Anexo SL Documento de conceitos

Transcrição

1 São destinatários deste Documento as CT que elaboram normas de sistemas de gestão. É uma orientação, no formato de um quadro que inclui o texto do Apêndice 2 do Anexo SL "Estrutura de alto nível, texto nuclear idêntico, termos e definições de base comum" (1ª coluna), quando necessário informação sobre o que esteve na base dos requisitos do texto da estrutura de alto nível (2ª coluna) e, quando apropriado, orientações, exemplos ou comentários (3ª coluna). O texto da estrutura de alto nível mantém a compatibilidade com outras normas de sistemas de gestão internacionais que adotem o Anexo SL. Esta abordagem comum é útil para as organizações que, optando por operar num único sistema de gestão, cumpram os requisitos de duas ou mais normas de sistemas de gestão. A estrutura de alto nível do Anexo SL deverá pois, ser adotada como Procedimento para a Normalização Portuguesa e tanto quanto possível mantido o seu texto nuclear (coluna 1). Introdução NOTA: Específico de cada disciplina. 1. Objetivo e campo de aplicação NOTA: Específico de cada disciplina. 2. Referências Normativas NOTA: Específico de cada disciplina. 3. Termos e definições Para os fins da presente Norma, aplicam-se os Pretende-se com esta secção dar informação ou comentários específicos sobre o conteúdo técnico da Norma do Sistema de Gestão (MSS) e as razões que levaram à sua preparação. É opcional e não deve conter requisitos. Pretende-se com esta secção definir de forma sucinta e sem ambiguidade o assunto da MSS e os aspetos abrangidos, indicando, assim, os limites da aplicabilidade da MSS ou de partes dela. Não deve conter requisitos. Esta secção não deve ser confundida com o âmbito do sistema de gestão (ver 4.3) Pretende-se com esta secção apresentar a lista de documentos de referência citados na MSS, indispensáveis à sua aplicação. Pretende-se com esta secção fornecer um conjunto comum de definições harmonizadas para a terminologia das MSS. Definições adicionais podem ser previstas Intencionalmente deixado em branco (nota nacional). Esta secção deve conter apenas as definições das palavras usadas por especialistas na disciplina específica a que o documento se refere, ou seja, estas Versão Página 1 de 28

2 seguintes termos e as definições. NOTA 1: Os termos e as definições poderão ser incluídos na norma ou num documento em separado. Para referenciar termos e definições de base comuns + elementos específicos por disciplina. NOTA 2: Os seguintes termos e definições constituem parte integrante do «texto comum» para as normas de sistemas de gestão. Poderão ser adicionados termos e definições conforme seja necessário. As notas poderão ser adicionadas ou modificadas para servir a finalidade de cada norma. NOTA 3: Qualquer texto em negrito numa definição indica uma referência cruzada para outro termo definido nesta secção, sendo o número de referência para o termo apresentado entre parêntesis. NOTA 4: Quando nesta secção aparecer o texto «XXX», deverá ser inserida a referência adequada em função do contexto em que estes termos e definições são aplicados. P. ex.: «um objetivo XXX» poderia ser substituído por «um objetivo de segurança de informação». 3.1 organização Pessoa ou conjunto de pessoas que tem as suas próprias funções com responsabilidades, autoridades e relações para atingir os seus objetivos (3. 8). NOTA 1 à secção: O conceito de organização engloba, mas não se limita a, empresários em nome individual, sociedades sob qualquer forma comercial, demais empresas,, autoridade, parceria, instituições de solidariedade social e demais instituições, ou parte ou combinação das mesmas, dotadas ou não de personalidade jurídica, de direito público ou privado parte interessada (termo privilegiado) Stakeholder (termo admitido) Pessoa ou organização (3. 1) que pode afetar, ser para termos específicos da disciplina, i.e., palavras que são usadas por especialistas em domínios particulares para a compreensão da MSS. palavras são chamadas «termos» que são necessários para a compreensão da MSS. Palavras usadas na linguagem corrente e definições de comunicação comuns não são definidos. Por exemplo, a palavra «cão» é comumente entendida como referindo um canídeo doméstico. No entanto, a palavra «cão» em engenharia mecânica tem um significado muito específico, restrito a este campo. A primeira é uma «palavra», este último é um «termo». Partes interessadas podem incluir: clientes comunidade Versão Página 2 de 28

3 afetada por, ou considerar-se como sendo afetada por uma decisão ou atividade requisito Necessidade ou expectativa expressa, geralmente implícita ou obrigatória. NOTA 1 à secção: «Geralmente implícito» significa que é hábito ou prática comum para a organização e para as partes interessadas que a necessidade ou expectativa em consideração esteja implícita. NOTA 2 à secção: Um requisito especificado é um requisito que é expresso, p. ex., em informação documentada sistema de gestão Conjunto de elementos interrelacionados ou interatuantes de uma organização (3. 1) para o estabelecimento de políticas (3. 7) e de objetivos (3. 8) e de processos (3.12) para atingir esses objetivos. NOTA 1 à secção: Um sistema de gestão pode tratar uma única disciplina ou diversas disciplinas. NOTA 2 à secção: Os elementos do sistema de gestão incluem a estrutura, as funções e as responsabilidades, o planeamento, a operacionalização, etc. da organização. NOTA 3 à secção: O âmbito de um sistema de gestão poderá incluir toda a organização, funções específicas e identificadas da organização, secções específicas e identificadas da organização, ou uma ou mais funções dentro de um grupo de organizações gestão de topo Pessoa ou grupo de pessoas que dirige e controla uma fornecedores reguladores organizações não governamentais investidores colaboradores Para além das exigências legais, os requisitos tornamse obrigatórios quando são adotados pela organização. Versão Página 3 de 28

4 organização (3. 1) ao mais alto nível. NOTA 1 à secção: A gestão de topo tem o poder de delegar autoridade e de fornecer recursos no seio da organização. NOTA 2 à secção: Se o âmbito do sistema de gestão (3. 4) abranger apenas parte de uma organização, então a gestão de topo refere-se aos indivíduos que dirigem e controlam essa parte da organização eficácia Medida em que as atividades planeadas são realizadas e atingidos os resultados pretendidos política Intenções e orientação de uma organização (3. 1), conforme formalmente expressas pela sua gestão de topo (3. 5) objetivo Resultado a atingir. NOTA 1 à secção: Um objetivo pode ser estratégico, tático ou operacional. NOTA 2 à secção: Os objetivos podem referir-se a diferentes disciplinas (tais como objetivos financeiros, de saúde e segurança e ambientais) e podem ser aplicados a diferentes níveis [como estratégicos, a nível da organização, de projeto, de produto e de processo (3.12)]. NOTA 3 à secção: Um objetivo pode ser expresso de outras formas, p. ex., como um resultado pretendido, uma finalidade, um critério operacional, como um objetivo XXX ou através da utilização de outras palavras com significado semelhante (p. ex., intenção, meta ou alvo). NOTA 4 à secção: No contexto de sistemas de gestão de XXX, os objetivos XXX são definidos pela organização, consistentes com a política XXX, de modo a atingir resultados específicos. Versão Página 4 de 28

5 3. 9 risco Efeito da incerteza. NOTA 1 à secção: Um efeito é um desvio ao esperado - positivo ou negativo. NOTA 2 à secção: A incerteza é o estado, ainda que parcial, de deficiência de informação, relacionado com a compreensão ou conhecimento de um evento, sua consequência ou verosimilhança. NOTA 3 à secção: O risco é frequentemente caracterizado pela referência a potenciais «eventos» (Guia ISO 73, ) e «consequências» (Guia ISO 73, ), ou a uma combinação de ambos. NOTA 4 à secção: O risco é frequentemente expresso como a combinação das consequências de um evento (incluindo alterações de circunstâncias) com a verosimilhança (Guia ISO 73, ) de ocorrência associada competência Aptidão para aplicar conhecimentos e saber fazer para atingir resultados pretendidos informação documentada Informação controlada e mantida por uma organização (3. 1) e o meio onde a mesma está contida. NOTA 1 à secção: A informação documentada pode estar em qualquer formato e meio de suporte e ser proveniente de qualquer fonte. NOTA 2 à secção: A informação documentada pode referir-se: ao sistema de gestão (3. 4), incluindo processos (3.12) relacionados; à informação criada para a operacionalização da organização (documentação); à evidência de resultados atingidos (registos). Normas específicas de disciplinas podem definir «risco» em termos que são específicos para essas disciplinas. A ISO dá uma definição de «risco» que algumas normas específicas de disciplinas podem usar (ver também a definição 3. 9). Versão Página 5 de 28

6 3.12 processo Conjunto de atividades interrelacionadas ou interatuantes que transforma entradas em saídas desempenho Resultado mensurável. NOTA 1 à secção: O desempenho pode referir-se a resultados quantitativos ou qualitativos. NOTA 2 à secção: O desempenho pode referir-se à gestão de atividades, a processos (3.12), a produtos (incluindo serviços), a sistemas ou a organizações (3. 1) subcontratar (verbo) Estabelecer um acordo no qual uma organização (3. 1) externa realiza parte da(s) função(ões) ou processo(s) (3.12) de uma organização. NOTA 1 à secção: Uma organização externa está fora do âmbito do sistema de gestão (3. 4), embora a função ou processo subcontratado se encontre dentro do âmbito monitorização Determinar o estado de um sistema, de um processo (3.12) ou de uma atividade. NOTA 1 à secção: Para determinar o estado poderá haver a necessidade de verificar, supervisionar ou observar de forma Para os propósitos do Anexo SL, um processo subcontratado é aquele em que: a função ou processo faz parte do funcionamento da organização; a função ou o processo é necessário para o sistema de gestão atingir o resultado que dele se pretende; a organização mantem a responsabilidade pela conformidade com os requisitos da função ou do processo; a organização e o fornecedor externo têm uma relação integral, p. ex. uma relação em que o processo é percecionado pelas partes interessadas como sendo levado a cabo pela organização. Versão Página 6 de 28

7 crítica medição Processo (3.12) para determinar um valor auditoria Processo (3.12) sistemático, independente e documentado para obter evidências de auditoria e respetiva avaliação objetiva, com vista a determinar em que medida os critérios da auditoria são cumpridos. NOTA 1 à secção: Uma auditoria pode ser uma auditoria interna (primeira parte) ou uma auditoria externa (segunda ou terceira parte) e pode ser uma auditoria combinada (mediante a combinação de duas ou mais disciplinas). NOTA 2 à secção: As evidências de auditoria e os critérios da auditoria estão definidos na ISO O Anexo SL em 9.2 relaciona-se com auditorias internas. O Anexo SL requer que as auditorias internas sejam conduzidas pela organização ou por uma entidade externa em seu nome. A independência pode ser demonstrada pela ausência de responsabilidade pela atividade auditada ou ausência de influências e de conflitos de interesses. «Evidência de auditoria» consiste em registos, afirmações factuais e outra informação que sejam relevantes para os critérios da auditoria e verificáveis. «Critérios da auditoria» são o conjunto de políticas, procedimentos ou requisitos (3. 3) utilizado como referência face aos quais se comparam as evidências de auditoria, tal como definido na ISO As constatações da auditoria e a conclusão da auditoria poderão ser descritas coletivamente como o resultado da auditoria. As «constatações da auditoria» consistem nos resultados da avaliação das evidências de auditoria recolhidas face aos critérios da auditoria. A «conclusão da auditoria» é o resultado final de uma auditoria após serem tidos em consideração os objetivos da auditoria e todas as constatações da auditoria, conforme definido na ISO Uma auditoria conjunta é uma auditoria ao sistema de gestão de uma organização face a dois ou mais conjuntos de critérios da auditoria ou de normas (p. ex., qualidade, segurança, etc.) e frequentemente referida como uma auditoria «integrada». Versão Página 7 de 28

8 3.18 conformidade Satisfação de um requisito (3. 3) não conformidade Não satisfação de um requisito (3. 3) ação corretiva Ação para eliminar a causa de uma não conformidade (3.19) e para prevenir a sua recorrência melhoria contínua Atividade recorrente para aperfeiçoar o desempenho (3.13). 4 Contexto da organização 4.1 Compreender a organização e o seu contexto A organização deve determinar questões internas e externas que sejam relevantes para o seu propósito e que afetem a sua capacidade para atingir o(s) resultado(s) pretendido(s) do seu sistema de gestão XXX. Pretende-se com esta secção «compreender a organização e o seu contexto» especificar os requisitos para uma compreensão a alto nível (p. ex. estratégico) das questões importantes que possam afetar, positiva ou negativamente, o sistema de gestão. As questões podem ser p. ex. tópicos importantes para a organização, problemas para debate e discussão, ou alteração de circunstâncias. O conhecimento adquirido é então utilizado para orientar os esforços para planear, implementar e operacionalizar o sistema de gestão. Requisitos adicionais para a compreensão da organização e do seu contexto podem ser previstos nas MSS específicas das disciplinas. Não conformidade refere-se aos requisitos especificados na norma do sistema de gestão e aos requisitos adotados pela organização. Ação corretiva é uma ação empreendida para eliminar a causa da não conformidade. A «correção» é a ação imediata empreendida para eliminar uma não conformidade detetada. Exemplos de questões que poderão ser importantes para um sistema de gestão e que poderá ser necessário tratar numa MSS incluem: características ambientais ou condições relacionadas com clima, poluição, disponibilidade de recursos e biodiversidade e os efeitos que estas condições poderão ter na capacidade da organização para atingir os seus objetivos; contexto externo cultural, social, político, legal, regulamentar, financeiro, tecnológico, económico, natural e competitivo, quer seja internacional, nacional, regional ou local; características ou condições da organização, tais como: governança organizacional, fluxos de informação e processos de tomada de decisão; Versão Página 8 de 28

9 4.2 Compreender as necessidades e as expectativas das partes interessadas A organização deve determinar: as partes interessadas que são relevantes para o sistema de gestão XXX, e os requisitos destas partes interessadas. Pretende-se com esta secção especificar os requisitos para uma compreensão a alto nível (p. ex. estratégico) das necessidades e expetativas das partes interessadas relevantes que são aplicáveis ao sistema de gestão e à MSS. Nem todos os requisitos das partes interessadas são requisitos da organização. Alguns não são aplicáveis à organização ou relevantes para o sistema de gestão. Outros são obrigatórios, porque foram incorporados em leis, regulamentos, autorizações e licenças por ações governamentais ou de tribunais. Poderá haver outros que a organização decida adotar voluntariamente ou estabelecer um acordo ou contrato. Uma vez adotado ou acordado, deve ser cumprido. Se uma parte interessada se considera afetada pelo sistema de gestão, deve dar conhecimento desse facto. Para além das exigências legais, as necessidades e expetativas de uma parte interessada tornam-se políticas e objetivos organizacionais e as estratégias já implementadas para os atingir; capacidades da organização, vistas do ponto de vista dos recursos (p. ex. capital, tempo, pessoas, conhecimento, processos, sistemas e tecnologias); cultura da organização; normas, linhas de orientação e modelos adotados pela organização; ciclo de vida dos produtos e serviços da organização. Exemplos de potenciais partes interessadas incluem: autoridades legais e regulamentares (local, regional, estadual/provincial, nacional ou internacional); organizações-mãe; clientes; associações comerciais e profissionais; grupos comunitários; organizações não governamentais; fornecedores; vizinhos; colaboradores e outras pessoas que trabalham em nome da organização. Exemplo de requisitos das partes interessadas poderão incluir: leis; autorizações, licenças ou outras formas de autorizar; ordens emitidas por agências regulamentares; Versão Página 9 de 28

10 4.3 Determinar o âmbito do sistema de gestão XXX A organização deve determinar os limites e a aplicabilidade do sistema de gestão XXX para estabelecer o seu âmbito. Ao determinar este âmbito, a organização deve considerar: as questões externas e internas referidas na secção 4.1, e os requisitos referidos na secção 4.2. O âmbito deve ser disponibilizado como informação documentada. obrigações quando são especificadas e a organização decide adota-las. Uma vez que a organização as subscreva, tornam-se requisitos organizacionais (ver 4.3). O conhecimento adquirido é então utilizado para orientar os esforços para planear, implementar e operacionalizar o sistema de gestão. Requisitos adicionais para a compreensão das necessidades e expetativas das partes interessadas podem ser previstos nas MSS específicas das disciplinas. Pretende-se com esta secção «determinar o âmbito do sistema de gestão» estabelecer os limites físicos e organizacionais aos quais se aplicará o sistema de gestão. A organização tem liberdade e flexibilidade para definir os seus limites e poderá escolher implementar a MSS em toda a organização, numa unidade específica, ou em função(ões) específica(s) dentro da organização. Uma compreensão do contexto (4.1) e dos requisitos das partes interessadas relevantes (4.2) são tidos em consideração ao estabelecer o âmbito do sistema de gestão e na determinação dos requisitos que a organização irá adotar. A documentação do âmbito é criada e controlada de acordo com os requisitos da «Informação documentada» acórdãos de tribunais civis e administrativos; tratados, convenções e protocolos; códigos industriais e normas relevantes; contratos celebrados; acordos com grupos comunitários ou organizações não governamentais; acordos com autoridades públicas e clientes; requisitos organizacionais; princípios ou códigos de prática voluntários; rotulagem voluntária ou compromissos ambientais; obrigações decorrentes de acordos contratuais com a organização. O termo «âmbito» pode ser usado em três aplicações diferentes: o âmbito da MSS (secção 1); o âmbito do sistema de gestão da organização (tal como definido em 4.3); o «âmbito» da certificação da organização. Versão Página 10 de 28

11 4.4 Sistema de gestão XXX A organização deve estabelecer, implementar, manter e melhorar de forma contínua um sistema de gestão XXX, incluindo os processos necessários e as suas interações, de acordo com os requisitos da presente Norma. 5 Liderança 5.1 Liderança e compromisso A gestão de topo deve demonstrar liderança e compromisso em relação ao sistema de gestão XXX ao: assegurar que a política e os objetivos XXX são estabelecidos e que são compatíveis com a (7.5). Requisitos adicionais para a determinação do âmbito do sistema de gestão podem ser previstos nas MSS específicas das disciplinas. Pretende-se com esta secção do sistema de gestão especificar o(s) requisito(s) geral(ais) relacionado(s) com a criação do conjunto de processos «necessários mas suficientes» que, juntos, formem um sistema de gestão eficaz em conformidade com a MSS. A organização tem autoridade, responsabilidade e autonomia para decidir como irá satisfazer os requisitos do sistema de gestão, incluindo o nível de detalhe e até que ponto irá integrar os requisitos do sistema de gestão no seu negócio. Requisitos adicionais para o sistema de gestão ou para os seus processos podem ser previstos nas MSS específicas das disciplinas. NOTA: Quando elaboramos uma MSS, a referência a esta secção, poderá evitar a necessidade de repetir frases como «estabelecer, manter e melhorar continuamente», p. ex. um processo, um procedimento, um sistema de gestão, em múltiplas secções. Pretende-se com esta secção identificar ações nas quais a gestão de topo esteja pessoalmente envolvida e dirija a organização. A gestão de topo poderá não desempenhar todas estas ações (p. ex. poderá delegar responsabilidade em outros), mas é responsável por garantir que elas são desempenhadas. Os processos mínimos que é requerido estabelecer na MSS incluem: processos do sistema de gestão (4.4); processos de planeamento operacional e controlo, incluindo os processos subcontratados (8.1). O apoio visível, o envolvimento e o compromisso da gestão de topo da organização são importantes para o sucesso da implementação da MSS. Definem o tom e as expetativas, aumentam a aceitação e motivam as pessoas a estarem envolvidas nas iniciativas do sistema de gestão, podem dar garantias às partes externas de que um sistema de gestão eficaz esteja de Versão Página 11 de 28

12 orientação estratégica da organização; assegurar a integração dos requisitos do sistema de gestão XXX nos processos de negócio da organização; assegurar a disponibilização dos recursos necessários para o sistema XXX; comunicar a importância de uma gestão XXX eficaz e da sua conformidade com os requisitos do sistema de gestão XXX; assegurar que o sistema de gestão XXX atinge o(s) resultado(s) pretendido(s); orientar e apoiar pessoas para contribuírem para a eficácia do sistema de gestão XXX; promover a melhoria contínua; apoiar outras funções de gestão relevantes para demonstrar a sua liderança, na medida aplicável às respetivas áreas de responsabilidade. NOTA: Referência a «negócio» na presente Norma deverá ser interpretada num sentido lato para referir atividades nucleares para os propósitos da existência da organização. 5.2 Política A gestão de topo deve estabelecer uma política XXX que: a) seja adequada para o propósito da organização; b) proporcione um enquadramento para a definição dos objetivos XXX; c) inclua um compromisso para a satisfação dos requisitos aplicáveis, e No 2º item a importância da «integração nos processos de negócio da organização» é enfatizada e é uma das funções da gestão de topo. No 8º item «demonstrar a sua liderança, na medida aplicável às respetivas áreas de responsabilidade» referese às «funções relevantes da gestão» e não à gestão de topo. O objetivo do 8º item é exigir à gestão de topo que crie uma cultura e ambiente que encoraje as pessoas com funções de liderança (não necessariamente posições formais de liderança, p. ex. gestores de equipa) a trabalhar ativamente na implementação dos requisitos do sistema de gestão e a procurar atingir os objetivos de XXX. Requisitos adicionais para liderança e compromisso podem ser previstos nas MSS específicas das disciplinas. Pretende-se com esta secção especificar os compromissos organizacionais de alto nível requeridos pela MSS, tendo em consideração o propósito da organização. É utilizado para enquadrar os objetivos que a organização define para si própria. A documentação da política é criada e controlada de acordo com os requisitos da «Informação documentada» facto implementado. Um exemplo de um «processo de negócio» poderá ser a função central de recursos humanos de uma organização, que poderá ser responsável por assegurar que os requisitos de competências de uma MSS são satisfeitos. Enquanto é expectável que a política contenha compromissos para a satisfação de requisitos aplicáveis, em particular leis e regulamentos, entende-se que até o sistema de gestão mais eficaz não pode garantir o seu cumprimento integral em qualquer momento específico no tempo. Nestas circunstâncias, não deverá ser considerado não haver conformidade, enquanto do sistema de gestão Versão Página 12 de 28

13 d) inclua um compromisso para a melhoria contínua do sistema de gestão XXX. A política XXX deve ser: disponibilizada como informação documentada; comunicada dentro da organização; disponibilizada às partes interessadas, conforme adequado. 5.3 Funções, responsabilidades e autoridades organizacionais A gestão de topo deve assegurar que são atribuídas e comunicadas as responsabilidades e autoridades para funções que são relevantes no seio da organização. A gestão de topo deve atribuir a responsabilidade e a autoridade para: a) assegurar que o sistema de gestão XXX está em conformidade com os requisitos desta Norma, e b) reportar à gestão de topo o desempenho do sistema de gestão XXX. 6 Planeamento 6.1 Ações para tratar riscos e oportunidades (7.5). A política é comunicada internamente de acordo com os requisitos da secção «Comunicação» (7.4). Também deve ser disponibilizada a outras partes interessadas. Requisitos adicionais para a política podem ser previstos nas MSS específicas das disciplinas. Pretende-se com esta secção atribui responsabilidade e autoridade pela implementação dos requisitos do sistema de gestão às funções relevantes no seio da organização. A gestão de topo é responsável pela atribuição e comunicação destas responsabilidades e autoridades às pessoas que desempenham cada uma dessas funções. As responsabilidades e autoridades são comunicadas de acordo com os requisitos da secção da «Comunicação» (7.4). A demonstração da conformidade dos requisitos da MSS é conduzida de acordo com os requisitos da secção «Auditoria interna» (9.2). O relato do desempenho é conduzido de acordo com os requisitos da «Revisão pela gestão» (9.3) Requisitos adicionais para a política podem ser previstos nas MSS específicas das disciplinas. Pretende-se com esta secção (6.1) «tratar riscos e oportunidades» especificar os requisitos para o planeamento necessários enquanto pré-requisito para o resultarem a deteção rápida e a ação corretiva, para as deficiências do sistema que tenham contribuído para as situações de não conformidade. A função de assegurar que o sistema de gestão está conforme com os requisitos da MSS pode ser atribuída a uma pessoa, partilhada por várias pessoas, ou assegurada por uma equipa. Essas pessoas deverão ter acesso à gestão de topo, de forma a manter a gestão informada do estado e do desempenho do sistema de gestão. A referência a «riscos e oportunidades» destina-se a descrever amplamente algo que representa uma ameaça com um efeito prejudicial ou negativo, ou em Versão Página 13 de 28

14 Ao planear um sistema de gestão XXX, a organização deve ter em consideração as questões referidas na secção 4.1 e os requisitos mencionados na secção 4.2 e determinar os riscos e as oportunidades que devem ser tratados para: dar garantias que o sistema de gestão XXX pode atingir o(s) resultado(s) pretendido(s); prevenir ou reduzir efeitos indesejados; atingir a melhoria contínua. A organização deve planear: a) ações para tratar estes riscos e oportunidades, e b) como: integrar e implementar as ações nos processos do seu sistema de gestão XXX; avaliar a eficácia destas ações. estabelecimento do sistema de gestão. Especificar o que é necessário ter em consideração e o que necessita ser tratado. O planeamento processa-se a um nível estratégico, ao contrário do planeamento tático que é feito no quadro do «Planeamento e controlo operacional» (8.1). No mínimo, o planeamento necessita ter em consideração questões relevantes para o contexto da organização identificado em 4.1 e para os requisitos aplicáveis à organização identificados em 4.3, de forma a tratar qualquer consequência negativa ou positiva que seja considerada prioritária. A priorização é baseada nos 3 itens. O Anexo SL requer ações para tratar os riscos em 6.1, mas não requer a gestão do risco, apreciação do risco ou tratamento do risco. Nas MSS em que seja necessário tratar o risco formalmente, a MSS deverá clarificar que a abordagem à «gestão do risco» é necessária e concordar com o posicionamento do texto relativo a apreciação do risco e tratamento do risco (isto é, se deverá ir para a secção 6 ou para a secção 8, ou para ambas). O propósito do planeamento é a antecipação de cenários e consequências potenciais e como tal é preventivo no tratamento de efeitos indesejados antes que ocorram. Da mesma forma, procura condições ou circunstâncias favoráveis que possam oferecer vantagem potencial ou um resultado benéfico e inclui o planeamento dos que merecem ser prosseguidos. O planeamento também inclui determinar como alternativa, algo que tem potencial para um efeito benéfico ou positivo. Não se destina a ser uma interpretação técnica, estatística ou cientifica do termo «risco». A determinação da ameaça ou da oportunidade poderá ser feita através de meios informais, ou através de metodologias quantitativas e qualitativas formais. Versão Página 14 de 28

15 6.2 Objetivos de XXX e planeamento para os atingir A organização deve estabelecer objetivos XXX em funções e níveis relevantes. Os objetivos XXX devem: a) ser consistentes com a política XXX; b) ser mensuráveis (se possível); c) ter em consideração requisitos aplicáveis; d) ser monitorizados; e) ser comunicados, e f) ser atualizados conforme adequado. A organização deve manter informação documentada sobre os objetivos XXX. Ao planear como atingir os seus objetivos XXX, a organização deve determinar: o que será realizado; incorporar as ações consideradas necessárias ou benéficas para o sistema de gestão, quer através da definição de objetivos (6.2), controlo operacional (8.1) ou outras secções específicas do sistema de gestão, p. ex. provisão de recursos (7.1), competência (7.2). O mecanismo para avaliar a eficácia das ações preventivas realizadas também é planeado e pode incluir monitorização, técnicas de medição (9.1), auditoria interna (9.2) ou revisão pela gestão (9.3). Requisitos adicionais para as ações de tratamento dos riscos e oportunidades podem ser previstos nas MSS específicas das disciplinas. O texto é autoexplicativo, deverão ser feitas ligações com «Liderança e compromisso» (5.1) e «Política» (5.2). Os objetivos deverão ser especificados de forma a permitir determinar como serão cumpridos. Podendo ocorrer situações em que não seja possível medir um objetivo, nesses casos deverá incluir-se a expressão «quando aplicável». O estado e progresso dos objetivos são periodicamente verificados de acordo com os requisitos de 9.1 «Monitorização, medição, análise e avaliação» e atualizados conforme adequado, de forma consistente com os requisitos de 10.2 «Melhoria contínua». Os objetivos são comunicados de acordo com os requisitos de 7.4 «Comunicação». A documentação dos objetivos é criada e controlada de Intencionalmente deixado em branco. Versão Página 15 de 28

16 que recursos serão necessários; quem será responsável; quando será concluído; como serão avaliados os resultados. 7 Suporte 7.1 Recursos A organização deve determinar e providenciar os recursos necessários para o estabelecimento, implementação, manutenção e melhoria contínua do sistema de gestão XXX. 7.2 Competências A organização deve: determinar as competências necessárias da(s) pessoa(s) que, sob o seu controlo, executam acordo com os requisitos de 7.5 «Informação documentada». São determinadas as ações requeridas para atingir os objetivos (i.e. «o quê») e o prazo associado (i.e. «quando»). Adicionalmente, são atribuídas responsabilidade para fazê-lo (i.e. «quem») de acordo com os requisitos de 5.3 «Funções, responsabilidades» e autoridades organizacionais. Qualquer necessidade de, p. ex., um orçamento, saber-fazer especializado, tecnologia ou infraestrutura, é determinada e fornecida de acordo com os requisitos de 7.1 «Recursos». Por último, o mecanismo de avaliação dos resultados globais do que foi realizado é determinado de acordo com os requisitos de 9.1 «Monitorização, medição, análise e avaliação» e reportado de acordo com 9.3 «Revisão pela gestão». Requisitos adicionais para os objetivos e para o planeamento para os atingir podem ser definidos nas MSS específicas das disciplinas. Pretende-se com esta secção antecipar, determinar e alocar os recursos necessários para criar e implementar o sistema de gestão (incluindo a sua operacionalização e controlo), bem como os necessários à sua contínua manutenção e melhoria. Requisitos adicionais para os recursos podem ser previstos nas MSS específicas das disciplinas. O texto é autoexplicativo quando lido em conjunto com a definição de competência (3.10). A documentação que fornece evidência objetiva da Os recursos podem incluir: recursos humanos; saber-fazer especializado ou conhecimento; infraestruturas organizacionais (i.e. edifícios, linhas de comunicação, etc.); tecnologia; recursos financeiros. Intencionalmente deixado em branco. Versão Página 16 de 28

17 tarefas que afetam o desempenho do sistema de gestão XXX; assegurar que essas pessoas são competentes com base em educação, formação ou experiência adequadas; onde aplicável, tomar medidas para adquirir a competência necessária e avaliar a eficácia das ações empreendidas; reter informação documentada adequada como evidência das competências. NOTA: As ações aplicáveis poderão, p. ex., incluir: proporcionar formação a, orientação de, ou a reafectação de pessoas atualmente empregadas; ou o recrutamento ou a contratação de pessoas competentes. 7.3 Consciencialização As pessoas que trabalham sob o controlo da organização devem ter conhecimento: da política XXX; do seu contributo para a eficácia do sistema de gestão XXX, incluindo os benefícios de uma melhoria do desempenho XXX; das implicações da(s) não conformidade(s) com os requisitos do sistema de gestão XXX. 7.4 Comunicação A organização deve determinar as necessidades de comunicação interna e externa relevantes para o sistema de gestão XXX, incluindo: o que comunicar; quando comunicar; a quem comunicar; competência é criada e controlada de acordo com os requisitos de 7.5 «Informação documentada». Requisitos adicionais para as competências podem ser previstos nas MSS específicas das disciplinas. A intenção desta secção é autoexplicativa. Requisitos adicionais para a consciencialização podem ser previstos nas MSS específicas das disciplinas. A intenção desta secção é autoexplicativa. O Anexo SL requer que haja comunicação em relação: à importância da gestão XXX eficaz e da conformidade com os requisitos do sistema de gestão; à política; às responsabilidades e autoridades; A consciencialização da política não deverá ser entendida como tendo de ser memorizada; as pessoas deverão estar cientes dos principais compromissos da política e de como podem contribuir para que sejam atingidos. As comunicações deverão aderir aos princípios da transparência, da adequação, da credibilidade, da capacidade de dar respostas e da clareza. A comunicação pode ser verbal ou escrita, unidirecional ou bidirecional, interna ou externa. Versão Página 17 de 28

18 como comunicar. 7.5 Informação documentada Generalidades O sistema de gestão XXX da organização deve incluir a informação documentada: a) requerida pela presente Norma; b) determinada pela organização como sendo necessária para a eficácia do sistema de gestão XXX. NOTA: A extensão da informação documentada para um sistema de gestão XXX pode ser diferente de organização para organização, devido: à dimensão da organização e ao tipo de atividades, processos, produtos e serviços; à complexidade dos processos e suas interações; à competência das pessoas. ao desempenho do sistema de gestão; aos objetivos; [a contributos para a eficácia do sistema de gestão, incluindo os benefícios da melhoria do desempenho; a implicações das não conformidades para com os requisitos do sistema de gestão]; a resultados das auditorias. Podem ser incluídos requisitos adicionais específicos para a comunicação, incluindo a informação do que é necessário comunicar, quer nesta secção, quer nas outras secções. Pretende-se com esta secção fornecer uma descrição dos tipos de informação que têm que ser criados, controlados e mantidos no sistema de gestão. Inclui o que é: requerido para todas as MSS (como indicado na secção e nas respetivas secções do Anexo SL); requerido por uma MSS particular e qualquer informação adicional que a organização determine que seja necessário documentar. A frase «informação documentada como evidência de» refere o termo anterior «registo». É responsabilidade da organização determinar que informação documentada é necessária para além da requerida pelo sistema de gestão. Os fatores que deverão ser tidos em conta estão mencionados na NOTA. O termo «informação documentada» refere-se à informação que a MSS determina ser necessário controlar e manter em qualquer formato ou suporte (ver A informação documentada mínima que é requerida que seja criada, controlada e/ou mantida numa MSS inclui: objetivo e campo de aplicação do sistema de gestão; política; objetivos; evidência das competências; informação documentada de origem externa necessária para planear e operacionalizar o sistema de gestão; informação documentada necessária para ter a confiança de que os processos foram realizados como planeado; monitorização, medição, análise e avaliação dos resultados; evidência da implementação do programa de auditorias internas; Versão Página 18 de 28

19 7.5.2 Criação e atualização Sempre que criar e atualizar informação documentada, a organização deve assegurar a adequada: identificação e descrição (p. ex., um título, data, autor, ou número de referência); formato (p. ex., língua, versão do software, aspeto gráfico) e suporte (p. ex., papel, eletrónico); revisão e aprovação em termos de pertinência e adequação Controlo da informação documentada A informação documentada requerida pelo sistema de gestão XXX e pela presente Norma deve ser controlada de modo a assegurar: a) a sua disponibilidade e pertinência para utilização onde e quando for necessária; b) a sua proteção adequada (p. ex., perda de confidencialidade ou de integridade, utilização indevida). Para o controlo da informação documentada, a organização deve tratar as seguintes atividades, conforme aplicável: 7.5.3) A informação documentada é criada e controlada de acordo com os requisitos de e Podem ser incluídos exemplos específicos de informação documentada adequada. Pretende-se com esta secção especificar os requisitos para: de forma única, identificar a informação e definir o formato e o suporte em que será mantida; a sua aprovação. Requisitos adicionais para a criação e a atualização da informação documentada podem ser previstos nas MSS específicas das disciplinas. Pretende-se com esta secção especificar os controlos internos que são necessários considerar e implementar, para a informação que seja requerido documentar. Nem todos os controlos internos são aplicáveis a todos os tipos de informação documentada. Adicionalmente à informação interna que é requerido que seja documentada, poderá ser requerida pela MSS informação criada por partes externas. A identificação e o controlo desta informação também são requeridos. Requisitos adicionais para o controlo da informação documentada podem ser previstos nas MSS específicas resultados da auditoria interna; resultados da revisão pela gestão; natureza das não conformidades e ações tomadas; resultados das ações corretivas. Poderá ser utilizada informação documentada criada originalmente para outros propósitos que não seja a MSS. A identificação, o formato e o suporte utilizados para a informação documentada são escolhidos pela organização que implementa a MSS; não é necessário que esteja em formato de texto ou num manual em papel. A informação que a MSS requer que seja documentada poderá ser integrada com outros sistemas de gestão de informação ou de documentação que sejam estabelecidos por uma organização. Versão Página 19 de 28

20 distribuição, acesso, recuperação e utilização; armazenamento e conservação, incluindo preservação da legibilidade; controlo de alterações (p. ex., controlo de versões); retenção e eliminação. A informação documentada de origem externa determinada pela organização como sendo necessária para o planeamento e a operacionalização do sistema de gestão XXX deve ser identificada, conforme adequado, e controlada. NOTA: O acesso implica uma decisão a respeito de permissão apenas para consultar a informação documentada, ou de permissão para consultar e alterar a informação documentada. 8 Operacionalização 8.1 Planeamento e controlo operacional NOTA: Instrução de redação - o título da secção 8.1 deverá ser eliminada se não forem acrescentadas mais secções à secção 8. A organização deve planear, implementar e controlar os processos necessários para satisfazer os requisitos e para implementar as ações determinadas na secção 6.1, ao: estabelecer critérios para os processos; implementar o controlo dos processos de acordo com os critérios; manter informação documentada na medida necessária, para ter confiança de que os processos foram realizados conforme planeado. das disciplinas. Pretende-se com esta secção especificar os requisitos que é necessário implementar no quadro da operacionalização da organização para se ter a certeza de que os requisitos da MSS são satisfeitos e que os riscos e as oportunidades prioritários estão a ser tratados. O controlo operacional inclui os métodos implementados para assegurar que as operações do negócio, as atividades ou os equipamentos não excedem as condições especificadas, ou as normas de desempenho, ou que violam os limites regulamentares de conformidade, atingindo, assim, eficazmente o resultado pretendido do sistema de gestão. Estes controlos estabelecem requisitos técnicos necessários para atingir a funcionalidade ideal desejada para os processos do negócio, tais como especificações técnicas, O planeamento operacional pode ser mais detalhado do que o planeamento feito em 6.1 e, ao nível tático, focado nas operações do negócio que suportam essas ações determinadas nas «Ações para tratar riscos e oportunidades» (6.1). Versão Página 20 de 28

21 A organização deve controlar as alterações planeadas e rever as consequências das alterações não desejadas, empreendendo sempre que necessário ações para mitigar quaisquer efeitos adversos. A organização deve garantir o controlo dos processos subcontratados. ou parâmetros operacionais, ou uma metodologia prescrita. O controlo operacional é requerido para situações relacionadas com os processos do negócio em que a ausência de controlos pode levar a desvios em relação à política e aos objetivos, ou representar um risco inaceitável. Estas situações podem estar relacionadas com operações, atividades ou processos do negócio; produção, instalação ou prestação de serviços; manutenção; ou empreiteiros, fornecedores ou vendedores. O grau de controlo exercido irá variar dependendo de muitos fatores, incluindo as funções desempenhadas; a sua importância ou complexidade; as consequências potenciais de desvio ou variabilidade; ou a competência técnica envolvida face à que está disponível. A documentação necessária para ter confiança de que os processos de controlo operacional foram realizados como planeado é criada e controlada de acordo com os requisitos de 7.5 «Informação documentada». São requeridos requisitos para a gestão das alterações, tanto alterações planeadas como não pretendidas, para prevenir, ou de outra forma, minimizar a possibilidade dos requisitos técnicos não serem cumpridos, ou de serem introduzidos novos riscos. Quando o controlo operacional falha, é necessária ação para tratar qual(is) quer efeito(s) indesejado(s) daí resultante(s). O controlo dos processos de subcontratados não é Versão Página 21 de 28

22 9 Avaliação do desempenho 9.1 Monitorização, medição, análise e avaliação A organização deve determinar: o que necessita ser monitorizado e medido; os métodos de monitorização, medição, análise e avaliação, conforme aplicáveis, para assegurar resultados válidos; quando se deve proceder à monitorização e à medição; quando se deve proceder à análise e à avaliação dos resultados da monitorização e da medição. A organização deve reter informação documentada adequada como evidência dos resultados. A organização deve avaliar o desempenho de XXX e a eficácia do sistema de gestão XXX. diferente do controlo das operações; contudo, o grau de controlo pode ser limitado a um controlo parcial ou a influência. Não se pretende alterar nenhuma relação legal com a entidade externa que executa os processos subcontratados. Requisitos adicionais para o planeamento e controlo operacional podem ser previstos nas MSS específicas das disciplinas. Pretende-se com esta secção especificar os requisitos para implementar controlos (checks) que permitam ter a certeza que os resultados pretendidos com o sistema de gestão são atingidos como planeado. A verificação pode ser qualitativa (monitorização) ou quantitativa (medição). As características que são monitorizadas ou medidas, analisadas e avaliadas fornecem a informação «necessária e suficiente» para avaliar em que medida as atividades planeadas do sistema de gestão são realizadas e os resultados planeados atingidos. A informação obtida através da monitorização, medição, análise e avaliação é apresentada à gestão de topo, de acordo com os requisitos de 9.3 «Revisão pela gestão». A documentação com os resultados da monitorização, medição, análise e avaliação é criada e controlada de acordo com os requisitos de 7.5 «Informação documentada». Requisitos adicionais para monitorização, medição, análise e avaliação podem ser previstos nas específicas Intencionalmente deixado em branco. Versão Página 22 de 28

23 9.2 Auditoria interna A organização deve conduzir auditorias internas em intervalos planeados para proporcionar informação sobre se o sistema de gestão XXX: a) está em conformidade com: os próprios requisitos da organização para o seu sistema de gestão XXX; os requisitos da presente Norma; b) está eficazmente implementado e mantido A organização deve: a) planear, estabelecer, implementar e manter um programa de auditorias, que inclua frequência, métodos, responsabilidades, requisitos de planeamento e reporte, O qual deve ter em consideração a importância dos processos envolvidos e os resultados de auditorias anteriores; b) definir os critérios da auditoria e o âmbito para cada auditoria; c) selecionar auditores e conduzir auditorias de modo a assegurar a objetividade e a imparcialidade do processo de auditoria; d) assegurar que os resultados da auditoria são comunicados à gestão relevante; e e) reter informação documentada como evidência da implementação do programa de auditoria e dos respetivos resultados. MSS das disciplinas. Pretende-se com esta secção especificar os requisitos para o planeamento, a implementação e a manutenção de um programa de auditorias internas com o propósito de verificar que o sistema de gestão está conforme com os requisitos da MSS e com qualquer requisito adicional, relacionado com o sistema de gestão que a organização se tenha auto imposto e que o sistema de gestão está a ser eficazmente implementado e mantido como planeado. Um programa de auditorias internas requer que: as auditorias internas sejam planeadas e calendarizadas com base na importância dos processos auditados e nos resultados de auditorias anteriores; seja estabelecida uma metodologia para planear e conduzir auditorias internas; sejam atribuídas funções e responsabilidades no programa de auditoria, tendo em conta a integridade e a independência do processo de auditoria interna; para cada auditoria, sejam planeados os critérios da auditoria (i.e. políticas, procedimentos ou requisitos utilizados como referência e que serão comparados com registos relevantes e verificáveis, declarações de facto ou outra informação) e o âmbito da auditoria (i.e. descrição de locais físicos, unidades organizacionais, atividades e processos, bem como o período de tempo abrangido). O programa de auditorias internas é planeado, A gestão e a condução de auditorias internas deverão respeitar os princípios de integridade, apresentação justa, devido cuidado profissional, confidencialidade, independência e de uma abordagem baseada em evidências. Orientações para definir um programa de auditorias internas, realizar auditorias ao sistema de gestão e avaliar a competência das pessoas que auditam são dadas na ISO Versão Página 23 de 28

24 9.3 Revisão pela gestão A gestão de topo deve proceder à revisão do sistema de gestão XXX da organização, em intervalos planeados, para assegurar a sua contínua pertinência, adequação e eficácia. A revisão pela gestão deve ter em consideração: a) o estado das ações resultantes das anteriores revisões pela gestão; b) alterações em questões externas e internas que implementado e mantido por pessoas internas, ou pode ser gerido por pessoas externas que atuam em nome da organização. Em cada caso, a seleção do pessoal do programa de auditorias internas precisa de satisfazer requisitos de «Competência» (7.2). Os resultados das auditorias internas são reportados à gestão responsável pelas funções/unidades auditadas e a quaisquer outros indivíduos considerados adequados de acordo com os requisitos da secção «Comunicação» (7.4) A documentação que fornece evidências da implementação do programa de auditorias internas e os resultados da auditoria é criada e controlada de acordo com os requisitos da «Informação documentada» (7.5). A informação, incluindo tendências, sobre os resultados das auditorias internas, é revista de acordo com os requisitos da «Revisão pela gestão» (9.3). Requisitos adicionais para a auditoria interna podem ser previstos nas MSS específicas das disciplinas. Pretende-se com esta secção especificar requisitos para a condução de uma revisão global do sistema de gestão pela gestão de topo, incluindo a informação a ser contemplada e os resultados esperados. É requerido que a gestão de topo participe pessoalmente nesta revisão. Compete-lhes orientar alterações no sistema de gestão e indicar as prioridades de melhoria contínua, particularmente em relação às circunstâncias de alteração no contexto da organização, desvios em Intencionalmente deixado em branco. Versão Página 24 de 28