Encontro de Auditores 2011

Transcrição

1 eicnews Boletim Digital da EIC - Empresa Internacional de Certificação Distribuição Gratuita AGOSTO 11 NÚMERO 11 Consulte o nosso website ÍNDICE Destaque 01 Informação EIC 02 Os Nossos Clientes 08 Empresas Certificadas 09 DESTAQUE Encontro de Auditores 2011 Como acontece todos os anos, decorreu em Maio o 12.º Encontro de Auditores da EIC. Desta vez, o local escolhido foi Setúbal, no Hotel do Sado, o que nos permitiu, para além da abordagem técnica às questões da certificação que o Encontro justifica, desfrutar da magnífica vista sobre a cidade e o estuário do rio Sado. Este Encontro permitiu, mais uma vez, a troca de impressões e experiências que só um encontro ao vivo permite, essencial para harmonizar os critérios e a capacidade de realização de auditorias que os nossos auditores têm necessariamente que possuir para poderem desempenhar o seu papel junto dos nossos clientes com eficácia e transmitir valor acrescentado. O programa do Encontro esteve centralizado, para além do balanço correspondente à década de actividade da EIC, na abordagem das principais dificuldades sentidas na utilização da aplicação da Intranet pelos auditores, na actuação das equipas auditoras e nas melhorias a introduzir na realização das auditorias, tendo ainda sido abordados aspectos relacionados com a norma de Segurança e Saúde no Trabalho. Durante a tarde de 6.ª-feira, foi ainda fomentado o espírito de equipa e o trabalho em grupo através da participação dos auditores na realização de pequenos filmes ilustrando histórias conhecidas, aproveitando a magnífica localização do hotel. Após o jantar, foi mesmo possível realizar uma cerimónia ao estilo hollywoodesco para a entrega dos óscares aos melhores desempenhos da tarde e que homenageou aqueles que consideramos os melhores auditores do país! EDITORIAL E aconteceu. Não se sabe se devido ao escândalo ligado ao wikileaks, ou por outro motivo qualquer, mas a tendência tornou-se óbvia e crescente no mundo: cada vez mais gerir e proteger a informação, tornou-se não só uma necessidade como uma actividade nuclear para as organizações. Atenta a este facto a ISO desenvolveu duas Normas para dar resposta a este desafio. Sistemas de Gestão de Informação, ISO 20000, e a Protecção dos Sistemas de Informação, ISO Normas, nomeadamente as ISO corporizam soluções consideradas eficazes por um enorme conjunto de peritos e de quase todos aos países do mundo, pelo que são uma boa solução técnica para a resolução daquele tipo de questões. Informação é poder. Nas últimas décadas os sistemas de informação multiplicaram-se. Hoje a generalidade das empresas dispõe de sistemas de informação mais ou menos poderosos para responder às solicitações dos mercados onde actuam. Com a multiplicação deste tipo de sistemas surge a necessidade de os gerir de forma eficaz e proteger a informação que contêm. A necessidade de certificar estas soluções, a que se dá ênfase neste número da nossa newsletter, vai de encontro à necessidade de evidenciar perante os clientes os compromissos das organizações em cumprir os requisitos do negócio e dos clientes e/ou de zelar de forma sistémica pela informação que lhes é confiada. Qualquer destes dois tipos de certificação tem tido uma aceitação crescente, sendo já, parte integrante de muitos cadernos de encargos em vários países da Europa. Para o caso da 27000, por exemplo, o crescimento a nível mundial foi segundo o ISO Survey de mais de 40%, ultrapassando os certificados no fim de A EIC, como sempre, pretende manter-se ao lado dos clientes pelo que oportunamente solicitou a sua Acreditação junto dos organismos responsáveis, quer para uma quer para outra Norma de referência. Design Cempalavras ÚLTIMA LISTA DE EMPRESAS CERTIFICADAS A EIC dá a conhecer as empresas que se certificaram mais recentemente. (Página 09) MANUEL VIDIGAL Comissão Executiva da EIC

2 EICNEWS 11 PÁGINA 02 INFORMAÇÃO EIC Testemunho Directo O meu nome é Alexandra Martinez, trabalho na EIC há 8 anos. Para dizer a verdade, a certificação era para mim um tema quase desconhecido, uma vez que, apesar de ter tido trabalhos temporários desde a faculdade, nenhum deles era relacionado com esta área! A não ser o último Aliás, foi assim que entrei pela primeira vez na EIC, ainda na Quinta do Marquês, em Oeiras! Dois dias a atender telefonemas, porque estavam todos na Feira da Certificação no Porto! E eu ali, sozinha! A rezar para que ninguém ligasse, porque tinha medo que me fizessem perguntas a que eu não soubesse responder! Mas correu bem! Pouco tempo depois, através da minha amiga de faculdade e agora colega de carteira (Susana Neto), fui convidada para colaborar com a equipa da EIC, na altura com 6 pessoas. O meu percurso começou com a elaboração de propostas, posteriormente deu-se contacto com os auditores. Neste momento, o meu trabalho passa, em grande parte, pelo contactos com os clientes, na manutenção dos processos, na aplicação de sanções, e na gestão das auditorias (marcação\realização). Confesso que, no que diz respeito a clientes, o que menos gosto de fazer é suspender processos, independentemente da razão pela qual o tenha de fazer. Mas alguém tem de o fazer! O que eu mais gosto no meu trabalho é a gestão da Bolsa de Auditores. Se em tempos foi uma tarefa difícil, hoje o contacto com os nossos Auditores da Bolsa é um prazer. Não quer isto dizer que seja uma relação fácil, como qualquer relação. Tem altos e baixos. Mas temos futuro! Só trabalhando na EIC, ou passando um dia connosco, é que dá para perceber o espírito de equipa que existe. Confesso que, às vezes, no open space, entre colegas atingimos alguns picos de loucura, mas sempre muito saudável! E acaba por dar uma dinâmica incrível, para resolver o que quer que seja! E Eu? Bem, esta é a parte difícil. Tenho 34 anos, sou licenciada em Economia. Vivo desde Novembro em Alfornelos, com o meu namorado e os nossos peixes. Apesar de já não estar em casa dos meus pais, estou com eles sempre que posso. Como digo tantas vezes, eles são as minhas pernas! Para mim, a família é a minha parede mestra, com todas as suas virtudes e defeitos; cada elemento dela é uma peça fundamental quer na minha pessoa quer nas minhas decisões. As minhas paixões? São os meus sobrinhos (não deve haver auditor nenhum que não me tenha ouvido falar neles!). O Jorge, com 11 anos, e o Tomás, com 6 anos. Posso dizer que, se nunca tiver filhos, sinto-me completamente realizada com os meus sobrinhos que, no caso do Jorge, vi nascer! Sou uma tia muito babada. Nos meus tempos livres, para descontrair, gosto de ler um romance ou um livro sobre história, dar uma volta na praia, ou simplesmente andar de carro, com a janela aberta para sentir o vento na cara. Resumindo, acho que sou uma pessoa fácil de lidar, sou o mais verdadeira que consigo, sou amiga do meu amigo, faço os possíveis para ter à minha volta um bom ambiente e não gosto de conflitos. Para concluir Não gosta de mim!!! Não gosta do que eu digo!!! Não gosta do que eu faço!!!! Liga para a minha consciência, para ver se ela atende!!! Alexandra Martinez / EIC ACONTECEU EM AUDITORIA Foi há muito, muito tempo, mesmo antes de existir a EIC ou as outras entidades de certificação que hoje conhecemos! Na altura, davam-se aqueles que podemos considerar os primeiros passos da certificação em Portugal, ainda centralizada no Instituto Português da Qualidade. Na realidade, já não eram exactamente os primeiros passos, talvez fossem os segundos ou os terceiros... Já se equiparavam as nossas metodologias com as de organismos estrangeiros, já se recebia a visita de auditores estrangeiros para analisarem os nossos processos. Foi precisamente durante a visita de um auditor dinamarquês que estava programada a realização de uma auditoria a uma empresa (pertencente a um grupo estrangeiro), na zona de Aveiro. Éramos umas cinco pessoas, ao todo, entre equipa auditora, auditor estrangeiro e acompanhantes (em que eu me incluía). A auditoria estava marcada para começar pelas 9 da manhã. Por essa hora, apresentámo-nos na recepção da empresa, tendo sido informados de que o director ainda não tinha chegado, pelo que nos pediram para esperar. A sala da recepção era uma sala média, com um pequeno balcão envidraçado onde se encontrava a senhora que fazia simultaneamente as funções de recepcionista e telefonista. E ficámos à espera... Após alguns minutos, a dita senhora levantou-se de repente, saiu de detrás do balcão, abriu os braços e aproximou-se de nós, como que empurrando- -nos contra a parede lateral do compartimento!! Num tom que não chegou a ser de ameaça, disse: Deixem passar o Senhor Director!... E o Senhor Director passou... O resto do dia correu normalmente, sem justificar qualquer registo nesta história. A seguir, estivemos na reunião inicial da auditoria com o Sr. Director... Mas nunca esqueci aquele início de auditoria. Tenho pensado muitas vezes se o que contribuiu para aquela situação teve a ver com as relações hierárquicas dentro da empresa (e com a atitude de submissão do trabalhador na base da pirâmide para com o representante do topo) ou com a forma como a qualidade é, por vezes, considerada como algo de secundário. Também me questiono se, hoje em dia, a mesma situação se poderia repetir. E não tenho resposta (ou será que a resposta não é aquela de que eu gostaria...?). Rogério Marques / EIC

3 EICNEWS 11 PÁGINA 03 A Segurança da Informação e a Norma ISO/IEC 27001:2005 INFORMAÇÃO EIC É cada vez mais comum, pelas reconhecidas vantagens práticas, a adopção de sistemas de gestão integrados, pela aplicação conjunta de vários referenciais e metodologias. Esta perspectiva torna-se perfeitamente aplicável no campo da segurança da informação, já que, para além do seu alinhamento com as Normas NP EN ISO 9001:2008 (Sistemas de Gestão da Qualidade) e NP EN ISO 14001:2004 (Sistemas de Gestão Ambiental), a ISO/IEC 27001:2005 também se encontra alinhada com outros referenciais normativos, metodologias e especificações de boas práticas, tais como a ISO/IEC Sistemas de gestão de serviços de tecnologias da informação (referencial normativo também certificável, actualmente na versão de 2011), o ITIL (Information Technology Infrastructure Library, actualmente na versão 3) e o COBIT (Control OBjectives for Information and related Technology, actualmente na versão 4.1). Como referência (para além de outras normas mais direccionadas para áreas específicas) são de salientar, neste contexto, dentro da família ISO/IEC 27000, as seguintes: n ISO/IEC 27000: Estabelece o enquadramento geral e a terminologia utilizada nas restantes normas da família ISO/IEC n ISO/IEC 27001: Especifica os requisitos para sistemas de gestão de segurança da informação. No contexto da sociedade dita da informação, tornou-se preocupação crescente das organizações, a adequada protecção dos seus activos de informação, face ao seu valor e impacto no negócio. Assim, num contexto em que a redução de custos e a eficácia são preocupações constantes, tornou-se fundamental, para as organizações, optimizar a forma de trabalhar no dia-a-dia, garantindo a protecção eficaz dos seus activos de informação, dando confiança a todas as partes intervenientes no negócio, quer a nível de processos internos, quer, principalmente, quando a segurança da informação é um factor crítico, ou faz parte do próprio negócio. Neste âmbito, a implementação de um sistema de gestão da segurança da informação como ferramenta de trabalho, tendo o reconhecimento, por parte de um organismo independente, da conformidade das práticas adoptadas, face a um referencial reconhecido e aceite a nível internacional, torna-se uma evidente mais-valia. Surge, assim, a certificação de sistemas de gestão da segurança da informação, pelo referencial ISO/ IEC 27001:2005. Sendo um referencial aplicável a sistemas de gestão, a Norma ISO/IEC 27001:2005 adopta uma abordagem por processos baseada no Ciclo de Deming (PDCA), comum a outros sistemas de gestão, numa perspectiva de evolução dinâmica controlada e adaptativa (melhoria contínua), com vista à optimização do desempenho do sistema e do próprio negócio da organização e, em última instância, à satisfação dos seus clientes. A implementação de sistemas de gestão baseados nos requisitos desta Norma, permite às organizações estabelecer mecanismos de protecção eficaz da informação, mediante uma análise de riscos, tendo em conta ameaças, vulnerabilidades e impactos e a aplicação sistemática de um conjunto de controlos, com vista a garantir a disponibilidade dos activos e a continuidade do negócio. n ISO/IEC 27002: Estabelece um conjunto de boas práticas referentes à gestão da segurança da informação, úteis para a implementação de sistemas de gestão baseados nos requisitos da Norma ISO/IEC n ISO/IEC 27003: Guia de implementação de sistemas de gestão de segurança da informação. n ISO/IEC 27004: Medição em gestão de segurança da informação. n ISO/IEC 27005: Gestão de riscos de segurança da informação. n ISO/IEC 27006: Requisitos para organismos de auditoria e certificação de sistemas de gestão de segurança da informação. Nuno Brás / Auditor EIC

4 EICNEWS 11 PÁGINA 04 INFORMAÇÃO EIC A NORMA ISO/IEC e o seu esquema de qualificação e certificação Gestão de Serviços de TI A Gestão de Serviços de TI é um factor crítico de sucesso para as organizações de TI (Tecnologias de Informação), quer sejam Departamentos de Informática de grandes organizações que prestam serviços de TI para outros Departamentos, quer sejam empresas que prestam serviços de TI para clientes externos, tais como o apoio técnico e aplicacional (service desk), data centers, serviços de comunicações e dados ou mesmo a gestão e manutenção de aplicações informáticas. Na época actual, onde cada vez mais organizações recorrem aos serviços de cloud computing ou mesmo ao SasS (Software as a Service) torna-se fundamental ter implementado, mantido e continuamente melhorado um Sistema de Gestão de Serviços de TI por gestores e técnicos de TI qualificados e certificados internacionalmente, garantindo a aquisição e o reconhecimento das competências necessárias para a qualidade do serviço prestado. O framework utilizado por centenas, das maiores e melhores, organizações de TI e reconhecido internacionalmente para a Gestão de Serviços de TI é o ITIL (IT Infrastructure Library). O ITIL contém os fundamentos básicos da qualidade na Gestão de Serviços de TI, apresentados e descritos num conjunto de livros abrangendo todo o ciclo de vida do serviço. História da norma ISO/IEC A primeira versão da norma foi publicada em 2000 pela BSI (The British Standards Institution) com a designação de BS 15000, tendo posteriormente sido revista e republicada numa versão muito próxima da actual, em Em 2005, a ISO publicou a norma ISO/IEC , tendo sido recentemente editada a versão 2011, contendo a especificação de requisitos para a certificação de um Sistema de Gestão de Serviços de TI, completamente alinhado com o ITIL. A forma como o ITIL e a norma ISO/IEC estão alinhados pode ser representada pela seguinte figura. n Target for achivement n Explanatory guidance of the standard PART 1 Specification PART 2 Code of Practice Formal Standard ISO/IEC O ITIL constitui um conjunto de guias de orientação para a implementação dos requisitos mandatórios para a certificação de Sistemas de Gestão de Serviços de TI, constantes na norma ISO/IEC O itsmf (IT Service Management Forum) desenvolveu e implementou um esquema de certificação da norma ISO/IEC , reconhecido por mais de 60 países. O esquema de certificação pressupõe a existência de um conjunto de profissionais qualificados e certificados para prestarem serviços de formação, consultoria e auditoria de certificação. Em 2010 o itsmf vendeu o esquema de certificação à APMG-International, entidade acreditadora internacionalmente reconhecida. Actualmente a ISO/IEC é uma série de normas composta pelas seguintes partes: n ISO/IEC :2011 Specification; Contem a especificação de requisitos de um Sistema de Gestão de Serviços de TI, vulgarmente apresentados como os Shall s n ISO/IEC :2005 Code of Practice; Contem um conjunto de recomendações e orientações para a melhoria contínua do Sistema de Gestão de Serviços de TI, vulgarmente apresentados como os Should s. n ISO/IEC TR :2009 Guidance on scope definition and applicability; Apresenta orientações para o estabelecimento da aplicabilidade e âmbito de um Sistema de Gestão de Serviços de TI. n ISO/IEC TR : Process reference model; Descreve o modelo de avaliação de processos, de acordo com a norma ISO/IEC n Best practice guidance n Implementation and Improvement plans ITIL Your Own Policies, Processses & Procedures n ISO/IEC TR : Exemplar implemen - tation plan for ISO/IEC ; Apresenta o exemplo de um plano de implementação de um Sistema de Gestão de Serviços de TI de acordo com a norma ISO/IEC Pode ser utilizado também como guia de orientação para a melhoria contínua de um Sistema de Gestão de Serviços de TI.

5 EICNEWS 11 PÁGINA 05 INFORMAÇÃO EIC (CONT.) A norma ISO/IEC :2011 A norma ISO/IEC :2011 promove a adopção de uma abordagem integrada por processos, num ciclo de melhoria contínua, para a prestação efectiva de serviços, geridos de forma a cumprir os requisitos do negócio e dos clientes. n Business Requirements n Customer Requirements n Request for new or changed service n Other processes e.g. business, supplier, customer n Service Desk n Other teams e.g. Segurity, IT Operations MANAGE SERVICES MANAGEMENT RESPONSIBILITY PLAN A norma tem a seguinte estrutura: n Introduction n 1 Scope; n 2 Normative references; n 3 Terms and definitions; n 4 Service management system general requirements; n 5 Design and transition of new or changed services; n 6 Service delivery processes; n 7 Relationship processes; n 8 Resolution processes; n 9 Control processes. Os requisitos gerais do Sistema de Gestão de Serviços de TI (4), incluindo as políticas e a abordagem que permite a gestão e implementação efectiva de todos os serviços de TI, compreendem os seguintes requisitos, comuns a outros Sistemas de Gestão: n Responsabilidade da Gestão; n Identificação dos processos realizados por outras partes, nomeadamente fornecedores e sub-fornecedores; n Gestão da Documentação; n Gestão de Recursos; n Estabelecimento e melhoria do Sistema de Gestão, incluindo a declaração de âmbito; n Auditoria Interna n Revisão pela Gestão; n Manutenção e melhoria do Sistema de Gestão. DO ACT A Concepção e Implementação de novos serviços ou alteração de serviços existentes (5) estabelece um conjunto de requisitos tendo em vista assegurar que os serviços serão prestados e geridos de acordo com os custos e qualidade acordados com o Cliente. CHECK n Business Results n Customer Satisfaction n New or changed Service n Other processes e.g. business, supplier, customer n Team and people Satisfaction O conjunto de processos agrupados no requisito 6 Service Delivery Process, são os seguintes: n 6.1 Service level management. Tem como objectivo definir, acordar, registar e gerir os níveis de serviço. n 6.2 Service reporting. Tem como objectivo produzir relatórios, para tomada de decisão e comunicação efectiva, de acordo com os prazos, conteúdos, precisão acordados com o cliente. n 6.3 Service continuity and availability management. Tem como objectivo garantir que a continuidade e disponibilidade dos serviços acordada com os Clientes pode ser cumprida em todas as circunstância. n 6.4 Budgeting and accounting for services. Tem como objectivo orçamentar e custear os serviços prestados. n 6.5 Capacity management. Tem como objectivo assegurar que a organização tem, sempre, capacidade suficiente para alcançar a procura acordada, actual e futura, das necessidades de negócio dos Clientes.

6 EICNEWS 11 PÁGINA 06 INFORMAÇÃO EIC (CONT.) n 6.6 Information security management. Gerir a segurança de informação efectivamente dentro de todas as actividades do serviço. Recomenda-se adoptar os requisitos da norma ISO/IEC na implementação deste requisito. O conjunto de processos agrupados no requisito 7 Relationship processes, são os seguintes: n 7.1 Business relationship management. Tem como objectivo estabelecer e manter um bom relacionamento entre a Organização Prestadora de Serviços e o Cliente, baseado na compreensão do seu negócio. Inclui os processos de gestão de reclamações e avaliação da satisfação de clientes. n 7.2 Supplier management. Tem como objectivo gerir fornecedores para garantir o fornecimento de serviços com qualidade uniforme. A selecção e avaliação de fornecedores está fora do âmbito deste processo. O conjunto de processos agrupados no requisito 7 Relationship processes, são os seguintes: n 7.1 Business relationship management. Tem como objectivo estabelecer e manter um bom relacionamento entre a Organização Prestadora de Serviços e o Cliente, baseado na compreensão do seu negócio n 7.2 Supplier management. Tem como objectivo gerir fornecedores para garantir o fornecimento de serviços com qualidade uniforme. O conjunto de processos agrupados no requisito 8 Resolution processes, são os seguintes: n 8.1 Incident and service request management. Tem como objectivo restaurar os serviços acordados logo que possível ou responder a pedidos de serviço. n 8.2 Problem management. Tem como objectivo minimizar a interrupção de serviço através da identificação pró-activa e análise das causas dos incidentes e gerindo os problemas até ao seu encerramento. O conjunto de processos agrupados no requisito 9 Control processes, são os seguintes: n 9.1 Configuration management. Tem como objectivo definir e controlar os componentes do serviço e infra-estrutura e manter actualizada a informação de configuração. n 9.2 Change management. Tem como objectivo garantir que todas as alterações são avaliadas, aprovadas, implementadas e revistas de forma controlada. n 9.3 Release and deployment management. Tem como objectivo planear, desenvolver e implementar as alterações. O Esquema de Qualificação ISO da APMG-International O esquema de qualificação ISO 20000, desenvolvido e gerido pela APMG-International e prestado por entidades formadoras acreditadas, destina-se a profissionais na área dos Sistemas de Gestão de Serviços de TI, tradicionalmente responsáveis pela qualidade das organizações de TI ou por consultores e auditores no mercado da certificação. O esquema de qualificação ISO é composto pelos seguintes níveis: Foundation, Consultor e Auditor. ISO Foundation Este nível de qualificação destina-se a actuais e futuros responsáveis e/ou participantes na Gestão de Serviços de TI que pretendam aperfeiçoar e/ou vir a certificar os seus conhecimentos nesta área, nomeadamente na norma ISO/IEC O nível de qualificação obtém-se pela frequência num curso acreditado com uma duração de 3 dias e pela realização de um exame de 60 minutos com perguntas de escolha múltipla. O curso permite adquirir conhecimentos em Gestão da Qualidade no contexto da norma ISO/IEC 20000, e Serviços de TI e os conceitos nucleares da norma ISO/IEC 20000, abrangendo a parte 1 da norma em detalhe assim como o esquema de certificação. Não existem pré-requisitos para frequentar este curso. Contudo é recomendável ter conhecimentos básicos sobre a gestão de serviços de TI. ISO Pratitioner Este nível de qualificação destina-se a Gestores de Serviços de TI com experiência que pretendam aperfeiçoar e/ou vir a certificar os seus conhecimentos nesta área, e que tenham por missão a implementação de um Sistema de Gestão de Serviços de TI de acordo com a norma ISO/20000 e a candidatos a Auditor interno ou externo na norma ISO/IEC 20000, com o objectivo de realizar posteriormente o curso ISO for Auditors. O nível de qualificação obtém-se pela frequência num curso acreditado com uma duração de 3 dias e pela realização de um exame de 120 minutos com perguntas de escolha múltipla e perguntas de desenvolvimento sobre a gestão de serviços de TI. O curso permite adquirir conhecimentos na norma ISO e no processo associado de certificação pelo itsmf, adquirir conhecimentos para realizar Assessment em organizações que pretendem iniciar o seu processo de implementação da ISO e realizar consultoria em organizações que pretendem certificar-se na norma ISO Os pré-requisitos para frequentar este curso são 5 anos de experiência relevante em TI e ter o certificado ITIL Foundation ou ISO Foundation. O nível ISO Consultor será substituído pelo nível ISO Practioner durante O novo nível dará mais ênfase à componente de implementação do sistema de gestão de serviços de TI. ISO Auditor Este nível tem como objectivo preparar auditores para a realização de auditorias ISO 20000, quer internas, quer externas para as Entidades Certificadoras. Apresenta uma abordagem estruturada da norma ISO/IEC 20000, a norma de Gestão de Serviços de TI e o esquema de certificação do itsmf. Tem como destinatários os Auditores certificados ISO 9001, ISO ou TickIT que pretendam realizar auditorias internas ISO e/ou que pretendam alcançar a certificação Auditor ISO Esta qualificação tem como pré-requisitos a experiência de pelo menos 3 anos de Gestão de Serviços de TI e cumulativamente a certificação de auditor ISO 9001, ou TickIT ou a certificação como Auditor interno. É obtida através da frequência num curso acreditado pelo itsmf com a duração de 2 dias e pela realização com sucesso de um exame de 60 minutos com perguntas de escolha múltipla. A certificação ISO/IEC A certificação ISO/IEC surgiu primeiro no Reino Unido como consequência das certificações existentes BS Rapidamente se estendeu a todo o mundo aquando da adopção pela ISO. Neste momento existem 637 empresas certificadas em todo o mundo, de acordo com o esquema de certificação da APMG-International. No Japão existem 98 empresas certificadas, 57 no Reino Unido, 52 na Índia, 44 na Coreia do Sul, 40 nos EUA, 21 na República Checa, 19 na Suíça, 5 em Portugal e as restantes 301 certificações distribuídas por 44 Países. Mário Lavado / Partner OnlyConcept Auditor Coordenador ISO 9001, ISO e ISO 20000

7 EICNEWS 11 PÁGINA 07 INFORMAÇÃO EIC Ferramentas / Metodologias de Gestão na Administração Pública e a Relação com a Norma ISO 9001 (PARTE 3 SIADAP Sistema Integrado de Gestão e Avaliação do Desempenho na Administração Pública) Com a Lei nº66-b/2007 foi instituído o sistema integrado de gestão e avaliação do desempenho na Administração Pública (SIADAP) com aplicação ao desempenho dos serviços públicos, dos respectivos dirigentes e demais trabalhadores, permitindo articular os desempenhos dos serviços e das pessoas que neles trabalham com o sistema integrado de gestão e avaliação do desempenho na Administração Pública (SIADAP) com aplicação ao desempenho dos serviços públicos, dos respectivos dirigentes e demais trabalhadores, permitindo articular os desempenhos dos serviços e das pessoas que neles trabalham. O sistema integra três componentes: n O Subsistema de Avaliação do Desempenho dos Serviços da Administração Pública (SIADAP 1); n O Subsistema de Avaliação do Desempenho dos Dirigentes da Administração Pública (SIADAP 2); n O Subsistema de Avaliação do Desempenho dos Trabalhadores da Administração Pública (SIADAP 3). O SIADAP tem aplicação universal, isto é, a toda a administração pública (central, regional e autárquica), prevendo mecanismos de flexibilidade e adaptação às especificidades dos serviços públicos, das carreiras e das áreas funcionais pessoal e das exigências de gestão. Se se considerar que a ISO 9001, é a norma de referência na implementação de um sistema de gestão da qualidade num serviço público, então, deverão ser consideradas as fronteiras comuns com o SIADAP. Basta fazermos uma passagem pela Lei nº66 para que fiquem salientados interfaces com a ISO 9001: Foi criada uma plataforma tecnológica, o GEADAP para operacionalizar o SIADAP 123 e ser utilizada pelos Serviços, Dirigentes e demais Trabalhadores da Administração Pública. Fonte Folheto da CAF DGAEP Esta pequena análise não pretende ser exaustiva mas apenas deixar à reflexão dos vários actores dos sistemas da qualidade (auditores, consultores/ formadores, auditados e outros interessados) a pertinência de considerar requisitos legais associados à gestão como relevantes na implementação da ISO 9001 em organismos público. Bibliografia: Lei 66-B/2007; José Sousa / Auditor EIC index.cfm?objid=83ddd db-b137-6a732c8c NP EN ISO 9001:2008 Lei nº66 ISO 9001 Art 7º - O SIADAP articula -se com o sistema de planeamento de cada ministério, constituindo um instrumento de avaliação do cumprimento dos objectivos estratégicos plurianuais determinados superiormente e dos objectivos anuais e planos de actividades, baseado em indicadores de medida dos resultados a obter pelos serviços Art 52º - 1 A avaliação do desempenho individual tem, designadamente, os seguintes efeitos: a) Identificação de potencialidades pessoais e profissionais do trabalhador que devam ser desenvolvidas; b) Diagnóstico de necessidades de formação; c) Identificação de competências e comportamentos profissionais merecedores de melhoria; d) Melhoria do posto de trabalho e dos processos a ele associados; Art. 79º A informação relativa à aplicação do SIADAP é publicitada, nos termos da presente lei, na página electrónica do serviço e, caso não exista, os documentos com tal informação são publicitados por afixação em local adequado ou são objecto de livre acesso em local publicamente anunciado. n Requisito 5.4 (Planeamento) n Requisito (Competência, formação e consciencialização) n Requisito (melhoria contínua) n Requisito (Comunicação interna)

8 EICNEWS 11 PÁGINA 08 CLARANET OS NOSSOS CLIENTES Fundada em 1996, a Claranet evoluiu organicamente de um ISP para um Managed Services Provider O que levou a CLARANET a optar pela certificação pelos referenciais de Gestão da Qualidade e Gestão da Segurança da Informação? A Claranet definiu, há cerca de 3 anos, uma estratégia de adopção das melhores práticas da indústria no que respeita à prestação de serviços de TI e de telecomunicações. Nesse sentido, adoptou em 2008 a framework ITIL e decidiu, em 2009, dar mais um passo, adoptando as normas ISO 9001 e ISO Tratou-se de uma evolução natural para a empresa, com o objectivo de consolidar a melhoria da sua gestão e de dar ainda maior confiança aos seus clientes. A norma ISO 27001, em particular, é também fundamental, no mercado em que se insere a Claranet, para a distinção relativamente à concorrência e para permitir que a empresa abrace projectos de maior dimensão. Como decorreu o percurso que conduziu à implementação do sistema e à fase de certificação? E quais os reflexos na rotina da empresa? A adopção de ambas as normas acabou por ter menos disrupção na actividade da empresa do que inicialmente previmos. Houve uma melhoria na documentação produzida e na forma como essa documentação é gerida pelos vários colaboradores, o que resultou em processos mais eficientes, com uma performance mais acompanhada. O facto do impacto na actividade durante a adopção das normas não ter sido significativo resulta da preparação anterior efectuada, em particular na adopção, em anos anteriores, das boas práticas ITIL e da política interna de sistemas de informação. Que reacções positivas e/ou negativas dos colaboradores e da Direcção se verificaram? Todos os colaboradores reconheceram que houve menos alterações à sua rotina do que inicialmente esperavam e sentiram-se orgulhosos pela conquista destas duas normas. O benefício de uma gestão orientada a processos, documentados, medidos e evolutivos está a ser sentido por todos. Quais os reflexos da certificação na rotina da empresa? Passou a existir uma maior formalização da responsabilidade de gestão de determinados processos na empresa, o que garante uma contínua melhoria dos mesmos. Por outro lado, aumentou-se a eficiência da organização interna, reflexo das alterações introduzidas nos sistemas de informação, para dar suporte aos requisitos da norma. A informação está mais acessível, é mais abrangente e permite tomar melhores decisões, a todos os níveis da empresa. Quais são as perspectivas de futuro/implementação de outros referenciais (normas) de gestão? Prevemos alargar o âmbito das duas normas (ISO 9001 e ISO 27001), no decorrer de 2011, para incluir não só a actividade no Datacenter de Lisboa, mas também no do Porto. Trata-se, portanto, de um alargamento geográfico. Em 2012 prevemos consolidar as duas normas, para que em 2013 possamos encarar a possibilidade da certificação ISO PERFIL DA EMPRESA Fundada em 1996, a Claranet evoluiu de um ISP, tendo sido o primeiro operador privado a surgir em Portugal, para um MSP, actualmente, com um Volume de Negócios de cerca de 100 milhões de euros. A Claranet conta com cerca de 500 colaboradores e uma presença na Europa, mantendo um enfoque na prestação de serviços adaptados localmente a cada cliente, a partir dos Datacenters que gere em cada um dos países. A Claranet combina as melhores Pessoas, Processos e Tecnologias, para fornecer serviços geridos, flexíveis, seguros e competitivos, que garantem a performance das Redes e das Aplicações, permitindo que os clientes se foquem na gestão do seu core business e não na gestão de IT. A Claranet gere o seu próprio backbone internacional IPv6, fornecendo soluções de Redes Privadas, Hosting e Gestão de Aplicações. A Qualidade e a Segurança estão no centro da oferta da Claranet, que é certificada ISO 9001:2008 e ISO 27001:2005. CONTACTOS Ed. Parque Expo Av. D. João II, , R/C Lisboa Telefone Fax info@claranet.pt Website

9 ÚLTIMAS EMPRESAS CERTIFICADAS PELA EIC EICNEWS 11 PÁGINA 09 NOME DA EMPRESA NORMA DE REFERÊNCIA 4(FARMÁCIA BARREIROS) PHARMA-N Produtos Farmacêuticos, Lda. NP EN ISO 9001: AUTO MECÂNICA GINETO DA COSTA E MARTINS, LDA. NP EN ISO 9001: BATISTA GOMES, LDA NP EN ISO 9001: BRIPEALTOS Agregados e Construções, Lda. NP EN ISO 9001: CAMPOS SILVA, S.A. NP EN ISO 9001: CARPINTARIA ROCHA, LDA. NP EN ISO 9001: CF - Consultores, Lda. NP EN ISO 9001: CIVILCASA NP EN ISO 9001: Delegação de Braga da Cruz Vermelha Portuguesa NP EN ISO 9001: EUROVIGA Pré-Fabricados, S.A. NP EN ISO 9001: FARMÁCIA LOURO - Adelina Louro & Filhos, Lda. NP EN ISO 9001: FIBO - Fábrica Ibérica de Óptica, Lda. NP EN ISO 9001: HELISUPORTE - Conservação e Reparação de Aeronaves, Lda. NP EN ISO 9001: LUSEDI - Luso Espanhola de Distribuição de Materiais de Decoração, Lda. NP EN ISO 9001: MAQUIAVELLIS ENGINEERING - Projectos de Engenharia, Lda. NP EN ISO 9001: MARFRETE MADEIRA - Transitários e Navegação, Lda. NP EN ISO 9001: NSEC - Sistemas Informáticos, S.A. NP EN ISO 9001: OMNITÉCNICA - Sociedade Comercial e Industrial de Electrotécnica, S.A. NP EN ISO 9001: TRANSPORTES BARÃO, LDA. NP EN ISO 9001: UNIXIRA - Empresa de Trabalho Temporário, Unipessoal, Lda. NP EN ISO 9001: ANTÓNIO FILIPE NETO, LDA NP EN ISO 9001:2008 4CENTRO SOCIAL PAROQUIAL PADRE RICARDO GAMEIRO NP EN ISO 9001:2008 4Cristina Araújo & Araújo, Lda NP EN ISO 9001:2008 4EURO 57 - Serviços de Consultadoria, S.A. NP EN ISO 9001:2008 4FORUM Sistemas de Informação, Lda. NP EN ISO 9001:2008 4PROCESSNET Sistemas de Informação, Lda. NP EN ISO 9001:2008 4SERRALHARIA A. DOMINGOS, LDA NP EN ISO 9001:2008 4TROTINETE - Comércio e Confecção para Criança, Lda. NP EN ISO 9001:2008 4VIAHERTZ - Radiocomunicações (Serviços), Lda NP EN ISO 9001:2008 4WEBUILD.COM - Soluções Informáticas, Lda NP EN ISO 9001:2008 4CF - Consultores, Lda. NP EN ISO 14001: ELECTROLIMPA SUL - Empresa Técnica de Limpeza, S.A. NP EN ISO 14001: GRUPO 8 - Vigilância e Prevenção Electrónica, Lda. NP EN ISO 14001:2004 4HELISUPORTE - Conservação e Reparação de Aeronaves, Lda. NP EN ISO 14001:2004 4TERRA FÉRTIL - Gestão e Valorização de Resíduos, LDA. NP EN ISO 14001:2004 4HELISUPORTE - Conservação e Reparação de Aeronaves, Lda. OHSAS 18001:2007/NP 4397:2008 4BRIPEALTOS Agregados e Construções, Lda. NP EN 13043: CAMPOS SILVA, S.A. NP EN 13043: CAMPOS SILVA, S.A. NP EN 13139: EUROVIGA Pré-Fabricados, S.A. NP EN 13747: 2005 A1: URBANOP - Urbanizações e Obras Públicas, Lda. EN :2006 EN / AC:2008 4PROBIGALP - Ligantes Betuminosos, S.A. ASTM D CENTRO SOCIAL PAROQUIAL PADRE RICARDO GAMEIRO 4Delegação de Braga da Cruz Vermelha Portuguesa Centro de Dia - Nível C Codex Alimentarius 4EUROVIGA Pré-Fabricados, S.A. EN 1168: 2005 A2: BRIPEALTOS Agregados e Construções, Lda. 4CAMPOS SILVA, S.A. 4CENTRO SOCIAL PAROQUIAL PADRE RICARDO GAMEIRO EN 13242: 2002+A1:2007 EN 13242: 2002+A1:2007 Estruturas Residenciais para Idosos - Nível C 4SISTEMAS McDONALD S PORTUGAL, LDA ET de 28/07/2003 4CASTRO, PINTO & COSTA, LDA NP 4457: NSEC - Sistemas Informáticos, S.A. NP 4457: CAMPOS SILVA, S.A. NP EN 12620: 2002+A1: EUROVIGA Pré-Fabricados, S.A. NP EN :2008 4TECNOVIA AÇORES, S.A. NP EN 206-1: Emenda 1:2008 e Emenda 2:2010 4CENTRO SOCIAL PAROQUIAL PADRE RICARDO GAMEIRO Serviço de Apoio Domiciliário - Nível C