Certificação e Acreditação
Fernando Brito e Abreu (fba@di.fct.unl.pt) Universidade Nova de Lisboa (http://www.unl.pt) QUASAR Research Group
(http://ctp.di.fct.unl.pt/QUASAR)
© Fernando Brito e Abreu 2
3/28/2007
RESUMO
Introdução
Reconhecimento mútuo Certificação de Produtos Certificação de Processo
Problema do “Âmbito da Certificação”
Iniciativa TickIT
Certificação de Auditores
Acreditação
© Fernando Brito e Abreu 3 3/28/2007
Introdução
O que é a Certificação ?
É um processo de verificação da conformidade com uma dada norma
Certificar o quê ?
Qualidade dos Produtos Qualidade dos SGQs Qualidade dos Auditores
© Fernando Brito e Abreu 4
3/28/2007
Introdução
Certificar porquê ?
leva o produtor a organizar o seu processo produtivo e a avaliar a qualidade dos produtos e permite-lhe disso dar evidência ao mercado
ajuda o cliente, em situação de concorrência, a decidir com mais fundamento (qualidade vs custo)
Certificar por quem ?
Deve ser feita por organizações com competência
reconhecida, imparciais e devidamente acreditadas –
são as entidades certificadoras (certification bodies)
Estas organizações são conhecidas por terceira parte,
dado serem supostamente a parte não interessada no
negócio entre as outras duas (produtor e cliente)
© Fernando Brito e Abreu 5 3/28/2007
Reconhecimento mútuo
Avaliado UMA VEZ Certificado UMA VEZ Aceite em TODO O LADO
Tal como acontecia com as cartas de condução, os certificados de qualidade não são muitas vezes
reconhecidos fora do país de emissão, mesmo na U.E.
Obstáculo: avaliações feitas pelos organismos certificadores
variam grandemente em função das convenções e práticas nacionais
© Fernando Brito e Abreu 6
3/28/2007
Reconhecimento mútuo
Colaboração entre a C.E., E.F.T.A. e CEN/CENELEC Objectivos:
Encorajar, incrementar e gerir o desenvolvimento de sistemas de certificação europeus
Celebrar acordos de reconhecimento mútuo de certificados e relatórios de avaliação
Fornecer o enquadramento necessário para a harmonização / conformidade das avaliações
Dar apoio técnico no trabalho legislativo a produzir nesta área na U.E. e nos países da E.F.T.A.
Veículo para troca de experiências
Mais informação: http://www.eotc.be
Certificação de Produtos
© Fernando Brito e Abreu 8
3/28/2007
Certificação de Produtos
Certificação de Compatibilidade com:
Plataformas de hardware PCs, PDAs, …
Plataformas de software de base e middleware sistema operativo, rede, …
Plataformas para software aplicacional
automação de escritório, ERPs, …
© Fernando Brito e Abreu 9 3/28/2007
Certificação de Produtos
Certificação de Compatibilidade Alcatel OmniPCX Office Compliant BMC Certified MarketZone Product Cingular Certified Solution
EMC Centera Certified
Hewlett-Packard: Certified for HP-UX Microsoft Programs
Novell "YES Certified"
Palm Powered Logo Testing
SAP "Powered by SAP NetWeaver"
© Fernando Brito e Abreu 10
3/28/2007
Certificação de Produtos
Certificação da Segurança http://niap.nist.gov/cc-scheme
Certificação da Encriptação
http://csrc.nist.gov/cryptval/
© Fernando Brito e Abreu 11 3/28/2007
Certificação de Produtos
Certificação de Interoperabilidade http://www.vpnc.org
http://www.ipv6ready.org
Certificação de não Intrusão
http://www.icsalabs.com/html/certification/index.shtml
© Fernando Brito e Abreu 12
3/28/2007
Certificação de Produtos
A certificação de produtos é um negócio e por isso existem empresas especializadas:
Exemplo:
VeriTest
http://www.veritest.com/certification
© Fernando Brito e Abreu 13 3/28/2007
Certificação do produto
… em Portugal
CERTIF (Associação para a Certificação de Produtos) têm 48 esquemas de certificação de produtos
certificados 129 tipos de produtos em 369 empresas
Problema:
Não há em Portugal esquemas de certificação para produtos de software!
© Fernando Brito e Abreu 14
3/28/2007
Marcas sobre produtos (exemplos)
Marca nacional de conformidade
Pode-se aplicar a qualquer produto
Marca própria da CERTIF
Foi já concedida a uma grande variedade de produtos, com realce para o material eléctrico, produtos da construção e produtos alimentares
Marca ENEC
Concedida no âmbito do Acordo ENEC
Aplica-se a equipamento de TI (EN 60950), componentes eléctricos e electrónicos (EN 60320, EN 60130, EN 60998 e EN 61058), luminárias (EN 60598)
Keymark (CEN/CENELEC)
Concedida no âmbito do European Mark Scheme (EMS01)
Aplica-se a todos os electrodomésticos abrangidos pelas
normas da série EN 60 335
© Fernando Brito e Abreu 15 3/28/2007
Acordos de reconhecimento mútuo
Organismo País Acordos / Esquemas
CCA ENEC KEYMARK HAR
AENOR Espanha • • • •
ASTA Reino Unido • •
BASEC Reino Unido •
BBJ-SEP Polónia •
BEAB Reino Unido • • •
BSI Reino Unido • •
CEBEC Bélgica • • • •
CERTIF Portugal • • • •
DEMKO Dinamarca • • • •
ELOT Grécia • • •
EVPU Eslováquia •
EZÚ República Checa • • • •
IMQ Itália • • • •
KEMA Holanda • • • •
MEEI Hungria • • • •
NEMKO Noruega • • • •
NSAI Irlanda • • •
ÖVE Áustria • • • •
PCBC Polónia •
PREDOM-OBR Polónia •
SEMKO Suécia • • • •
SGS FIMKO Finlândia • • • •
SIQ Eslovénia • • •
SIQ Eslovénia • • •
SNCH Luxemburgo • •
TSE Turquia • • •
TÜV Product ServiceAlemanha • •
TÜV Rheinland Alemanha • •
UL Intern. DEMKO Dinamarca • • • •
Certificação de Processo
© Fernando Brito e Abreu 17 3/28/2007
Certificação de processo
Em Portugal não se faz (ainda) certificação de produtos das TI, mas faz-se a certificação do Sistema de Gestão de Qualidade (SGQ) das empresas das TI
Esta última é levada a cabo da mesmo forma que para uma empresa de qualquer outro sector da actividade
Problema: não se usa em Portugal um esquema de certificação
sectorial, como por exemplo existe em outros países europeus
Série de normas ISO9000/EN29000 constitui um enquadramento de referência para SGQ
A implementação de um SGQ implica uma série de actividades …
© Fernando Brito e Abreu 18
3/28/2007
Implementação do SGQ: acções
Definição de uma Política de Qualidade que valorize a participação efectiva de todos na melhoria das práticas de trabalho
Introdução de pontos de controlo (inspecções), com maior formalismo, ao longo do ciclo de vida dos projectos
Acções permanentes de discussão e de divulgação
Acções de formação sobre a ISO 9000, auditorias, qualidade no SW, ferramentas de testes, gestão de configurações, helpdesk, modelação de processos, ...
Acções de permanente melhoria do SGQ
© Fernando Brito e Abreu 19 3/28/2007
SGQ: exemplo de Política da Qualidade
(retirado de http://www.inforlandia.pt)
O principal objectivo da Inforlandia é satisfazer os desejos dos seus Clientes, proporcionando-lhes produtos de qualidade e um serviço exemplar, de forma a atingir um adequado retorno do capital investido.
Trabalhando com as marcas líderes de mercado, a Inforlandia proporciona aos seus Clientes as melhores relações "custo-
qualidade-performance", acompanhando as soluções de hardware e software com o aconselhamento e serviço adequado às
necessidades actuais e futuras dos seus clientes.
Para atingir a excelência no cumprimento dos objectivos, a empresa compromete-se a:
© Fernando Brito e Abreu 20
3/28/2007
SGQ: exemplo de Política da Qualidade
(retirado de http://www.inforlandia.pt)
Disponibilizar produtos de qualidade a preços concorrenciais, indo de encontro às necessidades, expectativas e requisitos do cliente;
Prestar um bom serviço de atendimento e esclarecimento;
Prestar um bom serviço de assistência técnica;
Possuir uma equipa de técnicos qualificados que garantam a excelência, qualidade e rapidez dos serviços prestados, apostando na sua constante actualização e formação profissional;
Ter um grupo de colaboradores dedicados, prestáveis e simpáticos, que criem um ambiente agradável, proporcionando-lhe os meios e recursos necessários à execução das suas tarefas;
Apostar nas relações de parceria com fornecedores seleccionados, que proporcionem confiança nos produtos oferecidos, rapidez de resposta e preços competitivos.
Esta política é conseguida com o envolvimento, dedicação, lealdade e
esforço de todos os colaboradores da Inforlandia, trabalhando dia a dia no
sentido da melhoria contínua, proporcionando um crescimento sustentado
e contínuo da empresa e da sua valorização e realização pessoal.
© Fernando Brito e Abreu 21 3/28/2007
Implementação do SGQ: dificuldades
Hábitos enraizados de trabalho Resistência à mudança …
Pressões externas do negócio
Clientes não querem suportar custos da qualidade … Falta de sensibilidade e de formação nesta área
© Fernando Brito e Abreu 22
3/28/2007
Certificação do processo
… em Portugal
APCER - Associação Portuguesa de Certificação
Sede: Edif. Península, Pç do Bom Sucesso 127-131, 4150 Porto Delegação: Edif. Rosa, Praça das Indústrias, 1300 Lisboa
SGS - Societé Generale de Surveillance (sede Geneva)
PR EM SE A
CE RT I F I C AD
A APCER
SISTEMA PORTUGUÊS DA QUALIDADE CERTIFICADO N.99/CEP .967
NP EN ISO 9001
© Fernando Brito e Abreu 23 3/28/2007
Empresas das TIs pioneiras na certificação do seu SGQ
(92) ICL Computadores
(93) Companhia IBM Portuguesa:
Serviços Técnicos
(94) Digital Equipment Portugal (94) NCR Portugal
(94) Novabase - Sistemas de Informação e Bases de Dados (94) Rank Xerox
(95) Alcatel - Sistemas de Comunicação
(95) Hewlett Packard Portugal (96) Eurociber Portugal
(97) Compta - Equipamentos e Serviços de Informática
(97) Origin Portuguesa (98) GE Capital Information Technology Solutions (98) RICMADE (Madeira) (98) Siemens - Unidade de Negócio Siemens/Nixdorf
Muito poucas e maioritariamente multinacionais!
E hoje em dia?
© Fernando Brito e Abreu 24
3/28/2007
Empresas das TI com
certificação recente do seu SGQ
Efectue uma pesquisa na Internet …
Questões:
A situação melhorou consideravelmente?
Qual será o factor distintivo quando todos
os fornecedores estiverem certificados?
© Fernando Brito e Abreu 25 3/28/2007
Problema do “Âmbito da Certificação”
Alguns casos reais …
Fornecimento de produtos e soluções integradas de
telecomunicações e tecnologias de informação (97/CEP.518) Fornecimento de equipamentos, produtos, serviços e soluções integradas na área das tecnologias de informação
(99/CEP.1025)
Fornecimento de equipamento, serviços e soluções integradas na área das tecnologias de informação, incluindo concepção e desenvolvimento de software (99/CEP.917)
Comercialização, concepção, desenvolvimento, implementação e assistência após venda de soluções, produtos e serviços das tecnologias de informação (00/CEP.1092)
Qual é o problema?
© Fernando Brito e Abreu 26
3/28/2007
Iniciativa TickIT
Iniciativa do Department of Trade and Industry (DTI) do Reino Unido baseada em proposta da British Computer Society (BCS)
Objectivos:
Certificação de SGQ pela EN29001 (ISO9001) através da aplicação das linhas orientadoras da EN29000-3 (ISO9000-3) Concepção de materiais de apoio para clientes, fornecedores e auditores que relacionassem os requisitos genéricos do ISO 9001 com os requisitos específicos dos SGQ
Promoção da qualificação profissional de auditores de SGQ Criação do National Registration Scheme para auditores
N 2
9 00 1
E
© Fernando Brito e Abreu 27 3/28/2007
Iniciativa TickIT (continuação)
O "Guide to Software Quality Management System Construction and Certification Using EN29001” inclui:
Guia do Fornecedor - directivas para os implementadores de SGQ desejando a certificação ISO 9001
Guia para o Comprador - expectativas dos clientes face a uma organização cujo SGQ foi avaliado e certificado
Guia do Auditor - directivas sobre os métodos de conduzir avaliações de fornecedores desejando a certificação ISO 9001. Inclui os requisitos profissionais para auditores TickIT
© Fernando Brito e Abreu 28
3/28/2007
Iniciativa TickIT (continuação)
Várias centenas de organizações produtoras de software foram certificadas pelo TickIT
A maioria são inglesas e multinacionais, mas há outras da Holanda, Bélgica, Alemanha, França, Irlanda, Japão, Índia, Brasil e até Portugal ☺ Mais informações:
http://www.tickit.org/
© Fernando Brito e Abreu 29 3/28/2007
Certificação de Auditores
A especialização, formação e certificação de auditores é uma peça fundamental para a credibilidade de todo este processo
Esse é o papel de organizações como o
International Register of Certificated Auditors http://www.irca.org/home.html
Acreditação
© Fernando Brito e Abreu 31 3/28/2007
Acreditação
A certificação abrange um leque de produtos, empresas e tecnologias tão variado que é impossível um só organismo reunir todas as competências necessárias, seja para normalizar, seja para certificar!
O que é a acreditação?
Reconhecimento formal que um laboratório de ensaios ou calibração, organismo de certificação ou
normalização tem competência para a sua missão
© Fernando Brito e Abreu 32
3/28/2007
Acreditação (mais perguntas)
Quem pode acreditar?
Só o Organismo Nacional de Acreditação
IPQ, no caso Português (http://www.ipq.pt) Exemplo:
A APCER é uma Entidade Acreditada como organismo de
certificação para Sistemas da Qualidade pelo IPQ (Instituto
Português da Qualidade) – N.98/OCF.02 Serie ISO 9000 e pela
ENAC (Entidad Nacional de Acreditación) – Nº09/C – SC 009 /
98 Serie ISO 9000/QS9000 e para Sistemas de Gestão
Ambiental pela ENAC (Entidad Nacional de Acreditación) -
09/C–MA005 de 29/06/2000
© Fernando Brito e Abreu 33 3/28/2007
Acreditação (mais perguntas)
O processo de acreditação está normalizado ? Sim, é regulada pela série de normas EN45000 / NP45000
A acreditação depende, por exemplo, da existência de auditores com uma série de competências definidas
© Fernando Brito e Abreu 34
3/28/2007
Acreditação (mais perguntas)
Podem coexistir vários organismos de certificação acreditados na mesma área ?
Em vários países há uma saudável competição no fornecimento de serviços de certificação
Exemplo: no Reino Unido há pelo menos 6 organismos
de certificação acreditados competindo na área das TIs
Em Portugal havia até finais da década de 90
apenas a APCER (certificação do processo), a
CERTIF (certificação do produto) e 4 OCS em
áreas distintas
© Fernando Brito e Abreu 35 3/28/2007
TickIT-Accredited Certification Bodies
Reino Unido
BM TRADA Certification BSI Systems Assessment
Bureau Veritas Quality International Limited Det Norske Veritas Quality Assurance Limited Electricity Association Quality Assurance Limited IMS International Limited
Lloyd’s Register Quality Assurance Limited National Quality Assurance Limited
SGS Yarsley International Certification Services Limited Sira Certification Service
Suécia
DNV Certification AB (Stockholm)
© Fernando Brito e Abreu 36
3/28/2007
Acreditação (Portugal / 1998)
165 Laboratórios de Ensaio 31 Laboratórios de Calibração 85 Auditores de Qualidade
42 Organismos de Normalização Sectorial (ONS) 4 Organismos de Certificação Sectorial (OCS)
Máquinas Agrícolas, Produtos Cerâmicos, Material Eléctrico e Embalagem (apenas um organismo em cada área ...)
Porquê a disparidade entre o nº de ONS e OCS ?
© Fernando Brito e Abreu 37 3/28/2007
Acreditação (Portugal / 2007)
Efectue uma pesquisa na web
Questões:
O que é que mudou?
Deve haver monopólio estatal da acreditação?
© Fernando Brito e Abreu 38
3/28/2007
Integração dos Processos de Acreditação e de Certificação
Onde é que entra a Normalização?
Orgão Certificador regista
assegura
forma
acredita
acredita avalia
certifica
emprega
Fornecedor de cursos
Orgão Acreditador (nível nacional) Cliente
Fornecedor (Produtor)
Auditor
© Fernando Brito e Abreu 39 3/28/2007
Trabalho prático
Sistema de gestão do aeroporto da Ota
O Ministro das Obras Públicas, Transportes e Comunicações nomeou-o Director de Informática do novo Aeroporto da Ota
A sua primeira missão é encontrar a empresa que melhor garantia lhe forneça de estar em
condições de desenvolver o SIGAO (Sistema Integrado de Gestão do Aeroporto da Ota)
Essa empresa será, se possível, portuguesa; senão, de um estado membro da União Europeia
A escolha deverá ser baseada na maximização da sobreposição entre o âmbito de certificação da
empresa produtora e as áreas a abranger pelo SIGAO
© Fernando Brito e Abreu 40
3/28/2007