Não conformidade ISO: como agir?

Share on linkedin
Share on twitter
Share on facebook

A não conformidade nas normas ISO significa o não atendimento a um requisito mandatório da norma. 

Sem perceber o problema e a sua causa raiz, não determinando sua causa e sem as medidas cabíveis para evitar que aconteça novamente.

Quando uma empresa é certificada em alguma norma ISO, existe um conjunto específico de standards que devem ser seguidos para estar em conformidade com as diretrizes. 

Caso algum desses requisitos obrigatórios não seja cumprido, a empresa será considerada não conforme.

Tipos de não conformidade

Não conformidade menor

A não conformidade menor é um evento ou ação que está fora dos requisitos das ISO

No entanto, esse tipo de violação não tem consequências desastrosas para a forma como a empresa opera, nem causa efeitos importantes.

Exemplos de não conformidade menor

 

A não conformidade menor pode incluir um único evento ou uma situação de baixo risco, como um lapso momentâneo no julgamento gerencial.

Um auditor provavelmente considerará uma situação de não conformidade menor se não houver efeito observado em processos ou operações posteriores.

As não conformidades menores incluem por exemplo um registro de treinamento ausente, uma única alteração de documento não autorizada ou uma máquina após sua data de calibração.

Qualquer coisa que pode ser facilmente ser consertada observando a violação é geralmente considerada pequena. 

Quanto menos tempo for necessário para corrigir o problema, mais tempo poderá ser gasto operando com eficiência e segurança.

Não conformidade maior

Acontece quando um requisito mandatório não é cumprido.

Quando uma não conformidade menor se repete futuramente durante o ciclo de auditoria, também é considerada uma não conformidade maior.

Qualquer acontecimento que coloque em risco diretamente o Sistema de Gestão da empresa é considerada uma não conformidade maior.

Exemplos de não conformidade maior

Uma empresa certificada na ISO 27001 que compartilha acessos privilegiados de sistemas de TI com os fornecedores, ditos acessos não estão mapeados nem controlados.

A situação descrita acima, corresponde a não conformidade maior no item A.15.1.1 Política de segurança da informação no relacionamento com os fornecedores, não está efetivo esse processo.

Outro exemplo ainda na ISO 27001, foi identificado que todos os fornecedores de soluções de TI recentes (6 meses até hoje) não possuem termo de confidencialidade assinado. NC no requisito A.13.2.4 Acordos de confidencialidade e não divulgação. 

Neste contexto encontrar um erro pontual, cabe ao auditor líder decidir se a NC é maior ou menor porém quando já passa a ser sistêmico coloca em risco o sistema de gestão como um todo

Software de gestão de auditorias
Conheça o sistema que vai acelerar a implementação ISO na sua empresa

Além das não conformidades: Pontos fortes e potencial de melhoria

Pontos fortes

Um ponto forte corresponde a itens muito bem implementados dentro dos processos da sua empresa, que contribuem para a melhoria continua do sistema de gestão.

Exemplo de ponto forte

O processo de conscientização da empresa está otimizado ISO 27001.

Possuem plataforma EAD dentro da empresa na qual todos os colaboradores têm participado e acessado em todos os itens, consequentemente a taxa para 

Potencial de melhoria

Não é uma não conformidade. Corresponde a processos que estão funcionando de uma forma relativamente aceitável porém poderiam estar funcionando melhor.

 

Exemplo de potencial de melhoria

O processo de levantamento de riscos está efetivo porém é demorado.

O que fazer na frente de uma não conformidade

Isto depende do tipo de não conformidade, se ela for maior ou menor. Também depende da origem da não conformidade se ela foi detectada na auditoria interna ou na auditoria de terceira parte.

 

Algumas normas podem ter regras como suspensão do certificado até a não conformidade ser resolvida.

 

Não conformidade em auditoria interna

Tudo bem é o momento de fechar possíveis GAPS.
Prepare um plano de contenção e um plano de ação para o fechamento da não conformidade e defina os prazos para o fechamento.

Você pode gerenciar tudo isso de forma ágil e muito simples com dashboards úteis, visão de kanban, Gannt e até agenda entre outros… utilizando a versão free e online do nosso software de auditoria.

Não conformidade em auditoria de terceira parte: Certificação, manutenção..

Além de preparar o plano de contenção e de ação e planejar o fechamento. Precisa dar atenção especial nas regras de credenciamento da norma. 

Algumas podem suspender o certificado se identificada uma não conformidade maior. Neste caso o sistema de gestão fica com o seu certificado suspenso até o fechamento da não conformidade.

Acontece uma auditoria adicional (auditoria de follow up) além das já planejadas no ciclo de auditoria, que pode ser no local ou uma auditoria remota. Geralmente de 1 dia de auditoria.

Normas mais rígidas exigem a verificação da eficácia do plano de ação, pelo que na auditoria subsequente você precisará alocar o tempo para dita verificação da eficácia. 

Por exemplo, você está na primeira manutenção da norma, nessa manutenção aconteceu a não conformidade maior. 

Acontecerá a auditoria de follow-up a qual é uma auditoria extraordinária e logo na próxima auditoria do ciclo quer dizer na segunda manutenção, será alocado esse tempo de verificação da eficácia.

Isso você consegue ver de forma gráfica e intuitiva também no nosso software de auditoria.

Não conformidade na certificação inicial

O processo de certificação inicial, geralmente possui a fase 1 e a fase 2. Sendo que a fase 1 é uma análise documental. 

A fase 2 corresponde a auditoria de certificação na qual se ocorrer tudo bem você ganha a certificação da norma na sua empresa.

O risco envolvido da não conformidade na certificação inicial, corresponde a ter não conformidades que não possam ser fechadas dentro do prazo estipulado pelo credenciador.

O credenciador é um organismo que está por cima da própria empresa certificadora.

Suponhamos que na certificação a sua empresa teve 15 não conformidades entre estas menores e maiores. 

Se você fechá-las antes do 90 dias subsequentes não terá nenhum problema em obter o certificado para o seu sistema de gestão.

Conclusão

A não conformidade é um processo normal de melhoria continua dentro dos sistemas de gestão ISO.

Como visto anteriormente o risco maior acontece no processo de certificação inicial. Após um sistema implementado ele tende e melhorar continuamente.

Se a sua empresa não está tendo não conformidade existem algumas hipóteses válidas. 

Ou a sua empresa tem um excelente sistema de gestão e os processos praticamente não mudam ou as auditorias internas/externas não estão tendo o nível de profundidade e qualidade necessária.

error: Content is protected !!
Falar com consultor
Quer tirar dúvidas?