Metrosul IV



Baixar 47.89 Kb.
Encontro26.02.2018
Tamanho47.89 Kb.

METROSUL IV – IV Congresso Latino-Americano de Metrologia

A METROLOGIA E A COMPETITIVIDADE NO MERCADO GLOBALIZADO”



09 a 12 de Novembro, 2004, Foz do Iguaçu, Paraná – BRASIL

Rede Paranaense de Metrologia e Ensaios
O CONTROLE DE DOCUMENTOS MANTIDOS EM MEIO ELETRÔNICO E OS REQUISITOS DA NBR ISO/IEC 17025
Anselmo Ferreira de Castro1, Glória Maria Pereira da Silva1, Sílvio Francisco dos Santos1
1Coordenação Geral de Credenciamento/Inmetro -Cgcre/Inmetro, Rio de Janeiro, Brasil


Resumo: Durante as avaliações realizadas pelos autores nos diversos laboratórios pertencentes à rede de laboratórios acreditados - conhecida como Rede Brasileira de Calibração (RBC) - verifica-se dificuldade desses laboratórios em atender aos requisitos da NBR ISO/IEC 17025:2001 (Norma) relacionados à manutenção de documentos em meio eletrônico. Cada vez mais laboratórios estão substituindo o controle tradicional pelo controle eletrônico de documentos, o que permite mais agilidade na recuperação da informação. Esses laboratórios implantam procedimentos e políticas, no entanto, sentem-se de certa forma inseguros quanto ao atendimento desses requisitos, surgindo daí dificuldades de implementação.

Este trabalho tem como objetivo discutir o controle de documentos mantidos em meio eletrônico, adotando como referencial o requisito 4.3 da Norma, visando, dessa forma, harmonizar o processo de avaliação dos procedimentos de gestão dos documentos em meio eletrônico e auxiliar os laboratórios na interpretação da Norma, para que estes possam implementar sistemas que sejam adequados às suas reais necessidades e ao seu porte, ao mesmo tempo em que atendam ao referido requisito.

Este trabalho não abordará o tratamento dado a registros (requisito 4.12 da Norma), dados (requisito 5.4.7) nem transmissão eletrônica de resultados (requisito 5.10.7), deixando esses assuntos para discussões posteriores.

Palavras chave: NBR ISO/IEC 17025, sistemas computadorizados, documentos.

1. INTRODUÇÃO

Atualmente, a grande maioria dos laboratórios, faz uso, em maior ou menor grau, de meios computadorizados para armazenamento de seus documentos. Entre as vantagens do controle computadorizado está a possibilidade de aumento da produtividade e competitividade do laboratório. Entre as atividades dos auditores internos e externos, bem como dos avaliadores da Cgcre/Inmetro, está a avaliação da adequação e implementação das políticas e procedimentos adotados pelos laboratórios, para o controle de documentos. A implementação adequada desse aspecto é um dos fatores essenciais para a demonstração de que o laboratório é competente, conforme especificado pela Norma.

Segundo Coutinho, em estudo comparativo das não conformidades identificadas pelos organismos de acreditação American Association for Laboratory Acreditation (A2LA) e Cgcre/Inmetro, o requisito 4.3 da Norma – controle de documentos, é responsável por 8,2% das não conformidades relatadas pelo A2LA e 10% das não conformidades relatadas pelo organismo brasileiro. A amostra de Coutinho envolveu a análise de relatórios de todas as avaliações realizadas entre 2001 e 2003. Em ambos os casos o controle de documentos é a terceira maior causa das não conformidades.

Observamos durante as avaliações, que entre as dificuldades dos laboratórios está a compreensão dos requisitos da Norma e alguns de seus conceitos, em particular, a definição de documento e qual a importância do seu controle para a manutenção de um sistema da qualidade “tradicional” ou informatizado.

Embora possam parecer simples, acreditamos que o conhecimento desses conceitos é fundamental para iniciarmos nossa discussão.


    1. Definição de documento

A NBR ISO 9000:2000, na sua parte que trata dos fundamentos e vocabulário define documento, conforme segue:

Documento é a informação e o meio no qual ela está contida”.

O ABNT ISO/GUIA 2:1998, na nota 2 do item 3.1, considera “´documento´ qualquer meio que contenha informação registrada”. A nota 3 do mesmo item considera “o documento e seu conteúdo como uma entidade única”.

A Norma apresenta como exemplos de documentos: regulamentos, normas, métodos de ensaios e/ou calibração, desenhos, especificações, instruções, manuais e softwares. Os documentos podem estar contidos em vários meios: eletrônicos, papel, e podem ser digitais, analógicos, fotográficos e escritos.

A 17025 não apresenta definição de documento eletrônico. Uma definição aceita pelos autores conceitua “documento eletrônico como sendo o que se encontra memorizado em forma digital, não perceptível ao ser humano senão mediante intermediação de um computador“ [7].

De uma forma geral, podemos considerar documento eletrônico toda informação armazenada em dispositivo eletrônico (disco rígido, disquete, CD-ROM) ou transmitida através de um método eletrônico. Neste contexto, software, banco de dados, textos, imagens, assim como as informações acessadas via Internet: e-mail, sites, etc.

Alguns laboratórios optam por manter seus documentos em papel, outros somente em meio eletrônico e alguns mantêm uma forma “híbrida” em que se usa tanto o meio eletrônico quanto o papel.


    1. Importância do controle de documentos

A importância do controle de documentos, tanto os gerados internamente quanto aqueles obtidos de origem externa, reside na necessidade de identificação do pessoal autorizado para análise e aprovação, na identificação do status da sua revisão e na identificação para distribuição para as pessoas que têm acesso a esses documentos. Outra característica do controle de documentos é que ele seja capaz de disponibilizar prontamente os documentos, bem como evitar o uso de documentos inválidos e/ou obsoletos.

Um sistema de controle de documentos precisa ser capaz de gerar, emitir, receber, armazenar ou de outra maneira processar as informações buscando manter a integridade dos documentos.



2. METODOLOGIA

Neste trabalho apresentaremos, inicialmente, algumas considerações a respeito de documentos eletrônicos, e algumas de suas características. Em seguida, faremos uma revisão do requisito 4.3 da Norma, seguida de uma discussão e interpretação deste requisito aplicado aos documentos eletrônicos, sugerindo uma abordagem para a avaliação deste requisito de fundamental importância para o bom funcionamento do sistema da qualidade. Finalmente, faremos uma conclusão a respeito da discussão.



3. CONSIDERAÇÕES

Para os documentos mantidos em meio eletrônico consideramos válidas as definições contidas na NBR ISO/IEC 17799:2001: tecnologia da informação – código de prática para a gestão da segurança da informação. Este documento trata da gestão da segurança da informação e aplica as seguintes definições:



  • Confidencialidade: garantia de que o acesso a informação seja obtido somente por pessoas autorizadas;

  • Integridade: salvaguarda da exatidão e completeza da informação e dos métodos de processamento;

  • Disponibilidade: garantia de que usuários autorizados obtenha acesso à informação e aos ativos correspondentes, sempre que necessário.

Para trabalharmos com documentos eletrônicos precisamos entender o mecanismo de assinatura eletrônica. Essa tecnologia busca suprir as finalidades das assinaturas tradicionais e não é, obviamente, a digitalização da assinatura e sua colagem em documento eletrônico, mas um sistema de códigos para a identificação e autenticação dos autores, que é tratado por softwares.

Dependendo do tipo do sistema de segurança utilizado, existem basicamente dois tipos de assinatura eletrônica: senhas e chaves públicas.

Para nossos propósitos as senhas oferecem o nível de segurança necessário, muitas vezes maior que o proporcionado pelo papel. Por esse motivo, não trataremos aqui das chaves públicas.

Deve-se ressaltar que o objetivo da assinatura eletrônica não é o de tornar o documento ilegível, pois seu conteúdo em si não é encriptado, mas elevar o estado de segurança do documento assinado, de forma a garantir sua confidencialidade, integridade e disponibilidade.

Os sistemas operacionais oferecem algumas opções de controle de acesso através de senhas. Entre os recursos oferecidos por esses softwares estão:


  1. Senha para acesso ao ambiente de rede;

  2. Senha para compartilhamento de recursos. Neste caso existem dois tipos de controle de acesso: controle de acesso em nível de compartilhamento, que permite que se forneça acesso a cada recurso compartilhado (por exemplo: pastas e impressoras) e controle de acesso em nível de usuário, que permite que se especifique quais são os usuários ou grupos que têm acesso a cada recurso compartilhado.

  3. Senha para proteção do computador durante estados de espera;

  4. Senha para proteção de tela.

4. DISCUSSÃO DOS REQUISITOS DA NORMA RELATIVOS AO CONTROLE DE DOCUMENTOS.

Para o controle de documentos mantidos em meio eletrônico discutiremos os itens a seguir (os números entre parenteses referem-se ao itens da Norma, relativos ao controle de documentos):



  1. O laboratório deve controlar todos os documentos que fazem parte do sistema da qualidade (4.3.2.1)

O laboratório define, em que meios e como são guardados os seus documentos, fazendo isso de acordo com a Norma.

Convém, neste requisito, observar a sistemática adotada pelo laboratório para controlar os documentos de origem externa, pois, geralmente, alguns laboratórios esquecem de abordá-los.

O acesso aos documentos mantidos em meio eletrônico - internos ou externos - pode ser feito através de uma referência (link, vínculo). Esta sistemática é bastante útil, pois reduz a possibilidade de utilização de documentos obsoletos.

Caso o laboratório mantenha cópia impressa, ou nos seus computadores, convém que seja apresentada a sistemática de garantia da utilização da última edição válida do documento, de forma a evitar que a revisão mantida no seu sistema seja diferente daquela mantida na fonte original do documento.



  1. Todos os documentos emitidos para o pessoal do laboratório como parte do sistema da qualidade devem ser analisados criticamente e aprovados para uso por pessoal autorizado, antes de serem emitidos. Deve ser estabelecida uma lista mestra ou procedimento equivalente que identifique o status da revisão atual e a distribuição dos documentos do sistema da qualidade.

O laboratório deve ter disponíveis evidências de todas as análises críticas realizadas na sua documentação, independente de o documento ter sido revisado ou não.

Uma das características do controle eletrônico é a criação de uma planilha (lista mestra ou procedimento equivalente) onde são informados os dados que identificam os documentos do sistema da qualidade. A rápida localização de documentos ajuda a tornar mais eficiente o serviço prestado por um laboratório.

Convém que o procedimento para controle de documentos contenha, no mínimo, as seguintes informações:


  1. Definição de responsabilidades para elaboração, aprovação e revisão;

  2. Sistemática para emissão e revisão de documentos;

  3. Sistemática para acesso, proteção e backup.

Convém que a lista mestra contenha, no mínimo, as seguintes informações:



  1. Endereço/caminho/link do documento

  2. Título do documento

  3. Número da revisão

  4. Data da revisão.

Para atender a característica de confidencialidade convém que o laboratório defina a data inicial de validade das senhas. Nos documentos tradicionais funciona da mesma forma: a partir do momento em que uma pessoa assume um cargo ou função ela passa a ser responsável pelas atividades que lhes foram atribuídas.




  1. Deve-se assegurar que edições autorizadas (por exemplo, por senha) dos documentos apropriados estejam disponíveis em locais onde sejam realizadas operações essenciais (4.3.2.2 a).

A impressão de cópia não controlada, uso de laptop, CD, disquete, etc. é aceitável, desde que esteja assegurada a utilização da última revisão válida.

Deve-se estar atento, para a sistemática adotada para o caso em que o laboratório realiza atividades fora das instalações permanentes. Isto é, como o laboratório disponibiliza os documentos neste caso e como ele assegura a utilização de edições válidas.



  1. Deve-se assegurar que documentos inválidos e/ou obsoletos sejam removidos de todos os pontos de emissão e uso, ou tenham impedido o seu uso não intencional (4.3.2.2 c e d).

  2. Deve-se assegurar que os documentos do sistema da qualidade gerados pelo laboratório sejam univocamente identificados (4.3.2.3).

Entendemos, que os documentos possam ser mantidos em meio eletrônico de forma parcial, no entanto, sua apresentação, por exemplo, durante auditorias, para clientes, etc. precisa estar preservada no formato em que foram originalmente produzidos e sejam interpretados no contexto em que devam ser utilizados;

  1. A identificação deve incluir a data da emissão, e/ou identificação da revisão, a paginação, o número total de páginas ou marca identificando o final do documento e a autoridade emitente(4.3.2.3).

A identificação do emitente pode ser feita através da definição do controle de acesso. Neste caso, somente o emitente (ou pessoas predefinidas) tem permissão para emitir documentos de sua responsabilidade. As permissões podem ser concedidas a um usuário (controle de acesso em nível de usuário) ou a um grupo (controle de acesso em nível de compartilhamento) através de senhas. O uso adequado das senhas é de fundamental importância, pois são elas que visam suprir as mesmas finalidades das assinaturas tradicionais e caracterizam uma das formas de assinatura eletrônica. Uma vez que uma pessoa possua acesso válido ela adquire legitimidade para efetuar as ações restritas a pessoas autorizadas;

  1. As alterações nos documentos devem ser analisadas criticamente e aprovadas pela mesma função que realizou a análise crítica original (4.3.3.1).

Veja itens c e i;

  1. O texto alterado ou o novo texto deve ser identificado no documento ou em anexo apropriado (4.3.3.2).

Veja também item i;

  1. Para assegurar a confidencialidade, o procedimento adotado pelo laboratório deve estabelecer sistemática que defina quem tem acesso às informações confidenciais (4.1.5 c).

Convém que o laboratório defina, especificamente, quais documentos as pessoas estão autorizadas a acessar. A utilização de senha individual pode ser um mecanismo adequado.

Os softwares disponíveis oferecem sistemáticas para restringir o acesso a documentos. Essas sistemáticas envolvem:



  1. Atribuição de senha para abertura dos documentos, evitando que usuários não autorizados os acessem (senha de proteção);

  2. Atribuição de senha para modificação dos documentos, o que permite que outras pessoas acessem o documento, mas não possam alterar sem a senha. Caso uma pessoa acesse o documento sem a senha para modificar ou alterar o documento, ela só poderá salvar o documento dando a ele um nome de arquivo diferente (senha de gravação);

  3. Recomendação de que outros possam abrir os documentos como um arquivo de somente leitura. Caso uma pessoa abra o documento como um arquivo de somente leitura e alterá-lo, ela só poderá salvá-lo dando ao documento um nome de arquivo diferente. Se a pessoa abrir o documento como um arquivo de leitura-gravação e alterá-lo, o documento poderá ser salvo com o seu nome de arquivo original;

  4. Atribuição de senha quando encaminhar um documento para revisão, o que evita alterações exceto para comentários ou alterações controladas;

  5. Atribuição de senha para uso de campos de formulário para criar formulários, o que evita que outros alterem as seções especificadas;

  6. Atribuição de senha para proteção de pastas de trabalho e planilhas de alterações;

  7. Atribuição de senha para proteção de células de planilhas, dados gráficos, etc.

Convém que o laboratório possua sistemática para atribuição de senhas de modo a evitar problemas decorrentes de esquecimento ou saídas de funcionários da organização, por exemplo.

Convém que o laboratório estabeleça procedimentos de backup que assegurem a proteção e o armazenamento seguro das informações, demonstrando quais as medidas adotadas para prevenir perdas e sempre que possível armazenar o backup fora das instalações do laboratório. É difícil fazer cópias de segurança de arquivos de papel, enquanto em arquivos eletrônicos o procedimento de backup é de mais fácil implementação. Entretanto, um ponto crítico, neste caso, é o controle de versões. Quando um documento sofre uma alteração, este é disponibilizado pela versão mais atual. Uma eventual necessidade de consulta a uma versão anterior normalmente provoca um backup inverso, o que deve ser evitado.



5. CONCLUSÃO

Verificamos que o tratamento a ser dado para o controle da documentação eletrônica, guardadas as devidas proporções, tem poucas diferenças do tratamento adotado para os documentos mantidos em meio físico.

A manutenção de documentos em meio eletrônico oferece muitas vantagens entre elas: agilidade, rapidez e segurança tanto para o pessoal interno da organização quanto para seus clientes.

Atualmente, a principal desvantagem do uso do meio eletrônico, para controle dos documentos reside na ligação que este possui com a tecnologia. Para contorná-la os laboratórios precisam manter equipamentos e softwares necessários para a recuperação e a exibição dos dados arquivados, durante o prazo de retenção dos documentos.

Para que haja êxito nesta modalidade de uso de documentos é necessário que se aplique corretamente a 17025 atentando-se para a confidencialidade, integridade e disponibilidade das informações.

Durante as avaliações e auditorias internas e externas, deve-se levar em conta, o porte do laboratório e seu grau de informatização: como em toda atividade o uso do bom senso é fator fundamental para o sucesso dessas atividades.

Salientamos que cabe ao laboratório estabelecer e decidir a respeito da melhor sistemática, adequada à Norma, que seja apropriada às suas circunstâncias.

Esta discussão não deve ser interpretada como requisito adicional, nem deve ser utilizada como parte integrante da Norma.



6. AGRADECIMENTOS

Agradecemos a colaboração dos profissionais da Cgcre/Inmetro, que contribuíram para a realização deste trabalho.



7. REFERÊNCIAS

[1] NBR ISO 19011 - Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental.

[2] NBR ISO/IEC 17025 - Requisitos gerais para a competência de laboratórios de ensaio e calibração.

[3] DOQ-CGCRE-002, Rev. 00 - Orientações para a realização de auditoria interna e análise crítica em laboratórios de calibração e ensaios - Inmetro (www.inmetro.gov.br).

[4] DOQ-DQUAL-006 - Orientações para adoção da NBR ISO/IEC 17025 pelos laboratórios credenciados e postulantes ao credenciamento (www.inmetro.gov.br).

[5] NBR ISO 9000:2000 - Sistemas de gestão da qualidade - Fundamentos e vocabulário.

[6] ABNT ISO/IEC GUIA 2:1998 – Normalização e atividades relacionadas – Vocabulário geral.

[7] GANDINI, João A. Donizeti; SALOMÃO, Diana P. da Silva; JACOB, Cristiane. A segurança dos documentos digitais. Disponível em: http://www1.jus.com.br/doutrina Acesso: 13 jul. 04.

[8] COUTINHO, Maria Angélica de Oliveira. Implementação dos requisitos da Norma NBR ISO/IEC 17025 a laboratórios: uma proposta de ações para reduzir a incidência de não conformidades nos processos de concessão e manutenção da acreditação pela Cgcre/Inmetro. Dissertação do Curso de Mestrado em Sistemas de Gestão da Universidade Federal Fluminense – UFF. 2004.

[9] UNCITRAL Draft Model Law on Electronic Commerce. http://fletcher.tufts.edu/multi/texts/uni.txt. Acesso: 15 jul. 04.

[10] SANTOS, Sílvio Francisco dos; FOLLADOR, A. C. Diniz Maciel; SOARES, Maurício Araújo. Metodologia para auditoria de sistemas da qualidade de laboratórios segundo a NBR ISO/IEC 17025. Artigo apresentado no Congresso Metrologia 2003 – Metrologia para a Vida da Sociedade Brasileira de Metrologia. 2003.
[11] NBR ISO/IEC 17799 – Tecnologia da informação – código de prática para a gestão da segurança da informação, Ago/2001.

Autores:

Anselmo Ferreira de Castro, Divisão de Credenciamento de Laboratórios - Dicla, Instituto Nacional de Metrologia, Normalização e Qualidade Industrial, Av. N.S. das Graças, 50, Duque de Caxias - RJ, CEP 25250-020, Tel. +55 21 2679-9032, Fax +55 21 2679-1529, afcastro@inmetro.gov.br

Glória Maria Pereira da Silva, Divisão de Credenciamento de Laboratórios - Dicla, Instituto Nacional de Metrologia, Normalização e Qualidade Industrial, Av. N.S. das Graças, 50, Duque de Caxias - RJ, CEP 25250-020, Tel. +55 21 2679-9505, Fax +55 21 2679-1529, gmsilva@inmetro.gov.br

Sílvio Francisco dos Santos, Divisão de Credenciamento de Laboratórios - Dicla, Instituto Nacional de Metrologia, Normalização e Qualidade Industrial, Av. N.S. das Graças, 50, Duque de Caxias - RJ, CEP 25250-020, Tel. +55 21 2679-9025,Fax +55 21 2679-1529, sfsantos@inmetro.gov.br





Compartilhe com seus amigos:


©ensaio.org 2017
enviar mensagem

    Página principal