A falta da iniciativa e de gestão da atual administração do Inmetro

Galdino Guttmann Bicho

Aos 68 anos, aposentado no Serviço Público Federal, engenheiro mecânico com uma experiência profissional de 44 anos, tomei conhecimento das ações da Abrac (https://abrac-ac.org.br), o que me revoltou muito por causa da falta de iniciativa da administração do Inmetro em permitir o esvaziamento das suas atividades metrológicas, de gestão da qualidade e da metrologia. Falo com propriedade, essa afirmativa, sem falsa modéstia, evidencia-se porque eu contribuí, como outros servidores, para implementar a certificação e o credenciamento de laboratórios no Brasil quando ingressei no Inmetro em 1984, oriundo da área nuclear, Nuclen Engenharia, e da empresa alemã Siemens – UBMED.

Com a minha participação e conhecimento técnico–científico, adquirido no Inmetro, contribuí nas atividades da certificação e do credenciamento de laboratórios, inclusive no reconhecimento perante   fóruns internacionais, Ilac e Aplac, das redes de ensaios. Sob a minha liderança profissional, o Inmetro obteve esses reconhecimentos internacionais.

Atual superintendente da Abrac, o ex-presidente do Inmetro, Massao Ito, conhece muito bem o meu conhecimento técnico, utilizado, por exemplo, na coordenação da certificação das bolsas de sangue para evitar contaminação por formol e outros tipos de agentes biológicos. A fabricação desse produto não atendia nenhum parâmetro técnico de controle de fabricação e de qualidade, preconizado pelas Boas Práticas de Fabricação e Farmacopeias internacionais, o que se tornou um escândalo nacional, noticiado na mídia brasileira durante dois meses em todos os meios de comunicação (basta consultar a primeira página da revista Veja da época) do Oiapoque ao Chuí. Antes, o Inmetro não exercia essa atividade na área da Saúde Pública, porém com a minha iniciativa, participação técnica, conhecimento profissional técnico e expertise, obtidos na empresa Siemens na área eletromédica da Alemanha UB -Med, despertou-se na instituição a importância da certificação na Saúde Pública. Requisitado pelo Ministério da Saúde para implantar Rede Brasileira de Laboratórios de Saúde Pública (REBLAS-Anvisa), durante sete anos atuei na Anvisa-GGLAS.

Cabe ao Inmetro consultar a sociedade brasileira e o parlamento brasileiro da verdadeira necessidade da descentralização ou da delegação dessas atividades obtidas e atribuídas a ele por lei federal. A Asmetro -Associação dos Servidores do Inmetro deve entrar nesta discussão com brevidade. Para finalizar os meus argumentos rebeldes, também considero que o Inmetro deve rever e intervir nas atividades de normalização brasileira, feita pela Associação Brasileira de Normas Técnicas (ABNT), não bastando somente colocar recursos para o pagamento da ISO.

Na verdade, em um Estado democrático de direito, caso do Brasil, a função de normalização técnica das atividades de produção, fornecimento e comercialização de bens, produtos e serviços, tem caráter principal, porque o seu balizamento é essencial para a vida em comunidade, tanto no que diz respeito ao usufruto adequado e seguro pelos cidadãos dos bens e serviços, como no que concerne ao desenvolvimento nacional, ambas atividades inseridas no âmbito do poder-dever do Estado. Dessa maneira, a normalização das atividades de produção, fornecimento e comercialização de bens, produtos e serviços, destinados à comunidade em geral, é função necessariamente estatal, porque pressupõe a imposição obrigatória de normas de conduta restritivas de direitos e liberdades consagradas pela Constituição brasileira.

Isso envolve a liberdade de iniciativa, de concorrência, de indústria e de comércio, dentre outras, com a finalidade de assegurar o exercício de outros direitos fundamentais, também positivados na Constituição, cujo exercício, concretização e efetivação cabem ao Estado garantir, promover, defender e proteger, principalmente, o direito à vida, à segurança, à saúde e ao meio ambiente. Após essa publicação e com muita revolta na alma, tenciono projetar uma organização não governamental (ONG), suprapartidária, para o controle social das atividades do Inmetro, da ABNT e das atividades de certificação e de credenciamento.

Galdino Guttmann Bicho: http://lattes.cnpq.br/8522448154261381 – ID Lattes: 8522448154261381 – Última atualização do currículo em 29/06/2022guttmannbicho63@gmail.com

As ilegalidades do novo modelo regulatório do Inmetro (I)

O Inmetro disponibilizou a proposta do seu novo modelo regulatório. Deve-se louvar o empenho da instituição em querer acompanhar e incorporar as inovações e as tecnologias decorrentes da transformação digital na sociedade, em particular a denominada indústria 4.0, nas suas atividades regulatórias. A ideia central do documento é fortalecimento da atividade regulatória assegurando o acompanhamento da indústria e do mercado face às inovações tecnológicas, com um maior engajamento, informação e participação das partes interessadas, incentivando e promovendo as práticas de monitoramento e avaliação dos resultados, objetivando que a atuação regulatória se mantenha adequada à finalidade e relevância pretendidas, e permaneça efetiva e proporcional aos problemas enfrentados. Mas, não precisava propor tantas ilegalidades no texto.

Hayrton Rodrigues do Prado Filho

Uma das muitas ilegalidades inseridas no modelo regulatório é a definição de norma técnica: documento estabelecido por consenso e emitido por um organismo reconhecido, que fornece, para uso comum e repetido, regras, diretrizes ou características para produtos, serviços, bens, pessoas, processos ou métodos de produção, cujo cumprimento não é obrigatório. Pode também tratar de terminologia, símbolos, requisitos de embalagem, marcação ou rotulagem aplicáveis a um produto. Isso é ilegal, pois a própria autarquia Inmetro é obrigada a cumprir as normas técnicas, já que a Lei nº 4.150, de 21 de novembro de 1962, em vigor, instituiu o regime obrigatório de preparo e observância das normas técnicas nos contratos de obras e compras do serviço público de execução direta, concedida, autárquica ou de economia mista, através da Associação Brasileira de Normas Técnicas e dá outras providências. Nos serviços públicos concedidos pelo governo federal, assim como nos de natureza estadual e municipal por ele subvencionados ou executados em regime de convênio, nas obras e serviços executados, dirigidos ou fiscalizados por quaisquer repartições federais ou órgãos paraestatais, em todas as compras de materiais por eles feitas, bem como nos respectivos editais de concorrência, contratos ajustes e pedidos de preços será obrigatória a exigência e aplicação dos requisitos mínimos de qualidade, utilidade, resistência e segurança usualmente chamados de normas técnicas e elaboradas pela Associação Brasileira de Normas Técnicas, nesta lei mencionada pela sua sigla ABNT.

Essa nova proposta de definição de norma técnica, também, contraria o ABNT ISO/IEC GUIA 2:2006 que define a norma como o documento estabelecido por consenso e aprovado por um organismo reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características para atividades ou seus resultados, visando à obtenção de um grau ótimo de ordenação em um dado contexto. Acrescenta que as normas devem ser baseadas em resultados consolidados da ciência, tecnologia e da experiência acumulada, visando à otimização de benefícios para a comunidade. Já, de acordo com o referido guia, a norma nacional é aquela adotada por um organismo nacional de normalização e colocada à disposição do público e uma norma mandatória é aquela cuja aplicação é obrigatória em virtude de uma lei geral, ou de uma referência exclusiva em um regulamento. Também vai contra uma lei federal, o Código de Defesa do Consumidor que é claro sobre as práticas abusivas: Art. 39. É vedado ao fornecedor de produtos ou serviços, dentre outras práticas abusivas: … VIII – colocar, no mercado de consumo, qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas ou outra entidade credenciada pelo Conselho Nacional de Metrologia, Normalização e Qualidade Industrial (Conmetro).

Classificar a norma técnica como de cumprimento não obrigatório, como quer o Inmetro com o apoio explícito do diretor geral da ABNT Ricardo Fragoso, é cuspir ilegalidade para cima de pessoas sérias e comprometidas com qualidade nesse país. Não se pode sob o pretexto da liberdade econômica, destruir o sistema brasileiro de normalização e as garantias mínimas dos consumidores e das empresas que trabalham de forma responsável. O Inmetro deveria ter a preocupação de priorizar a normalização e determinar que as agências do governo priorizassem o cumprimento da legislação brasileira no uso das normas técnicas, desestimulando a elaboração e utilização de regulamentos técnicos nos casos em que as normas oferecem os insumos técnicos necessários. O acesso democrático e o compromisso de cumprimento das normas técnicas nacionais são ainda excelentes argumentos para vendas ao mercado internacional como, também, para regular a importação de produtos que não estejam em conformidade com os requisitos mínimos de segurança, desempenho e padronização com as normas do país importador. É importante observar também que os acidentes de consumo, tão propalado pelo Inmetro, desde que o equipamento não cumpra os princípios de fabricação de acordo com uma norma técnica, são de responsabilidade dos fabricantes, bastando o consumidor acionar os órgãos de defesa do consumidor, a Justiça, ou diretamente o Ministério Público. Isso também vale para um prestador de serviço que não segue as normas brasileiras.

A diretoria do Inmetro precisa entender que a norma técnica brasileira tem a natureza de norma jurídica, de caráter secundário, impositiva de condutas porque fundada em atribuição estatal, sempre que sinalizada para a limitação ou restrição de atividades para o fim de proteção de direitos fundamentais e do desenvolvimento nacional, funções, como já se afirmou, eminentemente estatais. Pode ser equiparada, por força do documento que embasa sua expedição, à lei em sentido material, vez que obriga o seu cumprimento. As NBR que são regras de conduta impositivas são obrigatórias para os setores produtivos e de serviços em geral, tendo em vista que, além de seu fundamento em lei ou atos regulamentares, tem em vista o cumprimento da função estatal de disciplinar o mercado com vistas ao desenvolvimento nacional e à proteção de direitos fundamentais tais como os direitos relativos à vida, à saúde, à segurança, ao meio ambiente etc.

O Inmetro precisa entender que existem duas ABNT: uma, a normalizadora formada por mais 15.000 pessoas ou profissionais que prestam um trabalho gratuito dentro das comissões de estudo, correspondendo aos seus membros, coordenadores e secretários de reuniões, etc. que elaboram, com seu trabalho voluntário, as normas técnicas brasileiras (NBR). E a outra ABNT (carimbadora, veja meus textos sobre essa outra) formada por uma diretoria executiva remunerada (sem transparência) que não presta contas à sociedade (razão de sua existência) e obtêm várias vantagens indevidas ao arrepio das leis que regem as entidades de utilidade pública (sobre isso tratarei em novos textos).

Essa ABNT (carimbadora) cobra preços abusivos de acesso às normas técnicas brasileiras (NBR) e ainda impede a sua disseminação, proibindo, ilegalmente, o compartilhamento gratuito dessas normas, recebe os documentos normativos dos normalizadores e, caso o processo de feitura dos referidos documentos tenha seguido as diretrizes estabelecidas pelo Conmetro, carimba o número da norma. Deve-se ressaltar que é aí que existe a diretoria executiva, a qual estabelece seus próprios salários e custos da entidade carimbadora, os quais, de acordo com a estratégia deles, precisam ser bancados pelos preços das normas.

O Inmetro não deve propagar que a norma técnica brasileira (ABNT NBR) não é de observância obrigatória, muito menos em um documento oficial, pois além de ser uma fake news e uma ilegalidade, como provado acima, só irá beneficiar as empresas inescrupulosas que, para aumentarem seus lucros, irão alegar que não precisam cumprir os requisitos mínimos de desempenho, segurança etc. constantes nas normas, pois o próprio Inmetro não reconhece que são de observância obrigatória. Isso é uma aberração.

Hayrton Rodrigues do Prado Filho é jornalista profissional, editor da revista digital AdNormas https://revistaadnormas.com.br/, membro da Academia Brasileira da Qualidade (ABQ) e editor do blog – https://qualidadeonline.wordpress.com/hayrton@hayrtonprado.jor.br

Os conceitos e as práticas para o gerenciamento de projetos

Um projeto (project) pode ser definido como um esforço temporário para alcançar um ou mais objetivos definidos, a garantia do projeto (project assurance) são as ações planejadas e sistemáticas necessárias para prover confiança à organização patrocinadora e ao patrocinador do projeto, sendo provável que um projeto atinja seus objetivos e a governança de projeto (project governance) envolve os princípios, as políticas e os procedimentos pelos quais um projeto é autorizado e direcionado para cumprir os objetivos acordados. Dessa forma, o gerenciamento de projetos (project management) são as atividades coordenadas para dirigir e controlar o cumprimento dos objetivos acordados. A gestão da informação e documentação é permitir que informações pertinentes e confiáveis (física e digital) estejam à disposição dos que realizam trabalhos e tomam decisões.

O gerenciamento de informações e documentação compreende a coleta, armazenamento, análise, distribuição e manutenção seguros e oportunos de informações exatas necessárias para atividades como planejamento, realização e auditoria de trabalho, e apoio às lições aprendidas e gestão do conhecimento. A informação e a documentação devem estar disponíveis e acessíveis para a referência histórica.

Assim, as atividades devem incluir o estabelecimento de um sistema para receber, armazenar e identificar com segurança as informações e a documentação, que precisam ser gerenciadas e acessíveis. As informações relacionadas ao projeto e o gerenciamento de documentos podem precisar ser realizados de acordo com as políticas de gerenciamento e retenção de informações da organização.

Já o objetivo das aquisições é obter produtos e serviços adquiridos como parte da contratação de recursos para o trabalho que sejam de qualidade apropriada, representem uma boa relação custo-benefício e possam ser entregues, quando necessário, dentro de um nível de risco aceitável. aquisição seja planejada para usar processos de aquisições organizacionais, se houver, em linha com a estratégia de aquisições do projeto. A gestão de aquisições deve ser integrada ao planejamento.

A aquisição requer conhecimento das leis e práticas pertinentes e muitas vezes é realizada por especialistas fora da organização do projeto, como um especialista em aquisições dentro da organização patrocinadora. Uma estratégia de aquisições deve ser definida, levando em consideração: as decisões de fazer ou adquirir do projeto; as práticas de entrega; o tipo de acordos juridicamente vinculativos; e o processo de aquisição a ser usado. Os membros da equipe que adquirem bens e serviços devem identificar os critérios de aquisição aplicáveis a serem usados e os processos para facilitar a aquisição dos produtos e serviços exigidos de fontes externas.

Os requisitos de aquisições devem ser validados com o gerente do projeto ou a pessoa designada, a partir do qual convém que as informações de aquisições e as especificações do contrato sejam desenvolvidas e definidas. Os fornecedores devem ser selecionados com base nas informações obtidas durante as atividades de identificação e seleção de fornecedores, e verificados.

Uma avaliação da oferta de cada fornecedor deve ser realizada de acordo com os critérios de avaliação declarados e o desempenho do fornecedor deve ser reavaliado ao longo do projeto de acordo com os requisitos do contrato. A administração de contratos deve envolver a gestão das relações de aquisições, monitorando o desempenho do contrato, gerenciando alterações e correções contratuais, lidando com reclamações e rescisão de contratos.

Deve, também, permitir que o desempenho das partes contratadas atenda aos requisitos do projeto de acordo com os termos do acordo legal e incluir a coleta de dados de desempenho do fornecedor e manutenção de registros detalhados.  Por isso, em uma empresa, é fundamental entender as lições aprendidas é aproveitar a experiência, evitar a repetição de erros e disseminar práticas aprimoradas para beneficiar as equipes de projetos atuais e futuras.

As lições podem resultar de questões que ocorreram durante o projeto e da maneira como cada questão foi resolvida, bem como a maneira como cada risco foi gerenciado. As lições também podem resultar de análises críticas e auditorias de qualidade.

As atividades devem incluir a identificação, a documentação e a disseminação de lições ao longo da duração do projeto. Essas lições devem ser disseminadas e usadas ao longo do projeto e, quando aplicável, incluídas na base de conhecimento da organização, para serem compartilhadas e usadas para promover a melhoria de desempenho do projeto atual e futuro. Se uma organização usar um processo ou método de gerenciamento de projeto definido, as lições de um projeto individual devem ser comunicadas aos proprietários do processo ou método, para que o processo possa ser aprimorado para beneficiar outros usuários.

A NBR ISO 21502 de 12/2021 – Gerenciamento de projetos, programas e portfólios — Orientação sobre gerenciamento de projetosfornece diretrizes para gerenciamento de projetos. Ele é aplicável a qualquer organização, incluindo pública, privada e beneficente, bem como a qualquer tipo de projeto, independentemente do objetivo, abordagens de entrega, modelo de ciclo de vida utilizado, complexidade, tamanho, custo ou duração. A abordagem de entrega pode ser qualquer método ou processo adequado aos tipos de saídas, como preditivo, incremental, iterativa, adaptativa ou híbrida, incluindo abordagens ágeis.

Este documento fornece descrições de alto nível de práticas que funcionam bem e produzem bons resultados no contexto do gerenciamento de projetos. Este documento não fornece orientação sobre o gerenciamento de programas ou portfólios. Os tópicos relacionados ao gerenciamento geral são abordados apenas no contexto do gerenciamento de projetos.

Este documento fornece orientação sobre os conceitos e as práticas de gerenciamento de projetos que são importantes e têm um impacto na entrega bem-sucedida de um projeto. O público-alvo deste documento inclui, mas não está limitado, a gestão executiva e sênior, para fornecer uma melhor compreensão do gerenciamento de projetos e para auxiliá-los a dar apoio e orientação adequados aos gerentes de projeto e às pessoas que trabalham em projetos; pessoas envolvidas na governança, direção, garantia, auditoria e gerenciamento de projetos, como patrocinadores de projetos, comitê diretor de projetos, auditores e gerentes de projetos; gerentes de projeto e membros da equipe do projeto, para ter uma base comum sobre a qual entender, conduzir, comparar, avaliar e comunicar as práticas utilizadas em seu projeto; desenvolvedores de normas, processos e métodos de gerenciamento de projetos nacionais ou organizacionais.

Além disso, este documento também pode ser útil para pessoas envolvidas no apoio à governança, direção e gerenciamento de portfólios e programas; a equipes de projetos, escritórios de programas e projetos ou estruturas organizacionais semelhantes; ao estudo acadêmico de gerenciamento de projetos, programas e portfólios; às funções relacionadas com o gerenciamento de projetos, como finanças, contabilidade, gestão de recursos humanos, aquisições e jurídico.

A figura abaixo ilustra um contexto e ambiente dentro dos quais um projeto pode existir. Um projeto pode ser autônomo ou parte de um programa ou portfólio e pode cruzar fronteiras dentro de uma organização e entre organizações. Convém que a estratégia organizacional seja utilizada para identificar, documentar e avaliar oportunidades, ameaças, pontos fracos e pontos fortes, que podem ajudar a formular ações futuras.

As oportunidades e as ameaças selecionadas podem ser examinadas mais detalhadamente e justificadas em um business case. Um business case pode resultar em um ou mais projetos sendo iniciados. Espera-se que as saídas dos projetos produzam resultados, que convém que tragam benefícios para as organizações patrocinadoras, bem como para as partes interessadas internas ou externas.

clique na figura para uma melhor visualização

As organizações empreendem trabalho para atingir objetivos específicos. Geralmente, este trabalho pode ser categorizado como operações ou projetos. As operações e os projetos diferem. Os projetos são temporários e focados em reter ou agregar valor ou capacidade para uma organização patrocinadora, parte interessada ou cliente. As operações são realizadas por meio de atividades contínuas e podem estar focadas na manutenção da organização, como por meio da entrega de produtos e serviços repetíveis.

O objetivo de um projeto pode ser cumprido por uma combinação de entregas, saídas, resultados e benefícios, dependendo do contexto do projeto e da direção fornecida pela governança. Convém que o objetivo de um projeto contribua para os resultados e a obtenção dos benefícios para as partes interessadas, incluindo a organização patrocinadora, outras partes interessadas internas e externas da organização, clientes e suas partes interessadas.

Embora muitos projetos tenham recursos semelhantes, cada projeto é único. As diferenças entre os projetos podem ocorrer em fatores como, mas não se limitando os objetivos; o contexto; os resultados desejados; as saídas fornecidas; as partes interessadas impactadas; os recursos utilizados; a complexidade; as restrições; os processos ou métodos usados. O gerenciamento de projetos integra as práticas incluídas neste documento para direcionar, iniciar, planejar, monitorar, controlar e encerrar o projeto, gerenciar os recursos atribuídos ao projeto e motivar as pessoas envolvidas no projeto para atingir os objetivos do projeto.

O gerenciamento de projetos deve ser realizado por meio de um conjunto de processos e métodos convenientemente projetados como um sistema e que inclua as práticas necessárias para um projeto específico, conforme descrito neste documento. O contexto de um projeto pode impactar o seu desempenho e a sua probabilidade de sucesso. Convém que a equipe do projeto considere fatores dentro e fora da organização.

Os fatores internos à organização, como estratégia, tecnologia, maturidade geral e de gerenciamento de projetos, disponibilidade de recursos, cultura e estrutura organizacional, podem ter um impacto no sucesso de um projeto. Existe uma relação entre um projeto e seu contexto, que convém que seja considerada na adequação da abordagem de gerenciamento de projetos, desenvolvendo o business case, conduzindo estudos de viabilidade e projetando a transição para operações e clientes, quando aplicável.

Os fatores externos à organização podem incluir, mas não estão limitados, os fatores socioeconômicos, geográficos, políticos, regulamentares, tecnológicos e ecológicos. Estes fatores podem ter um impacto no projeto, impondo requisitos ou restrições, ou introduzindo riscos que afetem o projeto.

Embora estes fatores estejam frequentemente além do poder ou da capacidade do patrocinador ou gerente do projeto de controlar ou influenciar, convém que estes fatores ainda sejam considerados e planejados ao dirigir, justificar, iniciar, planejar, monitorar, controlar e encerrar o projeto. As organizações frequentemente estabelecem sua estratégia geral com base em sua visão, missão, valores, políticas e fatores internos e externos à organização.

Os projetos podem ser um meio para atingir os objetivos estratégicos. Convém que as saídas e os resultados potenciais sejam considerados ao identificar as oportunidades e as ameaças organizacionais. A criação de valor a partir da realização de projetos é ilustrada na figura abaixo. O valor positivo é criado quando os benefícios proporcionados pelo projeto excedem o investimento de recursos. O valor criado pode ser tangível ou intangível.

clique na figura para uma melhor visualização

Os projetos podem ser realizados a partir de duas perspectivas: pelo cliente ou organização patrocinadora: a organização possui os requisitos e pode realizar o trabalho ou contratar parte ou todo o trabalho para uma organização fornecedora; pela organização fornecedora ou contratada: a organização fornece, como principal ou parte de seu negócio, um serviço ou produto para outras organizações. Exemplos de um serviço ou produto entregue por um fornecedor ou contratada, como um projeto para receita, podem incluir a construção de estradas, aeroportos, ferrovias e sistemas de tecnologia da informação.

Na maioria dos casos, o escopo do projeto do fornecedor é uma parte do escopo do projeto do cliente. Convém que cada parte de um contrato cuide de seus interesses organizacionais no projeto e tenha sua justificativa para realizar o projeto. O relacionamento cliente-fornecedor pode ser confuso, pois, para alguns projetos, esse relacionamento pode ser tanto interorganizacional quanto intraorganizacional.

Nestes casos, o papel do fornecedor é realizado em parte por um contratante externo ou fornecedor para um cliente que é de outro departamento ou seção da mesma organização. Por exemplo, o departamento de tecnologia da informação de uma organização pode realizar uma atualização de software, usando recursos contratados ou parceiros para o departamento de manufatura.

Nessas situações, os papéis do fornecedor-cliente podem ser multidimensionais. Convém que as partes do contrato determinem: como convém que a governança do projeto opere em ambos os lados e por meio de um limite contratual; a estrutura da equipe de gerenciamento de projetos da organização; as pessoas apropriadas para estarem envolvidas no projeto; as práticas de trabalho a serem adotadas em relação ao ciclo de vida do projeto, conforme necessário para a entrega.

Os resultados e saídas do projeto devem ser alcançados dentro de um conjunto identificado de restrições, como, mas não limitado: a duração ou data-alvo para a conclusão do projeto; a disponibilidade de financiamento organizacional; ao orçamento aprovado e alocado; à disponibilidade dos recursos do projeto, como pessoas com habilidades adequadas, instalações, equipamentos, materiais, infraestrutura, ferramentas e outros recursos exigidos para realizar as atividades do projeto relacionadas com os requisitos do projeto; aos fatores relacionados à saúde e segurança do pessoal; à segurança; a um nível de risco aceitável; ao potencial impactos social, ambiental e ecológico do projeto e suas saídas; às leis, regras e outros requisitos governamentais; e aos  padrões mínimos de qualidade.

As restrições são frequentemente inter-relacionadas, de modo que uma mudança em uma restrição pode afetar uma ou mais das outras restrições. Por esta razão, convém que o efeito destas restrições seja compreendido, equilibrado e analisado periodicamente. Convém buscar um acordo entre as principais partes interessadas do projeto, especialmente os tomadores de decisão, sobre as restrições do projeto e sua prioridade relativa para formar uma base sólida para decisões e ações subsequentes destinadas a promover o sucesso.

Como melhorar continuamente a gestão da energia em sua empresa

A gestão da energia é o processo de rastreamento e otimização do consumo de energia para conservar o uso em um edifício. Existem algumas etapas para esse processo, como a coleta e análise de dados contínuos em que se identifica as otimizações em programações de equipamentos, pontos de ajuste e taxas de fluxo para melhorar a eficiência energética. Também, pode-se calcular o retorno do investimento, em que as unidades de energia economizadas podem ser medidas e calculadas da mesma forma que as unidades de energia fornecidas. Depois pode-se executar as soluções de otimização de energia.

Dessa forma, a qualidade da revisão energética é influenciada pela disponibilidade, qualidade e análise dos dados coletados, e pela competência e disponibilidade das pessoas que efetuam as análises. Quando uma revisão energética é realizada pela primeira vez, a questão inicial é a disponibilidade de dados.

A revisão energética pode ser melhorada à medida em que a organização ganha mais experiência com a gestão de dados (energéticos e não energéticos relevantes) e com a tomada de decisão baseada na análise dos dados energéticos. Uma boa prática é utilizar os resultados de auditorias energéticas ou estudos de engenharia como parte da revisão energética.

Os intervalos determinados para a atualização da revisão energética podem ser diferentes para cada elemento da revisão energética. Uma gestão efetiva de mudanças e processos robustos de comunicação suportam atualizações oportunas da revisão energética em resposta a grandes mudanças nas instalações, equipamentos, sistemas e processos.

A análise do uso e consumo de energia fornece uma compreensão do uso e consumo de energia da organização. A organização avalia os tipos de energia que cruzam as fronteiras do sistema de gestão de energia (SGE), no mínimo. Eles podem incluir tipos de energia adicionais na análise. Os tipos de energia podem incluir calor (vapor), biomassa (por exemplo, cana de açúcar, carvão), eletricidade e combustíveis fósseis (por exemplo, gás natural, produtos de petróleo).

Em algumas organizações, isso pode incluir energia, como ar comprimido, vapor, água fria ou quente e água de resfriamento. Normalmente, para os tipos de energia, deve-se excluir a matéria-prima, exceto onde a matéria prima também contribui para a energia dentro do escopo e das fronteiras do SGE. A determinação dos tipos de energia pode ser realizada por meio de uma revisão dos registros existentes (por exemplo, contas das concessionárias, recibos de entrega de combustível, registros de aquisição).

É uma boa prática examinar os fluxos de energia e os usos finais, para assegurar que todos os tipos de energia sejam identificados, o que pode incluir calor rejeitado ou produtos intermediários com conteúdo de energia útil. Possíveis tipos de dados de energia, de uso e de consumo incluem: as contas de concessionárias compiladas para o período de avaliação para cada tipo de energia (eletricidade, óleo combustível, gás natural, vapor, etc.), incluindo itens de linha individuais para encargos de energia; sempre que possível, as contas devem ser verificadas quanto à precisão em relação às leituras dos medidores da concessionária e não com base nas estimativas da concessionária; é necessária atenção para verificar se o período de consumo da energia e o período representado pelas faturas compiladas correspondem entre si; se faltarem dados durante o ano selecionado para um mês, dados interpolados ou comparáveis para o mesmo mês, em um ano diferente, podem ser usados para assegurar que o registro da linha de base represente as condições operacionais típicas do respectivo mês; a informação documentada sobre a razão para o novo ponto de dados é importante; as faturas ou outros registros de compra de outro (s) tipo (s) de energia, como óleo combustível, carvão ou biocombustíveis, que podem ser entregues periodicamente e armazenados no local; as faturas ou outros registros de compra de ar comprimido, vapor e água quente e fria; as leituras de medidores de concessionárias e submedidores aplicáveis (registrados manualmente ou eletronicamente) para o consumo da energia de instalações, equipamentos, sistemas e processos; as estimativas de consumo de energia (dados de consumo); os modelos de simulação de uso de energia e consumo; os dados de equipamento (por exemplo, rendimentos da placa de identificação, eficiências declaradas pelo fabricante de manuais de equipamentos, listas de inventário de ativos, folhas de dados); condições de operação do equipamento, como configurações da máquina e programações de operação; os registros de manutenção semanais ou diários (por exemplo, registros da casa da caldeira, horas de funcionamento do compressor); os registros de serviço (por exemplo, registros de visitas de serviço do fornecedor ou distribuidor); os dados do sistema de controle e extratos de um histórico de dados/banco de dados; os relatórios de auditoria energética ou estudos de engenharia; os instrumentos portáteis e registradores de dados; os registros de revisões energéticas anteriores.

Depois que o programa é implementado, quando uma não conformidade é detectada, o primeiro passo é tomar as medidas adequadas para resolver a situação imediatamente (correção), por exemplo, quando houver uma pressão de ar comprimido reduzida devido a um filtro sujo, substituir o filtro. Usando este exemplo, uma ação corretiva poderia ser determinar porque o filtro estava sujo e abordar as causas-raiz para evitar a recorrência.

Quando uma não conformidade for analisada criticamente e uma ação corretiva for determinada, a organização precisa considerar se uma não conformidade semelhante existe em outro lugar e se é provável que se repita ou ocorra potencialmente em outro processo e/ou parte da organização. A empresa deve determinar a extensão das ações que precisam ser tomadas, com base no efeito potencial da não conformidade. Deve implementar qualquer ação necessária com base nesta análise crítica.

Isso poderia ser realizado usando vários métodos, como, mas não se limitando a: análise da causa-raiz, oito disciplinas para a resolução de problemas (8D), método dos 5 Porquês, modo de falha e análise de efeito (FMEA) ou diagramas de análise de causa e efeito. Enfim, as empresas podem demonstrar conformidade com o requisito de melhoria contínua do desempenho energético, usando uma variedade de abordagens e considerando o contexto da organização.

A melhoria nos resultados mensuráveis, em comparação com um período de referência (por exemplo, linha de base) ou condição (por exemplo, business-as-usual), demonstra melhoria de desempenho energético. Os ajustes serão normalmente necessários para levar em conta o impacto de variáveis relevantes ou fatores estáticos no desempenho energético do período ou condições atuais e de referência.

Ser mensurável não significa necessariamente ser medido. Medição é o processo usado para chegar a um valor. Os cálculos ou as estimativas de engenharia podem ser usados como o processo para medir o desempenho energético no nível do sistema ou subsistema. Isso pode ser para a organização como um todo ou para um sistema dentro da organização.

A NBR ISO 50004 de 09/2021 – Sistema de gestão da energia – Guia para implementação, manutenção e melhoria do sistema de gestão da energia da NBR ISO 50001 fornece diretrizes práticas e exemplos para estabelecer, implementar, manter e melhorar um sistema de gestão da energia (SGE) de acordo com a abordagem sistemática da NBR ISO 50001:2018. A orientação neste documento é aplicável a qualquer organização. Ele não fornece a orientação sobre como desenvolver um sistema de gestão integrado. Embora a orientação nesse documento seja consistente com os requisitos da NBR ISO 50001:2018, ela não fornece as interpretações desses requisitos.

Esse documento fornece orientação prática ao implementar os requisitos de um sistema de gestão da energia (SGE) com base na NBR ISO 50001. Ele mostra à organização como adotar uma abordagem sistemática para alcançar a melhoria contínua no SGE e no desempenho energético. Esse documento não é prescritivo. Cada organização pode determinar a melhor abordagem para adotar os requisitos da NBR ISO 50001.

Assim, o usuário é aconselhado a usar este documento com a NBR ISO 50001 e seus anexos. Esse documento fornece orientação para usuários com diferentes níveis de gestão da energia, consumo da energia e experiência com SGE. Cada Seção explica como uma organização pode abordar uma parte de um SGE.

As ferramentas práticas, métodos, estratégias e exemplos são fornecidos para ajudar as organizações a implementar um SGE e melhorar continuamente o desempenho energético. Os exemplos e abordagens apresentados neste documento são apenas para fins ilustrativos. Eles não pretendem representar as únicas possibilidades, nem são necessariamente adequados para todas as organizações.

Ao implementar, manter ou melhorar um SGE, é importante que as organizações selecionem abordagens adequadas às suas necessidades. A gestão da energia é sustentável e mais eficaz quando está integrada aos processos gerais de negócios de uma organização (por exemplo, operações, finanças, qualidade, manutenção, recursos humanos, compras, saúde e segurança e política ambiental).

A NBR ISO 50001 pode ser integrada com outras normas de sistema de gestão (MSS), como a NBR ISO 9001, NBR ISO 14001, ISO 45001 e NBR ISO 55001. A integração pode ter um efeito positivo na cultura e na prática de negócios, incorporando a gestão da energia na prática diária, melhorando a eficiência operacional e a redução dos custos operacionais relacionados ao sistema de gestão. A estrutura de alto nível (HLS) comum das MSS suporta esta integração.

O compromisso e o engajamento contínuos da Alta Direção são essenciais para a implementação, manutenção e melhoria eficazes do SGE e para alcançar a melhoria contínua do desempenho energético. A Alta Direção garante que o SGE esteja alinhado com a direção estratégica da organização e demonstra o seu compromisso por meio de ações de liderança que garantem a alocação contínua de recursos, incluindo as pessoas para implementar, manter e melhorar o SGE ao longo do tempo.

Dessa forma, deve-se levar em conta que a gestão da energia envolve a determinação de questões estratégicas, isto é, questões que podem afetar, positiva ou negativamente, os resultados pretendidos do SGE. A determinação dessas questões (internas e externas) serve para conectar o SGE com a direção e as metas estratégicas da organização.

Exemplos de questões internas incluem, mas não estão limitados a: direção estratégica e gestão organizacional; processos, sistemas e fatores operacionais; idade e condição dos equipamentos e sistemas; indicadores de desempenho da organização. Quando o contexto de uma organização é bem compreendido, ele auxilia no estabelecimento, implementação, manutenção e melhoria contínua do SGE da organização e do desempenho energético.

A compreensão do contexto promove a discussão entre a Alta Direção e as partes interessadas relevantes e assegura que as mudanças nas circunstâncias e outras questões sejam abordadas para beneficiar o SGE. Parte integrante deste processo é compreender os objetivos e a cultura da organização. Isso ajuda a alinhar o SGE com as práticas e abordagens preferenciais usadas pela organização para conduzir as suas operações de negócios.

As saídas do contexto são usadas para planejar, implementar e operar o SGE, de forma a fornecer valor contínuo à organização. A Alta Direção está em melhor posição para assegurar que o SGE reflita o contexto organizacional e continue a fornecer os benefícios esperados para a organização. As questões internas e externas mudam com o tempo.

Para assegurar que o contexto permaneça atual, a organização pode conduzir análises de seu contexto em intervalos planejados e por meio de atividades como análise crítica pela direção. As organizações podem abordar esse requisito por meio de discussões e conversas estruturadas e por revisão das fontes de informação. Ao nível estratégico, ferramentas como análise SWOT, análise PESTLE ou análise TDODAR podem ser usadas para a identificação e avaliação de questões contextuais.

Uma abordagem mais simples, como o brainstorming, pode ser útil para as organizações, dependendo do tamanho e da complexidade de suas operações. Os processos e as saídas de processos usados para avaliar o contexto da organização podem ser considerados necessários para a eficácia do SGE e podem ser mantidos como informações documentadas.

Convém que os gatilhos e a frequência de análise crítica para conduzir esses processos também sejam determinados nas informações documentadas. Igualmente, deve-se assegurar que a organização estabeleça uma estrutura formal para identificar e responder às necessidades e expectativas das partes relevantes internas e externas.

Uma organização determina as partes interessadas relevantes para o seu desempenho energético ou para o seu SGE. As partes relevantes podem ser internas (por exemplo, empregados relacionados ao uso significativo da energia (USE) que afetam o desempenho energético, uma equipe de gestão da energia que afeta o desempenho do SGE) ou externas (por exemplo, fornecedores de equipamentos que podem impactar o desempenho da energia, clientes que podem ser percebidos como afetados pelo desempenho energético da organização).

Espera-se que a organização obtenha compreensão suficiente das necessidades e expectativas expressas das partes interessadas internas e externas que foram consideradas relevantes pela organização. Convém que a compreensão dessas necessidades e expectativas seja suficiente para atender aos requisitos da organização. Os requisitos legais refletem as necessidades e expectativas que são obrigatórias, porque foram incorporados às leis, regulamentos, autorizações e licenças por decisões governamentais ou judiciais.

Os requisitos legais referem-se aos requisitos obrigatórios aplicáveis relacionados ao uso da energia de uma organização, consumo da energia e eficiência energética. Como exemplos de requisitos legais, podem ser incluídos, mas não estão limitados a: requisitos legais locais, estaduais, municipais, nacionais e internacionais; padrões de desempenho energético exigidos por lei para equipamentos; avaliação energética regulamentada ou requisitos de auditoria energética; códigos de construção relacionados com a energia e os requisitos de construção; situação financeira da organização; estrutura organizacional e hierarquia; conhecimento do funcionário e cultura organizacional; missão e visão da empresa.

Como exemplos de questões externas podem ser incluídos, mas não estão limitados a: econômico e financeiro; segurança do abastecimento da energia; tecnologia; cultural, social e política; geográfico; requisitos legais/outros; meio ambiente; restrições ao consumo de energia; circunstâncias naturais e competitivas; códigos de armazenamento, distribuição e transporte da energia; padrões mínimos de eficiência energética; proibição ou limitação da aplicação de uma determinada energia para uma finalidade específica; códigos de instalação de tipo de energia.

Outros requisitos podem se referir a acordos ou iniciativas voluntárias, arranjos contratuais ou requisitos corporativos assinados pela organização, relacionados à eficiência energética, uso da energia e consumo da energia. Outros requisitos só se tornam requisitos da organização quando esta os adota.

Como exemplos de outros requisitos podem ser incluídos, mas não estão limitados a: diretrizes ou requisitos organizacionais; acordos com clientes ou fornecedores; acordos com o escritório central; diretrizes não regulamentares; princípios voluntários ou códigos de prática; acordos voluntários de energia; requisitos das associações comerciais; acordos com grupos comunitários ou organizações não governamentais; compromisso público da organização ou de sua organização-mãe; especificações mínimas voluntárias para desempenho energético emitidas por agências governamentais ou privadas; limites da rede ao fornecimento de eletricidade ou gás, ou limitações às exportações de eletricidade para a rede.

A organização pode consultar as partes interessadas ou usar outros métodos para categorizar suas necessidades e seus requisitos. Uma categoria pode ser informação sobre requisitos legais e outros requisitos, que podem ser obtidos de uma variedade de fontes, como departamentos jurídicos internos, governo ou outras fontes oficiais, consultores, órgãos profissionais e vários órgãos reguladores. Se a organização já possuir um processo para determinar os requisitos legais, esse processo pode ser usado para identificar e acessar os requisitos legais relacionados à energia.

Convém que o processo usado para identificar os requisitos legais seja claro e inclua uma descrição de como a conformidade é avaliada e assegurada. Há uma orientação sobre a avaliação do compliance com os requisitos legais e outros requisitos. A consideração antecipada dos requisitos legais e outros requisitos pode auxiliar a organização a identificar os dados relacionados que são necessários e tratados na revisão energética.

Pode ser útil estabelecer e manter uma lista, banco de dados ou sistema de registro de requisitos legais e outros requisitos para que as suas implicações possam ser consideradas para outras partes do SGE, incluindo USE, controles operacionais, registros e comunicação. Uma segunda categoria pode surgir quando a organização incorpora voluntariamente as necessidades e os requisitos das partes interessadas como seus próprios.

Por exemplo, uma organização poderia ver um desempenho energético aprimorado (conforme defendido por uma parte externa interessada) como proporcionando vantagens comerciais à organização e optar por adotar as recomendações da parte externa interessada. Como as necessidades e os requisitos das partes interessadas podem mudar com o tempo, a organização pode incluir um processo para uma análise crítica periódica de seus requisitos que foram incorporados ao SGE.

Esta análise crítica pode alertar a organização sobre itens como: as mudanças nos requisitos legais aplicáveis e outros requisitos; as mudanças nas operações da organização que podem afetar os requisitos aplicáveis; as mudanças nas necessidades e recomendações das partes interessadas externas; as mudanças em equipamentos ou tecnologia que tragam novos requisitos de operação e manutenção. Para determinar o escopo do sistema de gestão da energia, deve-se assegurar que a organização o estabeleça e as fronteiras do SGE, o que permite que a organização concentre os seus esforços e recursos na gestão da energia e na melhoria do desempenho energético.

Com o tempo, o escopo e as fronteiras podem mudar devido à melhoria do desempenho energético, mudanças organizacionais ou outras circunstâncias. O SGE é revisado e atualizado conforme necessário para refletir as mudanças. Os itens a serem considerados ao determinar o escopo e as fronteiras são encontrados na tabela abaixo.

Normalmente, a equipe de gestão da energia desenvolve o escopo e as fronteiras do SGE documentados com base nas informações da Alta Direção em relação às atividades e aos limites físicos ou organizacionais a serem cobertos pelo SGE. A documentação do escopo e das fronteiras do SGE pode estar em qualquer formato. Por exemplo, eles podem ser apresentados como uma lista simples, mapa, desenho de linha ou como uma descrição escrita indicando o que está incluído no SGE.

Para o sistema de gestão da energia, deve-se assegurar que a organização determine e implemente os processos necessários para a melhoria contínua. Isso inclui os processos que são necessários para a implementação eficaz e melhoria contínua do sistema, como auditoria interna, análise crítica pela direção e outros. Também inclui os processos necessários para quantificar e analisar o desempenho energético.

O nível em que os processos precisam ser determinados e detalhados pode variar de acordo com o contexto da organização. A NBR ISO 50001:2018 usa a abordagem comum da ISO para MSS, onde o objetivo é melhorar a consistência e o alinhamento da MSS, fornecendo um HLS unificado e acordado, texto central idêntico e termos e definições centrais comuns.

Isso é particularmente útil para as organizações que optam por operar um único sistema de gestão (às vezes chamado de integrado) que pode atender aos requisitos de duas ou mais MSS simultaneamente. O HLS não se destina a fornecer uma ordem sequencial de atividades a serem realizadas ao desenvolver, implementar, manter e melhorar continuamente uma MSS.

O HLS como um todo tem como objetivo permitir que uma organização atinja a melhoria contínua e é baseado na abordagem PDCA. Os elementos da MSS são organizados em torno das atividades funcionais em uma organização, conforme mostrado na figura abaixo.

É uma boa prática manter o SGE o mais simples e fácil de entender possível e, ao mesmo tempo, atender aos requisitos da ABNT NBR ISO 50001:2018. Por exemplo, convém que os objetivos organizacionais para gestão da energia e desempenho energético sejam razoáveis, alcançáveis e alinhados com as prioridades organizacionais ou comerciais atuais.

Convém que a documentação seja direta e adequada às necessidades organizacionais, bem como fácil de atualizar e manter. À medida que o sistema de gestão se desenvolve com base na melhoria contínua, convém que a simplicidade seja mantida. Convém que o SGE para cada organização reflita e seja tão único quanto aquela organização.

Os processos do SGE para uma organização complexa podem ser mais detalhados para gerenciar, com eficácia a eficiência, o uso e o consumo de energia. As organizações de menor complexidade poderiam exigir somente abordagens simples e os processos mínimos e informações documentadas, conforme estabelecido na NBR ISO 50001:2018 para um SGE eficaz. Por exemplo, em uma organização de baixa complexidade, a coleta de dados de energia pode ser tão simples quanto registrar as leituras do medidor da concessionária de gás e eletricidade, manualmente, em uma planilha.

Para que uma organização complexa gerencie a energia de maneira eficaz, a coleta de dados provavelmente precisaria incluir coleta e transmissão eletrônicas de várias fontes de dados em toda a organização, incluindo dados de submedidores. O pessoal que compõe a equipe de gestão da energia deve ser autorizado pela Alta Direção a comunicar as decisões às suas respectivas áreas e a assegurar que mudanças para melhorar o desempenho energético sejam implementadas.

A abordagem da equipe de gestão da energia se beneficia da diversidade de habilidades e conhecimentos dos indivíduos. Convém que a organização considere a elaboração da gestão da energia e da melhoria da capabilidade e da capacidade em toda a organização. Isso pode incluir treinamento adicional e rotatividade dos membros da equipe de gestão da energia.

Ao selecionar os membros da equipe de gestão da energia (apropriadamente ao tamanho e à complexidade da organização), convém que a Alta Direção considere o seguinte: o pessoal representando uma combinação de habilidades e funções para abordar tanto os componentes técnicos como os organizacionais do SGE; os tomadores de decisões financeiras ou pessoal com acesso a estes; os gerentes de desenvolvimento de negócios; os representantes de outros sistemas de gestão; um gerente ambiental; o pessoal de compras ou gerentes da cadeia de suprimentos, como apropriado; o pessoal operacional, particularmente aqueles que executam tarefas associadas aos USE; os representantes dos inquilinos ou do administrador do edifício em edifícios comerciais, onde apropriado; os indivíduos que possam assumir a responsabilidade pelos controles operacionais ou outros elementos do SGE; o pessoal de manutenção e instalação; a produção ou outro pessoal que já poderia estar envolvido em mecanismos de melhoria, como equipes de melhoria contínua; os indivíduos que promoverão a integração do SGE na organização; as pessoas comprometidas com a melhoria do desempenho energético e capazes de promover o SGE em toda a organização; os representantes de diferentes turnos, quando aplicável; o pessoal responsável por treinamento ou desenvolvimento profissional, como apropriado; os representantes de contratados e/ou de atividades terceirizadas; o pessoal que não está necessariamente trabalhando diretamente com o uso da energia, mas que poderia ser importante, por exemplo, acessando dados críticos (contas de energia elétrica, dados de gestão de edifícios, dados financeiros, etc.), fazendo alterações nas práticas de trabalho ou aumentando a conscientização.

A conformidade dos organismos de auditoria e certificação de sistemas de gestão

A NBR ISO/IEC 17021-3 de 11/2021 – Avaliação da conformidade — Requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão – Parte 3: Requisitos de competência para a auditoria e certificação de sistemas de gestão da qualidade especifica os requisitos de competência adicionais para o pessoal envolvido no processo de auditoria e certificação de sistemas de gestão da qualidade (SGQ) e complementa os requisitos existentes da NBR ISO/IEC 17021-1. Este documento é aplicável à auditoria e à certificação de um SGQ baseado na NBR ISO 9001.

Também pode ser usado para outras aplicações de SGQ.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais devem ser os requisitos do pessoal envolvido em outras funções de certificação?

Qual deve ser o conhecimento para auditoria e certificação de SGQ?

Este documento complementa a NBR ISO/IEC 17021-1. Em particular, esclarece os requisitos para a competência do pessoal envolvido no processo de certificação estabelecido na NBR ISO/IEC 17021-1:2016, Seção 7 e Anexo A. Os organismos de certificação têm a responsabilidade perante suas partes interessadas, incluindo seus clientes e os clientes das organizações cujos sistemas de gestão são certificados, para assegurar que somente aqueles auditores que demonstrarem competências pertinentes sejam autorizados a conduzir auditorias de sistema de gestão da qualidade (SGQ).

Pretende-se que todo o pessoal envolvido nas funções de certificação possua a competência genérica descrita na NBR ISO/IEC 17021-1, assim como o conhecimento específico de SGQ descrito neste documento. Os organismos de certificação precisarão identificar as competências específicas da equipe de auditoria, necessárias para o escopo de cada auditoria do SGQ.

A seleção de uma equipe de auditoria para o SGQ vai depender de vários fatores, incluindo a área técnica e processos específicos do cliente. O organismo de certificação deve definir os requisitos para cada função de certificação, como referenciado na NBR ISO/IEC 17021-1, Tabela A.1, mostrada abaixo.

Ao definir estes requisitos de competência, o organismo de certificação deve levar em conta todos os requisitos especificados na NBR ISO/IEC 17021-1, assim como os especificados nas Seções 5 e 6 deste documento que são pertinentes para as áreas técnicas do SGQ (ver NBR ISO/IEC 17021-1:2016, 7.1.2), como definido pelo organismo de certificação. O Anexo A provê um resumo do conhecimento requerido para a auditoria e certificação do SGQ.

Uma equipe de auditoria deve ser composta por auditores (e especialistas técnicos, quando necessário) com a competência coletiva para realizar a auditoria. Isto deve incluir a competência genérica descrita na NBR ISO/IEC 17021-1 e o conhecimento de SGQ descrito nessa norma.

Não é necessário que cada membro da equipe de auditoria tenha a mesma competência, todavia, a competência coletiva da equipe auditora precisa ser suficiente para alcançar os objetivos da auditoria. Cada auditor de SGQ deve ter conhecimento de: conceitos fundamentais e princípios de gestão da qualidade e suas aplicações; termos e definições relacionados à gestão da qualidade; abordagem de processo, incluindo monitoramento e medição relacionados; o papel da liderança em uma organização e seu impacto no SGQ; a aplicação da mentalidade de risco, incluindo a determinação de riscos e oportunidades; a aplicação do ciclo PDCA (plan, do, check, act); as estruturas e inter-relações de informações documentadas específicas da gestão da qualidade; as ferramentas, métodos, técnicas relacionadas à gestão da qualidade e suas aplicações.

A equipe de auditoria deve ter conhecimento do setor de negócio para determinar se uma organização determinou adequadamente: as questões externas e internas, pertinentes para seu propósito e sua direção estratégica, e que afetam a sua capacidade de alcançar o (s) resultado (s) pretendido (s) do seu SGQ; as necessidades e expectativas das partes interessadas pertinentes para o SGQ da organização, incluindo os requisitos para os produtos e serviços da organização; os limites e a aplicabilidade do SGQ para estabelecer seu escopo.

Compreende-se por setor de negócio as atividades econômicas que abrangem um amplo conjunto de áreas técnicas relacionadas. A equipe de auditoria deve ter conhecimento de: terminologia e tecnologia específica da área técnica; requisitos estatutários e regulamentares aplicáveis ao produto ou serviço específico da área técnica e os requisitos estatutários e regulamentares podem ser expressos como requisitos legais.

Os auditores devem conhecer as características de produtos, serviços e processos específicos da área técnica; a infraestrutura e o ambiente para a operação de processos que afetem a qualidade do produto e do serviço; a provisão de processos, produtos e serviços providos externamente; o impacto do tipo, porte, governança, estrutura, funções e relacionamentos da organização no desenvolvimento e implementação do SGQ, suas informações documentadas e atividades de certificação.

Como desenvolver uma estratégia para o facility management

A NBR ISO 41014 de 10/2021 – Facility management – Desenvolvimento de uma estratégia para facility managementfornece as diretrizes para o desenvolvimento de uma estratégia para o facility management (FM) quando a organização pretende assegurar o alinhamento entre os requisitos de FM e os objetivos, necessidades e restrições do negócio principal da organização demandante; deseja melhorar a utilidade e os benefícios fornecidos pelas instalações para o aperfeiçoamento da organização demandante e de seu negócio principal; visa atender às necessidades das partes interessadas e provisões aplicáveis de maneira consistente; visa ser sustentável em um ambiente globalmente competitivo.

Confira algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual deve ser a estratégia do negócio?

Qual deve ser a base para medir o sucesso?

Qual é a relação entre atividades principais e não principais?

Quais devem ser os alvos para melhoria?

Por que o risco pode ser considerado como ameaça e oportunidade?

O FM integra múltiplas disciplinas para ter uma influência sobre a eficiência e a produtividade das economias de sociedades, comunidades e organizações, bem como a maneira pela qual os indivíduos interagem com o ambiente construído. O FM afeta a segurança do trabalho, o bem-estar e a qualidade de vida de grande parte das sociedades e da população em todo o mundo por meio dos serviços que gerencia e entrega (ver NBR ISO 41001).

O FM é definido como uma função organizacional que integra pessoas, local e processo dentro do ambiente construído com o propósito de melhorar a qualidade de vida das pessoas e a produtividade do negócio principal (ver NBR ISO 41011:2019, 3.1.1). Ele é de importância estratégica porque apoia diretamente a estratégia do negócio principal da organização demandante, permitindo que seus objetivos e planos sejam realizados por meio da gestão das instalações que sejam seguras, confiáveis, eficientes, rentáveis e sustentáveis.

Uma organização demandante é uma entidade que tem uma necessidade e autoridade de incorrer em custos para que tenham os requisitos atendidos (ver NBR ISO 41011:2019, 3.3.1.1). Por exemplo, o proprietário de uma instalação, operador, operador-proprietário, locatário ou, em alguns casos, um agente de gestão que atua em nome de um proprietário.

Este documento se refere à organização demandante e à organização responsável por FM e serviços de facility. Uma distinção é necessária devido à natureza variável em que o FM é organizado e onde os serviços de facility são entregues por meio das pessoas dentro da organização demandante, por meio de prestadores de serviços externos ou uma combinação dos dois.

As orientações neste documento se aplicam principalmente à organização responsável por FM. Em situações onde não exista atualmente nenhuma organização formal para esta finalidade, convém que uma pessoa (ou órgão) seja indicada(o) para desempenhar uma função ativa no desenvolvimento da estratégia de FM. A NBR ISO 41001 faz referência a uma estratégia para FM e estabelece isto no contexto de um sistema de gestão de facility management (FM).

Os benefícios de desenvolvimento de uma estratégia para FM incluem: melhor entendimento dos objetivos, necessidades e restrições da organização demandante e uma abordagem apropriada ao FM e serviços de facility; probabilidade reduzida de uma desconexão entre os objetivos e as necessidades da organização demandante e os meios para apoiá-los; alinhamento entre os requisitos de FM e as atividades do negócio principal da organização demandante; melhor eficiência na gestão de FM em geral e na entrega de serviços de facility em particular; práticas de gestão consistentes a partir de uma metodologia para o desenvolvimento de uma estratégia para FM que seja transparente, reproduzível e mensurável; uma base inicial para medir a melhoria na efetividade operacional de FM e sua contribuição para o negócio principal da organização demandante; contribuição para a rentabilidade da organização demandante e, quando aplicável, sua competitividade; contribuição para a sustentabilidade por meio do uso mais eficiente de recursos escassos.

Esse documento é destinado a preencher uma lacuna no fornecimento atual de orientações para permitir que a abordagem mais apropriada de FM e serviços de facility seja determinada. O objetivo é promover a conscientização, o desenvolvimento de competências e o conhecimento pelo fornecimento de recomendação estratégica nas decisões que afetam a gestão das instalações e/ou a entrega de serviços de facility.

Especificamente, esse documento é aplicável a qualquer organização para FM que deseja: utilizar uma metodologia para desenvolver uma estratégia de FM; assegurar-se do alinhamento da estratégia de FM com a estratégia do negócio principal da organização demandante; demonstrar conformidade com este documento: realizando uma autodeterminação e autodeclaração; buscando confirmação de sua conformidade pelas partes que tenham interesse na organização de FM; e buscando confirmação de sua autodeclaração por uma parte externa à organização de FM.

Este documento fornece orientação para programas de auditoria interna ou externa. Os usuários deste documento podem comparar práticas para o desenvolvimento de uma estratégia para seu FM com um referencial internacionalmente reconhecido, fornecendo princípios sólidos para a gestão efetiva destas práticas.

Este documento provê uma base comum para o entendimento dos fatores que convém que a organização de FM considere quando desenvolver uma estratégia para FM. Este documento promove uma metodologia para auxiliar a organização de FM em determinar a abordagem mais apropriada e os arranjos para o desenvolvimento de uma estratégia como uma base para a subsequente implementação de requisitos táticos e operacionais de FM para apoiar o negócio principal da organização demandante, principalmente suas atividades de negócios.

Este documento enfatiza as decisões, atividades, informações, dados e partes interessadas que têm de ser coordenados em um processo gerenciável para o desenvolvimento de uma estratégia para FM e os estágios dentro desta estratégia, incluindo: entender a organização demandante: contexto, governança, gestão de riscos e alinhamento estratégico (ver Seção 4); desenvolver os requisitos de FM: interesse em instalações, maturidade de FM, partes interessadas, prioridades, requisitos funcionais, serviços, opções de entrega e fornecimento (ver Seção 5); formular a estratégia de FM: compilando a estratégia, seu formato e conteúdo, requisitos orçamentários, compras, comunicação, feedback e implementação (ver Seção 6); gerenciar o desempenho: monitoramento e controle, indicadores de desempenho, medição, revisão, ações corretivas e lições aprendidas (ver Seção 7); melhorar os resultados: aplicando as lições aprendidas, reavaliando saídas (consequências) e alvo, atualizando a estratégia e a política (ver Seção 8).

Quando for adotada uma abordagem do processo para o desenvolvimento de uma estratégia, pode ser útil considerar três fases: análise, solução e implementação. Estas fases são abrangidas nas Seção 4, Seção 5 e Seções 6 a 8, respectivamente. A metodologia é destinada para ser escalável, significando que as provisões deste documento são aplicáveis a qualquer organização de FM em maior ou menor grau.

Como tal, a organização de FM pode determinar quais das provisões se aplicam total ou parcialmente ao desenvolvimento da estratégia de FM alinhadas com os objetivos, necessidades e restrições do negócio principal da organização demandante e o tipo, tamanho, complexidade, condição e localização geográfica de suas instalações. De maneira similar, a responsabilidade pela análise, solução e implementação da estratégia de FM pode variar dentro das organizações, dependendo de sua estrutura e escopo contratual.

Uma matriz de atribuição de responsabilidade pode ser utilizada para alocar funções dentro do negócio principal, na organização de FM e prestadores de serviços, como apropriado, para o desenvolvimento da estratégia de FM. Muitas organizações existem em um ambiente de mudança dinâmica. Não há, provavelmente, duas organizações iguais e o que faz sentido para uma organização poderia ser inapropriado para outra.

Entendendo como uma organização demandante antecipa, planeja e responde às mudanças, especialmente as mudanças que poderiam afetar a sua necessidade e o impacto no FM e nos serviços de facility, é uma consideração chave para sua alta direção. Alinhando as estruturas e a entrega de FM e serviços de facility com as atividades de negócio da organização demandante é, portanto, crítica para a conquista do sucesso de seus objetivos do negócio principal. Isto se aplica se a organização demandante for um órgão público ou privado, e é independente do setor na qual ela opera.

No entanto, sua estrutura organizacional, pessoas, valores, cultura, estilo de gestão e contexto tem um efeito sobre como ela lida com uma ampla variedade de fatores e suas decisões em relação à necessidade e uso das instalações. Cada vez mais, as organizações demandantes estão trabalhando através de regiões geográficas e em diferentes culturas.

Elas podem experimentar diferenças nas influências culturais que as afetam de um local para outro. Isto pode enriquecer o ambiente de trabalho e a qualidade do trabalho, porém pode requerer uma abordagem modificada por parte da alta direção. Estes fatores e as decisões relacionadas que a organização demandante enfrenta são tipicamente tornadas explícitas em sua estratégia do negócio principal ou em uma declaração da política dela derivada.

Convém que a estratégia do negócio principal da organização demandante reconheça a contribuição que é esperada do FM para o sucesso de seu negócio principal, todavia o sucesso é definido. Da mesma forma, convém que a estratégia para FM reflita os objetivos, necessidades e restrições do negócio da organização demandante e convém que seja capaz de traduzi-los em requisitos de FM.

Fazendo assim reduz muito a probabilidade de uma desconexão entre os objetivos, necessidades e restrições do negócio e os meios para apoiá-los na forma de instalações apropriadas e serviços de facility. Convém que considerações sejam dadas a quaisquer planos de negócios que impactariam nas necessidades em relação ao uso atual e futuro de instalações e serviços de facility e os horizontes de planejamento do negócio sobre os quais estes poderiam ocorrer (por exemplo, curto, médio e longo prazo, conforme definido pela organização demandante). Em termos práticos, a estratégia do negócio principal está preocupada como as pessoas na organização demandante tomam decisões e alocam recursos para alcançar os objetivos do negócio e o planejamento requerido para esta finalidade.

Os objetivos podem ser alcançados por meio de ações que incluem, porém não se limitam a formular a estratégia de FM em alinhamento com a estratégia do negócio principal da organização demandante; elaborar as políticas; determinar as normas e as diretrizes internas (por exemplo, ativos, espaço, atividades e serviços de facility); assegurar às pessoas a saúde, a segurança do trabalho e a segurança patrimonial dentro e nas proximidades das instalações; realizar uma gestão proativa de eventos de risco; assegurar a continuidade do negócio no evento de interrupção ao uso normal das instalações; apoiar a recuperação de desastres; prover apoio prático para a gestão de mudanças da organização demandante; avaliar o impacto das instalações nas atividades do negócio, meio ambiente e comunidade; manter as relações com autoridades e outras partes interessadas; aprovar planos do negócio e orçamentos; adquirir bens e serviços; e prover uma resposta resiliente e sustentável.

Convém que a organização de FM esteja ciente a medida em que convém endereçar os problemas neste documento, para ajudar a satisfazer os objetivos e necessidades do negócio da organização demandante. Convém que o objetivo da organização de FM seja considerar cada problema suficientemente para chegar a um entendimento equilibrado das necessidades.

Quando informações e dados solicitados pela organização de FM não podem ser providos pela organização demandante, convém que suposições apropriadas sejam feitas e declaradas explicitamente na documentação e comunicação relativa à estratégia de FM. A natureza, o porte e a estrutura da organização demandante têm um impacto direto na necessidade de instalações e serviços de facility, e, portanto, convém que a estrutura organizacional atual e futura sejam definidas quando praticável.

Convém que quaisquer mudanças na estrutura organizacional existente (por exemplo, expansão, redução, realocação, desinvestimento ou reestruturação) e no prazo envolvido sejam documentados. Em uma situação ideal, as instalações e os serviços de facility da organização demandante se ajustariam à estrutura organizacional atual e antecipariam mudanças dentro de limites razoáveis.

Quando esta condição não estiver sendo alcançada ou não puder ser alcançada, convém que a organização demandante documente as razões e algumas preferências que fecham a lacuna entre as instalações e os serviços de facility existentes e aqueles considerados como os mais adequados. Convém que consideração seja dada à política da organização demandante nas instalações e espaço sustentáveis como parte de qualquer avaliação de seu planejamento do negócio de longo prazo. Convém que qualquer lacuna seja documentada e disponibilizada para o desenvolvimento da estratégia de FM.

A segurança do trabalho, o bem-estar e a eficiência das pessoas da organização demandante são fatores-chave de contribuição para o seu sucesso. Existe uma relação próxima entre a estrutura organizacional e as pessoas em muitos aspectos, não menos importante o equilíbrio entre o trabalho requerido e outras atividades ou funções centralizadas no ser humano e a disponibilidade de pessoas devidamente qualificadas e competentes.

Convém que os planos da organização demandante para o seu pessoal, atualmente e no futuro, sejam estabelecidos juntamente com o prazo previsto. Convém que estes planos reflitam qualquer crescimento, redução, reimplantação ou realocação de pessoas e as razões (por exemplo, recrutamento para atingir novos mercados e maior rotatividade ou número de funcionários reduzido e menor despesa operacional).

Um sistema de valor representa o conjunto de crenças e comportamentos que as pessoas compartilham e está intimamente associado à cultura de uma organização, o qual agrega dimensões sociais e psicológicas. Coletivamente, eles podem ser expressos como a maneira na qual as coisas são feitas em uma organização.

Mais formalmente, eles são utilizados para definir uma abordagem para trabalhar ou outras atividades e funções centradas no ser humano. Exemplos são encontrados em declarações de políticas, normas e procedimentos internos que mapeiam as crenças, atitudes, comportamentos, funções e responsabilidades das pessoas dentro de uma organização e as relações com órgãos externos.

Ao documentar tal abordagem, convém que sejam levados em consideração os impactos interculturais reais ou potenciais. Convém que a organização de FM identifique aquelas políticas, normas e procedimentos internos existentes que orientam o negócio do dia-a-dia da organização demandante, incluindo aqueles relacionados às instalações e serviços de facility, e convém que sejam levados em consideração quando desenvolver a estratégia de FM.

Convém que qualquer lacuna na cobertura de disposições essenciais relacionadas às instalações ou serviços de facility seja documentada. Convém que detalhes sejam disponibilizados para desenvolver a estratégia de FM.

A maneira na qual os objetivos do negócio de uma organização demandante são realizados por seus gestores define seu estilo de gestão. Isto varia de organização para organização, setor para setor e local para local, até mesmo de um gestor para outro, e também poderia ser influenciada por fatores externos. É importante não generalizar ou fazer suposições, mas sim identificar como as decisões são tomadas e quem as toma.

As funções e as atividades podem então serem planejadas, com recursos, implementadas e controladas. Convém que os detalhes da tomada de decisão que afetam as instalações e os serviços de facility da organização demandante sejam documentados. Convém que as tarefas que são requeridas para serem realizadas nesse sentido sejam identificadas, juntamente com funções, responsabilidades e deveres associados e, em seguida, registradas em uma matriz de atribuição de responsabilidade (por exemplo, um RACI ou RASCI).

As maneiras pelas quais a organização demandante está sujeita à regulamentação e é responsável perante as suas partes interessadas, criam uma estrutura distinta para seu negócio que é altamente pertinente às suas instalações e serviços de facility. Uma abordagem apropriada à governança da organização demandante é necessária para assegurar que existam consistência e transparência em suas atividades do negócio principal e nas relações com órgãos e indivíduos externos.

Convém que qualquer aspecto da governança da organização demandante que impacte atualmente ou é provável a impactar as instalações e os serviços de facility seja identificado. Convém que o status legal do interesse da organização demandante nas instalações seja identificado (por exemplo, proprietário, locatário, sublocatário ou autorizado). Convém que as maneiras e a extensão para a qual a organização demandante tem o direito a utilizar ou alterar suas instalações sejam documentadas. Convém que um aconselhamento profissional seja considerado em questões relacionadas ao interesse e aos direitos da organização demandante em relação às instalações.

A organização demandante é, em última análise, responsável por todas as decisões que afetam o uso de suas instalações e serviços de facility. Autoridade delegada para operações do dia a dia é esperada. Convém que as funções e as responsabilidades, incluindo deveres, sejam formalizados e comunicados para todas as partes interessadas afetadas. Uma matriz de atribuição de responsabilidade é útil para esta finalidade. Convém que não exista ambiguidade nas funções, responsabilidades e deveres ou quaisquer lacunas entre eles.

As instalações e os responsáveis por elas estão sujeitos a regulamentos e compliance, com extensões variadas, dependendo da localização (isto é, jurisdição). Convém que a organização de FM verifique a extensão para a qual os regulamentos e o compliance afetam as obrigações e deveres com respeito às instalações e serviços de facility.

Convém que as declarações de política, normas internas e documentação processual da organização demandante sejam disponibilizadas, ou solicitadas, para desenvolver a estratégia de FM. Convém que qualquer lacuna na provisão de política, normas ou procedimentos seja identificada e ações sejam tomadas para remediar esta situação antes de continuar com o desenvolvimento da estratégia de FM.

Convém que a maturidade das atividades, processos e sistemas do negócio principal da organização demandante seja avaliada. Um modelo de maturidade de aptidão normalmente descreve um caminho evolutivo em cinco níveis de atividades, processos e sistemas cada vez mais organizados e mais maduros e podem ser úteis nesse sentido.

Os cinco níveis são: inicial, quando os processos são pobremente controlados e imprevisíveis; gerenciado, quando os processos são caracterizados, porém são genéricos e na maioria das vezes reativos; definido, quando os processos são sistemáticos e integrados; medido, quando os processos são avaliados e controlados; otimizado, quando o foco está sobre melhoria contínua. Convém que o nível de maturidade da organização demandante e sua intenção de progredir para um nível mais alto (quando isto for possível), juntamente com o cronograma para que esta mudança seja realizada, sejam determinados.

O contexto para a organização demandante é o ambiente mais amplo em que ela opera e inclui as forças que impactam no negócio principal e os fatores que moldam sua resposta a eles. Convém que a organização de FM identifique estas forças e os fatores que conduzem à gestão de sucesso das instalações e serviços de facility. Igualmente, convém que a organização de FM identifique estas forças e fatores que são prejudiciais e determine respostas apropriadas dentro dos limites de opções disponíveis. Há uma ligação direta para a gestão de riscos.

AWWA J100: a gestão de risco e resiliência de sistemas de água e esgoto

A AWWA J100:2021 – Risk and Resilience Management of Water and Wastewater Systems permite que os proprietários e operadores de serviços públicos de água e esgoto tomem decisões acertadas ao alocar recursos limitados para reduzir o risco e melhorar a resiliência. Essa norma define os requisitos para a análise e o gerenciamento de todos os riscos e resiliência para o setor de água e esgoto.

Ela fornece a metodologia e os recursos materiais que podem ser usados para atender a esses requisitos. Descreve e documenta um processo de identificação de risco em função das consequências, vulnerabilidades e probabilidade de ameaças feitas pelo homem, perigos naturais e perigos de dependência e proximidade. É uma nacional norte-americana, conforme designado pelo American National Standards Institute, e está sob a jurisdição da American Water Works Association (AWWA).

Essa jurisdição é exercida pelo comitê de normas de gerenciamento de risco e resiliência AWWA J100. Está alinhada com a intenção da National Homeland Security Policy, incluindo o National Infrastructure Protection Plan (NIPP), o National Incident Management System (NIMS) e o National Response Framework (NRF). Pode ser aplicada à avaliação de risco e apoiar a redução de risco e/ou melhoria de resiliência em concessionárias de água e esgoto. A metodologia J100 também pode capacitar os tomadores de decisão em uma ampla variedade de infraestruturas, outras instalações e organizações operacionais.

Conteúdo da norma

Prefácio

I Introdução ………………………………. vii

I.A Conhecimento……………………………….. vii

I.B História ……………………………………… vii

I.C Aceitação,,,,,……………………………….. xi

II Edições especiais ……………………………… xi

II.A Informações consultivas sobre a aplicação da norma………… xi

II.B Possíveis tópicos para o futuro da norma……………………. xi

II.C Designação da Lei de segurança ……………. xi

III Uso dessa norma…………………… xii

III.A Opções do comprador e alternativas ………………………….. xii

III.B Modificação da norma…………….. xii

III.C Técnica de avaliação de risco

Considerações e comentários …. xii

IV Revisões principais …………………………. xiv

V Comentários ………………………………… xv

Norma

1. Geral

1.1 Escopo e objetivo ……………………… 1

1.2 Jurisdição ………………………………… 1

1.3 Aplicação ………………………………… 2

2 Definições ……………………………….. 2

3 Referências ………………………………… 8

4 Requisitos

4.1 Caracterização de ativos …………………. 9

4.2 Caracterização da ameaça ……………….. 11

4.3 Análise de consequências …………………. 13

4.4 Análise de vulnerabilidade ………………….. 20

4.5 Análise de ameaças …………………………… 21

4.6 Análise de risco e resiliência …………. 30

4.7 Gestão de risco e resiliência …… 34

5 Controle de processo …………………………. 37

6 Verificação

6.1 Verificar as análises de risco …………………… 38

6.2 Avaliar a análise de risco …………………. 38

6.3 Processo de revisão de documentos ……………. 38

Apêndices

A Antecedentes e orientações sobre ameaças para seleção de ameaças………….. 39

B Bibliografia expandida………………. 67

As três variáveis que constituem o risco nessa formulação são todas incertas, algumas altamente incertas, mas a norma as trata como estimativas de ponto único, em vez de distribuições de probabilidade que incluem as incertezas estimadas, como seriam prescritas por especialistas contemporâneos em análise de risco. Tais distribuições seriam combinadas usando a simulação de Monte Carlo, resultando em uma distribuição de probabilidade de risco, cuja média é seu melhor descritor de resumo único, que pode ou não aproximar o produto das três variáveis, dependendo da assimetria das três distribuições.

Esta abordagem é denominada como o método da incerteza total porque resulta não apenas no risco médio, mas em uma distribuição da incerteza em torno dessa média. Embora este método mais sofisticado fosse preferido pela maioria dos especialistas em risco, o comitê decidiu usar o método de ponto único mais simples (e seguir os precedentes da NIPP e J100-10) para encorajar a aplicação de gerenciamento de risco pela maioria dos usuários em potencial, enquanto desencoraja abordagens ainda mais simples e falhas (por exemplo, aquelas que usam ordens de classificação em processos que requerem escalas de proporção).

Os usuários que desejam empregar o método da incerteza total estariam em conformidade com essa norma, desde que todas as outras condições sejam atendidas. As organizações podem começar com a abordagem de um único ponto e, com a experiência, adotar o método da incerteza total para explorar seus recursos aprimorados. As versões futuras da norma podem considerar a recomendação explícita do método de incerteza total, pelo menos como uma opção.

A consequência de perder um ativo muitas vezes depende fortemente da condição de outros ativos – ou seja, as consequências são correlacionadas. Isso é particularmente verdadeiro para sistemas como sistemas de água que têm fluxos contínuos em processos centrais. Embora esses processos tenham sido conscientemente projetados para tolerar a perda de ativos individuais sem perda séria de função, surgem situações em que dois ou mais ativos físicos são integrados por um fluxo de processos, de modo que a perda do ativo interrompe todo o fluxo ou uma parte importante do fluxo.

Em tais situações, a norma sugere combinar esses ativos em um subsistema e tratar o subsistema como um único ativo. Combinar ativos que são correlacionados porque são partes de um processo comum em subsistemas captura as probabilidades condicionais sem torná-las intelectualmente, combinatória e computacionalmente opressivas.

Os indicadores de sustentabilidade em bioenergia

A NBR ISO 13065 de 09/2021 – Critérios de sustentabilidade em bioenergia especifica princípios, critérios e indicadores para a cadeia logística em bioenergia a fim de facilitar a avaliação dos aspectos ambientais, sociais e econômicos de sustentabilidade. Aplica-se a toda a cadeia logística, partes de uma cadeia logística ou um processo individual na cadeia logística. Essa norma aplica-se a todas as formas de bioenergia, independentemente da matéria-prima, localização geográfica, tecnologia ou uso final.

Não estabelece limiares ou limites e não descreve processos bioenergéticos e métodos de produção específicos. A conformidade com essa norma não determina a sustentabilidade de processos ou produtos. Destina-se a facilitar a comparabilidade dos vários processos ou produtos bioenergéticos. Ela também pode ser utilizada para facilitar a comparabilidade de bioenergia e outras opções energéticas.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como descrever o princípio de conservar e proteger os recursos hídricos?

Como promover os impactos positivos e reduzir os impactos negativos sobre a biodiversidade?

Como promover a gestão responsável de resíduos?

Por que o operador econômico deve prover as informações sobre como o trabalho infantil é tratado?

A bioenergia é a energia derivada de biomassa que pode ser transformada em combustíveis sólidos, líquidos ou gasosos, ou a energia armazenada na biomassa pode ser diretamente convertida em outras formas de energia (por exemplo, calor, luz). A produção e o uso de bioenergia têm funções potenciais na atenuação das mudanças climáticas, promoção da segurança energética e fomento no desenvolvimento sustentável.

Essa norma é projetada para prover uma base consistente na qual a sustentabilidade de bioenergia pode ser avaliada dentro de um contexto definido e para um objetivo especificado. Provê os princípios, os critérios e os indicadores. Os princípios refletem metas ambiciosas, enquanto os critérios e os indicadores tratam os aspectos de sustentabilidade e as informações que devem ser providas.

Entretanto, os indicadores nessa norma podem não capturar exaustivamente todos os aspectos de sustentabilidade para todos os processos bioenergéticos. Praticamente cada país no mundo utiliza algum tipo de bioenergia. Diversos tipos de biomassa são utilizados para a produção bioenergética por meio de muitos tipos e tamanhos de operações econômicas.

As características de produção bioenergética, portanto, são heterogêneas e dependem de diversos fatores, como geografia, clima, nível de desenvolvimento, instituições e tecnologias. O objetivo dessa norma é prover uma estrutura considerando os aspectos ambientais, sociais e econômicos que podem ser utilizados para facilitar a avaliação e a comparabilidade da produção e produtos bioenergéticos, cadeias logísticas e aplicações.

Como parte do desenvolvimento dessa norma, outras iniciativas de sustentabilidade e normas relevantes foram consideradas. Essa norma visa facilitar a produção, uso e comércio de bioenergia de forma sustentável e permitirá que os usuários identifiquem áreas para a melhoria contínua na sustentabilidade de bioenergia.

Ela pode ser utilizada de várias maneiras. Ela pode facilitar as comunicações entre empresas provendo uma estrutura padrão permitindo que as negociações falem a mesma língua ao descrever aspectos de sustentabilidade. Os compradores podem utilizar esta norma para comparar informações de sustentabilidade dos fornecedores para auxiliar a identificar processos e produtos bioenergéticos que atendam aos seus requisitos.

Outras normas, iniciativas de certificação e agências governamentais podem utilizar essa norma como uma referência sobre como prover informações referentes à sustentabilidade. Ela não provê valores-limite. Os valores-limite podem ser definidos por operadores econômicos na cadeia logística e/ou outras organizações (por exemplo, governo). As informações de sustentabilidade providas pelo uso dessa norma podem, então, ser comparadas com os valores-limite definidos.

O objetivo de realizar a avaliação utilizando esta norma deve ser claramente documentado. O contexto também deve ser documentado, incluindo áreas geográficas, nível de agregação e partes interessadas afetadas. O objetivo e o contexto são necessários para determinar o escopo da avaliação, relevância e importância e métodos para representação de dados.

O escopo da avaliação que descreve o (s) processo (s) e produtos bioenergético (s), e os recursos e unidades de negócio a serem incluídos deve ser documentado. Os processos sob controle direto incluem as atividades realizadas ou subcontratadas pelo operador econômico.

Qualquer exclusão de um processo ou parte de um processo sob o controle direto do operador econômico (por exemplo, seleção da matéria-prima, processamento ou descarte de resíduos) deve ser documentada e justificada. Convém que o operador econômico considere a capacidade de facilitar a comparabilidade.

As partes interessadas podem ter preocupações relacionadas às atividades do operador econômico. Quando requerido nessa norma, o operador econômico deve documentar como as partes interessadas foram envolvidas, o que significa que as partes interessadas foram informadas e foi oferecida a oportunidade para comentar e que o operador econômico forneceu uma resposta documentada para legitimar a queixa apresentada pelas partes interessadas.

O operador econômico deve identificar as partes interessadas que são relevantes para alcançar os resultados dessa norma, convém que identifique as preocupações relevantes (por exemplo, requisitos) dessas partes interessadas e convém que identifique quais dessas preocupações serão tratadas por requisitos legais. O operador econômico deve prover as informações requeridas por cada indicador desta norma para todos os aspectos de sustentabilidade relevantes e importantes dentro do escopo da avaliação.

O operador econômico pode excluir aspectos que ele documenta e justifica como não sendo relevantes ou importantes. Um aspecto de sustentabilidade é relevante se ele for parte ou for afetado pelo processo dentro do escopo da avaliação, e que tenha uma relação clara com o objetivo e o contexto.

A importância pode ser determinada por uma avaliação de risco ou outros procedimentos (por exemplo, requisitos do comprador, requisitos regulatórios, preocupação das partes interessadas, escala de operação). A figura abaixo provê uma árvore de decisão sobre como categorizar a relevância e importância para cada aspecto.

O operador econômico deve identificar os requisitos legais relativos aos aspectos de sustentabilidade relevantes descritos na Seção 5 e deve documentar como estes são tratados dentro das respostas aos indicadores dessa norma. Um operador econômico também pode documentar casos onde as leis aplicáveis ao operador econômico estabelecem requisitos diferentes quando comparados aos aspectos de sustentabilidade dessa norma.

A avaliação dos aspectos de sustentabilidade deve abranger o período de tempo relevante no ciclo de vida. Os aspectos de sustentabilidade podem ter períodos de tempo diferentes. O período de tempo selecionado para cada aspecto de sustentabilidade deve ser documentado e justificado.

No caso da produção de matérias primas primárias, o período de rotação da cultura pode variar de poucos meses em culturas de arroz para mais de 100 anos em florestas de longa rotação, por exemplo. Os períodos de tempo para o manuseio de matérias-primas secundárias podem variar muito, dependendo do tempo necessário para o transporte, armazenamento e processamento/refino.

A escolha dos períodos de tempo para que os dados sejam coletados deve considerar as variações potenciais intra-anuais e interanuais e, se relevante, utilizar valores que representem a tendência ao longo dos períodos selecionados. O período de tempo para que os dados e informações sejam coletados deve ser documentado e justificado.

Ao fazer suposições ou selecionar dados ou metodologias a serem utilizados em relatórios segundo essa norma, preferência deve ser dada às abordagens científicas ou práticas tradicionais com base em ciências naturais, sociais ou econômicas. A ciência é a busca do conhecimento e a compreensão do mundo natural e social seguindo uma metodologia sistemática com base em evidências.

A metodologia científica tipicamente envolve os seguintes pontos: observação objetiva: medição e dados (embora possivelmente não utilizando necessariamente a matemática como uma ferramenta); evidência; experimento, modelos e/ou observação como padrão comparativo para ensaiar hipóteses; indução: raciocínio para estabelecer regras ou conclusões gerais tiradas dos fatos ou exemplos; repetição; análise crítica; e a verificação e ensaios: exposição crítica ao exame minucioso, revisão e avaliação atentas.

Os dados, fontes de informação e suposições utilizados devem ser documentados e justificados. O operador econômico deve prover informações sobre os efeitos diretos de seu (s) processo (s). O fornecimento de informações não significa que o operador econômico é requerido a fornecer publicamente as suas informações proprietárias, sendo informações que não são do conhecimento público (tais como certos dados financeiros, resultados de ensaios ou segredos comerciais) e que é visto como a propriedade do titular.

O recebedor dos dados proprietários, tal como um empreiteiro no processo de aquisição, é geralmente obrigado a impedir o uso não autorizado das informações. Convém que os dados primários sejam coletados para todos os processos individuais sob o controle direto do operador econômico e devem ser representativos dos processos para os quais foram coletados. Convém que os dados primários sejam utilizados para todos os aspectos importantes de sustentabilidade e que possam ser coletados de um local específico, ou possam ser calculados pela média em todos os locais que contêm os processos dentro do escopo da avaliação.

Os dados primários podem ser medidos ou modelados. Convém que os dados secundários sejam utilizados para insumos quando a coleta de dados primários não for possível ou praticável, ou para processos menores. Os dados secundários podem incluir dados de literatura, dados calculados, estimativas ou outros dados representativos.

O uso de dados secundários deve ser documentado e justificado com referências. Os dados podem ser agregados. O nível de agregação deve ser compatível e apropriado ao objetivo. A agregação dos dados deve ser compatível com o escopo da avaliação, escala da operação, requisito ou nível de preocupação das partes interessadas e deve ser representativa das operações que estão sendo avaliadas.

O operador econômico pode elaborar um relatório resumindo os resultados da avaliação juntamente com uma descrição de quaisquer processos bioenergéticos que foram incluídos na avaliação. O Anexo A provê um formato que pode ser utilizado para resumir as informações. As informações podem ser compartilhadas e agregadas, entre ou por meio, dos estágios de cadeias logísticas.

Quando houver um acordo para compartilhar informações, este deve ser realizado de uma forma que permita que as informações sejam combinadas dentro de uma cadeia logística ou agregadas por meio de cadeias logísticas. Nenhuma declaração ou comunicação sobre a sustentabilidade de processos ou produtos bioenergéticos deve ser realizada unicamente com base no uso dessa norma.

A rastreabilidade refere-se à origem das matérias-primas e das partes, o histórico de processamento e a distribuição e localização do produto após a entrega. Se o operador econômico decide ou é requerido a informar sobre a rastreabilidade, o operador econômico deve pelo menos divulgar as seguintes informações: parte (s) da cadeia logística que se aplica (m) a essa norma; se um sistema de cadeia de custódia é adotado ou não; e o (s) sistema (s) de cadeia de custódia adotado (s).

Nem todos os operadores econômicos são capazes de informar sobre a rastreabilidade e, quando essa condição ocorre, os dados agregados podem ser utilizados. Os três sistemas de cadeia de custódia comuns são: segregação; balanço de massa; e reserva e resgate. Os sistemas de cadeia de custódia podem ser utilizados isoladamente ou combinados.

A utilização dessa norma para comparação de indicadores entre várias opções energéticas (bioenergia e sem bioenergia) é opcional. Alguns princípios, critérios e indicadores nessa norma podem não ser aplicáveis às demais opções energéticas. Além disso, outras opções energéticas podem ter princípios, critérios e indicadores adicionais que não estão incluídos nesta norma.

O desenvolvimento da informação documentada em gestão da qualidade

A NBR ISO 10013 de 07/2021 – Sistemas de gestão da qualidade — Orientação para informação documentada provê orientação para o desenvolvimento e a manutenção de informação documentada necessária para apoiar um sistema de gestão da qualidade eficaz, adaptada às necessidades específicas da organização. Também pode ser usado para apoiar outros sistemas de gestão, por exemplo, sistemas de gestão ambiental ou de saúde e segurança ocupacional.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

O que representam os mapas de processos, os fluxogramas de processos e/ou descrições de processos?

O que são os fluxos de trabalho automatizados?

O que são os planos, cronogramas e listas?

Por que fazer o uso de referências?

A NBR ISO 9001 requer que uma organização mantenha e retenha informação documentada para apoiar a operação de seus processos e para ter confiança que os processos estejam sendo realizados como planejado. A informação documentada é aquela que se requer que seja controlada e mantida por uma organização e o meio no qual ela está contida.

Ela pode ser usada para comunicar, para prover uma evidência objetiva ou para compartilhar conhecimento. Possibilita que o conhecimento e as experiências da organização sejam preservados e pode gerar valor para apoiar a melhoria de produtos ou serviços.

Este documento provê orientação para o desenvolvimento e a manutenção de informação documentada. A adoção de um sistema de gestão da qualidade é uma decisão estratégica para uma organização, que pode ajudar a melhorar seu desempenho global e a prover uma base sólida para iniciativas de desenvolvimento sustentável.

Isso é aplicável a todas as organizações, independentemente de porte, complexidade ou modelo de negócio. Sua finalidade é aumentar a conscientização de uma organização sobre seus deveres e seu compromisso em atender às necessidades e expectativas de seus clientes e de suas partes interessadas, e em alcançar a satisfação com seus produtos e serviços.

É importante considerar o contexto da organização, incluindo a estrutura legal e regulamentar, as necessidades e expectativas de partes interessadas, os riscos e oportunidades, e a direção estratégica da organização, quando uma organização planeja qual informação documentada manter e reter para seu sistema de gestão da qualidade. Ao mesmo tempo que a adoção de um sistema de gestão da qualidade é estratégica, isso também se aplica à sua informação documentada.

Ela pode estar relacionada com as atividades totais de uma organização ou com uma parte selecionada dessas atividades, por exemplo, requisitos especificados, dependendo da natureza dos produtos e serviços, dos processos, dos requisitos contratuais, dos requisitos estatutários e regulamentares e do contexto da própria organização. É importante que o conteúdo da informação documentada também esteja em conformidade com os requisitos das normas que se pretende satisfazer, por exemplo, requisitos de setor específico.

As organizações têm mudado de sistemas baseados em papel para meio eletrônico nas últimas duas décadas. A NBR ISO 9001 refletiu essa mudança, substituindo terminologia como documentação, manual da qualidade, procedimentos documentados e registros por informação documentada. Este documento de orientação usa a expressão informação documentada para se referir à informação que necessita ser controlada pela organização e documentos para se referir a informação.

Ela também usa a palavra documentar como um verbo em alguns locais. As normas de sistema de gestão da ISO usam uma estrutura de alto nível para incentivar o uso de sistemas de gestão integrados. Este documento de orientação, por seu projeto e escopo, é focado no sistema de gestão da qualidade e usa a terminologia da NBR ISO 9000:2015.

Todavia, nada proíbe seu uso em outras normas de sistema de gestão. Na versão anterior deste documento, foi sugerida uma hierarquia de documentação como manual da qualidade, procedimentos, instruções de trabalho e formulários/listas de verificação, como uma maneira de documentar o sistema de gestão da qualidade.

Esta versão não prescreve uma hierarquia em particular, mas reflete a capacidade do meio eletrônico de se organizar de uma infinidade de maneiras. É importante perceber que, embora um manual da qualidade não seja requerido, ele ainda pode ser útil e muitas normas de setor específico ainda requerem manuais da qualidade e procedimentos documentados.

A informação documentada pode ser estruturada e criada de muitas maneiras, com base nas necessidades da organização e outros fatores, como liderança, resultados pretendidos do sistema de gestão, contexto (incluindo requisitos estatutários e regulamentares) e partes interessadas. A estrutura da informação documentada usada no sistema de gestão da qualidade pode ser descrita em uma hierarquia. Essa estrutura facilita a distribuição, a manutenção e o entendimento da informação documentada.

Os sistemas eletrônicos proveem escolhas adicionais para estruturar informação documentada. O Anexo A ilustra exemplos de estruturas de informação documentada. As organizações menores podem escolher uma estrutura simplificada de informação documentada para atender às suas necessidades.

Convém que o tipo e a extensão de informação documentada necessária para o sistema de gestão da qualidade sejam baseados em uma análise de processos e podem diferir de uma organização para outra devido a, por exemplo, o porte da organização e o tipo de atividades; a complexidade de processos e suas interações; a maturidade do sistema de gestão da qualidade; os riscos e oportunidades; a competência de pessoas; os requisitos estatutários e regulamentares; os requisitos do cliente e de outras partes interessadas; a necessidade de evidência de resultados alcançados; e a necessidade de apoiar acessibilidade e recuperabilidade remotamente.

A informação documentada pode incluir definições. Para melhorar a compreensão, convém que a organização considere usar vocabulário que esteja de acordo com termos e definições padronizados que são referenciados na NBR ISO 9000, no uso geral de dicionário ou que possa ser específico para a organização. Um sistema de gestão da qualidade de uma organização pode usar terminologias diferentes para os tipos definidos de informação documentada.

A informação documentada de uma organização deve incluir o escopo do sistema de gestão da qualidade; uma política da qualidade; os objetivos da qualidade; a informação que a organização determinou como sendo necessária para apoiar a operação do sistema de gestão da qualidade e seus processos, incluindo, como aplicável: um manual da qualidade; os organogramas; os mapas de processos, fluxogramas e/ou descrições de processos; os procedimentos e as instruções de trabalho; os fluxos de trabalho automatizados; as especificações de produtos e serviços; as comunicações internas e externas; os planos, cronogramas e listas; os formulários e listas de verificação; a informação documentada de origem externa; a informação documentada a ser retida (isto é, registros) para prover evidência de resultados alcançados.

A informação documentada pode estar em qualquer tipo de meio, como papel, eletrônico, fotografia ou amostras físicas. As vantagens do meio eletrônico são, por exemplo, o acesso facilitado a versões pertinentes, incluindo acesso a partir de locais remotos; o controle de mudanças facilitado, incluindo o cancelamento de informação documentada obsoleta; a distribuição imediata e controlada; a recuperabilidade e retenção versus papel ou outro meio físico.

O propósito para uma organização ter informação documentada inclui a comunicação de informação; evidência de alcançar resultados ou atividades realizadas; o compartilhamento de conhecimento; a preservação de conhecimento; a descrição do sistema de gestão da qualidade da organização. Os benefícios para uma organização ter informação documentada incluem: demonstrar compliance com requisitos estatutários e regulamentares; prover informação para grupos multifuncionais, para que eles possam melhor compreender inter-relacionamentos; comunicar compromisso da organização com a qualidade para partes interessadas pertinentes; ajudar as pessoas a compreender seu papel na organização, provendo assim uma base para expectativas de desempenho no trabalho; facilitar a compreensão mútua entre os diferentes níveis na organização; prover a evidência objetiva de que requisitos especificados foram alcançados; abordar os riscos e as oportunidades para melhorar o desempenho organizacional, a conformidade de produto ou serviço e a satisfação do cliente; prover conhecimento organizacional, incluindo a base para competência e treinamento para pessoas e outras partes interessadas pertinentes; declarar como coisas são para ser feitas para atender consistentemente a requisitos especificados, promovendo assim condições controladas e provendo uma base para melhoria contínua; demonstrar para partes interessadas as capacidades na organização, provendo assim confiança; prover requisitos para provedores externos; prover uma base para auditar e avaliar a eficácia e adequação contínua do sistema de gestão da qualidade.

O escopo do sistema de gestão da qualidade deve ser documentado com base na determinação pela organização dos limites e da aplicabilidade do sistema de gestão da qualidade. O escopo de um sistema de gestão pode incluir a organização como um todo, funções específicas e identificadas da organização, seções específicas e identificadas da organização ou uma ou mais funções em um grupo de organizações.

Convém que o escopo declare os tipos de produtos e serviços cobertos e, se requerido, proveja a justificativa para qualquer requisito da norma de qualidade pertinente que a organização determine que não seja aplicável ao escopo de seu sistema de gestão da qualidade. Convém que o escopo do sistema de gestão da qualidade seja baseado na natureza dos produtos e serviços da organização, seus processos operacionais, questões levantadas ao estabelecer o contexto da organização e os requisitos pertinentes de partes interessadas, o resultado de mentalidade de risco, considerações comerciais e requisitos contratuais, estatutários e regulamentares.

A política da qualidade ajuda uma organização a engajar suas pessoas na cultura da qualidade da organização. Convém que ela seja alinhada com a direção estratégica, a missão e a visão da organização. Ela provê um compromisso verificável com a qualidade para partes interessadas pertinentes.

Uma organização pode ter outras políticas, além da política da qualidade, relacionadas ao sistema de gestão da qualidade. Os objetivos da qualidade devem refletir os resultados a serem alcançados pela organização com respeito à sua direção estratégica, sua política da qualidade, seus riscos e oportunidades e seus requisitos aplicáveis ao sistema de gestão da qualidade.

Além disso, a organização deve determinar o tipo e a extensão da informação documentada necessária para apoiar a operação de seus processos, os formatos a serem usados e o meio para se comunicar com usuários. A organização pode decidir que termos ela usa para sua informação documentada. Enquanto termos como procedimentos, instruções de trabalho e manual da qualidade são usados neste documento, a organização não está obrigada a adotar tal terminologia.

Quanto ao manual da qualidade, pode-se dizer que há muitas maneiras pelas quais uma organização pode documentar seu sistema de gestão da qualidade. As organizações podem escolher usar um manual da qualidade, ou um manual da qualidade pode ser exigido pelos requisitos externos da organização. Um manual da qualidade é único para cada organização.

Ele pode prover a estrutura, o formato, o conteúdo ou o método de apresentação para documentar o sistema de gestão da qualidade para todos os tipos de organizações. Uma pequena organização pode achar apropriado incluir a descrição de seu sistema de gestão da qualidade inteiro em um único manual, incluindo toda a informação documentada que ela mantém.

As organizações grandes, multinacionais, podem necessitar de manuais em níveis distintos (por exemplo, nível global, nacional ou regional) e uma hierarquia mais complexa da informação documentada. Se a organização escolher implementar um manual da qualidade, ele pode incluir procedimentos documentados, ou uma referência a eles, e uma descrição dos processos do sistema de gestão da qualidade e suas interações.

Convém que seja incluída no manual da qualidade a informação sobre a organização, como nome, localização, contexto e meios de comunicação incluindo termos específicos e definições pertinentes. A informação adicional também pode ser incluída, como suas linhas de negócio, uma breve descrição de seus antecedentes, história e porte.

O manual da qualidade pode prover uma descrição do sistema de gestão da qualidade e de sua implementação na organização. Convém que descrições dos processos e de suas interações, ou uma referência a elas, sejam incluídas no manual. Convém que os processos da organização sejam projetados para atender aos objetivos globais da organização, suas políticas, seu contexto e as expectativas pertinentes de partes interessadas.

Em grandes organizações, os processos podem ligar áreas funcionais da organização (ver Anexo A). Convém que a organização documente seu sistema de gestão da qualidade específico seguindo a sequência do fluxo dos processos ou qualquer sequenciamento apropriado à organização. Referência cruzada entre a norma selecionada e os processos da organização pode ser útil. A sequência e a interação dos processos no sistema de gestão da qualidade podem ser documentadas usando um mapa de processos.

A gestão dos incidentes de segurança da informação

]

A NBR ISO/IEC 27035-3 de 07/2021 – Tecnologia da informação – Gestão de incidentes de segurança da informação – Parte 3: Diretrizes para operações de resposta a incidentes de TIC fornece as diretrizes para resposta a incidentes de segurança da informação em operações de tecnologia, informação e comunicação (TIC). Este documento faz isso abrangendo, em primeiro lugar, os aspectos operacionais da segurança de TIC em uma perspectiva de pessoas, processos e tecnologia. Em seguida, concentra-se ainda mais na resposta de incidente de segurança da informação em operações de TIC, incluindo detecção de incidentes de segurança da informação, relatórios, triagem, análise, resposta, contenção, erradicação, recuperação e conclusão.

Este documento não trata de operações de resposta a incidentes que não sejam de TIC, como perda de documentos em papel. É baseado na fase Detecção e geração de relatórios, na fase Avaliação e decisão e na fase Respostas do modelo Fases de gestão de incidentes de segurança da informação apresentado na ISO/IEC 27035-1:2016. Os princípios fornecidos neste documento são genéricos e pretendem ser aplicáveis a todas as organizações, independentemente do tipo, porte ou natureza. As organizações podem ajustar as disposições fornecidas neste documento de acordo com seu tipo, porte e natureza dos negócios em relação à situação de risco à segurança da informação. Também é aplicável às organizações externas que fornecem serviços de gestão de incidentes de segurança da informação.

Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser executado o monitoramento e a detecção dos incidentes?

Como deve ser feita a validação de dados de fonte externa?

Quais são as fases da notificação e do relatório de incidente interno?

Quais são as operações de triagem de incidentes?

Um incidente de segurança da informação pode ou não envolver TIC. Por exemplo, informações que se espalham involuntariamente por meio da perda de documentos em papel podem muito bem ser um incidente grave de segurança da informação, o que requer relatórios, investigações, contenções, ações corretivas e envolvimento da direção. Este tipo de gestão de incidentes geralmente é realizado, por exemplo, pelo CISO (Chief Information Security Officer) dentro da organização.

As orientações sobre a gestão de incidentes de segurança da informação podem ser encontradas na ISO/IEC 27035-1. Este documento, entretanto, considera apenas operações de resposta a incidentes relacionados à TIC, e não a incidentes de segurança da informação relacionados aos documentos em papel ou quaisquer outros incidentes não relacionados à TIC.

Sempre que o termo segurança da informação é usado neste documento, isso é feito no contexto da segurança da informação relacionada às TIC. As estruturas organizacionais para segurança da informação variam de acordo com o porte e o campo comercial das organizações. À medida que vários e numerosos incidentes ocorrem e estão aumentando (como incidentes na rede, por exemplo, intrusões, violações de dados e hackers), preocupações maiores com a segurança da informação são levantadas pelas organizações.

Convém que um ambiente seguro de TIC, configurado para suportar vários tipos de ataques (como DoS, worms e vírus) com equipamentos de segurança de rede, como firewalls, sistemas de detecção de intrusões (IDS) e sistemas de prevenção de intrusões (IPS), seja complementado com procedimentos operacionais claros para tratamento de incidentes, juntamente com estruturas de relatórios bem definidas dentro da organização.

Para assegurar a confidencialidade, a integridade e a disponibilidade da informação e para lidar eficientemente com incidentes, são necessários recursos para realizar operações de resposta a incidentes. Para este fim, convém que uma equipe de resposta a incidentes de segurança de computadores (ERISC) seja estabelecida para executar tarefas como atividades de monitoramento, detecção, análise e resposta para dados coletados ou eventos de segurança.

Estas tarefas podem ser auxiliadas por ferramentas e técnicas de inteligência artificial. Este documento suporta os controles da NBR ISO/IEC 27001:2013, Anexo A, relacionados à gestão de incidentes.

Nem todas as etapas deste documento são aplicáveis, pois dependem do incidente específico. Por exemplo, uma organização menor pode não usar todas as orientações deste documento, mas elas podem ser úteis para a organização de suas operações de incidentes relacionadas às TIC, especialmente se estiver operando o seu próprio ambiente de TIC.

Também podem ser úteis para as organizações menores que terceirizaram suas operações de TI para entender melhor os requisitos e a execução de operações de incidentes que convém que eles esperem de seus fornecedores de TIC. Este documento é particularmente útil para aquelas organizações que fornecem serviços de TIC que envolvem interações entre organizações de operações de incidentes, a fim de seguir os mesmos processos e termos.

Este documento também fornece uma melhor compreensão de como as operações de incidentes se relacionam com os usuários/clientes, a fim de determinar quando e como convém que essa interação ocorra, mesmo que isso não seja especificado. A ISO/IEC 27035-1:2016 abrange as cinco fases principais a seguir para a gestão de incidentes de segurança da informação: planejamento e preparação; detecção e geração de relatórios; avaliação e decisão; respostas; e lições aprendidas.

A ISO/IEC 27035-2:2016 abrange duas dessas cinco fases em detalhes, isto é, planejamento e preparação e lições aprendidas. Este documento abrange as três fases restantes em detalhes. Estas três fases restantes são coletivamente chamadas de operações de resposta a incidentes, que são o foco deste documento.

As disposições deste documento são baseadas nas fases detecção geração de relatórios, avaliação e decisão e respostas do modelo fases de gestão de incidentes de segurança da informação, apresentadas na ISO/IEC 27035-1. Coletivamente, estas fases são conhecidas como processo de operação de resposta a incidentes.

As fases do processo de operação de resposta a incidentes (que são detecção e geração de relatórios, avaliação e decisão e respostas, conforme estipulado na ISO/IEC 27035-1) incluem o seguinte: operações para identificação de incidentes; operações para avaliação e qualificação de incidentes; operações para coleta de inteligência de ameaças; operações para contenção, erradicação e recuperação de incidentes; operações para análise de incidentes; operações para geração de relatórios de incidentes.

O escopo da resposta a incidentes é determinado na ISO/IEC 27035-1. Convém que as operações de resposta a incidentes sejam vistas como um processo de negócios que permite que uma organização permaneça nos negócios. Especificamente, um processo de operação de resposta a incidentes é uma coleção de procedimentos destinados a identificar, responder e investigar possíveis incidentes de segurança de uma maneira que minimize o seu impacto e apoie a recuperação rápida.

A ISO/IEC 27035–1 mostra as cinco fases da gestão de incidentes de segurança da informação, como planejamento e preparação, detecção e geração de relatório, avaliação e decisão, respostas e lições aprendidas. Como mencionado anteriormente, este documento se concentra em um processo de operação de resposta a incidentes. Este processo pode ser caracterizado por um ciclo de vida de operações de resposta a incidentes, representado pelas fases internas (detecção, notificação, triagem, análise, resposta e geração de relatórios). Estas são representadas com mais detalhes na figura abaixo.

O ciclo de vida das operações de resposta a incidentes (detecção, notificação, triagem, análise, resposta e geração de relatório) pode ser mapeado para a ISO/IEC 27035-1, em cinco fases da gestão de incidentes de segurança da informação (planejamento e preparação, detecção e geração de relatórios, avaliação e decisão, respostas e lições aprendidas), conforme mostrado na tabela abaixo.

Os incidentes podem ocorrer de várias maneiras, e não é prático definir todos os incidentes e preparar o manual de resposta para cada tipo de incidente. Entretanto, existem tipos/fontes de ataque comuns que uma organização geralmente encontra e, portanto, convém que esteja preparada para lidar com esses ataques com eficiência.

Convém que os critérios sejam definidos para incidentes de segurança, de acordo com a importância (prioridade) das informações e sistemas de informação, impacto de cada incidente, escala de danos, classificação de alarmes e sua gravidade. Ver Anexo A para exemplos destes critérios.

A seguir, é apresentada uma lista não exaustiva de tipos/estímulos comuns de ataque que podem ser usados como base para definir procedimentos de tratamento de incidentes: mídia externa/removível: um ataque executado a partir de mídia removível (por exemplo, pen drive, CD) ou de um dispositivo periférico; atrito: um ataque que emprega métodos de força bruta para comprometer, degradar ou destruir sistemas, redes de relacionamento ou serviços (por exemplo, um DDoS destinado a prejudicar ou negar o acesso a um serviço ou aplicativo; um ataque de força bruta contra um mecanismo de autenticação, como senhas, CAPTCHAS ou assinaturas digitais); web: um ataque executado a partir de um website ou aplicativo baseado na web (por exemplo, um ataque de script entre sites usados para roubar credenciais ou redirecionar para um site que explore a vulnerabilidade do navegador e instale malware); e-mail: um ataque executado por meio de uma mensagem ou anexo de e-mail (por exemplo, código de exploração disfarçado de documento anexado ou um link para um site mal-intencionado no corpo de uma mensagem de e-mail).

Também inclui a interdição da cadeia de suprimentos: ataque antagônico aos ativos de hardware ou software que utilizam implantes físicos, cavalos de Troia ou backdoors, interceptando e modificando um ativo em trânsito pelo fornecedor ou varejista; representação: um ataque envolvendo a substituição de algo benigno por algo malicioso (por exemplo, falsificação, ataques intermediários, pontos de acesso sem fio não autorizados e ataques de injeção de SQL, todos envolvendo representação); uso impróprio: qualquer incidente resultante da violação das políticas de uso aceitável de uma organização por um usuário autorizado, excluindo as categorias acima (por exemplo, um usuário instala um software de compartilhamento de arquivos, levando à perda de dados confidenciais; ou um usuário executa atividades ilegais em um sistema); perda ou roubo de equipamento: a perda ou roubo de um dispositivo ou mídia de computação usado pela organização, como laptop, smartphone ou token de autenticação; outros: um ataque que não se encaixe em qualquer dessas categorias.

Ver o NIST Computer Security Incident Handling Guide 1 para obter mais diretrizes de classificação de incidentes e vetores de ataque. Um incidente compreende um ou vários eventos de segurança da informação relacionados que podem prejudicar os ativos de uma organização ou comprometer as suas operações, onde um evento de segurança da informação compreende uma ou várias ocorrências indicando uma possível violação ou falha dos controles de segurança da informação.

As operações de detecção de incidentes requerem que haja um ponto de contato (PoC) para receber informações e uma metodologia estabelecida para a equipe detectar eventos de segurança da informação. A detecção é importante porque inicia as operações de resposta a incidentes. O PoC é o papel ou a função organizacional que serve como o coordenador ou ponto focal das atividades da operação de incidentes.

Um evento de segurança da informação é relatado pelo Usuário/Fonte de alguma maneira, conforme mostrado na ISO/IEC 27035-1:2016, Figura 4. O principal objetivo do PoC é assegurar que um evento seja relatado o mais rápido possível à organização, para que o evento possa ser tratado com eficiência. Um fator crítico de sucesso é que o PoC possui as habilidades necessárias para determinar se um evento é realmente um evento relacionado à TIC e se o PoC é capaz de descrever o evento.

Convém que o evento então seja tratado posteriormente por um PoC e depois transferido para as operações de resposta a incidentes. A organização de um PoC pode ser diferente, dependendo do tamanho e da estrutura da organização, bem como da natureza dos negócios. Isso pode afetar como as operações de incidentes são informadas sobre o evento.