODOLOGIA
Segundo Gil (2010) pesquisa define-se como o procedimento racional e sistemático que
tem por objetivo proporcionar respostas aos problemas propostos, e é desenvolvida mediante
o concurso dos conhecimentos disponíveis e a utilização cuidadosa de métodos e técnicas de
investigação científica.
Minayo (1993, p.23), vendo por um prisma mais filosófico, considera a pesquisa
“atividade básica das ciências na sua indagação e descoberta da realidade. É uma atitude e
uma prática teórica de constante busca que define um processo intrinsecamente inacabado e
permanente. É uma atividade de aproximação sucessiva da realidade que nunca se esgota,
fazendo uma combinação particular entre teoria e dados”.
De acordo com Gil (2010), o êxito de uma pesquisa depende fundamentalmente de certas
qualidades intelectuais e sociais do pesquisador, quais sejam conhecimento do assunto a ser
pesquisado, curiosidade, criatividade, integridade intelectual, atitude autocorretiva,
sensibilidade social, imaginação disciplinada, perseverança e paciência, e confiança na
experiência. Segundo Moresi (2003), o sucesso do pesquisador está vinculado, cada vez mais,
à sua capacidade de captar recursos, enredar pessoas para trabalhar em sua equipe e fazer
alianças que proporcionem a tecnologia e os equipamentos necessários para o
desenvolvimento de sua pesquisa.
3.1 CLASSIFICAÇÃO DA PESQUISA
Segundo Gil (2010), à medida que se dispõe de um sistema de classificação, torna-se

possível reconhecer as semelhanças e diferenças entre as diversas modalidades de pesquisa.
Dessa forma, o pesquisador passa a dispor de mais elementos para decidir acerca de sua
aplicabilidade na solução dos problemas propostos para investigação.
Quanto à sua finalidade, esta pesquisa pode ser classificada como aplicada, uma vez
que, segundo Gil (2010), abrange estudos elaborados com a finalidade de resolver problemas
identificados no âmbito das sociedades em que os pesquisadores vivem por meio de soluções
de problemas de ordem prática. Apesar da classificação, a pesquisa ainda pode contribuir para
a ampliação do conhecimento científico e sugerir novas questões a serem investigadas.
A pesquisa aplicada se caracteriza neste trabalho uma vez que a elaboração de
diretrizes para um modelo integrado de Governança Corporativa e de Governança da
Tecnologia da Informação se aplicará à implantação e ao uso das práticas de Governança
79
Corporativa e governança de TI em empresas privadas e estatais, a partir da aquisição de

conhecimentos das melhores práticas internacionais de Governança contidas no mesmo.
Quanto ao nível de explicação, a pesquisa pode ser identificada como exploratória,
uma vez que hipóteses serão construídas a começar da definição de diretrizes para um modelo
em que a Governança Corporativa e de Tecnologia da Informação possam ser direcionadas
pelo mesmo viés organizacional. Além disso, a característica de flexibilidade no planejamento
da pesquisa contribuirá para diferentes tipos de coleta de dados, como pesquisa bibliográfica,
análise de exemplos e entrevistas com profissionais com experiência comprovada nas áreas de
estudo.
Quanto à abordagem, apesar desta pesquisa apresentar características
predominantemente qualitativas, pela proposta indutiva de elaboração ou adaptação de um
novo modelo, ela também é quantitativa, uma vez que constitui seus fundamentos em
pesquisas estatísticas a partir de questionários para identificar o perfil dos setores público e
privado com relação ao tema.
Quanto aos meios de investigação (MORESI, 2003) e coleta de dados ou
procedimentos técnicos (SILVA e MENEZES, 2005), esta pesquisa baseou-se em
levantamentos bibliográficos, elaborados a partir de material publicado (livros, artigos,
periódicos e dissertações de mestrado), bem como material disponibilizado na Internet; em
entrevistas com discussões sobre o tema: a pesquisa incluirá perguntar diretamente às pessoas
utilizando a técnica de grupo focal, para conhecer opiniões e atitudes dos respondentes
(SILVA e MENEZES, 2005); e em pesquisa de campo.
3.2 DESCRIÇÃO DA PESQUISA
O estudo foi realizado em três macro etapas: pesquisa bibliográfica, identificação e

avaliação da abordagem.
a) Pesquisa bibliográfica: envolveu, basicamente, revisão de literatura e buscou pesquisar
sobre conceitos de Governança Corporativa e Governança de Tecnologia da
Informação nos setores público e privado.
b) Identificação da abordagem: concluída a revisão bibliográfica, passou-se a buscar
modelos de Governança Corporativa que tivessem relação com Governança de TI,
modelos de Governança de Tecnologia da Informação que tivessem relação com
Governança Corporativa, por meio da atuação do Conselho de Administração, além de
modelos integrados que tivessem a Governança Corporativa e de TI integradas.
80
c) Avaliação da abordagem: o método proposto é o grupo focal (GF).
3.2.1 PESQUISA BIBLIOGRÁFICA
Foram examinadas teses de doutorado, dissertações de mestrado, livros, documentos

governamentais públicos, artigos científicos publicados em periódicos nacionais e
internacionais, que tratavam dos assuntos relacionados à Governança Corporativa e
Governança de TI, conforme descrito na seção 1.1.
3.2.2 IDENTIFICAÇÃO DA ABORDAGEM
Primeiramente, observou-se que dentre os modelos de Governança Corporativa

existentes poucos apresentavam qualquer tipo de relação com a Governança de TI. Os códigos
de Governança Corporativa apresentavam focos variados com relação à Tecnologia da
Informação e alguns sequer faziam qualquer tipo de menção à TI. Quanto à Governança de
TI, não há relação com Governança Corporativa em sua grande maioria. Após a pesquisa
inicial, encontrou-se um modelo integrado utilizado no governo sul-africano que pôde
contribuir com novas possibilidades mas não foi aderente com o objetivo da pesquisa.
Este cenário impulsionou a pesquisa na busca de algum modelo, que pudesse integrar
a Governança Corporativa e Governança de TI de empresas privadas e estatais no cenário
nacional.
3.2.3. AVALIAÇÃO DA ABORDAGEM
Para a avaliação da abordagem, foi escolhida a técnica do grupo focal, uma

metodologia exploratória, que busca prover a compreensão das percepções, dos sentimentos,
das atitudes e das motivações dos participantes. O grupo focal será composto por
especialistas, profissionais e pesquisadores relacionados diretamente aos temas de
Governança Corporativa e Governança de TI. Grupo Focal é um tipo de entrevista em
profundidade, realizada com um grupo limitado de pessoas selecionadas pelo perfil e
habilidades para discutir assuntos determinados (MOURA e FERREIRA, 2005).
81
3.2.3.1 INTRODUÇÃO
Segundo Moura e Ferreira (2005), grupos focais são entrevistas em profundidade

realizadas com um grupo restrito de pessoas criteriosamente selecionadas para discutir
assuntos determinados. A composição desses grupos costuma ser feita de modo a reunir
pessoas com interesses, experiências ou características demográficas similares, o que tende a
resultar em discussões mais produtivas. Segundo Ressel (2008), nessa técnica os dados
revelados devem possibilitar a emersão de diferentes pontos de vista sobre o tema tratado, a
fim de apreender as singularidades das diferentes visões dos membros participantes do grupo
focal e, ao mesmo tempo, compreender em profundidade as opiniões do grupo.
Para Malhotra (2012), um grupo focal é uma entrevista realizada por um moderador,
de forma não estruturada e natural, com pequeno grupo de entrevistados, onde o objetivo
principal é obter uma visão aprofundada do público-alvo que detém propriedade ao falar sobre
os problemas que interessam a uma determinada pesquisa.
Grupo focal tornou-se, nos últimos anos, uma técnica bastante popular para a coleta de
dados acerca de opiniões e atitudes (MOURA e FERREIRA, 2005).
De acordo com Malhotra (2012, p.112), nas entrevistas em grupo de foco os

participantes devem ser cuidadosamente selecionados, com o objetivo de preencher
determinadas especificações. Devem ter uma experiência que seja adequada com o propósito
da pesquisa. Também os entrevistados não devem ter participado de vários grupos focais. As
entrevistas geralmente são gravadas. Propõe-se ainda um ambiente descontraído, informal,
onde seja possível estimular comentários espontâneos
Segundo Asa (1997 apud MOURA e FERREIRA, 2005), o número ideal de

participantes nesse tipo de grupo é de seis a doze. Grupos muitos pequenos são facilmente
influenciados por um ou dois membros, enquanto os muitos grandes correm o risco de perder
o foco, com os membros se dispersando em conversas paralelas ou podendo sentir-se
desmotivados por ter de esperar muito tempo para participar.
Uma mesma pesquisa deveria prever a realização de vários grupos focais, com todos
eles orientados para um mesmo tópico de discussão, mas diferenciados em função dos perfis e
especificidades de seus respondentes (MOURA e FERREIRA, 2005).
Conforme Ressel (2008), para a seleção e organização do grupo focal, é

imprescindível ter claros os critérios de inclusão dos sujeitos na pesquisa. Em seu projeto de
82
pesquisa, foram constituídos dois grupos distintos de colaboradores, com sete em cada um dos
grupos.
A vantagem do grupo focal é reunir grande quantidade de informação em curto espaço

de tempo. Além disso, permite que o moderador explore assuntos não contemplados
previamente no roteiro, mas relacionados aos objetivos da pesquisa, quando emergem durante
a sessão do grupo focal. Como restrição, a qualidade dos dados fornecidos depende das
habilidades do moderador, que, se não tiver experiência e treinamento suficientes, pode deixar
que poucas pessoas controlem a discussão ou que a direção do grupo afaste-se dos objetivos
determinados (MOURA e FERREIRA, 2005).
3.2.3.2 LIMITAÇÕES DO MÉTODO DE GRUPO FOCAL
Embora plenamente possível de ser utilizada, a técnica de grupo focal possui algumas
limitações que merecem destaque (VERGARA, 2009). O Quadro 5 apresenta algumas
limitações do uso do grupo focal e algumas ações para mitigá-las.
Quadro 5 – Limitações de grupos focais e ações para mitigá-las

Limitação/desvantagem Ação mitigadora / justificativa
Possível dificuldade de expressar ou Elevou-se o nível de qualificação exigido para
articular opiniões e ideias (entrevistador participação do grupo focal.
e/ou entrevistado).
Grupo focal pode ter experiências ou
níveis de qualificação muito
desnivelados.
Grupo focal pode não se preparar Um material introdutório foi enviado ao grupo
adequadamente para contribuir com o focal com seis dias de antecedência. Além disso,
tema. minutos iniciais do encontro foram utilizados
para que o autor do estudo tirasse eventuais
dúvidas.
Entrevistador influenciar Além de haver uma proibição sobre parentes e
deliberadamente a entrevista e direcionar ligados hierarquicamente, o mediador deixou
as opiniões emitidas. claro, desde que fez o primeiro contato com
todos do grupo focal, de que sua participação
seria meramente instigadora e não persuasiva.
Entrevistado pode se sentir inibido. Discussão inicial envolveu temas mais simples e
generalistas, de forma a formar um ambiente
propício para discussão.
Dificuldade em registrar os comentários Alocação de uma profissional exclusiva para
e manter a atenção nos entrevistados. registrar e gravar a reunião.
83
Fonte: Adaptado de Vergara (2009)
3.2.3.3 PLANEJAMENTO
Na etapa de planejamento, definiram-se os tópicos de discussão, os critérios de seleção

para o grupo focal e sua dinâmica de funcionamento. Os critérios apresentados abaixo foram
definidos para um grupo focal entre seis a doze pessoas:
a) Formação acadêmica mínima: pós-graduação lato sensu ou certificação;
b) Experiência profissional relacionada aos temas governança corporativa e/ou

governança de tecnologia da informação, com, no mínimo, três anos;
c) Coletivamente, o grupo deverá reunir, no mínimo, as seguintes experiências

individuais: profissionais de governança corporativa, preferencialmente membros
do Conselho de Administração, profissionais de governança de TI.
d) Ter ao menos uma pessoa que tenha participado ativamente da implantação e no

uso das práticas de governança corporativa e/ou governança de tecnologia da
informação;
e) Ter ao menos um representante da área acadêmica, preferencialmente, que

desenvolva pesquisas na área de governança corporativa e/ou governança de
tecnologia da informação;
f) Nenhum membro do grupo focal poderá ter qualquer relação de parentesco ou

subordinação hierárquica com o autor do estudo, que será o mediador do encontro.
Segundo Moura e Ferreira (2005), os critérios visam formar um grupo de perfil

homogêneo, com interesses e características similares, mas com experiências diversificadas, o
que tenderá a resultar em discussões mais produtivas.
84
4. RESULTADOS
4.1 ANÁLISE DOS MODELOS DE GOVERNANÇA CORPORATIVA,

GOVERNANÇA DE TI E MODELOS INTEGRADOS DE GOVERNANÇA
CORPORATIVA E DE GOVERNANÇA DE TI
Nesta seção são apresentados os resultados das análises das normas e frameworks de
Governança de TI, assim como o resultado da análise dos códigos de Governança Corporativa
e dos modelos integrados abordados nesta pesquisa. As análises foram realizadas, tendo em
vista a relação entre Governança Corporativa e Governança de TI.
4.1.1 ANÁLISE DOS FRAMEWORKS/NORMAS DE GOVERNANÇA DE TI

GOVERNANÇA CORPORATIVA
O quadro 6 apresenta uma análise dos frameworks e/ou normas de Governança de TI

abordados na pesquisa com relação ao seu relacionamento com a Governança Corporativa.
Quadro 6 - Análise dos Frameworks e/ou Normas de Governança de TI abordados na

Pesquisa com relação ao seu Relacionamento com a Governança Corporativa
Frameworks/Normas de Relacionamento com Governança Corporativa
Governança de TI
ABNT NBR ISO/IEC Nos princípios e no Modelo não há relação explícita entre
38500:2009 Governança de TI e Governança Corporativa.
Modelo de Weill e Ross O modelo comenta, de forma rápida, uma relação com a
Governança Corporativa em nível de Direção Executiva
da organização, onde são estabelecidas as estratégias e o
comportamento desejado da TI.
COBIT 4.1 No domínio Monitorar e Avaliar (ME), a Governança
Corporativa está relacionada por meio do processo ME4
(Prover Governança de TI).
O processo ME4 tem por definição os requisitos listados

85
abaixo:
- Descrição: Prover Governança de TI que satisfaça aos

seguintes requisitos do negócio para a TI: integrar a
Governança de TI aos objetivos de Governança
Corporativa e ter conformidade com leis, regulamentações
e contratos;
- Com foco em: preparar relatórios gerenciais sobre a

estratégia, o desempenho e os riscos de TI e atender aos
requisitos de Governança em alinhamento com as
diretrizes da Alta Direção.
- É alcançado por:
· Estabelecimento de uma estrutura de Governança de TI
integrada à Governança Corporativa;
· Auditoria independente do status da Governança de TI.
- E medido por:
· Frequência dos relatórios gerenciais sobre TI para as
partes interessadas (inclusive maturidade);
· Frequência dos relatórios de TI para a Alta Direção
(inclusive maturidade);
· Frequência das revisões independentes da conformidade
de TI.
No processo ME4, o Conselho de Administração tem a

responsabilidade da prestação de contas (Accountable), ou
seja, é o principal responsável por apresentar à Alta
Direção da empresa os resultados da Governança de TI.
Na tabela RACI do processo, o Conselho de
Administração é responsável pelas atividades:
 Estabelecer supervisão da Alta Direção sobre
atividades de TI;
 Revisar, endossar, alinhar com a estratégia de
negócio e comunicar o desempenho, estratégia,
gerenciamento de recursos e gerenciamento de
86
riscos de TI;
 Obter avaliação periódica independente sobre
desempenho e conformidade com políticas,
padrões e procedimentos;
 Resolver questionamentos levantados por
avaliações independentes e assegurar a
implementação das recomendações acordadas;
 Gerar relatórios sobre a Governança de TI;
Dentre os sete objetivos de controle detalhados deste

processo, destaca-se o primeiro nesta análise, ME4.1 -
Estabelecimento de uma Estrutura de Governança de TI,
que tem por finalidade definir, estabelecer e alinhar a
estrutura de Governança de TI com a Governança
organizacional e o ambiente de controle. Deve também
basear a estrutura em processos e modelos de controle de
TI adequados e implementar práticas e responsabilidades
claras para evitar falhas de controle interno e supervisão, e
certificar-se de que a estrutura de Governança de TI
assegura a conformidade com leis e regulamentos e está
alinhada com as estratégias e os objetivos da organização,
correspondendo a tais estratégias e objetivos. Finalmente,
deve produzir relatórios sobre o status da Governança de
TI e questões relacionadas.
Nos demais processos deste domínio (ME1 - Monitorar e

Avaliar o Desempenho de TI, ME2 - Monitorar e Avaliar
os Controles Internos, ME3 - Assegurar a Conformidade
com Requisitos Externos), o Conselho de Administração
deve ser informado pelo responsável do processo.
COBIT 5 A quinta versão do framework tem um domínio exclusivo
para Governança de TI que está em consonância com os
conceitos da norma ABNT NBR ISO/IEC 38500:2009 e é
dividido em cinco processos. Todos os processos do
domínio têm atuação do Conselho de Administração e
dentre eles, a maioria está relacionada explicitamente com
princípios de Governança de TI do código de Governança
87
Corporativa KING III. O Conselho de Administração tem

o papel de Accountable em todos os processos deste
domínio. Os processos são:
EDM01 – Garantir Manutenção e Configuração do

Framework de Governança de TI
Descrição do Processo: Analisar e articular os requisitos
para a Governança de TI da empresa, e implantar e manter
estruturas eficazes que habilitem princípios, processos e
práticas, com clareza de responsabilidades e autoridade
para atingir a missão, metas e objetivos da empresa.
Declaração de propósito: Proporcionar uma abordagem
consistente, integrada e alinhada com a Governança
Corporativa. Garantir que as decisões relacionadas à TI
sejam feitas em consonância com as estratégias e
objetivos da empresa, assegurar que os processos
relacionados à TI sejam supervisionados de forma eficaz e
transparente, o cumprimento dos requisitos legais e
regulamentares sejam verificados, e que sejam cumpridos
os requisitos de Governança para os membros do
Conselho.
Referências deste processo do COBIT ao KING III:
O processo é relacionado com os princípios 5.1 e 5.3 do
KING III descritos abaixo.
5.1 O Conselho de Administração deve ser responsável
pela Governança de TI; 5.3 O Conselho de Administração
deve delegar à gestão de TI a responsabilidade pela
implantação de um framework de Governança de TI.
EDM02 – Garantir Entrega de Benefícios

Descrição do Processo: Otimizar a contribuição de valor
da TI para o negócio a partir dos processos de negócios,
serviços de TI e ativos de TI resultantes de investimentos
88
realizados pela área de TI, a custos aceitáveis.

Declaração de propósito: Garantir iniciativas que
habilitem a otimização do valor de TI nos serviços e bens,
ter custo eficiente de entrega de soluções e serviços, e
uma estimativa confiável e precisa dos custos e benefícios
prováveis para que as necessidades do negócio sejam
apoiadas de forma eficaz e eficiente.
5.2. A TI deve estar alinhada com o desempenho e a
sustentabilidade dos objetivos da empresa; 5.4 O
Conselho de Administração deve monitorar e avaliar os
investimentos e gastos significativos de TI.
EDM03 – Garantir Otimização de Riscos

Descrição do Processo: Garantir que a tolerância e
apetite a riscos da empresa sejam compreendidos,
articulados e comunicados, e que o risco do valor de TI
seja identificado e gerenciado.
Declaração de propósito: Garantir que o risco
relacionado à TI na organização não exceda o apetite e
tolerância, que o impacto do risco da TI na organização
seja identificado e gerenciado e que o potencial para
falhas na conformidade proposta pela organização seja
minimizado.
5.5. A TI deve ser parte da gestão de riscos da empresa;

5.7. Os comitês de risco e auditoria devem apoiar o
Conselho de Administração em suas responsabilidades
com a TI.
89
EDM04 – Garantir a Otimização de Recursos

Descrição do Processo: garantir adequação e capacidades
(pessoas, processos e tecnologia) relacionadas à TI
suficientes e disponíveis para apoiar os objetivos da
organização de forma eficiente, com otimização de custos.
Declaração de propósito: Assegurar que as necessidades
de recursos na organização sejam atendidas de maneira
ideal, com otimização de custos de TI, e aumento de
probabilidade de realização de benefícios e prontidão para
mudanças futuras.
5.6 O Conselho de Administração deve garantir que os
ativos de informação sejam gerenciados de forma eficaz.
EDM05 – Garantir Transparência com as Partes

Interessadas
Descrição do Processo: Garantir que a mensuração e os
relatórios da conformidade e desempenho de TI na
organização sejam transparentes, com a aprovação das
partes interessadas nos objetivos, métricas e ações
corretivas necessárias.
Declaração de propósito: Assegurar que a comunicação
com as partes interessadas seja eficaz e em tempo hábil
para tomada de decisão e que os padrões para relatório
sejam estabelecidos para aprimorar desempenho,
identificar áreas para melhoria e confirmar que os
objetivos e estratégias relacionados à TI estão alinhados
com as estratégias da Governança Corporativa da
organização.
Esse processo não estabelece relação com os princípios do
90
KING III.
Além do domínio citado acima, outros três domínios do

COBIT 5 têm processos onde há a atuação do Conselho
de Administração se faz presente. São eles:
1 - Alinhar, Planejar e Organizar (APO)
Processo: APO01 - Gerenciar o framework de gestão da
TI
Papel do Conselho de Administração: Consultado na
prática APO01.03 – Manutenção dos habilitadores do
sistema de gestão.
Processo: APO02 - Estratégia de Gestão

Papel do Conselho de Administração: Consultado na
prática APO02.06 - Comunicar a estratégia e o
direcionamento da TI.
Processo: APO05 - Gerenciar Portfólio
Papel do Conselho de Administração: Accountable das
práticas APO05.02 – Determinar a disponibilidade e
origem dos financiamentos, e APO05.03 – Avaliar e
selecionar programas para financiar. Informado na prática
APO05.04 – Monitorar, Otimizar e Relatar o desempenho
no Portfólio de investimento.
2 - Construir, Adquirir e Implementar (BAI – Build,

Acquire and Implement)
Processo: BAI 01 - Gerenciar Programas e Projetos
Papel do Conselho de Administração: Informado na
prática BAI01.01 – Manter uma abordagem padrão para
programas e projetos, e BAI01.02 – Iniciar um programa.
Processo: BAI05 - Gerenciar Habilitador de Mudança

Organizacional
Papel do Conselho de Administração: Responsável pela
prática BAI05.01 – Estabelecer o desejo para mudança.
91
3 – Monitorar, Analisar e Avaliar (MEA – Monitor,

Evaluate and Assess)
Processo: MEA01 - Monitorar, Avaliar e Analisar
Desempenho e Conformidade
prática MEA01.05 – Garantir a implantação de ações
corretivas.
Processo: MEA02 - Monitorar, Avaliar e Analisar o

sistema de controle interno
prática MEA02.02 – Rever controle eficaz de processos
de negócios.
Processo: MEA03 - Monitorar, Avaliar e Analisar

conformidade com requerimentos externos
atividade MEA03.04 – Obter garantia de conformidade
externa.
Fonte: Elaborado pelo Autor
4.1.2 ANÁLISE DOS CÓDIGOS DE GOVERNANÇA CORPORATIVA

GOVERNANÇA DE TI
O Quadro 7 apresenta uma análise dos códigos de Governança Corporativa abordados

na pesquisa com relação ao seu relacionamento com normas e/ou frameworks de Governança
de TI.
Quadro 7 – Análise dos Códigos de Governança Corporativa Abordados na Pesquisa com

relação ao seu Relacionamento com Normas e/ou Frameworks de Governança de TI
Códigos de Governança Corporativa Relacionamento com Governança de TI
Relatório CADBURY O relatório Cadbury não faz referência à
Governança de TI.
IBGC O código de maior relevância do Brasil
não faz referência à Governança de TI,
apenas citando a Tecnologia da
92
Informação como possível canal de

comunicação para difusão e acesso ágil à
informação.
KING III O código sul-africano contempla como
um de seus elementos de Governança
Corporativa a Governança de TI, e a
categoriza em sete princípios.
1. O Conselho de Administração
deve ser responsável pela
Informação: O princípio tem
por finalidade estabelecer a
responsabilidade pela
Informação ao Conselho de
Administração da organização.
2. TI deve estar alinhada com os
objetivos de desempenho e
sustentabilidade da empresa:
Este princípio tem como base o
foco no uso adequado da TI de
acordo com os objetivos
estratégicos da empresa.
deve delegar à gestão de TI a
responsabilidade de implantar
o framework de Governança de
TI: O princípio tem como
objetivo central a delegação da
responsabilidade da
implementação do framework
de Governança de TI
homologado pelo Conselho de
Administração ao CIO da
93
organização.
deve monitorar e avaliar
investimentos e despesas
significativos de TI: O
princípio tem foco na análise
de custos da TI. Entre suas
práticas destacam-se, mais uma
vez, o papel do Conselho de
Administração na Governança
de TI, supervisionando a
entrega de valor da TI e
monitorando o retorno do
investimento de projetos
significativos de TI.
5. TI deve fazer parte da gestão
de riscos da empresa: O
princípio tem por finalidade a
inserção da TI como parte
integral da gestão de risco, que
é um dos pontos de maior
relevância na Governança de
TI.
deve garantir que os ativos de
Informação são administrados
eficientemente: As práticas
apontam o Conselho como
responsável por garantir que
exista na organização um
sistema em condições para
gestão da informação, com
segurança e privacidade, além
de ter um planejamento de
94
gestão da segurança,
devidamente implantado,
tratando a informação como
um ativo de negócio.
7. Os Comitês de Risco e de
Auditoria devem apoiar o
Conselho de Administração
quanto às responsabilidades da
TI: O princípio direciona suas
boas práticas na assessoria dos
comitês de risco de e auditoria,
dando suporte ao Conselho de
Administração quanto às
definições do uso da TI nas
áreas de risco e auditoria.
4.1.3 ANÁLISE DA POLÍTICA DE SERVIÇO PÚBLICO DE GOVERNANÇA

CORPORATIVA DA TECNOLOGIA DA INFOMAÇÃO E COMUNICAÇÃO COM
RELAÇÃO A GOVERNANÇA CORPORATIVA E A GOVERNANÇA DE TI
O Quadro 8 apresenta uma análise do modelo integrado de Governança Corporativa e

de Governança da TI da África do Sul, publicado pelo governo sul africano no final de
dezembro de 2012.
Quadro 8 - Análise do Modelo Integrado de Governança Corporativa e de Governança da TI

da África do Sul abordado na pesquisa com Relação ao seu Relacionamento com Normas e/ou
Frameworks de Governança de TI, e Governança Corporativa
Modelo Integrado Características da Características da
Governança de TI Governança
Corporativa
POLÍTICA DE SERVIÇO O modelo estabelece relação A relação com a
PÚBLICO DE de Governança de TI tanto Governança Corporativa
95
GOVERNANÇA com a norma ISO/IEC 3800, é estabelecida pelo

CORPORATIVA DA quanto com o COBIT 5. A código sul-africano
TECNOLOGIA DA norma ISO/IEC 38500:2009 KING III e seus
INFOMAÇÃO E estabelece uma relação entre elementos de
COMUNICAÇÃO seus seis princípios, Governança. Os
gerenciando a relação entre a elementos são os
Governança Corporativa e a direcionadores da
Governança de TI da política e estabelecem o
organização. O framework direcionamento da
COBIT 5 é adotado na Governança de TI por
política como norteador da meio de relações
Governança de TI e tem estabelecidas entre a
relação com a Governança norma ISO/IEC 38500 e
Corporativa através do o framework COBIT 5.
domínio EDM. A política A política estabelece
estabelece que cada que o papel do Conselho
Departamento de Ministério de Administração do
realize a implantação da KING III seja exercido
Governança de TI conforme o em conjunto pelo
norteamento do Ministro e do Ministro e o Secretário
Secretário Executivo. Executivo, que também
são responsáveis pelo
direcionamento
estratégico da
Governança de TI e sua
prestação de contas ao
governo.
4.1.4 AVALIAÇÃO DOS MODELOS DE GOVERNANÇA
A avaliação foi realizada com o objetivo de elaborar diretrizes para um modelo integrado
de Governança Corporativa e de Governança de TI que contemplasse o direcionamento da
Governança de Tecnologia da Informação pelo Conselho de Administração da organização.
96
A análise de frameworks e normas de Governança de TI teve, em seus princípios, o foco

direcionado na atuação do Conselho de Administração. No total, foram analisados três
frameworks e uma norma de Governança de TI, sendo que apenas dois dos frameworks
contemplaram o relacionamento com a Governança Corporativa pela atuação do Conselho de
Administração em suas práticas e atividades.
O COBIT 4.1 contempla essa relação no domínio Monitorar e Avaliar, por meio do
processo ME4 – Prover Governança de TI, que tem por objetivo integrar a Governança de TI
aos objetivos da Governança Corporativa e ter conformidade com leis e regulamentos. Esse
processo estabelece a relação com o Conselho de Administração, que deve ser o responsável
pela prestação de contas, ou seja, deve ser informado pelos responsáveis das atividades dos
processos sobre o andamento/conclusão das atividades relativas à Governança de TI da
organização.
O COBIT 5 foi uma evolução significativa com relação à sua versão anterior, o COBIT
4.1, no que tange à Governança Corporativa. Além de ter um domínio exclusivo relacionado à
Governança Corporativa – Avaliar, Direcionar e Monitorar (EDM – Evaluate, Direct and
Monitoring), todos os processos têm o Conselho de Administração na prestação de contas.
Além disso, esse domínio do COBIT 5 foi desenvolvido em consonância com os conceitos da
norma ABNT NBR ISO/IEC 38500:2009 e está explicitamente relacionado com o KING III,
mais precisamente em seu elemento de Governança direcionado a Governança de TI. A
sinergia entre o framework de Governança de TI e a norma e, principalmente, com o código
de Governança Corporativa KING III, proporciona ao COBIT 5 uma característica única
dentre os modelos analisados, pois dá ao Conselho de Administração a condição, não só de
acompanhamento das atividades relacionadas à Governança de TI, mas também o
direcionamento estratégico necessário para que a Tecnologia da Informação possa ser, de fato,
um diferencial na essência da Governança Corporativa, que é a transparência e a prestação de
contas. Nestas condições, a Alta Direção da organização terá a percepção do uso da TI não só
como otimizador operacional, mas, principalmente, como um habilitador estratégico na busca
de controles efetivos e análises de oportunidades para obtenção de vantagem competitiva no
mercado.
Com relação à análise de Governança Corporativa foram analisados três códigos. Dentre
os três, apenas o KING III contempla a Governança de TI em seus princípios, bem como a
atribuição da responsabilidade da Governança de TI ao Conselho de Administração. Os
demais códigos analisados não apresentaram nenhuma relação com Governança de TI,
tampouco com Tecnologia da Informação em geral. O KING III apresenta uma abordagem
97
ampla com relação à governança de TI, inclusive tendo em seu código um elemento de
governança corporativa específico para a área, e sendo do Conselho de Administração a
responsabilidade central em tudo que se refere à governança de TI na organização. O
elemento de Governança de TI do código sul-africano foi desenvolvido em consonância com
o framework de Governança de TI COBIT 5 e a norma ISO/IEC 38500:2009. A importância
de uma governança de TI em organizações é exaltada no KING III tendo em vista a
característica pervasiva da tecnologia da informação e sua importância com relação à
definição de processos, controles e relatórios integrados (KING, 2009). O código ainda inclui
como assessoria do Conselho de Administração os Comitês de risco e auditoria, que tem a
responsabilidade de atuar com o CIO da organização no desenvolvimento de sistemáticas, e
na aferição das informações.
Com relação à análise do modelo integrado pode-se destacar a relação entre a Governança
Corporativa e a Governança de TI através da norma ISO/IEC 38500. O modelo é direcionado
exclusivamente à estrutura governamental sul-africana. A norma estabelece o fluxo entre a
Governança Corporativa, representada pelo código KING III, e a Governança de TI,
representada pelo COBIT (apesar de todo o direcionamento conceitual do framework para a
versão do COBIT 5, o documento não faz nenhuma afirmação de que a versão utilizada do
framework seria o COBIT 5 ou o COBIT 4.1. Os dois são referenciados ao final). As
responsabilidades relativas à Governança Corporativa são adaptadas à estrutura do governo
sul-africano.
No Modelo Integrado de Governança Corporativa e de Governança da TI da África do
Sul, o papel exercido pela Liderança Política e Gestão Executiva dos Ministérios equivale ao
papel do Conselho de Administração na governança tradicional. Além disso, também é função
da Liderança Política e Gestão Executiva o direcionamento estratégico da Governança de TI e
sua prestação de contas ao governo. Os níveis organizacionais subordinados administram a
Governança de TI, conforme alinhamento estratégico, isoladamente em cada Departamento. O
Chefe do Departamento tem a responsabilidade de implantar a Governança de TI com as
especificidades do Departamento, porém, em alinhamento com o norte estratégico
determinado.
As limitações observadas nesse modelo foram:
1. Elaborado exclusivamente para a estrutura do governo sul-africano:
O modelo foi elaborado para atender exclusivamente a estrutura governamental
sul-africana. As normas e frameworks de Governança de TI e o código de Governança
Corporativa que sustentam o modelo têm estruturas e abrangências gerais que
98
propiciam a elaboração de modelos mais genéricos de Governança de TI e

Corporativa, tanto para o setor público, quanto para o privado. Assim sendo, o modelo
não pode ser utilizado diretamente para qualquer estrutura que divirja da estrutura dos
ministérios sul-africanos, limitando de forma significativa sua adoção imediata em
outras estruturas de Governança.
2. Não há definição clara de atuação do papel do Conselho de Administração na

Governança Corporativa e de TI:
No modelo é apresentado o papel do Conselho de Administração, sendo exercido em
conjunto pela Liderança Política e a Gestão Executiva do Ministério, que também são
responsáveis pelo direcionamento estratégico da Governança de TI e sua prestação de
contas ao governo. Tanto no COBIT 5 como no KING III, o papel do Conselho de
Administração é fundamental no acompanhamento da implantação e conclusão de
atividades relativas à Governança de TI e, principalmente, na Governança Corporativa,
onde é responsável, dentre outras atribuições, por garantir a transparência e a prestação de
contas, além das definições estratégicas da organização. Uma função de tamanha
importância poderia ter um papel mais claro em uma proposta de Governança integrada.
3. Inexistência de comitês de apoio ao Conselho de Administração:

No modelo integrado, não existem comitês de apoio ao Conselho de Administração
(Liderança Política e a Gestão Executiva do Ministério). Conforme orientações dos
princípios do KING III, e de vários códigos de Governança Corporativa, a existência de
comitês de apoio ao Conselho de Administração é considerada uma boa prática e, no caso
do KING III, obrigatória. O modelo propõe que existam comitês de auditoria e de risco
auxiliando os Chefes de Departamento, mas o Conselho de Administração, que é o
responsável por prestar contas, fica sem auxílio, perdendo capacidade de controle e
transparência para os Departamentos.
4. Vinculação da Governança Corporativa com a Governança de TI somente pela norma

ISO/IEC 38500, sem vinculação com o COBIT 5:
O modelo cita apenas a relação entre a Governança Corporativa, baseada no
KING III, com a norma de Governança de TI ISO/IEC 38500, sendo que essa relação
não existe em seus princípios. Tanto a norma ISO/IEC 38500, quanto o COBIT 5, são
citados pelo KING III como diretrizes para o elemento de Governança de TI do
99
código. O KING III e o COBIT 5, por sua vez, têm uma relação explícita nos
processos do domínio EDM do COBIT 5 que não foram exploradas no modelo do
governo sul-africano. Já o KING III e a ISO/IEC 38500 não têm relação entre eles em
nenhum de seus princípios, sendo, entretanto, utilizados como relação no modelo,
explorando os princípios da norma com o código sul-africano baseado em
interpretações que resultaram em conexões entre eles.
4.2 PROPOSTA DE DIRETRIZES PARA MODELO INTEGRADO DE

GOVERNANÇA CORPORATIVA E GOVERNANÇA DE TECNOLOGIA DA
INFORMAÇÃO
Dentre as pesquisas realizadas, das empresas ou órgãos que adotam algum código ou
modelo de Governança Corporativa, a maioria utiliza modelo próprio, enquanto o restante
utiliza modelos de mercado que não estabelecem relação explícita com a Governança de TI
(ELOISA, EDSON, JOSIANE, 2013). Quanto à Governança de TI, a maioria das
empresas/órgãos adota o framework COBIT, principalmente na versão 4.1. Algumas poucas
utilizam a versão mais recente, a 5. Segundo TCU (Brasil, 2012), dos modelos de Governança
de TI identificados, somente o COBIT faz referência direta à atuação do Conselho de
Administração, tanto na versão 4.1, quanto na versão 5.
Assim, nas pesquisas analisadas, Masson, Junior, Pereira (2013) e TCU (Brasil, 2012),
não foi identificada nas empresas/órgãos a adoção de nenhum código de Governança
Corporativa que tivesse relacionamento com a Governança de TI, por meio da atuação do
Conselho de Administração. Nesse cenário, a Governança de TI tende a atuar de forma
isolada e desassociada da Governança Corporativa, consequentemente, desvinculadas de seus
objetivos e direcionamentos.
Dentre as análises de códigos de Governança Corporativa e frameworks de

Governança de TI, destaca-se o código de Governança Corporativa KING III, que tem um
elemento exclusivo de Governança de TI, dando tanta importância a essa Governança que a
responsabilidade de sua implantação é do próprio Conselho de Administração. O código
KING III faz, ainda, referência direta à norma ISO/IEC 38500:2009 e ao framework COBIT
5. O framework COBIT 5 se destaca dentre as normas e frameworks de Governança de TI por
100
ser o único a proporcionar interação com a Governança Corporativa por meio da atuação do
Conselho de Administração, e por separar seus processos em Governança e gestão de TI.
As diretrizes propostas foram fundamentadas na relação existente entre o código de
Governança Corporativa KING III e o framework de Governança de TI COBIT 5. A relação
explícita existente entre eles propicia a conexão entre a Governança Corporativa e a
Governança de TI, baseada nos princípios do quinto elemento de Governança Corporativa do
KING III - “Governança de TI”, e em quatro dos cinco processos do domínio EDM do
COBIT 5. Apesar do KING III citar o COBIT 5 como referência em seu código, a relação se
materializa de fato no COBIT 5, não só na tabela RACI de papéis e responsabilidades dos
processos EDM01, EDM02, EDM03 e EDM04, onde o Conselho de Administração recebe o
papel de Accountable (responsabilizado), mas principalmente nas Observações Relacionadas
(Related Guidance) de cada processo, onde o KING III é referenciado como Padrão
Relacionado de Governança Corporativa (Related Standard) e seus princípios são citados nas
Referências Detalhadas (Detailed Reference). O Quadro 9 – Relação entre o KING III e o
COBIT 5 apresenta a relação existente entre o KING III e o COBIT 5.
Quadro 9 – Relação entre KING III e COBIT 5
KING III COBIT 5
Princípios Domínio Processo
5.1 O Conselho de Administração deve ser EDM 01 Garantir Definição e Manutenção do
responsável pela governança de TI da empresa EDM framework de Governança de TI
5.2 A TI deve estar alinhada com os objetivos de
desempenho a sustentabilidade da empresa EDM EDM 02 Garantir a entrega de benefícios
5.3 O Conselho de Administração deve delegar a
gestão da empresa a responsabilidade de EDM 01 Garantir Definição e Manutenção do
implementar um framework de governança de TI EDM framework de Governança de TI
5.4 O Conselho deve monitorar e avaliar gastos e
investimentos significativos em TI EDM EDM 02 Garantir a entrega de benefícios
5.5 A TI deve ser parte integral da gestão de riscos da
empresa EDM EDM 03 Garantir otimização de Risco
5.6 O Conselho de Administração deve garantir que

os ativos de TI sejam administrados de forma eficaz EDM EDM 04 Garantir otimização de recursos
5.7 Os comitês de Risco e Auditoria devem assistir o
Conselho de Administração em suas
responsabilidades com TI EDM EDM 03 Garantir otimização de Risco

O processo EDM01 – Garantir a Definição e Manutenção do Framework de
Governança de TI, do domínio EDM, é responsável pela definição do sistema de Governança
utilizado pela empresa. O processo é dividido em três práticas que Avaliam, Direcionam e
Monitoram o sistema de Governança. Na relação de Saídas de suas práticas, destaca-se o fato
de que todas são saídas para todos os demais processos do domínio EDM, ou seja, o processo
se caracteriza como pré-requisito para a implantação dos demais processos do EDM. O
101
processo EDM01 faz referência explícita a dois princípios do elemento de Governança

“Governança de TI” do framework de Governança Corporativa, KING III.
Na primeira prática do processo, Avaliar o Sistema de Governança, o objetivo

principal é o conhecimento da empresa (fatores ambientais internos e externos, além do
ambiente de negócios da empresa), a determinação da importância de TI e a definição de
níveis apropriados de delegação de autoridade, incluindo regras de limites para decisões de
TI, conforme a cultura de tomada de decisão da empresa. A segunda prática é focada na
comunicação para liderança e na garantia de conformidades necessárias, além de estruturas de
Governança. A última prática do processo EDM01 é o Monitoramento do Sistema de
Governança da empresa, que avalia se o sistema de Governança e os mecanismos de
implementação estão operando de forma eficaz, proporcionando supervisão adequada da TI.
O processo EDM01 se relaciona com o KING III por meio dos princípios 5.1 - O
Conselho de Administração deve ser responsável pela Governança de TI da empresa e 5.3 - O
Conselho de Administração deve delegar à gestão da empresa a responsabilidade de
implementar um framework de Governança de TI. No princípio 5.1, o Conselho de
Administração deve assumir a responsabilidade pela Governança de TI e colocá-la na agenda
do Conselho. O KING III entende a Governança de TI como um dos principais aspectos da
Governança Corporativa, principalmente pelo fato de proporcionar à alta administração
informações para a tomada de decisão precisa e em tempo hábil. Na condição de responsável
pela implementação da Governança de TI, o Conselho de Administração deve garantir que
políticas de TI sejam estabelecidas e implementadas, e deve receber garantias independentes
relativas à eficiência dos controles internos. O princípio 5.3, por sua vez, trata da
responsabilidade da gestão de TI quanto à implementação de estruturas, processos e
mecanismos para o framework de Governança de TI, além de recomendar a instituição de um
comitê de TI para assessorar o Conselho de Administração e a nomeação de um CIO para
conduzir a implantação do framework de Governança de TI.
Os processos EDM 02 - Garantir a entrega de benefícios, EDM 03 - Garantir

otimização de Risco e EDM 04 - Garantir otimização de recursos, do domínio EDM, têm
relação estabelecida com pelo menos um princípio do KING III.
O processo EDM 02 - Garantir a entrega de benefícios é responsável pela otimização

da contribuição de valor para o negócio a partir de processos, serviços e ativos de TI
resultantes de investimentos realizados pela área, a custos aceitáveis. O processo é dividido
102
em três práticas que Avaliam, Direcionam e Monitoram a otimização de valor. A primeira

prática do processo é responsável pela avaliação contínua da carteira de investimentos de TI,
para determinar a probabilidade de se atingir os objetivos da empresa e de se entregar valor a
um custo adequado. As demais práticas direcionam princípios e práticas para a otimização de
valor dos investimentos de TI, em todo seu ciclo de vida econômico, e monitorar os principais
objetivos para gerar os benefícios esperados pela empresa.
O processo EDM02 tem relação estabelecida com o código KING III por meio dos
princípios 5.2 - A TI deve estar alinhada com os objetivos de desempenho e a sustentabilidade
da empresa e 5.4 - O Conselho deve monitorar e avaliar gastos e investimentos significativos
em TI. O princípio 5.2 tem suas práticas direcionadas a garantir que a estratégia de TI esteja
alinhada com a estratégia de negócios da empresa. Nesse princípio, o Conselho de
Administração tem, ainda, a incumbência de estabelecer processos que possam identificar e
explorar oportunidades para otimizar o desempenho e a sustentabilidade da empresa por meio
do uso de TI. Por sua vez, o princípio 5.4 tem suas práticas focadas na responsabilidade do
Conselho de Administração em inspecionar o valor da entrega de TI, monitorar o retorno do
investimento, obter garantias independentes da Governança de TI e controlar os serviços de
TI terceirizados, assim como garantir que a propriedade intelectual contida nos sistemas de
informação esteja protegida.
O processo EDM 03 - Garantir otimização de Risco garante que a tolerância e apetite a

riscos da empresa sejam compreendidos, articulados e comunicados, e que o risco do valor da
TI seja identificado e gerenciado. O processo tem três práticas que Avaliam, Direcionam e
Monitoram o risco de TI. Suas práticas têm o objetivo de examinar e fazer o julgamento dos
efeitos de riscos atuais e futuros do uso de TI na empresa, assim como direcionar o
estabelecimento de práticas de gestão de riscos a fim de garantir que o risco de TI não exceda
o apetite de risco do Conselho de Administração. Além disso, deve monitorar os principais
objetivos e métricas dos processos de gestão de risco e estabelecer como desvios ou
problemas serão identificados, rastreados e reportados para a resposta aos riscos.
O processo EDM03 tem relação estabelecida com o KING III por meio dos princípios
5.5 - A TI deve ser parte integral da gestão de riscos da empresa e 5.7 - Os comitês de Risco e
Auditoria devem assistir o Conselho de Administração em suas responsabilidades com a TI. O
princípio 5.5, tem suas práticas direcionadas à atuação conjunta da TI e das demais áreas na
condução da gestão de risco da empresa. O Conselho de Administração cobra, neste princípio,
que toda a conformidade legal esteja integrada na gestão de riscos. Já o princípio 5.7 tem suas
103
práticas direcionadas à eficácia da gestão de riscos pelos comitês de risco e de auditoria por
meio da abordagem adequada de riscos financeiros, de TI, dentre outros, além de utilizar a TI
para melhoria da eficácia de auditoria.
O processo EDM 04 - Garantir otimização de Recursos garante a adequação de

capacidades (pessoas, processos e tecnologia) relacionadas à TI, suficientes e disponíveis para
apoiar os objetivos da organização de forma eficiente com otimização de custos. O processo
tem três práticas que Avaliam, Direcionam e Monitoram a gestão de recursos. As práticas são
centradas em examinar e avaliar os recursos atuais e futuros necessários, garantir a adoção de
princípios de gestão de recursos para habilitar a otimização do uso de recursos de TI em todo
o ciclo econômico da empresa, assim como monitorar os principais objetivos e métricas dos
processos de gestão de recursos de TI e estabelecer como desvios ou problemas serão
identificados, rastreados e reportados para a remediação.
O processo EDM04 tem relação estabelecida com o princípio 5.6 - O Conselho de

Administração deve garantir que os ativos de TI sejam administrados de forma eficaz. O
processo 5.6 tem suas práticas direcionadas a gerenciar a informação como um importante
ativo de negócio, além de garantir que estratégias e sistemas estejam implantados para a
gestão eficaz da segurança, gestão e privacidade de informações. O único processo do
domínio EDM que não tem relação com o KING III é o processo EDM05 - Garantir a
transparência com as partes interessadas, que tem por finalidade assegurar que a mensuração e
os relatórios de conformidade e desempenho da TI da organização sejam transparentes, com a
aprovação das partes interessadas nos objetivos, métricas e ações corretivas necessárias. Esse
processo tem suas práticas direcionadas ao relacionamento e à comunicação com as partes
interessadas pela Governança de TI da empresa.
Conforme detalhado acima, as diretrizes propostas estabelecem como responsabilidade
do Conselho de Administração não somente a implementação da Governança de TI, mas
também, a estruturação necessária na estrutura de Governança Corporativa para que a
implementação da Governança e a gestão de TI possam ocorrer de forma eficaz e
devidamente controlada. A estrutura de Governança Corporativa conta não só com o CIO
desempenhando papel fundamental na execução da implementação da Governança e gestão de
TI, como com a criação de um comitê de TI assessorando o Conselho de Administração na
condução da implementação da Governança de TI.
4.3 GRUPO FOCAL

104
Quase vinte possíveis candidatos, à luz dos requisitos definidos, foram contatados pelo
autor, primeiramente por telefone e, em seguida, por e-mail. Nesse contato prévio, o autor
desta pesquisa se apresentou e explicou as orientações aos convidados que poderiam compor
o grupo restrito de pessoas criteriosamente selecionadas para discutir assuntos de Governança
Corporativa e Governança de TI com base em suas experiências profissionais. Dias antes do
grupo focal, foi enviada aos participantes, por e-mail, um material introdutório com o resumo
das diretrizes propostas para que pudessem conhecer previamente os principais tópicos
abordados no grupo focal.
Dos vinte possíveis candidatos, onze confirmaram presença e têm seu perfil
profissional sintetizado no Quadro 10 – Perfil profissional dos participantes do grupo focal.
Quadro 10 – Perfil profissional dos participantes do grupo focal
Nº do
Participante Órgão/Empresa Cargo/Função
Centro Integrado de Telemática Chefe do Escritório de Projetos
01
do Exército/Exército Brasileiro Corporativo
02 Câmara dos Deputados Assessora Parlamentar
Empresa Invexi Tecnologia da
03 Sócia Administradora
Informação Ltda
04 Supremo Tribunal Federal Analista de TI
05 CNEC Superintendente
Consultor em Implantação de
Grupo TBA – Tribunal Regional
06 Métricas e Processos e certificado
Federal 1a. Região
COBIT 4.1
IFB cedida ao Ministério da Gerente de Desenvolvimento e
07
Defesa Inovação
Universidade Federal de Santa
Analista de TI na UFSC e Consultor
08 Catarina e Ação Social do
na Ação Social do Planalto
Planalto
Analista de Sistemas / Analista do
09 Correios/ECT
Escritório de Projetos Corporativos
10 CNEC Analista de Banco de Dados
11 IBGP Sócio-Diretor
Para o grupo focal, foi agendado um encontro, na sexta-feira, dia 21 de fevereiro de
2014, das 20h às 21h, no campus da Universidade Católica de Brasília da Asa Norte (SGAN
916 Módulo B Avenida W5), sala B-107.
O encontro teve por objetivo colher reflexões sobre o problema identificado na
pesquisa e as diretrizes propostas. A apresentação utilizada no grupo focal está disponível no
APÊNDICE A – Apresentação do grupo focal.
105
4.3.1 REALIZAÇÃO DO ENCONTRO
No dia 21 de fevereiro de 2014 foi realizado o grupo focal com o intuito de obter
avaliações qualitativas das diretrizes propostas, com o mínimo de interferência do
pesquisador, que atuou apenas na mediação, a fim de incentivar os participantes a refletirem
livremente sobre as perguntas apresentadas.
A duração do grupo focal foi de aproximadamente uma hora e trinta minutos,

excedendo em trinta minutos o planejado, em função da ativa participação dos convidados.
Desse tempo, vinte minutos foram destinados à explanação das diretrizes propostas pelo
pesquisador e o restante foi utilizado para reflexões dos participantes sobre as diretrizes e as
perguntas elaboradas.
Todos os que haviam confirmado participação estiveram presentes e foram

apresentados informalmente no início. Exatamente no horário acordado com os participantes,
o orientador da pesquisa fez a abertura do grupo focal e, em seguida, o pesquisador fez a
apresentação, agradecendo a presença de todos e iniciando os trabalhos conforme
planejamento.
O mediador informou aos participantes que eles não seriam identificados no registro
da reunião, o que lhes deu ampla liberdade para comentar aspectos específicos de suas
experiências profissionais. Os participantes autorizaram o mediador a gravar os seus
comentários, o que permitiu ao mesmo manter total atenção nos entrevistados e nas suas
participações. Durante o encontro, os tópicos previstos foram abordados e discutidos.
Conforme planejamento, após a abertura do encontro foram iniciadas as reflexões com

duas perguntas: “Na pesquisa, observamos uma certa falta de integração entre a Governança
Corporativa e a Governança de TI. Vocês concordam com isso?” e “Vocês conhecem algum
modelo que integre essas duas Governanças?”.
Na primeira pergunta, o participante 11 abriu as reflexões se posicionando quanto à

concepção teórica da Governança de TI, que deveria estar inserida na Governança
Corporativa das organizações e no alinhamento com as áreas de negócio. Em seguida, o
participante 06 reforçou a necessidade teórica de alinhamento, principalmente em
organizações que não têm a tecnologia da informação como atividade fim, pois nas
organizações onde a TI é a atividade fim, o entendimento do valor da TI é maior e há maior
106
receptividade à implantação da Governança de TI. O participante 06 afirmou ainda que, na

prática, a integração entre a Governança Corporativa e as áreas de negócio com a Governança
de TI não ocorre como se espera na literatura. Ainda nessa reflexão, o participante 01 afirmou
que há um distanciamento e falta de sinergia entre a Governança de TI e a alta administração,
pois a alta administração de sua organização não tem a compreensão do valor agregado pela
TI em seus resultados, entendendo a TI apenas como uma provedora de recursos tecnológicos.
Em seguida, foi observado pelo mediador do encontro que o foco do grupo era a Governança
Corporativa e não as áreas de negócio. Restabelecido o foco da discussão, o participante 02
externou que no setor público a Governança Corporativa não está presente e que o
direcionamento da Governança de TI no setor não tem integração com os objetivos
corporativos, tampouco uma aferição eficaz de sua implementação, mesmo com o alto valor
dos investimentos ao longo dos anos. O participante 05 citou a necessidade de integração da
Governança de TI com a alta administração e, consequentemente, com as áreas de negócio,
uma vez que a função específica de TI não é clara em sua organização e a TI, muitas vezes,
tem responsabilidades atribuídas de forma indevida por falta de processos claros e devido à
incompreensão da alta administração quanto à função da TI na Governança Corporativa. O
participante 05 afirmou, ainda, que, na prática, a teoria apresentada na literatura quanto à
necessidade de integração não se aplica, e que há, de fato, um distanciamento e falta de
integração entre a Governança da TI e a alta administração, consequentemente, à Governança
Corporativa. Para finalizar, o participante 05 afirmou que em sua organização é necessário
que esta integração ocorra em curto prazo e que a TI da organização possa viabilizar melhores
controles e otimizar resultados de negócio, devidamente alinhados com as expectativas da alta
administração. O participante 05 também afirmou que o modelo deverá ser teórico-prático e
não somente teórico, e que a prática do modelo deverá levar à compreensão da Governança
em todos os níveis da organização e não só na parte estratégica. O participante 09 contribuiu
afirmando que empresas com atividade fim voltada à TI tendem a ter uma integração com
maior facilidade que as demais, por já ter a compreensão do valor da TI pela alta
administração. A participante 03 finalizou a primeira reflexão informando que organizações
mais novas têm maior receptividade à proposta de integração, ao contrário de organizações
mais antigas.
Na segunda pergunta, “Vocês conhecem algum modelo que integre essas duas
Governanças?”, o participante 11 abriu as reflexões citando a ISO/IEC 38500 como uma
norma que estabelece os conceitos de Governança Corporativa e de Governança de TI, e que
107
o COBIT 5 tenta, por meio de suas boas práticas, possibilitar essa integração. O participante
06 explicitou a dificuldade de se falar de um modelo pela complexidade dessa ação de
integração. Ele fez essa afirmação devido à necessidade de a organização inteira fazer parte
desse processo e que a mudança cultural, nesse caso, é muito complexa. O participante 09
afirmou que não conhece nenhum modelo que realize a integração, porém, conhece modelos
que podem promovê-la. Para melhoria da compreensão da pergunta, o mediador falou um
pouco sobre os modelos pesquisados e, principalmente, os modelos que têm a condição de
integrar os dois modelos de Governança. O grupo foi unânime em afirmar que não conhece
nenhum modelo que integre, efetivamente, a Governança Corporativa e a Governança de TI.
Em seguida, foi feita a apresentação resumida da pesquisa e das diretrizes propostas

para um modelo integrado. Durante a apresentação, nenhum participante interagiu,
aguardando as próximas perguntas para novas reflexões. Durante a apresentação foi reforçado
que o grande desafio do modelo proposto é a identificação de uma forma sólida de integrar as
Governanças Corporativa e de Governança de TI, principalmente, com a atuação ativa do
Conselho de Administração. O participante 01 afirmou, após o término da apresentação, que
no Exército ele vivenciou uma situação em que a alta administração interagiu e apoiou a
Governança de TI, e, consequentemente, a implantação pôde ser conduzida com maior
eficácia, mesmo não havendo uma integração Corporativa que lhe cobrasse a prestação de
contas pela Governança de TI, como o modelo propõe.
Após a apresentação, foram feitas mais duas perguntas para concluir a reflexão do
grupo. A primeira, “Vocês entendem que o modelo integrado proposto poderia preencher essa
lacuna de falta de alinhamento?”, teve sua reflexão iniciada pelo participante 09, afirmando
que o modelo preencheria essa lacuna se, de fato, com a implantação do modelo em alguma
organização, os resultados fossem devidamente apurados. Como o questionamento em pauta
é, se o modelo poderia preencher a lacuna, ele afirmou que sim, que poderia. O participante
01 fez uma observação com relação à atribuição de responsabilidades ao Conselho de
Administração na Governança de TI. Inicialmente, ele não enxergava como o Conselho de
Administração, que não é especialista em TI, poderia contribuir na Governança de TI, mas
após a apresentação do modelo, sentiu-se convencido dessa atribuição, concordando que o
modelo pode preencher a lacuna da pergunta, inclusive citando exemplos do Exército.
Por fim, na última pergunta, “A implementação deste modelo, no seu entender, seria
viável?”, o participante 05 disse que sim, desde que o Conselho de Administração siga
rigorosamente sua implementação. Já o participante 03 refletiu que não só a implementação
108
deveria ser aferida, mas também os resultados esperados pela empresa. O participante 04
parabenizou o estudo e afirmou que uma contribuição importante do trabalho é o olhar do
responsável pela Governança Corporativa para a Governança de TI. Ele afirmou que, na
maioria dos casos, quem quer a Governança de TI nas organizações é a própria TI e não a alta
administração, e que esse pensamento é extremamente equivocado. O participante 06 apontou
dois fatores importantes para a implementação eficaz no modelo, o conhecimento da
organização sobre Governança de TI e seus benefícios, e a cultura da organização. Ele
afirmou ainda que dentro do que foi apresentado, o modelo pode ser viável e gerar resultados
significativos em organizações.
Ao final da reunião o mediador agradeceu a presença e a disponibilidade de todos os

participantes e finalizou o grupo focal.
4.3.2 RESULTADOS DO GRUPO FOCAL
O grupo teve uma participação significativa no que tange as diretrizes para propostas na
pesquisa. Dentre as várias reflexões e contribuições, os resultados mais relevantes foram:
 Falta de conhecimento sobre a estrutura de Governança Corporativa: durante todo o

grupo focal foi nítida a dificuldade do grupo em analisar a estrutura de Governança
Corporativa em detrimento da análise de negócios. O grupo associou com muita
facilidade a relação da Governança de TI com o negócio das organizações, porém, não
se mostrou, desde o início das discussões, familiarizado com os conceitos da
Governança Corporativa e o papel do Conselho de Administração.
 Clareza e unanimidade na afirmação de que não conhecem nenhum modelo que

integre a Governança Corporativa e a Governança de TI: após o alinhamento dos
conceitos, o grupo concluiu, por unanimidade, que não conhecia nenhum modelo que
estabelecesse efetivamente a integração entre a Governança Corporativa e a
Governança de TI. Muitos citaram modelos de Governança de TI que poderiam estar
aptos a promover essa integração, mas nenhum que integrasse de fato as Governanças.
O grupo, apesar de contar com executivos e profissionais de TI, tinha um
conhecimento limitado sobre modelos de Governança Corporativa.
 A implantação de um modelo integrado poderia preencher a lacuna observada, mas a

resposta efetiva só viria com a análise da implementação em alguma organização para
109
mensurar os resultados obtidos com a integração entre Governança Corporativa e

Governança de TI.
 Sobre a perspectiva da atuação do Conselho de Administração na Governança de TI, o

grupo identificou que o modelo proposto poderia trazer à alta administração uma nova
perspectiva sobre os benefícios da Governança de TI, uma vez que o modelo é
baseado e fundamentado em ambas as Governanças.
110
5. CONCLUSÃO
O presente estudo demonstrou que, efetivamente, há uma falta de integração entre a

Governança Corporativa e a Governança de Tecnologia de informação nos setores público e
privado brasileiro. Essa falta de integração é um dos fatores responsáveis pelo distanciamento
da Governança de TI dos objetivos corporativos das empresas, isolando a tecnologia da
informação, que poderia ser a grande condutora da otimização de controles que apoiassem
pilares da governança corporativa como transparência, prestação de contas e conformidade.
Além disso, o fato de não haver integração pode, ainda, impactar negativamente a questão de
agência, uma vez que os propósitos de áreas de negócio podem estar desalinhados com as
expectativas do representante do principal, o Conselho de Administração.
Verificou-se, na pesquisa realizada, que não há modelos de governança corporativa

e/ou governança de TI que, isoladamente, tenham as condições necessárias para realizar a
integração entre a Governança Corporativa e a Governança de TI. O único modelo integrado
encontrado não era aderente aos objetivos da pesquisa conforme limitações descritas na
avaliação dos modelos de governança.
Pôde-se concluir que, dentre os códigos de governança corporativa pesquisados,

apenas o KING III tinha relação com a Governança de TI por meio de um elemento de
governança exclusivo, e que dentre as normas/frameworks de Governança de TI, apenas o
framework COBIT 5 tinha relação explícita com algum código de governança corporativa, no
caso o KING III. Com base nesta relação, foram criadas diretrizes para um modelo integrado
de Governança Corporativa e Governança de TI que apresentou as características desejadas
para que a integração pudesse, de fato, ocorrer no qual o Conselho de Administração tivesse a
responsabilidade de conduzir a Governança de TI conforme os objetivos estratégicos da
empresa. As diretrizes tiveram foco em empresas privadas e estatais, mas têm condições de
suprir qualquer perfil de empresa ou órgão público que tenha em sua estrutura de Governança
Corporativa o papel do Conselho de Administração claramente definido.
As diretrizes propostas foram apresentadas a um grupo focal, a fim de avaliar suas

características e verificar a viabilidade das mesmas frente a especialistas das áreas de
governança corporativa e governança de TI. O resultado do grupo focal foi positivo quanto à
viabilidade, sendo unanimidade do grupo a possibilidade das diretrizes para o modelo
atenderem ao objetivo proposto. Com relação a outros aspectos relevantes do resultado do
111
grupo focal, foi confirmada a inexistência de qualquer modelo integrado de Governança

Corporativa e de Governança e TI. Finalizando a análise dos resultados, as diretrizes
propostas trazem à alta administração das empresas uma nova perspectiva sobre os benefícios
da Governança Corporativa e da Governança de TI.
As diretrizes propostas para o modelo mostram-se viáveis e atendem aos princípios da

Governança Corporativa e da Governança de TI. além de unirem todas as características
necessárias para atender às expectativas do Conselho de Administração.
Em síntese, o objetivo proposto na pesquisa foi alcançado com a elaboração de
diretrizes para um modelo único integrado de Governança Corporativa e Governança de TI
em que o Conselho de Administração é responsabilizado (accountable) pela governança de TI
e que garante que o direcionamento e objetivos das Governanças Corporativa e de TI sejam os
mesmos. Apesar das diretrizes propostas para o modelo integradoterem seu foco direcionado
ao setor privado e às empresas estatais, elas podem ser implementadas em qualquer
organização que tenha em sua estrutura de Governança Corporativa o papel do Conselho de
Administração bem estabelecido.
5.1 LIMITAÇÕES DO ESTUDO
Com relação às limitações da pesquisa, destaca-se o fato das diretrizes propostas para
o modelo integrado não terem sido implementadas em nenhuma organização devido ao tempo
de duração do curso. Nos resultados do grupo focal, uma das afirmações feitas pelo grupo
reforça a necessidade de implementação das diretrizes modelo para aferir não só sua
viabilidade, mas também os resultados oriundos dessa implementação.
Outra limitação da proposta foi a aderência ao setor público. O foco no setor privado e
empresas estatais foi motivado por sua estrutura de governança corporativa. No setor público,
foram analisadas estruturas de mais de 10 ministérios, mas a falta de padrão, e, acima de tudo,
de definição do papel do Conselho de Administração em suas estruturas fez com que o foco
do trabalho tivesse que ser resumido ao setor privado e empresas estatais, descartando nesse
momento o setor público da pesquisa.
112
5.2 RECOMENDAÇÕES PARA TRABALHOS FUTUROS
As recomendações para trabalhos futuros fundamentam-se na necessidade de

implementação das diretrizes em em empresas do setor privado e estatais para aferição da
viabilidade e coleta de resultados oriundos de sua conclusão e na aderência da proposta ao
setor público brasileiro, principalmente relacionada à estrutura de governança corporativa do
setor, com a definição clara do papel do Conselho de Administração.
113
6. REFERÊNCIAS BIBLIOGRÁFICAS
ABNT. Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 38500:2009:

Governança Corporativa de Tecnologia da Informação. ABNT, 2009.
AGENCIABRASIL, Agência Brasil – Governo quer igualar investimentos públicos e

privados em tecnologia no prazo de quatro anos. Disponível em: <
http://agenciabrasil.ebc.com.br/noticia/2012-03-23/governo-quer-igualar-investimentos-
publicos-e-privados-em-tecnologia-no-prazo-de-quatro-anos >. Acesso em: 03 junho 2012.
BRASIL. Tribunal de Contas da União. Levantamento de governança de TI 2010. Brasília:

SEFTI/TCU, 2010e. Disponível em: <http://portal2.tcu.gov.br/portal/pls/portal/docs/
2056484.PDF>. Acesso em: 15 maio 2012.
CADBURY, A. Relatório Cadbury – Código de Práticas Recomendáveis. Instituto

Brasileiro de Governança Corporativa - IBGC. Disponível em: <
http://www.ibgc.org.br/Codigo.ASPX?Codcodigo=13 >. Acesso em: 03 junho 2012.
COORDENAÇÃO DE APERFEIÇOAMENTO DE PESSOAL DE NÍVEL SUPERIOR -

CAPES, Capes. Portal de Periódicos CAPES. Disponível em: <
http://www.periodicos.capes.gov.br >. Acesso em: 15 julho 2013.
PUBLIC SERVICE CORPORATE GOVERNANCE OF INFORMATION AND

COMMUNICATION TECHNOLOGY POLICY FRAMEWORK - PSCGICTPF. Public
Service and Administration: Public Service Corporate Governance of Information and
Communication Technology Policy Framework. República da África do Sul, 47p. 2013.
VAN GREMBERGEN, W.; DE HAES, S.; GULDENTOPS, E. Structures, processes and

relational mechanisms for IT governance: Strategies for information technology
governance. Hershey: Idea group publishing, 2004.
MASSON, E. T. S.; JUNIOR, E.C.M.; PEREIRA, J. N. A governança de TI autônoma na

APF. Brasília, 2013.
114
FERNANDES, Aguinaldo Aragon. Implantando a governança de TI: da estratégia a gestão

dos processos e serviços. 3 ed. Rio de Janeiro: Braspress, 2012.
GARTNER, Instituto de Pesquisas GARTNER: Investimento em TI é prioridade para os

altos executivos. Disponível em: <
http://computerworld.uol.com.br/negocios/2012/07/23/investimento-em-ti-e-prioridade-para-
os-altos-executivos-diz-gartner >. Acesso em: 30 julho 2012.
GARTNER. Instituto de Pesquisa GARTNER: Investimento mundial em TI deve subir

4,2% em 2013. Disponível em: < http://info.abril.com.br/noticias/ti/investimento-mundial-
em-ti-deve-subir-4-2-em-2013-diz-gartner-03012013-18.shl >. Acesso em: 10 fevereiro 2013.
GIL, Antonio Carlos. Como elaborar projetos de pesquisa. 5ª. ed. São Paulo:
Atlas, 2010.
HARDY, G. Using IT governance and COBIT to deliver value with IT and respond to legal,
regulatory and compliance challenges. Information Security technical report, 2006, pp. 55-
61.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA - IBGC. Código das

Melhores práticas de Governança Corporativa. 4ª. Ed. São Paulo, SP: IBGC, 2009. 73 p.
INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA - IBGC. Disponível em:

< http://www.ibgc.org.br/CodigoMelhoresPraticas.aspx > Acesso em: 20 maio 2012.
IDC, IDC Brasil. Gastos mundiais com TI devem ultrapassar US$ 2,1 trilhões em 2013.
Disponível em: < http://convergecom.com.br/tiinside/30/11/2012/gastos-mundias-com-ti-
devem-ultrapassar-us-21-trilhoes-em-2013/#.UgY--5JwrSg > Acesso em: 18 dezembro 2012.
IGOVTI. Tribunal de Contas da União: Levantamento de Governança de TI 2012. TCU,

Brasília: 2013.
115
INFOEXAME, Info Exame. Empresas desejam aumentar investimentos em TI. Disponível

em : < http://info.abril.com.br/noticias/carreira/empresas-desejam-aumentar-investimento-em-
ti-22052013-25.shl > Acesso em: 10 junho 2013
ISACA. COBIT 5: A Business Framework for the Governance and Management of

Enterprise IT. ISACA, 2012a. 94 p.
ISACA. COBIT 5: Enabling Processes. ISACA, 2012. 230 p.
ITGI. IT Governance Institute. COBIT 4.1. USA: Rolling Meadows, 2010. 212 p.
INSTITUTE OF DIRECTORS IN SOUTHERN AFRICA. King Code of Governance for

South Africa 2009. África do Sul: Institute of Directors in Southern Africa, 2009. 64 p.
JENSEN, M.; MECKLING, W. Theory of the Firm: Managerial Behavior, Agency Costs and
Ownership Structure. Journal of Financial Economics, v. 3, p. 305-360, 1976. Disponível
em:<http://papers.ssrn.com/sol3/papers.cfm?abstract_id=94043>. Acesso em: 20/09/2012.
KING, Mervyn. Governance is King! How the author of the new South African KING III
Code of Governance 2009 tries to change the tone at the top, the tune in the middle, and
the beat of the feet at the bottom of an organization. Disponível em: <
http://www.sdu.nhs.uk/documents/publications/consultations/1.3-king-governance-is-king-
final.pdf >. Acesso em: 30, nov. 2012
KING, Mervyn. Mervyn King speaks to Leadership Magazine about corporate

governance. Disponível em: < http://www.leadershiponline.co.za/articles/mervyn-king-
speaks-to-leadership-magazine-about-corporate-governance > Acesso em: 15 julho. 2013
LAURINDO, F. et al.. O papel da tecnologia da informação (TI) na estratégia das

organizações. Gestão & Produção, São Paulo, v. 8, n. 2, p 160-179, 2001.
LETHBRIDGE, Eric. Governança Corporativa. Disponível em <

http://www.bndes.gov.br/SiteBNDES/bndes/bndes_pt/Institucional/Publicacoes/
Consulta_Expressa/Setor/Governanca_Corporativa/199712_6.html>. Acesso em: 20 out. 2012
116
LUFTMAN, J.; Assessing business - IT alignment maturity. Communications of AIS, v. 4,

p. 1-49, 2000.
MAGALHÃES, Letícia V. V.. Governança Corporativa: sua evolução e a iniciativa

brasileira do novo mercado da bolsa de valores de são paulo. 2007, 144f. Tese (Mestrado
em Direito) - Faculdade de Direito Milton Campos, Nova Lima. 2007.
MINAYO, Maria Cecília de Souza. O desafio do conhecimento. São Paulo: Hucitec,1993.
MORESI, Eduardo. Metodologia da pesquisa. UCB, 2003. 108 p. Disponível em:

<http://www.inf.ufes.br/~falbo/files/MetodologiaPesquisa-Moresi2003.pdf>. Acesso em: 22
julho 2012.
MOURA, Maria Lúcia Seidl; FERREIRA, Maria Cristina. Projetos de pesquisa: elaboração,
redação e apresentação. Rio de Janeiro: EdUerj, 2005. 144 p.
PETERSON, R. Crafting information technology governance. Information Systems

Management, Fall 2004a.
ROSSETTI, J. P.. ANDRADE, A.. Governança Corporativa: Fundamentos.

Desenvolvimento e Tendências. 2ª. Ed. São Paulo: Atlas, 2006.


SILVA, Edna L.; MENEZES, Estera Muszkat. Metodologia da pesquisa e elaboração de

dissertação. 4ª. ed. Florianópolis: UFSC, 2005. 138 p. Disponível em:
<http://projetos.inf.ufsc.br/arquivos/Metodologia_de_pesquisa_e_elaboracao_de_teses_e_diss
ertacoes_4ed.pdf>. Acesso em: 22 julho 2012.
117
SILVEIRA, A. D. M. D. Governança corporativa e estrutura de propriedade:

determinantes e relação com o desempenho das empresas no Brasil. 250 f. Tese
(Doutorado em Administração). USP, São Paulo, 2004.
BRASIL. TCU. Tribunal de Contas da União – Relatório do Levantamento de Governança

de TI 2012. Disponível em: < http://www.aneel.gov.br/arquivos/PDF/igovti2012.pdf >.
Acesso em: 05 novembro 2012.
VERGARA, S. Métodos de coleta de dados no campo. São Paulo: Atlas, 2009. 98 p.
WEILL, P. Don´t just lead govern: how top-performing firms govern IT. MIS Quarterly
Executive, v. 3, n.1, 2004.
WEILL, P.; ROSS, J. IT governance: how top performers manage IT decisions rights for
superior results. Watertown: Harvard Business School Press, 2004.
WEILL, P.; ROSS, J. A matrix approach to designing IT governance. Sloan Management

Review, v. 46, n. 2, 2005.
WEILL, Peter; ROSS, Jeanne W. Governança de TI: Tecnologia da Informação.

São Paulo: M. Books do Brasil Editora Ltda., 2006.
118
7. APÊNDICE
7.1 APÊNDICE A – APRESENTAÇÃO DO GRUPO FOCAL

119
120
121
122
123

Diretrizes para Modelo Interado de Governança Corporativa E de Governança Da Tecnologia Da Informação

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Diretrizes para Modelo Interado de Governança Corporativa E de Governança Da Tecnologia Da Informação

Enviado por

Direitos autorais:

Formatos disponíveis

1

DIRETRIZES PARA MODELO INTERADO DE GOVERNANÇA

Rodrigo de Grazia Bacha Estevam

PALAVRAS-CHAVE: Governança Corporativa. Governança de Tecnologia da Informação.

KEYWORDS: Corporate Governance. IT Governance. KING III. COBIT 5. ABNT NBR

Figura 1 – Modelo de Governança – ABNT NBR ISO/IEC 38500.........................................30

Figura 2 – Matriz de Arranjo de Governança de TI..................................................................32

Figura 3 – Framework de Governança de TI (WEILL e ROSS)..............................................34

Figura 4 – Áreas de foco na Governança de TI.......................................................................35

Figura 5 – Quatro domínios inter-relacionados do COBIT......................................................36

Figura 6 – Cubo do COBIT......................................................................................................37

Figura 7 – Evolução do COBIT................................................................................................40

Figura 8 – Princípios do COBIT 5............................................................................................40

Figura 9 – Objetivo da Governança: Criação de Valor.............................................................41

Figura 10 – Visão Geral dos Objetivos em Cascata.................................................................41

Figura 11 – Habilitadores do COBIT 5.....................................................................................43

Figura 12 – Divisão de Governança e Gestão do COBIT 5......................................................44

Figura 13 – Visão Geral dos Processos do COBIT 5................................................................44

Figura 14 – Sistema de Governança Corporativa (IBGC)........................................................61

Figura 15 – KING III................................................................................................................63

Figura 16 – Camadas de Governança e a inter-relação entre as diferentes estruturas e padrões

Figura 17 – Estrutura de supervisão do governo sul africano para a implantação do

Figura 18 – Funcionamento do Sistema de Governança (PSCGICTPF)..................................73

Tabela 1 - Pesquisa com palavras-chave simples.....................................................................22

Tabela 2 – Pesquisa com palavras-chave compostas................................................................22

Gráfico 1 – Distribuição das Instituições por Estágios do iGovTI...........................................77

Gráfico 2 – Aderência dos Resultados aos Princípios do KING III.........................................80

Quadro 1 – Princípios Específicos da Governança de TIC Adotados a partir da Inter-relação

Quadro 2 - Percentual de Auditorias Realizadas nos Órgãos (iGovTI)....................................78

Quadro 3 - Implantação de Governança de TI no Órgão/Empresa...........................................79

Quadro 4 - Utilização de Governança de TI no Órgão/Empresa..............................................79

Quadro 5 – Limitações de grupos focais e ações para mitigá-las.............................................85

Quadro 6 – Análise dos Frameworks e/ou Normas de Governança de TI abordados na

Quadro 7 - Análise dos Códigos de Governança Corporativa Abordados na Pesquisa com

Quadro 8 – Análise do Modelo Integrado de Governança Corporativa e de Governança da TI

Quadro 9 – Relação entre KING III e COBIT 5.....................................................................103

Quadro 10 – Perfil profissional dos participantes do grupo focal..........................................107

LISTA DE SIGLAS E ABREVIATURAS

ABNT NBR ISO/IEC 38500:2009 - Norma para Governança de TI

Technology Policy Framework

3.1 CLASSIFICAÇÃO DA PESQUISA............................................................................81

Segundo Magalhães (2007), a governança corporativa (GC) congrega um conjunto de

1.1 REVISÃO DA LITERATURA

Tabela 1 – Pesquisa com palavras-chave simples

Tabela 2 – Pesquisa com palavras-chave compostas

Com relação às pesquisas acerca da Governança de TI, identificou-se uma ênfase na

1.2 FORMULAÇÃO DO PROBLEMA

Nenhuma das pesquisas realizadas identificaram uma integração entre a governança

1.3 QUESTÃO DE PESQUISA

Baseado nas reflexões do problema de pesquisa, estabelece-se a seguinte questão: É

1.4 RELEVÂNCIA DO ESTUDO

1.5.1 OBJETIVO GERAL

Elaborar diretrizes para a criação de um modelo de governança único que integre a

1.5.2 OBJETIVOS ESPECÍFICOS

- Identificar códigos de Governança Corporativa que contemplem a Governança de

2.1 GOVERNANÇA DE TECNOLOGIA DA INFORMAÇÃO

empresas de maior desempenho auferem proativamente o valor de TI pela clareza

2.1.1 NORMA ABNT NBR ISO/IEC 38500

organizações, incluindo empresas públicas e privadas de qualquer porte, entidades

equilíbrio apropriado entre benefícios, oportunidades, custos e riscos do uso de TI, a

Figura 1 – Modelo de Governança da ABNT NBR ISO/IEC 38500

Fonte: ABNT (2009)

O modelo é divido em três elementos chave: Avaliar, Direcionar e Monitorar, descritos