Governança de TI

PROFA MARIA CRISTINA ARANDA

 Governança: ato de governar
Governança corporativa: é o
conjunto de processos,
regulamentos, decisões, costumes,
ideias que mostram a maneira pela
qual aquela organização é dirigida
ou administrada.
Governança de TI: conjunto de
práticas, padrões assumidos por
executivos, gestores, técnicos e
usuários de TI de uma organização,
com o objetivo de garantir controles
efetivos, ampliar os processos de
segurança e desempenho.
 Governança

Governança corporativa, provê: Governança de TI, provê:

• Eficiência e eficácia operacional • Alinhamento estratégico

• Confiabilidade nas • Entrega de valor

demonstrações financeiras • Gestão de riscos
• Conformidade com leis e • Gestão de recursos
regulamentos • Gestão de desempenho
• Gestão de riscos corporativos
São implementadas com auxílio de normas, modelos e padrões
Principais
modelos de
melhores
práticas
Fatores que motivam as empresas a reverem seu
atuais modelos de Gestão de TI
• Complexidade cada vez maior da tecnologia
• Crescente dependência de TI
• Pressão por redução de custos
• Maior flexibilidade e agilidade
• Responsabilidade legal (civil e criminal)
• Exigência de transparência pelos acionistas e pelo mercado
• Mudança do perfil da concorrência
• Aumento das ameaças e vulnerabilidades em TI
O curso responderá:
• O que é GTI (Governança de TI)?
• Como alinhar a TI ao negócio?
• Quais as melhores práticas que se adaptam à uma determinada empresa?
• Como as melhores práticas se relacionam?
• Quais os benefícios das melhores práticas?
• O que exigir dos fornecedores em termos de melhores práticas?
• Como implantar as melhores práticas?
• Como gerenciar a GTI?
Para a ISACA
• “Governança de TI é de responsabilidade dos executivos e da alta direção,
consistindo em aspectos de liderança, estrutura organizacional e processos que
garantam que a área de TI da organização suporte e aprimore os objetivos e as
estratégias da organização.”

ISACA é o acrônimo para Information Systems Audit and Control Association,

uma associação internacional que suporta e patrocina o desenvolvimento de
metodologias e certificações para o desempenho das atividades de auditoria e
controle em sistemas de informação
Para o ITGI
• O ITGI (2003), refere-se à GTI como sendo um subconjunto da governança
corporativa.

ITGI é o acrônimo para Information Technology Governance Institute, fundado

em 1998 pela ISACA.
Para a RNP – Escola Superior de Redes
• “A Governança em TI está relacionada ao desenvolvimento de um conjunto
estruturado de competências e habilidades estratégicas para profissionais de TI.
Assim, são responsáveis pelo planejamento, implantação, controle e
monitoramento de programas e projetos de governança. Portanto, requisito
fundamental para as organizações, do ponto de vista de aspectos operacionais
e de implicações legais.”
No alinhamento estratégico
• A GTI ganha força no atual cenário de competitividade mundial, onde cada vez
mais é necessário a adoção de técnicas de TI para atingir os objetivos
estratégicos.
• O alinhamento estratégico dos negócios de TI deve, portanto ser utilizado como
ferramenta de gestão. O alinhamento ocorre a partir da integração dos
planejamentos empresariais (PEE) e de TI (PETI), cuja missão, visão, objetivos
estratégicos, táticos e operacionais são suportados pelos planos de negócio.
Portanto a GTI:
• Busca o compartilhamento de decisões de TI com os demais dirigentes da
organização
• Estabelece regras
• Auxilia a organização e os processos que nortearão o uso de TI pelos usuários,
departamentos, divisões de negócios além de fornecedores e clientes
• Determina como a TI deve prover os serviços para a empresa
Portanto a GTI:
• Deve garantir o alinhamento de TI ao negócio
• Garante a continuidade do negócio contra interrupções e falhas
• Garante o alinhamento de TI com os marcos reguladores
Fatores
motivadores
para
Governança de
TI
 • Novos entrantes no mercado (competição)
• Surgimento de produtos e serviços substitutos

Fatores • Globalização (novos concorrentes, menor custo)

motivadores • Barganha de fornecedores e clientes

para • Ciclo de vida curto dos produtos e serviços

Governança • Novas ameaças na economia internacional

de TI: • Clientes mais exigentes e conscientes

Ambiente de • Exigência transparência nos negócios

negócios • Diversidade dos acionistas

• Maior dinamismo nos negócios de TI
• Custo Brasil muito alto
 • Integração das cadeias de suprimentos através de SCM
• Integração entre gestão da empresa e seu chão de fábrica
Fatores (ERP)
motivadores • Padronização de seus aplicativos

para • Integração na comunicação de dados

governança • Integração dos processos de desenvolvimento de produtos

com os processos de manufatura
de TI: • Processos sofisticados de gestão de clientes através de
Integrações CRM
tecnológicas • Integração de gestão estratégica, tática e operacional
através de aplicações de DW, DM e inteligência
organizacional
Fatores
motivadores
• Riscos diários: afetam as operações da empresa
para
• Envolve todos os níveis da organização na gestão
governança
da Segurança da Informação
de TI:
Segurança da
informação
Fatores
motivadores
para • Mais operações e estratégias corporativas
dependem de TI
governança
• TI é estratégica para o negócio
de TI:
Dependência
do negócio
em relação à
TI
Fatores
motivadores
para • Sarbannes-Oxley Act
governança
• Acordo de Basiléia II
de TI:
• Resolução 3380 do Bacen
Marcos de
regulação
Fatores
motivadores
para • Projetos dentro prazo

governança • Atendimento aos requisitos do negócio

de TI: • Disponibilidade das aplicações
TI como • Postura e organização orientada a prestação de
prestadora de serviços
serviços
GTI eficaz
Para Weill e Ross (2006), três questões referentes à tomada de decisão devem ser
tratadas para uma GTI eficaz:
• Quem deve tomar as decisões?
• Quais decisões devem ser tomadas para garantir a gestão e o uso eficaz da TI?
• Como essas decisões serão tomadas e monitoradas?
Weill e Ross propuseram uma matriz que aborda questões a respeito da
tomada de decisão, a Matriz de Arranjo de GTI.
 1 – Decisões sobre os Princípios de TI que são declarações de alto nível
sobre como a TI é utilizada no negócio, que se tornam parte do ambiente
organizacional e podem ser discutidas, debatidas, apoiadas, recusadas e
aprimoradas. Além de definir o comportamento desejável tanto para os
profissionais como para os usuários de TI
2 – Decisões sobre Arquitetura de TI, é a organização lógica dos dados,
aplicações e infraestruturas, definida a partir de um conjunto de políticas,
Matriz de relacionamentos e opções técnicas adotadas para obter a padronização e a
integração técnicas e de negócio desejadas. As decisões sobre arquitetura
Arranjo de são muito importantes para uma gestão e utilização eficazes da TI;
GTI 3 – Decisões sobre Infraestrutura de TI, são os serviços de TI
coordenados de maneira centralizada e compartilhados, que provêm a
base para a capacidade de TI da organização. Possuir a infraestrutura
adequada significa fornecer serviços com um bom custo/benefício que
permitam à organização adotar de uma forma mais rápida novas
aplicações e negócios;
 4 – Decisões sobre Necessidades de aplicações de negócio são as
especificações da necessidade de negócio de aplicações de TI adquiridas
no mercado ou desenvolvidas internamente;
5 – Decisões sobre Investimentos e priorização de TI são as decisões
Matriz de sobre quanto e onde investir em TI, incluindo a aprovação de projetos e
as técnicas de justificação. Essas decisões envolvem normalmente três
Arranjo de dilemas: quanto se deve gastar, em que gastar e como reconciliar as
GTI necessidades de diferentes grupos de interesse.

Essas cinco decisões relacionam-se para resultar em uma governança de

TI eficaz, pois cada uma representa aspectos importantes que devem ser
observadas dentro da TI.
Na Matriz de Arranjo de GTI as decisões (colunas) são cruzadas com arquétipos
(linhas) que descrevem combinações de pessoas que possuem os direitos
decisórios ou contribuem para a tomada de decisão de TI.

• Monarquia de Negócios: altos gerentes;

• Monarquia de TI: Os especialistas em TI;
• Feudalismos: Cada unidade de negócio toma decisões
independentes;
• Federalismo: Combinação entre centro corporativo e as
unidades de negócios, com ou sem envolvimento pessoal 
de TI;
• Duopólio de TI: O pessoal de TI e outras pessoas, como
alto gerentes, lideres das unidade de negócios;
• Anarquia: Tomada de decisões individual ou por
pequenos grupos de pessoas de modo isolado.
Ciclo da GTI
 • Alinhamento estratégico e Compliance: que refere-se ao
planejamento estratégico da TI que deve levar em consideração os
objetivos estratégicos da instituição e Compliance, que significa
cumprir, executar, estar em conformidade com as leis os regulamentos
Ciclo da GTI internos e externos e os princípios corporativos.
• Decisão, compromisso, priorização e alocação de recursos: é a
etapa que trata da tomada de decisão em relação à TI: a arquitetura de
TI, serviços de infraestrutura, investimentos, bem como a definição de
prioridades de projetos e serviços.
• Estrutura, processos, operação e gestão: refere-se a estrutura
organizacional e funcional da TI, onde são definidas as operações de
sistemas, infraestrutura, suporte técnico e segurança da informação.
• Medição do desempenho: é a ultima etapa e trata da coleta e geração
de indicadores de resultados de processos, produtos e serviços de TI
para determinar a sua contribuição para as estratégias e objetivos do
negócio.
 • Para atingir seus objetivos estratégicos de curto, médio e longo
prazo, toda organização precisa de informação. Para gerar,
armazenar, acessar, analisar e gerenciar a informação é
Planejamento utilizada a TI, que abrange os métodos, o software e a
e infraestrutura que suporta o uso de sistemas de informação.

alinhamento • Alinhamento estratégico: é uma condição na qual estruturas

organizacionais, sistemas de informação, habilidades
estratégico de humanas, recursos e incentivos provem ser suporte à
TI estratégia de negócio.
• Planejamento e alinhamento estratégico de TI são parte
fundamental da implementação da GTI e são complementados
pelas práticas e metodologias de TI.
Planejamento Para se fazer análise estratégica de TI, necessita-se:
e
alinhamento 1. Alinhamento estratégico
estratégico de 2. Requisitos das estratégias empresarias
TI 3. Identificar os requisitos dos FCS (Fator Chave
de Sucesso) para TI
 • O alinhamento estratégico do negócio é um processo construído passo a
passo com objetivos definidos e produtos finais que podem ser
implementados e avaliados. É um processo pelo qual olhamos para o
futuro, criamos uma imagem desse futuro com base nas tendências atuais
e influenciamos as forças que nos afetarão assumindo o comando dos
Planejamento acontecimentos e garantindo que estamos indo da forma mais efetiva para
e onde desejamos chegar.

alinhamento • O planejamento estratégico tem normalmente de um a cinco anos de

antecedência. Ele apresenta um curso definido com base em indicadores
estratégico de fortes de como será o destino e o ambiente de negócios nesses anos.
TI • O alinhamento estratégico, revela mudanças que precisam ser
implementadas. Algumas dessas percepções definem oportunidades
potenciais e pontuam claramente ameaças, ampliando a visão para gestão
do negócio. Examinar as possibilidades e formular estratégias para
enfrentar os desafios pode ajudar a organização a aproveitar ao máximo as
oportunidades e a neutralizar ou minimizar as ameaças. Em suma,
podemos assumir o controle do futuro. Podemos usar nossas energias e
recursos de forma mais eficaz e conduzir nossos negócios com mais
sucesso, apesar das mudanças dos cenários em que estamos inseridos.
 Planejamento e alinhamento estratégico de TI

• O alinhamento estratégico de TI é
BIDIRECIONAL:

Estratégia do negócio

Estratégia de TI
FCS - Fator • O sucesso é a base de qualquer negócio. Um dos
Chave fatores que mais contribuíram para esse sucesso
ocorre quando a empresa é capaz de mostrar que
(Crítico) de seu negócio é útil para seus clientes.
Sucesso
• Os FCS ajudam a: obter e manter clientes, fazer
mais negócios e melhores
• Para obter o FCS, a ferramenta dos 5Rs é
revolucionária e de grande valia
 1. Relevância: fonte de benefícios e soluções para o cliente. “Encontrar
os produtos e serviços que o cliente quer”

2. Reconhecimento: produzir um serviço/produto com as

características que levam o cliente a comprar de você e não de seus
Explicando os concorrentes. “Ser único ou diferente para o cliente”

5R’s 3. Receptividade: receba esse cliente da melhor maneira possível, trate-o

como verdadeiro anfitrião. Busque sempre conhecer seu cliente para
ofertar o melhor atendimento

4. Responsividade: tem o significado de "que envolve resposta". Quantos

vendedores dizem que vão ligar tal dia e em “x” horas para o ciente e não
retorna? O cliente adora acompanhar seus processos e se manter
informado, portanto, gere respostas ao seu cliente de maneira continua,
isso gera confiabilidade.

5. Relacionamento: cultive o relacionamento, faça do cliente um cliente para

toda a vida. Transforme a primeira compra em compras sucessivas,
estabeleça um relacionamento comercial duradouro com o seu cliente. A
venda é o inicio (ou permanência) de uma história.
Exemplos de FCS
• Atendimento • Equipamentos disponíveis.
• Desenvolvimento de habilidades na área de serviços • Relacionamento com os fornecedores.
• Melhoria de imagem junto à comunidade • Expertise no controle de custos.
• Desenvolvimento de alianças estratégicas
• Localização (ponto).
• Reputação de solidez financeira.
• Linhas de produtos e serviços.
• Qualificação da administração.
• Expertise nos canais de distribuição e logística.
• Conhecimento do mercado.
• Expertise em campanhas promocionais.
• Imagem com os stakeholders.
• Etc.
 •  Indústria automobilística: estilo do veículo, economia de
combustível, atendimento à legislação ambiental, rede de
distribuição eficiente, controle sobre custos de produção.
Exemplos • Indústria de informática: capacidade de inovação, qualidade
nas vendas e na literatura do usuário, facilidade de utilização dos
específicos de produtos.
FCS • Indústria alimentícia: eficácia na propaganda, eficácia na
distribuição de produtos, capacidade de inovação dos produtos.
• Empresas de treinamento: instrutores de competência
reconhecida, qualidade e tamanho da base de clientes e de
prospects, identificação de temas atuais e relevantes, imagem
reconhecida no mercado.
• Empresas de alta tecnologia: capacitação gerencial para atuar
em ambientes competitivos, capacidade de inovação, marketing
tecnológico, integração com a comunidade científica e
tecnológica.
• Empresas de e-com: ??????????
Regulamentações
de Compliance
 • Compliance é uma palavra da língua inglesa
cuja tradução é conformidade. O termo advém
do verbo “to comply”, que significa obedecer,
Compliance cumprir, agir de acordo com uma regra.
• Quando o termo é relacionado ao mundo
corporativo, ele diz respeito à conformidade de
uma empresa com as leis e normas.
•  Existem obrigações ambientais, trabalhistas,
tributárias e regulatórias, além de questões
legais e éticas envolvendo a concorrência.
• E ainda os regulamentos internos da empresa,
que existem para serem cumpridos.
 • Um programa de compliance consiste na organização
interna de uma empresa para cumprir com todos os
requisitos que implicam em “estar em compliance”.
O que é • São mecanismos e procedimentos internos que
incluem a criação de normas, fiscalização, auditoria,
programa de incentivo à denúncias de irregularidades, aplicação do
Compliance? código de conduta e promoção de campanhas de
comunicação interna sobre esses tópicos.
• É um trabalho constante, que deve ser feito mesmo
quando não há um histórico de condutas
inapropriadas dos colaboradores da organização.
• Porque o programa de compliance é preventivo, existe
para evitar que os problemas aconteçam, não para
remediá-los.
 • Em 2013, foi sancionada a Lei Nº 12.846, que
dispõe sobre a “responsabilização administrativa
e civil de pessoas jurídicas pela prática de atos
Sistema de contra a administração pública, nacional ou
Compliance é estrangeira”.
obrigatório? • Ela é conhecida também como Lei
Anticorrupção. A novidade é que, dessa vez, não
aborda a corrupção no trabalho de governantes
eleitos e servidores públicos, mas sim das
empresas.
• A lei estabelece punições às organizações que
lesam a administração pública, como prometer
vantagem indevida a um agente público ou
fraudar uma licitação.
 • A lei NÃO o torna obrigatório. Porém, com ela, grandes
corporações que não adotam um programa do tipo
estão correndo grandes riscos.
Sistema de • O que acontece é que situações nas quais os interesses
compliance é da companhia esbarram em regulações do poder
público são muito frequentes.
obrigatório? • Após a aprovação da lei, embora não seja obrigatório,
grandes empresas não têm muita escolha: o sistema de
compliance é essencial para a sua própria segurança.
• Em alguns estados, por outro lado, adotar um programa
de compliance é obrigatório para que a empresa possa
celebrar determinados tipos de contrato com a
administração pública:  Lei Nº 7.753/2017 no Rio de
Janeiro e Lei Nº 6.112/2018 no Distrito Federal, que
usam o termo “programa de integridade”.
Principais • Melhora a imagem da empresa
benefícios • Melhora a satisfação dos funcionários
• Melhora a produtividade
• Melhora a retenção e atração de talentos
• Facilidade na captação de recursos (parceiros)
• Menos riscos jurídicos e financeiros
O que compliance tem a ver com TI?
• Dependendo do negócio existe uma regulamentação, norma ou leis a serem seguidas.
Por exemplo, empresas de telecomunicações no Brasil são obrigadas a seguir a
regulamentação da Anatel.
• Os bancos seguem normas do Banco Central e empresas com ações na Bovespa
seguem regulamento da CMV – Comissão de Valores Imobiliários. Temos
também normativas do Governo Federal, normas ISO, PCI DSS, Código Civil, Código de
Defesa do Consumidor, entre outras.
• Compliance é muito mais do que seguir regras. Além disso, pode trazer muitos ganhos,
como credibilidade diante das partes relacionadas e novas oportunidades no mercado.
Marcos regulatórios e GTI
• A GTI além de alinhar a TI com o negócio, também deve atender as estratégias em
conformidade com os marcos de regulamentação.
• Os marcos regulatórios mais presentes e influentes em TI são o Sarbanes-Oxley Act, o
Acordo da Basiléia II e a Resolução 3380 do Banco Central do Brasil.
 Sarbanes-Oxley Act (SOX, SARBOX, SOA)
• Atinge empresas de capital aberto e que tem ações nas bolsas de valores norte-americanas.
• Projeto de lei dos deputados Paul S. Sarbanes e Michael Oxley foi aprovada e editada como lei norte-americano George
W. Bush em 30 de julho de 2002.
• A criação desta lei foi uma consequência das fraudes e escândalos contábeis que, na época, atingiram grandes
corporações nos Estados Unidos (Enron, Arthur Andersen, WorldCom, Xerox etc…), e teve como intuito tentar evitar a
fuga dos investidores causada pela insegurança e perda de confiança em relação as escriturações contábeis e aos
princípios de governança nas empresas.
• A SOX prevê a criação, nas empresas, de mecanismos de auditoria e segurança confiáveis, definindo regras para a
criação de comitês encarregados de supervisionar suas atividades e operações, formados em boa parte por membros
independentes. Isso com o intuito explícito de evitar a ocorrência de fraudes e criar meios de identificá-las quando
ocorrem, reduzindo os riscos nos negócios e garantindo a transparência na gestão.
No Brasil
• Atinge algumas empresas de capital majoritariamente nacional e as subsidiárias
de empresas transnacionais: Petrobras, Ambev, Gol linhas aéreas, CPFL,
Bradesco, Itau, etc...
Impacto do SOX na Governança de TI
O SOX impacta a GTI no que diz respeito aos seguintes aspectos:

• As questões relativas ao SOX devem ser tratadas no Plano de Tecnologia da Informação.

• Novos controles (funcionalidades) devem ser implantados.
• Novas aplicações devem ser implantadas.
• Processos de TI existentes devem ser ajustados e melhorados para mitigar riscos.
• Novos processos de TI devem ser projetados e implantados.
• Ocorrência de prováveis mudanças na estrutura organizacional de TI em função dos processos ajustados e também dos
novos.
• Novos indicadores de desempenho deverão ser definidos e implantados.
• Os riscos de TI devem ser monitorados constantemente.
Principais seções da SOX
• Seção 302: exige que a alta administração, geralmente CEO e CFO, certifique e aprove a exatidão das
demonstrações financeiras e a eficácia dos controles e procedimentos de divulgação internos.
• Seção 401: as demonstrações financeiras são publicadas pelos emissores e devem ser precisas e
apresentadas de forma que não contenham declarações incorretas. As demonstrações contábeis devem
incluir todos os passivos, obrigações ou transações.
• Seção 404: os emissores são obrigados a publicar informações em seus relatórios anuais sobre o escopo e
a adequação da estrutura de controle interno e os procedimentos para relatórios financeiros. Esta
declaração deve também avaliar a eficácia de tais controles e procedimentos internos. A empresa de
contabilidade registrada deve, no mesmo relatório, atestar e informar sobre a avaliação da eficácia da
estrutura de controle interno e dos procedimentos de apresentação de relatórios financeiros. Em outras
palavras, a Lei Sarbanes-Oxley incentivou as empresas a tornar seus relatórios financeiros mais eficientes,
centralizados e automatizados (e aqui entra a necessidade de uso de um software).
Principais seções da SOX
• Seção 409: os emissores são obrigados a divulgar ao público, com urgência, informações sobre
mudanças significativas na condição financeira ou nas operações da organização. Essas
divulgações devem ser apresentadas em termos que sejam fáceis de entender (o
controler desempenha um papel importante na tradução dessas informações), apoiados por
tendências e informações qualitativas de apresentações gráficas, conforme apropriado.

• Seção 802: impõe multas e/ou até 20 anos de prisão nos casos de alteração, destruição,
ocultação e/ou falsificação de registros, documentos ou objetos tangíveis com a intenção de
obstruir, impedir ou influenciar uma investigação legal. Esta seção também impõe penalidades
de multas e/ou prisão de até 10 anos para qualquer contador que conscientemente e
intencionalmente viola os requisitos de manutenção de todos os documentos de auditoria ou
prisão por um período de 5 anos.

• Seção 906: aborda penalidades criminais para a certificação de um relatório financeiro

enganoso ou fraudulento. As penalidades podem ser mais de US$ 5 milhões em multas e 20
anos de prisão.
Vantagens e Desvantagens da SOX

VANTAGENS DESVANTAGENS
• Empresas passaram a ser responsáveis • Custos elevados de controle
por suas ações. 
interno
• Executivos passaram a ser responsáveis
por suas ações
• Falta de diretrizes de como
implementá-la
• Confiança restaurada
• Melhoria nos controles internos • Aumento de funcionários
• Acionistas protegidos
Acordo de Basileia II (2004)
Acordo de Capital de Basileia II
• Estabelecido pelo Bank for International Settlements – BIS (“Banco Central
dos Bancos Centrais”), sediado na cidade suíça da Basileia.
• O Acordo da Basileia II estipula requisitos de capital mínimo para as
instituições financeiras, em função dos seus riscos de crédito e operacionais.
• Ideia central: garantir a liquidez (solvência) do sistema financeiro e baixo
risco
Pilares do acordo
• O Acordo é baseado em três grandes
premissas:
Pilar I – fortalecimento da estrutura de
capitais das instituições (guardar);
Pilar II – estímulo à adoção das melhores
práticas de gestão de riscos (fiscalizar), e;
Pilar III – redução da assimetria de
informação e favorecimento da disciplina
de mercado (transparência e disciplina de
mercado).
Implicação do acordo da Basiléia II sobre a TI
• BC do Brasil audita as áreas de TI dos bancos através do framework COBIT
• Risco operacional de TI é primordial atualmente, pois os bancos estão em estágio avançado na integração
• Do ponto de vista do risco de crédito, o impacto recai sobre:
Capacidade de armazenamento de dados (visando avaliar riscos de forma mais consistente).
Integridade das informações acerca das transações do banco.
Segurança dessas informações.
Contingências (possibilidade de algo acontecer ou não) nas operações.
Planejamento de capacidade.
Planejamento de desastre e recuperação.
Integridade no processo de emissão de relatórios requeridos pelo BIS
Resolução 3380 do Banco Central do Brasil (06/2006)

• As instituições financeiras e demais instituições autorizadas a funcionar pelo Banco

Central implementem sua própria estrutura de gerenciamento de risco operacional
(falhas, deficiências ou inadequações de processo interno, pessoas e sistemas ou de
eventos externos).
• De acordo com a resolução, deve-se identificar, avaliar, monitorar, controlar e mitigar
os riscos da instituição.
• A descrição da estrutura de gerenciamento do risco operacional deve ser evidenciada em
relatório de acesso público, com periodicidade mínima anual.
• Link: https://www.bcb.gov.br/pre/normativos/res/2006/pdf/res_3380_v2_l.pdf
Eventos de risco operacional contidos na Resolução
N° 3380
I - fraudes internas; VI - aqueles que acarretem a
II - fraudes externas; interrupção das atividades da
instituição;
III - demandas trabalhistas e segurança
deficiente do local de trabalho; VII - falhas em sistemas de tecnologia
da informação;
IV - práticas inadequadas relativas a
clientes, produtos e serviços; VIII - falhas na execução, cumprimento
de prazos e gerenciamento das
V - danos a ativos físicos próprios ou
atividades na instituição.
em uso pela instituição;
Implicações desta resolução para a TI de uma
instituição financeira
• A TI deve identificar, avaliar, monitorar,
controlar e mitigar (abrandar) os riscos
operacionais que afetam a instituição.
• A TI deve desenvolver e implementar
um PCN em apoio às atividades da
instituição.
• A TI deve também gerenciar os riscos
que seus fornecedores representam
para a continuidade do negócio
Leitura extra
• Quatro dicas para TI ser estratégica na agenda de Compliance da organização:
https://cio.com.br/quatro-dicas-para-ti-ser-estrategica-na-agenda-de-compliance-d
a-organizacao/
LGPD, GDPR e GTI

• A LGPD (Lei Geral de Proteção de Dados) ápós entrar em vigor, todas as empresas que
coletam, processam e/ou armazenam dados pessoais, precisarão se adequar.
• A GDPR (General Data Protection Regulation) é uma lei da União Europeia que introduziu
novas normas sobre obrigações, responsabilidades, direitos e restrições sobre o fluxo de
dados internacionais.
• A LGPD tem por objetivos principais aumentar a privacidade de dados pessoais dos
brasileiros e o poder das entidades reguladoras para fiscalizar organizações no país. Como
a lei da União Europeia entrou em vigor em maio de 2018 e muitas das empresas
brasileiras já tiverem que se adaptar, o processo provavelmente será mais facilmente
absorvido.
 LGPD, GDPR e GTI: princípios que a TI deverá
colocar em prática
1 – Ter uma equipe preparada e informada sobre os novos
protocolos
2 – Ter um plano de ação para entrar em conformidade
3 – Listar os dados que merecem mais atenção
4 – Gerenciar obrigatoriamente os riscos de segurança
5 – Mudança na governança
As punições da LGPD são pesadas, assim como na
GDPR e o ideal é que as empresas mostrem
esforços para estarem adequadas. As advertências
ou multas podem alcançar até 2% do faturamento
da empresa (ano anterior) até no máximo 50
milhões de reais e até mesmo a proibição total ou
parcial das atividades da empresa, caso não tenha
boas práticas comprovadas.