🎬 Aula completa com o Prof. François Martinon. Assista para complementar a leitura deste artigo.

 

Toda organização já tem um sistema de gestão. Mesmo sem nenhuma norma ISO como referência, ela entrega um produto, atende clientes, opera processos e gera resultado. A questão nunca é se a empresa tem gestão, mas o quanto essa gestão é organizada, previsível e capaz de melhorar com o tempo.

Quando uma empresa decide formalizar essa gestão, costuma buscar uma certificação. E é aí que começa um padrão comum: ela conquista a primeira certificação, depois a segunda, às vezes a terceira, e percebe que está mantendo sistemas paralelos que quase não conversam entre si. Políticas duplicadas dizendo quase a mesma coisa. Auditorias internas e externas separadas para cada norma. As mesmas áreas auditadas várias vezes. Os mesmos registros pedidos de novo a cada ciclo. Riscos analisados em planilhas paralelas, por setores diferentes, sobre o mesmo evento.

Esse é o cenário que a integração de sistemas de gestão resolve. E para empresas de tecnologia, onde segurança, qualidade, privacidade e continuidade são lados da mesma moeda, integrar deixou de ser um luxo para virar uma forma mais inteligente de operar.

O que significa integrar

Sistema de Gestão Integrado (SGI) é o alinhamento ou a harmonização entre os sistemas de gestão de uma organização, sintonizando níveis hierárquicos e setores diferentes em torno de uma mesma linguagem e de objetivos comuns. A meta é melhorar a satisfação das partes interessadas com menos custo e mais eficiência.

A palavra-chave é harmonizar, não uniformizar. Cada norma preserva o que tem de próprio. A ISO 9001 trata de qualidade, a ISO/IEC 27001 de segurança da informação, a ISO/IEC 27701 de privacidade, a ISO/IEC 20000-1 de serviços de TI, a ISO 22301 de continuidade de negócio e a ISO/IEC 42001 de gestão de inteligência artificial. Cada uma mantém sua disciplina específica. O que se unifica é a forma de operar tudo isso.

Um detalhe importante para quem opera no dia a dia: integrar não apaga as diferenças. Às vezes os objetivos de duas normas puxam para lados opostos, e reconhecer esses conflitos faz parte de gerir o SGI. Alta disponibilidade de um serviço pode exigir réplicas que ampliam a superfície de exposição de dados. A ISO 20000 quer o serviço sempre no ar, a ISO 22301 quer capacidade de não parar mesmo em crise, mas a ISO 27001 lembra que disponibilidade precisa conviver com confidencialidade. Esses equilíbrios precisam ser desenhados desde o início, de forma integrada, e não descobertos depois que viraram problema.

O que torna a integração possível

A espinha dorsal da integração é a Estrutura Harmonizada (HS), o novo nome dado à antiga High Level Structure (HLS). A nomenclatura mudou em 2021, mas a essência não mudou muito: ela mantém numeração comum, frases inteiras de requisitos idênticas entre normas diferentes e termos comuns, incluindo as definições básicas de organização, risco e parte interessada.

Esse é o ponto que destrava tudo. O conceito de risco, por exemplo, é sempre o mesmo: efeito da incerteza sobre os objetivos. Não importa se o objetivo é de qualidade, de segurança, de continuidade ou de inteligência artificial. O conceito não muda.

Toda norma ISO de gestão tem dez capítulos. Os três primeiros (escopo, referências normativas, termos e definições) não estabelecem requisitos. As exigências aparecem das cláusulas 4 a 10:

  • 4 — Contexto da organização
  • 5 — Liderança
  • 6 — Planejamento
  • 7 — Apoio
  • 8 — Operação
  • 9 — Avaliação de desempenho
  • 10 — Melhoria

Cerca de 70% dos requisitos já são compartilhados entre as normas. As cláusulas 4, 5, 6, 7, 9 e 10 são praticamente idênticas. A diferença mora no capítulo 8, a operação, o "D" do PDCA, onde cada norma traz sua disciplina específica.

Mesmo assim, vale uma ressalva que separa o bom profissional do "profissional kit ISO": ainda que a maioria dos requisitos seja comum, podem existir pequenas diferenças adicionais numa norma em relação a uma cláusula específica. A ISO/IEC 42001, por exemplo, traz exigências próprias de escopo na cláusula 4.3, além do texto comum a todas as normas. O diabo mora nos detalhes, e a atenção do consultor precisa ser integral.

Mesmo no capítulo 8 dá para integrar

A ideia de que o capítulo 8 é território intransponível não se sustenta na prática. Em uma empresa que desenvolve software e implementa ISO 9001 junto com ISO 27001, é possível incorporar os controles de desenvolvimento seguro do Anexo A da 27001 dentro do processo de projeto e desenvolvimento de produto exigido na cláusula 8.3 da 9001. Faz todo sentido: um produto de tecnologia não tem qualidade se não for seguro. Segurança é, ou deveria ser, característica intrínseca do produto.

O mesmo vale para ISO 20000-1 com ISO 27001. Dentro do capítulo 8 da 20000, existe a exigência de uma política de segurança da informação. Você usa a abordagem da 27001 para atender esse ponto da 20000. Ou seja, a combinação de normas que você escolhe determina até onde a integração pode chegar, inclusive nas partes específicas de cada disciplina.

Sobre o Anexo A: das seis normas, apenas ISO 27001, ISO 27701 e ISO 42001 possuem Anexo A e Declaração de Aplicabilidade (SoA). A 9001, a 22301 e a 20000-1 não têm.

Integração não é tudo ou nada

Existe um espectro de profundidade. A pergunta não é "integro ou não", mas "até que nível integro". Três caminhos conceituais são possíveis:

  1. Alinhar — sistemas ainda separados, com documentação e termos compatíveis.
  2. Integrar parcialmente — processos comuns unificados (auditoria, não conformidade, análise crítica) e o restante mantido separado.
  3. Integrar totalmente — um único sistema de gestão com políticas, riscos, objetivos, processos e auditoria unificados.

O nível ideal depende do contexto, da estrutura, da maturidade e dos recursos da organização. Não existe certo, existe o adequado. E não existe receita de bolo: cada organização é uma entidade única.

Um modelo de maturidade ajuda a saber onde você está e qual o próximo passo:

  • Consciência — a organização percebe a sobreposição entre seus sistemas e o potencial de integrá-los.
  • Cooperação — as áreas começam a compartilhar práticas e informação.
  • Consonância — processos comuns, alinhados e operando em sintonia.
  • Combinação — um único sistema de gestão integrado e maduro.

Cada estágio prepara o seguinte.

O fator que ninguém escreve no requisito: poder

Há um obstáculo que não aparece em nenhuma cláusula e que pode envenenar a melhor das intenções: os jogos de poder internos. Não é raro encontrar empresas com o sistema de gestão de segurança da informação e o de privacidade ambos certificados, mas que praticamente não se conversam, porque um pertence ao time de cybersegurança e o outro ao jurídico/GRC.

Por isso, integrar exige liderança integrada. É preciso um orquestrador: pode ser um coordenador do SGI, pode ser um comitê de gestão. Não é um único responsável carregando o piano, já que o sistema de gestão é da organização inteira, mas alguém precisa reger a orquestra no nível mais alto. Sem direção engajada, não existe SGI.

Uma dúvida que sempre aparece: e a certificação?

O certificado continua sendo por norma. Não existe certificado integrado. O que muda é a auditoria: um único time auditor, uma auditoria única para todo o sistema, e até um relatório único. Mas o certificado emitido é separado por norma.

Vale a distinção entre dois termos parecidos:

  • Auditoria combinada — duas ou mais normas auditadas na mesma visita, mas como sistemas distintos. Cada auditor vê seu pedaço, sem conversa entre eles.
  • Auditoria integrada — as normas já são parte de um sistema único, e se audita o sistema como um todo. É o que o SGI persegue.

E atenção ao escopo, que costuma ser o grande limitador. Nem sempre os escopos coincidem. ISO 27001 com ISO 27701 integra escopo com facilidade. ISO 9001 com ISO 27001 também, desde que o escopo da 27001 seja tão amplo quanto o da 9001, que tende a ser mais abrangente. Já a 42001 é mais difícil de integrar no escopo, porque é focada em sistemas de IA. Se a organização apenas usa IA em vez de fornecer sistemas de IA, o escopo da 42001 quase sempre será mais restrito que o das demais.

O caminho prático para agregar uma segunda norma

Quem já tem uma certificação e quer somar outra parte com vantagem. Cerca de 70% do trabalho de base já está feito. O caminho tem alguns marcos:

Passo 0 — Reaproveitar. Parta do que já existe e funciona, em vez de reinventar a roda. Há uma lista de ouro de itens que servem a várias normas de uma vez: metodologia de risco, controle de informação documentada, política do sistema de gestão, objetivos, gestão de competências e treinamento, análise crítica pela direção, auditoria interna, gestão de incidentes, monitoramento de requisitos legais e contratos, gestão de fornecedores, indicadores, e o registro e tratamento de não conformidades.

Para cada requisito, decida entre três rotas:

  • Reaproveitar — o que já existe atende, use como está e apenas inclua no escopo.
  • Estender — adicione o que falta. A gestão de fornecedores que você já faz para segurança pode ganhar perguntas sobre uso de IA embarcada na solução do fornecedor.
  • Criar — quando não há nada equivalente. A avaliação de impacto de sistemas de IA, exigida apenas pela ISO 42001 (referenciando a ISO/IEC 23894), só existe para aquela cláusula e precisa ser construída do zero.

Passo 1 — Diagnóstico (gap analysis). Compare o que cada norma exige com o que seu sistema já possui, registre as lacunas, classifique esforço e prioridade. Lembre que o capítulo 8 concentra as diferenças, mas elas também podem aparecer em outras cláusulas, como na própria 42001.

Passo 2 — Relacionar os requisitos. Use os verbos modais de cada norma (deve, convém, pode) para calibrar o nível de exigência. "Deve" é obrigação; "pode" é liberdade de abordagem. Onde houver requisitos complementares, una pelo mais exigente. Onde houver conflito potencial (disponibilidade versus confidencialidade, por exemplo), torne o equilíbrio explícito.

Passo 3 — Escopo. Decisão de design, não acaso. Pode ser único e integrado quando os limites coincidem, ou distinto por norma quando as abrangências diferem muito. A 27701, por exemplo, exige que o tratamento de dados pessoais conste textualmente no escopo.

Passo 4 — Política integrada. A cláusula 5.2 tem estrutura praticamente idêntica em todas as normas, o que facilita muito a unificação. Uma única política de SGI pode cobrir qualidade, segurança, privacidade e IA, aprovada pela alta direção e comunicada a todos. Alternativamente, uma política-mãe com políticas específicas por disciplina. A 42001 pede que se referenciem outras políticas ao definir a política de IA.

Passo 5 — Objetivos e indicadores. A cláusula 6.2 exige objetivos mensuráveis, idealmente com indicador. Cada disciplina contribui com os seus: satisfação do cliente na 9001, percentual de riscos residuais aceitáveis na 27001, solicitações de titulares atendidas no prazo legal na 27701, uptime versus SLA na 20000, RTO real versus RTO alvo na 22301, percentual de sistemas de IA com impacto aceitável na 42001. Juntos, viram o painel de bordo da alta direção.

Passo 6 — Sequenciar por risco e esforço. Priorize o que trava a certificação com menor custo. Comece pelo baixo risco e baixo esforço, depois o alto risco com baixo esforço, planeje o alto risco e alto esforço, e deixe por último o baixo risco com alto esforço.

O pulo do gato: gestão de riscos integrada

Todas essas normas compartilham o pensamento baseado em risco como princípio central de planejamento. O que antes a 9001 chamava de ação preventiva está hoje embutido na identificação e no tratamento de risco. Algumas normas detalham mais esse requisito, outras menos, e a regra de ouro é capturar o mais exigente de cada uma e transformá-lo em requisito para todas.

A família de normas de risco dá o lastro técnico: a ISO 31000 traz princípios e diretrizes gerais; a ISO/IEC 27005 trata de risco de segurança da informação; a ISO/IEC 27557 apoia a 27701 no risco de privacidade, distinguindo o impacto sobre o indivíduo do impacto sobre a organização; a ISO/IEC 23894 cobre risco de IA, apoiando a 42001. Todas bebem da mesma fonte da 31000.

O processo é sempre o mesmo: identificar, analisar (determinar o nível de risco a partir de impacto e probabilidade), avaliar (comparar com os critérios de aceitação), tratar (evitar, mitigar, compartilhar ou aceitar) e monitorar, avaliando o risco residual. Muda o objeto do risco, não o método.

O segredo para que uma metodologia única funcione bem é uma boa biblioteca de critérios de avaliação de risco, com critérios para cada perspectiva: qualidade, segurança, privacidade, serviço, continuidade e IA. Com os mesmos pesos e as mesmas fontes de informação, você consegue avaliar tudo de forma consistente.

Um exemplo deixa isso concreto. Imagine um chatbot de IA de cobrança que sugere um texto pressionando um cliente inadimplente vulnerável, expõe dados do contrato na resposta e ainda trava sob alta demanda. Um único evento, cinco leituras simultâneas:

  • IA (42001 / 23894) — viés e manipulação: o modelo infere vulnerabilidade e molda o comportamento do cliente. Trata-se com avaliação de impacto de IA.
  • Segurança (27001 / 27005) — vazamento: um prompt injection faz o bot revelar dados de outro contrato. Trata-se com controles do Anexo A.
  • Privacidade (27701 / 27557) — exposição de dados pessoais sensíveis ao cliente errado. Mede-se o impacto no titular e na organização.
  • Continuidade (22301) — indisponibilidade sob alta demanda. Trata-se com BIA e plano de recuperação.
  • Serviço (20000) — a latência rompe o SLA acordado. Trata-se com gestão de nível de serviço.

Um tratamento integrado num registro só: uma entrada, um dono, um plano. Sem cinco planilhas paralelas.

Duas atenções fecham o tema. As interdependências: tratar o risco sob uma lente afeta as outras. Criptografar um dado para proteger privacidade pode pesar na latência e afetar a disponibilidade. E o risco residual: o que sobra após o tratamento precisa ser conhecido, documentado e formalmente aceito pelo proprietário do risco. A 27001 e a 42001 trazem essa exigência de forma literal; aproveite-a como regra para qualquer tipo de risco.

O que muda na auditoria

A ISO 19011, recentemente revisada, mantém os princípios de auditoria e acrescenta um sétimo: a abordagem baseada em risco. Os princípios passam a ser integridade, apresentação justa, devido cuidado profissional, confidencialidade, independência, abordagem baseada em evidências e abordagem baseada em risco.

Na prática, o risco decide onde e com que profundidade auditar. Áreas e processos de maior risco recebem mais foco e frequência. O líder usa o risco para definir escopo e amostragem, considerando o momento da organização, o histórico de não conformidades e mudanças no contexto. Menos checklist automático, mais julgamento profissional. O checklist deve ser uma trilha, não um trilho.

A nova edição também reforçou auditoria remota e locais virtuais, incorporando orientações que estavam na ISO/IEC TS 17012. Um ambiente em nuvem ou um Microsoft 365 é um local virtual de trabalho. Para normas como 27001 e 27701, auditoria 100% remota já é viável. Para a 9001, nem sempre, especialmente quando há produtos físicos ou serviços que dependem de espaço físico.

Para verificar se um SGI está de fato integrado, o auditor pode checar:

  • Existe uma política integrada, aprovada e comunicada?
  • Os objetivos têm indicadores e responsáveis, num conjunto único?
  • O escopo está documentado (e inclui tratamento de dados pessoais, no caso da 27701)?
  • O processo de gestão de riscos é único, com SoA onde houver controles aplicáveis?
  • Há uma única análise crítica pela direção cobrindo todas as normas?
  • Existe um processo único de não conformidade e ação corretiva?
  • As auditorias são feitas de forma integrada?
  • Os riscos residuais são formalmente aceitos pelos proprietários?

Melhoria contínua e o papel da IA

A cláusula 10 fecha todas as normas e trata de não conformidade e melhoria contínua. O texto do requisito de não conformidade é idêntico entre as seis normas, o que torna o processo trivial de unificar: reagir e corrigir (contenção), analisar a causa raiz, agir sobre ela (ação corretiva), verificar a eficácia e atualizar o sistema de gestão. Correção contém o problema agora; ação corretiva elimina a causa. Sem verificação de eficácia, a não conformidade não fecha.

Vale uma recomendação: o tratamento de não conformidades não deveria depender de auditoria. Um sistema saudável identifica, registra e trata suas próprias não conformidades na rotina, rodando o PDCA o tempo todo, e não só quando o auditor aparece.

A inteligência artificial entra como ferramenta poderosa nesse processo: rascunhar políticas e procedimentos, mapear requisitos comuns, gerar minutas, resumir evidências e achados, sugerir indicadores. Repare nos verbos: rascunhar, gerar, resumir, sugerir. A decisão final é humana. Governe a IA com a ISO 42001, mantenha revisão humana antes de adotar qualquer saída, cuide de dados pessoais e confidenciais, analise viés e alucinações, avalie o impacto e documente a responsabilização.

As cinco competências de quem conduz a integração

Integrar um sistema de gestão exige bagagem. Cinco competências estratégicas separam quem faz isso bem:

  1. Pensamento sistêmico — enxergar o todo e as relações de causa e efeito dentro da organização.
  2. Abstração — transformar conceito em prática. As normas dizem o que fazer, não como. Essa competência traduz uma na outra.
  3. Percepção integrada de riscos — ver um único risco e todas as suas implicações para o negócio.
  4. Liderança transversal e influência — construir pontes e influenciar pessoas sem depender de autoridade hierárquica.
  5. Inteligência adaptativa — aprender o tempo todo, acompanhando a evolução normativa, regulatória e do ambiente de negócio.

Fechando

Integrar não é reduzir documentos, embora isso aconteça como consequência. É ter processos mais fluidos e eficientes, disseminar o pensamento sistêmico por toda a organização e enxergar o sistema de gestão como um todo, não como silos paralelos. Operar de forma separada custa caro: aumenta a probabilidade de falha, duplica tarefas, cria burocracia e às vezes gera requisitos que se contradizem. Integrar gera sinergia, reduz custo de operação e melhora a imagem da empresa.

Para empresas de tecnologia, onde qualidade, segurança, privacidade, serviço, continuidade e IA são lentes de um mesmo negócio, dominar essa integração é um diferencial profissional concreto. E, como em quase tudo nessa área, não há receita de bolo: há método, julgamento e experiência.