Estrutura de alto nível, texto essencial idêntico, termos comuns e definições essenciais para uso em Normas de Sistemas de Gestão.
ANEXO SL Com adaptações para Sistemas Integrados de Gestão
FRANCESCO DE CICCO
ANEXO SL Com adaptações para Sistemas Integrados de Gestão
Estrutura de alto nível, texto essencial idêntico, termos comuns e definições essenciais para uso em Normas de Sistemas de Gestão Texto preparado em fevereiro/2013 por: FRANCESCO DE CICCO Diretor Executivo do QSP - Centro da Qualidade, Segurança e Produtividade Extraído e adaptado do Manual: SISTEMAS INTEGRADOS DE GESTÃO - PAS 99 - Requisitos Comuns e Diretrizes para a Implantação e Integração de Sistemas de Gestão (2ª edição)
1 Introdução As novas exigências da ISO para o desenvolvimento de Normas de Sistemas de Gestão estão contidas no Suplemento ISO Consolidado para as Diretivas ISO, Parte 1 (Procedimentos específicos para a ISO), Anexo SL (normativo). Durante sua elaboração, os requisitos do Anexo SL foram conhecidos como ISO Draft Guide 83, Estrutura de alto nível, texto essencial idêntico, termos comuns e definições essenciais para uso em Normas de Sistemas de Gestão. Este trabalho foi elaborado para ajudar as organizações a alcançar benefícios para a consolidação dos requisitos comuns de todas as Normas de Sistemas de Gestão (NSGs) e para gerenciar tais requisitos de forma eficaz. Os benefícios podem incluir: a) foco melhorado no negócio; b) abordagem mais holística para gerenciar os riscos do negócio; c) menos conflitos entre sistemas individuais de gestão; d) redução de duplicações e burocracia; e) auditorias internas e externas mais eficazes e eficientes; g) facilidade de implementação dos requisitos de qualquer nova NSG que a organização venha a adotar. Este trabalho incorpora o texto do Anexo SL onde apropriado, a fim de proporcionar uma abordagem duradoura que acomode novas NSGs à medida que forem sendo produzidas. O Anexo SL não especifica o uso nem da abordagem de processo nem do PDCA, uma vez que qualquer um deles pode ser acomodado dentro da estrutura de alto nível prevista.
1 www.qsp.org.br
Fevereiro/2013
2 Referências normativas Convém que sejam usadas como referências normativas apenas as normas que a organização venha a adotar e que pretenda utilizar em conjunto com as diretrizes contidas neste trabalho. As listadas abaixo são exemplos de algumas das principais normas em uso nas organizações. Para documentos datados, aplica-se somente a edição citada. Para documentos sem data, aplica-se a edição mais recente do documento (incluindo quaisquer alterações). ABNT NBR ISO 9001:2008, Sistemas de gestão da qualidade - Requisitos ABNT NBR ISO 14001:2004, Sistemas da gestão ambiental - Requisitos com orientações para uso ABNT NBR ISO 22000:2005, Sistemas de gestão da segurança alimentar - Requisitos para qualquer organização na cadeia produtiva de alimentos ISO 22301:2012, Segurança da Sociedade - Sistemas de gestão da continuidade de negócios - Requisitos ABNT NBR ISO/IEC 20000-1:2011, Tecnologia da informação - Gestão de serviços Parte 1: Requisitos do sistema de gestão de serviços ABNT NBR ISO/IEC 27001:2005, Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos OHSAS 18001:2007, Sistemas de Gestão da Segurança e Saúde no Trabalho Requisitos (Coleção Risk Tecnologia)
2 www.qsp.org.br
Fevereiro/2013
3 Termos e definições Para os efeitos deste trabalho, aplicam-se os seguintes termos e definições. NOTA: Todos os termos e definições foram extraídos do Anexo SL, Apêndice 3, com exceção de sistema integrado de gestão (3.1) e complementos à definição de risco (3.10). 3.1 sistema integrado de gestão sistema de gestão que integra múltiplos aspectos de sistemas e processos de uma organização em uma estrutura completa, possibilitando a uma organização atender aos requisitos de mais de uma norma de sistema de gestão. 3.2 organização pessoa ou grupo de pessoas que tem suas próprias funções com responsabilidades, autoridades e relações para atingir seus objetivos. NOTA O conceito de organização inclui, porém não se limita a, um único comerciante, companhia, corporação, firma, empresa, autoridade, sociedade, instituição de caridade ou asilo, ou parte ou combinação destas, se incorporada ou não, pública ou privada. 3.3 parte interessada (termo preferido), stakeholder (termo admitido) pessoa ou organização que pode afetar, ser afetada, ou se perceber afetada por uma decisão ou atividade. 3.4 requisito necessidade ou expectativa que é expressa, geralmente, de forma implícita ou obrigatória. NOTA 1 “Geralmente implícito" significa que é prática costumeira ou usual para a organização e partes interessadas, e que a necessidade ou expectativa sob consideração está implícita. NOTA 2 Um requisito especificado é um requisito declarado, por exemplo, na informação documentada. 3.5 sistema de gestão conjunto de elementos inter-relacionados ou interativos de uma organização para estabelecer políticas, objetivos e processos para atingir esses objetivos. NOTA 1 Um sistema de gestão pode tratar de uma única disciplina ou diversas disciplinas. NOTA 2 Os elementos do sistema incluem a estrutura, funções e responsabilidades, planejamento, operação, etc. da organização. NOTA 3 O escopo de um sistema de gestão pode incluir toda a organização, funções específicas e identificadas da organização, seções específicas e identificadas da organização, ou uma ou mais funções através de um grupo de organizações. 3 www.qsp.org.br
Fevereiro/2013
3.6 alta direção pessoa ou grupo de pessoas que dirige e controla uma organização no mais alto nível. NOTA 1 A alta direção tem o poder de delegar autoridade e prover recursos dentro da organização. NOTA 2 Se o escopo do sistema de gestão cobrir apenas uma parte da organização, a alta direção será aquela que dirige e controla essa parte da organização. 3.7 eficácia extensão na qual as atividades planejadas são realizadas e os resultados planejados, alcançados. 3.8 política intenções e diretrizes de uma organização, formalmente expressas por sua alta direção. 3.9 objetivo resultado a ser alcançado. NOTA 1 Um objetivo pode ser estratégico, tático ou operacional. NOTA 2 Objetivos podem relacionar-se a diferentes disciplinas (tais como metas financeiras, de saúde e segurança, e ambientais) e podem aplicar-se em diferentes níveis [tais como estratégico, em toda a organização, de projeto, de produto e de processo (3.13)]. NOTA 3 Um objetivo pode ser expresso de outras formas, por exemplo, como um resultado pretendido, um propósito, um critério operacional, como um objetivo XXX ou pelo uso de outras palavras com significado similar (por exemplo, propósito, meta ou alvo). NOTA 4 No contexto do sistema de gestão XXX, os objetivos XXX são definidos pela organização, em consonância com a política XXX, para alcançar resultados específicos. 3.10 risco efeito da incerteza nos objetivos. [ABNT NBR ISO 31000:2009, 2.1] NOTA 1 Um efeito é um desvio em relação ao esperado – positivo e/ou negativo. NOTA 2 A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, conhecimento, sua consequência ou probabilidade. NOTA 3 O risco é muitas vezes caracterizado pela referência aos eventos ((ABNT ISO Guia 73:2009, 3.5.1.3) potenciais e às consequências (ABNT ISO Guia 73:2009, 3.6.1.3), ou uma combinação destes. 4 www.qsp.org.br
Fevereiro/2013
NOTA 4 O risco é muitas vezes expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade (ISO / IEC Guia 73:2009, 3.6.1.1) de ocorrência associada. NOTA 5 Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar-se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo). 3.11 competência capacidade de aplicar conhecimentos e habilidades para alcançar os resultados pretendidos. 3.12 informação documentada informação a ser controlada e mantida por uma organização e o meio no qual está contida. NOTA 1 A informação documentada pode estar em qualquer formato e mídia e ser de qualquer fonte. NOTA 2 A informação documentada pode referir-se: • ao sistema de gestão, incluindo os processos relacionados; • à informação criada para que a organização opere (documentação); • à evidência de resultados alcançados (registros). 3.13 processo conjunto de atividades inter-relacionadas ou interativas que transformam entradas em saídas. 3.14 desempenho resultado mensurável. . NOTA 1 O desempenho pode relacionar-se a resultados quantitativos ou qualitativos. NOTA 2 O desempenho pode relacionar-se à gestão de atividades, processos, produtos (incluindo serviços), sistemas ou organizações. 3.15 terceirizar (verbo) fazer um acordo em que uma organização externa executa parte da função ou do processo de uma organização. NOTA Uma organização externa está fora do escopo do sistema de gestão, embora a função ou o processo terceirizado esteja dentro do escopo. 3.16 monitoramento determinação da situação de um sistema, de um processo ou de uma atividade. NOTA Para determinar a situação, pode haver a necessidade de verificar, supervisionar ou observar criticamente. 3.17 medição processo para determinar um valor. 5 www.qsp.org.br
Fevereiro/2013
3.18 auditoria processo sistemático, independente e documentado, para obter evidência de auditoria e avaliá-la objetivamente para determinar a extensão na qual os critérios de auditoria são atendidos. NOTA 1 Uma auditoria pode ser uma auditoria interna (de primeira parte) ou uma auditoria externa (de segunda parte ou de terceira parte), e pode ser uma auditoria combinada (combinação de duas ou mais disciplinas). NOTA 2 A ”evidência de auditoria" e os "critérios de auditoria" são definidos na ABNT NBR ISO 19011:2012. 3.19 conformidade atendimento a um requisito. 3.20 não conformidade não atendimento a um requisito. 3.21 correção ação para eliminar uma não conformidade identificada. 3.22 ação corretiva ação para eliminar a causa de uma não conformidade e prevenir sua repetição. 3.23 melhoria contínua atividade recorrente para melhorar o desempenho.
6 www.qsp.org.br
Fevereiro/2013
4 Contexto da organização 4.1 Entendendo a organização e seu contexto A organização deve determinar as questões externas e internas que são pertinentes ao seu propósito e que afetam sua capacidade de alcançar o(s) resultado(s) pretendido(s) de seu sistema de gestão XXX.
4.2 Entendendo as necessidades e expectativas das partes interessadas A organização deve determinar: a) as partes interessadas que são pertinentes ao sistema de gestão XXX; b) os requisitos dessas partes interessadas.
4.3 Determinação do escopo do sistema de gestão XXX A organização deve determinar os limites e a aplicabilidade do sistema de gestão XXX, a fim de estabelecer o seu escopo. Ao determinar esse escopo, a organização deve considerar: a) as questões externas e internas referidas em 4.1; b) os requisitos referidos em 4.2. O escopo deve estar disponível como informação documentada.
4.4 Sistema de gestão XXX A organização deve estabelecer, implementar, manter e melhorar continuamente o sistema de gestão XXX, incluindo os processos necessários e suas interações, de acordo com os requisitos desta norma e com as normas de sistemas de gestão adotadas, conforme definido no escopo do sistema de gestão XXX (4.3).
7 www.qsp.org.br
Fevereiro/2013
5 Liderança 5.1 Liderança e comprometimento A alta direção deve demonstrar liderança e comprometimento em relação ao sistema de gestão XXX para: a) assegurar que a política XXX e os objetivos XXX estejam estabelecidos e sejam compatíveis com a direção estratégica da organização; b) assegurar a integração dos requisitos do sistema de gestão XXX nos processos de negócios da organização; c) assegurar que os recursos necessários para o sistema de gestão XXX estejam disponíveis; d) comunicar a importância de uma gestão eficaz e em conformidade com os requisitos do sistema de gestão XXX; e) assegurar que o sistema de gestão XXX alcance seu(s) resultado(s) pretendido(s); f) direcionar e apoiar as pessoas a contribuírem para a eficácia do sistema de gestão XXX; g) promover a melhoria contínua; h) apoiar outras funções de gestão pertinentes para demonstrar sua liderança, quando se aplicar às suas áreas de responsabilidade. NOTA Convém que a referência ao termo “negócio” neste trabalho seja interpretada de forma ampla, para designar aquelas atividades que são essenciais para a existência da organização.
5.2 Política A alta direção deve estabelecer uma política que: a) b) c) d)
seja apropriada ao propósito da organização; proveja uma estrutura para estabelecimento dos objetivos XXX; inclua um comprometimento com o atendimento aos requisitos aplicáveis; inclua um comprometimento com a melhoria contínua do sistema de gestão XXX.
A política XXX deve: 1) estar disponível como informação documentada; 2) ser comunicada por toda a organização; 3) estar disponível para as partes interessadas, conforme apropriado.
8 www.qsp.org.br
Fevereiro/2013
5.3 Funções, responsabilidades e autoridades organizacionais A alta direção deve assegurar que as responsabilidades e autoridades para as funções pertinentes sejam atribuídas e comunicadas dentro da organização. A alta direção deve atribuir a responsabilidade e a autoridade para: a) assegurar que o sistema de gestão XXX esteja em conformidade com os requisitos desta norma; b) relatar o desempenho do sistema de gestão XXX à alta direção.
9 www.qsp.org.br
Fevereiro/2013
6 Planejamento 6.1 Ações para tratar riscos e oportunidades Ao planejar o sistema de gestão XXX, a organização deve considerar as questões referidas em 4.1 e os requisitos referidos em 4.2, e determinar os riscos e oportunidades que precisam ser tratados para: a) assegurar que o sistema de gestão XXX possa alcançar o(s) resultado(s) pretendido(s); b) prevenir ou reduzir efeitos indesejados; c) alcançar a melhoria contínua. A organização deve: 1) planejar ações para tratar esses riscos e oportunidades; 2) planejar como: • integrar e implementar as ações em seus processos do sistema de gestão XXX; • avaliar a eficácia dessas ações.
6.2 Objetivos XXX e planejamento de como alcançá-los A organização deve estabelecer objetivos XXX nas funções e níveis pertinentes. Os objetivos XXX devem: a) ser consistentes com a política XXX; b) ser mensuráveis (se possível); c) levar em consideração os requisitos aplicáveis; d) ser monitorados; e) ser comunicados; f) ser atualizados, conforme apropriado. A organização deve reter a informação documentada sobre os objetivos XXX. Ao planejar como atingir seus objetivos XXX, a organização deve determinar: 1) 2) 3) 4) 5)
o que será feito; que recursos serão necessários; quem será responsável; quando será concluído; como os resultados serão avaliados.
10 www.qsp.org.br
Fevereiro/2013
7 Suporte 7.1 Recursos A organização deve determinar e fornecer os recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do sistema de gestão XXX.
7.2 Competência A organização deve: a) determinar a competência necessária para a(s) pessoa(s) que, sob seu controle, executa(m) trabalhos que afetam o desempenho do seu sistema de gestão XXX; b) assegurar que essas pessoas sejam competentes com base em educação, treinamento ou experiência apropriados; c) onde aplicável, executar ações para que a competência necessária seja adquirida e avaliar a eficácia das ações executadas; d) reter a informação documentada apropriada como evidência de competência. NOTA Ações aplicáveis podem incluir, por exemplo, o fornecimento de treinamento, orientação ou realocação de pessoas atualmente empregadas, ou a contratação de pessoas capacitadas.
7.3 Conscientização As pessoas que executam o trabalho sob o controle da organização devem estar cientes: a) da política XXX; b) de sua contribuição para a eficácia do sistema de gestão XXX, incluindo os benefícios da melhoria do desempenho XXX; c) das implicações de não estarem em conformidade com os requisitos do sistema de gestão XXX.
11 www.qsp.org.br
Fevereiro/2013
7.4 Comunicação A organização deve determinar a necessidade de comunicações internas e externas pertinentes ao sistema de gestão XXX, incluindo: a) o que irá comunicar; b) quando comunicar; c) a quem comunicar.
7.5 Informação documentada 7.5.1 Generalidades O sistema de gestão XXX da organização deve incluir: a) a informação documentada requerida por esta norma; b) a informação documentada determinada pela organização como sendo necessária para a eficácia do sistema de gestão XXX. NOTA A extensão da informação documentada de um sistema de gestão XXX pode diferir de uma organização para outra devido: • ao tamanho da organização e seu tipo de atividades, processos, produtos e serviços; • à complexidade de processos e suas interações; • à competência das pessoas.
7.5.2 Criação e atualização Ao criar e atualizar a informação documentada, a organização deve assegurar: a) identificação e descrição apropriadas (por exemplo, título, data, autor ou número de referência); b) formato apropriado (por exemplo, linguagem, versão do software, gráficos) e mídia (por exemplo, papel, meio eletrônico); c) análise crítica apropriada e aprovação quanto à adequação e suficiência.
12 www.qsp.org.br
Fevereiro/2013
7.5.3 Controle da informação documentada A informação documentada requerida pelo sistema de gestão XXX e por esta norma deve ser controlada para assegurar: a) que esteja disponível e adequada para uso, onde e quando for necessário; b) que esteja adequadamente protegida (por exemplo, da perda de confidencialidade, do uso indevido, ou da perda de integridade). Para o controle da informação documentada, a organização deve abordar as seguintes atividades, quando aplicável: 1) 2) 3) 4)
distribuição, acesso, recuperação e uso; armazenamento e conservação, incluindo a preservação de legibilidade; controle de alterações (por exemplo, controle de versão); retenção e disposição.
A informação documentada de origem externa, determinada pela organização como necessária para o planejamento e operação do sistema de gestão XXX, deve ser identificada, conforme apropriado, e controlada. NOTA Acesso implica uma decisão sobre a permissão para somente visualizar a informação documentada, ou a permissão e a autoridade para visualizar e alterar a informação documentada, etc.
13 www.qsp.org.br
Fevereiro/2013
8 Operação 8.1 Planejamento e controle operacional A organização deve planejar, implementar e controlar os processos necessários para atender aos requisitos e para implementar as ações determinadas em 6.1, através: a) do estabelecimento de critérios para os processos; b) da implementação do controle dos processos de acordo com os critérios; c) da informação documentada, na medida do necessário, para ter confiança de que os processos foram realizados conforme o planejado. A organização deve controlar as alterações planejadas e analisar criticamente as consequências de alterações não pretendidas, executando ações para mitigar quaisquer efeitos adversos, quando necessário. A organização deve assegurar que os processos terceirizados sejam controlados.
14 www.qsp.org.br
Fevereiro/2013
9 Avaliação do desempenho 9.1 Monitoramento, medição, análise e avaliação A organização deve determinar: a) o que precisa ser monitorado e medido; b) os métodos de monitoramento, medição, análise e avaliação, quando aplicável, para assegurar resultados válidos; c) quando o monitoramento e a medição devem ser realizados; d) quando os resultados do monitoramento e medição devem ser analisados e avaliados. A organização deve manter a informação documentada apropriada como evidência dos resultados. A organização deve avaliar o desempenho XXX e a eficácia do sistema de gestão XXX.
9.2 Auditoria interna A organização deve conduzir auditorias internas a intervalos planejados para fornecer informações sobre se o sistema de gestão XXX: a) está em conformidade com: • os requisitos da própria organização para o seu sistema de gestão XXX; • os requisitos desta norma; b) está eficazmente implementado e mantido. A organização deve: 1) planejar, estabelecer, implementar e manter programa(s) de auditoria, incluindo frequência, métodos, responsabilidades, requisitos de planejamento e relatórios. O(s) programa(s) de auditoria deve(m) levar em consideração a importância dos processos envolvidos e os resultados de auditorias anteriores; 2) definir os critérios de auditoria e o escopo de cada auditoria; 3) selecionar auditores e conduzir auditorias para assegurar objetividade e imparcialidade do processo de auditoria; 4) assegurar que os resultados das auditorias sejam relatados à administração pertinente; 5) reter a informação documentada como evidência da implementação do programa de auditoria e dos resultados da auditoria. 15 www.qsp.org.br
Fevereiro/2013
9.3 Análise crítica pela direção A alta direção deve analisar criticamente o sistema de gestão XXX da organização, a intervalos planejados, para assegurar sua contínua adequação, suficiência e eficácia. A análise crítica pela direção deve considerar: a) a situação das ações provenientes de análises críticas anteriores pela direção; b) as mudanças em questões internas e externas que são pertinentes ao sistema de gestão XXX; c) as informações sobre o desempenho XXX, incluindo tendências: • de não conformidades e ações corretivas; • de resultados de monitoramento e medição; • de resultados de auditorias; d) as oportunidades para melhoria contínua. As saídas da análise crítica pela direção devem incluir decisões relacionadas às oportunidades para melhoria contínua e a qualquer necessidade de alterações do sistema de gestão XXX. A organização deve reter a informação documentada como evidência dos resultados das análises críticas pela direção.
16 www.qsp.org.br
Fevereiro/2013
10 Melhoria 10.1 Não conformidade e ação corretiva Quando ocorrer uma não conformidade, a organização deve: a) reagir à não conformidade e, quando aplicável: • executar ações para controlá-la e corrigi-la; • lidar com as consequências; b) avaliar a necessidade de ações para eliminar as causas da não conformidade, a fim de que ela não se repita ou ocorra em outro lugar, através: • da análise crítica da não conformidade; • da identificação das causas da não conformidade; • da determinação se não conformidades similares existem ou podem potencialmente vir a ocorrer; c) implementar qualquer ação necessária; d) analisar criticamente a eficácia de qualquer ação corretiva executada; e) efetuar alterações no sistema de gestão XXX, se necessário. As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas. A organização deve reter a informação documentada como evidência: 1) da natureza das não conformidades e quaisquer ações subsequentes executadas; 2) dos resultados de qualquer ação corretiva.
NOTA Normas publicadas antes da adoção do Anexo SL e deste trabalho (ou seja, ABNT NBR ISO 9001, ABNT NBR ISO 14001, OHSAS 18001, etc.) incluem também o termo "ação preventiva".
10.2 Melhoria contínua A organização deve continuamente melhorar a adequação, suficiência e eficácia do sistema de gestão XXX.
17 www.qsp.org.br
Fevereiro/2013
Bibliografia Consolidated ISO Supplement to the Directives, Part 1 Annex SL (normative) Proposals for Management Systems Standards, SL.8 Guidance on the development process and structure of an MSS ABNT NBR ISO 9000:2005 Sistemas de gestão da qualidade - Fundamentos e vocabulário ABNT NBR ISO 9001:2008 Sistemas de gestão da qualidade - Requisitos ABNT NBR ISO 14001:2004 Sistemas da gestão ambiental - Requisitos com orientações para uso ABNT NBR ISO 19011:2012 Diretrizes para auditoria de sistemas de gestão ABNT NBR ISO 20121:2012 Sistemas de gestão para sustentabilidade de eventos — Requisitos com orientações de uso ABNT NBR ISO 31000:2009 Gestão de riscos - Princípios e diretrizes ABNT NBR ISO/IEC 31010:2012 (idêntica à ISO/IEC 31010:2009) Gestão de riscos - Técnicas para o processo de avaliação de riscos ABNT ISO GUIA 73:2009 Gestão de riscos - Vocabulário
Outras publicações EA-7/05, EA Guidance on the Application of ISO/IEC 17021:2006 for Combined Audits
E EM 2018... (clique na imagem)