No cenário contemporâneo de transformação digital acelerada, a Tecnologia da Informação e Comunicação (TIC) deixou de ser uma função acessória de suporte para consolidar-se como o motor estratégico das organizações. À medida que a dependência tecnológica cresce, aumenta também a pressão por maior previsibilidade, segurança e entrega de valor. Nesse contexto, surge o desafio de equilibrar a adoção de frameworks de melhores práticas, como o ITIL e o COBIT, com a conformidade estrita às normas técnicas nacionais e internacionais, representadas pelas séries ABNT NBR ISO/IEC 38500 (Governança) e 20000 (Gestão de Serviços).
- Veja algumas referências das normas da ABNT para gestores e profissionais de TIC
- Veja leis e regulamentações relacionadas ao mercado de TIC
- Saiba mais sobre mais sobre COBIT 2019 e ITIL 4
Embora o mercado frequentemente trate essas referências como equivalentes, existe uma distinção fundamental entre o caráter prescritivo das recomendações das normas ISO — que estabelecem requisitos auditáveis — e o caráter orientativo dos frameworks, que oferecem roteiros de implementação. Além disso, a "obrigatoriedade" dessas normas tem migrado de uma escolha voluntária para uma exigência de mercado e conformidade regulatória, tornando o selo de certificação um requisito de sobrevivência em ecossistemas de negócios complexos.
Contudo, a simples adoção de processos sem um entendimento prévio da realidade organizacional pode levar a uma burocratização ineficiente, gerando em muitas das vezes uma resistência interna desnecessária. Torna-se imperativo, portanto, a realização de um diagnóstico consistente do nível de maturidade dos processos. Este artigo propõe-se a analisar a correlação entre a aplicação integrada dessas normas e frameworks e a efetividade das operações de TI, discutindo como o diagnóstico de maturidade atua como bússola para que a governança deixe de ser uma teoria de prateleira e torne-se um diferencial competitivo real.
O Consenso sobre a Obrigatoriedade e o Uso das Normas na TI
De Jure vs. De Facto: A Natureza da Obrigatoriedade
Embora, sob o ponto de vista estritamente legal, não exista uma lei que obrigue empresas privadas a adotarem a ISO/IEC 20000 ou o ITIL, a obrigatoriedade manifesta-se de duas formas indiretas, mas extremamente poderosas:
Obrigatoriedade Contratual (Market Mandate): No ecossistema de B2B (Business to Business), a certificação ISO/IEC 20000-1 tornou-se um pré-requisito em editais de licitação e contratos de terceirização de serviços de TI (Managed Services). Empresas que não comprovam conformidade são sumariamente excluídas de grandes cadeias de suprimentos.
Obrigatoriedade Regulatória: Setores altamente regulados — como o financeiro (BACEN), saúde (ANS) e energia (ANEEL) — emitem resoluções que exigem "controles de governança e gestão de riscos". Para atender a essas exigências, o mercado estabeleceu o consenso de que a ISO/IEC 38500 e o COBIT são as evidências mais robustas de conformidade perante os reguladores.
Consenso sobre a adoção da ABNT NBR ISO/IEC 38500 (Governança Corporativa de TI)
Esta norma fornece princípios, definições e um modelo para estruturas de governança utilizarem ao avaliar, direcionar e monitorar o uso da TI, incluindo orientações para aqueles que assessoram, informam ou auxiliam as estruturas de governança. Neste contexto podemos citar os gerentes executivos; membros de grupos que monitoram uso de recursos na organização; empresas externas ou especialistas técnicos; prestadores de serviços internos e externos como consultores; e auditores.
O consenso atual sobre a ISO/IEC 38500 é que ela serve como o "escudo" para os diretores e conselheiros em grandes empresas e organizações. Em um cenário de crescente responsabilização civil e criminal por falhas tecnológicas (como vazamento de dados), a adoção desta norma nas empresas reforça que a alta direção exerce seu dever de diligência, avaliando, dirigindo e monitorando a utilização de recursos de Tecnologia da Informação e Comunicação (TIC).
Abaixo seguem alguns contextos onde podemos identificar sua aplicação:
| Situação | Recomendação de Norma / Framework | Nível de "Obrigatoriedade" |
| Bidding / Licitações Públicas | ISO/IEC 20000-1 | Alta (Pré-requisito) |
| Prestação de Contas ao Conselho | ISO/IEC 38500 / COBIT 2019 | Alta (Compliance) |
| Melhoria de Operação Interna | ITIL 4 | Média (Eficiência) |
| Segurança e Privacidade (LGPD) | ISO/IEC 27001 | Alta (Legal/Risco) |
Diagnóstico de Maturidade: A Variação de Desempenho
A literatura e a prática de mercado (ISACA, 2019) apontam que a efetividade da TI não depende apenas da existência do processo, mas do seu Nível de Capacidade.
Maturidade Baixa (Nível 1-2): Processos reativos e dependentes de "heróis".
Maturidade Elevada (Nível 4-5): Processos medidos, otimizados e alinhados à ISO/IEC 20000, garantindo que a entrega de serviço seja consistente, independentemente de quem a executa.
O Diagnóstico de Maturidade via Modelo de Capacidade do COBIT 2019
Para que a aplicação das normas ISO e das práticas ITIL não seja apenas um exercício burocrático, o COBIT 2019 introduz o CPM (COBIT Performance Management). Este modelo permite medir o quão bem um processo de governança ou gestão está operando, variando de 0 a 5:
Escala de Capacidade do Processo
| Nível | Status | Descrição |
|---|---|---|
| 0 | Incompleto | O processo não existe ou não atinge seu objetivo básico. |
| 1 | Inicial | O processo atinge seu objetivo, mas de forma desorganizada e intuitiva. |
| 2 | Gerenciado | O processo é planejado, monitorado e ajustado, mas ainda em nível de projeto/departamento. |
| 3 | Definido | O processo é padronizado para toda a organização (é aqui que a ISO/IEC 20000 e o ITIL ganham corpo institucional). |
| 4 | Quantificado | O processo é medido e controlado estatisticamente. |
| 5 | Otimizado | Foco total em melhoria contínua e inovação. |
Metodologia de Diagnóstico
O artigo deve sugerir que o diagnóstico siga três passos fundamentais:
Identificação do Escopo: Nem todos os processos precisam de nível 5. A organização deve definir o "Nível Alvo" com base nos objetivos estratégicos (alinhamento com a ISO/IEC 38500).
Coleta de Evidências: Análise de artefatos, entrevistas e observação da operação real frente aos requisitos da ISO/IEC 20000.
Análise de Gap: Identificação da distância entre a capacidade atual e a necessária para a conformidade normativa.
Correlação: Maturidade vs. Efetividade
A efetividade das normas ABNT NBR ISO/IEC é diretamente proporcional ao nível de maturidade:
Baixa Maturidade + ISO: Gera uma "conformidade de fachada", onde a TI possui o certificado, mas os incidentes continuam altos e a percepção de valor pelo negócio é baixa.
Alta Maturidade (Nível 3+) + ISO: Consolida uma operação resiliente, onde os processos ITIL rodam de forma fluida, os SLA´s são cumpridos consistentemente e a governança (ISO 38500) possui dados reais para a tomada de decisão.
A Primazia do Diagnóstico
O diagnóstico de maturidade não é um evento isolado, mas o alicerce de toda a estratégia de Governança de TI. Sem uma avaliação honesta e consistente do estado atual, a tentativa de implementar normas ISO ou frameworks como ITIL assemelha-se a construir um edifício sobre areia movediça. O diagnóstico fornece a visibilidade necessária para priorizar investimentos, corrigir desvios culturais e, acima de tudo, garantir que a busca pela conformidade normativa resulte em efetividade operacional real.
Em última análise, o sucesso na aplicação das melhores práticas não é medido pela posse de um certificado ou manual, mas pela maturidade com que a organização executa seus processos para gerar valor sustentável ao negócio.

0 Comentários