Acreditação vs. certificação vs. registro no mundo ISO

Coisa com as normas ISO podem se tornar realmente complicadas: existem muitas normas de gestão ISO – as mais populares são ISO 9001, ISO 14001, ISO 27001, ISO 22301, ISO 20000, etc. – e há uma infinidade de maneiras de se tornar acreditado / certificado / registrado com relação a estas mesmas normas. Mas, isto não é tudo – existe uma diferença se você que certificar sua organização, ou se você que se certificar como indivíduo.

Então, por onde você deveria começar? Vamos tornar isto mais claro…

1) Para organizações

Primeiro de tudo, normas ISO são publicadas pela International Organization for Standardization – este é um organism internacional fundado por governos ao redor do mundo. Seu propósito é publicar normas como uma forma de entregar conhecimento e melhores práticas – até o momento, quase 20.000 normas foram publicadas no total, e elas são reconhecidas em cada país.

Normas de gestão ISO são apenas parte destas 20.000 normas, que foram criadas primariamente como uma ajuda para organizações para melhorar suas operações em certas áreas (e.g., a ISO 9001:2015 para gestão da qualidade, a ISO 27001 para gestão da segurança da informação, etc.) – é por isto que muito do que se fala sobre estas normas está relacionado a organizações e seus registros, certificações e acreditações.

Certificação vs. registro

Quando você quer dizer que uma organização implementou uma norma (e.g., um Sistema de Gestão de Segurança da Informação de acordo com a ISO 27001), completou com sucesso a auditoria de certificação, e o organismo certificador emitiu o certificado, você normalmente chamaria isto de registro ou certificação.

Leia também: Infographic: The brain of an ISO auditor – What to expect at a certification audit.

Na América do Norte, o termo “registro” é mais comumente usado, enquanto que no resto do mundo ele é usualmente chamado de “certificação”. Então, existe uma diferença? Tecnicamente, sim; mas essencialmente, não.

Certificação é quando um organismo certificador emite o certificado provando que uma organização está em conformidade com uma norma; registro é quando este certificado está registrado com o organismo de certificação. Assim, basicamente, tudo se resume à mesma coisa – uma organização tem um certificado que é formalmente reconhecido.

À proposito, a International Organization for Standardization recomenda o uso do termo “certificação” (veja a explicação da ISO aqui), assim usarei este termo deste ponto em diante neste artigo.

Organismo certificador vs. registrador

Esta é a diferença de terminologia que surge diretamente do uso dos termos certificação / registro – na América do Norte as pessoas geralmente usam o termo registradores, enquanto que no resto do mundo eles são chamados de organismos certificadores.

Mas, novamente, isto é a mesma coisa – estas são as organizações que realizam as auditorias de certificação e emitem os certificados. Aqui, também, a ISO recomenda o uso do termo “organismo certificador”.

Acreditação vs. certificação

O que é a acreditação, então? De forma que os organismos de certificação sejam capazes de realizar auditorias de certificação e emitir os certificados, eles precisam obter uma licença – e esta licença é chamada acreditação. Assim, organismos de certificação são acreditados, enquanto que organizações são certificadas. (Os organismos de certificação precisam estar em conformidade com a norma ISO 17021 se eles quiserem ser acreditados para a certificação de sistemas de gestão).

Há geralmente apenas um organismo de acreditação para cada país (e.g., UKAS para o Reino Unido), enquanto que existem vários organismos de certificação operando em cada país – variando de pequenos organismos de certificação locais até grandes corporações multinacionais como SGS, BSI, DNV, BV, etc.

A coisa boa sobre organismos de acreditação é que eles geralmente publicam a lista de organismos de certificação acreditados em seus países – veja aqui a lista de organismos de certificação no Reino Unido, e aqui a lista de organismos de certificação nos Estados Unidos.

À propósito, organismos de acreditação também precisam estar em conformidade com uma norma – esta é a ISO 17011, uma norma que define o processo de acreditação.

2) Para indivíduos

De forma a implementar uma norma em uma organização, ou para auditá-la, alguém precisa estar treinado para fazer isso. É por isso que muitos treinamentos para normas ISO foram desenvolvidos, e existem também certificações e acreditações relacionadas a esta indústria de treinamento. (Para uma lista dos treinamentos mais comuns, veja este artigo: Como aprender sobre a ISO 27001 e a BS 25999-2).

Com relação a acreditação, existe um padrão similar como o descrito acima – se uma instituição quer prover certificados de treinamento, ela deveria ser acreditada por um organismo de acreditação, e neste caso, tal instituição precisa estar em conformidade com a ISO 17024.

Aqui estão algumas das mais populares instituições de treinamento acreditadas: PECB, IRCA, Exemplar Global (antiga RABQSA), etc.

Certificação pessoal vs. Certificação de treinamento

Em muitos casos, estas instituições de treinamento não ministram os cursos diretamente aos estudantes; ao invés disso, eles possuem um rede de parceiros – provedores de treinamento – que ministram os cursos sob licença e supervisão delas.

Esta relação entre instituições acreditadas e provedores de treinamento basicamente funciona de duas formas: (a) provedores de treinamento estão usando cursos desenvolvidos pelas instituições acreditadas, e então as instituições acreditadas emitem os certificados diretamente para os estudantes, ou (b) a organização de treinamento desenvolve seu próprio curso e uma instituição acreditada certifica tal curso – neste caso, é comum para a organização de treinamento emitir o certificado para os estudantes, com a aprovação da instituição acreditada.

Existem numerosas organizações de treinamento ao redor do mundo – variando de organismos de certificação que também oferecem a certificação de organizações, até provedores pequenos e especializados em nichos e provedores de cursos online.

É válido mencionar que certificação de cursos é obrigatória para provedores de treinamento que proveem cursos como o de Auditor Líder, porque esta é a única forma de se obter o reconhecimento dos organismos de certificação que irão contratar auditores com tais certificados. Contudo, para outros cursos, mais curtos, provedores de treinamento frequentemente escolhem por não certificar seus cursos porque tal reconhecimento não é importante, e eles consideram sua marca como suficiente para garantir a qualidade do curso.

Indústria de conhecimento bem definida

Assim, lembre-se – se você é um indivíduo buscando obter reconhecimento, ou se sua organização precisa obter uma declaração oficial de que está em conformidade com uma norma, existe um programa de certificação que cobre suas necessidades.

O ponto é – de um lado você tem normas ISO como fonte de conhecimento e melhores práticas, e por outro lado você tem um modo bem estabelecido de provar seu conhecimento e/ou processo em sua organização. A única questão que você tem que fazer é – como isto pode beneficiar você?

Verifique este  website de eTraining em ISO com cursos gratuitos online para ISO 9001, ISO 14001 e ISO 27001 – eles irão ensinar a você como implementar as normas, mas também como capacitar você a obter certificação.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.