A sustentabilidade de uma organização é uma das principais preocupações de um administrador. Portanto, é preciso analisar o equilíbrio dinâmico entre risco e desempenho. Esta relação deve ser estendida à tecnologia da informação, considerando que sua influência sobre o negócio é crescente. Práticas de governança de TI têm sido adotadas como instrumento para padronizar processos e minimizar riscos. Esta pesquisa teve como foco organizações brasileiras prestadoras de serviços de TI certificadas ISO 20.000. Os principais objetivos foram: elencar os processos críticos da norma para as empresas; o grau de formalismo com o qual são aplicados e identificar fatores de risco e desempenho. O método utilizado foi revisar o uso de conceitos e desenvolver um modelo conceitual sobre eles. A coleta de dados foi realizada em duas fases: questionário on-line e entrevistas com gestores de oito organizações. As conclusões do estudo mostraram que o modelo canônico não é aplicado nas organizações tal qual prescrito, não só por suas idiossincrasias, mas também por necessidades de ajustes nos processos da norma. Os fatores encontrados que contribuem negativamente para isto foram: orientação ao atendimento das necessidades dos clientes e formato da decisão sobre investimentos de TI, enquanto os positivos foram: associar riscos a erros das pessoas; cultura de melhoria contínua e controle sobre mudanças.

Organizational business sustainability is one of the biggest concerns of an administrator, therefore it is needed to analyze the dynamic balance between risk and performance. This relationship must be extended to information technology, considering its growing influence over business. IT governance practices are being adopted as an instrument to standardize processes and minimize risks. This research had its focus on Brazilian IT service provider organizations that are ISO 20.000 certified. Its main objectives were: rank the norm critical processes to companies; formalism degree to which they are applied, and to identify risk and performance factors. The method used was to review concepts usage and developed a conceptual model about them. Data gathering was made in two phases: online questionnaire and interviews with senior managers of eight organizations. Study conclusions showed that this canonic model is not applied by the organizations as it is prescribed, not only because their idiosyncrasies, but also by their adjustments needs on the norm's processes. Identified factors that negatively contribute to this were: orientation to customer needs fulfillment and IT investments decision format, while positive factors were: associate risks to people's errors, continual improvement culture, and control of changes