Já informamos em artigo anterior sobre as novas orientações do IAF (International Accreditation Forum), órgão internacional normalizador de regras para as certificações de sistemas/produtos e outras, sobre a adaptação do processo de auditoria de certificação/manutenção de Normas de Sistemas de Gestão da ISO diante da pandemia oriunda do COVID19.
Neste artigo, atualizamos as informações, envolvendo a migração da OHSAS 18001 para a ISO 45001 (cujo prazo se encerraria em 12/03/2020), bem como falamos mais sobre as auditorias neste período de isolamento social na maioria dos países.
MIGRAÇÃO DA OHSAS 18001 PARA A ISO 45001
Devido ao COVID19, o IAF publicou, em seu sítio eletrônico, em 3 de abril (atualizado em 11/04/2020) uma nova FAQ (perguntas frequentes):
P15: O que acontecerá com o período de migração da ISO 45001? Será estendido?
R15: A certificação da OHSAS 18001 pode ser estendida por até 6 meses como detalhado na FAQ 10. Isto significa que o período de transição para migrar certificações acreditadas da OHSAS 18001:2007 para a ISO 45001:2018 é estendido até 30 de setembro de 2021. A auditoria para migração pode ser feita com técnicas de auditoria remota, seguindo o que já foi esclarecido em Q5. (Resposta publicada em 3 de abril e atualizada em 11/04/2020 com texto azul).
Tal hipótese deverá ser negociada entre a organização a ser certificada e o órgão certificador, que deve definir regras específicas para conduzir as auditorias de certificação e manutenção neste período de pandemia, o que envolve diretamente as auditorias remotas.
Os critérios a serem adotados pelos organismos de certificação para esta situação foram detalhados no artigo anterior, onde foi explicado o caso de empresas certificadas pelo critério brasileiro do INMETRO. Mas todos os organismos de acreditação dos países definiram suas regras relativas a esta pandemia, seguindo a mesma orientação geral contido nas normas do IAF.
PERÍODOS DE TRANSIÇÃO ENTRE VERSÕES DIFERENTES DE NORMAS
De forma similar ao FAQ15 exposto anteriormente, a FAQ20 do IAF trata de situações de atualização de versão de normas diante da certificação (p.ex. a ISO 50001 foi atualizada em 2018, a ISO 22301 foi atualizada em 2019):
P20: O que acontecerá com o período de transição (p.ex. ISO 22000:2018, ISO 50001:2018); Estes serão estendidos?
R20: Sim, os períodos de transição são estendidos por 6 meses. A auditoria de transição pode ser feita com técnicas de auditoria remota, seguindo o que já foi esclarecido em Q5.
AUDITORIA REMOTA DE CERTIFICAÇÃO/MANUTENÇÃO
Apesar de já estar normatizado pelo IAF (IAF ID 12:2015; IAF MD 4:2018) e pela ISO 19011 há alguns anos, a auditoria remota ganhou bastante atenção neste período de pandemia, pois se tornou vital para não parar os processos de certificação/manutenção.
Devem ser considerados aspectos como riscos e oportunidades envolvidos (bem como os controles adotados para tornar os riscos aceitáveis), segurança, confidencialidade, integridade das evidências, confiabilidade da TIC (Tecnologia de Informação e Comunicação) e competência dos auditores para uso das TICs.
As TICs são as tecnologias para coletar, armazenar, recuperar, processar, analisar e transmitir informação. Elas incluem software e hardware como smartphones, dispositivos portáteis, computadores laptop e desktop, drones, câmeras de vídeo, tecnologia vestível, inteligência artificial, e outras. Exemplos do uso de TIC durante auditorias pode incluir, mas não limitados a:
- Reuniões: por meio de instalações de teleconferência, incluindo áudio, vídeo e compartilhamento de dados;
- Auditoria de documentos e registros por meio de acesso remoto, síncrono (em tempo real) ou assíncrono (quando aplicável);
- Registro de informações e evidências por meio de vídeo estático, gravação de vídeo ou áudio;
- Provisão de acesso visual/áudio a locais remotos ou potencialmente perigosos.
Na semana passada participei de uma live, com um órgão certificador, que relatou sua experiência com auditorias remotas de sistemas de gestão, inclusive uma completamente remota, destacando-se:
- Questionamento prévio ao cliente sobre as TICs usadas, como os dados são armazenados e recuperados, processos, dentre outros;
- Seleção prévia dos processos potencialmente objetos da auditoria remota;
- Análise de riscos abrangente (p.ex. riscos de integridade e confiabilidade dos dados, de falha da comunicação, de mau uso da TIC), e a adoção de medidas de tratamento que os tornem aceitáveis (p.ex. alternativas para a comunicação, testes prévios com o cliente, envio de documentação prévia, uso de dados em nuvem);
- Cuidados com informação confidencial.
Esta previsão de auditoria remota completa é prevista pelo IAF:
P5: É possível realizar remotamente uma auditoria de certificação completa?
R5: Sim, em teoria é possível, se para o esquema específico todos os requisitos podem ser avaliados remotamente, incluindo a observação de atividades. Entretanto, isto pode mudar para esquemas específicos.
Importante frisar que o IAF definiu para o Sistema de Gestão de Saúde Ocupacional e Segurança uma FAQ específica sobre auditoria remota, com restrições sobre o controle de processos e de riscos:
R14: Não, considerando as circunstâncias específicas, e o fato de que o IAF MD5:2019 será aplicável a partir de 7 de maio de 2020, a restrição colocada sobre atividades de auditoria remota pelo IAF MD 5 não se aplicam. Isto significa que o controle de processo e de controle de riscos de SOS podem ser auditados usando técnicas de auditoria remota, até o fim da emergência da COVID-19.
CONCLUSÃO
Neste momento totalmente atípico de gestão de crise do COVID19, o uso de auditorias remotas, que seria implantado progressivamente ao longo de anos, foi acelerado para superar barreiras para a certificação, recertificação, sua manutenção ou migração.
As TICs passaram para o palco. Se tornaram vitais para economia, assim como para as auditorias. Nada será como antes. A inovação alcançará novos patamares, inclusive nas TICs. E as auditorias deverão se adaptar. E nós também.
Resiliência, flexibilidade e adaptação!!
Michel Epelbaum – Diretor da Ellux Consultoria
Diretor da Ellux Consultoria. Tem mais de 25 anos de experiência nacional e internacional em gestão de sustentabilidade, qualidade, meio ambiente, saúde ocupacional e segurança, e compliance. É membro dos Comitês Técnicos da ABNT de Gestão Ambiental, Antissuborno, Riscos, Governança, Responsabilidade Social e Energia. É Lead Assessor nas normas ISO 9001, ISO 14001, OHSAS 18001, ISO 45001, ISO 19600 e ISO 37001.
Consulte nossos serviços de Consultoria, Treinamento e Auditoria em Sistemas de Gestão, inclusive nas Normas ISO 31000, ISO 14001, ISO 9001, ISO 37001, ISO 19600, ISO 45001, ISO 26000 e ISO 50001.
Saiba mais em nossos posts relacionados:
Órgãos fiscalizadores na Pandemia – decisões de interesse para as organizações
Coronavirus e Sistema de Gestão da Continuidade do Negócio
Adaptação das Auditorias de Certificação dos Sistemas de Gestão ISO à Pandemia
Coronavirus e Petróleo: Contexto, Gestão de Riscos e Sistemas de Gestão ISO
ISO 45001, Modernização da Legislação de SST e Gestão de Riscos
APROVADA A ISO 45001 – SISTEMAS DE GESTÃO DE SAÚDE OCUPACIONAL E SEGURANÇA!!!
PARA ENTENDER POR QUE A ISO 45001 DEMOROU 20 ANOS!
OS PASSOS PARA A IMPLEMENTAÇÃO/CERTIFICAÇÃO DA ISO 45001 E O FIM DA OHSAS 18001