Governança Corporativa versus Governança de T.I.
Por AILTON VENDRAMINI *
Governança é, em última instância, arquitetura de decisões com responsabilidade. Sem papéis claros, informação confiável, métricas e prestação de contas, organizações perdem foco, elevam riscos e sacrificam valor de longo prazo. Em um ambiente cada vez mais digital e orientado por dados e algoritmos, a governança corporativa que não abarca TI, dados e IA é, francamente, incompleta.
Por onde começar? A moldura reconhecida pela OCDE, IBGC e ISO 37000: governança corporativa é o sistema pelo qual a organização é dirigida, supervisionada e responsabilizada, estabelecendo relações e regras entre sócios/acionistas, conselho, executivos, órgãos de controle e demais partes interessadas, para criar, proteger e distribuir valor no longo prazo. Os princípios basilares são:
- Transparência (disclosure) – informação relevante, tempestiva e compreensível;
- Equidade (fairness) – tratamento isonômico de acionistas e stakeholders;
- Prestação de contas (accountability) – clareza de papéis, métricas e consequências;
- Responsabilidade corporativa (responsibility) – impactos econômicos, sociais e ambientais internalizados na decisão.
Confundir governança com gestão enfraquece ambas. Uma forma prática de separar:
- Conselho / Comitê de Governança → EDM: Avaliar, Direcionar e Monitorar. Define princípios, apetite ao risco, políticas e metas; aprova prioridades e acompanha resultados.
- Gestão Executiva → PDCA: Planejar, De Executar (Do), Checar e Ajustar. Entrega valor dentro das diretrizes aprovadas, com controles internos e melhoria contínua.
Tese: quando o Conselho faz PDCA (operacionaliza) ou a gestão faz EDM (define princípios), surgem lacunas de responsabilidade e decisões de baixa qualidade.
Pela ISO/IEC 38500, a governança de TI trata das decisões sobre uso atual e futuro de TI – princípios, papéis, políticas e prestação de contas – alinhadas à governança corporativa. Ela cobre:
- Prioridades e alocação de capital para iniciativas digitais;
- Riscos e conformidade (continuidade, ciber, LGPD, terceirização, cloud);
- Valor (benefícios esperados, time-to-value, encerramento de legados);
- Ética e impactos (dados, algoritmos, vieses, explicabilidade).
Frameworks de apoio (sem fetichismo)
- COBIT 2019 (ISACA): estrutura de governança e gestão de I&T integrável à estratégia (metas de valor, objetivos de controle, gestão de riscos, processos).
- ITIL: boas práticas de gestão de serviços (SLA/SLM, incidentes, mudanças).
- Balanced Scorecard (BSC): desdobramento da estratégia em objetivos e indicadores (não é governança, mas instrumento de alinhamento).
Governança de Dados e de IA (estado da arte)
No ciclo atual, dados e modelos entram no centro das decisões. A boa prática já não é opcional:
- LGPD (Brasil) e ISO/IEC 27001: base para privacidade e segurança da informação.
- NIST AI RMF 1.0: estrutura para gestão de riscos de IA (valores, explicabilidade, robustez, vieses, segurança, accountability).
- ISO/IEC 42001:2023: Sistema de Gestão de IA (AIMS) – políticas, processos, papéis, auditoria e melhoria contínua para ciclo de vida de modelos.
- EU AI Act (2024): referência regulatória internacional por criticidade do caso de uso e obrigações proporcionais.
Observação: Conselhos precisam de literacia digital e de IA. Sem um Comitê de Tecnologia, Dados e IA (ou mandato equivalente), a governança fica cega para riscos e oportunidades críticas.
Painel mínimo de métricas (o que realmente importa)
Criação de valor (outcomes)
- ROI/NPV do portfólio digital; benefits realization; time-to-value. Risco e conformidade
- Incidentes relevantes (ciber/privacidade); auditorias LGPD/27001; MTTR de serviços críticos; aderência a políticas (terceiros, mudanças, acessos).
Capacidade e eficiência - % entregas on-time/on-budget; disponibilidade e performance de serviços-chave; custo unitário por transação digital. Ética e IA
- Para casos de uso com IA: explicabilidade (meta por criticidade), monitoramento de viés e drift, robustez/segurança, trilhas de auditoria e accountability (quem aprovou o quê, quando e com que evidências – EDM).
Setor público: governança como legitimidade
Em governo, a boa governança é condição de legitimidade: transparência ativa, dados abertos quando possível, critérios de priorização claros, prestação de contas, e cadeia de custódia para dados, código e evidências. Em serviços de alta demanda (saúde, educação), Lei de Little (L = λW) ajuda a dimensionar capacidade (μ) e metas de acesso (P50/P90), desde que haja medição regular de λ e μ.
Conclusão
Governança corporativa efetiva inclui governança de TI, de dados e de IA. O Conselho avalia, direciona e monitora (EDM) – princípios, apetite ao risco, políticas e metas. A gestão planeja, executa e controla (PDCA) – entregas, controles internos e melhoria contínua. COBIT 2019 e ITIL dão tração operacional; Balanced Scorecard alinha metas e indicadores; NIST AI RMF e ISO/IEC 42001 adicionam disciplina aos modelos. O resultado esperado é valor sustentável, riscos sob controle e legitimidade perante reguladores, sociedade e investidores.
* AILTON VENDRAMINI, Engenheiro eletrotécnico com 40+ anos no setor privado (ABB, VA TECH, Schneider, Veccon etc.), liderando contratos e grandes projetos. Experiência executiva no Brasil e exterior. Hoje, Diretor de Dados & Estatística e DPO de Hortolândia, à frente de LGPD e projetos de dados/IA. Articulista e consultor; MBA USP, pós-graduações FGV e especialização em Big Data.