Há poucos
dias estive pensando sobre as grandes normas internacionais. Grandes não no
sentido de número de páginas, mas sim no impacto que exercem no mercado. Ao
olhar a lista das normas mais populares da ISO (em destaque na página principal
do site em http://iso.org) e outras de grande
adoção dentro da área de TI, fiquei curioso em saber sobre o tamanho (em
páginas) e ver como normas tão amplamente adotadas lidam com a complexidade de
cada área.
Para minha
surpresa, a maioria dessas normas possui um número bastante limitado de
páginas:
- ISO 9001:2015 Quality management systems – Requirements: 29 páginas
- ISO 31000:2009 Risk management – Principles and guidelines: 24 páginas
- ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems – Requirements: 23 páginas
- ISO/IEC 38500:2015 Information technology -- Governance of IT for the organization: 12 páginas
Essas
normas são, normalmente, baseadas em conceitos e requisitos fundamentais de uma
área de conhecimento. É impressionante ver que a ISO 9001, aquela que geralmente as pessoas
chamam simplesmente de “ISO”, tem apenas 29 páginas e são necessários meses de
adaptação de processos de gestão para sua implantação, com resultados claros e
benéficos para empresas de uma quantidade enorme de indústrias. É igualmente
impressionante constatar que a ISO/IEC 27001, aquela normalmente referida como
a norma de segurança da informação, tem apenas 23 páginas. E o que falar então
da ISO/IEC 38500, que fala sobre a governança de TI? Esta é o ápice do minimalismo,
com apenas 12 páginas.
Para quem se
aventura a ler o que está escrito nelas, fica aquela impressão de que estão
simplesmente falando sobre o óbvio, mas é inegável perceber que mesmo o óbvio
nem sempre é observado pela maioria de empresas.
Na minha
opinião, o resultado mais importante decorrente deste minimalismo, é a
possibilidade de as empresas poderem utilizar qualquer método ou conjunto de
processos que produzam os resultados esperados para as recomendações.
Estipula-se a razão para se implantar um objetivo, define-se os resultados esperados
para a obtenção dos objetivos, mas deixa-se que as empresas determinem os
métodos e processos mais adequados para se alcançar os objetivos. A seleção dos
métodos e processos necessários passa a ser governado pela qualidade com que
gera os resultados e as evidências que são necessárias para um processo de
certificação e verificação, por parte da alta direção da empresa, da eficácia
de sua implantação. Isso também assegura que as práticas têm flexibilidade
suficiente para serem adotadas por diversos tipos de indústria.
O que se vê, então, é que o minimalismo dessas normas acaba sendo sua grande força para adoção. É o minimalismo a serviço da compreensão da complexidade.
O que se vê, então, é que o minimalismo dessas normas acaba sendo sua grande força para adoção. É o minimalismo a serviço da compreensão da complexidade.
Olá, Fernando. Ótima reflexão. Se pudéssemos trazer para as nossas normas internas o caráter mais conceitual e genérico (com uma ênfase maior em princípios, ao invés de procedimentos), replicando o espírito com que são criadas as normas internacionais, talvez estivéssemos em melhor situação. A questão aqui me parece ser mais cultural, entremeada com um viés legalista. O fato é que, ao menos no Brasil, enquanto o empresário pode fazer tudo o que não está nas leis, o pobre diabo do Gestor Público, essa figura por vezes tão injustamente atacada, SOMENTE pode fazer o que a lei determina, uma imposição que certamente se reflete nas normas internas, engessando ainda mais um arcabouço normativo complexo e normalmente desatualizado. Pior: atreva-se a inovações mais contundentes e o seu CPF será alvo de cartinhas nada amistosas dos Órgãos de Controle, algo que só faz reforçar o círculo da burocracia exacerbada. Por aqui, na Finep, estamos buscando fazer com que os processos, modelados em nível de detalhe suficiente, comandem a confecção das normas, as quais se aterão aos aspectos mais gerais. É um início.
ResponderExcluirGrande Gebara,
ResponderExcluirEntendo a estranheza mas vale lembrar que as normas apontam para o que deve ser feito e não como fazer. Outras normas como a ISO/IEC 20000 quebram um pouco mais isso em áreas de interesse e especialização, mas também está no o que é não no como.
Creio que o JTC 1 SC 40 tem muito a oferecer e vale se aprofundar nessas normas.
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_tc_browse.htm?commid=5013818
Cordiais,
Rubinato