Autor: Wiseplan Group

As organizações estão cada vez mais em busca de um diferencial que ateste o seu produto ou serviço e atenda aos órgãos fiscalizadores, vislumbrando assim a importância de uma certificação ISO para melhoria dos seus processos e alcance de resultados. Quando as organizações não cumprem com algum requisito legal, interno da organização ou de alguma norma, surge uma não conformidade.

Nenhum sistema de gestão é perfeito, sendo assim, ocorrerão problemas, ou seja, não conformidades. Então as organizações precisam tratar e resolver a não conformidade o mais rápido possível e prevenir a recorrência. A elaboração do relatório de não conformidade auxilia na análise da causa raiz dos problemas e consequentemente nas propostas de ações corretivas.

O que é a Não Conformidade?

A não conformidade é o não atendimento de um requisito, processo ou atividade. Isso pode ocorrer em qualquer momento e em qualquer local de uma empresa, não se limitando a área de produção.

Exemplo: reclamações referentes a uma área específica podem evidenciar um problema recorrente com um produto ou serviço, podendo apontar para uma não conformidade – por isso é imprescindível obter o feedback do cliente, estabelecendo um procedimento documentado de pesquisa de satisfação.

Como identificar a Não Conformidade?

Exemplos de como as não conformidades podem ser identificadas:

Externamente

– Auditorias se segunda parte (pelo cliente) ou terceira parte (órgão certificador ou regulador);

– Pesquisa de Satisfação do cliente;

– Reclamação de cliente.

Internamente

– Auditoria de primeira parte (auditoria interna realizada normalmente pela organização);

– Não cumprimento de um requisito / processo interno;

– Observação / inspeção do processo ou na execução de uma atividade;

– Análise de indicadores e tendências de resultados;

– Resultado de análise crítica da direção.

Como tratar a Não Conformidade?

Quando uma não conformidade é identificada, deve-se documentar, elaborando um relatório de não conformidade para tomar medidas para corrigi-la e eliminar a causa. Vamos utilizar um exemplo: uma quadra de vôlei de um clube parece abandonada pois está crescendo mato nas rachaduras.

Ação Imediata: a ação que será tomada de forma imediata para mitigar os impactos. Ex: Cortar o mato imediatamente.

Causa raiz: analisar qual foi a(s) causa(s), o real motivo da não conformidade, a raiz do problema. Ex: Cortar o mato somente o eliminará naquele momento (ação imediata). Arrancar o mato pela raiz ou fechar as rachaduras impede que o problema se repita. Alguns métodos podem ser utilizados para identificar a(s) causa(s) raiz. Exs: diagrama de causa ou efeito (Ishikawa) ou os 5 porquês.

Nem sempre é possível eliminar a causa raiz, mas é possível minimizar a probabilidade da recorrência.

Ação Corretiva: ação implementada para eliminar a causa do problema que esteja gerando uma ou mais não conformidades, impedindo a sua recorrência.

Análise de eficácia: A norma ISO 9001:2015 exige que seja realizada uma análise crítica da eficácia de ações corretivas tomadas (item 10.2-d). Por isso a importância deste item também ser considerado no relatório de não conformidade. Esta análise pode ser realizada na auditoria interna, em uma reunião ou no acompanhamento com as áreas envolvidas.

Importante: tanto na ação imediata quanto na ação corretiva, deve-se atribuir as responsabilidades e os prazos.

A não conformidade pode gerar um novo risco ou uma oportunidade (item 10.2-e da Norma ISO 901:2015) e algumas organizações consideram este item também no relatório de não conformidade.

Como as organizações podem prevenir ou minimizar a Não Conformidade?

Ações preventivas podem minimizar ou até evitar que uma não conformidade ocorra.

Análise crítica pela direção

As análises críticas pela direção são realizadas normalmente a cada 6 meses (é o período mínimo recomendo aos meus clientes), onde as organizações analisam criticamente o sistema de gestão, tendo a oportunidade de corrigir os problemas atuais ou ainda iniciais, revisar os processos propondo melhorias, definem novos objetivos. Estas análises e novos objetivos podem ajudar muito a prevenir uma não conformidade.

Feedback do cliente

Realizar uma pesquisa de satisfação de cliente é importante para uma organização saber como está o grau de satisfação deles em relação ao seu produto ou serviço, seja ele positivo ou negativo. Dedicar um tempo para analisar os resultados destas pesquisas e seus comentários podem ajudar a identificar tendências e a possibilidade de examinar melhor a causa de um problema.

Feedback do colaborador

O colaborador é aquele que está envolvido diretamente nas atividades do dia-a-dia, conhecendo profundamente vários processos, como eles estão relacionados, as dificuldades e problemas para desempenhar estas atividades. É importante também o feedback destes colaboradores que podem trazer, com este conhecimento, correções e melhorias nos processos e assim, minimizar a não conformidade.

Compartilhe :

Outros Artigos

Imagine sua empresa ter a sua disposição um time de especialistas em Planejamento Estratégico, Gestão de TI, Segurança da Informação, LGPD, Soluções Microsoft, Governança, Compliance, Gestão da Qualidade, Continuidade de Negócios e muito mais.

Aumente suas chances de sucesso com uma análise inicial gratuita.

Em vigor desde 2020, a Lei Geral de Proteção de Dados (Lei 13.709/2018), “LGPD”, instituiu o dever de governança e proteção dos dados pessoais tratados no exercício das atividades desempenhadas pelas organizações, sobretudo daquelas que realizam o tratamento de dados pessoais considerados sensíveis, mais vulneráveis à ocasionar danos aos seus titulares se tratados de maneira irregular.

Com as obrigações impostas, é fundamental que haja um movimento de adequação e conformidade à LGPD, para assegurar a licitude das atividades de tratamento e o atendimento aos direitos dos titulares, tangibilizados no art. 18 da LGPD, dentre eles a confirmação da existência de tratamento, o acesso a todos os dados tratados, a oposição à tratamentos desnecessários ou em desconformidade com LGPD, apagamento de dados excessivos ou desnecessários, revogação do consentimento, quando a coleta for justificada por ele, além da portabilidade e exclusão dos dados, quando permitido pela legislação. Caso os direitos não sejam atendidos no prazo legal e da forma prevista, os titulares podem realizar queixas no canal de atendimento e denúncias da ANPD – Autoridade Nacional de Proteção de Dados, órgão especializado na fiscalização da lei.

Desta forma, operações de saúde devem se atentar aos riscos atrelados ao tratamento de dados de saúde, pois estes são classificados pela LGPD como sensíveis e, consequentemente, que merecem atenção da governança corporativa e a adoção de medidas adequadas para a segurança e mitigação de riscos, a fim de assegurar a aderência à proteção legal imposta.

A utilização de dados pessoais na área da saúde majoritariamente envolve:

Na prática, a regulamentação da privacidade na área da saúde apresenta diversos impactos reais para as organizações de saúde, pois:

Por isso, é fundamental que as instituições que atuam na área da saúde se programem para adequar toda a sua operação, a fim de evitarem riscos jurídicos, reputacionais e financeiros, além de penalidades administrativas previstas pela LGPD por meio da ANPD.

Não basta garantir a segurança da informação e a preservação do sigilo de dados de saúde. É necessário estruturar um Programa de Governança da Privacidade, alinhado

com as estratégias e objetivos organizacionais e adequar juridicamente todas as relações estabelecidas que envolvam o tratamento de dados, sejam elas internas (colaboradores) ou externas (terceiros).

O compliance à privacidade, além de requisito legal, também pode impulsionar a competitividade e reputação da instituição, tendo em vista a natureza sensível das informações tratadas, além de transmitir mais confiança e segurança para o publico alvo e para o mercado. Desta forma, suas necessidades e impactos devem ser profundamente considerados com atenção nas estratégias corporativas na Saúde.

Compartilhe :

Últimos Artigos

Aumente suas chances de sucesso com uma análise inicial gratuita.

Imagine sua empresa ter a sua disposição um time de especialistas em Planejamento Estratégico, Gestão de TI, Segurança da Informação, LGPD, Soluções Microsoft, Governança, Compliance, Gestão da Qualidade, Continuidade de Negócios e muito mais.

O que é Indicador de Desempenho (KPI)

Indicador de desempenho ou indicador chave de desempenho (KPI – Key Performance Indicator) é uma ferramenta que possibilita as empresas medirem o que está sendo executado e gerenciá-lo de forma adequada para alcançar as metas planejadas. Como disse William E. Deming, “Não se gerencia o que não se mede.”

Os indicadores são mais do que números declarados periodicamente, eles ajudam a determinar as estratégias operacionais e financeiras da empresa, apoiam os executivos e líderes de negócios na tomada de decisões e as equipes a se concentrarem no que é importante.

Por que os indicadores de desempenho são importantes?

Aqui estão algumas razões pelas quais os indicadores de desempenho são importantes:

• Seu valor para os objetivos de negócios: os indicadores são importantes para os objetivos de negócio da empresa, para apoiar os executivos na tomada de decisões. É fundamental que os objetivos de negócio sejam comunicados de forma eficaz a todos da empresa, promovendo a responsabilidade individual e departamental para a organização.
• Responsabilidades e motivação dos funcionários: os indicadores, ao serem acompanhados pela empresa, pode demonstrar ao funcionário um reconhecimento pelo seu trabalho, um sentimento de responsabilidade, promovendo um ambiente de trabalho favorável ao aprendizado e crescimento pessoal.
• Gestão de desempenho: os indicadores facilitam na gestão de desempenho, pois possibilita que o funcionário veja, não somente o que ele está fazendo e seus resultados, mas também o que os outros estão fazendo. Isso garante que os funcionários estejam na mesma direção.
• Verificação de Integridade: os indicadores apresentam uma visão objetiva da integridade da empresa, como, por exemplo, os seus principais riscos e os indicadores financeiros.

Como desenvolver Indicadores de Desempenho?

Os indicadores só serão úteis se você os identificar corretamente para o seu negócio. Eles devem estar alinhados à sua estratégia, ou então estará perdendo tempo e dinheiro.

Existem algumas etapas recomendadas para desenvolver os indicadores certos:

Inicie pela estratégia

O que a sua empresa está buscando alcançar? Definindo uma estratégia, fica mais fácil determinar os objetivos apropriados e assim descobrir os indicadores que serão implementados para alcança-los.

Descreva perguntas que você precisa responder

Fazer perguntas para as respostas que você precisa é importante para restringir mais o seu foco, pois as perguntas fornecem um sentido aos indicadores. Isso ajudará a determinar quais são os dados necessários a serem coletados, ou seja, quais indicadores são os mais adequados.

Escrever os indicadores

Sabendo as perguntas, será necessário definir os dados que você precisa para estabelecer quais os KPIs e as métricas são essenciais para responder a essas perguntas.

Definidos, eles precisam ser claramente descritos. Os indicadores eficazes seguem a metodologia SMART, ou seja, garantir que sejam específicos, mensuráveis, atingíveis, relevantes e com prazos determinados.

Certificar-se que são compreensíveis

É essencial que todos na organização entendam seus KPIs, o que a empresa está querendo alcançar e como está medindo este progresso, para que possam agir de acordo com eles, principalmente os responsáveis pelo indicador.

Quando as pessoas entendem como trabalhar com estes dados, elas podem tomar decisões que as levarão na direção certa, sendo capazes de responderem a pergunta: Como o que estou fazendo hoje pode afetar os indicadores?

Revisar os indicadores

É importante revisar os indicadores frequentemente, pois os negócios e clientes mudam, alguns indicadores talvez não sejam mais relevantes. Se planejar para verificar e avaliar os principais indicadores de desempenho e atualizá-los quando necessário.

Compartilhe :

Últimos Artigos

Aumente suas chances de sucesso com uma análise inicial gratuita.

Imagine sua empresa ter a sua disposição um time de especialistas em Planejamento Estratégico, Gestão de TI, Segurança da Informação, LGPD, Soluções Microsoft, Governança, Compliance, Gestão da Qualidade, Continuidade de Negócios e muito mais.

A ISO/IEC 27001 está em revisão e a ISO/IEC 27002:2022 – Segurança da Informação, Cibersegurança e Proteção da Privacidade – Controles de Segurança da Informação foi lançada. A última revisão da ISO/IEC 27002 foi publicada em fevereiro de 2022, e a ISO/IEC 27001 seguirá logo em seguida. O comitê técnico conjunto da International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC), ISO/IEC JTC 1, está mudando a estrutura da estrutura de controle ISO/IEC 27001/27002 após quase 20 anos.

Qual é a diferença entre ISO/IEC 27001 e ISO/IEC 27002?

As organizações podem obter a certificação ISO/IEC 27001, mas não ISO/IEC 27002. A ISO/IEC 27001 documenta os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gerenciamento de segurança da informação, enquanto a ISO/IEC 27002 é projetada para as organizações usarem como uma referência para a seleção de controles e fornece diretrizes para práticas de gestão de segurança da informação, incluindo a implementação e gestão de controles, levando em consideração o ambiente de risco de segurança da informação da organização. As organizações podem ser certificadas em padrões que contêm requisitos, mas não podem ser certificadas em padrões que fornecem orientação.

As principais mudanças na ISO/IEC 27001:2022 incluem:

• Anexo A referências aos controles na ISO/IEC 27002:2022, que inclui o título de controle e o controle;
• A nota da Cláusula 6.1.3  é revisada editorialmente, inclusive excluindo os “objetivos de controle” e substituindo “controle de segurança da informação” por “controle”
• A redação da Cláusula 6.1.3 d) é revisada para fornecer clareza e eliminar ambiguidades.

 

Alterações na ISO/IEC 27002:2022 A ISO/IEC 27002:2013 contém 114 controles em 14 domínios; A ISO/IEC 27002:2022 contém 93 controles em 4 domínios:

Existem agora 5 atributos de controle para cada controle:

• Como categorizar – preventivo, detetive, corretivo.
• Propriedades de segurança da informação – confidencialidade, integridade, disponibilidade.
• Conceitos de cibersegurança – identificar, proteger, detectar, responder, recuperar.
• Recursos operacionais – governança, gerenciamento de ativos, proteção de informações, segurança de recursos humanos, segurança física, segurança de sistemas e redes, segurança de aplicativos, configuração segura, gerenciamento de identidade e acesso, gerenciamento de ameaças e vulnerabilidades, continuidade, segurança de relacionamento com fornecedores, legal e conformidade, gerenciamento de eventos de segurança da informação, garantia de segurança da informação.
• Domínios de segurança – governança e ecossistema, proteção, defesa, resiliência.

 

Doze novos controles foram introduzidos na nova versão da ISO/IEC 27002:

1. Inteligência de ameaças
2. Gerenciamento de identidade
3. Segurança da informação para uso de serviços em nuvem
4. Prontidão de TIC para continuidade de negócios
5. Monitoramento de segurança física
6. Endpoint do usuário dispositivos
7. Gerenciamento de configuração
8. Exclusão de informações
9. Mascaramento de dados
10. Prevenção de vazamento de dados
11. Filtragem da Web
12. Codificação segura

 

Dezesseis controles foram excluídos por duplicação ou melhor alinhamento sob outros controles:

1. Revisão das políticas de segurança da informação
2. Política de dispositivos móveis
3. Propriedade de ativos
4. Manuseio de ativos
5. Sistema de gerenciamento de senhas
6. Áreas de entrega e carregamento
7. Remoção de ativos
8. Equipamentos de usuários autônomos
9. Proteção de informações de log
10. Restrições de software instalação
11. Mensagens eletrônicas
12. Protegendo serviços de aplicativos em redes públicas
13. Protegendo transações de serviços de aplicativos
14. Testes de aceitação do sistema
15. Reportando pontos fracos de segurança da informação
16. Revisão de conformidade técnica

 

Existem alguns controles que foram modificados e integrados para se tornarem um controle principal. Aqui estão alguns exemplos:

• “Inventário de ativos” é modificado como “Inventário de informações e outros ativos associados”.
• “Uso aceitável de ativos” alterado para “Uso aceitável de informações e outros ativos associados”.
• Política sobre controles criptográficos e gerenciamento de chaves etc. alterada para “Uso de controles de criptografia”.
• Log de eventos renomeado para “Logging”.
• Os logs do administrador e do operador foram alterados para “Atividades de monitoramento”
• Políticas e procedimentos de transferência de informações, acordo sobre transferência de informações, etc. combinados como um controle principal em “Transferência de informações”.

Compartilhe :

Últimos Artigos

Aumente suas chances de sucesso com uma análise inicial gratuita.

Imagine sua empresa ter a sua disposição um time de especialistas em Planejamento Estratégico, Gestão de TI, Segurança da Informação, LGPD, Soluções Microsoft, Governança, Compliance, Gestão da Qualidade, Continuidade de Negócios e muito mais.

Como está a adequação dos processos da sua organização quanto as regulamentações, auditorias ou demandas do mercado?

A sua organização tem muitos processos, mas parece que não funcionam corretamente?

Os gerentes não tem as informações essenciais para tomada de decisões importantes relacionadas aos processos?

Seus clientes ou funcionários não têm informações sobre como são executados os principais processos?

Se você respondeu sim pra qualquer uma das perguntas ou a todas elas, talvez seja preciso identificar quais pontos dos processos precisam de melhorias, analisar mais de perto a gestão de processos do negócio para entender o que está acontecendo de errado.

A gestão de processos tem como objetivo o alinhamento dos processos às metas estratégicas de uma organização, é uma combinação de práticas centradas na geração de valor organizacional por meio de uma cultura de melhoria de processos.

Quais são os principais benefícios que você pode esperar da Gestão de Processos?

Produtividade: a identificação e remoção de gargalos, a eliminação de estágios desnecessários e a introdução de processo paralelo podem ser facilmente atingidos com a gestão de processos, permitindo que os funcionários tenham mais tempo para outras atividades, trazendo assim um aumento de produtividade e redução de desperdício.

Agilidade: Para atender aos requisitos da sua organização e as mudanças necessárias devido a regulamentações, demandas do mercado ou novas formas de trabalho, os processos podem ser facilmente personalizados. Com a gestão de processos, a organização tem a flexibilidade de fazer alterações nos processos com custos mínimos.

Conformidade e transparência: ao adotar a gestão de processos, os processos se tornam transparentes, visíveis aos funcionários, e também garante que a sua organização implemente os requisitos regulatórios do setor.

Satisfação do funcionário: a organização que pratica a gestão de processos, eliminando burocracia e reduzindo o trabalho repetitivo devido a automação dos processos, permite que os funcionários se dediquem totalmente no seu trabalho.

Foco no cliente: com maior produtividade e os processos mais otimizados, os funcionários terá maior capacidade e concentração nas atividades para entregar resultados certos aos clientes e partes interessadas.

Consistência e repetibilidade: com a gestão de processos, toda tarefa é executada da mesma forma, como foi projetado, e os problemas identificados são tratados da mesma maneira, mesmo que as pessoas mudem, devido a estes processos serem registrados em procedimentos e disponibilizados para consulta a todos envolvidos.

Redução de Riscos e eficiência: a organização pode ter uma redução de riscos quando se tem processos melhores projetados, executados e monitorados, sendo um resultado da gestão de processos. Com uma melhor visibilidade dos processos, é possível se concentrar nas ineficiências.

Mensurabilidade: com a gestão de processos é possível medir todos os processos de ponta a ponta e comparar aos resultados esperados. Se implementado com tecnologia, fornece relatórios para a tomada de decisões estratégicas.

Sem processos, sua empresa é uma bomba-relógio, propensa a erros e impossível de ser dimensionada.

Compartilhe :

Últimos Artigos

Aumente suas chances de sucesso com uma análise inicial gratuita.

Imagine sua empresa ter a sua disposição um time de especialistas em Planejamento Estratégico, Gestão de TI, Segurança da Informação, LGPD, Soluções Microsoft, Governança, Compliance, Gestão da Qualidade, Continuidade de Negócios e muito mais.