Sinergia entre Governança e Gestão: Uma Análise Comparativa entre as Normas ISO/IEC e os Frameworks ITIL e COBIT na Maturidade das Operações de TI




No cenário contemporâneo de transformação digital acelerada, a Tecnologia da Informação e Comunicação (TIC) deixou de ser uma função acessória de suporte para consolidar-se como o motor estratégico das organizações. À medida que a dependência tecnológica cresce, aumenta também a pressão por maior previsibilidade, segurança e entrega de valor. Nesse contexto, surge o desafio de equilibrar a adoção de frameworks de melhores práticas, como o ITIL e o COBIT, com a conformidade estrita às normas técnicas nacionais e internacionais, representadas pelas séries ABNT NBR ISO/IEC 38500 (Governança) e 20000 (Gestão de Serviços).

Embora o mercado frequentemente trate essas referências como equivalentes, existe uma distinção fundamental entre o caráter prescritivo das recomendações das normas ISO — que estabelecem requisitos auditáveis — e o caráter orientativo dos frameworks, que oferecem roteiros de implementação. Além disso, a "obrigatoriedade" dessas normas tem migrado de uma escolha voluntária para uma exigência de mercado e conformidade regulatória, tornando o selo de certificação um requisito de sobrevivência em ecossistemas de negócios complexos.

Contudo, a simples adoção de processos sem um entendimento prévio da realidade organizacional pode levar a uma burocratização ineficiente, gerando em muitas das vezes uma resistência interna desnecessária. Torna-se imperativo, portanto, a realização de um diagnóstico consistente do nível de maturidade dos processos. Este artigo propõe-se a analisar a correlação entre a aplicação integrada dessas normas e frameworks e a efetividade das operações de TI, discutindo como o diagnóstico de maturidade atua como bússola para que a governança deixe de ser uma teoria de prateleira e torne-se um diferencial competitivo real.

O Consenso sobre a Obrigatoriedade e o Uso das Normas na TI

De Jure vs. De Facto: A Natureza da Obrigatoriedade

Embora, sob o ponto de vista estritamente legal, não exista uma lei que obrigue empresas privadas a adotarem a ISO/IEC 20000 ou o ITIL, a obrigatoriedade manifesta-se de duas formas indiretas, mas extremamente poderosas:

Obrigatoriedade Contratual (Market Mandate): No ecossistema de B2B (Business to Business), a certificação ISO/IEC 20000-1 tornou-se um pré-requisito em editais de licitação e contratos de terceirização de serviços de TI (Managed Services). Empresas que não comprovam conformidade são sumariamente excluídas de grandes cadeias de suprimentos.

Obrigatoriedade Regulatória: Setores altamente regulados — como o financeiro (BACEN), saúde (ANS) e energia (ANEEL) — emitem resoluções que exigem "controles de governança e gestão de riscos". Para atender a essas exigências, o mercado estabeleceu o consenso de que a ISO/IEC 38500 e o COBIT são as evidências mais robustas de conformidade perante os reguladores.


Consenso sobre a adoção da ABNT NBR ISO/IEC 38500 (Governança Corporativa de TI)

Esta norma fornece princípios, definições e um modelo para estruturas de governança utilizarem ao avaliar, direcionar e monitorar o uso da TI, incluindo orientações para aqueles que assessoram, informam ou auxiliam as estruturas de governança. Neste contexto podemos citar os gerentes executivos; membros de grupos que monitoram uso de recursos na organização; empresas externas ou especialistas técnicos; prestadores de serviços internos e externos como consultores; e auditores.

O consenso atual sobre a ISO/IEC 38500 é que ela serve como o "escudo" para os diretores e conselheiros em grandes empresas e organizações. Em um cenário de crescente responsabilização civil e criminal por falhas tecnológicas (como vazamento de dados), a adoção desta norma nas empresas reforça que a alta direção exerce seu dever de diligência, avaliando, dirigindo e monitorando a utilização de recursos de Tecnologia da Informação e Comunicação (TIC).

Abaixo seguem alguns contextos onde podemos identificar sua aplicação:

Situação Recomendação de Norma / Framework Nível de "Obrigatoriedade"
Bidding / Licitações Públicas ISO/IEC 20000-1 Alta (Pré-requisito)
Prestação de Contas ao Conselho ISO/IEC 38500 / COBIT 2019 Alta (Compliance)
Melhoria de Operação Interna ITIL 4 Média (Eficiência)
Segurança e Privacidade (LGPD) ISO/IEC 27001 Alta (Legal/Risco)


Diagnóstico de Maturidade: A Variação de Desempenho

A literatura e a prática de mercado (ISACA, 2019) apontam que a efetividade da TI não depende apenas da existência do processo, mas do seu Nível de Capacidade.

Maturidade Baixa (Nível 1-2): Processos reativos e dependentes de "heróis".

Maturidade Elevada (Nível 4-5): Processos medidos, otimizados e alinhados à ISO/IEC 20000, garantindo que a entrega de serviço seja consistente, independentemente de quem a executa.


O Diagnóstico de Maturidade via Modelo de Capacidade do COBIT 2019

Para que a aplicação das normas ISO e das práticas ITIL não seja apenas um exercício burocrático, o COBIT 2019 introduz o CPM (COBIT Performance Management). Este modelo permite medir o quão bem um processo de governança ou gestão está operando, variando de 0 a 5:

Escala de Capacidade do Processo

NívelStatusDescrição
0IncompletoO processo não existe ou não atinge seu objetivo básico.
1InicialO processo atinge seu objetivo, mas de forma desorganizada e intuitiva.
2GerenciadoO processo é planejado, monitorado e ajustado, mas ainda em nível de projeto/departamento.
3DefinidoO processo é padronizado para toda a organização (é aqui que a ISO/IEC 20000 e o ITIL ganham corpo institucional).
4QuantificadoO processo é medido e controlado estatisticamente.
5OtimizadoFoco total em melhoria contínua e inovação.


Metodologia de Diagnóstico

O artigo deve sugerir que o diagnóstico siga três passos fundamentais:

Identificação do Escopo: Nem todos os processos precisam de nível 5. A organização deve definir o "Nível Alvo" com base nos objetivos estratégicos (alinhamento com a ISO/IEC 38500).

Coleta de Evidências: Análise de artefatos, entrevistas e observação da operação real frente aos requisitos da ISO/IEC 20000.

Análise de Gap: Identificação da distância entre a capacidade atual e a necessária para a conformidade normativa.

Correlação: Maturidade vs. Efetividade

A efetividade das normas ABNT NBR ISO/IEC é diretamente proporcional ao nível de maturidade:

Baixa Maturidade + ISO: Gera uma "conformidade de fachada", onde a TI possui o certificado, mas os incidentes continuam altos e a percepção de valor pelo negócio é baixa.

Alta Maturidade (Nível 3+) + ISO: Consolida uma operação resiliente, onde os processos ITIL rodam de forma fluida, os SLA´s são cumpridos consistentemente e a governança (ISO 38500) possui dados reais para a tomada de decisão.

A Primazia do Diagnóstico

O diagnóstico de maturidade não é um evento isolado, mas o alicerce de toda a estratégia de Governança de TI. Sem uma avaliação honesta e consistente do estado atual, a tentativa de implementar normas ISO ou frameworks como ITIL assemelha-se a construir um edifício sobre areia movediça. O diagnóstico fornece a visibilidade necessária para priorizar investimentos, corrigir desvios culturais e, acima de tudo, garantir que a busca pela conformidade normativa resulte em efetividade operacional real.

Em última análise, o sucesso na aplicação das melhores práticas não é medido pela posse de um certificado ou manual, mas pela maturidade com que a organização executa seus processos para gerar valor sustentável ao negócio.

Postar um comentário

0 Comentários