A International Automotive Task Force - IATF publicou, no dia 08 de outubro de 2019, o documento de mais 3 novas Perguntas Frequentes (FAQs). Uma FAQ é uma explicação de um requisito existente da IATF 16949:2016.
Este documento serve para que as empresas certificadas ou em processo de implementação da IATF 16949:2016 e os auditores tenham maior clareza sobre o requisito.
Desta forma, uma FAQ pode alterar o direcionamento anteriormente dado para tratar o respectivo requisito.
Foram inseridas as FAQs 27, 28 e 29 que tratam dúvidas sobre Manutenção Produtiva Total (8.5.1.5), Auditoria do Processo de Manufatura (9.2.2.3) e Plano de Contingência (6.1.2.3).
8.5.1.5 Manutenção Produtiva Total
PERGUNTA: Qual é a intenção de usar o termo "Manutenção Produtiva Total" nesta cláusula, existe uma conexão com o termo da indústria "Manutenção Produtiva Total"?
RESPOSTA: O termo "Manutenção Produtiva Total" (TPM) usado na norma IATF 16949 refere-se a várias abordagens semelhantes que focam em técnicas proativas e preventivas para melhorar a confiabilidade de ferramentas e equipamentos através de máquinas, equipamentos, processos e funcionários que agregam valor na manufatura de uma organização . Por exemplo, a abordagem da indústria para o TPM coloca a responsabilidade pela manutenção de rotina, como limpeza, lubrificação e inspeção, nas mãos dos operadores.A cláusula 8.5.1.5 da IATF 16949 possui alguns requisitos que se alinham com alguns dos pilares do TPM para a indústria. No entanto, os requisitos individuais de 8.5.1.5 [a) a j)] são os declarados na IATF 16949. O uso do termo “Manutenção Produtiva Total” na IATF 16949 oferece às organizações a oportunidade de adotar os princípios de base para a Manutenção Produtiva Total da indústria, enquanto atende aos requisitos listados em 8.5.1.5 na IATF 16949.
9.2.2.3 Auditoria do Processo de Manufatura
PERGUNTA: Quais são a frequência e a cobertura pretendidas das Auditorias do Processo de Manufatura?
RESPOSTA: A avaliação eficaz de cada processo de manufatura é vital para garantir a fabricação contínua do produto, atendendo aos requisitos estatutários, regulamentares e do cliente. No entanto, alinhados com a abordagem de risco da ISO 9001 e IATF 16949, alguns processos de fabricação ou aspectos de processos de fabricação podem precisar de uma frequência de avaliação maior do que outros.A organização determina a frequência da auditoria, se não definida pelo cliente, usando uma abordagem de gerenciamento de risco apropriada, incluindo a consideração de novas tecnologias e a medição do desempenho em relação ao cliente. Os processos de manufatura demonstrados como de baixo risco pela organização podem ser auditados com menos frequência do que os processos de alto risco; no entanto, todos os processos de fabricação são auditados dentro do ciclo de auditoria de três anos.As evidências para análise de risco incluem conformidade contínua com todos os requisitos relevantes (por exemplo: requisitos estatutários e regulamentares, do cliente, de processos e internos). Se qualquer um dos requisitos relevantes não for atendido, os processos de manufatura são auditados com uma frequência maior do que a cada 3 anos. A frequência em três anos, conforme a cláusula 9.2.2.3, é um requisito mínimo destinado a processos de manufatura de baixo risco e totalmente conformes.
6.1.2.3 Plano de Contingência
PERGUNTA: O que significa o uso do termo "ciberataque" para o teste do plano de contingência?
RESPOSTA: Um Ciberataque é uma tentativa de obter acesso ilegal a um computador ou sistema de computador com o objetivo de causar danos ou prejuízos. Um ciberataque geralmente é uma exploração deliberada de fragilidades na segurança de sistemas ou redes de computadores para obter acesso aos dados, alterar código, lógica ou dados do computador. Essas ações podem ter consequências prejudiciais que podem comprometer dados confidenciais e levar a crimes cibernéticos, como roubo de informações e identidade, interrupções operacionais causadas por automação, criptografia de dados críticos da empresa ou controle remoto ilegal de sistemas ou dados.
Os ciberataques e crimes cibernéticos nem sempre são o resultado de uma sofisticada série de ações para adivinhar senhas usando poderosos programas de computador executados por equipes de pessoas de um local remoto. Geralmente, são ações projetadas para convencer pessoas a liberar informações confidenciais ou privadas por meio de notas de e-mail (normalmente phishing), pretexting (personificando/fingindo ser uma pessoa confiável ou funcionário do governo), telefonemas anunciando emergências falsas obtendo informações pessoais, leitura visual de senhas digitadas, infecção de sites populares com malware, mensagens de texto com links para sites que instalam malware, unidades USB deixadas nas mesas aparentando serem legítimas, que conectadas a PCs roubam materiais descartados contendo informações confidenciais do computador etc.. Além disso, um cibercriminoso, depois de obter acesso ao sistema de uma empresa, poderia criptografar os dados críticos da empresa e exigir um resgate para descriptografar os mesmos.
Adicionalmente, o GDPR (Regulamento Geral de Proteção de Dados) na Europa ou requisitos semelhantes em outras regiões especificam que as organizações são responsáveis por garantir que os dados pessoais retidos pela organização sejam protegidos e mantidos em segurança o tempo todo, reforçando a importância de estarem preparados no caso de ciberataques.
Detalhes adicionais sobre as técnicas de segurança da tecnologia da informação estão disponíveis na ISO / IEC 27001.
Link para a acesso ao documento: https://www.iatfglobaloversight.org/iatf-169492016/iatf-169492016-faqs/