Governança Corporativa e Governança em TI

Profa. Mônica Cairrão RodriguesSIG

2

Assuntos1. Governança Corporativa2. Governança em TI3. Normas e Padrões de TI

Governança Corporativa

4

Histórico O conceito de Governança Corporativa tornou-se

fundamental para as empresas de capital aberto principalmente após casos de escândalos financeiros de grandes corporações. Alguns destes escândalos envolviam fraudes realizadas em conjunto com empresas de consultoria e auditoria.

Cada vez mais os investidores exigem transparência na gestão financeira e mecanismos de monitoramento e controle das decisões estratégicas dos altos executivos, pois aqueles procuram meios de responsabilizar os executivos pelas suas decisões e resultados obtidos.

5

Evolução da Governança A Governança Corporativa começou traçando regras e

padrões de relacionamento entre os acionistas e a alta administração.

Percebemos que o conceito de governança está se expandindo e, além do mecanismo de controle objetivo dos acionistas, começa a agregar outros processos que visam implementar ética, transparência e maior nível dos controles internos em todas as áreas da organização, transcendendo assim os limites da gestão financeira e da negociação das ações na bolsa de valores e passando a “abraçar” a empresa toda.

6

Elementos da Governança Propriedade (sócios) – estabelece claramente as regras sobre direito de voto,

abrangência e limites da influência dos proprietários na organização. Conselho de Administração – é um grupo de pessoas eleitas cuja principal

responsabilidade é proteger e valorizar o patrimônio e maximizar o retorno do investimento, agindo assim no interesse dos proprietários, monitorando e controlando os executivos.

Gestão – estabelece diretrizes para o papel do presidente (CEO – Chief Executive Officeer).

Auditoria Independente – a atribuição básica é verificar se as demonstrações financeiras refletem adequadamente a realidade da sociedade.

Conselho Fiscal – é parte integrante do sistema de governança das organizações pois tem como objetivos fiscalizar os atos da administração, opinar sobre questões importantes e informar os sócios.

Código de Conduta e conflito de interesses – a organização deve possuir um código de conduta que responsabilize administradores e funcionários pela sua atuação, assim como incluir responsabilidades sociais e ambientais.

7

Governança no Brasil A Governança no Brasil está crescendo

significativamente. As empresas de capital aberto são compulsoriamente

conduzidas a implementarem a governança. Os proprietários acionistas exigem a adequação da

organização às novas regras pois as vantagens com relação a diminuição do risco estratégico são sensíveis.

O mercado também oferece incentivos interessantes. Como exemplo podemos citar o Novo Mercado, criado pela Bovespa.

8

Novo Mercado - Bovespa

“O Novo Mercado é um segmento de listagem destinado à negociação de ações emitidas por empresas que se comprometem, voluntariamente, com a adoção de práticas de governança corporativa e disclosure adicionais em relação ao que é exigido pela legislação.

A valorização e a liquidez das ações de um mercado são influenciadas positivamente pelo grau de segurança que os direitos concedidos aos acionistas oferecem e pela qualidade das informações prestadas pelas empresas. Essa é a premissa básica do Novo Mercado.

A entrada de uma empresa no Novo Mercado significa a adesão a um conjunto de regras societárias, genericamente chamadas de "boas práticas de governança corporativa", mais rígidas do que as presentes na legislação brasileira. Essas regras, consolidadas no Regulamento de Listagem, ampliam os direitos dos acionistas, melhoram a qualidade das informações usualmente prestadas pelas companhias e, ao determinar a resolução dos conflitos por meio de uma Câmara de Arbitragem, oferecem aos investidores a segurança de uma alternativa mais ágil e especializada.

9

Tipo de empresas O conceito de Governança Corporativa surgiu para suprir

necessidades inerentes às empresas de capital aberto. No entanto, é evidente que os benefícios da implantação

da governança são visíveis nos próprios resultados organizacionais, tangíveis (financeiros e outros) e intangíveis (aumento dos níveis de controles internos, transparência na gestão, etc.)

Por esta razão, outros tipos de organizações começam a implantar os conceitos da governança em sua prática de gestão (ex.: empresas de capital fechado, governos, fundações e organizações não governamentais).

10

SOX - Sarbanes-Oxley (2002) Lei criada nos Estados Unidos para aperfeiçoar os controles

financeiros das empresas que possuem capital na Bolsa de Nova York;

Esta lei veio em decorrência dos escândalos financeiros das empresas Enron, Worldcom e outras que pulverizaram as economias pessoais de muitos americanos.

Uma das premissas da Sox é que as empresas demonstrem eficiência na governança corporativa.

Modelo de governança COSO (www.coso.org), criada em 1985 por iniciativa da National Comminsion on Fraudulent Financial Reporting para definir processos para o controle interno das empresas.

11

Basiléia II A quebra de instituições financeiras, nos

últimos anos, em decorrência da falta de controle de suas posições, fez com que o risco operacional ganhasse importância.

A partir dessas crises os bancos e gestores, para evitar prejuízos, passaram a trabalhar com a identificação do risco operacional.

A alternativa encontrada foi à reformulação do Basiléia I e a estruturação de um Novo Acordo de Capitais, o Basiléia II (2004).

12

Basiléia II Busca-se nesse acordo exigir uma maior ênfase no

próprio controle interno dos bancos, em seus processos e modelos de administração de riscos, no processo de revisão do supervisor, e na disciplina do mercado.

O acordo, apesar das reconhecidas dificuldades na sua implementação, delineia-se como um instrumento relevante no esforço para aumentar a segurança e a solidez do sistema financeiro mundial.

13

TI para a Governança Corporativa A área de TI deve cobrir todos os aspectos de segurança e

controle das informações digitais da empresa, devendo desenhar processos de controle das aplicações para assegurar a confiabilidade do sistema operacional, a veracidade dos dados de saída e a proteção de equipamentos e arquivos.

CIOs: rever todos os processos internos cobrindo desde as metodologias

de desenvolvimento de sistemas até as áreas de operações de computadores.

promover conscientização nas áreas usuárias de seus recursos sobre os aspectos de segurança e cuidados na manipulação das informações, tais como: e-mails, compartilhamento de diretórios nos PCs, compartilhamento de senhas de acesso aos aplicativos, etc.

engenharia social também deve ser reforçada para o pessoal de TI, que as vezes não conseguem determinar os riscos de segurança em suas soluções.

14

O que não se controla, não pode ser gerenciado.

Primeira premissa quando queremos falar sobre Governança de TI.

Sem controle, não pode haver qualquer tipo de gerenciamento.

Governança em TI: o estabelecimento de altos níveis de controles internos, transparência e ética no “governo” da informação corporativa.

15

Controles Internos O COSO define que o controle interno é um processo e deve

ser exercido por todos os níveis da empresas. Os processos devem ser desenhados para atingir aos

seguintes objetivos: (1) efetividade e eficiência na operação; (2) dar confiabilidade nos relatórios financeiros; e, (3) atender as leis e regulamentações dos órgãos públicos.

16

Estruturar a Governança em TI (gestão de TI)

Preparar um conjunto estruturado de processos, responsabilidades e controles entre as diversas áreas que formam a área de Tecnologia da Informação, tais como, suporte, operação, rede, desenvolvimento,

etc.

17

Governança em TI

Processos Responsabilidades

Controles

Tecnologia da Informação: suporte,

operação, rede, desenvolvimento, etc.

18

Governança em TI Responsabilidade sobre o “governo” da

informação corporativa transcende a área de TI: “Governança em TI busca o compartilhamento de

decisões de TI com os demais dirigentes da organização, assim como estabelece as regras,ização e os processos que nortearão o uso da TI pelos usuários, departamentos, divisões, negócios da organização, fornecedores e clientes...(Fernandes, 2006)”

19

Governança em TI Como a TI deve prover os serviços para a

empresa: Garantir o alinhamento da TI ao negócio - estratégias

e objetivos; Garantir continuidade do negócio contra interrupções

e falhas (manter e gerir as aplicações e infra-estrutura de serviços);

Garantir o alinhamento da TI a marcos de regulação externos como Sarbanes-Oxley (SOX) e Basiléia II e a outras normas.

20

A proposta básica da Governança de TI não é nada nova entre os CIOs.

O fator que gera maior preocupação aos gestores de TI são os processos de negócio que nas organizações estão cada vez mais exigindo respostas rápidas às demandas de mercado, ou seja, manter a capacidade competitiva por meio de processos de negócios ágeis, inteligentes, seguros e com o menor custo possível.

Neste cenário os controles acabam sendo "atropelados", os processos não são seguidos e as responsabilidades acabam se perdendo, onde todo mundo é tão interdisciplinar que ninguém é responsável por "nada" e como resultado, em nome da urgência do negócio, temos produtos finais mal acabados, clientes insatisfeitos, impactos na imagem organizacional, e principalmente perda de receita.

21

Ciclo da Governança de TI

Alinhamento Estratégico; Decisão, compromisso, priorização e

alocação de recursos; Estrutura, processos, operações e gestão; Medição do desempenho.

22

Modelo de Governança: capaz de permitir o alinhamento das estratégias de negócio com TI, ou seja, a clara percepção de TI do que o negócio "espera" de seu desempenho, e do desenvolvimento de processos e controles efetivos.

O primeiro passo não é adoção de uma metodologia, mas sim conhecer os próprios riscos, controles e processos: começar com um bom diagnóstico, que permita identificar cada um dos itens citados.

23

Diagnóstico1) Relacionamento de TI com a Alta Administração - De que forma TI está relacionada com a Alta Administração? Possui uma Vice Presidência dedicada, capaz de interagir com seus pares, entendendo suas necessidades? Ou seu CIO está subordinado a alguma outra Vice Presidência? Participa em algum momento dos comitês de tomada de decisão? Independentemente da estrutura existente, TI deve ter uma visão clara do que o negócio precisa, em qual a velocidade que necessita trabalhar, pois caso contrário, podemos encerrar neste momento, pois não teremos sucesso nenhum.

24

2) Papéis e Responsabilidades em TI - Neste momento entendemos quem faz o que e quando, para que possamos efetivamente, ao redesenhar os processos, alocar as funções e responsabilidades nos locais adequados. Algumas organizações redesenham os processos após alocar as responsabilidades e funções, mas fica uma dúvida, para que você discuta em sua organização: Caso exista erro na segregação de funções definida, meus processos já não estariam comprometidos já em sua concepção? Não seria melhor desenhar os processos e depois verificar quem irá executar tais funções evitando uma segregação inadequada de funções? Creio que seja algo para se pensar.

25

3) Mapeamento de todos os processos existentes - O quanto trabalhamos formalmente? Temos fluxo de todos os processos? Como documentamos nossos trabalhos? Ao término deste diagnóstico devemos ter de forma bem clara o que necessita ser formalizado.

4) Análise critica destes processos - Vamos testar sua qualidade? Que tal envolver a auditoria? A análise crítica deve ser capaz de propor modificações nos processos, desde sua extinção, substituição ou modificação.

26

5) Identificação dos riscos inerentes em cada processo - Tudo aquilo que possa comprometer o negócio, ou seja, devemos relacionar em cada processo quais riscos poderiam comprometer o seu funcionamento e de que forma isto impactaria o negócio, seja por perda de receita, comprometimento da imagem, etc.

6) Mapeamento dos controles existentes que mitigam os riscos inerentes identificados - Após o término do levantamento de todos os processos e relacionar todos os riscos inerentes, devemos mapear os controles existentes em cada processo, este passo ocorre em paralelo com o mapeamento de processos e sua análise crítica. Nesta fase verificamos se os controles existentes realmente suportam as necessidades dos processos e conseqüentemente do negócio.

27

Governança na prática Sugestão: adoção de um modelo de simples execução para

preparação de um diagnóstico que possibilite tomada de decisão com relação a investimentos, contratação de consultorias, desenho ou redesenho de processos e principalmente mitigando os riscos.

Seja qual for o método adotado, os gestores deverão sempre ter consciência que a Governança de TI será um exercício permanente de uso das melhores práticas de operação, desenvolvimento, gestão e, principalmente, de estratégias de realização, disposição, bom senso e conhecimento do negócio.

28

Erros comuns: Elaborar um modelo de governança de TI envolvendo só

tecnologia: governança de TI é um assunto corporativo; Tentar fazer tudo de uma única vez: mudança de cultura,

processos e tecnologia; Estabelecer um modelo de governança baseado em

soluções. Ferramenta é só um facilitador, um habilitador tecnológico para algo acertado anteriormente;

Iniciar a estruturação de um modelo de governança como se fosse uma “nova onda”;

Se isolar ou tentar reinventar a roda.

29

Mapeamento das necessidades

Após o diagnóstico: qual é o próximo passo?

30

Situações comuns: Não tenho metodologia de desenvolvimento - Neste caso pode-se utilizar o CMM para apoio no desenvolvimento de uma metodologia; Não tenho nenhuma metodologia e controle para identificação e gerenciamento de riscos em meus projetos - O PMI poderá apoiá-lo neste caso; Não estão formalizados os processos de Governança em TI - O COBIT poderá auxiliar no desenvolvimento de controles e formalização de tais rotinas; Não tenho gestão de serviços - O ITIL poderá auxiliar no desenvolvimento do processo, dos controles e da formalização de tais atividades; O processo de gerenciamento de mudanças não produz os resultados esperados, sendo necessário redesenhar - O COBIT e o ITIL poderão auxiliar no redesenho; ISO 149977 (ou a BS-7799) para a gestão de segurança da informação.

Padrões e Gestão de TI

ISO,COBIT, ITIL

32

33

International Organization for Standardization - ISO Os EUA estão representados na ISO pela ANSI -

American National Standards Institute. O Brasil está representado na ISO pela

ABNT - Associação Brasileira de Normas Técnicas

A ISO foi criada no ano de 1947 em Genebra, Suíça é uma entidade não governamental.

ISO é um prefixo grego que significa igual.

34

CobiT* CobiT (Control Objectives for Information

and related Technology) é uma ferramenta eficiente para auxiliar o gerenciamento e controle das iniciativas de TI nas empresas;

Guia para a gestão de TI recomendado pelo ISACF (Information Systems Audit and Control Foundation, www.isaca.org).

*In: Fagundes, E.M. Cobit: Um kit de ferramentas para a excelência na gestão de TI.

35

CobiT Elementos: sumário executivo, framework,

controle de objetivos, mapas de auditoria, um conjunto de ferramentas de implementação e um guia com técnicas de gerenciamento.

As práticas de gestão do CobiT são recomendadas pelos peritos em gestão de TI pois ajudam a otimizar os investimentos de TI e fornecem métricas para avaliação dos resultados.

O CobiT independe das plataformas de TI adotadas nas empresas.

36

O CobiT é orientado ao negócio Fornece informações detalhadas para gerenciar

processos baseados em objetivos de negócios. Público atendido pelo CobiT:

Gerentes que necessitam avaliar o risco e controlar os investimentos de TI em uma organização.

Usuários que precisam ter garantias de que os serviços de TI que dependem os seus produtos e serviços para os clientes internos e externos estão sendo bem gerenciados.

Auditores que podem se apoiar nas recomendações do CobiT para avaliar o nível da gestão de TI e aconselhar o controle interno da organização.

37

Domínios CobiT Planejamento e organização Aquisição e implementação Entrega e suporte Monitoração

Cada domínio cobre um conjunto de processos para garantir a completa gestão de TI, somando-se 34 processos ao total.

38

39

Planejamento e Organização Define o plano estratégico de TI Define a arquitetura da informação Determina a direção tecnológica Define a organização de TI e seus relacionamentos Gerencia os investimentos de TI Gerencia a comunicação das direções de TI Gerencia os recursos humanos Assegura o alinhamento de TI com os requerimentos externos Avalia os riscos Gerencia os projetos Gerencia a qualidade

40

Aquisição e implementação Identifica as soluções de automação Adquire e mantém os softwares Adquire e mantém a infra-estrutura tecnológica Desenvolve e mantém os procedimentos Instala e certifica softwares Gerencia as mudanças

41

Entrega e suporte Define e mantém os acordos de níveis de serviços (SLA) Gerencia os serviços de terceiros Gerencia a performance e capacidade do ambiente Assegura a continuidade dos serviços Assegura a segurança dos serviços Identifica e aloca custos Treina os usuários Assiste e aconselha os usuários Gerencia a configuração Gerencia os problemas e incidentes Gerencia os dados Gerencia a infra-estrutura Gerencia as operações

42

Monitoração Monitora os processos Analisa a adequação dos controles internos Provê auditorias independentes Provê segurança independente

43

Desenvolvimento do CobiT 1996: primeira publicação - enfocando o controle

e análise dos sistemas de informação. 1998: segunda edição - ampliou a base de

recursos adicionando o guia prático de implementação e execução.

A edição atual, já coordenada pelo IT Governance Institute, introduz as recomendações de gerenciamento de ambientes de TI dentro do modelo de maturidade de governança. (http://www.itgi.org)

44

Contribuições - normas e padrõesExemplos: Padrões técnicos da ISO, EDIFACT, etc. Os códigos de conduta emitidos pelo Conselho de Europa, OECD,

ISACA, etc. Critérios de qualificação para TI e processos: ITSEC, TCSEC, ISO

9000, SPICE, TickIT, etc. Padrões profissionais para controle internos e auditoria: COSO,

IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO, etc. Práticas e exigências dos fóruns da indústria (ESF, I4) e das

plataformas recomendadas pelos governos (IBAG, NIST, DTI), etc. Exigências das indústrias emergentes como operação bancária,

comércio eletrônico e engenharia de software.

45

Benefícios do CobiT Ferramenta que auxilia a demonstrar o nível de controle

interno em TI; As recomendações de gerenciamento do CobiT com

orientação no modelo de maturidade em governança auxiliam os gerentes de TI no cumprimento de seus objetivos alinhados com os objetivos da organização.

Gestão por desempenho, usando princípios do balanced scorecard (BSC).

Seus indicadores chaves identificam e medem os resultados dos processos, avaliando seu desempenho e alinhamento com os objetivos dos negócios da organização.

46

Modelos de Maturidade de Governança Os modelos de maturidade de governança são usados para o

controle dos processos de TI e fornecem um método eficiente para classificar o estágio da organização de TI.

A governança de TI e seus processos com o objetivo de adicionar valor ao negócio através do balanceamento do risco e retorno do investimento, podem ser classificados da seguinte forma: 0 Inexistente 1 Inicial / Ad Hoc 2 Repetitivo mas intuitivo 3 Processos definidos 4 Processos gerenciáveis e medidos 5 Processo otimizados

47

CobiT - derivado do CMM Essa abordagem é derivada do modelo de maturidade

para desenvolvimento de software, Capability Maturity Model for Software (SW-CMM), proposto pelo Software Engineering Institute (SEI). A partir desses níveis, foi desenvolvido para cada um dos 34 processos do CobiT um roteiro: Onde a organização está hoje O atual estágio de desenvolvimento da indústria (best-

in-class) O atual estágio dos padrões internacionais Aonde a organização quer chegar

48

Indicadores de objetivos Os indicadores de objetivos definem como serão

mensurados os progressos das ações para atingir os objetivos da organização, usualmente expressos nos seguintes termos: Disponibilidade das informações necessárias para

suportar as necessidades de negócios Riscos de falta de integridade e confidencialidade das

informações Eficiência nos custos dos processos e operações Confirmação de confiabilidade, efetividade e

conformidade das informações.

49

Mensuração e Boas Práticas São definidas as ações mais importantes do ponto

de vista do que fazer a nível estratégico, técnico, organizacional e de processo.

Indicadores de desempenho definem medidas para determinar como os processos de TI estão sendo executados e se eles permitem atingir os objetivos planejados; são os indicadores que definem se os objetivos serão atingidos ou não.

São os indicadores que avaliam as boas práticas e habilidades de TI.

50

ITIL - Information Tecnology Infraestruture Library Biblioteca de boas práticas (do inglês best

practices), de domínio público, desenvolvida pelo governo do Reino Unido e atualmente sob custódia da OGC (Office of Government Commerce).

Foco na operação e na infra-estrutura de TI.

51

ITIL Não se preocupa com desenvolvimento de

software e tampouco com alinhamento estratégico de negócios.

É um conjunto de recomendações e melhores práticas para a gestão da infra-estrutura desenvolvidas pelo governo inglês.

Não é uma metodologia restrita e não possui uma certificação, o que não compromete a qualidade do conteúdo integrante da biblioteca.

52

ITIL - mudança na estrutura Quaisquer aplicações das práticas que

compõem o ITIL resulta em uma grande mudança cultural por parte das organizações.

Envolve reorganização de equipes, participação da alta direção, etc, assim como qualquer projeto estrutural.

53

As características do ITIL Modelo de referência não proprietário. Adequado para todas as áreas de

atividade.Independente de tecnologia e fornecedor.

Um padrão de fato. Baseado nas melhores práticas· Um modelo de referência para a

implementação de processos de TI

54

As características do ITIL (cont.)

Padronização de terminologias. Interdependência de processos. Diretivas básicas para implementação. Diretivas básicas para funções e

responsabilidades dentro de cada processo.

Checklist testado e aprovado. O que fazer e o que não fazer.

55

Benefícios do ITIL Benefícios diretos relacionados à gestão de

serviços de TI: Gestão mais eficiente da infra-estrutura e dos

serviços prestados, de forma clara e sistemática. Diminuição gradativa da indisponibilidade dos

recursos e sistemas de TI causados por falhas no planejamento das mudanças e implantações em TI.

Maior controle nos processos com menor incidência dos riscos envolvidos.

56

Benefícios (cont.) Torna os processos de gerenciamento dos

serviços de TI mensuráveis. Atuação na causa raiz dos problemas, com foco

no negócio. Definição clara e transparente de funções e

responsabilidades. Eliminação de redundância de tarefas e ações. Maior qualidade nos serviços prestados.

57

Benefícios (cont.) Elevação dos níveis de satisfação dos usuários internos e

clientes com relação à disponibilidade e qualidade dos serviços de TI.

Redução de custos de TI e aumento do ROI (Return on Investment);

Flexibilidade e menores impactos na gestão de mudanças.

Processos mais ágeis e organizados graças à organização e relacionamento entre eles.

Melhor relacionamento com os fornecedores e com os serviços prestados.

58

CMMI - Capability Maturity Model Integration

CMMI é uma evolução do CMM. O principal propósito do CMMI é fornecer

diretrizes para a melhoria dos processos e habilidades organizacionais com foco no gerenciamento do desenvolvimento,aquisição e manutenção de produtos e serviços.

59

Estrutura do CMMI5 níveis de maturidade: 1 – Inicial; 2 – Gerenciado; 3 – Definido; 4 – Gerenciado quantitativamente; 5 – Otimizado

60

CMMIAbrange 25 áreas de processo divididas

em quatro categorias: Gerenciamento de Projetos Gerenciamento de Processos Engenharia Suporte

61

Gerenciamento de projetos Definição do processo organizacional. Foco no processo organizacional. Treinamento organizacional. Desempenho do processo organizacional. Integração da equipe.

62

Gerenciamento de Processos Gerenciamento quantitativo de projeto. Gerenciamento de riscos. Gerenciamento integrado de projeto. Gestão integrada com fornecedor. Monitoramento e controle de projetos. Planejamento de projetos. Gerenciamento integrado de fornecedores.

63

Engenharia Validação Verificação. Integração de produtos. Solução técnica. Desenvolvimento dos requisitos. Gerenciamento de requisitos.

64

Suporte Gerenciamento de configuração. Garantia da qualidade de processo e

produto. Medição e análise. Análise e tomada de decisão. Análise de causas e resolução. Ambiente organizacional para integração.

65

66

Nível de maturidade Quanto maior o nível de maturidade, maior

a qualidade e a produtividade; Empresa buscam conformidade çom o

nível de maturidade pois serve como indicador de qualidade;

Certificador: http://www.esicenter.unisinos.br/

67

ESICenter Unisinos - case Os projetos “Rumo ao CMM” tem por objetivo qualificar as

empresas participantes na utilização das práticas previstas no nível 2 do modelo SW-CMM® - Capability Maturity Model for Software. Estes projetos propiciam a melhoria da qualidade dos processos de desenvolvimento de software, através de serviços de consultorias, treinamentos, avaliações e workshops.

Com a implantação do nível 2 do SW-CMM®, as empresas estarão aptas a gerenciar de forma mais efetiva seus projetos de software, no que diz respeito a custos, prazos e recursos utilizados, bem como terão o respaldo de um modelo de qualidade internacionalmente reconhecido.

A duração de um projeto Rumo ao CMM varia de acordo com as características e a disponibilidade das empresas participantes, ficando geralmente, entre 12 e 18 meses.

68

BibliografiaAraújo, Marcio. Governança em Tecnologia da Informação. Disponível em

http://www.issabrasil.org/artigos_0021.asp. Capturado em 05/12/2005. Bovespa. http://www.bovespa.com.br.CHIAVENATO, Idalberto e SAPIRO, Arão. Planejamento Estratégico. Rio de Janeiro:

Elsevier, 2003. 3a Edição. Cap.11. Código das melhores práticas em governança corporativa. IBGC. http://www.ibgc.org.br/imagens/StConteudoArquivos/Codigo%20IBGC%203º%20versao.pdfInstituto Brasileiro de Governança Corporativa. http://www.ibgc.org.br.Fagundes, E.M. Cobit: Um kit de ferramentas para a excelência na gestão de TI.Disponível

em Fagundes, E.M. http://www.efagundes.com/Artigos/COBIT.htm Acessado em 13/03/2007.

Rossi,L.C.Gestão de Riscos file:///C:/Documents%20and%20Settings/Claudio/Configura%E7%F5es%20locais/Temporary%20Internet%20Files/Content.IE5/YD57PX1X/GestaoRiscos-LuisRossiWAINFORMATICA%5B1%5D.ppt#730,7,O Que Todas as Companhias Deveriam Questionar?Acessado em 14/03/2007.