ENTRE EM CONTATO 1-888-553-2256

The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Uso prático das ações corretivas para a ISO 27001 e ISO 22301

Sua organização é uma daquelas que não tem ideia de qual é o propósito das ações corretivas? Você prepara suas ações corretivas apenas alguns dias antes da auditoria de certificação? E você pensa que as ações corretivas são um daqueles requisitos da ISO 27001/ISO 22301 sem uso prático real?

Você está enganado. Eis o porquê.

O propósito das ações corretivas

blogpost-banner-consultants-pt

Basicamente, qualquer organização que esteja tentando sobreviver no mercado atual está fazendo melhorias diariamente – desenvolvendo novos produtos, resolvendo os problemas com os produtos/serviços existentes, reduzindo custos, etc. – de outro modo, elas não estariam mais no negócio.

E todas estás coisas são, de fato, ações corretivas, emboras estas organizações provavelmente não pensem nelas desta maneira. ISO 27001, ISO 22301 e outros padrões ISO requerem nada mais do que a realização destas ações corretivas de uma forma sistemática – de forma que se saiba exatamente para onde os problemas (não conformidades, na terminologia ISO) devem ser reportados, quem precisa revisá-los e tomar uma decisão sobre como resolvê-los, quem é responsável por eliminá-los, etc. E o melhor de tudo – em um sistema com tal transparência todos podem ver quais são os problemas (nada pode ser escondido), quando e como estes problemas serão resolvidos e quem é responsável por eles.

Quem pode iniciar ações corretivas?

Qualquer um na organização pode levantar uma ação corretiva, e o mesmo vale para seus parceiros e fornecedores que possuem um papel em seu SGSI ou SGCN. Uma ação corretiva pode ser levantada devido a um relatório de auditoria interna ou devido aos resultados de um teste ou exercício, mas também devido a alguém ter pensado em uma maneira melhor de escrever políticas e procedimentos, ou, por exemplo, diminuir os custos de seu local alternativo. Ações corretivas também podem demandar grandes mudanças, como por exemplo, a alta administração pode concluir que o SGCN não atingiu seus objetivos e quer que toda a estratégia de continuidade de negócio seja redefinida.

Documentos requeridos

Você deveria ter os seguintes documentos com relação as suas ações corretivas:

  • Procedimento de ação corretiva – este procedimento define as regras básicas para resolver ações corretivas – como levantar, onde elas são documentadas, quem toma quais decisões, como controlar a execução das mesmas, etc.
  • Ações corretivas – estes são os registros das não conformidades, decisões e atividades realizadas para resolvê-las.

Opções para ações corretivas

Aqui estão algumas opções que você tem para decidir com relação as suas ações corretivas:

  • Onde documentá-las. Várias vezes eu vi organizações fazerem uso de formulários elaborados especificamente para ações corretivas (especialmente organizações que implementaram a ISO 9001) – elas geralmente são chamadas de RACs (Registro de Ação Corretiva). O resultado? Ninguém faz uso deles porque são totalmente impraticáveis, e além do mais ninguém sabe onde encontrá-los. Uma solução muito melhor é utilizar algum tipo de ferramenta de help desk (ou até mesmo um gerenciador de tarefas), o qual provavelmente já existe em sua organização e seus empregados a estão usando diariamente – você precisa apenas adicionar outra categoria para ações corretivas e basicamente tal solução será ao mesmo tempo prática e em conformidade com a ISO 27001/ISO 22301.
  • Integrar ações corretivas com outros sistemas de gestão. Isto é definitivamente recomendável – você não precisa de três bases de dados separadas (ou formulários) para, por exemplo, ISO 27001, ISO 22301 e ISO 9001. Use o mesmo procedimento, o mesmo sistema, a mesma base de dados – claro que a natureza das não conformidades e subsequentes ações corretivas serão diferentes, mas isso não é impedimento para que você uniformize o sistema.
  • Escrever um procedimento, ou não. Não é mandatório escrever o procedimento de ação corretiva de acordo com a ISO 27001 e ISO 22301; contudo, é recomendado. Normalmente os empregados não estão familiarizados com algo que não fazem todos os dias, assim pode fazer sentido escrever estas regras – a menos, é claro, que ele seja um processo que seja executado sem falhas em sua organização, de forma que você não precise de tal documento.

Tomando decisões

Cada vez que uma ação corretiva é levantada, alguém terá que tomar uma decisão de realizar ou não a ação (porque as vezes não faz sentido fazer alguma coisa) – esta decisão pode ser deixada para o responsável pelo departamento onde a não conformidade foi percebida. Caso se decida por realizar a ação corretiva, então o mesmo responsável pelo departamento pode decidir quem seráo o responsável pela ação corretiva, e qual é o prazo para sua execução.

Assim meu ponto é este – você já faz ações corretivas regularmente em sua organização, e provavelmente tem a tecnologia necessária para registrá-las de uma forma que esteja em conformidade com os padrões ISO. Desta forma, porque não utilizar este sistema em suas operações diárias se ele pode ajudá-lo no esforço de criar uma organização melhor?

Este artigo é uma amostra do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation. Clique aqui para ver o que está incluso no livro…

Para manusear e rastrear ações corretivas com facilidade, use o Conformio compliance software.

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.