C:\WINDOWS\Desktop\Metrosul IV\METROSUL IV versão Final - 29-09-04.doc

METROSUL IV – IV Congresso Latino-Americano de Metrologia“A METROLOGIA E A COMPETITIVIDADE NO MERCADO GLOBALIZADO”

09 a 12 de Novembro, 2004, Foz do Iguaçu, Paraná – BRASILRede Paranaense de Metrologia e Ensaios

O CONTROLE DE DOCUMENTOS MANTIDOS EM MEIO ELETRÔNICO EOS REQUISITOS DA NBR ISO/IEC 17025

Anselmo Ferreira de Castro1, Glória Maria Pereira da Silva1, Sílvio Francisco dos Santos1

1Coordenação Geral de Credenciamento/Inmetro -Cgcre/Inmetro, Rio de Janeiro, Brasil

Resumo: Durante as avaliações realizadas pelosautores nos diversos laboratórios pertencentes à redede laboratórios acreditados - conhecida como RedeBrasileira de Calibração (RBC) - verifica-se dificuldadedesses laboratórios em atender aos requisitos da NBRISO/IEC 17025:2001 (Norma) relacionados àmanutenção de documentos em meio eletrônico. Cadavez mais laboratórios estão substituindo o controletradicional pelo controle eletrônico de documentos, oque permite mais agilidade na recuperação dainformação. Esses laboratórios implantamprocedimentos e políticas, no entanto, sentem-se decerta forma inseguros quanto ao atendimento dessesrequisitos, surgindo daí dificuldades deimplementação.

Este trabalho tem como objetivo discutir o controle dedocumentos mantidos em meio eletrônico, adotandocomo referencial o requisito 4.3 da Norma, visando,dessa forma, harmonizar o processo de avaliação dosprocedimentos de gestão dos documentos em meioeletrônico e auxiliar os laboratórios na interpretação daNorma, para que estes possam implementar sistemasque sejam adequados às suas reais necessidades eao seu porte, ao mesmo tempo em que atendam aoreferido requisito.

Este trabalho não abordará o tratamento dado aregistros (requisito 4.12 da Norma), dados (requisito5.4.7) nem transmissão eletrônica de resultados(requisito 5.10.7), deixando esses assuntos paradiscussões posteriores.

Palavras chave: NBR ISO/IEC 17025, sistemascomputadorizados, documentos.

1. INTRODUÇÃOAtualmente, a grande maioria dos laboratórios, fazuso, em maior ou menor grau, de meioscomputadorizados para armazenamento de seusdocumentos. Entre as vantagens do controlecomputadorizado está a possibilidade de aumento daprodutividade e competitividade do laboratório. Entreas atividades dos auditores internos e externos, bemcomo dos avaliadores da Cgcre/Inmetro, está aavaliação da adequação e implementação daspolíticas e procedimentos adotados pelos laboratórios,

para o controle de documentos. A implementaçãoadequada desse aspecto é um dos fatores essenciaispara a demonstração de que o laboratório écompetente, conforme especificado pela Norma.

Segundo Coutinho, em estudo comparativo das nãoconformidades identificadas pelos organismos deacreditação American Association for LaboratoryAcreditation (A2LA) e Cgcre/Inmetro, o requisito 4.3 daNorma – controle de documentos, é responsável por8,2% das não conformidades relatadas pelo A2LA e10% das não conformidades relatadas pelo organismobrasileiro. A amostra de Coutinho envolveu a análisede relatórios de todas as avaliações realizadas entre2001 e 2003. Em ambos os casos o controle dedocumentos é a terceira maior causa das nãoconformidades.

Observamos durante as avaliações, que entre asdificuldades dos laboratórios está a compreensão dosrequisitos da Norma e alguns de seus conceitos, emparticular, a definição de documento e qual aimportância do seu controle para a manutenção de umsistema da qualidade “tradicional” ou informatizado.

Embora possam parecer simples, acreditamos que oconhecimento desses conceitos é fundamental parainiciarmos nossa discussão.

1.1 Definição de documentoA NBR ISO 9000:2000, na sua parte que trata dosfundamentos e vocabulário define documento,conforme segue:

“Documento é a informação e o meio no qual ela estácontida”.

O ABNT ISO/GUIA 2:1998, na nota 2 do item 3.1,considera “´documento´ qualquer meio que contenhainformação registrada”. A nota 3 do mesmo itemconsidera “o documento e seu conteúdo como umaentidade única”.

A Norma apresenta como exemplos de documentos:regulamentos, normas, métodos de ensaios e/oucalibração, desenhos, especificações, instruções,manuais e softwares. Os documentos podem estar

C:\WINDOWS\Desktop\Metrosul IV\METROSUL IV versão Final - 29-09-04.doc

contidos em vários meios: eletrônicos, papel, e podemser digitais, analógicos, fotográficos e escritos.

A 17025 não apresenta definição de documentoeletrônico. Uma definição aceita pelos autoresconceitua “documento eletrônico como sendo o que seencontra memorizado em forma digital, nãoperceptível ao ser humano senão medianteintermediação de um computador“ [7].

De uma forma geral, podemos considerar documentoeletrônico toda informação armazenada em dispositivoeletrônico (disco rígido, disquete, CD-ROM) outransmitida através de um método eletrônico. Nestecontexto, software, banco de dados, textos, imagens,assim como as informações acessadas via Internet: e-mail, sites, etc.

Alguns laboratórios optam por manter seusdocumentos em papel, outros somente em meioeletrônico e alguns mantêm uma forma “híbrida” emque se usa tanto o meio eletrônico quanto o papel.

1.2 Importância do controle de documentosA importância do controle de documentos, tanto osgerados internamente quanto aqueles obtidos deorigem externa, reside na necessidade deidentificação do pessoal autorizado para análise eaprovação, na identificação do status da sua revisão ena identificação para distribuição para as pessoas quetêm acesso a esses documentos. Outra característicado controle de documentos é que ele seja capaz dedisponibilizar prontamente os documentos, bem comoevitar o uso de documentos inválidos e/ou obsoletos.

Um sistema de controle de documentos precisa sercapaz de gerar, emitir, receber, armazenar ou de outramaneira processar as informações buscando manter aintegridade dos documentos.

2. METODOLOGIANeste trabalho apresentaremos, inicialmente, algumasconsiderações a respeito de documentos eletrônicos,e algumas de suas características. Em seguida,faremos uma revisão do requisito 4.3 da Norma,seguida de uma discussão e interpretação desterequisito aplicado aos documentos eletrônicos,sugerindo uma abordagem para a avaliação desterequisito de fundamental importância para o bomfuncionamento do sistema da qualidade. Finalmente,faremos uma conclusão a respeito da discussão.

3. CONSIDERAÇÕESPara os documentos mantidos em meio eletrônicoconsideramos válidas as definições contidas na NBRISO/IEC 17799:2001: tecnologia da informação –código de prática para a gestão da segurança dainformação. Este documento trata da gestão da

segurança da informação e aplica as seguintesdefinições:

- Confidencialidade: garantia de que o acesso ainformação seja obtido somente por pessoasautorizadas;

- Integridade: salvaguarda da exatidão ecompleteza da informação e dos métodos deprocessamento;

- Disponibilidade: garantia de que usuáriosautorizados obtenha acesso à informação e aosativos correspondentes, sempre que necessário.

Para trabalharmos com documentos eletrônicosprecisamos entender o mecanismo de assinaturaeletrônica. Essa tecnologia busca suprir as finalidadesdas assinaturas tradicionais e não é, obviamente, adigitalização da assinatura e sua colagem emdocumento eletrônico, mas um sistema de códigospara a identificação e autenticação dos autores, que étratado por softwares.

Dependendo do tipo do sistema de segurançautilizado, existem basicamente dois tipos deassinatura eletrônica: senhas e chaves públicas.

Para nossos propósitos as senhas oferecem o nível desegurança necessário, muitas vezes maior que oproporcionado pelo papel. Por esse motivo, nãotrataremos aqui das chaves públicas.

Deve-se ressaltar que o objetivo da assinaturaeletrônica não é o de tornar o documento ilegível, poisseu conteúdo em si não é encriptado, mas elevar oestado de segurança do documento assinado, deforma a garantir sua confidencialidade, integridade edisponibilidade.

Os sistemas operacionais oferecem algumas opçõesde controle de acesso através de senhas. Entre osrecursos oferecidos por esses softwares estão:

1. Senha para acesso ao ambiente de rede;

2. Senha para compartilhamento de recursos. Nestecaso existem dois tipos de controle de acesso:controle de acesso em nível de compartilhamento,que permite que se forneça acesso a cada recursocompartilhado (por exemplo: pastas eimpressoras) e controle de acesso em nível deusuário, que permite que se especifique quais sãoos usuários ou grupos que têm acesso a cadarecurso compartilhado.

3. Senha para proteção do computador duranteestados de espera;

4. Senha para proteção de tela.

4. DISCUSSÃO DOS REQUISITOS DA NORMARELATIVOS AO CONTROLE DE DOCUMENTOS.Para o controle de documentos mantidos em meioeletrônico discutiremos os itens a seguir (os números

C:\WINDOWS\Desktop\Metrosul IV\METROSUL IV versão Final - 29-09-04.doc

entre parenteses referem-se ao itens da Norma,relativos ao controle de documentos):

a) O laboratório deve controlar todos os documentosque fazem parte do sistema da qualidade (4.3.2.1)

O laboratório define, em que meios e como sãoguardados os seus documentos, fazendo isso deacordo com a Norma.

Convém, neste requisito, observar a sistemáticaadotada pelo laboratório para controlar osdocumentos de origem externa, pois, geralmente,alguns laboratórios esquecem de abordá-los.

O acesso aos documentos mantidos em meioeletrônico - internos ou externos - pode ser feitoatravés de uma referência (link, vínculo). Estasistemática é bastante útil, pois reduz apossibilidade de utilização de documentosobsoletos.

Caso o laboratório mantenha cópia impressa, ounos seus computadores, convém que sejaapresentada a sistemática de garantia dautilização da última edição válida do documento,de forma a evitar que a revisão mantida no seusistema seja diferente daquela mantida na fonteoriginal do documento.

b) Todos os documentos emitidos para o pessoal dolaboratório como parte do sistema da qualidadedevem ser analisados criticamente e aprovadospara uso por pessoal autorizado, antes de serememitidos. Deve ser estabelecida uma lista mestraou procedimento equivalente que identifique ostatus da revisão atual e a distribuição dosdocumentos do sistema da qualidade.

O laboratório deve ter disponíveis evidências detodas as análises críticas realizadas na suadocumentação, independente de o documento tersido revisado ou não.

Uma das características do controle eletrônico é acriação de uma planilha (lista mestra ouprocedimento equivalente) onde são informadosos dados que identificam os documentos dosistema da qualidade. A rápida localização dedocumentos ajuda a tornar mais eficiente o serviçoprestado por um laboratório.

Convém que o procedimento para controle dedocumentos contenha, no mínimo, as seguintesinformações:1. Definição de responsabilidades para

elaboração, aprovação e revisão;2. Sistemática para emissão e revisão de

documentos;3. Sistemática para acesso, proteção e backup.

Convém que a lista mestra contenha, no mínimo,as seguintes informações:

1. Endereço/caminho/link do documento2. Título do documento3. Número da revisão4. Data da revisão.

Para atender a característica de confidencialidadeconvém que o laboratório defina a data inicial devalidade das senhas. Nos documentos tradicionaisfunciona da mesma forma: a partir do momento emque uma pessoa assume um cargo ou função elapassa a ser responsável pelas atividades que lhesforam atribuídas.

c) Deve-se assegurar que edições autorizadas (porexemplo, por senha) dos documentos apropriadosestejam disponíveis em locais onde sejamrealizadas operações essenciais (4.3.2.2 a).

A impressão de cópia não controlada, uso delaptop, CD, disquete, etc. é aceitável, desde queesteja assegurada a utilização da última revisãoválida.

Deve-se estar atento, para a sistemática adotadapara o caso em que o laboratório realizaatividades fora das instalações permanentes. Istoé, como o laboratório disponibiliza os documentosneste caso e como ele assegura a utilização deedições válidas.

d) Deve-se assegurar que documentos inválidos e/ouobsoletos sejam removidos de todos os pontos deemissão e uso, ou tenham impedido o seu usonão intencional (4.3.2.2 c e d).

e) Deve-se assegurar que os documentos do sistemada qualidade gerados pelo laboratório sejamunivocamente identificados (4.3.2.3).

Entendemos, que os documentos possam sermantidos em meio eletrônico de forma parcial, noentanto, sua apresentação, por exemplo, duranteauditorias, para clientes, etc. precisa estarpreservada no formato em que foramoriginalmente produzidos e sejam interpretados nocontexto em que devam ser utilizados;

f) A identificação deve incluir a data da emissão,e/ou identificação da revisão, a paginação, onúmero total de páginas ou marca identificando ofinal do documento e a autoridadeemitente(4.3.2.3).

A identificação do emitente pode ser feita atravésda definição do controle de acesso. Neste caso,somente o emitente (ou pessoas predefinidas) tempermissão para emitir documentos de suaresponsabilidade. As permissões podem ser

C:\WINDOWS\Desktop\Metrosul IV\METROSUL IV versão Final - 29-09-04.doc

concedidas a um usuário (controle de acesso emnível de usuário) ou a um grupo (controle deacesso em nível de compartilhamento) através desenhas. O uso adequado das senhas é defundamental importância, pois são elas que visamsuprir as mesmas finalidades das assinaturastradicionais e caracterizam uma das formas deassinatura eletrônica. Uma vez que uma pessoapossua acesso válido ela adquire legitimidadepara efetuar as ações restritas a pessoasautorizadas;

g) As alterações nos documentos devem seranalisadas criticamente e aprovadas pela mesmafunção que realizou a análise crítica original(4.3.3.1).

Veja itens c e i;

h) O texto alterado ou o novo texto deve seridentificado no documento ou em anexoapropriado (4.3.3.2).

Veja também item i;

i) Para assegurar a confidencialidade, oprocedimento adotado pelo laboratório deveestabelecer sistemática que defina quem temacesso às informações confidenciais (4.1.5 c).

Convém que o laboratório defina, especificamente,quais documentos as pessoas estão autorizadas aacessar. A utilização de senha individual pode serum mecanismo adequado.

Os softwares disponíveis oferecem sistemáticaspara restringir o acesso a documentos. Essassistemáticas envolvem:

1. Atribuição de senha para abertura dosdocumentos, evitando que usuários nãoautorizados os acessem (senha de proteção);

2. Atribuição de senha para modificação dosdocumentos, o que permite que outraspessoas acessem o documento, mas nãopossam alterar sem a senha. Caso umapessoa acesse o documento sem a senhapara modificar ou alterar o documento, ela sópoderá salvar o documento dando a ele umnome de arquivo diferente (senha degravação);

3. Recomendação de que outros possam abriros documentos como um arquivo de somenteleitura. Caso uma pessoa abra o documentocomo um arquivo de somente leitura e alterá-lo, ela só poderá salvá-lo dando aodocumento um nome de arquivo diferente. Sea pessoa abrir o documento como um arquivo

de leitura-gravação e alterá-lo, o documentopoderá ser salvo com o seu nome de arquivooriginal;

4. Atribuição de senha quando encaminhar umdocumento para revisão, o que evitaalterações exceto para comentários oualterações controladas;

5. Atribuição de senha para uso de campos deformulário para criar formulários, o que evitaque outros alterem as seções especificadas;

6. Atribuição de senha para proteção de pastasde trabalho e planilhas de alterações;

7. Atribuição de senha para proteção de célulasde planilhas, dados gráficos, etc.

Convém que o laboratório possua sistemática paraatribuição de senhas de modo a evitar problemasdecorrentes de esquecimento ou saídas defuncionários da organização, por exemplo.

Convém que o laboratório estabeleça procedimentosde backup que assegurem a proteção e oarmazenamento seguro das informações,demonstrando quais as medidas adotadas paraprevenir perdas e sempre que possível armazenar obackup fora das instalações do laboratório. É difícilfazer cópias de segurança de arquivos de papel,enquanto em arquivos eletrônicos o procedimento debackup é de mais fácil implementação. Entretanto, umponto crítico, neste caso, é o controle de versões.Quando um documento sofre uma alteração, este édisponibilizado pela versão mais atual. Uma eventualnecessidade de consulta a uma versão anteriornormalmente provoca um backup inverso, o que deveser evitado.

5. CONCLUSÃO

Verificamos que o tratamento a ser dado para ocontrole da documentação eletrônica, guardadas asdevidas proporções, tem poucas diferenças dotratamento adotado para os documentos mantidos emmeio físico.

A manutenção de documentos em meio eletrônicooferece muitas vantagens entre elas: agilidade,rapidez e segurança tanto para o pessoal interno daorganização quanto para seus clientes.

Atualmente, a principal desvantagem do uso do meioeletrônico, para controle dos documentos reside naligação que este possui com a tecnologia. Paracontorná-la os laboratórios precisam manterequipamentos e softwares necessários para a

C:\WINDOWS\Desktop\Metrosul IV\METROSUL IV versão Final - 29-09-04.doc

recuperação e a exibição dos dados arquivados,durante o prazo de retenção dos documentos.

Para que haja êxito nesta modalidade de uso dedocumentos é necessário que se aplique corretamentea 17025 atentando-se para a confidencialidade,integridade e disponibilidade das informações.

Durante as avaliações e auditorias internas eexternas, deve-se levar em conta, o porte dolaboratório e seu grau de informatização: como emtoda atividade o uso do bom senso é fatorfundamental para o sucesso dessas atividades.

Salientamos que cabe ao laboratório estabelecer edecidir a respeito da melhor sistemática, adequada àNorma, que seja apropriada às suas circunstâncias.

Esta discussão não deve ser interpretada comorequisito adicional, nem deve ser utilizada como parteintegrante da Norma.

6. AGRADECIMENTOSAgradecemos a colaboração dos profissionais daCgcre/Inmetro, que contribuíram para a realizaçãodeste trabalho.

7. REFERÊNCIAS[1] NBR ISO 19011 - Diretrizes para auditorias de sistema

de gestão da qualidade e/ou ambiental.

[2] NBR ISO/IEC 17025 - Requisitos gerais para acompetência de laboratórios de ensaio e calibração.

[3] DOQ-CGCRE-002, Rev. 00 - Orientações para arealização de auditoria interna e análise crítica emlaboratórios de calibração e ensaios - Inmetro(www.inmetro.gov.br).

[4] DOQ-DQUAL-006 - Orientações para adoção da NBRISO/IEC 17025 pelos laboratórios credenciados epostulantes ao credenciamento (www.inmetro.gov.br).

[5] NBR ISO 9000:2000 - Sistemas de gestão daqualidade - Fundamentos e vocabulário.

[6] ABNT ISO/IEC GUIA 2:1998 – Normalização eatividades relacionadas – Vocabulário geral.

[7] GANDINI, João A. Donizeti; SALOMÃO, Diana P. daSilva; JACOB, Cristiane. A segurança dos documentosdigitais. Disponível em: http://www1.jus.com.br/doutrinaAcesso: 13 jul. 04.

[8] COUTINHO, Maria Angélica de Oliveira.Implementação dos requisitos da Norma NBR ISO/IEC17025 a laboratórios: uma proposta de ações parareduzir a incidência de não conformidades nosprocessos de concessão e manutenção da acreditaçãopela Cgcre/Inmetro. Dissertação do Curso de Mestradoem Sistemas de Gestão da Universidade FederalFluminense – UFF. 2004.

[9] UNCITRAL Draft Model Law on Electronic Commerce.http://fletcher.tufts.edu/multi/texts/uni.txt. Acesso: 15 jul.04.

[10] SANTOS, Sílvio Francisco dos; FOLLADOR, A. C.Diniz Maciel; SOARES, Maurício Araújo. Metodologiapara auditoria de sistemas da qualidade delaboratórios segundo a NBR ISO/IEC 17025. Artigoapresentado no Congresso Metrologia 2003 –Metrologia para a Vida da Sociedade Brasileira deMetrologia. 2003.

[11] NBR ISO/IEC 17799 – Tecnologia da informação –código de prática para a gestão da segurança dainformação, Ago/2001.

C:\WINDOWS\Desktop\Metrosul IV\METROSUL IV versão Final - 29-09-04.doc

Autores:

Anselmo Ferreira de Castro, Divisão de Credenciamento deLaboratórios - Dicla, Instituto Nacional de Metrologia,Normalização e Qualidade Industrial, Av. N.S. das Graças,50, Duque de Caxias - RJ, CEP 25250-020, Tel. +55 212679-9032, Fax +55 21 2679-1529, afcastro@inmetro.gov.br

Glória Maria Pereira da Silva, Divisão de Credenciamento deLaboratórios - Dicla, Instituto Nacional de Metrologia,Normalização e Qualidade Industrial, Av. N.S. das Graças,50, Duque de Caxias - RJ, CEP 25250-020, Tel. +55 212679-9505, Fax +55 21 2679-1529, gmsilva@inmetro.gov.br

Sílvio Francisco dos Santos, Divisão de Credenciamento deLaboratórios - Dicla, Instituto Nacional de Metrologia,Normalização e Qualidade Industrial, Av. N.S. das Graças,50, Duque de Caxias - RJ, CEP 25250-020, Tel. +55 212679-9025,Fax +55 21 2679-1529, sfsantos@inmetro.gov.br