Agradeço a Ana Carolina Riekstin, pelo enorme espírito de colaboração e trabalho em equipe em artigos e capítulo de livro. Persio Silvestre, pelo asilo em Natal no momento de reflexão para a qualificação. Ao Prof. Dr. Ronaldo Zwicker (in memoriam), por ter acreditado no potencial do trabalho antes mesmo do seu início. Aos Profs. Dr. Cesar A. de Souza e Hiroo Takaoka pela orientação durante a banca de qualificação, ajustando os rumos desta pesquisa. Ao Prof. Dr. Antonio G. R. Vidal por acreditar na continuação do trabalho e orientações nos momentos mais precisos. Aos profissionais que participaram da pesquisa, com sua valorosa contribuição e disposição para conhecer, trocar experiências e melhorar sempre. À equipe da PromonLogicalis, pelo apoio nas horas de ausência e por fazerem uma empresa que acredita na formação contínua das pessoas. A "Os Coxinhas" que me ajudaram a viajar através da música e do meu contrabaixo para relaxar...e ter ainda mais ideias. iii "Um grande número de leis normalmente fornece desculpas ao vício, então um Estado é muito melhor ordenado quando, tendo algumas poucas leis, elas são muito bem cumpridas.'' René Descartes "Nada é permanente, exceto a mudança" Heráclito "Podes dizer-me, por favor, que caminho devo seguir para sair daqui? Isso depende muito de para onde queres ir -respondeu o gato. Preocupa-me pouco aonde ir -disse Alice." Nesse caso, pouco importa o caminho que sigas -replicou o gato.Lewis Carroll iv RESUMO A sustentabilidade de uma organização é uma das principais preocupações de um administrador. Portanto, é preciso analisar o equilíbrio dinâmico entre risco e desempenho. Esta relação deve ser estendida à tecnologia da informação, considerando que sua influência sobre o negócio é crescente. Práticas de governança de TI têm sido adotadas como instrumento para padronizar processos e minimizar riscos. Esta pesquisa teve como foco organizações brasileiras prestadoras de serviços de TI certificadas ISO 20.000. Os principais objetivos foram: elencar os processos críticos da norma para as empresas; o grau de formalismo com o qual são aplicados e identificar fatores de risco e desempenho. O método utilizado foi revisar o uso de conceitos e desenvolver um modelo conceitual sobre eles. A coleta de dados foi realizada em duas fases: questionário on-line e entrevistas com gestores de oito organizações. As conclusões do estudo mostraram que a norma ISO 20.000 não é aplicada nas organizações tal qual prescrito, não só por suas idiossincrasias, mas também por necessidades de ajustes nos processos da norma. Os fatores encontrados que contribuem negativamente para isto foram: orientação ao atendimento das necessidades dos clientes e formato da decisão sobre investimentos de TI, enquanto os positivos foram: associar riscos a erros das pessoas; cultura de melhoria contínua e controle sobre mudanças. v ABSTRACT Organizational business sustainability is one of the biggest concerns of an administrator, therefore it is needed to analyze the dynamic balance between risk and performance. This relati...