facilita.etcBlogISO/IEC 20000-1: ITSM auditável pra SaaS, MSP e…

Compliance

ISO/IEC 20000-1: ITSM auditável pra SaaS, MSP e TI corp

Klaus Fuchs · 30 abr 2026 · 8 min de leitura

Pergunta direta pra qualquer time de TI que opera serviço (interno ou externo):

"Qual sua disponibilidade real do mês passado, em quais sistemas, e como você prova isso pra cliente ou diretoria?"

Em 80% dos times que faço esse exercício, a resposta é alguma versão de:

  • "A gente acompanha por planilha que o pessoal de monitoramento atualiza."
  • "Tem o gráfico do nosso APM mas não confronto com SLA contratual."
  • "Sinceramente não tenho certeza, mas acho que foi entre 99 e 99,5%."

Resposta de TI madura é diferente: "Disponibilidade do produto X em outubro foi 99,82%, contra SLA de 99,5%. Houve 2 incidentes que somaram 86 minutos de inatividade. RCA finalizada nos 2. Aqui está o relatório completo, gerado automaticamente."

A diferença entre os dois modos não é tecnologia. É processo. E processo de TI bem estruturado tem nome: ISO/IEC 20000-1.

ITIL não é ISO 20000

Confusão comum. ITIL é framework de boas práticas. ISO 20000-1 é norma certificável.

  • ITIL: biblioteca de conhecimento (livros, princípios, processos sugeridos). Você adota porque acredita que ajuda.
  • ISO 20000-1: requisitos auditáveis. Você certifica e o organismo certificador valida.

Times que dizem "a gente segue ITIL" geralmente fazem 30-60% do que ITIL sugere. Times com ISO 20000-1 fazem 100% do que a norma exige - porque o auditor confere.

Os 4 grupos de processos da ISO 20000-1

Grupo 1: Operação - o coração

3 processos críticos que toda TI tem (mesmo que não nomeie assim):

  • Gestão de Incidentes: o que aconteceu quando sistema parou? Quem foi acionado? Em quanto tempo resolveu? SLA atendido?
  • Gestão de Problemas: por que aconteceu? Qual a causa-raiz? Como evitar repetição? (Importante: incidente é o evento; problema é a causa.)
  • Gestão de Mudanças: antes de mexer em produção, qual o risco? Quem aprova? Como reverter se der ruim?

ISO 20000-1 exige que esses 3 sejam estruturados, documentados, com métricas e auditáveis. Sem eles, ITSM não existe na prática.

Grupo 2: Entrega - capacidade e disponibilidade

Aqui mora a evolução. TI imatura é reativa - acompanha o que está acontecendo. TI madura é proativa - prevê demanda, planeja capacidade, antecipa problema.

  • Gestão de Capacidade: tem recurso suficiente pra atender carga atual e futura?
  • Gestão de Disponibilidade: SLA acordado vs. SLA entregue, tendência, plano pra fechar gap
  • Gestão de Continuidade: conexão direta com ISO 22301 (BCP/DRP)
  • Gestão Financeira: custo do serviço por unidade entregue

Grupo 3: Relacionamento - cliente e fornecedor

  • Gestão de Relacionamento com Cliente: review periódico de SLA, feedback estruturado, plano de melhoria
  • Gestão de Fornecedores: contratos com SLA, monitoramento, plano de contingência por fornecedor crítico

Aqui também conecta com ISO 37301 (compliance integrado) - controles compartilhados.

Grupo 4: Resolução - integração com outros frameworks

ISO 20000-1 reconhece que ITSM não vive sozinha. Conecta com:

  • ISO 27001 (segurança da informação) - controles compartilhados em mudança, incidente
  • ISO 22301 (continuidade) - DRP de TI é parte do plano da organização
  • ISO 9001 (qualidade) - melhoria contínua é parte de ambas

Empresa que tem 3-4 dessas certificadas reduz custo individual de cada uma significativamente.

Quem precisa

3 perfis claros:

Provedor SaaS B2B

Cliente enterprise vai pedir em homologação. ISO 20000-1 demonstra que sua TI não é caos disfarçado de plataforma. Diferencial em RFP - especialmente em vendas internacionais.

MSP (Managed Service Provider)

Sua TI é o produto. Cliente paga pra você operar TI dele. ISO 20000-1 é praticamente obrigatória pra entrar em mercado corporativo sério.

TI corporativa em organização grande

Quando TI vira fornecedor interno (com SLA, com cobrança, com avaliação), precisa operar como provedor de serviço externo. ISO 20000-1 estrutura essa relação.

Tempo e custo de implementação

Pra organização que já tem TI estruturada (ITIL informal, ferramentas de monitoramento, alguma cultura de incidente):

  • Mês 1-2: gap analysis - onde está vs. onde a norma exige
  • Mês 3-6: estruturação dos 3 processos centrais (incidente, problema, mudança)
  • Mês 7-9: capacidade, disponibilidade, fornecedores
  • Mês 10-12: relacionamento com cliente, métricas, melhoria
  • Mês 13-15: auditoria interna, ajustes, auditoria externa

Tempo total: 12-18 meses pra primeira certificação. Custo: R$ 80-200k em consultoria + auditoria pra organização média.

Pra organização sem ITSM estruturado: 18-24 meses. Mais investimento de equipe.

O ROI

Não é sutil. Times de TI que migram de "ITIL informal" pra ISO 20000-1 tipicamente veem:

  • Disponibilidade real sobe 0,5-2 pontos percentuais (passa de 99% pra 99,5-99,9%)
  • Tempo médio de resolução de incidente cai 30-50%
  • Reincidência de problemas conhecidos cai significativamente (porque RCA vira sistemática)
  • Custo por chamado/ticket cai 20-30% (porque processo é estruturado)
  • NPS de clientes internos sobe (porque expectativa fica clara)

Em provedor SaaS ou MSP, soma-se ganho comercial: vence licitação, fecha contrato enterprise, justifica preço maior.

Sua TI entrega serviço ou improvisa SLA?

Diagnóstico em 5 minutos: avalia maturidade do seu ITSM atual e o caminho mais curto até a ISO 20000-1.

  Diagnóstico ISO 20000   Solução ISO 20000-1
Klaus Fuchs
Klaus Fuchs Founder da facilita.etc. 15+ anos liderando gestão estratégica em saúde, educação e organizações sociais. Conduziu acreditações em uma das maiores OSS do Brasil. Escreve sobre o que pratica.

Quer aplicar isso na sua organização?

Em 5 minutos, faça um diagnóstico de prontidão e descubra onde sua operação ganha em organização, compliance e gestão.

  Diagnóstico de prontidão   Falar com a gente