• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como implementar sistemas de gestão integrados

    Recentemente, vimos o lançamento de novas versões de duas das mais conhecidas normas ISO: ISO 9001 (requisitos para Sistemas de Gestão da Qualidade) e ISO 14001 (requisitos para Sistemas de Gestão Ambiental). Assim como a ISO 22301 e a ISO 27001:2013, estas normas seguem uma estrutura similar, baseada no Anexo SL, Apêndice 2 das Diretivas ISO/IEC (para mais informações sobre o Anexo SL, bem como sobre o ciclo PDCA em sistemas de gestão ISO, leia O Ciclo PDCA foi removido das novas normas ISO?).

    Uma vez que as novas versões das normas definem períodos de transição para adequação dos sistemas de gestão ISO certificados por versões anteriores, integrados ou não, podemos esperar um ciclo de projetos de implementação / integração por todo o mundo nos próximos anos. Neste artigo apresentarei uma breve visão geral dos principais aspectos que você deveria considerar para tirar vantagem da similaridade das normas, o que torna mais fácil integrá-las e permitir que sua organização trabalhe de forma mais eficiente.

    Estrutura de alto nível dos sistemas de gestão ISO

    Desde a publicação do Anexo SL, todos os sistemas de gestão ISO devem ser desenvolvidos de acordo com a seguinte estrutura:

    1. Escopo
    2. Referência normativa
    3. Termos e definições
    4. Contexto da organização
    5. Liderança
    6. Planejamento
    7. Apoio
    8. Operação
    9. Avaliação do desempenho
    10. Melhoria

    Para propósitos de certificação, as cláusulas mais importantes são as cláusulas 4 até 10. Nas cláusulas 4, 5, 7, 9 e 10, os textos das normas são quase os mesmos. As especificidades de cada norma estão concentradas nas cláusulas 6 e 8, a citar:

    Assim, percebe-se que a maior parte dos requisitos das normas (cláusulas 4, 5, 7, 9 e 10) podem ser unificados sem comprometer o propósito individual de cada norma.

    Abordagem para integrar sistemas de gestão

    Ao se falar de sistema de gestão integrado (integrated management system – IMS), queremos dizer sistemas onde lidamos da mesma forma com a maior quantidade possível de requisitos. Por exemplo, se dois sistemas possuem requisitos relacionados a política (como aprovação pela administração, revisão e comunicação), por que não lidar com eles da mesma forma? Por que não controlar documentos e registros da mesma forma?

    Ao se pensar na integração de sistemas de gestão, existem muitas linhas de ação a serem consideradas, com base no contexto da organização, número de sistemas existentes e maturidades dos sistemas, por exemplo. Em termos de requisitos normativos, você pode usar a PAS 99 como guia (ela pode ajudá-lo a mapear e definir um conjunto de documentos, políticas, procedimentos e processos adequados para todos os seus sistemas de gestão). Para ações a serem consideradas, veja as seguintes:

    Conscientização & treinamento. Use um procedimento único para estabelecer o método e frequência das atividades de treinamento e conscientização, assim como o mesmo material de treinamento relacionado aos requisitos comuns. Isto torna mais fácil tornar os empregados da organização conscientes dos requisitos das normas, sobre como estes requisitos podem ajudar a melhorar os resultados da organização e como os empregados podem ajudar na implementação e estar em conformidade com eles.

    Definição de objetivos e política. Identifique os propósitos da organização para o sistema e desenvolva uma política única que cubra todos os sistemas de gestão da organização.

    Definição do contexto. Determine todos os fatores internos / externos e partes interessadas através de um Sistema unificado para encontrar correlações mais rapidamente e de forma mais completa.

    Ações para tratar riscos / aproveitar oportunidades. Anteriormente conhecidas por ações preventivas, sua organização deve desenvolver planos para lidar com impactos potenciais negativos / positivos aos quais ela pode estar exposta.

    Projeto e implementação da documentação. Use documentação unificada para os processos do sistema de gestão integrado, como controle de documentos e registros e auditoria interna.

    Auditoria interna. Faça uso do mesmo auditor interno para verificar se os processos integrados estão sendo realizados como planejado e atingindo os resultados esperados.

    Análise crítica pela administração. Ao invés de múltiplas análises, realize uma análise consolidada para auxiliar a alta direção no entendimento das conquistas e resultados do sistema de gestão integrado.

    Ações corretivas. Um único procedimento pode ser usado para tomar medidas com relação a processos e/ou resultados não esperados, bem como para fazer o acompanhamento dos resultados destas medidas.

    Para organizações com sistemas certificados, ou àquelas considerando a certificação, caso a alta administração pergunte sobre os certificados e os processos de certificação, você pode responder que ao utilizar a abordagem de sistema de gestão integrado o processo será mais barato, porque a certificação integrada será realizada apenas uma vez para todos os sistemas integrados.

    Benefícios de um sistema de gestão integrado

    Os principais benefícios de implementar um Sistema de gestão integrado são:

    • Redução no custo ao se buscar uma auditoria de certificação integrada
    • Otimização dos custos pela unificação de auditorias internas, controle de documentos, treinamento e administração
    • Otimização do esforço de manutenção através do uso da mesma abordagem para se gerir múltiplas normas
    • Melhor entendimento pela alta administração dos assuntos do sistema, aumentando a agilidade e eficácia de decisões relacionadas envolvendo requisitos de múltiplas normas
    • Menor esforço requerido para integrar novos sistemas de gestão

    Sistema de gestão integrado: Uma boa resposta para atender a múltiplos desafios

    Um sistema de gestão integrado é relevante para qualquer organização porque ele ajuda a organização a lidar de forma eficaz com desafios tais como recursos limitados, aumento da competitividade e maiores expectativas de clientes e outras partes interessadas (ex.: governo e organismos reguladores) – independente do mercado de atuação.

    Assim, se você trabalha com muitos sistemas de gestão em sua organização, ou está planejando implementar novos sistemas, agora é o momento ideal para considerar a integração de sistemas de gestão em sua organização, para melhorar resultados e otimizar o alinhamento das práticas de gestão.

    Para ver um exemplo de documentação de sistemas integrados, por favor veja estes materiais gratuitos: Plano do projeto para implementação da ISO 27001 / ISO 22301ISO 9001:2015 vs. ISO 27001:2013 matrix.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Rhand Leal
    Autor
    Rhand Leal
    Rhand Leal tem 10 anos de experiência em segurança da informação, e por 6 anos manteve um sistema de gestão de segurança da informação baseado na ISO 27001. Rhand possui uma especialização em Gestão de Negócios pela Fundação Getúlio Vargas. Entre suas certificações estão: ISO 27001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), entre outras. Ele é membro do Capítulo Brasília do ISACA.