• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Uso prático das ações corretivas para a ISO 27001 e ISO 22301

    Sua organização é uma daquelas que não tem ideia de qual é o propósito das ações corretivas? Você prepara suas ações corretivas apenas alguns dias antes da auditoria de certificação? E você pensa que as ações corretivas são um daqueles requisitos da ISO 27001/ISO 22301 sem uso prático real?

    Você está enganado. Eis o porquê.

    O propósito das ações corretivas

    Basicamente, qualquer organização que esteja tentando sobreviver no mercado atual está fazendo melhorias diariamente – desenvolvendo novos produtos, resolvendo os problemas com os produtos/serviços existentes, reduzindo custos, etc. – de outro modo, elas não estariam mais no negócio.

    E todas estás coisas são, de fato, ações corretivas, emboras estas organizações provavelmente não pensem nelas desta maneira. ISO 27001, ISO 22301 e outros padrões ISO requerem nada mais do que a realização destas ações corretivas de uma forma sistemática – de forma que se saiba exatamente para onde os problemas (não conformidades, na terminologia ISO) devem ser reportados, quem precisa revisá-los e tomar uma decisão sobre como resolvê-los, quem é responsável por eliminá-los, etc. E o melhor de tudo – em um sistema com tal transparência todos podem ver quais são os problemas (nada pode ser escondido), quando e como estes problemas serão resolvidos e quem é responsável por eles.

    Quem pode iniciar ações corretivas?

    Qualquer um na organização pode levantar uma ação corretiva, e o mesmo vale para seus parceiros e fornecedores que possuem um papel em seu SGSI ou SGCN. Uma ação corretiva pode ser levantada devido a um relatório de auditoria interna ou devido aos resultados de um teste ou exercício, mas também devido a alguém ter pensado em uma maneira melhor de escrever políticas e procedimentos, ou, por exemplo, diminuir os custos de seu local alternativo. Ações corretivas também podem demandar grandes mudanças, como por exemplo, a alta administração pode concluir que o SGCN não atingiu seus objetivos e quer que toda a estratégia de continuidade de negócio seja redefinida.

    Documentos requeridos

    Você deveria ter os seguintes documentos com relação as suas ações corretivas:

    • Procedimento de ação corretiva – este procedimento define as regras básicas para resolver ações corretivas – como levantar, onde elas são documentadas, quem toma quais decisões, como controlar a execução das mesmas, etc.
    • Ações corretivas – estes são os registros das não conformidades, decisões e atividades realizadas para resolvê-las.

    Opções para ações corretivas

    Aqui estão algumas opções que você tem para decidir com relação as suas ações corretivas:

    • Onde documentá-las. Várias vezes eu vi organizações fazerem uso de formulários elaborados especificamente para ações corretivas (especialmente organizações que implementaram a ISO 9001) – elas geralmente são chamadas de RACs (Registro de Ação Corretiva). O resultado? Ninguém faz uso deles porque são totalmente impraticáveis, e além do mais ninguém sabe onde encontrá-los. Uma solução muito melhor é utilizar algum tipo de ferramenta de help desk (ou até mesmo um gerenciador de tarefas), o qual provavelmente já existe em sua organização e seus empregados a estão usando diariamente – você precisa apenas adicionar outra categoria para ações corretivas e basicamente tal solução será ao mesmo tempo prática e em conformidade com a ISO 27001/ISO 22301.
    • Integrar ações corretivas com outros sistemas de gestão. Isto é definitivamente recomendável – você não precisa de três bases de dados separadas (ou formulários) para, por exemplo, ISO 27001, ISO 22301 e ISO 9001. Use o mesmo procedimento, o mesmo sistema, a mesma base de dados – claro que a natureza das não conformidades e subsequentes ações corretivas serão diferentes, mas isso não é impedimento para que você uniformize o sistema.
    • Escrever um procedimento, ou não. Não é mandatório escrever o procedimento de ação corretiva de acordo com a ISO 27001 e ISO 22301; contudo, é recomendado. Normalmente os empregados não estão familiarizados com algo que não fazem todos os dias, assim pode fazer sentido escrever estas regras – a menos, é claro, que ele seja um processo que seja executado sem falhas em sua organização, de forma que você não precise de tal documento.

    Tomando decisões

    Cada vez que uma ação corretiva é levantada, alguém terá que tomar uma decisão de realizar ou não a ação (porque as vezes não faz sentido fazer alguma coisa) – esta decisão pode ser deixada para o responsável pelo departamento onde a não conformidade foi percebida. Caso se decida por realizar a ação corretiva, então o mesmo responsável pelo departamento pode decidir quem seráo o responsável pela ação corretiva, e qual é o prazo para sua execução.

    Assim meu ponto é este – você já faz ações corretivas regularmente em sua organização, e provavelmente tem a tecnologia necessária para registrá-las de uma forma que esteja em conformidade com os padrões ISO. Desta forma, porque não utilizar este sistema em suas operações diárias se ele pode ajudá-lo no esforço de criar uma organização melhor?

    Este artigo é uma amostra do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation. Clique aqui para ver o que está incluso no livro…

    Para manusear e rastrear ações corretivas com facilidade, use o Conformio compliance software.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Leading expert on cybersecurity/information security and author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become certified against ISO 27001 and other ISO standards. He believes that making ISO standards easy-to-understand and simple-to-use creates a competitive advantage for Advisera's clients.

    As an ISO 27001 expert, Dejan is sought out to help companies find the best way to obtain certification by eliminating overhead and adapting the implementation to the specifics of their size and industry.
    Conecte-se com Dejan: