14
Risk Tecnologia

Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Embed Size (px)

DESCRIPTION

Este novo Manual da Coleção Risk Tecnologia com a PAS 99:2012 destina-se principalmente àquelas organizações que estão implementando os requisitos de duas ou mais Normas de Sistemas de Gestão (NSGs). A adoção deste Manual visa a simplificar a implementação de múltiplas normas de requisitos bem como qualquer avaliação de conformidade associada, juntamente com a introdução de alguns dos princípios mais recentes de sistemas de gestão descritos nas novas Diretivas da ISO (Anexo SL), que deverão ser atendidos por todas as futuras normas, como é o caso, por exemplo, das próximas ISO 9001:2015, ISO 14001:2015 e ISO/IEC 27001:2013. Usuários das atuais NSGs podem se beneficiar da utilização deste Manual para o desenvolvimento de suas abordagens integradas correntes. As próximas normas revisadas irão ter então um impacto mínimo nas operações internas dos sistemas de gestão existentes na organização. Muitos requisitos das NSGs são comuns e podem ser acomodados praticamente em um sistema de gestão genérico. Combinando dois ou mais sistemas conforme estabelecido na nova PAS 99:2012, a redução de duplicações tem o potencial de diminuir significativamente o tamanho total do sistema de gestão e melhorar sua eficiência e eficácia. Mais informações sobre o novo Manual podem ser obtidas no endereço: http://bit.ly/risktec13

Citation preview

Page 1: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia

Page 2: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia

Coleção Risk Tecnologia

SISTEMAS INTEGRADOS DE GESTÃO

Requisitos e Diretrizes para a

Integração de Sistemas de Gestão

PAS 99:2012

Aplicável às Atuais e Futuras Normas

ISO 9001, ISO 14001, OHSAS 18001,

ISO/IEC 27001, ISO 22000,

ISO/IEC 20000, ISO 22301, etc.

AMOSTRA do Manual

REVISÃO TÉCNICA:

Francesco De Cicco – Diretor Executivo do QSP – Centro da Qualidade,

Segurança e Produtividade para o Brasil e América Latina.

Todos os direitos reservados. É expressamente proibida a reprodução total ou

parcial desta publicação, sem a prévia autorização do editor.

Copyright 2013 by Risk Tecnologia Editora Ltda.

Fone: (11) 3704-3200.

Março de 2013.

Page 3: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia ___________________________________________________________

Índice

A importância do Sistema Integrado de Gestão para o Biocor Instituto ......... Sobre o QSP.................................................................................................... Introdução......................................................................................................... 1. Escopo......................................................................................................... 2. Referências normativas .............................................................................. 3. Termos e definições .................................................................................. 4. Contexto da organização ........................................................................... 5. Liderança ................................................................................................... 6. Planejamento ............................................................................................. 7. Suporte ...................................................................................................... 8. Operação ................................................................................................... 9. Avaliação do desempenho ........................................................................ 10. Melhoria .....................................................................................................

Anexos Anexo A (informativo) - Orientações sobre o contexto e uso desta PAS........ Anexo B (informativo) - Orientações adicionais específicas sobre as seções da PAS 99........................................................................................................ Anexo C (informativo) - Correlação com outras normas de sistemas de gestão ............................................................................................................. Anexo D (informativo) - Tabela de correlação entre a PAS 99:2012 e a PAS 99:2006 .................................................................................................. Bibliografia ......................................................................................................

Lista de figuras Figura 1 – Ilustração de como os requisitos comuns de múltiplas normas de sistemas de gestão podem ser integrados em um sistema comum ............... Figura 2 – Estrutura dos requisitos de sistemas de gestão.............................. Figura A.1 – Estrutura das normas de sistemas de gestão.............................. Figura B.1 – Exemplos de partes interessadas a serem consideradas e setores específicos ..........................................................................................

Lista de tabelas Tabela B.1 – Matriz de riscos ........................................................................... Tabela C.1 – Correlação seção por seção........................................................ Tabela D.1 – Tabela de correlação entre a PAS 99:2012 e a PAS 99:2006.....

03

07

08

13

14

15

19

22

24

26

30

31

34

36

39

51

53

54

11

12

37

41

45

51

53

Page 4: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia ___________________________________________________________

___________________________________________________________________________

Page 5: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia ___________________________________________________________

AMOSTRA do Manual

Introdução

Muitas organizações já adotaram ou estão adotando Normas de Sistemas de Gestão (NSGs) formais, tais como a ISO 9001, ISO 14001, ISO/IEC 27001, ISO 22000, ISO/IEC 20000, ISO 22301 e OHSAS 18001. Frequentemente, elas são utilizadas como sistemas independentes. Em todos os sistemas de gestão, no entanto, há certos elementos comuns que podem ser gerenciados de forma integrada. A unidade essencial de todos esses sistemas, dentro do sistema de gestão global da organização, pode então ser reconhecida e utilizada de uma melhor forma. Por isso, as organizações estão questionando a abordagem de se ter sistemas separados. A PAS 99:2006 foi produzida para possibilitar que as organizações integrem os requisitos comuns dos sistemas de gestão (SGs) em uma única estrutura. Desde a primeira publicação da PAS 99:2006, muito se desenvolveu em termos de normas internacionais, tendo a PAS 99:2012 sido revisada para que se considerem tais mudanças e, em especial, a introdução das novas orientações da ISO, recentemente publicadas e agora contidas no Suplemento ISO Consolidado para as Diretivas ISO, Parte 1 (Procedimentos específicos para a ISO), Anexo SL (normativo), Propostas para Normas de Sistemas de Gestão, SL.8 Orientações sobre o processo de desenvolvimento e estrutura de uma NSG, mais Apêndices 2-4 (aqui doravante designado como "Anexo SL"). NOTA: Durante sua elaboração, as orientações do Anexo SL foram conhecidas como” ISO Draft Guide 83, Estrutura de alto nível, texto essencial idêntico, termos comuns e definições essenciais para uso em Normas de Sistemas de Gestão”. Este Manual da Coleção Risk Tecnologia com a PAS 99:2012 destina-se principalmente àquelas organizações que estão implementando os requisitos de duas ou mais Normas de Sistemas de Gestão (NSGs). A adoção da nova PAS 99 visa a simplificar a implementação de múltiplas normas de requisitos bem como qualquer avaliação de conformidade associada, juntamente com a introdução de alguns dos princípios mais recentes de sistemas de gestão descritos no Anexo SL da ISO, que deverão ser atendidos a médio e longo prazo. Convém que as organizações que utilizam a nova PAS 99 incluam como entrada os requisitos específicos das NSGs que adotaram, por exemplo, ISO 9001, ISO 14001, ISO/IEC 27001, ISO 22000, ISO/IEC 20000 e OHSAS 18001. Isso poderá exigir a participação de especialistas nos aspectos técnicos de disciplinas individuais. A PAS 99:2012 foi elaborada para ajudar as organizações a alcançar benefícios para a consolidação dos requisitos comuns de todas as NSGs e para gerenciar tais requisitos de forma eficaz. Os benefícios podem incluir:

Page 6: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia ___________________________________________________________

a) foco melhorado no negócio; b) abordagem mais holística para gerenciar os riscos do negócio; c) menos conflitos entre sistemas individuais de gestão; d) redução de duplicações e burocracia; e) auditorias internas e externas mais eficazes e eficientes; g) facilidade de implementação dos requisitos de qualquer nova NSG que a organização venha a adotar. Embora o Anexo SL seja destinado àqueles que redigem normas internacionais, ele fornece um modelo que desenvolve mais detalhadamente a estrutura e o texto utilizados na PAS 99:2006 original. Também foram realizadas alterações em algumas NSGs referenciadas na PAS 99:2006 desde que ela foi publicada. As alterações que indicam melhorias no processo de integração foram incluídas nesta nova versão do Manual da Coleção Risk Tecnologia com a PAS 99. Muitos requisitos de normas são comuns e podem ser acomodados praticamente em um sistema de gestão genérico, como mostrado na Figura 1. Por conseguinte, combinando dois ou mais sistemas desse modo, a redução de duplicações tem o potencial de diminuir significativamente o tamanho total do sistema de gestão e melhorar sua eficiência e eficácia. A Figura 1 a seguir mostra que, à medida que os requisitos de vários sistemas de gestão são alinhados em uma única estrutura, é possível integrar os requisitos comuns. Isso deve ser feito da maneira que seja mais apropriada para a organização.

Figura 1 Ilustração de como os requisitos comuns de múltiplas normas de sistemas de gestão podem ser integrados em um sistema comum

Page 7: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia

Figura 2 – Estrutura dos novos requisitos de sistemas de gestão

Esta é apenas uma AMOSTRA do Manual

Page 8: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia ___________________________________________________________

3 Termos e definições Para os efeitos da nova PAS 99:2012, aplicam-se os seguintes termos e definições.

4 Contexto da organização

4.1 Entendendo a organização e seu contexto A organização deve determinar as questões externas e internas que são pertinentes ao seu propósito e que afetam sua capacidade de alcançar o(s) resultado(s) pretendido(s) de seu sistema integrado de gestão (SIG). Convém que a organização identifique os fatores que precisam ser levados em consideração na implementação de seu SIG e que sejam pertinentes ao "ambiente" em que opera, tanto interna como externamente. A avaliação do contexto externo da organização pode incluir: a) ambientes cultural, social, político, legal, regulatório, financeiro, tecnológico, econômico, natural e competitivo, quer seja internacional, nacional, regional ou local; b) fatores-chave e tendências que tenham impacto sobre os objetivos da organização; c) relações com partes interessadas externas e suas percepções e valores. NOTA 1 As subseções 4.1 a) a c) foram extraídas da ABNT NBR ISO 31000. A avaliação do contexto interno da organização pode incluir: 1) governança, estrutura organizacional, funções e responsabilidades; 2) políticas, objetivos e estratégias implementadas para atingi–los; 3) capacidades, entendidas em termos de recursos e conhecimento (por exemplo, capital, tempo, pessoas, processos, sistemas e tecnologias); 4) sistemas de informação, fluxos de informação e processos de tomada de decisão (formais e informais); 5) relações com partes interessadas internas e suas percepções e valores; 6) cultura da organização; 7) normas, diretrizes e modelos adotados pela organização; 8) forma e a extensão das relações contratuais; NOTA 2 As subseções 4.1 1) a 8) foram extraídas da ABNT NBR ISO 31000. 9) identificação das interfaces-chave entre os sistemas, conflitos potenciais que podem surgir e um processo para resolvê-los. Convém que as organizações que possuem sistemas da qualidade notem que os requisitos da subseção 4.1 da ABNT NBR ISO 9001:2008 irão ampliar este requisito,

Page 9: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia ___________________________________________________________

à medida que a identificação de processos esclareça algumas das questões sobre o contexto.

6 Planejamento

6.1 Ações para tratar riscos e oportunidades Ao planejar o SIG, a organização deve considerar as questões referidas em 4.1 e os requisitos referidos em 4.2, e determinar os riscos e oportunidades que precisam ser tratados para: a) assegurar que o SIG possa alcançar o(s) resultado(s) pretendido(s); b) prevenir ou reduzir efeitos indesejados; c) alcançar a melhoria contínua. A organização deve: 1) planejar ações para tratar esses riscos e oportunidades; 2) planejar como:

• integrar e implementar as ações em seus processos do SIG; • avaliar a eficácia dessas ações.

A intenção desta seção é assegurar que a organização trate as questões identificadas em 4.1 e 4.2 ao determinar as providências para gerenciar seus riscos e oportunidades. As disciplinas específicas e os requisitos dos sistemas de gestão que estão incluídos no escopo do SIG irão determinar quais riscos e oportunidades convém que sejam considerados. As organizações que desejarem incluir a gestão ambiental (ABNT NBR ISO 14001) precisarão identificar os aspectos ambientais de suas atividades, produtos e serviços, dentro do escopo definido de seu sistema de gestão ambiental, que a organização possa controlar e aqueles que ela possa influenciar. Ao fazer isso, convém levar em consideração os desenvolvimentos novos ou planejados, e as atividades, produtos e serviços novos ou modificados (ver ABNT NBR ISO 14001:2004, 4.3.1). Convém que as organizações que estão incorporando a SST (segurança e saúde no trabalho) identifiquem os perigos e priorizem os riscos de acordo com a hierarquia prevista na OHSAS 18001:2007, 4.3.1. Também é importante que a organização estabeleça, documente e mantenha processo(s) para identificar e responder a qualquer evento não planejado, emergência ou desastre potencial. Convém que esse(s) procedimento(s) busque(m) prevenir ou mitigar as consequências de qualquer ocorrência desse tipo e leve(m) em consideração a continuidade das operações do negócio. Convém que a organização periodicamente analise criticamente e, se necessário, revise o(s) procedimento(s) de preparação e resposta a contingências.

Page 10: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia ___________________________________________________________

Requisitos específicos sobre análise de impactos nos negócios e avaliação de riscos são fornecidos na ISO 22301:2012, 8.2.2 e 8.2.3. Muitas NSGs existentes têm um requisito de "ação preventiva", que é sinônimo de tratamento de riscos das organizações. Convém que tais requisitos de ação preventiva sejam abordados nesta subseção.

Anexo A (informativo) Orientações sobre o contexto e uso da nova PAS 99

A.1 Generalidades Este anexo é fornecido para auxiliar na compreensão do por quê da escolha da abordagem especificada na PAS 99:2012, bem como para dar orientações em tópicos que se julga que uma explicação adicional é necessária. Nos casos em que as seções desta PAS são consideradas autoexplicativas, não será apresentada orientação adicional. Este anexo não pretende ser um guia completo para implementar os requisitos de múltiplos sistemas de gestão; há muitas fontes para aconselhamento sobre como implementar os sistemas individuais de gestão e os sistemas integrados. As NSGs contêm diversos requisitos em comum que foram identificados e formalizados no Anexo SL da ISO. Nele e em seus apêndices, é fornecido o texto essencial, termos comuns e definições essenciais, bem como uma estrutura de alto nível. A nova PAS 99 se baseia na estrutura de alto nível e nos requisitos comuns fornecidos no Anexo SL da ISO (e apêndices 2-4) como uma estrutura (framework) para implementar duas ou mais NSGs de forma integrada. Ao aplicar tal estrutura de alto nível para abordar os requisitos comuns das NSGs e de outros sistemas de gestão, é importante reconhecer que há requisitos específicos nas especificações individuais que não estão incluídos no framework genérico. Convém que os requisitos que não são comuns sejam abordados adicionalmente àqueles da PAS 99:2012, a fim de atender às normas específicas que a organização adotar. Considerou-se que esta é a estrutura (framework) mais apropriada para esta nova versão do Manual da Coleção Risk Tecnologia com a PAS 99, uma vez que as NSGs emergentes são baseadas na mesma abordagem. Ela possibilita que as normas existentes, listadas no escopo da nova PAS, sejam acomodadas e destinadas à administração eficaz e eficiente dos requisitos comuns dos sistemas de gestão.

A.2 Abordagem de processo A ABNT NBR ISO 9001 utiliza a abordagem de processo para identificar as áreas que precisam ser controladas, a fim de entregar um produto ou serviço eficiente e eficaz. Ela constitui-se em parte integral da abordagem do Anexo SL da ISO (por exemplo, ver 4.4 da nova PAS 99). A Figura A.1 a seguir mostra a estrutura de alto nível do Anexo SL aplicada, utilizando a abordagem de processo.

Page 11: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia ___________________________________________________________

A.3 Riscos No cerne das modernas normas de gestão está a "abordagem baseada em riscos". Isto pode ser reconhecido a partir da definição de sistema de gestão em combinação com a definição de risco. Um sistema de gestão auxilia uma organização no estabelecimento de políticas e em alcançar objetivos. Riscos podem ter um impacto positivo ou negativo nos objetivos. "Os riscos positivos" (isto é, riscos com consequências positivas) são oportunidades que podem precisar ser aproveitadas para assegurar que uma organização tenha sucesso, enquanto os "riscos negativos" (isto é, riscos com consequências negativas) representam uma ameaça. Assim, é lógico que existam sistemas de gestão para gerenciar riscos a fim de atingir os objetivos. Em algumas disciplinas, a abordagem baseada em riscos está intimamente relacionada aos requisitos legais (de segurança, por exemplo) que, obviamente, têm que ser atendidos. A ABNT NBR ISO 9001 é, à primeira vista, menos explícita na sua abordagem baseada em riscos, pois não há um requisito geral para identificar e avaliar as características críticas relacionadas à qualidade. No entanto, os requisitos do cliente e os requisitos legais precisam ser identificados e formam a base para essa avaliação, com o controle e monitoramento dos processos da organização, a fim de assegurar que tais requisitos sejam atendidos. Muitas organizações aplicam técnicas como a Análise de Modos de Falha e Efeitos (FMEA) dentro de seu sistema da qualidade, a fim de adotar a abordagem baseada em riscos. O requisito para avaliar riscos é a principal motivação para a segurança e saúde no trabalho, segurança da informação e sistemas de gestão da segurança alimentar, e é provável que conste em todas as futuras NSGs.

Page 12: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia ___________________________________________________________

Anexo B (informativo)

Orientações adicionais específicas sobre as seções da PAS 99 NOTA Neste Anexo B, em particular de B.4 a B.10, são fornecidas orientações nos pontos em que se acredita que o texto da PAS 99 pode precisar de mais amplificação. Quando for considerado que o texto está explícito o bastante e devidamente coberto nas várias normas que podem ser adotadas ou implementadas pelos usuários da nova PAS, não é fornecida nenhuma orientação adicional.

B.6.2 Objetivos do SIG e planejamento de como alcançá-los (ver 6.2) Cabe à administração da organização decidir como os objetivos serão selecionados e classificados. Convém que os objetivos escolhidos sejam pertinentes e realisticamente alcançáveis, levando em consideração os recursos disponíveis. Se os trabalhadores forem envolvidos na identificação dos aspectos-chave, é provável que eles também serão capazes de contribuir para a definição de objetivos-chave. Convém que os objetivos sejam positivos e significativos. Um objetivo como "reduzir o desperdício" é demasiadamente geral para ser construtivo. "Reduzir o desperdício em x% ao longo de um período de y meses" é melhor, desde que o nível atual de desperdício seja conhecido e existam meios eficazes para medi-lo. Muitas vezes, a identificação de um objetivo-chave pode revelar uma série de objetivos subsidiários, que precisam ser atingidos primeiro, e conflitos podem surgir sobre o uso de recursos limitados. Assim, a seleção de objetivos precisa ser realizada com bastante prudência. Na ABNT NBR ISO 14001, há o termo "meta" bem como o termo "objetivo". Uma meta é vista como sendo um objetivo de nível mais baixo, nos termos da ABNT NBR ISO 14001 (uma meta pode ser, por exemplo, a escala de tempo em que se espera atingir um objetivo). A meta é uma declaração do que uma organização espera que seja alcançado, mas não é crítica para o seu futuro. Se a organização não consegue atingir suas metas, convém que ela analise criticamente seus objetivos.

Page 13: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia

Anexo C (informativo) - Correlação com outras normas de sistemas de gestão A Tabela C.1 fornece a correlação entre a nova PAS 99 e outras NSGs, seção por seção.

Tabela C.1 – Correlação seção por seção

Seção PAS 99:2012

ISO

9001:2008

ISO

14001:2004

OHSAS

18001:2007

ISO

22301:2012

ISO/IEC

20000-1:2011

ISO/IEC

27001:2005

ISO

22000:2005

4 Contexto da organização 4

4.1 Entendendo a organização e seu

contexto

4.1* 4.3.1* 4.3.1* 4.1 4.2.1* 4.1*

4.2 Entendendo as necessidades e

expectativas das partes interessadas

5.2 4.3.2 4.3.2 4.2 4.2.1* 7.2.3

4.3 Determinação do escopo do sistema

integrado de gestão

4.2.2a) 4.1 4.1 4.3 4.5.1 4.2.1a) 4.1

4.4 Sistema integrado de gestão (SIG) 4.1 4.1 4.1 4.4 4.5 4.1 4.1

5 Liderança 5

5.1 Liderança e comprometimento 5.1 4.4.1 4.4.1 5.1, 5.2 4.1.1 5.1 5.1

5.2 Política 5.3 4.2 4.2 5.3 4.1.2 4.2.1b) 5.2

5.3 Funções, responsabilidades e

autoridades organizacionais

5.5 4.4.1 4.4.1 5.4 4.1, 4.1.3,

4.1.4

4.2.2b) 5.4, 5.5

6 Planejamento 5.4, 7 4.3 4.3 6 7

6.1 Ações para tratar riscos e oportunidades

4.1, 5.4.2,

7.1, 6.4

4.3.1 4.3.1 6.1, 8.2, 8.3 6.2, 4.2 4.2.2 7.1, 7.3, 7.4

6.2 Objetivos do SIG e planejamento de como alcançá-los

5.4.1, 5.4.2,

7.2, 7.3,

7.4, 7.5

4.3.3 4.3.3 6.2, 8.4 4.5.2 4.2.2 7.2, 7.5,

7.6, 7.7, 7.9

Esta é apenas uma AMOSTRA do Manual

Page 14: Novos requisitos e diretrizes das próximas ISO 9001, ISO 27001, ISO 14001, OHSAS 18001, etc

Risk Tecnologia ____________________________________________________________

__________________________________ PARA ADQUIRIR O MANUAL COM A PAS 99:2012:

Acesse: http://bit.ly/risktec13

Ou ligue: (11) 3704-3129