Motivos para Instituir a Governança de TI

• Manter as estratégias de TI alinhadas com as estratégias de negócio

• Aumentar a capacidade e agilidade no desenvolvimento de novos modelos de

negócios ou ajuste nos modelos atuais

• Explicitar a relação entre o aumento dos custos de TI e o aumento do valor da

informação

• Manter sob controle os riscos envolvidos nos negócios

• Explicitar a importância de TI na continuidade dos negócios

• Medir e melhorar continuamente a performance de TI

Processos de TI

– Indicadores Chaves dos Objetivos (KGI)

• Medidas – após a ocorrência – se um processo de TI atingiu os

objetivos de negócio, normalmente expresso em termos de critérios
de informação.

– Disponibilidade da informação no tempo adequado.

– Riscos de integridade e confidencialidade.

– Eficiência de custos operacionais.

– Confiabilidade, efetividade e atendimento aos requerimentos.

– Indicadores Chaves de Performance (KPI)

• Medidas que identificam se um processo está sendo bem executado

ou não. Identificam a tendência se o objetivo será alcançado.

Governança de TI
(Princípios segundo ISACA, ITGI)

• Alinhamento Estratégico;

• Entrega de Valor;

• Gestão de Recursos;

• Gestão de Riscos;

• Mensuração de Desempenho

Governança de TI
(Princípios aplicáveis segundo ISO 38500)

• Responsabilidade

• Estratégia

• Aquisições
 • Desempenho

• Conformidade

• Comportamento Humano

Governança de TI
(Princípios aplicáveis segundo ISO 38500)

• Responsabilidade: Os indivíduos e grupos na organização devem compreender e

aceitar as suas responsabilidades no fornecimento e na procura de TI, garantindo a sua
conduta ética.

• Estratégia: A estratégia de negócio da organização tem em conta as capacidades de TI

atuais e futuras. Esta estratégia trata da abordagem da organização para o contexto de
Governança.

• Aquisições: As aquisições de TI são feitas com análise apropriada e continuada, com

decisões claras e transparentes. Equilibrando os benefícios, oportunidades, custos e
riscos, tanto no curto como no longo prazo.

• Desempenho: Disponibilização de serviços e quanto aos níveis e qualidade dos

serviços necessários para responder aos requisitos do negócio. O desempenho precisa
ser medido e monitorado por meio de metas e métricas que viabilizem a gestão avaliar
os resultados que estão sendo obtidos e a tomada de ações corretivas necessárias a
eficácia do processo de governança.

• Conformidade: A TI encontra-se em conformidade com a legislação e regulamentos

aplicáveis, buscando uma postura transparente e adequada para com o mercado, a
sociedade e a sustentabilidade.

• Comportamento Humano: As políticas, práticas e decisões na TI revela respeito pelo

Comportamento Humano, incluindo as necessidades atuais e a evolução das
necessidades de todas as “pessoas no processo”.Enfatizando a importância das
pessoas para que as mudanças necessárias adoção da Governança de TI sejam
alcançadas.

Modelo de governança de TI

Desafio de TI:

• Promover de forma eficaz e eficiente o seu alinhamento com o negócio (estratégias,

diretrizes e promoção de valor).

Prioridades de TI, gerar e manter:

• Soluções estratégicas;

• Projetos de aplicativos e soluções;

• Projetos de manutenção de ativos;

 • Projetos de processo, organização e serviços.

• Geração de portfólio de TI.

Alinhamento estratégico de TI:

[...] é o processo de transformar a estratégia do negócio em estratégias e ações de TI

que garantam que os objetivos de negócio sejam apoiados.

(FERNANDES; ABREU, 2008, p. 36).

Portfólio de TI:

• Direcionar o relacionamento com os clientes (internos e externos) .

• Adequar o relacionamento com parceiros e fornecedores.

• Garantir as operações de serviços de TI.

• Gestão de desempenho.

Governança de TI
(Princípios segundo ISACA, ITGI)

 Alinhamento Estratégico;
 Entrega de Valor;
 Gestão de Recursos;
 Gestão de Riscos;
 Mensuração de Desempenho.

Sarbanes-Oxley – SOX: sumarizado

Aderências:
 Avaliar a efetividade do sistema de controle sobre a
emissão derelatórios financeiros;
 Comunicar as deficiências dos sistemas de controle
interno que possam afetar a habilidade da
organização em registrar, processar, sumerizar e
comunicar informações financeiras;
  A administração tem a responsabilidade de estabelecer e
manter uma estrutura adequada de controle interno e
procedimentos para relatórios financeiros;
 A administração deve avaliar a efetividade do sistema de
controle interno sobre relatórios financeiros;
 Realizar auditoria externa específica sobre a avaliação interna
da efetividade do sistema de controle interno feita pela
administração.

Princípios para atender os requisitos

da lei:
 O conteúdo da informação deve ser apropriado;
 A informação deve estar disponível quando for necessária;
 A informação é atual ou pelo menos a última disponível;
 Os dados e as informações estão corretos;
 A informação é acessível aos usuários interessados;
 Há um sistema de controle interno sobre relatórios financeiros que garante
todos os demais itens anteriores.
o

Acordo de Basiléia II
Estipula requisitos fiduciários mínimos para as instituições financeiras, em exposição
dos riscos de créditos e operacionais
Seus 3 pilares, estabelecem:

 regras e procedimentos para o cálculo dos requisitos de capital, sobre os

riscos de crédito e operacionais, com abordagens distintas de avaliação e
mitigação de riscos.
 regras para que os Bancos Centrais de cada país executem auditorias nas
instituições financeiras, visando avaliar a aplicação dos métodos de gestão de
risco, a avaliação e mitigação de riscos de crédito e operacionais, e a emissão
de informações ao mercado sobre a sua exposição de risco.
 regras à comunicação ao mercado, dos requisitos mínimos de capital, face os
riscos e aos métodos e resultados de avaliações de riscos, conforme o 1º
pilar.
Principais impactos e riscos:
 Capacidade de armazenamento e mineração de dados dos clientes;
 Integridade das informações;
 Segurança da informação;
 Contingenciamento para operações;
 Planejamento da capacidade;
 Planejamento de recuperação de desastres;
 Integridade do processo de emissão de relatórios.

Acordo de Basiléia III (Basel Comitee, 2010)

Objetivos do novo acordo. (Comitê do G20), destacam-se:

 Aumentar a qualidade do capital disponível de modo a assegurar que os

bancos lidem melhor com as perdas;
 Diversificar a cobertura do risco, incorporando as atividades de trading,
securitizações, exposições fora do balanço e derivativos;
 Introduzir uma taxa de alavancagem para o sistema e medidas sobre
requerimentos mínimos de liquidez, tanto para o curto quanto para o longo
prazo;
 O comitê propõe práticas para a gestão de liquidez, realização dos testes de
estresse, governança corporativa e práticas de avaliação de ativos.
 Preocupação com a gestão e concentração de risco além da promoção de
incentivos para que os bancos tenham uma melhor administração do risco e
retorno orientados para o longo prazo.

Banco Central do
Brasil (BCB)
resolução 3.380 de 2006.
– Determina que as instituições financeiras e demais instituições autorizadas a funcionar
pelo BCB implementem sua própria estrutura de gerenciamento de risco operacional.

– Incluindo a falhas em sistemas e TI como risco operacional.

– Deve-se identificar, avaliar, monitorar, controlar e mitigar os riscos da instituição.

Banco Central do
Brasil (BCB)
Resolução 4.557 de 2017.
A Resolução BACEN 4.557 revoga os dispositivos anteriores (Resoluções do BACEN
3380/2006 entre outras) e apresenta como principal alteração a exigência de que os
riscos de crédito, liquidez, operacional, de variação de taxas de juros e de mercado,
além da estrutura de capital, sejam gerenciados de forma contínua e integrada,
exigindo que as instituições financeiras concentrem tais atividades em um único
Chief Risk Office (CRO).
No contexto brasileiro:
 Conselho Monetário Nacional (CMN) aprovou a Resolução 4557/2017 (BACEN,
2017b), que dispõe:
 sobre o gerenciamento integrado de riscos e de capital pelas instituições
financeiras e demais instituições autorizadas a funcionar pelo Banco Central do
Brasil.
 Estabelece ainda que as instituições devem implementar a estrutura de
gerenciamento contínuo e integrado de riscos e de capital, sendo facultada às
instituições do sistema cooperativo de crédito.

Governança de TI

Governança de TI diz respeito à maneira como são tomadas as decisões

relacionadas à TI em uma organização e aos mecanismos implementados
para assegurar a sua efetividade no alcance dos resultados esperados
pelos stakeholders.
Principais Decisões da Governança de TI
Weill e Ross (2006) contextualizam a avaliação de investimentos em TI
como uma das cinco decisões interrelacionadas que devem ser tomadas
no âmbito da governança de TI.

Impactos da TI sobre as
organizações
– Apoio administrativo
predominante no apoio administrativo com sistemas de
informação ligados, principalmente, às rotinas
administrativas e de controles, com pouca interação
direta com os produtos e serviços da organização.

– Suporte ao negócio
com seus sistemas de informação ligados nas operações
e uma grande parte das atividades de suporte ao
negócio.

– Estruturação do negócio
a TI passa a ser o meio principal na articulação na maior
parte dos processos de negócios

– Fusão ao negócio
a TI tem papel integrante do negócio, além de
estruturar as operações, atua na criação dos produtos e
serviços.

Alinhamento estratégico

 Posturas quanto à inovação tecnológica

 O paradoxo da inovação tecnológica
 Riscos inerentes às diferentes posturas
 Posturas híbridas
 Caminhos alternativos
Estratégias de negócio e de TI
 O conceito de tecnologia de informação (TI), trata muitos aspectos além
de recursos tecnológicos (computadores, softwares e tecnologias de
comunicação).
 Inclusive não trata apenas da estrutura voltada às atividades ligadas à
tecnologia em uma organização de forma eficaz e eficiente, mas
propõem atender às necessidades dos usuários dentro dos níveis de
serviço acordados.

Investimentos em TI nas
organizações.
 A partir da valorização das informações que suportam os processos decisórios nas
organizações, desde seu valor operacional ao seu valor estratégico da TI, gerando
assim estímulos na consolidação de investir em TI, propiciando a geração de novas
estratégias e geração de valor para o negócio.

Três dimensões dos

investimentos em TI
 tecnologia, pessoas e gestão.
 Tecnologia diz respeito à escolha adequada do composto de recursos de hardware e
software que serão utilizados pela organização.
 tecnologia, pessoas e gestão.
 Investimentos em tecnologia (hardware, software, consultoria etc.) precisam ser
acompanhados de investimento nas pessoas que conviverão com a inovação. Sem isto,
pode-se facilmente cair num contexto em que, por falta de capacitação, as pessoas
não usem os novos recursos em sua plenitude.
 tecnologia, pessoas e gestão.
 Investimentos em tecnologia (hardware, software, consultoria etc.) precisam ser
acompanhados de investimento nas pessoas que conviverão com a inovação. Sem isto,
pode-se facilmente cair num contexto em que, por falta de capacitação, as pessoas
não usem os novos recursos em sua plenitude.
Modelo de Excelência da Gestão
Os 8 Fundamentos da Excelência, na 21ª edição do MEG, são: 
• 1. Pensamento sistêmico; 
• 2. Aprendizado organizacional e inovação; 
• 3. Liderança transformadora; 
• 4. Compromisso com as partes interessadas;
• 5. Adaptabilidade;
• 6. Desenvolvimento sustentável;
• 7. Orientação por processos;
• 8. Geração de valor.
Governança de TI

 “Governança de TI é a capacidade organizacional exercida pela

Diretoria, Gerência Executiva e Gerência de TI para controlar a
formulação e implementação da estratégia de TI e assegurar a fusão
do negócio e TI.”
(GREMBERGER et. al., 2004)
 "um sistema pelo qual o uso atual e futuro da TI são dirigidos e
controlados"
(ISO/IEC 38500 ABNT 2009)

 “Governança de TI pode ser traduzida como a administração da

tecnologia da informação de forma a garantir o total controle sob os
seus resultados que devem estar alinhados aos objetivos do
negócio.”
Ou seja: é garantir que tudo que a TI faz está sob controle e alinhado às
expectativas do negócio, contribuindo com os objetivos da empresa /
cliente - é alcançado, isso é que conhecemos por Alinhamento
Estratégico. 
(Portal IGSI, 2019)

Melhores Práticas (Frameworks)

• O Control Objectives for Information and related Technology
(CobiT®) fornece um modelo completo que auxilia as empresas a
atingir os seus objetivos para a governança e gestão da TI
corporativa.
• Ajuda as empresas a criar um valor ideal de TI, manter um equilíbrio
entre obter benefícios e otimizar os níveis derisco e utilização de
recursos.
• COBIT 5® permite que a TI seja governada e gerida deforma holística
com o negócio fim-a-fim completo e nas áreas funcionais de
responsabilidade, considerando os interesses relacionados a TI das
partes interessadas internas e externas.
CobiT
Objetivos de Controle para Informações e Tecnologias relacionadas
O COBIT 5 foi construído sobre estes pensamentos.

“Habilitadores” são definidos como fatores que individualmente e

coletivamente influenciam a forma de como algo irá funcionar – neste
caso, a governança e o gerenciamento sobre a TI.

• O COBIT 5 descreve sete categorias de habilitadores, dos quais os

processos, as estruturas organizacionais e a conduta, ética e
comportamento estão intimamente relacionados ao conceito de
sistemas organizacionais.
• Complementando orientação aos sistemas organizacionais com
outras importantes habilidades, que incluem: princípios, políticas e
frameworks, informação, serviços, infraestrutura e aplicações,
pessoas, habilidades e competências.
• Focado em governança corporativa de TI
• Deixa clara a distinção entre governança e gestão
• Fundamentado em 5 princípios de governança corporativa de TI
• Baseado em um conjunto holístico de 7 enablers (ou habilitadores)
 • Possui 37 processos de TI divididos em domínios de processo de
governança e de gestão.
• O COBIT 5 ajuda as organizações a criar valor por meio da TI.

1º Princípio: Atender às Necessidades das Partes Interessadas.

Organizações existem para criar valor para suas Partes
interessadas mantendo o equilíbrio entre a realização de
benefícios e a otimização do risco e uso dos recursos.
O COBIT 5 fornece todos os processos necessários e demais
habilitadores para apoiar a criação de valor para a organização com o
uso de TI.
Como cada organização tem objetivos diferentes, o COBIT 5 pode
ser personalizado de forma a adequá-lo por meio da cascata de
objetivos, ou seja, traduzindo os objetivos corporativos em alto
nível em objetivos de TI específicos e gerenciáveis, mapeando-os
em práticas e processos específicos.
2º Princípio: Cobrir a Organização de Ponta a Ponta
O COBIT 5 integra a governança corporativa de TI organização à
governança corporativa:
Cobre todas as funções e processos corporativos;
O COBIT 5 não se concentra somente na ‘função de TI’, mas considera a
TI e tecnologias relacionadas como ativos que devem ser tratados
como qualquer outro ativo por todos na organização.
Considera todos os habilitadores de governança e gestão de TI
aplicáveis em toda a organização, de ponta a ponta, ou seja,
incluindo tudo e todos - interna e externamente - que forem
considerados relevantes para a governança e gestão das
informações e de TI da organização.
3º Princípio: Aplicar um Modelo Único Integrado - Há muitas normas e
boas práticas relacionadas a TI, cada qual provê orientações para um
conjunto específico de atividades de TI.
O COBIT 5 se alinha a outros padrões e modelos importantes em um
alto nível e, portanto, pode servir como o um modelo unificado para a
governança e gestão de TI da organização.
 4º Princípio: Permitir uma Abordagem Holística
Governança e gestão eficiente e eficaz de TI da organização requer
uma abordagem holística, levando em conta seus diversos
componentes interligados.
O COBIT 5 define um conjunto de habilitadores para apoiar a
implementação de um sistema abrangente de gestão e
governança de TI da organização.
Habilitadores são geralmente definidos como qualquer coisa que
possa ajudar a atingir os objetivos corporativos.
4º Princípio: Permitir uma Abordagem Holística
O modelo do COBIT 5 define sete categorias de habilitadores:
Princípios, Políticas e Modelos
Processos
Estruturas Organizacionais
Cultura, Ética e Comportamento
Informação
Serviços, Infraestrutura e Aplicativos
Pessoas, Habilidades e Competências
5º Princípio: Distinguir a Governança da Gestão
O modelo do COBIT 5 faz uma clara distinção entre governança e gestão.
Essas duas disciplinas compreendem diferentes tipos de atividades,
exigem modelos organizacionais diferenciadas e servem a propósitos
diferentes.