Neste terceiro módulo, abordaremos os principais tópicos sobre a certificação pela ISO, o OSHAS. Como já dissemos em artigos anteriores, o ISO é um modo de as empresas comunicarem aos seus clientes e ao mercado que possuem gestão baseada em um sistema de qualidade comprovado.
- Principais normas e certificações ISO
Há muitas certificações, mas destacaremos as mais importantes:
- 14000– fornece assistência para as organizações na implantação ou no aprimoramento de um Sistema de Gestão Ambiental (SGA);
- 9000 – é uma das mais famosas, pois é voltada para o Sistema de Gestão da Qualidade (SGQ) das empresas;
- 14001 – define diretrizes específicas sobre gestão ambiental, que abrange sistemas de gerenciamento ambiental, auditoria, rotulagem, avaliação do desempenho e avaliação do ciclo de vida ambientais.
- Compliance x ISO
O termo compliance tem origem no verbo inglês “to comply”, que quer dizer cumprir, obedecer, estar de acordo. Define-se compliance como seguir às leis, normas e procedimentos internos das organizações, além de parcerias éticas, seja com o setor público ou privado e seus fornecedores. Portanto, estar em compliance é estar em conformidade com as melhores formas de trabalho. As certificações ISO nada mais são do que um atestado de que a empresa de fato é transparente e correta em seus processos e, na prática, é impossível de se conseguir uma certificação ISO sem estar em compliance.
- Razões para possuir uma certificação ISO
Destacamos os seguintes benefícios que uma certificação ISO permite:
- Redução de não conformidades nos bens e serviços fornecidos;
- Eliminação do retrabalho, o que por sua vez poderia acarretar custos imprevistos;
- Aumento da competitividade;
- Maior sustentação em disputas judiciais;
- Melhoria da imagem e reputação da empresa;
- Aumento da participação no mercado nacional e internacional;
- Melhoria no relacionamento técnico e comercial junto ao cliente e aos fornecedores;
- Maior integração entre os processos e setores da empresa, melhorando o clima, baixando os custos e aumentando a produtividade;
- Melhor desempenho organizacional pela promoção do treinamento, da qualidade e da certificação de pessoal.
- Incremento no desenvolvimento tecnológico da empresa.
A conquista da certificação significa que há uma comprovação de que os processos estão sendo realizados de maneira sistêmica e, possuindo-a, compreende-se o que se passa internamente e fica mais bem orientada em relação à ocorrência de não conformidades, quer para detectá-las, quer para saná-las.
- Regulamentação das normas
No Brasil, a Associação Brasileira de Normas Técnicas (ABNT) é a responsável por identificar e regulamentar as normas e certificações em âmbito nacional.
Em geral, as empresas que buscam a primeira certificação iniciam pela ISO 9001, que é uma importante ferramenta estratégica na gestão da qualidade, que possibilita ao gestor delinear todas as operações executadas pela empresa, podendo ser adaptada a qualquer tipo de setor, empresas de qualquer tamanho, cujos benefícios oferecidos são: padronização de processos, capacidade de mensurar o nível de satisfação de clientes e, ainda, o estabelecimento de estratégias capazes de reduzir ou eliminar as falhas que impossibilitam uma gestão eficiente. Destaque-se que o ciclo PDCA (Planejar, Desenvolver/Executar, Conferir/Checar e Agir) tem como objetivo a melhoria contínua em todas as etapas do processo produtivo e desempenho organizacional.
A adoção da certificação ISO 9001 pelas empresas é voluntária; no entanto, cada vez mais ela figura dentre um dos requisitos mais importantes para manter qualquer organização com maior vantagem competitiva no mercado. Os clientes que reconhecem o uso da ISO nos processos produtivos acabam preferindo estabelecer uma relação mais duradoura com a empresa, pois assim se sentem mais confiantes ao saberem que existe o compromisso com um sistema de gestão de qualidade em suas atividades.
4.1 isso 45001: Sistemas de Gestão da Saúde e Segurança Ocupacional (SGSSO)
Certificação ISO 45001, publicada em março/2018, tem como objetivo reduzir o risco organizacional e promover a Saúde e a Segurança Ocupacional (SSO), trabalhando com a SGS para obter ou migrar para a nova norma, que é o Sistema de Gestão da Saúde e Segurança Ocupacional (SGSSO), elemento fundamental da estratégia de gestão de risco organizacional, permitindo à empresa:
- Proteger sua força de trabalho e outras pessoas sob seu controle;
- Cumprir os requisitos legais;
- Facilitar o aprimoramento contínuo.
A ISO 45001 é a nova norma internacional para um SGSSO. Embora seja semelhante à OHSAS 18001, a nova norma ISO 45001 adota a estrutura. A ISO 45001 pode ser alinhada a outras normas de sistemas de gestão, como a ISO 9001:2015 e a ISO 14001:2015.
4.2 NORMA ISO 45001 – Principais Áreas e Contexto Organizacional
O grande foco da ISO 45001 é o contexto organizacional. A norma exige que a organização leve em conta o que seus principais interessados esperam dela, em termos de gestão da Saúde e Segurança Ocupacional. A organização deve determinar quem são as pessoas relevantes para seu SGSSO e estabelecer os requisitos pertinentes dessas pessoas.
A intenção da ISO 45001 é fornecer à organização um alto nível de compreensão das questões importantes que podem afetar positiva ou negativamente a forma como ela gerencia suas responsabilidades de Saúde e Segurança Ocupacional em relação aos seus colaboradores.
4.2.1 o SGSSO Baseada em Risco
A organização deve identificar os riscos e oportunidades que precisam ser levados em conta para assegurar que o SGSSO possa alcançar seus resultados pretendidos. Esses riscos e oportunidades incluem os relevantes ou determinados por seu contexto organizacional, que deve planejar ações que abordem esses riscos e oportunidades, implementá-las em seus processos de SGSSO e avaliar a eficácia dessas ações.
A norma exige que a organização assegure que os processos terceirizados que afetam seu SGSSO sejam definidos e controlados. Quando o fornecimento de produtos e/ou serviços terceirizados está sob o controle da organização, o risco do fornecedor e do terceirizado deve ser gerenciado com eficácia.
4.3 Migração da OHSAS 18001 para a ISO 45001
Se sua organização tem atualmente uma certificação OHSAS 18001, você tem três anos a partir da publicação formal da nova norma (publicada em março de 2018) para migrar para a nova ISO 45001. OHSAS é uma sigla em inglês para Occupational Health and Safety Assessment Series, cuja melhor tradução é Série de Avaliação de Segurança e Saúde Ocupacional, é fruto de uma série de normas britânicas, desenvolvidas pelo BSI Group. Ela define os requisitos mínimos para a construção de um sistema de gestão de Saúde e Segurança Ocupacional para todos os tipos de organizações, independentemente do tamanho que tenham.
A OHSAS 18001 estabelece como as empresas podem controlar os riscos ambientais já existentes ou que possam vir a existir no ambiente de trabalho, considerando a saúde, segurança e integridade dos trabalhadores. Ela é adotada de forma voluntária pelas empresas, não havendo uma obrigatoriedade na sua implantação, com objetivos de busca por maior segurança e saúde dos trabalhadores, marketing perante o mercado ou por alguma exigência específica de um tipo de mercado ou cliente.
4.3.1 Benefícios da OHSAS 18001
- Reduzir os riscos de acidentes e/ou doenças ocupacionais;
- Aumenta a identificação e a motivação dos colaboradores;
- Aumento da credibilidade e visibilidade da empresa;
- Demonstra seu comprometimento em ter um ambiente saudável e seguro para seus empregados;
- Fornecedor qualificado;
- Evita o risco de passivos trabalhistas e ações judiciais;
- Está em dia com as obrigações legais aplicáveis ao empreendimento;
- Identificação dos perigos e riscos presentes no ambiente de trabalho;
- Aumento da produtividade;
- Melhoria na qualidade dos serviços e produtos;
- Redução dos custos;
- Melhoria contínua;
- Bem-estar no ambiente de trabalho.
A certificação OHSAS 18001 tem como base a antecipação dos riscos que as atividades da sua empresa podem trazer à saúde e segurança dos trabalhadores e sua estrutura assemelha-se à da ISO 9001 (Sistema de Gestão da Qualidade) e ISO 14001 (Sistema de Gestão Ambiental), por exemplo, o modelo PDCA, o que permite que sejam perfeitamente integradas a um único sistema de gestão, popularmente denominado Sistema de Gestão Integrada.
4.3.2 Passos para implementar a OHSAS 18.001
- Estabelecer uma política de saúde, higiene e segurança no trabalho;
- Identificar os prováveis perigos e riscos para a saúde e a segurança dos trabalhadores, sejam eles químicos, físicos, biológicos ou organizacionais;
- Cumprir as disposições normativas legais vigentes de SSO;
- Estabelecer um controle operacional para as atividades que tenham alguma chance de risco;
- Documentar, registrar e manter os processos;
- Divulgar a política de gestão de SSO a todos os colaboradores;
- Revisar periodicamente a política de gestão, promovendo a melhoria contínua dos processos e realizando verificação interna por meio de auditorias.
4.4 OHSAS 18001 x ISO 45001
A OHSAS 18001 será substituída pela ISO 45001 que tem como objetivo aprimorar o Sistema de Gestão em SST e torná-lo mais eficiente e melhor aplicável.
4.5 ISO 22.000 e o APPCC
Empresas que produzem, fabricam, manipulam ou fornecem alimentos reconhecem a crescente exigência dos clientes quanto à segurança alimentar. Cada vez mais, precisam fornecer evidências adequadas da sua capacidade de identificar e controlar riscos de segurança alimentar e as diversas variáveis que impactam essa atividade.
A ISO 22000 especifica os requisitos para um sistema de segurança alimentar em toda cadeia de produção. A norma se divide basicamente em comunicação interativa, controle dos riscos, programa de pré-requisitos (PPRs) e plano de APPCC, além de sistema de Análise de Perigos e Pontos Críticos de Controle), cuja sigla em inglês é HACCP (Hazard Analysis and Critical Control Point), tema que apresentamos em artigo anterior. O seu objetivo é prover produtos seguros que atendam aos requisitos do cliente e aos regulamentos de segurança alimentar. Com isso, busca aumentar a satisfação dos clientes em relação aos produtos consumidos.
4.6 ISO na Tecnologia da Informação
ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS – Information Security Management System), publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commission. O seu nome completo é ISO/IEC 27001 – Tecnologia da informação – técnicas de segurança – sistemas de gestão da segurança da informação – requisitos, mais conhecido como ISO 27001
Esta norma foi elaborada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, além de manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI).
A adoção de um SGSI deve ser uma decisão estratégica para a organização. Um SGSI introduzido em alguma entidade possui o intuito de reduzir a probabilidade e/ou o impacto provocado por algum tipo de incidente de segurança da informação. A especificação e implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, exigências de segurança, processos empregados e o tamanho e estrutura da organização.
- ISO 27000– Vocabulário de Gestão da Segurança da Informação (sem data de publicação);
- ISO 27001– Sistema de Gestão da Segurança da Informação – única norma da série 27000, com requisitos de certificação e passível de certificação acreditada.
- ISO 27002– Tecnologia da informação – Técnicas de segurança – Guia de boas prática para controles de segurança da informação – Sem certificação acreditada.
- ISO 27003– Tecnologia da informação – Técnicas de segurança – Sistemas de gestão de segurança da informação – Orientação.
- ISO 27004– Tecnologia da informação – Técnicas de segurança – Gestão da segurança da informação – Monitorização, medição, análise e avaliação.
- ISO 27005– Tecnologia da informação – Técnicas de segurança – Gestão de riscos na segurança da informação.
- ISO 27006– Tecnologia da informação – Técnicas de segurança – Requisitos para os organismos que fornecem auditoria e certificação de sistemas de gestão de segurança da informação.
- ISO 27001 foi baseado e substituiu o BS 7799parte dois, que não é mais válido.
As certificações, de acordo com a ISO/IEC 27001, são um meio de garantir que a organização certificada implementou um sistema para gestão da segurança da informação, de acordo com os padrões, e devidamente acreditado. Credibilidade é a chave de ser certificado por uma terceira parte que é respeitada, independente e competente, caso seja acreditada. Esta garantia dá a confiança à gerência, parceiros de negócios, clientes e auditores de que é uma organização séria com relação à gerência de segurança da informação – não perfeita, necessariamente, mas está rigorosamente no caminho certo de melhoria contínua.
Certificação Isso/IEC 27001 geralmente envolve um processo de auditoria em dois estágios:
Estágio um: é uma análise preliminar, informal do SGSI, na verificação da existência e completude da documentação-chave, como a política de segurança da informação da organização, Declaração de Aplicabilidade (do inglês Statement of Applicability – SoA) e Plano de Tratamento de Risco (PTR).
Estágio dois: é um detalhamento, com auditoria em profundidade, envolvendo a existência e efetividade do controle ISMS, declarado no SoA e PTR, bem como a documentação de suporte. A renovação do certificado envolve revisões periódicas e re-declaração, confirmando que o ISMS continua operando como desejado.
Fontes de consulta:
AMBIPAR GROUP. Normas ISO: Como a certificação impacta na gestão de Compliance? Disponível em: <https://www.verdeghaia.com.br/normas-is>. Acesso em 10 de jan. de 2023.
SOFT EXPERT. ISSO 22000. Disponível em: <https://www.softexpert.com/pt-br/solucao/iso-22000>. Acesso em 10 de jan. de 2023.