Uso prático das ações corretivas para a ISO 27001 e ISO 22301

Sua organização é uma daquelas que não tem ideia de qual é o propósito das ações corretivas? Você prepara suas ações corretivas apenas alguns dias antes da auditoria de certificação? E você pensa que as ações corretivas são um daqueles requisitos da ISO 27001/ISO 22301 sem uso prático real?

Você está enganado. Eis o porquê.

O propósito das ações corretivas

Basicamente, qualquer organização que esteja tentando sobreviver no mercado atual está fazendo melhorias diariamente – desenvolvendo novos produtos, resolvendo os problemas com os produtos/serviços existentes, reduzindo custos, etc. – de outro modo, elas não estariam mais no negócio.

E todas estás coisas são, de fato, ações corretivas, emboras estas organizações provavelmente não pensem nelas desta maneira. ISO 27001, ISO 22301 e outros padrões ISO requerem nada mais do que a realização destas ações corretivas de uma forma sistemática – de forma que se saiba exatamente para onde os problemas (não conformidades, na terminologia ISO) devem ser reportados, quem precisa revisá-los e tomar uma decisão sobre como resolvê-los, quem é responsável por eliminá-los, etc. E o melhor de tudo – em um sistema com tal transparência todos podem ver quais são os problemas (nada pode ser escondido), quando e como estes problemas serão resolvidos e quem é responsável por eles.

Quem pode iniciar ações corretivas?

Qualquer um na organização pode levantar uma ação corretiva, e o mesmo vale para seus parceiros e fornecedores que possuem um papel em seu SGSI ou SGCN. Uma ação corretiva pode ser levantada devido a um relatório de auditoria interna ou devido aos resultados de um teste ou exercício, mas também devido a alguém ter pensado em uma maneira melhor de escrever políticas e procedimentos, ou, por exemplo, diminuir os custos de seu local alternativo. Ações corretivas também podem demandar grandes mudanças, como por exemplo, a alta administração pode concluir que o SGCN não atingiu seus objetivos e quer que toda a estratégia de continuidade de negócio seja redefinida.

Documentos requeridos

Você deveria ter os seguintes documentos com relação as suas ações corretivas:

  • Procedimento de ação corretiva – este procedimento define as regras básicas para resolver ações corretivas – como levantar, onde elas são documentadas, quem toma quais decisões, como controlar a execução das mesmas, etc.
  • Ações corretivas – estes são os registros das não conformidades, decisões e atividades realizadas para resolvê-las.

Opções para ações corretivas

Aqui estão algumas opções que você tem para decidir com relação as suas ações corretivas:

  • Onde documentá-las. Várias vezes eu vi organizações fazerem uso de formulários elaborados especificamente para ações corretivas (especialmente organizações que implementaram a ISO 9001) – elas geralmente são chamadas de RACs (Registro de Ação Corretiva). O resultado? Ninguém faz uso deles porque são totalmente impraticáveis, e além do mais ninguém sabe onde encontrá-los. Uma solução muito melhor é utilizar algum tipo de ferramenta de help desk (ou até mesmo um gerenciador de tarefas), o qual provavelmente já existe em sua organização e seus empregados a estão usando diariamente – você precisa apenas adicionar outra categoria para ações corretivas e basicamente tal solução será ao mesmo tempo prática e em conformidade com a ISO 27001/ISO 22301.
  • Integrar ações corretivas com outros sistemas de gestão. Isto é definitivamente recomendável – você não precisa de três bases de dados separadas (ou formulários) para, por exemplo, ISO 27001, ISO 22301 e ISO 9001. Use o mesmo procedimento, o mesmo sistema, a mesma base de dados – claro que a natureza das não conformidades e subsequentes ações corretivas serão diferentes, mas isso não é impedimento para que você uniformize o sistema.
  • Escrever um procedimento, ou não. Não é mandatório escrever o procedimento de ação corretiva de acordo com a ISO 27001 e ISO 22301; contudo, é recomendado. Normalmente os empregados não estão familiarizados com algo que não fazem todos os dias, assim pode fazer sentido escrever estas regras – a menos, é claro, que ele seja um processo que seja executado sem falhas em sua organização, de forma que você não precise de tal documento.

Tomando decisões

Cada vez que uma ação corretiva é levantada, alguém terá que tomar uma decisão de realizar ou não a ação (porque as vezes não faz sentido fazer alguma coisa) – esta decisão pode ser deixada para o responsável pelo departamento onde a não conformidade foi percebida. Caso se decida por realizar a ação corretiva, então o mesmo responsável pelo departamento pode decidir quem seráo o responsável pela ação corretiva, e qual é o prazo para sua execução.

Assim meu ponto é este – você já faz ações corretivas regularmente em sua organização, e provavelmente tem a tecnologia necessária para registrá-las de uma forma que esteja em conformidade com os padrões ISO. Desta forma, porque não utilizar este sistema em suas operações diárias se ele pode ajudá-lo no esforço de criar uma organização melhor?

Este artigo é uma amostra do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation. Clique aqui para ver o que está incluso no livro…

Para manusear e rastrear ações corretivas com facilidade, use o Conformio compliance software.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.