Assunto que causa controvérsia desde a década de 90, a conformidade legal das organizações certificadas pela ISO 14001 foi objeto de questionamento por partes interessadas como órgãos fiscalizadores e ONGs. A certificação ISO 14001 de organizações com requisitos legais não cumpridos geraram má reputação – “certificação quebra-galho” (este foi o título de uma reportagem publicada na década de 90).
Desde antes da publicação da ISO 14001 em 1996, quando da elaboração do seu texto a partir da norma inglesa BS 7750, houve calorosos debates sobre o seu texto quanto aos limites da conformidade legal e a obrigação de auto denúncia destas falhas pelas organizações e auditores para as autoridades, liderados pelos representantes dos Estados Unidos.
Desde então, estabeleceram-se regras internacionais mandatórias para o tratamento das questões de conformidade legal dentro dos critérios de certificação, considerando como resultado a sua credibilidade e valor para as partes interessadas, provendo também confiança aos órgãos reguladores sobre a gestão contínua e consistente da conformidade legal da organização. A mais recente delas é de 2017 do IAF (International Accreditation Forum) – EA-7/04 M: 2017 Legal compliance as a part of accredited ISO 14001:2015 certification, que atualiza a ISO/IEC 17021 – “Avaliação da conformidade – requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão”.
Com a publicação da ISO 45001:2018, que tem grande sinergia com a ISO 14001:2015, foram estabelecidas regras similares para a auditoria dos assuntos de conformidade legal dentro da sua certificação, definidas pelo IAF MD 22:2019 “Application of ISO/IEC 17021-1 for the certification of occupational health and safety management systems (OH&SMS)”.
Vale lembrar que a gestão de conformidade legal é um assunto intrínseco às normas de sistemas de gestão ISO (algumas delas utilizam o termo Compliance), e se torna mais crítico em algumas delas, como nas citadas acima, mas também em outras como a ISO 37001 (Antissuborno), a ISO 19600/futura ISO 37301 (Compliance) e a ISO 26000 (Responsabilidade social).
Vamos abordar neste artigo as regras que se aplicam às organizações auditadas, colocando particular ênfase no tratamento das falhas em atingir a conformidade legal.
REGRAS PARA A CONFORMIDADE LEGAL NA CERTIFICAÇÃO ISO 14001/ISO 45001
As regras adotadas partem de uma visão de que a auditoria de certificação de sistemas de gestão não é inspeção de órgão fiscalizador e nem auditoria de conformidade legal (que é obrigação da organização realizar conforme item 9.1.2 das Normas ISO 14001 e ISO 45001). Além disto, consideram que a certificação confirma que o sistema de gestão se mostrou efetivo em alcançar os requisitos das normas de referência, incluindo o comprometimento em atingir a conformidade legal, e sua implementação, provendo a base e suporte para a conformidade legal continuada da organização. No entanto, ela não é uma garantia de conformidade legal.
Para gerenciar o risco de imagem da certificação, e atender às expectativas das partes interessadas regulatórias e outras afetadas pelas organizações, definiram-se as regras a seguir para a ISO 14001 e para a ISO 45001:
A organização deve demonstrar que tem um comprometimento em atender a seus requisitos legais (declarado na Política – item 5.2 das 2 Normas), e que tem capacidade de atendê-los;
O comprometimento à conformidade legal começa pela identificação da legislação aplicável à organização (item 6.1.3 das 2 Normas). A organização deve demonstrar para a certificadora que identificou e teve acesso a todos estes requisitos de cada uma das partes interessadas identificadas previamente (item 4.2 das 2 Normas – Entendendo as necessidades e expectativas das partes interessadas – incluindo os trabalhadores). Além disto, deve demonstrar que esta identificação é completa, é mantida, periodicamente atualizada e analisada criticamente. Deve ainda demonstrar como os requisitos legais se aplicam aos aspectos ambientais (ISO 14001) ou à organização (ISO 14001 e ISO 45001). Estes requisitos foram considerados para estabelecer, implementar, manter e melhorar continuamente seu Sistema de Gestão;
A organização deve demonstrar que a determinação de objetivos/metas/planos (item 6.2 das 2 Normas) levou em conta os requisitos legais;
A organização deve demonstrar que identificou e planejou os seus processos para atender ao Sistema de Gestão e objetivos/metas, e controlar/reduzir (item 8.1 das 2 Normas) aspectos significativos/riscos, em linha com o comprometimento para cumprir os requisitos legais. O processo deveria controlar situações onde sua ausência poderia levar a desvios legais, e definir critérios operacionais consistentes com a conformidade legal;
A organização deve demonstrar que implementou mecanismos efetivos de monitoramento, medição, análise e avaliação (item 9.1.1 das 2 Normas) que incluam os requisitos legais;
A organização deve demonstrar que implementou processos para avaliação completa da conformidade (item 9.1.2 das 2 Normas) com cada um dos requisitos legais aplicáveis, incluindo o conhecimento e entendimento de sua situação legal, com frequência, métodos e evidências definidos e disponíveis (no caso da ISO 14001, a palavra “processos” não é explícita). Os critérios do IAF ressaltam também a necessária competência dos avaliadores da conformidade legal (item 7.2 das 2 Normas).
A organização deve demonstrar que implementou processos (ISO 45001) eficazes para tomada de ações de reação e corretivas (item 10.2 das 2 Normas) para não conformidade legais, em tempo apropriado e proporcionais às suas consequências. Tal tratamento envolve, sempre que possível (diante das condições nacionais legais requisitadas), informar ao órgão fiscalizador (dependendo da magnitude de seus efeitos às partes interessadas) e acordar com ele um plano de ações documentado com prazos definidos, o qual deveria ser considerado como uma prioridade dentro do Sistema de Gestão. Caso a habilidade de mitigação das consequências pela organização seja insuficiente e elas possam afetar as partes interessadas, esta comunicação deveria ser imediata;
O organismo certificador deve avaliar a efetividade destes processos diante de quaisquer não conformidades legais e seu tratamento (item 10.2 das 2 Normas), incluindo eventuais planos de ação acordado com os órgãos fiscalizadores. O certificador deve analisar quais os riscos assumidos com a certificação, considerando as suas consequências e o atendimento das expectativas em relação às partes interessadas. Uma não conformidade deliberada ou continuada (não pontual) deve ser considerada uma falha séria ao comprometimento com o cumprimento dos requisitos legais e deve impedir a nova certificação da organização ou a suspensão/ cancelamento daquela existente. O critério prevê que, excepcionalmente, o organismo certificador pode ainda conceder a certificação, mas deve procurar evidência objetiva para confirmar se o Sistema de Gestão é capaz de alcançar a conformidade legal requerida através da completa implementação do plano de ação documentado acordado com o órgão fiscalizador. Além disto, no caso da ISO 45001, a organização deve ter endereçado todos os perigos e riscos ocupacionais aos trabalhadores e pessoal exposto, garantindo que não há atividades/ processos/situações que podem (ou vão) levar a lesões/doenças sérias (risco grave e iminente); e que durante o período de transição colocou em ação as ações necessárias para assegurar que os riscos ocupacionais são reduzidos e controlados.
A organização deve demonstrar que incluiu nas auditorias internas (item 9.2 das 2 Normas) a avaliação do processo de avaliação periódica da conformidade legal (que pode ser feito em separado, ou não);
A organização deve demonstrar que incluiu nas análises críticas pela direção (item 9.3 das 2 Normas) a avaliação dos resultados das avaliações de conformidade legal, e quaisquer mudanças em questões internas e externas das partes interessadas e de requisitos legais;
CONCLUSÃO
Os sistemas de gestão da ISO devem servir para prover confiança às partes interessadas da efetiva e adequada gestão dos seus temas-escopo. Certamente, a conformidade legal é um assunto fundamental da gestão das organizações, e é uma necessidade e expectativa destas partes interessadas. O Brasil possui uma legislação extremamente complexa, prescritiva e conflitante entre instâncias, o que complica sobremaneira a gestão e as auditorias de certificação, que demandam como base uma competência mais aprofundada para identificar eventuais falhas e avaliar as suas consequências. Some-se a isso a possibilidade de processo criminal contra os auditores segundo a Lei de Crimes Ambientais (Lei 9.605/98), o que ocasiona um rigor e preocupação maiores do auditor quanto à conformidade legal.
A certificação dos Sistemas de Gestão tem uma responsabilidade importante na provisão desta confiança, e as regras para aceitação da sua certificação/manutenção quanto ao comprometimento continuado à conformidade legal devem ser estritamente aplicadas, para evitar riscos reputacionais das organizações e até mesmo do próprio esquema de certificação.
O que a ISO 14001 já enfrentou em seus primórdios, pode acontecer com a nova ISO 45001 caso este assunto não seja tratado com rigor.
Vamos acompanhar o seu amadurecimento e a visão das partes interessadas!!
Michel Epelbaum – Diretor da Ellux Consultoria
Diretor da Ellux Consultoria. Tem mais de 25 anos de experiência nacional e internacional em gestão de sustentabilidade, qualidade, meio ambiente, saúde ocupacional e segurança, e compliance. É membro dos Comitês Técnicos da ABNT de Gestão Ambiental, Antissuborno, Riscos, Governança, Responsabilidade Social e Energia. É Lead Assessor nas normas ISO 9001, ISO 14001, OHSAS 18001, ISO 45001, ISO 19600 e ISO 37001.
Consulte nossos serviços de Consultoria, Treinamento e Auditoria em Sistemas de Gestão, inclusive nas Normas ISO 45001 e ISO 14001.
Saiba mais em nossos posts relacionados!
A Cultura de base para os Sistemas de Gestão
A ISO 45001 e a Transição da OHSAS 18001: Estatísticas de Certificações
Estatísticas de Certificações ISO – 2018 para Normas de Sistemas de Gestão
Atualização da ISO 9004 – Sucesso Sustentado e a Interface com os Sistemas de Gestão
