Por Neifer B. França*
A certificação é o atestado de reconhecimento do sistema de gestão fornecido por um organismo independente externo, testemunhando o cumprimento dos requisitos da norma pela organização auditada e posteriormente certificada.
O processo de certificação passa por etapas pré-definidas por diretrizes de organismos acreditadores e do IAF (International Accreditation Forum), os quais atestam a capacidade de um organismo certificador (OC) auditar e certificar organizações.
Após a implementação do sistema de gestão conforme a norma de interesse, a primeira etapa da certificação é a escolha de um organismo de certificação. Um organismo de certificação competente é aquele que possui acreditação reconhecida pelo IAF.
A certificação de sistemas de gestão obedece as seguintes etapas:
Pré Auditoria: esta etapa do processo é opcional, antes de se comprometer com o processo de auditoria oficial, ou enquanto o sistema de gestão ainda está em desenvolvimento, a empresa pode solicitar uma pré-auditoria. Auditoria em que todas as técnicas de auditoria são utilizadas para demonstrar as fragilidades do sistema de gestão ou parte dele. Embora os resultados não sejam detalhados com não conformidades, uma lista de observações é preparada e entregue para o cliente no final do processo.
Auditoria inicial – fase 1: A documentação que constitui o sistema de gestão do cliente é examinada para determinar a adequação geral do cumprimento dos critérios de auditoria. O programa de auditoria, baseado no ambiente da empresa, áreas a serem auditadas e tempo aproximado é preparado e enviado ao cliente.
Auditoria inicial – fase 2: Uma avaliação detalhada do sistema de gestão do cliente, de forma abrangente, é realizada para verificar a conformidade, onde são levantadas possíveis não conformidadese observações. Um relatório de auditoria é emitido, onde é incluída a recomendação ou não para certificação do sistema de gestão, baseado nas normas auditadas.
Classificação de Não-Conformidades: As não-conformidades geralmente são classificas em duas categorias:
Maiores: São as que representam uma violação da integridade do sistema de gestão e/ou a conformidade integral dos requisitos de uma forma geral. Desvio intencional do uso do certificado, uso da logomarca do organismo certificação/acreditação e/ou outros requisitos contratuais são motivos de NC maiores. Uma ou mais não conformidades maiores em qualquer período, irão adiar ou suspender a certificação até que as ações corretivas sejam tomadas pelo cliente.
Menores: São as aplicadas nos casos em que qualquer parte do sistema não cumpre integralmente os critérios, mas a deficiência não constitui uma classificação maior. Não conformidades menores que não são encerradas até a próxima auditoria de manutenção, são reclassificadas como não conformidades maiores.
Após o cumprimento de todas as etapas descritas, a empresa é recomendada ou não para certificação, passando pela revisão final do relatório pela área técnica do organismo de certificação quando da recomendação, o certificado é emitido e enviado para cliente.
O certificado possui validade de 3 anos, nesse período a empresa passa por auditorias periódicas de manutenção, para revisão do sistema de gestão, onde a empresa deve demonstrar a melhoria contínua do mesmo.
Após o primeiro ciclo de certificação (3 anos), uma auditoria de recertificação é realizada, para avaliação completa do sistema de gestão, assim mantendo o processo de melhoria contínua.
*Neifer B. França – é Gerente de Negócios da QMS Certification Services, organismo de certificação de origem australiana com atuação de destaque no mercado nacional. contato@qmsbrasil.com.br / www.qmsbrasil.com.br .
ISO 20000 & 27001 - AS MELHORES PRÁTICAS
Por Andrea Melo*
A área de Tecnologia da Informação dentro das organizações está crescendo a olhos vistos. Cada vez mais se exige que os profissionais de TI se atualizem através de cursos e certificações para obterem o conhecimento necessário e acompanharem a demanda de informações que a área exige. O crescimento da área também exige uma gestão controlada para melhor desempenho dos
processos relacionados ao segmento, incluídos, os processos de TI alinhados ao negócio. Este é o grande diferencial das organizações que estão focadas nas atualizações: estarem alinhadas ao business da organização. De alguns anos para cá, a TI não caminha mais sozinha; saiu da sua “caixa” e agora faz parte explicita do business da Organização. Por consequência, os profissionais de TI estão cada vez mais valorizados por isso.
Em julho de 2007, foi publicada a nova versão do ITIL – Information Technology Infrastructure Library, ITIL V3, no qual as conferências realizadas para informação sobre as mudanças foram focadas em alguns pontos importantes, dentre eles o alinhamento ao business e o novo perfil do profissional de TI.
A ISO 20000 – Sistema de Gestão em Tecnologia da Informação está alinhada a esse novo conceito. A gestão é fundamental para melhor desempenho dos processos, atribuindo pontos de controle e analisando os dados gerados para a busca da melhoria contínua nos processos de TI. A conseqüência dessa gestão é poder atender às demandas que o mercado exige e conseqüentemente, obter a satisfação dos clientes que utilizam os serviços de TI da organização, que podem ser internos ou externos.
Atualmente, o Brasil tem menos de 15 empresas certificadas na ISO20000 credenciadas pelo ITSMF – The IT Service Management Forum. (http://www.isoiec20000certification.com). Dentre essas empresas estão Banco do Brasil, HP, Siemens, Bradesco.
Um dos requisitos da ISO 20000 é a Segurança da Informação, cuja orientação como diretriz é a norma ISO27002 – Tecnologia da Informação – Técnicas de Segurança – Código de Prática para a Gestão da Segurança da Informação. Segurança de Informação não é a apenas atender à parte técnica para salvaguardar as informações da própria organização, dos clientes, fornecedores e outras pertinentes. Segurança da Informação é também conscientização. Os funcionários precisam ter conhecimento e saber sobre a importância das informações que tramitam dentro da empresa,
seja ela verbal, escrita, eletrônica ou de qualquer outra forma.
O Brasil, infelizmente, ainda não tem um nível de conscientização nem muito interesse para que possamos evoluir de uma forma mais rápida sobre o assunto. Há algumas iniciativas vindas do Governo Federal, como a Instrução Normativa GSI nº 01 13/06/2008, que disciplina a Gestão de Segurança da Informação na Administração Pública Federal, o projeto de lei para garantir a proteção de dados pessoais e a Portaria do Denatran 1334/2010 para operacionalizar como Unidade de Gestão Central (UGCs) tem que possuir a certificação ISO27001 – Sistema de Gestão de Segurança da Informação.
* Andrea Melo é auditora líder em ISO9001, ISO20000 e ISO27001 da QMS Certification Services, organismo de certificação de origem australiana. contato@qmsbrasil.com.br | www.qmsbrasil.com.br.
 | 
