Sua organização é uma daquelas que não tem ideia de qual é o propósito das ações corretivas? Você prepara suas ações corretivas apenas alguns dias antes da auditoria de certificação? E você pensa que as ações corretivas são um daqueles requisitos da ISO 27001/ISO 22301 sem uso prático real?
Você está enganado. Eis o porquê.
O propósito das ações corretivas
Basicamente, qualquer organização que esteja tentando sobreviver no mercado atual está fazendo melhorias diariamente – desenvolvendo novos produtos, resolvendo os problemas com os produtos/serviços existentes, reduzindo custos, etc. – de outro modo, elas não estariam mais no negócio.
E todas estás coisas são, de fato, ações corretivas, emboras estas organizações provavelmente não pensem nelas desta maneira. ISO 27001, ISO 22301 e outros padrões ISO requerem nada mais do que a realização destas ações corretivas de uma forma sistemática – de forma que se saiba exatamente para onde os problemas (não conformidades, na terminologia ISO) devem ser reportados, quem precisa revisá-los e tomar uma decisão sobre como resolvê-los, quem é responsável por eliminá-los, etc. E o melhor de tudo – em um sistema com tal transparência todos podem ver quais são os problemas (nada pode ser escondido), quando e como estes problemas serão resolvidos e quem é responsável por eles.
Quem pode iniciar ações corretivas?
Qualquer um na organização pode levantar uma ação corretiva, e o mesmo vale para seus parceiros e fornecedores que possuem um papel em seu SGSI ou SGCN. Uma ação corretiva pode ser levantada devido a um relatório de auditoria interna ou devido aos resultados de um teste ou exercício, mas também devido a alguém ter pensado em uma maneira melhor de escrever políticas e procedimentos, ou, por exemplo, diminuir os custos de seu local alternativo. Ações corretivas também podem demandar grandes mudanças, como por exemplo, a alta administração pode concluir que o SGCN não atingiu seus objetivos e quer que toda a estratégia de continuidade de negócio seja redefinida.
Documentos requeridos
Você deveria ter os seguintes documentos com relação as suas ações corretivas:
- Procedimento de ação corretiva – este procedimento define as regras básicas para resolver ações corretivas – como levantar, onde elas são documentadas, quem toma quais decisões, como controlar a execução das mesmas, etc.
- Ações corretivas – estes são os registros das não conformidades, decisões e atividades realizadas para resolvê-las.
Opções para ações corretivas
Aqui estão algumas opções que você tem para decidir com relação as suas ações corretivas:
- Onde documentá-las. Várias vezes eu vi organizações fazerem uso de formulários elaborados especificamente para ações corretivas (especialmente organizações que implementaram a ISO 9001) – elas geralmente são chamadas de RACs (Registro de Ação Corretiva). O resultado? Ninguém faz uso deles porque são totalmente impraticáveis, e além do mais ninguém sabe onde encontrá-los. Uma solução muito melhor é utilizar algum tipo de ferramenta de help desk (ou até mesmo um gerenciador de tarefas), o qual provavelmente já existe em sua organização e seus empregados a estão usando diariamente – você precisa apenas adicionar outra categoria para ações corretivas e basicamente tal solução será ao mesmo tempo prática e em conformidade com a ISO 27001/ISO 22301.
- Integrar ações corretivas com outros sistemas de gestão. Isto é definitivamente recomendável – você não precisa de três bases de dados separadas (ou formulários) para, por exemplo, ISO 27001, ISO 22301 e ISO 9001. Use o mesmo procedimento, o mesmo sistema, a mesma base de dados – claro que a natureza das não conformidades e subsequentes ações corretivas serão diferentes, mas isso não é impedimento para que você uniformize o sistema.
- Escrever um procedimento, ou não. Não é mandatório escrever o procedimento de ação corretiva de acordo com a ISO 27001 e ISO 22301; contudo, é recomendado. Normalmente os empregados não estão familiarizados com algo que não fazem todos os dias, assim pode fazer sentido escrever estas regras – a menos, é claro, que ele seja um processo que seja executado sem falhas em sua organização, de forma que você não precise de tal documento.
Tomando decisões
Cada vez que uma ação corretiva é levantada, alguém terá que tomar uma decisão de realizar ou não a ação (porque as vezes não faz sentido fazer alguma coisa) – esta decisão pode ser deixada para o responsável pelo departamento onde a não conformidade foi percebida. Caso se decida por realizar a ação corretiva, então o mesmo responsável pelo departamento pode decidir quem seráo o responsável pela ação corretiva, e qual é o prazo para sua execução.
Assim meu ponto é este – você já faz ações corretivas regularmente em sua organização, e provavelmente tem a tecnologia necessária para registrá-las de uma forma que esteja em conformidade com os padrões ISO. Desta forma, porque não utilizar este sistema em suas operações diárias se ele pode ajudá-lo no esforço de criar uma organização melhor?
Este artigo é uma amostra do livro Becoming Resilient: The Definitive Guide to ISO 22301 Implementation. Clique aqui para ver o que está incluso no livro…
Para manusear e rastrear ações corretivas com facilidade, use o Conformio compliance software.
Nós agradecemos a Rhand Leal pela tradução para o português.