oHub Base TI / Desafios / Do zero / Vou definir minha governança de TI

Vou definir minha governança de TI

Estabelecer regras, papéis e processos de decisão em TI — políticas mínimas, comitê de TI, gestão de demandas, sem virar burocracia para PME.

Resposta rápida

Governança de TI é o conjunto de regras, papéis e rituais que fazem decisões de tecnologia acontecerem com critério — não com base em quem grita mais alto. A versão mínima viável tem cinco peças: papéis claros (quem decide o quê em TI), comitê regular (mensal na maioria das empresas), políticas básicas escritas (segurança, uso aceitável, classificação de dados, gestão de fornecedores), processo de demanda (como pedidos chegam, são priorizados e voltam com resposta) e três a cinco indicadores de acompanhamento. Para empresa pequena, isso pode caber em quatro páginas; para empresa grande, vira manual com anexos. O erro frequente é replicar governança de empresa grande em empresa pequena: cria burocracia ignorada. O outro extremo, governança zero em empresa que cresceu, gera decisões inconsistentes e fila informal.

Pequena até 50 colaboradores

Na empresa pequena, governança formal pesada não cabe — vira papelada ignorada. O modelo que funciona é leve: um responsável claro por TI (mesmo que acumulado), reunião mensal de 30 minutos com a diretoria para alinhar prioridades, três políticas escritas em uma página cada (segurança básica, uso aceitável, gestão de senhas), e um canal simples para o time pedir suporte e abrir demandas. Em vez de comitê formal, é uma conversa mensal estruturada. As decisões de fornecedor passam pela direção; investimentos acima de um valor combinado também. Falta de qualquer governança aqui costuma se manifestar em compras descoordenadas de software por área, sem visão de licença total nem segurança.

Média 51–500 colaboradores

Na empresa média é onde governança de TI começa a ser estrutural. Comitê de TI mensal com representantes das principais áreas-cliente, processo formal de demanda com critério de priorização, políticas escritas e revisadas anualmente, papéis definidos no time (quem decide infraestrutura, segurança, projetos, fornecedor) e indicadores compartilhados em painel. É o porte onde a falta de governança aparece como ruído: lista de pedidos infinita, projetos paralelos sem coordenação, segurança remendada caso a caso. O risco do outro lado é exagerar — comitê semanal de duas horas, política de cinquenta páginas, fluxo de aprovação com quatro etapas. Calibre pela velocidade de decisão que a empresa precisa.

Grande +500 colaboradores

Na empresa grande, governança de TI é multinível: comitê executivo trimestral com diretoria para estratégia e orçamento, comitê tático mensal com líderes de torre, fóruns de arquitetura e segurança, comitês setoriais com áreas-cliente, e processo formal de portfólio para projetos. Políticas são parte de um corpo regulatório com versionamento e revisão anual. Papéis seguem modelo CIO/CTO/CISO ou equivalente, com responsáveis claros por domínio. Indicadores são reportados em painel executivo. O risco é governança virar fim em si mesma — comitês deliberando comitês — e travar entrega. Para evitar, cada fórum precisa ter pauta amarrada a decisão concreta e prazo, não revisão genérica.

Você está vivendo isso se…
  • Não está claro quem decide o quê em tecnologia na empresa
  • Cada área compra software próprio sem TI saber
  • Lista de demandas de TI é infinita e sem critério de priorização
  • Política de segurança existe na cabeça das pessoas, não no papel
  • Projetos de TI aparecem e somem sem entrega clara
  • A diretoria não tem visibilidade de o que TI está fazendo no mês

As cinco peças mínimas da governança

Governança de TI não é um único documento — é um conjunto de mecanismos que sustentam decisões consistentes ao longo do tempo. A versão mínima viável tem cinco peças, cada uma resolvendo uma classe de problema.

1. Papéis claros

Quem decide o quê. Em empresa pequena, o responsável de TI decide quase tudo dentro do orçamento, e diretoria entra em decisões acima do limite. Em empresa média, papéis se ramificam: quem decide infraestrutura, quem decide segurança, quem decide aplicação por área, quem decide fornecedor. Em empresa grande, modelo CIO/CTO/CISO ou equivalente com líderes de torre. Sem papéis definidos, toda decisão escala ou trava.

2. Comitê regular

O ritual onde a governança vira prática. Pode ser uma reunião mensal de 30 minutos com a direção (empresa pequena) ou comitê multinível (empresa grande). O essencial é que tenha pauta consistente: prioridades do mês, status dos projetos críticos, riscos abertos, decisões pendentes que precisam de aprovação. Sem ritual, governança vira documento.

3. Políticas básicas escritas

O mínimo são três: política de segurança da informação (senhas, dispositivos, acessos, dados), política de uso aceitável (o que pode e não pode com recursos da empresa) e política de gestão de fornecedores de TI (como contrata, como avalia, como sai). Em empresa de porte médio para cima, adicione classificação de dados, gestão de mudanças e plano de continuidade. Cada política tem dono, data de revisão e versão.

4. Processo de demanda

Como pedidos chegam a TI, são priorizados e voltam com resposta. Sem processo, vence quem grita mais alto e o time vive correndo. O processo mínimo tem três passos: canal único de entrada (ferramenta de chamado ou formulário), critério público de priorização (urgência operacional, impacto no negócio, esforço estimado) e cadência de retorno ao solicitante.

5. Indicadores de acompanhamento

Três a cinco indicadores que diretoria entende e TI consegue reportar com confiabilidade. Disponibilidade dos sistemas críticos, custo de TI por usuário, tempo médio de atendimento, entrega de projetos no prazo, postura de segurança. Indicadores transformam reuniões de governança em conversas de fato — sem dado, vira opinião.

Como construir a governança em 60 dias
  1. Defina os papéis primeiro. Quem decide o quê em TI hoje, e o que vai mudar. Em uma página.
  2. Escreva as três políticas mínimas. Segurança, uso aceitável, gestão de fornecedores — uma página cada para começar.
  3. Defina o processo de demanda. Canal único, critério de priorização, cadência de retorno.
  4. Combine a cadência de comitê. Mensal de 30 minutos com diretoria é o ponto de partida da maioria das empresas.
  5. Escolha três a cinco indicadores. Com baseline atual mesmo que aproximada, para servir de marco zero.
  6. Comunique a governança ao time. Pequena nota explicando como demandas serão tratadas e como decisões serão tomadas.
  7. Rode por 90 dias antes de revisar. Governança nova precisa de tempo para mostrar onde aperta. Ajuste depois, não antes.
Particularidade da governança em primeira versão: resista à tentação de copiar modelo de empresa grande. COBIT, ITIL, frameworks completos têm valor, mas em empresa pequena viram bibliografia. O que funciona é começar pelo mínimo viável, rodar, e expandir quando o problema concreto pedir — não antes.

Como construir o processo de demanda sem virar fila eterna

Processo de demanda é onde governança encosta no dia a dia do time. Bom processo tem três traços: entrada única (todo pedido passa pelo mesmo canal, sem atalho pelo WhatsApp do gestor de TI), critério público de priorização (todo mundo sabe por que um pedido entrou antes de outro), e cadência de retorno (mesmo que a resposta seja "não vai entrar este trimestre", o solicitante sabe). Critério de priorização que funciona combina três variáveis: urgência operacional (algo parou ou está prestes a parar), impacto no negócio (quantas pessoas ou quanto faturamento o pedido afeta) e esforço estimado (rápido, médio, longo). Pedidos rápidos com impacto alto entram primeiro; pedidos longos com impacto baixo entram por último.

Armadilhas comuns na governança de TI

Copiar governança de empresa grande. Frameworks completos em empresa pequena viram bibliografia. Comece pelo mínimo viável e expanda com o problema concreto.

Comitê sem pauta. Reunião mensal de governança que vira papo aberto não decide nada. Pauta consistente — prioridades, status, riscos, decisões pendentes — é o que faz comitê funcionar.

Política que ninguém leu. Documento de 80 páginas elaborado por jurídico e arquivado no portal não muda comportamento. Política funcional é curta, comunicada e referenciada em decisões reais.

Processo de demanda com atalhos. Se o diretor ainda manda WhatsApp para resolver o pedido dele, o processo não vale. Defenda o canal único desde o início, com apoio explícito da liderança.

Indicadores que ninguém entende. Métrica técnica isolada (latência de servidor, TPS, etc.) não conversa com diretoria. Traduza para indicadores de negócio ou agregue em índices simples.

Antes de declarar a governança ativa, confira:
  • Papéis documentados: quem decide o quê em TI
  • Três políticas mínimas escritas: segurança, uso aceitável, fornecedores
  • Canal único de demanda definido e comunicado
  • Critério de priorização público e simples
  • Cadência de comitê combinada com diretoria
  • Três a cinco indicadores escolhidos, com baseline registrado
  • Comunicado interno explicando o novo modelo

O que precisa ter governança de TI mínima viável?

Cinco peças: papéis claros (quem decide o quê), comitê regular (mensal na maioria das empresas, com pauta consistente), três políticas escritas (segurança da informação, uso aceitável, gestão de fornecedores), processo de demanda com canal único e critério de priorização, e três a cinco indicadores de acompanhamento. Em empresa pequena, isso cabe em quatro páginas; em empresa grande, vira corpo regulatório multinível. O essencial é ter os cinco mecanismos rodando, não a profundidade documental.

Como evitar que a governança de TI vire burocracia?

Calibre pela velocidade de decisão que a empresa precisa, não pela ambição do framework. Comece com a versão mínima, rode por 90 dias, ajuste depois — não antes. Política em uma página vale mais do que política em cinquenta. Comitê com pauta consistente e duração curta vale mais do que comitê que vira papo aberto. Frameworks completos como COBIT e ITIL têm valor como referência, mas adotar tudo de uma vez em empresa pequena cria burocracia ignorada.

Quais políticas de TI escrever primeiro?

Três políticas cobrem o mínimo. Segurança da informação (senhas, dispositivos, acessos, dados, incidentes). Uso aceitável (o que pode e não pode com recursos da empresa, incluindo IA, e-mail, dispositivos pessoais). Gestão de fornecedores de TI (como contrata, avalia, troca, encerra). Em empresa de porte médio para cima, adicione classificação de dados, gestão de mudanças e plano de continuidade. Cada política tem dono, data de revisão e versão registrados.

Como funciona um comitê de TI eficaz?

Frequência mensal para a maioria das empresas (semanal vira ruído, trimestral perde ritmo). Duração de 30 a 60 minutos, dependendo do porte. Pauta consistente: prioridades do mês, status dos projetos críticos, indicadores principais, riscos abertos, decisões pendentes que precisam de aprovação. Participantes fixos: responsável de TI, diretoria ou patrocinador executivo, e representantes das áreas-cliente em empresa média ou grande. Sem pauta consistente e dono da reunião, comitê vira conversa que não decide nada.

Como priorizar demandas de TI sem virar fila eterna?

Combine três variáveis em critério público. Urgência operacional (algo parou ou está prestes a parar). Impacto no negócio (quantas pessoas ou quanto faturamento o pedido afeta). Esforço estimado (rápido, médio, longo). Pedidos rápidos com impacto alto entram primeiro; pedidos longos com impacto baixo entram por último ou vão para backlog. Canal único de entrada é não negociável — se o diretor ainda manda WhatsApp para furar fila, o processo não vale. Defenda o canal desde o início, com apoio explícito da liderança.
Aprofundar
Ver todos os artigos sobre Governança de TI (Estratégia e Governança de TI)