Jornada de Certificação Tisax Mapa Mental Completo Quality Way

A Quality Way realizou, no dia 2 de março, um webinar com o tema “Jornada de Certificação TISAX”, transmitido ao vivo para todos que se inscreveram no evento e conduzido pelo Diretor de Sistemas de Gestão da empresa, Fábio Bertolino. O webinar contou também com a participação de Vladimir Rodrigues, Consultor Especialista em Tisax da Quality Way, Alexandre Oliveira, Gerente de Marketing, Vendas e TI da DQS, empresa de auditoria e certificação, e algumas empresas e clientes da Quality Way, entre outros participantes. 

O objetivo foi promover uma troca de experiências sobre temas atuais e relevantes: a segurança da informação no setor automotivo, as exigências que estão sendo colocadas pelas montadoras e a importância da certificação TISAX nesse contexto.

Fábio Bertolino iniciou destacando que algumas montadoras já colocaram prazos para que seus fornecedores e parceiros se certifiquem, independentemente do porte, o que pressiona ainda mais as empresas que têm negócios com essas montadoras a se planejar o quanto antes, já que o processo leva entre 6 e 9 meses.

Não tente fazer sozinho!

Um dos clientes da Quality Way presentes no webinar, que é fornecedor do setor automotivo, afirmou que a demanda pela certificação surgiu há dois anos, e eles não tinham ideia de como tratar o tema. Tiveram dificuldade de achar informações mais aprofundadas a respeito da TISAX, até chegar ao portal da norma (https://portal.enx.com/en-US/TISAX/). 

Depois de algum tempo, entenderam que o primeiro passo era analisar o catálogo VDA ISA, já que a TISAX é uma certificação composta pelos requisitos da VDA ISA derivada da norma internacional ISO/IEC 27001:2013 e adaptada ao setor automotivo, combinando requisitos das duas e mais alguns requisitos de privacidade. 

Começaram, então, a fazer a auto avaliação, mas aí perceberam que, sozinhos, seria muito difícil cumprir toda a jornada de certificação, ainda mais em um prazo curto e com o cliente pressionando e exigindo a adequação à norma para manter os negócios.

Ponto Importante: VDA ISA

Esse é o primeiro ponto de atenção durante o processo: muitas consultorias oferecem apoio para realizar a certificação na ISO 27001. Só que o catálogo VDA ISA não foca somente na ISO 27001. Ele vai muito além disso, tratando de requisitos específicos que as montadoras exigem que sejam implementados nos sistemas de gestão. Outro detalhe é que cada caso é um caso, já que a jornada vai depender também do escopo da certificação que cada empresa precisa implantar, se inclui protótipos ou não, entre outras particularidades.

Esse cliente explica que, com a Quality Way, eles encontraram o caminho para desenvolver um Sistema de Gestão da Segurança da Informação (SGSI) que os atendeu muito bem, construindo juntos um cronograma de atividades, definindo escopo, prazos e processos e fazendo reuniões periódicas para monitoramento. “Ganhamos tempo, porque conseguimos adotar templates, políticas e processos que já tinham uma estrutura bem próxima daquilo que precisávamos, foi só adaptar. Além disso, conseguimos integrar com os sistemas de gestão já implementados na nossa empresa, como o ambiental, por exemplo.”

Envolva toda a equipe

Ele contou que a empresa investiu muito em treinamento e adequações de infraestrutura para atender aos controles de prototipagem, ressaltando que é fundamental treinar as pessoas, fazê-las entender o que está sendo implementado, como e por quê. A conscientização deve ir desde a portaria até o pessoal da limpeza, porque quando o auditor vai na empresa, ele conversa com todos. “Esse processo agregou muito valor para nós, trouxe mais interação da gestão com as outras áreas, mais transparência, e reforçou a governança. E a auditoria interna que fizemos antes da certificação nos fez enxergar e corrigir alguns pontos a tempo.” 

Outro ponto de atenção destacado durante o webinar é que o envolvimento da direção é um fator fundamental de sucesso, não só devido ao alto investimento, mas porque o projeto envolve praticamente todas as áreas. Além disso, é importante ter um sponsor (patrocinador), que vai fornecer recursos organizacionais e suporte financeiro para o projeto.

Tisax para Comunicação e Marketing

Não são só fornecedores ou fabricantes de peças para automóveis que precisam planejar sua certificação. Parceiros que lidam com informações confidenciais e estratégicas, também devem obter a TISAX. É o caso de outros clientes da Quality Way, agências de comunicação que trabalham com produtos do setor automotivo que ainda não foram lançados e requerem confidencialidade, para não ocorrer vazamento de arquivos como textos, imagens ou filmes. 

Mais um ponto importante abordado no webinar: se ocorre alguma mudança na VDA ISA e os requisitos mudam, quem vai fazer a certificação tem que acompanhar as atualizações. Um cliente conta que escolheu a QW principalmente pela experiência dos consultores, que entenderam exatamente as particularidades da empresa e deram todo o apoio, ajudando a estruturar e monitorar o plano, fazer toda a validação e o treinamento da equipe. 

Na visão deles, a auditoria independente é muito importante para apontar as não conformidades que devem ser trabalhadas, e aceitar essas não conformidades é crucial para corrigi-las e concluir o processo. Por isso, é importante que essa auditoria seja feita sempre por alguém que não participou do processo.

Recomendações para a Jornada de Certificação TISAX

Vladimir Rodrigues, Consultor Sênior da Quality Way, explicou que a certificação envolve inúmeros aspectos, e o grande desafio é adaptar esses vários aspectos e diferentes exigências para cada empresa e cada situação, porque os perfis, as necessidades e os contextos são diferentes em cada caso. Porém, ele listou algumas recomendações que servem para qualquer empresa que vá iniciar o processo de certificação:

  • A direção da empresa tem que participar, apoiar e enxergar o SGSI como estratégico;
  • Estabeleça um comitê para tratar de Segurança da Informação;
  • Não encare como um projeto da área de TI, e sim de todas as áreas;
  • É preciso acompanhar, cobrar, ter cronograma para fazer acontecer;
  • Entenda que uma cultura de Segurança da Informação com maturidade leva tempo para ser construída. Não foque somente em conseguir a certificação, mas nas vantagens de ter um SGSI na sua empresa e os benefícios que isso trará para a segurança e a governança;
  • Muita atenção à parte de conformidade com leis, regulamentos e contratos;
  • Muita atenção com protótipos, aspecto estrutural, segurança dos ambientes e salas.

Por fim, Fabio encerrou dizendo que já existe, hoje, uma tendência de as montadoras japonesas também começarem a exigir a certificação TISAX, a exemplo das alemãs. “A certeza é que, daqui para frente, teremos que dar cada vez mais atenção à segurança da informação, por causa da evolução das tecnologias e aumento da conectividade. Infelizmente, só damos valor à SI quando sofremos alguma invasão ou vazamento de dados. Precisamos nos antecipar e construir um SGSI sólido, e a jornada de certificação TISAX pode ajudar muito nesse processo.”

 

Saiba mais sobre a certificação TISAX neste artigo “TISAX atualização 2023”
Saiba mais sobre o processo de implementação da norma, entraves e riscos envolvidos no processo de adequação TISAX e dicas neste artigo “TISAX dicas de implementação”

Assuntos Relacionados

SAQ 5.0 na EDAG - Avaliação de Sustentabilidade
SAQ 5.0 na EDAG
Desburocratização do RH
Desburocratização do RH
ESG e SAQ 5.0 + ABNT PR 2030
ESG e SAQ 5.0
Tisax Dicas de Implementação: Mapa Mental Quality Way
TISAX Dicas de Implementação