Não conformidades maiores vs. menores na auditoria de certificação

Se a sua organização está considerando certificar-se, é sempre bom saber o que esperar. Uma vez que não conformidades são uma das mais importantes saídas da auditoria de certificação (e a mais desagradável), é de seu interesse entender sobre o que elas tratam.

Os pontos que irei mencionar aqui são válidos não apenas para as certificações ISO 27001 e ISO 22301, mas também para certificações em outros sistemas de gestão ISO – e.g., ISO 9001, ISO 14001, ISO 20000, etc.

O que é uma não conformidade?

A definição de não conformidade é “não atendimento de um requisito” (ISO 9001:2005) – isto significa basicamente que uma não conformidade ocorre quando você não atende o que é requerido pela norma, pela sua própria documentação ou por um terceiro.

Aqui estão alguns exemplos de não conformidades:

  • Você não possui registros de ações corretivas, e a norma requer que você os tenha;
  • Seu procedimento requer que você utilize um formulário específico para reportar os resultados de sua auditoria interna; contudo você usa outro formulário;
  • Você não produz certos relatórios para seus clientes, mesmo você sendo obrigado a fazer isso de acordo com o contrato que você assinou com eles.

Por que não conformidades são importantes?

Não conformidades são usadas tanto em auditorias internas quanto externas (certificações) – elas são uma “ferramenta” pela qual o auditor será capaz de julgar em que nível seu sistema de gestão está em conformidade com uma norma. (Veja também Five Main Steps in ISO 9001 Internal Audit.)

Em outras palavras, quanto mais não conformidades, menos conforme você está – e vice versa. Não conformidades devem ser reportadas através de um relatório de auditoria, e esta parte do relatório geralmente é a mais longa.

Ao reportar a não conformidade, o auditor deve incluir os seguintes elementos:

  • Descrever a não conformidade – descrição geral sobre o que está errado em uma sentença ou duas;
  • Prover evidência de auditoria – e.g., referenciar a um documento concreto ou registro que esteja faltando ou sendo utilizado inadequadamente, para a atividade que não esteja sendo realizada ou sendo realizada de forma errada, etc.
  • Referenciar ao requisito exato – e.g., número concreto da cláusula na norma, procedimento ou contrato;
  • Sumarizar o requisito – geralmente, refrasear o que a norma, o documento interno ou contrato requer que seja feito.

As diferenças entre não conformidades maiores e menores

Não conformidades maiores e menores (como categorias separadas) são geralmente utilizadas apenas em auditorias de certificação (não tão frequentes em auditorias internas), e o principal propósito é o seguinte: se o auditor identificar uma não conformidade maior, uma organização não pode ser certificada. Leia este artigo para aprender o que fazer nesta situação: Como obter a certificação ISO 27001?

Desta forma, o que é considerada uma não conformidade maior? Esta seria uma não conformidade que tem ao menos uma destas características:

  • Uma organização falhou completamente em atender a um certo requisito – e.g., não realizou a análise crítica pela administração, embora este seja um requisito da norma.
  • Seu processo está completamente quebrado – e.g., seu procedimento requer que você realize o backup uma vez ao dia, mas o backup foi realizado apenas duas vezes por mês, de forma aleatória.
  • Você tem várias não conformidades menores que estão relacionadas ao mesmo processo ou ao mesmo elemento de seu sistema de gestão – e.g., você possui várias não conformidades menores relacionadas ao seu departamento de recursos humanos: alguns dos registros de treinamento estão faltando, nem todos os empregados são treinados como deveriam ser, alguns registros de empregados estão faltando, etc. – isto se torna uma não conformidade maior porque obviamente há alguma coisa errada com este departamento.
  • Um selo de certificação é usado de forma inadequada – e.g., você declara para seus clientes que o seu produto é certificado ISO (certificação de normas de gestão ISO cobrem apenas os processos e sistemas de gestão, não os próprios produtos).
  • Uma não conformidade menor, identificada durante uma auditoria anterior, não foi resolvida dentro do prazo – tal não conformidade menor automaticamente se torna uma maior.

A definição de não conformidade menor é fácil: é qualquer não conformidade que não seja maior; pro exemplo, uma não conformidade menor poderia ser o backup que foi realizado todos os dias com exceção de um único dia de um mês específico.

Assim, o ponto é – não se deixe em uma posição vulnerável a receber uma não conformidade maior. Tenha certeza de implementar a norma adequadamente, e não apenas para fins da certificação – um auditor experiente perceberá de imediato se o seu sistema é apenas teórico, e você facilmente receberá não conformidades maiores.

Para acompanhar e lidar com não-conformidades, confira este Conformio compliance software.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.