Como este tema funciona na sua empresa
ISO 38500 raramente é objetivo formal, exceto quando cliente grande exige. Desafio é entender propósito além "parecer certificado". Abordagem: implementação leve focando em 6 princípios, não em burocracia. Responsabilidade: gestor de TI + dono do negócio conversando estruturadamente sobre direção.
ISO 38500 pode surgir como objetivo de conformidade ou requisito de cliente maior. Desafio: implementar sem duplicar com COBIT. Abordagem: usar ISO 38500 como framework estratégico (board/CEO), COBIT como operacional (executivos de TI); integrar os dois sem overhead burocrático.
ISO 38500 é framework de referência para board governance. Integrado com governança corporativa. Desafio: evitar "ISO theater" (aparência sem substância). Abordagem: board/conselho entende e aprova governança de TI via ISO 38500; COBIT operacionaliza; GRC consolida.
ISO/IEC 38500 é padrão internacional que oferece princípios de governança de TI para órgãos de direção (board, CEO, CFO) — não para técnicos. Define responsabilidade, avaliação, direção e monitoramento de TI em nível estratégico, não operacional. Complementa (não substitui) COBIT e ITIL.
O que é ISO 38500 — e o que não é
Confusão comum: confundir ISO 38500 com COBIT ou ITIL. Diferenças fundamentais:
ISO 38500: governança (direção estratégica)
Padrão para o conselho, board, CEO. Responde: "como TI contribui para objetivos corporativos? Quem decide sobre TI? Como monitoramos se TI está entregando valor?" Framework estratégico, não prescritivo. Oferece 6 princípios que devem ser adaptados ao contexto de cada organização.
Público-alvo: Board, CEO, CFO, diretor geral, acionista.
Foco: Alinhamento estratégico, valor, risco corporativo.
COBIT: gestão (operação inteligente)
Framework de gestão de TI para executivos de TI. Responde: "como operamos TI de forma governada, eficiente e alinhada com estratégia?" COBIT é prescritivo — oferece processos, controles, métricas concretas.
Público-alvo: CIO, diretor de operações de TI, gestores de processos.
Foco: Processos operacionais, controles internos, eficiência.
ITIL: serviço (como entregar)
Framework de gestão de serviços de TI. Responde: "como entregamos serviço de TI de qualidade, confiável e alinhado com demanda?" ITIL é tático — como estruturar help desk, incidente, mudança, continuidade.
Público-alvo: Gestores de operações, leads de processos, técnicos sênior.
Foco: Entrega de serviço, qualidade, SLA.
Relação entre os três
Pirâmide: ISO 38500 (topo) define os princípios de governança corporativa de TI. COBIT (meio) operacionaliza ISO 38500 com processos e controles. ITIL (base) implementa processos de COBIT através de gestão de serviços. Todos os três juntos = governança completa de TI.
Os 6 princípios de ISO 38500
ISO 38500 oferece 6 princípios que devem guiar governança de TI em qualquer organização. Não são prescritivos (não dizem "faça isto"), mas sim orientadores (indicam direção):
1. Responsabilidade (Responsibility)
Princípio: Cada pessoa envolvida em decisão, implementação ou uso de TI tem responsabilidade clara e acordada.
Prática: Matriz RACI explícita — quem decide (accountable), quem executa (responsible), quem consulta, quem informa. Exemplo: decisão de migração para cloud — CEO é accountable (responde por consequência), CIO é responsible (executa), CFO é consulted (custo), áreas são informed (impacto).
2. Estratégia (Strategy)
Princípio: Estratégia de TI está conectada (e derivada) da estratégia corporativa. Não é TI que define o que é importante; é negócio.
Prática: Plano estratégico de TI derivado de OKRs corporativos. Exemplo: se empresa quer crescer em vendas online, TI prioriza: plataforma de e-commerce, analytics, segurança de pagamento. Não é TI que decide (internamente) focar em "modernizar arquitetura" sem conexão com negócio.
3. Aquisição (Acquisition)
Princípio: Aquisição de TI (compra de ferramenta, contratação de serviço, decisão de build vs. buy) ocorre com rigor — custo, qualidade, risco considerados.
Prática: Processo formal de seleção de fornecedor, avaliação de custo total (TCO), análise de risco. Não é compra impulsiva ("tecnologia X é nova, vamos usar") ou apenas preço mais baixo. Inclui conformidade, suporte, viabilidade de integração.
4. Performance (Performance)
Princípio: TI é medida e monitorada — não apenas quanto custa, mas se entrega valor e opera eficientemente.
Prática: KPIs de TI acompanhados: ROI de projetos, custo por usuário, uptime, satisfação do usuário, alinhamento com estratégia. Dashboard apresentado regularmente a board/CEO. Não é vago ("TI está bom") — é dado.
5. Conformidade (Conformance)
Princípio: TI opera em conformidade com regulamentos, políticas internas e padrões éticos. Risco legal, regulatório e reputacional é gerenciado.
Prática: Conformidade com LGPD, SOX (se aplicável), requisitos setoriais. Controles internos sobre mudança, segurança, acesso. Auditorias internas e externas sobre aderência. Não é apenas "TI sabe das regras" — é comprovado.
6. Comportamento Humano (Human Behaviour)
Princípio: Governança de TI funciona apenas se pessoas entendem seu papel, têm competência e estão motivadas.
Prática: Treinamento de board em TI (literacy), desenvolvimento de CIO/liderança de TI, comunicação clara de decisões. Não é apenas estrutura — é cultura e capacidade. Exemplo: board que não entende TI nunca vai tomar decisão inteligente sobre modernização.
Implementação de ISO 38500: começar simples
ISO 38500 não é "certificação" (diferente de ISO 27001 ou COBIT que oferecem certificação formal). É um padrão que você se "aproxima" — auto-avaliação + auditoria confirmam conformidade.
Implementação leve: (1) gestor de TI + dono conversam mensalmente sobre alinhamento (estratégia). (2) Definem responsabilidades claras em decisões TI (responsabilidade). (3) Medem custo e satisfação (performance). (4) Conversam sobre conformidade se cliente exige (conformance). Documentação mínima — foco em prática.
Implementação estruturada: (1) Board/diretoria entende princípios de ISO 38500 (treinamento). (2) Governance charter formalizando responsabilidades. (3) Plano estratégico de TI derivado de OKRs corporativos. (4) Comitê de TI revisando aquisições maiores. (5) KPIs apresentados trimestralmente. (6) Conformidade documentada.
Implementação formal: (1) Board literacy em TI bem estruturada. (2) Governance charter com política clara. (3) OKRs de TI publicados, alinhados com corporativos. (4) GRC (Governance, Risk, Compliance) integrado. (5) Auditoria interna/externa testando conformidade. (6) Evolução contínua de práticas.
Passo 1: Avaliar onde você está hoje
Checklist simples dos 6 princípios: (1) Responsabilidades de TI são claras? (2) Estratégia de TI está conectada a estratégia corporativa? (3) Aquisições TI têm processo rigoroso? (4) TI é medida e monitorada? (5) Conformidade com regulamentos é garantida? (6) Board/liderança entende TI? Marque sim/não. Resultado mostra gaps.
Passo 2: Escolher 2–3 princípios para começar
Não implemente todos de uma vez. Comece com: Estratégia (alinhar TI com negócio), Responsabilidade (deixar claro quem decide), Performance (começar a medir). Os outros (aquisição, conformidade, comportamento) vêm depois.
Passo 3: Documentação mínima
Não crie burocracia. Para PME: governance charter de 1 página com responsabilidades. Para média empresa: 5 páginas. Para grande: mais formal, mas sempre focado em prática, não em processo vazio.
Passo 4: Apresentar a board/CEO
Board precisa aprovar (explicitamente) governança de TI. Reunião 1 hora, explicar 6 princípios, apresentar status ("estamos aqui", "vamos para lá"), pedir aprovação. Formaliza o compromisso.
Passo 5: Acompanhamento contínuo
Revisão trimestral ou semestral: estamos aderentes aos princípios? O que melhorou? O que precisa ajuste? Evolução é normal — ISO 38500 não é "implementou e pronto"; é melhoria contínua.
ISO 38500 x COBIT: como usar os dois
Pergunta frequente: "implemento ISO 38500 ou COBIT?" Resposta: use os dois, em camadas diferentes.
Modelo integrado
Nível board/estratégico: ISO 38500 — responsabilidades, alinhamento estratégico, conformidade, performance em nível corporativo.
Nível executivo de TI: COBIT — processos de governança (avaliar capacidade, direcionar melhorias, monitorar efetividade), gestão de riscos, controles internos.
Resultado: Board estabelece direção via ISO 38500 ("TI precisa estar alinhada com negócio e controlada"). CIO operacionaliza via COBIT ("implementar governança através de processos de avaliação, direcionamento, monitoramento").
Matriz de mapeamento
- ISO 38500 Estratégia ? COBIT Estratégia: Alinhamento de plano estratégico TI com corporativo
- ISO 38500 Performance ? COBIT Gestão de Desempenho: Medição e comunicação de KPIs
- ISO 38500 Aquisição ? COBIT Gestão de Fornecedor: Avaliação, contratação, gestão de fornecedor
- ISO 38500 Conformidade ? COBIT Gestão de Riscos e Conformidade: Controles de conformidade, auditoria
ISO 38500 como integrador de risco corporativo
Conceito importante: ISO 38500 não é apenas sobre "TI estar governada". É sobre risco corporativo — TI tem impacto direto nos riscos da empresa.
Exemplos de risco corporativo de TI
- Risco de segurança (vazamento de dados)
- Risco operacional (downtime paralisa negócio)
- Risco regulatório (não conformidade com LGPD, SOX)
- Risco estratégico (TI não habilitando crescimento)
- Risco financeiro (investimento em TI sem retorno)
ISO 38500 diz: board precisa entender esses riscos, TI precisa geri-los, e há processo de monitoramento. Não é responsabilidade exclusiva de TI — é corporativa.
Sinais de que sua empresa precisa de ISO 38500
Se você se reconhece em dois ou mais cenários abaixo, considere implementar:
- Board/CEO tem poucas conversas estruturadas sobre TI — é invisível ou aparece apenas quando problema
- Investimento em TI (grande projeto) é aprovado sem rigor claro — "achamos que é bom" vs. "data/ROI/risco analisado"
- Você teve questão de conformidade (auditoria, cliente grande) sobre governança de TI
- TI não está claramente alinhada com estratégia corporativa — TI faz o que acha, não o que negócio precisa
- Responsabilidades sobre decisões de TI não são claras (quem decide? Quem é responsável por risco?)
- Você está preparando empresa para venda ou IPO (investidor vai perguntar sobre governança de TI)
- Você quer implementar COBIT mas não tem alinhamento estratégico claro (ISO 38500 vem primeiro)
Caminhos para implementar ISO 38500
CIO ou gestor sênior de TI lidera implementação com apoio do CEO/CFO. Abordagem leve, foca em prática vs. burocracia. Adequada para PME ou empresa que já tem certa maturidade de TI.
- Perfil necessário: CIO ou gestor de TI sênior com entendimento de board governance e estratégia corporativa
- Tempo estimado: 2–3 meses para design, 2–3 meses para implementação inicial
- Faz sentido quando: Você tem liderança de TI experiente, CEO/CFO supportivos, quer solução leve
- Risco principal: Falta de entendimento técnico de governance pode levar a implementação superficial ou burocratização desnecessária
Consultoria de governança corporativa ou especialista em ISO 38500 desenha framework, treina board, acompanha implementação. Traz benchmark e expertise externa.
- Tipo de fornecedor: Consultoria de governança corporativa, especialista em ISO 38500, ou Gartner/Forrester para direção
- Vantagem: Expertise externa, framework pronto, alinhamento com melhores práticas, treinamento de board de qualidade
- Faz sentido quando: Você quer implementação robusta, deseja benchmarking externo, board precisa de educação formal
- Resultado típico: Framework desenhado em 4–6 semanas, treinamento de board em 1–2 dias, implementação em 3–4 meses
Precisa implementar governança de TI alinhada com ISO 38500?
Se governança corporativa de TI é prioridade, oHub conecta você gratuitamente com especialistas em ISO 38500, COBIT, e board governance. Você descreve o desafio, recebe propostas, e decide sem compromisso em menos de 3 minutos.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual é a diferença entre ISO 38500 e COBIT?
ISO 38500 é para board/CEO — define princípios de governança estratégica. COBIT é para executivos de TI — oferece processos operacionais de gestão. ISO 38500 responde "por quê"; COBIT responde "como". Devem ser usados juntos, em camadas.
Como implementar ISO 38500?
Passo 1: autoavaliação dos 6 princípios. Passo 2: escolha 2–3 princípios para começar. Passo 3: governance charter com responsabilidades. Passo 4: apresentação a board/CEO para aprovação. Passo 5: acompanhamento contínuo. Não crie burocracia — foque em prática.
ISO 38500 é obrigatória?
Não há obrigatoriedade legal geral, mas pode ser requisito se seu cliente exige (empresa grande) ou se seu setor tem conformidade específica. Para maioria das empresas é voluntário, mas recomendado para ter governança sólida.
Qual é a estrutura de ISO 38500?
6 princípios: Responsabilidade (quem decide), Estratégia (alinhado com negócio), Aquisição (seleção de fornecedor rigorosa), Performance (medição), Conformidade (legal/regulatória), Comportamento Humano (capacidade e motivação).
Como medir conformidade com ISO 38500?
Não há "certificação ISO 38500". Conformidade é medida por autoavaliação contra os 6 princípios + auditoria interna ou externa confirmando aderência. Você documentam como implementa cada princípio, auditoria verifica se realmente está ocorrendo.
Fontes e referências
- ISO/IEC. ISO/IEC 38500:2015 - Corporate Governance of IT. Padrão internacional de governança corporativa de TI.
- ISACA. COBIT 2019: Governance Framework. Framework de gestão de TI complementar a ISO 38500.
- ISO/IEC. ISO 31000:2018 - Risk Management. Padrão de gestão de risco integrado com governança corporativa.