Ultimamente eu tenho recebido (muitas) questões perguntando, “Por que a nova revisão da ISO 27001 retirou o ciclo PDCA?” E, em uma primeira vista, você pode ser induzido a isso porque a norma realmente não menciona o ciclo Planejar-Fazer-Verificar-Agir (Plan-Do-Check-Act) explicitamente; mas você deveria ler a norma com um pouco mais de cuidado…
Anexo SL das Diretivas da ISO/IEC
Vamos começar do princípio – a ISO (International Organization for Standardization) publicou as Diretivas ISO/IEC onde elas descrevem no Anexo SL como as normas de gestão deveriam ser estruturadas. Esta é a estrutura requerida, por cláusulas:
0 Introdução
1 Escopo
2 Referências normativas
3 Termos e definições
4 Contexto da organização
5 Liderança
6 Planejamento
7 Apoio
8 Operação
9 Avaliação do desempenho
10 Melhoria
Assim, todas as novas normas publicadas, tal como a ISO 27001:2013 e a ISO 22301:2012, possuem esta estrutura. E todas as novas revisões da ISO 9001, ISO 14001 e outras terão esta mesma estrutura.
A intenção da ISO com este Anexo SL foi, certamente, alinhar todas as normas de gestão de forma a torná-las mais compatíveis e habilitar a integração dos sistemas de gestão de uma forma mais fácil e conveniente.
O que é o ciclo PDCA?
Para aqueles de vocês que não conhecem o ciclo PDCA, ele é basicamente um conceito desenvolvido a quase 60 anos por um famoso consultor e guru da gestão da qualidade chamado William Edwards Deming. Essencialmente, o ciclo trata de:
- Antes e você começar a implementar qualquer coisa, você deveria saber exatamente o que você precisa, e exatamente o que você quer atingir (objetivos) – esta é a fase de planejar (Plan phase).
- Uma vez que você sabe o que quer atingir, você pode começar a implementar sua segurança da informação, continuidade de negócio, procedimentos de qualidade ou o que quer que seja o foco da norma ISO que você está abordando – está e a fase de fazer (Do phase).
- Contudo, o esforço não para aqui – você quer ter certeza de que atingiu aquilo para que se planejou, então você precisa monitorar seu sistema e medir se você atingiu seus objetivos – esta é a fase de verificar (Check phase).
- Finalmente, se e quando você perceber que o que você atingiu não é aquilo para o que se planejou, você precisa cobrir a lacuna – está é chamada fase de agir (Act phase).
Ou, utilizando um exemplo – quando eu compro um carro, tenho uma ideia de quanto ele deveria custar, qual deveria ser a cor, o consumo máximo de combustível, etc. (fase de planejar); então começo a dirigi-lo (fase de fazer), e percebo que o consumo de combustível é muito maior do que o esperado (fase de verificar) – então eu tenho, basicamente, 2 opções: dirigir de forma mais econômica para poupar combustível, ou mudar a meta de consumo (fase de agir).
E, embora este conceito tenha sido desenvolvido para a gestão da qualidade, cedo se percebeu que ele pode ser aplicado para qualquer tipo de gestão, incluindo gestão da segurança da informação ou gesto da continuidade do negócio.
Assim, hoje este conceito é tão dominante no pensamento de gestão que ele está praticamente em todo lugar – em cada norma de gestão ISO, em cada estrutura de gestão, em cada teoria. Ele se tornou tão importante que é impossível evitá-lo.
Então,o ciclo PDCA realmente desapareceu das normas ISO?
Não, não desapareceu. Ele está muito mais incorporado na ISO 27001, ISO 22301 e todas as outras normas, apenas agora o ciclo não é explicitamente apresentado na introdução da norma como era o caso nas versões mais antigas.
Aqui está como você pode reconhecer o ciclo PDCA na estrutura das normas ISO:
- As cláusulas 4 (Contexto da organização), 5 (Liderança), 6 (Planejamento), e 7 (Apoio) não são nada mais do que a fase de planejar
- A cláusula 8 (Operações) trata da fase de fazer
- A cláusula 9 (Avaliação do desempenho) é, certamente, a fase de verificar, e
- A cláusula 10 (Melhoria) é a fase de agir
Como você pode ver, o ciclo PDCA não foi excluído das novas normas ISO; pelo contrário, ele é tão importante que o Anexo SL requer que todas as normas ISO estruturem suas cláusulas principais em torno do ciclo PDCA.
Assim, não se preocupe, o ciclo PDCA ainda ficará por perto por um longo tempo.
Para saber mais sobre o ciclo PDCA na ISO 27001, ISO 9001 e ISO 14001, confira estes cursos de treinamento on-line gratuitos.
Nós agradecemos a Rhand Leal pela tradução para o português.