DEV Community: ALC DEV

Como montar um budget de TI que o CFO aprova (e que voce consegue defender)

ALC DEV — Fri, 01 May 2026 16:14:30 +0000

O orcamento de TI e rejeitado pelo CFO por um motivo simples: foi montado como lista de desejos tecnicos em vez de proposta de valor para o negocio.

O formato que funciona

Cada item do budget precisa responder a uma dessas categorias:

Run (Manter): infraestrutura critica, renovacoes. Argumento: "se nao renovarmos, paramos de operar."

Grow (Crescer): projetos que suportam crescimento planejado. Argumento: "para abrir as 3 filiais no Q3, precisamos de X."

Transform (Transformar): inovacao com ROI claro. Argumento: "elimina R$ Y de custo operacional em 18 meses."

Exemplo reformulado

Item	Categoria	Custo	Beneficio/Risco
Renovacao Microsoft 365	Run	R$ 180k	Sem renovacao = 200 usuarios sem email e Teams
Backup replicado em nuvem	Run	R$ 95k	RPO atual 24h; requisito SOX 4h; risco multa R$ 500k
Migracao para nuvem	Transform	R$ 280k	Elimina R$ 140k/ano de hardware; ROI em 24 meses
Treinamentos seguranca	Grow	R$ 45k	Seguro cibernetico exige 80% do time treinado

O que o CFO ouve agora: "Se eu nao aprovar o backup, a auditoria SOX vai me questionar. Se eu nao aprovar o treinamento, perdemos o seguro cibernetico."

O que a TI sempre esquece

Custo de nao fazer: o servidor que nao foi renovado e parou a operacao por 2 dias custa mais que o servidor
Provisao para incidentes: 10-15% do budget como reserva
Custos ocultos de projetos: treinamento, dupla operacao, produtividade reduzida

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

ISO 27001:2022 - o que mudou e o que voce precisa atualizar no seu SGSI

ALC DEV — Fri, 01 May 2026 16:14:05 +0000

A versao 2022 da ISO 27001 entrou em vigor em outubro de 2022. O prazo de transicao encerrou em outubro de 2025.

O que mudou de fato

Os controles passaram de 114 para 93, organizados em 4 temas ao inves de 14 dominios:

Controles Organizacionais (37 controles) - politicas, papeis, terceiros
Controles de Pessoas (8 controles) - triagem, treinamento, trabalho remoto
Controles Fisicos (14 controles) - seguranca fisica, equipamentos
Controles Tecnologicos (34 controles) - controles tecnicos

Os 11 controles novos (que nao existiam na 2013)

5.7 - Threat intelligence
5.23 - Seguranca da informacao no uso de servicos em nuvem
5.30 - Prontidao de TIC para continuidade de negocios
8.9 - Gestao de configuracao
8.10 - Exclusao de informacoes (direito ao esquecimento + ciclo de vida)
8.11 - Mascaramento de dados
8.12 - Prevencao de vazamento de dados (DLP)
8.16 - Monitoramento de atividades
8.23 - Filtragem de web
8.28 - Codificacao segura

O que fazer se voce tem certificacao 2013

Gap assessment dos 11 controles novos
Atualizar a Declaracao de Aplicabilidade (SoA)
Implementar os gaps - foque em nuvem (5.23) e DLP (8.12)
Auditoria de transicao combinada com a recertificacao trienal

Os controles mais negligenciados

8.12 - DLP: o controle mais novo e menos implementado. Politica + monitoramento basico de email ja atende parcialmente.

5.23 - Servicos em nuvem: exige inventario de todos os SaaS em uso com avaliacao de risco.

Use o checklist completo em checklist-iso27001.com.br.

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

Shadow AI: o risco que o seu board nao sabe que existe (mas a ANPD sabe)

ALC DEV — Fri, 01 May 2026 16:13:40 +0000

Shadow IT sempre foi problema. Shadow AI e Shadow IT com dados sensiveis, decisoes automatizadas e zero auditabilidade - e outra categoria de risco.

O que e Shadow AI

Shadow AI e o uso de ferramentas de IA por funcionarios sem aprovacao e sem controle corporativo. ChatGPT com dados de clientes. Copilot analisando planilhas de RH.

Em 2023, a Samsung vazou codigo-fonte proprietario porque engenheiros usaram ChatGPT para depuracao. A informacao foi para o modelo de treinamento da OpenAI.

Por que e diferente de Shadow IT

Com Shadow AI:

Dados saem da empresa para servidores de terceiros (muitas vezes nos EUA)
LGPD e violada se dados pessoais sao enviados sem DPA com o fornecedor
Propriedade intelectual pode ir para conjuntos de treinamento
Decisoes automatizadas podem ser tomadas sem rastreabilidade

O que acontece nas empresas brasileiras agora

60-80% dos funcionarios de escritorio usam alguma ferramenta de IA regularmente
Menos de 10% das empresas tem politica de uso de IA aprovada
A maioria dos acordos com fornecedores de IA nao tem DPA adequado para dados brasileiros

Como o auditor vai encontrar isso

Em auditorias SOX e ISO 27001, auditores experientes ja perguntam:

"Qual e a politica de uso de IA da empresa?"
"Como voces controlam o que e enviado a modelos de linguagem externos?"

Ausencia de politica de IA em 2025 vai aparecer como achado em relatorios de auditoria.

O que fazer

Imediato (esta semana):

Publicar politica de uso de IA - pode ser uma pagina
Definir o que e permitido (texto generico sem dados de clientes) e o que nao e
Comunicar para todos os funcionarios

Em 30 dias:

Inventario das ferramentas de IA em uso
Avaliacao dos contratos com fornecedores de IA quanto a DPA

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

CTO Fracionado vs CLT: quando cada modelo faz sentido (com numeros reais)

ALC DEV — Fri, 01 May 2026 16:13:15 +0000

A pergunta que todo CEO de empresa em crescimento faz: "precisamos de um CTO - mas em tempo integral?"

O que pode ser fracionado

Estrategico (pode ser fracionado):

Arquitetura e decisoes de tecnologia de longo prazo
Selecao e avaliacao de fornecedores
Roadmap tecnico e priorizacao

Operacional (dificil de fracionado):

Gestao do dia a dia da equipe
Participacao em reunioes diarias
Contratacao e demissao do time tecnico

A maioria das empresas de 50-200 funcionarios precisa da camada estrategica - nao do CTO operacional.

Os numeros

CTO CLT senior em Sao Paulo/Curitiba:

Salario: R$ 25-45k/mes
Encargos (~70%): R$ 17-31k/mes
Total empregador: R$ 42-77k/mes

CTO Fracionado (2-3 dias/semana):

Honorarios: R$ 12-25k/mes
Sem encargos trabalhistas
Total: R$ 12-25k/mes
Inicio em 1-2 semanas, saida com 30 dias de aviso

Quando o CTO CLT faz sentido

Equipe tecnica acima de 15 pessoas
Produto de tecnologia (TechCo, nao empresa usando tecnologia)
Funding recente que exige escalabilidade rapida de time

Quando o CTO Fracionado faz sentido

Empresa 50-500 funcionarios usando tecnologia como meio, nao fim
CIO/gerente de TI bom no operacional, sem experiencia estrategica
Pre-auditoria ou pre-M&A que exige visao tecnica de alto nivel
Empresa que herdou parque tecnologico legado e precisa de diagnostico

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

Os 7 pontos em contratos de TI que todo gestor deveria revisar (e quase ninguem revisa)

ALC DEV — Fri, 01 May 2026 14:20:45 +0000

O orcamento de TI e rejeitado pelo CFO por um motivo simples: foi montado como lista de desejos tecnicos em vez de proposta de valor para o negocio.

O formato que funciona

Cada item do budget precisa responder a uma dessas categorias:

Run (Manter): infraestrutura critica, renovacoes. Argumento: "se nao renovarmos, paramos de operar."

Grow (Crescer): projetos que suportam crescimento planejado. Argumento: "para abrir as 3 filiais no Q3, precisamos de X."

Transform (Transformar): inovacao com ROI claro. Argumento: "elimina R$ Y de custo operacional em 18 meses."

Exemplo reformulado

Item	Categoria	Custo	Beneficio/Risco
Renovacao Microsoft 365	Run	R$ 180k	Sem renovacao = 200 usuarios sem email e Teams
Backup replicado em nuvem	Run	R$ 95k	RPO atual 24h; requisito SOX 4h; risco multa R$ 500k
Migracao para nuvem	Transform	R$ 280k	Elimina R$ 140k/ano de hardware; ROI em 24 meses
Treinamentos seguranca	Grow	R$ 45k	Seguro cibernetico exige 80% do time treinado

O que o CFO ouve agora: "Se eu nao aprovar o backup, a auditoria SOX vai me questionar. Se eu nao aprovar o treinamento, perdemos o seguro cibernetico."

O que a TI sempre esquece

Custo de nao fazer: o servidor que nao foi renovado e parou a operacao por 2 dias custa mais que o servidor
Provisao para incidentes: 10-15% do budget como reserva
Custos ocultos de projetos: treinamento, dupla operacao, produtividade reduzida

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

SLA na pratica: o que colocar no contrato para nao se arrepender depois

ALC DEV — Fri, 01 May 2026 14:13:12 +0000

Todo contrato de TI tem SLA. Poucos SLAs sao escritos para funcionar - a maioria protege o fornecedor enquanto parece proteger o cliente.

O problema comeca na definicao de disponibilidade

99,9% de uptime significa 8,7 horas de indisponibilidade por ano. Se esse downtime acontecer nas 3 horas criticas de fechamento contabil, o SLA foi cumprido - e sua operacao parou.

A armadilha: fornecedores medem uptime em janela 24x7. Seu sistema critico precisa de 99,9% das 8h as 20h em dias uteis - isso e diferente.

Os 5 elementos que todo SLA precisa ter

1. Definicao de disponibilidade com janela correta

Janela de medicao: dias uteis, das 7h as 21h (horario de Brasilia).
Exclusoes: manutencoes programadas com 72h de aviso previo.

2. Categorias de incidente com RTO definido

Severidade	Definicao	Resposta	RTO
P1 Critico	Sistema indisponivel	15 min	4h
P2 Alto	Funcionalidade principal degradada	1h	8h
P3 Medio	Funcionalidade secundaria afetada	4h	2 dias uteis

3. Como medir - nao apenas o que medir

"Disponibilidade medida pelo fornecedor" e conflito de interesse. Exija ferramenta externa (UptimeRobot, Pingdom, Datadog) com acesso de leitura para o cliente.

4. Penalidades com dentes

Credito de servico proporcional ao impacto (nao ao custo mensal)
Direito de rescisao sem multa se SLA descumprido por 3 meses consecutivos

5. A clausula mais negligenciada: RPO

Para sistemas financeiros, RPO > 1h e risco regulatorio (SOX, BACEN). Exija RPO explicito no contrato.

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

DPO: sua empresa e obrigada a ter? Um guia pratico sem juridiques

ALC DEV — Fri, 01 May 2026 14:12:51 +0000

A pergunta mais comum de gestores de media empresa: "somos obrigados a ter DPO?" A resposta honesta: depende - mas o risco de nao ter quando deveria e alto demais para ignorar.

O que a LGPD diz

O art. 41 da LGPD obriga a nomeacao de DPO para controladores. A lei nao define porte minimo, volume minimo nem setor especifico. Ate o momento nao ha isencao formal publicada para empresas de medio porte.

Os sinais de que voce precisa de DPO

Trata dados de saude, biometria, origem etnica ou dados de menores? DPO obrigatorio, sem discussao.
Mais de 500 clientes com dados cadastrais ativos? Trate como obrigatorio.
Decisao automatizada sobre pessoas (credito, triagem, promocao)? DPO obrigatorio.
Fornecedor do governo federal? DPO obrigatorio por contrato.
Clientes que pedem prova de conformidade LGPD? DPO resolve isso.

DPO interno vs externo

DPO interno (R$ 8-15k/mes) faz sentido para empresas com >500 funcionarios e alto volume de tratamento.

DPO externo (R$ 2-5k/mes) faz sentido para PMEs com tratamento moderado que precisam da figura para contratos.

Cuidado: DPO externo que assina documentos mas nao participa de decisoes e risco - a ANPD pode responsabilizar tanto o controlador quanto o DPO.

O custo de nao ter quando deveria

Ausencia de DPO em empresa que deveria ter e agravante na dosimetria. Em empresas com faturamento de R$ 100 mi+/ano, isso pode representar diferenca de R$ 1-2 mi por infracao.

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

Por que 70% dos programas de governanca de dados falham (e como evitar)

ALC DEV — Fri, 01 May 2026 14:12:29 +0000

Toda empresa grande tem um programa de governanca de dados. Poucas tem governanca funcionando.

O fracasso tem padrao

TI lidera o projeto sem patrocinio do board
Catalogo de dados criado no primeiro mes e nunca mais atualizado
Data Owner nomeado sem autoridade real para decidir
LGPD tratada como departamento juridico, nao como risco operacional
Nenhuma metrica de negocio - so metricas de processo

Governanca que funciona: os 4 pilares reais

1. Patrocinio executivo com skin in the game

Sem CFO ou CEO como sponsor, o conflito entre areas fica sem resolucao. KPI de governanca no scorecard do C-level: "Percentual de dados com Data Owner e classificacao definidos."

2. Papeis com dentes

Data Owner: gestor de negocio que decide quem acessa, qual qualidade e aceitavel, quanto tempo guardar.
Data Steward: operacional que implementa as decisoes do Owner.
DPO: responsavel pelo programa LGPD - intersecta com governanca mas nao e o mesmo.

Erro classico: nomear o CTO como Data Owner de tudo. Resultado: ninguem decide nada.

3. Casos de uso que pagam a conta

Reducao de multa regulatoria: governanca documentada e atenuante para ANPD
Tempo de fechamento contabil: dados de qualidade reduzem retrabalho em 30-60%
Due diligence de M&A: comprador paga mais quando os dados estao governados

4. Tecnologia por ultimo

Excel documentado e atualizado vale mais que catalogo corporativo abandonado.

A pergunta que revela o estado real

"Quem e o Data Owner dos dados de clientes?"

Se a resposta for "TI" ou "o time de dados" - voce nao tem governanca.
Se a resposta for "Fulano, da area Comercial" com nome e responsabilidade - voce tem um inicio.

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

ITGC explicado para quem nao e de TI (mas precisa aprovar a auditoria)

ALC DEV — Fri, 01 May 2026 14:12:07 +0000

CFO, Controller, Gerente de Compliance: este artigo e para voce. Seu auditor vai pedir evidencias de ITGC e voce precisa entender o suficiente para cobrar sua equipe de TI.

ITGC em uma frase

IT General Controls sao os controles que garantem que o ERP nao mente. Se os controles de TI falham, os relatorios financeiros podem estar errados sem que ninguem saiba.

Os quatro dominios que o auditor vai checar

1. Controle de Acesso

O auditor quer saber: alguem sem autorizacao pode criar nota fiscal, aprovar pagamento ou alterar cadastro de fornecedor?

O que ele vai pedir:

Lista de usuarios do ERP com perfis de acesso
Evidencia de que usuarios desligados foram bloqueados (dentro de 24h)
Matriz de Segregacao de Funcoes (SoD)

Red flag: "o sistema nao deixa fazer isso" sem evidencia de que o controle existe mesmo.

2. Gestao de Mudancas

Qualquer mudanca no ERP precisa de processo documentado.

O que ele vai pedir:

Tickets de change management para alteracoes em producao no periodo auditado
Evidencia de teste e aprovacao antes de ir para producao
Log de transportes (SAP: SE01/SE10; Oracle: historico de patches)

3. Operacoes de TI

O que ele vai pedir:

Log de backups + evidencia de pelo menos um restore bem-sucedido
Relatorio de jobs criticos com alertas documentados
Chamados de incidentes com RCA para os 3 maiores do ano

Red flag: "nosso backup funciona" sem nunca ter testado o restore.

4. Continuidade de Negocios

O que ele vai pedir:

Documento de BCP/DRP com RTO e RPO definidos para sistemas financeiros
Ata da ultima aprovacao pelo board
Relatorio do ultimo teste de contingencia

O que fazer se nao tiver nada disso

Faca um diagnostico antes da auditoria, identifique as lacunas e apresente plano de remediacao. Auditores aceitam plano com cronograma - o que nao aceitam e ausencia total de controles sem plano.

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

ISO 42001: o que e, para quem serve e por que vai virar exigencia contratual

ALC DEV — Fri, 01 May 2026 14:11:46 +0000

Em dezembro de 2023, a ISO publicou a 42001 - a primeira norma internacional para sistemas de gestao de inteligencia artificial.

O que a ISO 42001 cobre

Politica de IA e objetivos mensuraveis
Avaliacao de impacto de IA (AIIA)
Gestao de riscos de IA (vies algoritmico, opacidade, deriva de modelo)
Papeis e responsabilidades (quem aprova modelos, quem monitora, quem desliga)
Documentacao de modelos (origem dos dados, parametros, limitacoes conhecidas)

Quem precisa agora

De imediato:

Empresas que fornecem sistemas de IA para o governo federal (Lei 14.129/2021 e PL 2338)
Multinacionais sujeitas ao EU AI Act (vigor em agosto/2024)
Fintechs e seguradoras com modelos de credito/score

Em breve:

Qualquer empresa que licite com corporacoes que exigem ISO 42001 nos fornecedores
Empresas de saude com IA em diagnostico ou triagem

Diferenca da ISO 27001

Aspecto	ISO 27001	ISO 42001
Foco	Seguranca da informacao	Gestao de sistemas de IA
Risco principal	Vazamento, acesso nao autorizado	Vies, opacidade, deriva, impacto social
Documentacao central	SGSI, controles de acesso	Inventario de modelos, AIIA

O que implementar primeiro

Inventario de modelos de IA - liste todos os sistemas com ML/IA em uso
Classificacao de risco - decisoes automatizadas sobre pessoas sao alto risco
Politica de IA - uma pagina, aprovada pela diretoria
Processo de aprovacao de novos modelos

Certificacao ou adequacao?

Para a maioria das empresas, adequacao sem certificacao ja resolve: documentar que voce segue os requisitos e suficiente para contratos. A certificacao formal (R$ 30-80k) vem quando o cliente exige expressamente.

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

Como a ANPD calcula multa LGPD: o que toda empresa precisa saber

ALC DEV — Fri, 01 May 2026 14:11:24 +0000

A ANPD aplicou as primeiras multas significativas em 2023. Em 2024 e 2025, o ritmo aumentou.

Os 8 criterios de dosimetria

O Regulamento de Dosimetria (Resolucao CD/ANPD n. 4/2023) define 8 criterios:

Gravidade e natureza - dados sensiveis (saude, biometria, origem racial) pesam mais
Boa-fe - cooperar com a ANPD reduz a multa
Vantagem obtida - se houve ganho economico com a infracao
Situacao economica - empresa de R$ 50 mi/ano e tratada diferente de startup
Reincidencia - segunda infracao = multiplicador
Grau de dano - quantas pessoas afetadas, qual a gravidade do vazamento
Cooperacao - notificacao proativa dentro de 72h
Adocao de politicas - empresa com DPO nomeado e RIPD documentado leva menos

Os erros mais caros

Nao notificar em 72 horas. Empresas que demoram semanas levam agravante.

Sem base legal definida. Cada tratamento sem base e uma infracao separada.

DPO fantasma. Nomear um DPO no papel que nao funciona na pratica demonstra ma-fe.

RIPD nao feito. Obrigatorio para tratamento de dados sensiveis e de alto risco.

Setores em alerta

Saude: prontuarios, laudos - todos sao dados sensiveis
RH/Folha: dados de funcionarios incluem biometria e saude
Financeiro: dados de renda e credito tem regime especial
Educacao: dados de menores exigem consentimento dos pais

Use a calculadora em multa-lgpd.com.br para estimar sua exposicao real.

Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br

Como preparar sua empresa para auditoria SOX em sistemas ERP

ALC DEV — Fri, 01 May 2026 14:11:02 +0000

Se a sua empresa tem ações na bolsa ou é subsidiária de uma empresa americana, a Sarbanes-Oxley (SOX) provavelmente já chegou na sua porta — ou vai chegar. E quando o auditor externo pede evidências de controles ITGC no ERP, improviso não resolve.

O que o auditor SOX realmente quer ver

Auditores SOX focam em quatro domínios dentro do ERP:

1. Controle de Acesso

Quem tem acesso a quê — e por quê
Conflitos de Segregação de Funções (SoD): ninguém pode criar fornecedor E aprovar pagamento
Usuários genéricos, compartilhados ou inativos com acesso ativo
Revisão periódica de acessos privilegiados (SA38, SE38 no SAP; DBA_USERS no Oracle)

2. Gestão de Mudanças

Todo ajuste em produção precisa de ticket aprovado
Transporte de objetos documentado (SAP: SE01/SE09/SE10)
Ambiente de homologação separado de produção
Rollback documentado para cada mudança crítica

3. Operações de TI

Backup testado (não apenas executado — testado com restore real)
Monitoramento de jobs críticos com alertas
Gestão de incidentes com RCA documentado
Logs de sistema íntegros e imutáveis

4. Continuidade de Negócios

BCP/DRP documentado, testado e aprovado pelo board
RTO e RPO definidos para sistemas financeiros
Teste de contingência realizado ao menos anualmente

Os erros mais comuns que reprovam auditorias

Usuários fantasma. Em uma auditoria recente em uma empresa de mineração, encontramos 47 usuários ativos no Oracle ERP que eram de funcionários desligados. Alguns tinham acesso a módulos financeiros. A EY levantou como achado crítico.

SoD não resolvida. Conflito de "criar e aprovar" na folha de pagamento é o achado mais comum. O ERP permite — mas a política não pode permitir.

Mudanças em produção sem ticket. O DBA que "ajustou rapidinho" um parâmetro sem abrir chamado. Na hora da auditoria, não tem como explicar.

Backup sem evidência de restore. Backup que não foi testado não é backup — é esperança.

Como se preparar em 90 dias

Mês 1 — Diagnóstico:

Exportar todos os usuários ativos e cruzar com RH
Mapear conflitos SoD nos papéis mais críticos
Auditar log de mudanças dos últimos 6 meses

Mês 2 — Remediação:

Desativar usuários inativos e genéricos
Implementar processo formal de revisão de acesso (quarterly)
Documentar processo de change management

Mês 3 — Evidência:

Coletar screenshots e logs de cada controle
Preparar matriz de controles ITGC com evidências
Executar teste de restore de backup com documentação

Quando contratar auditoria externa antes da auditoria externa

Se você não tem certeza de que vai passar, vale contratar uma pré-auditoria. Custa menos que um achado crítico. A ALC faz diagnóstico de ITGC com modelo de success fee — saiba mais em auditoria-erp.com.br.

Anderson Chipak — Auditor de Sistemas Críticos | ALC Consultoria | alc.srv.br