Há algum
tempo venho escrevendo sobre as diversas possibilidades de participação de organizações,
e possíveis justificativas, nas discussões de preparação ou atualização de
normas internacionais. No último post abordei um caso mais específico, sobre os
fóruns onde são discutidas normas ou padrões relativos à computação em nuvem e,
rapidamente, passei por 4 possibilidades de atuação das organizações:
- Nada a fazer, adota-se uma plataforma preferencial de um fornecedor tradicional e faz-se a aposta de que este fornecedor de tecnologia será capaz de se manter atualizado e em conformidade com os padrões em produção
- Acompanhar, via imprensa ou consultorias especializadas, os desdobramentos e ofertas do mercado
- Ir mais a fundo em requisitos que demandem certificações dos fornecedores e garantam a qualidade e a disponibilidade dos serviços contratados
- Assumir que sua organização depende da tecnologia e precisa acompanhar, diretamente, o desdobramento das discussões e evolução dos padrões em organizações selecionadas
Para os dois últimos casos, surge a
necessidade de se estabelecer processos e práticas necessárias para uma
adoção consistente e produtiva dos padrões e da obtenção e manutenção das certificações
necessárias para a continuidade de negócios.
Para melhor orientação às
organizações que necessitam se aventurar neste meio, a própria ISO publicou em 2014 a
norma ISO 19600 Compliance management systems – Guidelines, cujo objetivo é prover
diretrizes para estabelecer, desenvolver, implementar, avaliar, manter e
aperfeiçoar um sistema responsivo de gestão de conformidades dentro das organizações.
Neste ano, a ABNT publicou a versão em português desta norma, denominada ISO 19600
Sistema de gestão de compliance — Diretrizes (http://www.abntcatalogo.com.br/norma.aspx?ID=356621).
Em princípio, a ISO 19600 descreve
as diretrizes mínimas que devem ser observadas para que as organizações tenham
um sistema de gestão de conformidade efetivo, oferecendo um framework que
aborda elementos já existentes, mas oferecendo orientações básicas para a
operação dos programas de conformidade no dia-a-dia.
Alinhada a outras normas já
publicadas na ISO que versam sobre sistemas de gestão, a ISO 19600 baseia-se num
ciclo de quatro passos para o controle e aperfeiçoamento dos processos, o PDCA
(Plan, Do, Check, Act). Com o foco na gestão de conformidade, podemos
ver esses quatro passos da seguinte forma:
- Plan: As obrigatoriedades e necessidades e os riscos de não conformidade a normas para a correta execução de negócios, produção e entrega de produtos devem ser avaliados e conhecidos e medidas devem ser tomadas para o tratamento adequado.
- Do: As medidas definidas para este tratamento devem ser implantadas e os mecanismos de monitoração devem ser estabelecidos.
- Check: O programa de gestão de conformidade deve ser revisado com base nos controles implantados.
- Act: Com base nos resultados da avaliação, o programa deve ser aperfeiçoado e os casos de não conformidade devem ser tratados.
O entendimento adequado dos
processos de gestão da conformidade para produtos e serviços é fundamental para
a compreensão dos impactos decorrentes da adoção de normas para a entrega de
produtos e serviços pelas organizações e dos riscos inerentes à sua não
observação com base nos regulamentos vigentes e nas demandas de seus clientes.
Para as organizações que querem iniciar a avaliação dos impactos que um programa de conformidade gera em seus processos de negócio, vale muito a pena estudar esta norma antes de dar seus primeiros passos.
Comentários
Postar um comentário