Prévia do material em texto
Número de referência 23 páginas © ISO 2018 - © ABNT 2020 ABNT ISO/TR 21946:2020 ABNT ISO/TR 21946 Primeira edição 19.10.2020 Informação e documentação — Avaliação para gestão de documentos de arquivo Information and documentation — Appraisal for managing records RELATÓRIO TÉCNICO ICS 01.140.20 ISBN 978-65-5659-576-4 D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS ii ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados © ISO 2018 Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito da ABNT, único representante da ISO no território brasileiro. © ABNT 2020 Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por escrito da ABNT. ABNT Av.Treze de Maio, 13 - 28º andar 20031-901 - Rio de Janeiro - RJ Tel.: + 55 21 3974-2300 Fax: + 55 21 3974-2346 abnt@abnt.org.br www.abnt.org.br D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS iii ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados Sumário Página Prefácio Nacional ...............................................................................................................................iv Introdução ...........................................................................................................................................vi 1 Escopo ................................................................................................................................1 2 Referência normativa .........................................................................................................1 3 Termos e definições ...........................................................................................................1 4 Processo de avaliação .......................................................................................................2 5 Levantamento e análise da informação ...........................................................................4 5.1 Geral ....................................................................................................................................4 5.2 Determinação do escopo da avaliação ............................................................................5 5.3 Determinação dos envolvidos no processo de avaliação ..............................................5 5.4 Levantamento da informação ...........................................................................................6 5.5 Análise do contexto do negócio .......................................................................................7 5.6 Análise do contexto tecnológico ......................................................................................8 5.7 Análise funcional ................................................................................................................8 5.8 Análise sequencial .............................................................................................................9 5.9 Identificação de agentes ....................................................................................................9 5.10 Identificação de áreas críticas do negócio ......................................................................9 5.11 Determinação dos requisitos dos documentos de arquivo .........................................10 5.11.1 Geral ..................................................................................................................................10 5.11.2 Necessidades de negócios para documentos de arquivo ........................................... 11 5.11.3 Requisitos legais e regulatórios para documentos de arquivo ...................................12 5.11.4 Expectativas da comunidade ou da sociedade para documentos de arquivo ...........12 6 Análise e implementação ................................................................................................13 6.1 Geral ..................................................................................................................................13 6.2 Vinculação de requisitos de documentos de arquivo às funções de negócios e processos de trabalho .....................................................................................................13 6.3 Análise e tratamento de riscos associados à implementação de requisitos de documentos de arquivo ...................................................................................................16 6.4 Documentação do processo de avaliação .....................................................................19 6.5 Uso dos resultados do processo de avaliação .............................................................20 7 Monitoramento .................................................................................................................21 8 Revisão e ação corretiva .................................................................................................22 Bibliografia .........................................................................................................................................23 Figuras Figura 1 – Avaliação contínua para gestão de documentos de arquivo ........................................3 Figura 2 – Exemplo de matriz de risco ............................................................................................18 Tabelas Tabela 1 – Requisitos de documentos de arquivo .........................................................................14 Tabela 2 – Vínculo dos requisitos para os processos ...................................................................15 D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS iv ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados Prefácio Nacional A Associação Brasileira de Normas Técnicas (ABNT) é o Foro Nacional de Normalização. As Normas Brasileiras, cujo conteúdo é de responsabilidade dos Comitês Brasileiros (ABNT/CB), dos Organismos de Normalização Setorial (ABNT/ONS) e das Comissões de Estudo Especiais (ABNT/CEE), são elaboradas por Comissões de Estudo (CE), formadas pelas partes interessadas no tema objeto da normalização. Os Documentos Técnicos internacionais adotados são elaborados conforme as regras da ABNT Diretiva 3. A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996). Os Documentos Técnicos ABNT, assim como as Normas Internacionais (ISO e IEC), são voluntários e não incluem requisitos contratuais, legais ou estatutários. Os Documentos Técnicos ABNT não substituem Leis, Decretos ou Regulamentos, aos quais os usuários devem atender, tendo precedência sobre qualquer Documento Técnico ABNT. Ressalta-se que os Documentos Técnicos ABNT podem ser objeto de citação em RegulamentosTécnicos. Nestes casos, os órgãos responsáveis pelos Regulamentos Técnicos podem determinar as datas para exigência dos requisitos de quaisquer Documentos Técnicos ABNT. O ABNT ISO/TR 21946 foi elaborado no Comitê Brasileiro de Informação e Documentação (ABNT/CB-014), pela Comissão de Estudo de Documentos Arquivísticos (CE-014:000.004). O Projeto circulou em Consulta Nacional conforme Edital nº 09, de 11.09.2020 a 13.10.2020. O ABNT ISO/TR 21946 é uma adoção idêntica, em conteúdo técnico, estrutura e redação, ao ISO/TR 21946:2018, que foi elaborada pelo Technical Committee Information and documentation (ISO/TC 46), Subcommittee Archives/records management (SC 11). O Escopo em inglês do ABNT ISO/TR 21946 é o seguinte: Scope This document provides guidance on how to carry out appraisal for managing records. It describes some of the products and outcomes that can be delivered using the results of appraisal. As such, this document describes a practical application of the concept of appraisal outlined in ABNT NBR ISO 15489-1. This document: a) lists some of the main purposes for appraisal; b) describes the importance of establishing scope for appraisal; c) explains how to analyse business functions and develop an understanding of their context; d) explains how to identify records requirements; D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS v ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados e) describes the relationships between records requirements, business functions and work processes; f) explains how to use risk assessment for making decisions related to records; g) lists options for documenting the results of appraisal; h) describes possible uses for the results of appraisal; and i) explains the importance of monitoring and review of the execution of appraisal decisions. This document can be used by all organizations regardless of size, nature of their business activities, or the complexity of their functions and structure. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS vi ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados Introdução A avaliação de documentos de arquivo é o processo recorrente de avaliar as atividades de negócio para determinar quais documentos de arquivo precisam ser produzidos e capturados, assim como e por quanto tempo precisam ser mantidos. Ela combina um entendimento das atividades de negócio e seus contextos com: — a identificação das necessidades de negócio, requisitos regulatórios e expectativas da sociedade em relação aos documentos de arquivo, e — a análise de oportunidades e riscos associadas à produção e gestão de documentos de arquivo. A avaliação regular e sistemática para a gestão de documentos de arquivo tem uma série de benefí- cios, incluindo: — conformidade dos requisitos legais/regulatórios para documentos de arquivo; — satisfação das necessidades de negócio na gestão de documentos de arquivo, e provisão da tempestiva destinação dos documentos de arquivo; — identificação de requisitos para a contínua retenção de documentos como arquivos; — implementação de medidas para proteger e gerenciar documentos de arquivo de acordo com seu nível de criticidade para a organização e/ou seus requisitos de retenção; — melhoria da eficiência organizacional por meio do uso adequado de recursos; — gestão eficaz do risco relacionado aos documentos de arquivo; — maior responsabilidade pelas decisões sobre a produção, captura e gestão de documentos de arquivo. Em algumas tradições de gestão de arquivo e de documentos de arquivo, a avaliação é usada exclusi- vamente como um instrumento para identificar requisitos de retenção ou para instituir uma autoridade de destinação. O conceito de avaliação, como descrito na ABNT NBR ISO 15489-1, é, no entanto, destinado a ser usado de uma forma mais ampla. Ele pode ser usado para identificar diferentes tipos de requisitos relacionados à produção, captura e gestão de documentos de arquivo ao longo do tempo e implementá-los de maneira adequada às mudanças de contextos. Desta forma, a avaliação pode apoiar a responsabilização do negócio de forma mais eficiente. Os resultados da avaliação podem ser usados no desenvolvimento de políticas, sistemas e processos, bem como para desenvolver uma variedade de controles de documentos de arquivo. Esses controles incluem esquemas de metadados, plano de classificação, regras de acesso e permissões e autori- dades de destinação. Em algumas jurisdições, a avaliação para gerenciar documentos de arquivo, ou partes deles, pode ser exigida por lei ou regulamento como um precursor para o desenvolvimento de tais ferramentas. A avaliação é uma abordagem estratégica e proativa para a produção, captura e gerenciamento de documentos de arquivo, em vez de uma abordagem reativa. A avaliação é responsável e consultiva e, em certos casos, recomenda-se que seja realizada em parceria com as partes interessadas na produção, captura e gerenciamento de classes específicas de documentos de arquivo. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS vii ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados As recomendações da avaliação para o gerenciamento de documentos de arquivo neste documento podem ser usadas se uma organização estiver implementando um sistema de gestão de documentos de arquivo (GDA) seguindo a ABNT NBR ISO 30301. Na abordagem de padrões de normas de sistema de gestão, a avaliação pode ajudar a atender aos requisitos relacionados ao “Contexto da organização” e “Planejamento operacional”. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS ABNT ISO/TR 21946:2020NORMA BRASILEIRA 1© ISO 2018 - © ABNT 2020 - Todos os direitos reservados Informação e documentação — Avaliação para gestão de documentos de arquivo 1 Escopo Este documento fornece orientação sobre como realizar a avaliação para o gerenciamento de docu- mentos de arquivo. Ele descreve alguns dos produtos e benefícios que podem ser alcançados usando os resultados da avaliação. Como tal, este documento descreve uma aplicação prática do conceito de avaliação delineado na ABNT NBR ISO 15489-1. Este documento: a) lista alguns dos principais propósitos da avaliação; b) descreve a importância do estabelecimento de escopo para avaliação; c) explica como analisar as funções do negócio e compreender seu contexto; d) explica como identificar requisitos de documentos de arquivo; e) descreve as relações entre os requisitos de documentos de arquivo, as funções de negócio e os processos de trabalho; f) explica comousar a avaliação de risco para tomar decisões relacionadas aos documentos de arquivo; g) lista opções para documentar os resultados da avaliação; h) descreve usos possíveis para os resultados da avaliação; e i) explica a importância do monitoramento e revisão da execução das decisões de avaliação. Este documento pode ser usado por todas as organizações, independentemente do tamanho, da natureza de suas atividades de negócio ou da complexidade de suas funções e estrutura. 2 Referência normativa O documento a seguir é citado no texto de tal forma que seu conteúdo, total ou parcial, constitui requisitos para este Documento. Para referência datada, aplica-se somente a edição citada. Para referência não datada, aplica-se a edição mais recentes do referido documento (incluindo emendas). ABNT NBR ISO 15489-1, Informação e documentação – Gestão de documentos de arquivo – Parte 1: Conceitos e princípios 3 Termos e definições Para os efeitos deste documento, aplicam-se os termos e definições da ABNT NBR ISO 15489-1. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 2 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados A ISO e a IEC mantêm bases de dados terminológicos para uso na normalização nos seguintes endereços: — Plataforma de navegação ISO online: disponível em https://www.iso.org/obp — IEC Electropedia: disponível em http://www.electropedia.org/ 4 Processo de avaliação A avaliação para a gestão de documentos de arquivo envolve a análise do(s) contexto(s) em que as atividades de negócio ocorrem, a fim de — determinar os requisitos de documentos de arquivo, — compreender quais áreas de negócio são consideradas, pelas partes interessadas, críticas para alcançar as metas acordadas em uma organização, e — identificar e avaliar os riscos relacionados aos documentos de arquivo. Recomenda-se que os resultados do processo de avaliação sejam usados para desenvolver proativa- mente controles e processos de documentos de arquivo para melhor apoiar as atividades e tecnolo- gias utilizadas no negócio, a fim de assegurar que os requisitos de documentos de arquivo definidos sejam utilizados ao longo do tempo. A avaliação no gerenciamento de documentos de arquivo considera as necessidades dos agentes diretamente envolvidos nas atividades do negócio, mas também as partes interessadas relacionadas internas e externas, bem como as necessidades sociais mais amplas. Dessa forma, a gestão de documentos de arquivo para ambos, o negócio e outros fins, pode ser desenvolvida de forma coesa. O contexto em que os negócios são conduzidos, suas próprias atividades, bem como seus requisitos de documentos de arquivo e a identificação de riscos, mudará ao longo do tempo. Como resultado, a avaliação para o gerenciamento de documentos de arquivo é uma atividade necessariamente recorrente. A representação das atividades de avaliação mostradas na Figura 1 reflete o ciclo contínuo deste trabalho, conforme as mudanças ao longo do tempo das necessidades e circunstâncias que afetam a produção, a captura e o gerenciamento de documentos de arquivo. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 3 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados NOTA A avaliação para gestão de documentos de arquivo é um contínuo ciclo de melhoria. Figura 1 – Avaliação contínua para gestão de documentos de arquivo Os resultados do processo de avaliação podem ser usados para obter benefícios em diversas áreas, como na conformidade legal, gerenciamento de riscos, segurança da informação, proteção da pri- vacidade, reutilização de informações ou proteção de documentos de arquivo. Eles também podem ser usados como um meio para determinar quais documentos de arquivo podem ser disponibilizados ao público, em apoio à implementação de leis e regulamentos de divulgação de informações públicas. Alguns eventos podem desencadear a avaliação para gestão de documentos de arquivo. Por exemplo, quando há novos: — entidades estabelecidas, — requisitos legais e regulatórios, alterações na prática jurídica e na aplicação da lei, ou obrigações contratuais, — tecnologias e sistemas, ou — providências para gerenciar documentos de arquivo, como colaborações jurisdicionais cruzadas em projetos compartilhados. Ou mudanças como: — estruturas organizacionais ou fusões, — requisitos regulatórios novos ou alterados, D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 4 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados — funções ou atividades de negócio novas ou alteradas, ou — alterações nas expectativas do público em relação à gestão de documentos de arquivo da orga- nização em questão, incluindo novas expectativas em relação ao acesso e usabilidade. Problemas relacionados à produção e gestão de documentos de arquivo, como ausência de documen- tos de arquivo (convém que tenham sido produzidos), acesso não autorizado ou eliminação não autori- zada de documentos de arquivo, também podem ser desencadeadores de um processo de avaliação. A frequência e a escala em que a avaliação é realizada para gestão de documentos de arquivo variam de um caso para o outro. Por exemplo, uma organização com modelo regulatório e negócio muito estável, que raramente mudam, pode realizar uma avaliação com menor frequência do que uma que está sujeita a alterações frequentes. O processo de avaliação pode ser modificado em escala ou escopo, dependendo do resultado desejado (ver 5.2). A avaliação para a gestão de documentos de arquivo é conduzida de maneira consistente e responsável. Isso significa: — realizar a avaliação com determinação e autorizações claras; — manter documentação da pesquisa, análise e consultas realizadas com as partes interessadas como parte do processo, como um documento de arquivo; — ser consistente nas decisões e usar decisões anteriores para verificar precedentes; — justificar as decisões tomadas e manter documentação de tais justificativas. 5 Levantamento e análise da informação 5.1 Geral O processo de avaliação compreende vários tipos de análise, que podem ser executados consecutiva ou simultaneamente. Esses tipos de análise incluem o seguinte: — obtenção de uma compreensão do contexto em que o trabalho de avaliação está sendo conduzido, incluindo aspectos organizacionais, tecnológicos e relacionados aos negócios; — análise das próprias funções do negócio; — análise de requisitos para documentos de arquivo de um ponto de vista de negócio, legal e societário; — identificação e análise de riscos associados à produção, captura e gestão de documentos de arquivos. Alguns tipos de análise, como uma análise do contexto de negócios, podem já ter sido realizados por outras disciplinas da organização, como segurança da informação. Recomenda-se verificar se a análise necessária já foi realizada e se os resultados obtidos podem ser reutilizados para fins de avaliação. É importante observar que a identificação do risco ocorre durante todo o processo de avaliação de três formas diferentes: — ao examinar o contexto organizacional em que o processo está ocorrendo, podem ser identificados riscos internos e externos que afetema organização e suas partes interessadas; D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 5 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados — durante a análise da atividade de negócio em relação às funções, atividades ou processos de trabalho específicos durante a sua própria análise. Por exemplo, os riscos associados à má gestão de documentos de serviços públicos centrados no cidadão ou nas informações de identificação pessoal podem ser maiores do que os associados a outras atividades administrativas; — durante a identificação dos riscos que podem ser gerenciados pelo cumprimento dos requisitos dos documentos de arquivo identificados. Após a identificação dos riscos, recomenda-se fazer uma análise e avaliação (de acordo com as práti- cas de gestão de risco da organização, caso estas existam). Isso ajuda a tomar decisões sobre como convém que os requisitos sejam atendidos e o investimento apropriado de recursos para isso. Este aspecto da avaliação e tratamento do risco é descrito em 6.3. Os resultados da análise conduzida na avaliação podem ser usados para desenvolver outras ferramen- tas e recursos que são valiosos na produção, captura e gestão de documentos de arquivo (ver 6.5). 5.2 Determinação do escopo da avaliação Cada vez que um processo de avaliação é iniciado, seu escopo precisa ser claramente definido. Os eventos que desencadeiam a avaliação, funções e responsabilidade da(s) pessoa(s) que faz(em) a avaliação influenciarão diretamente em seu escopo. Por sua vez, o escopo da avaliação influen- ciará no tipo de agente envolvido no processo. Por exemplo, um escopo com um forte objetivo social exigirá um maior envolvimento de agentes externos em comparação a um escopo com um forte foco apenas de negócio, o que exigiria um envolvimento maior de representantes dos negócios. O escopo de avaliação pode mudar em termos das funções do negócio e atividades que abrange, ou das partes analisadas que recebem a maior atenção. EXEMPLO 1 Um processo de avaliação pode ser realizado por um gerente responsável por um sistema de negócios que está sendo substituído. O sistema suporta uma única função, mas uma que é executada por um número de entidades organizacionais, trabalhando colaborativamente online. Aqui, o escopo é limitado a uma função, mas considera os contextos de cada uma das entidades organizacionais participantes, seus riscos e requisitos. EXEMPLO 2 Em um processo de fusão, as funções de uma organização são analisadas para tomar deci- sões relativas à migração de documentos de arquivo para novos sistemas e outros assuntos, como a integra- ção de autoridades de destinação. O escopo do processo de avaliação, aqui, precisaria abranger as funções de negócios de ambas as entidades. EXEMPLO 3 Um processo de avaliação que está sendo realizado com a finalidade de definir requisitos de documentos de arquivo para inclusão nas especificações de um novo sistema de negócio envolveria uma ênfase maior na análise das funções de negócio apoiadas pelo sistema, em oposição à avaliação que é realizada com o objetivo de desenvolver uma autoridade de destinação que abranja todos os negócios de uma organização. EXEMPLO 4 Um processo de avaliação que seja realizado para desenvolver regras de eliminação em toda uma jurisdição, com vistas à identificação de classes de documentos de arquivo a serem preservados como arquivos, terá um escopo amplo abrangendo uma análise de alto nível do contexto de negócio, funções e atividades, requisitos e riscos em toda a jurisdição. Isso é para assegurar a consistência nas decisões tomadas. Em alguns casos, essa avaliação é realizada em um estágio que abranja toda a competência, em outros, em múltiplos estágios, em conjunto com organizações dentro da jurisdição. 5.3 Determinação dos envolvidos no processo de avaliação A avaliação para a gestão de documentos de arquivo é fundamental para o trabalho dos arquivistas, tornando-os o grupo mais indicado para planejar e liderar as atividades de avaliação. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 6 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados Recomenda-se que outros indivíduos ou grupos estejam envolvidos em uma ou mais etapas do processo de avaliação. O envolvimento de outros dependerá do propósito e escopo do processo de avaliação e do objetivo da análise. Estes incluirão agentes internos e partes interessadas, como — representantes do negócio, — representantes legais, — gestor/alta gerência, — órgãos de governança, como conselhos de administração ou conselhos de auditoria, — profissionais aliados na gestão da informação, como agentes de privacidade, bibliotecários, espe- cialistas em preservação ou responsáveis por dados e transparência, — profissionais de comunicação e/ou — especialistas em tecnologia da informação. Recomenda-se que agentes externos e partes interessadas também sejam consultados ou envolvi- dos, conforme apropriado. Eles podem incluir pessoas e grupos como: — partes interessadas, — consumidores ou clientes, — auditoria externa ou autoridades reguladoras, — especialistas no assunto, membros de associações profissionais ou acadêmicos, — representantes de instituições arquivísticas, — defensores da transparência, — especialistas em privacidade, — especialistas em segurança da informação, — pessoas ou grupos afetados por atividades governamentais ou corporativas, e/ou — indivíduos que são assuntos de documentos de arquivo, como indivíduos que estiveram sob os cui- dados do estado quando eram crianças ou indivíduos que receberam ajuda e serviços de governos. 5.4 Levantamento da informação A avaliação para gestão de documentos de arquivo depende da identificação de partes interessa- das e de outras fontes de informação que contêm informações sobre o contexto tecnológico e de negócios, funções de negócios, riscos e requisitos. Convém que essas fontes de partes interessadas sejam registradas conforme identificadas, como parte de um processo de avaliação responsável e bem documentado. Convém que fontes documentais relacionadas, bem como as partes interessadas nas funções de negócios sejam identificadas, pois são fontes de informação para a análise. Recomenda-se que essas D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 7 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados fontes e partes interessadas sejam usadas para vários tipos de análises conduzidas ao longo de um processo de avaliação. Exemplos de fontes documentais incluem — organograma estrutural, — documentos de arquivo de riscos, — arquitetura corporativa de documentos, — relatórios das autoridades governamentais ou de partes interessadas, — documentação de sistemas, — relatórios de auditoria, — documentos de arquivo de entrevistas com representantes comerciais ou partes interessadas, — relatórios da mídia e/ou — inventários de sistemas existentes usados para gerenciar documentos de arquivo. Exemplos de partes interessadas podem incluir: — grupos e indivíduos identificados como necessários envolvidos no processo de avaliação de gestão de documentos de arquivo (ver 5.3), — gestores,profissionais de tecnologia da informação e profissionais diretamente envolvidos no escopo do negócio, ou — consumidores/clientes envolvidos no escopo do negócio. 5.5 Análise do contexto do negócio Na avaliação para gestão de documentos de arquivo, a análise é realizada para obter o entendimento do contexto do negócio no qual a atividade acontece. Recomenda-se que fontes de documentos e entrevistas com as partes interessadas, que foram identificadas como parte do levantamento de infor- mações, sejam usadas como base para a análise. Recomenda-se que assuntos específicos de análise sejam os fatores internos e externos que afetam as operações da organização, podendo incluir: — comportamento e direcionamento estratégico da entidade de negócio; — requisitos operacionais, legais e outros que se apliquem a ele; — seus recursos; — requisitos das partes interessadas; — riscos amplos que convém que sejam gerenciados; — em alto nível, as funções e processos de trabalho que desempenham. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 8 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados Os resultados da análise do contexto de negócios devem ser documentados e revisados periodicamente para assegurar que as mudanças no ambiente sejam identificadas e analisadas. Recomenda-se que as fontes de documentos para a análise e quaisquer autorizações sejam mantidas como documentos de arquivo, pois tal documentação apoia e fornece justificativa para a tomada de decisão na avaliação. 5.6 Análise do contexto tecnológico Uma análise das tecnologias existentes em uso fornece uma visão das oportunidades e restrições para futuros métodos e ferramentas para criar e gerenciar documentos de arquivo, e convém que ajude na tomada de decisões da avaliação implementada. Isso pode também informar as opções de desenvolvimento e implementação das ferramentas e dos recursos criados, utilizando os resultados da avaliação (ver 6.5). Usando as fontes de documentos e partes interessadas identificadas como relevantes para este propósito, os seguintes fatores podem ser levados em conta para entender o ambiente tecnológico existente: — tecnologias que são mantidas exclusivamente pela organização, bem como tecnologias utilizadas para colaboração com outras partes; — uso de sistemas existentes (legados); — uso de serviços terceirizados, como tecnologias baseadas em nuvem; — padrões técnicos requeridos para serem implementados ou preferidos; — a série de formatos em que as informações, incluindo documentos de arquivo, são processadas e retidas; — conhecimento disponível de tecnologias, sistemas e padrões existentes, usados tanto dentro da organização quanto fora de seu perímetro. Recomenda-se que os resultados da análise do contexto tecnológico sejam documentados e revi- sados periodicamente para assegurar que mudanças no ambiente sejam identificadas e avaliadas. Convém que as fontes de documentos para a análise e quaisquer autorizações sejam mantidas como documentos de arquivo, pois essa documentação suporta e fornece justificativa para a tomada de decisões da avaliação. 5.7 Análise funcional A análise funcional é uma análise hierárquica de cima para baixo, iniciando com metas e objetivos estra- tégicos e, em seguida, identificando as funções e atividades que as suportam. Em seu nível mais baixo, uma análise funcional identifica as transações, que são as menores partes dos processos de trabalho. NOTA As etapas básicas para realizar a análise funcional estão descritas no ISO/TR 26122. O objetivo desse tipo de análise é criar a imagem das funções por meio do agrupamento das transações e das atividades de negócios para que possam ser vinculadas ao contexto de negócios, a fim de identificar riscos relevantes e requisitos de documentos de arquivo. Recomenda-se que os resultados de uma análise funcional sejam verificados em consulta com repre- sentantes da empresa, documentados e mantidos atualizados. As fontes usadas na condução da análise funcional também podem ser usadas como fontes para análise sequencial. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 9 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados 5.8 Análise sequencial A análise sequencial é a que complementa a análise funcional e analisa as transações do ponto de vista de um processo de trabalho. Essa análise é valiosa para vincular requisitos de documentos de arquivo, específicos para sistemas e ações executados por agentes (ver 6.2). NOTA As etapas básicas para realizar a análise sequencial são descritas no ISO/TR 26122. Convém que o escopo de uma análise sequencial seja definido com referência às razões para o processo de avaliação e seus resultados desejados. Recomenda-se que os resultados de uma análise sequencial sejam verificados em consulta com os agentes envolvidos no processo de trabalho e convém que sejam documentados e mantidos atualizados. 5.9 Identificação de agentes Recomenda-se que a análise do contexto comercial e tecnológico, e as funções e processos de trabalho, conforme descrito nas seções anteriores deste documento (como 5.5, 5.6 e 5.7), incluam a identificação dos agentes. Um agente pode ser qualquer indivíduo, grupo de trabalho ou organização responsável por, ou envolvido em, produção, captura e/ou processos de gestão de documentos. Ferramentas tecnológicas, como aplicativos de software, podem ser considerados agentes, se eles rotineiramente executarem ou acionarem processos de documentos de arquivo. Um exemplo poderia ser um semáforo enviando uma mensagem automática para uma organização de manutenção quando ele está com defeito, acionando um processo na organização para corrigi-lo. A identificação de agentes é necessária para atribuir responsabilidades de produção ou gerencia- mento de documentos de arquivo, direitos e restrições de acesso, implementar processos e docu- mentar adequadamente o contexto de produção, captura e gestão de documentos e seus metadados. Recomenda-se que os dados dos agentes sejam documentados e mantidos como documentos de arquivo para refletir os papéis e permissões atribuídas às pessoas ou funções, grupos de trabalho e outras entidades de negócios ou agrupamentos, conforme apropriado. Convém que o vínculo de agentes às permissões para ações relacionadas aos documentos de arquivo seja documentado nos controles (ver 6.5) e usado na execução de processos de documentos de arquivo. 5.10 Identificação de áreas críticas do negócio Recomenda-se que um processo de avaliação produza um entendimento das áreas de negócios que estão no escopo e que podem ser consideradas críticas. Convém que seja indicada sua criticidade de maneira apropriada à natureza do negócio conduzida e aceitável para as partes interessadas. O objetivo desta parte do processo de avaliação é determinar as áreas críticas no momento em que a análise é realizada, com o objetivo de priorizar essas áreas no trabalho que é efetuado para iden- tificar e validar os requisitos de documentos de arquivo (ver 5.11.2 , 5.11.3 e 5.11.4), bem como usar os resultados do processo de avaliação no desenvolvimento ou redesenvolvimento de controles docu- mentos de arquivo, sistemas, políticas/procedimentos e processos. Convém que a identificação de áreas críticas seja baseada no uso de fontes já identificadas no pro- cesso de avaliação, incluindo as fontes de documentos e as partes interessadas. Recomenda-se tam- bém que contecom informações já reunidas sobre o contexto empresarial e tecnológico. Ao analisar essas fontes, alguns indicadores para áreas críticas de negócios podem incluir o seguinte: — aqueles com requisitos regulamentares que tenham severas penalidades por não conformidade; D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 10 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados — aqueles dos quais muitas outras áreas de negócios dependem, como tomada de decisões de alto nível; — serviços prestados com elevado grau de impacto sobre os indivíduos, como os cuidados de saúde ou a proteção dos direitos civis; — operações ou serviços que foram controversos e atraíram um alto grau de mídia e interesse público; — atividades com impacto direto no ambiente construído ou natural; — atividades com impacto direto na segurança e proteção de pessoas ou bens. Todas as áreas de negócio dentro do escopo do processo de avaliação se envolverão em algum grau de risco quando os requisitos de documentos de arquivo não forem atendidos, mas algumas áreas de negócios serão consideradas críticas pelas partes interessadas em comparação a outras. É provável que diferentes partes interessadas tenham pontos de vista diferentes sobre quais áreas são mais ou menos críticas e por quê. No entanto, para o objetivo de realizar um processo de avaliação com sucesso, levam-se em conta as prioridades atuais; é necessário determinar quais áreas estão acor- dadas, por consenso ou autorizadas pela alta administração, por serem críticas quando a análise for realizada. Para conseguir isso, convém que as áreas críticas sejam: a) identificadas, b) analisadas, c) documentadas e aprovadas. EXEMPLO 1 Uma organização religiosa responsável por fornecer serviços a menores, no contexto de investigações conduzidas pelo governo sobre abusos no cuidado de crianças em tais organizações, identifica as áreas de seu “negócio” em que seus serviços diretamente conectados às crianças são críticos. EXEMPLO 2 Uma empresa de mineração com uma pesada carga de conformidade de transparência em relação a qualquer operação de remoção de metais, minerais e produtos da terra, identifica essas áreas como críticas. Convém que a documentação de áreas críticas atenda ao escopo e propósito do processo de avalia- ção. Em alguns casos, a documentação que mapeia áreas críticas de negócios para análise funcional e/ou sequencial será necessária. A correta documentação permite que o gestor identifique, aprove ou autorize áreas de negócio que são consideradas críticas e sua criticidade. Quando necessário, convém que isso seja confirmado com as partes interessadas. Uma vez que a identificação de requisitos de documentos de arquivo (ver 5.11) esteja completa, con- vém que uma análise de risco adicional seja conduzida, para determinar até que ponto tais estratégias de tratamento de risco baseadas em documentos de arquivo serão implementadas, levando em con- sideração a natureza do negócio e os recursos disponíveis (ver 6.3). 5.11 Determinação dos requisitos dos documentos de arquivo 5.11.1 Geral Os requisitos de documentos de arquivo são requisitos para produzir, capturar e gerenciar documentos de arquivo como evidência da atividade de negócios e como ativos de informações. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 11 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados Recomenda-se que a identificação dos requisitos de documentos de arquivo seja baseada em uma análise da atividade de negócios e seu contexto (ver 5.5). Eles podem ser derivados do seguinte: a) necessidades de negócios; b) requisitos legais e regulatórios; c) expectativas da comunidade ou da sociedade. Convém que as decisões relativas à implementação de requisitos de documentos de arquivo levem em conta a ánalise de risco (ver 6.3). 5.11.2 Necessidades de negócios para documentos de arquivo Identificar e documentar requisitos de negócio a partir de documentos de arquivo fornece apoio ao desempenho eficiente e eficaz do negócio. Isso facilita o uso de documentos de arquivo oficiais, como ativos de negócio, e ajuda a assegurar que os documentos de arquivo estejam disponíveis para gerenciar operações contínuas, tomar decisões baseadas em informações e fornecer programas ou serviços obrigatórios. Entender quais documentos de arquivo devem ser produzidos, capturados e gerenciados inicia-se com um entendimento do negócio, sua governança e na área (área-fim) onde os objetivos do negócio são operacionalizados. As fontes de requisitos de negócio para identificar os documentos de arquivo podem incluir: — planos de negócio; — políticas e procedimentos corporativos; — fluxogramas organizacionais; — contratos; — decisões de avaliação realizadas em outras jurisdições referentes às atividades de negócio semelhantes; — entrevistas com agentes que participam dos processos de negócio. Além disso, recomenda-se que os resultados da análise das funções de negócios e processos de trabalho (ver 5.7 e 5.8) ajudem na identificação de requisitos de negócios para documentos de arquivo. EXEMPLO Um departamento de atendimento ao consumidor de uma empresa de manufatura pode pre- cisar de acesso em tempo real à documentação completa dos produtos fabricados pela empresa, para ser capaz de responder às perguntas dos clientes. Além disso, eles poderiam precisar de uma base de conhe- cimento para ver as perguntas realizadas anteriormente, para ver qual seria a resposta a essas perguntas, a fim de evitar o trabalho duplo e que respostas diferentes fossem dadas às mesmas perguntas. Neste exemplo, os requisitos de negócios para identificar documentos de arquivo podem incluir: — necessidade de criar documentação do produto; — necessidade de capturar e gerenciar a documentação deste produto como documentos de arquivo, desde que necessário; D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 12 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados — disponibilidade em tempo real desses documentos de arquivo; — acesso autorizado aos funcionários de atendimento ao consumidor para executar suas tarefas; — necessidade de um sistema de negócios que possa ser usado como uma fonte de conhecimento. Esses são vários requisitos de negócios, que podem ser usados com múltiplas finalidades. Eles identificam quais documentos de arquivo precisam ser criados, para serem mantidos e por quanto tempo (entrada para uma tabela de temporalidade), requisitos de acesso (dados e regras de permissão) e requisitos do sistema (dados para desenvolvimento de sistemas). 5.11.3 Requisitos legais e regulatórios para documentos de arquivo Os requisitos legais ou regulatórios para documentos de arquivo são impostos a uma organização ou a uma área específica de atividade de negócio por legislação, regulamentação, políticas do governo, padrões (da indústria) ou instrumentos similares. O ambiente regulatório pode estabelecer requisitos relacionados aos direitos de acesso aos documentos de arquivo, como condições ou restrições e retenção. Estes incluem legislação e regulamentos específicos de privacidade, segurança, interesses comerciais,liberdade de informação e arquivos. As fontes para a identificação de requisitos legais/regulatórios podem ser: — leis e regulamentos, inclusive aqueles que regem o ambiente geral de um setor específico ou ambiente de área de negócio geral, ou aqueles relacionados especificamente a provas, docu- mentos de arquivo e arquivos digitais, acesso, privacidade, proteção de dados e de informações ou comércio eletrônico; — normas básicas, independentemente de serem ou não cumpridas voluntariamente; — diretivas internas e análises baseadas em leis e regulamentos; — decisões relativas à jurisprudência e precedentes de documentos de arquivo; e — entrevistas com pessoas que estejam familiarizadas com as leis relevantes, diretivas formais e padrões do setor, como contadores, altos funcionários e equipe jurídica. EXEMPLO Como resultado da lei de privacidade ou regulamentação, uma organização pode ser obri- gada a produzir documentos de arquivo que listem atividades relacionadas ao processamento de dados pessoais dentro da organização. Este documento de arquivo deve ser capturado e gerenciado pelo tempo que for necessário. A mesma lei ou regulamento pode exigir que as organizações minimizem a coleta e o pro- cessamento de dados pessoais, o que pode resultar na necessidade de não criar determinados documentos de arquivo. 5.11.4 Expectativas da comunidade ou da sociedade para documentos de arquivo Em geral, a sociedade (dentro das comunidades) espera que as organizações sejam responsáveis por suas ações e mantenham e disponibilizem documentos de arquivo para as partes interessadas ou ao público, de acordo com: — expectativas de que significativos eventos que definem as experiências históricas e culturais serão documentados; — expectativas de proteção dos agentes envolvidos, ou outras partes interessadas com direitos ou outras prerrogativas; D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 13 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados — expectativas em relação ao nível de serviço e disponibilidade online de documentos de arquivo; — normas de transparência e sigilo aceitas; — expectativas de que as informações nos documentos de arquivo estarão disponíveis para fins de pesquisa por comunidades ou disciplinas específicas. Fontes para a identificação de expectativas sociais para documentos de arquivo podem incluir: — relatórios em mídias sobre questões relevantes para as atividades documentadas nos documen- tos de arquivo ou em questões de responsabilização; — discussões políticas como as encontradas nos congressos parlamentares; — reclamações e outros comentários do público, arquivados com organizações relevantes; — estudos acadêmicos; — tendências e temas de mídia social; — indivíduos ou grupos consultivos de partes interessadas, como historiadores, profissionais espe- cialistas, acadêmicos, defensores da transparência, estatísticos ou pessoas ou grupos envolvi- dos no governo ou atividades corporativas do passado; — decisões de avaliação realizadas em outras jurisdições. EXEMPLO 1 Poderia haver uma expectativa por parte das pessoas que mantiveram alguma interação pessoal com organizações governamentais, no sentido de que os documentos de arquivo de suas práticas fossem produzidos, mantidos e disponibilizados. Isso pode incluir uma expectativa por parte de pessoas ou comunidades abrangidas por políticas governamentais, que poderiam ter a oportunidade de contribuir para a produção de documentos de arquivo, documentando suas experiências, e que esses documentos de arquivo pudessem ser acessados online, independentemente de sua localização física. EXEMPLO 2 Poderia haver uma expectativa dos membros das mídias sociais por uma maior transparência sobre a transferência de documentos de arquivo produzidos nas redes sociais das pessoas para terceiros, pelas grandes empresas de mídia social, após relatos sobre violações de privacidade de alto perfil. 6 Análise e implementação 6.1 Geral Após a análise e identificação dos requisitos de documentos de arquivo, convém que esses requisitos estejam vinculados a funções de negócios, atividades, transações e/ou processos de trabalho, vincu- lando os requisitos no contexto. Isso possibilita tanto a identificação de onde reside a responsabili- dade para assegurar que os requisitos sejam atendidos, como o estabelecimento de mecanismos de monitoramento para avaliar se e como os requisitos de documentos de arquivo estão sendo atendidos. Uma avaliação adicional dos riscos associados à implementação dos requisitos apoiará a administração a tomar decisões informadas sobre o seu cumprimento ou não. 6.2 Vinculação de requisitos de documentos de arquivo às funções de negócios e processos de trabalho Recomenda-se que os requisitos de documentos de arquivo estejam vinculados aos processos de trabalho ou funções de negócio, atividades ou transações que estejam situados em seus contextos, D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 14 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados com uma compreensão do risco associado ao negócio. Por exemplo, um processo de trabalho para a aquisição de suprimentos básicos de escritório por uma empresa privada poderia ter requisitos de documentos de arquivo diferentes para a aquisição de equipamentos militares significativos por um departamento de defesa do governo. Outros pontos importantes a serem lembrados sobre os requisitos de documentos de arquivo que os vinculam às atividades de negócios incluem o seguinte: — Requisitos de documentos de arquivo podem estar relacionados a qualquer aspecto da produção, captura e gerenciamento de documentos de arquivo. — No caso de terceirização de funções, os requisitos de documentos de arquivo podem estar vinculados a atividades executadas por terceiros, como provedores de serviços de TI. Essas partes podem ter obrigações contratuais para cumprir esses requisitos para seus clientes. — Uma organização pode validar se os documentos de arquivo existentes foram produzidos de acordo com os requisitos de documentos de arquivo identificados durante o processo de avaliação. Diferenças podem levar a algum retrabalho na análise do negócio. — Os requisitos de documentos de arquivo podem ser amplos ou restritos no escopo. Portanto, é possível vincular requisitos a funções, atividades ou transações individuais. Isso também será influenciado pelo escopo do processo de avaliação, ponto de vista da pessoa ou equipe que realiza o trabalho de avaliação e seus objetivos. Dependendo da finalidade e do escopo do processo de avaliação, os requisitos de documentos de arquivo podem estar vinculados à análise funcional da atividade de negócio que está na forma de: — resultados de um processo de trabalho ou análise sequencial para um único processo ou conjunto de processos vinculados, — resultados de uma análise funcional ou hierárquica por meio de várias funções, ou — uma representação de toda uma organização em uma arquitetura corporativa de informação ou em um organograma. EXEMPLO Como parte de um processo de avaliação conduzido para assegurar que a gestão de docu- mentos de arquivo esteja em conformidade com as leis de tributação recentemente revisadas, a International Light Bulb Pty Ltd. tem analisado seus requisitos de documentos de arquivo dentro do escopo de sua função de “Gestão financeira”. A organização identifica os seguintes requisitosde documentos de arquivo (ver Tabela 1): Tabela 1 – Requisitos de documentos de arquivo (continua) Nº Requisitos Fonte 1 As faturas devem ser produzidas quando um pedido do cliente é finalizado e enviado. Por exemplo: Entrevista com o gerente financeiro 1/2/16 2 As faturas emitidas pela empresa devem estar vinculadas às declarações que são enviadas aos clientes por número. As faturas devem ser mantidas em formato PDF e disponibilizadas para visualização por meio de uma conta de cliente. Por exemplo: Entrevista com o gerente financeiro 1/2/16 D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 15 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados Tabela 1 (conclusão) Nº Requisitos Fonte 3 Todos os documentos de arquivo de contas a receber devem ser retidos por cinco anos, exigidos pela legislação tributária, no sistema de relatórios e acompanhamento financeiro baseado em nuvem do Departamento. Dados incluem no mínimo: — data de emissão da fatura; — identificador do cliente; — código do produto/serviço. Esses dados devem ser vinculados de forma contínua e estar disponíveis para fins de avaliação durante todo o período de guarda. Por exemplo: Lei de Tributação 1999 s34 A organização identifica onde as transações ocorrem nos processos de negócios mapeados relativos a esses requisitos e identifica os processos de trabalho documentados na Tabela 2. Os requisitos identificados podem ser vinculados a etapas desse processo. Isso permite que a equipe da International Light Bulbs identifique os sistemas, políticas, procedimentos e pessoas que poderiam ser afetados por uma alteração na forma como os documentos de arquivo são elaborados e mantidos em conformidade com quaisquer novos requisitos. Tabela 2 – Vínculo dos requisitos para os processos (continua) Nº Requisitos Processos de trabalho Sistema(s) e regras de negócios afetadas 1 As faturas devem ser produzidas quando um pedido do cliente é finalizado e enviado. Contas a receber — Sistema financeiro de rastrea- mento e relatórios baseado em nuvem — Manual e procedimentos do departamento financeiro 2 As faturas emitidas pela empresa devem estar vinculadas às declarações que são enviadas aos clientes por número. As faturas devem ser mantidas em formato PDF e disponibilizadas para visualização por meio de uma conta de cliente Contas a receber — Sistema financeiro de rastrea- mento e relatórios baseado em nuvem — Manual e procedimentos do departamento financeiro D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 16 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados Tabela 2 (conclusão) Nº Requisitos Processos de trabalho Sistema(s) e regras de negócios afetadas 3 Todos os documentos de arquivo de contas a receber devem ser mantidos pelo mínimo de cinco anos, exigidos pela legislação tributária, no sistema de relatórios e acompanhamento financeiro baseado em nuvem do Departamento. Dados incluem no mínimo: — data de emissão da fatura; — identificador do cliente; — código do produto/serviço. Esses dados devem ser vinculados de forma contínua e estar disponíveis para fins de relatório durante todo o período de guarda. Contas a receber — Sistema financeiro de rastrea- mento e relatórios baseado em nuvem — Manual e procedimentos do depar- tamento financeiro — Tabela de temporalidade A maneira como os vínculos entre os requisitos de documentos de arquivo e as funções, atividades, transações e/ou processos de trabalho do negócio são documentados irá variar dependendo das ferramentas e recursos disponíveis e da utilidade de ter essas informações em diferentes formatos. Por exemplo, as ligações podem ser feitas usando: — tabelas simples, planilhas ou bancos de dados; — software especializado que suporte o projeto e o gerenciamento de controles de documentos de arquivo, como plano de classificação ou tabela de temporalidade; ou — para um trabalho de avaliação muito específico, que se refira a uma revisão de requisitos durante a migração de sistemas, o método mais apropriado pode ser relatório padronizado de gerenciamento de projetos e documentação semelhante. Neste estágio, recomenda-se que todos os requisitos de documentos de arquivo que foram identifica- dos sejam incluídos na documentação. Ao finalizar aqueles que serão implementados, convém que a documentação demonstre as razões pelas quais alguns requisitos não serão atendidos após uma análise dos riscos (ver 6.3). Recomenda-se que tais decisões sejam autorizadas em um nível apro- priado, dependendo do propósito e do escopo do processo de avaliação e do contexto regulatório. 6.3 Análise e tratamento de riscos associados à implementação de requisitos de documentos de arquivo Convém que as decisões de atender ou não aos requisitos de documentos de arquivo identificados sejam baseadas no contexto de negócio e na análise dos riscos associados à falha em atender totalmente aos requisitos identificados. Os riscos podem estar associados a não produzir, capturar e gerenciar documentos de arquivo cuja produção tenha sido identificada como um requisito, ou não capturar e/ou gerenciar documentos de arquivo que foram produzidos conforme exigido. NOTA O ISO/TR 18128 oferece orientação e exemplos baseados no processo geral de gerenciamento dos riscos a ser aplicado nos riscos relacionados aos processos e sistemas de documentos de arquivo. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 17 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados Recomenda-se que os riscos sejam identificados como parte da revisão contextual, por exemplo, por meio de consulta às partes interessadas, ou por uma revisão de fontes de documentos (ver 5.4). Ao analisar e avaliar os riscos, convém que sejam consideradas a probabilidade de um evento e as suas consequências. Convém decidir as consequências do tratamento de risco e convém que as opções de tratamento sejam ponderadas em relação ao custo. As consequências podem ser tangíveis (por exemplo, cobranças ou penalidades formais) ou não tan- gíveis (por exemplo, danos à reputação). As opções de tratamento podem ser processuais ou técnicas a um determinado custo (em tempo e/ou dinheiro). Isso permite que as organizações tomem decisões informadas sobre os requisitos que serão atendidos e o nível de investimento necessário para isso. O tratamento do risco pode não apenas significar que os riscos são minimizados, mas também pode ser uma oportunidade para melhorar os negócios. Por exemplo, um requisito para capturar e geren- ciar documentos de arquivo em um sistema de gestão de documentos pode não apenas significar que esses documentos estão protegidos contra eliminação não autorizada, mas também que esses docu- mentos de arquivo podem ser encontrados mais facilmente. Essa pode ser uma oportunidade para o negócio: pode haver menos tempo gasto na busca das informações certas, o que, por sua vez, pode melhorar a tomada de decisões e a velocidade das atividades comerciais. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R ASIL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 18 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados R eq ui si to s R is co d e nã o se r c um pr id o Pr ob ab ili da de * (P ) Im pa ct o* (I) N ív el d e R is co (P xI ) C us to d e nã o at en de r ao s re qu is ito s (n ão ) t an gí ve is O pç ão d e tr at am en to C us to d o tr at am en to (n ão ) t an gí ve l Fa tu ra s ar qu iv ad as co m o do cu m en to P D F A rq ui vo s em fo rm at os n ão su st en tá ve is po de m n ão e st ar m ai s ac es sí ve is pa ra o s cl ie nt es B ai xo (1 ) M éd io (2 ) 2 D an os d e re pu ta çã o (c on su m id or es re cl am an do n as m íd ia s so ci ai s, p or ex em pl o) , p er da de c on su m id or es In tro du çã o de u m a et ap a- pa dr ão p ar a ca pt ur ar fa tu ra s em fo rm at o P D F no p ro ce ss o de tr ab al ho d e co nt as a re ce be r M ud an ça n o pr oc es so d e tra ba lh o; e ta pa ad ic io na l p od e ex ig ir at é 1 m in de te m po e xt ra Fo rn ec im en to d e au to riz aç ão c er ta pa ra fu nc io ná rio s de at en di m en to a o cl ie nt e Fu nc io ná rio s in ca pa ze s de aj ud ar o s cl ie nt es B ai xo (1 ) A lta (3 ) 3 D an os d e re pu ta çã o (c lie nt es re cl am an do n as m íd ia s so ci ai s, p or ex em pl o) , p er da de c lie nt es C ria çã o e im pl em en ta çã o de u m c ro no gr am a de a ut or iz aç ão C ria çã o e im pl em en ta çã o de u m cr on og ra m a de au to riz aç ão s ão es tim ad os em 5 0 00 U S D no m áx im o D ad os d e co nt as a re ce be r d efi ni do s co m o do cu m en to s de ar qu iv o ne ce ss ár io s a se re m v in cu la do s e gu ar da do s po r p el o m en os c in co a no s D es cu m pr im en to do s re qu is ito s de d es tin aç ão co nf or m e de cl ar ad o na L ei de T rib ut aç ão B ai xo (1 ) M éd io (2 ) 2 pe na lid ad e at é 50 0 00 U S D d e ac or do c om a L ei de T rib ut aç ão A ud ito ria s de ro tin a do si st em a de re la tó rio s e ac om pa nh am en to fin an ce iro b as ea do e m nu ve m d o de pa rta m en to de fi na nç as p ar a as se gu ra r q ue os d oc um en to s de ar qu iv o se ja m m an tid os de a co rd o co m o s re qu is ito s de d es tin aç ão A s au di to ria s de d es tin aç ão po de m fa ze r p ar te da s au di to ria s ex is te nt es s ob re o si st em a de ac om pa nh am en to fin an ce iro e re la tó rio s * P os sí ve is v al or es A lto (3 ), M éd io (2 ), B ai xo (1 ) – p ar a se re m d efi ni do s pe la o rg an iz aç ão Fi gu ra 2 – E xe m pl o de m at riz d e ris co D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 19 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados A análise de risco é importante não apenas para tomar decisões sobre o atendimento dos requisitos de documentos de arquivo, mas também para: — tomar decisões sobre requisitos que só serão parcialmente atendidos; e — planejamento para o investimento de recursos que estarão envolvidos. Requisitos que demonstrem como gerenciar um risco significativo para os negócios ou para a socie- dade justificarão um maior investimento de recursos. Convém que o resultado da análise de risco e a identificação das opções de tratamento sejam um conjunto de requisitos de documentos de arquivo propostos com justificativas, para que sejam atendidos parcial ou totalmente, bem como um conjunto de requisitos de documentos de arquivo propostos a serem cumpridos, juntamente com justificativas. A análise de risco também é valiosa no caso de um conflito nos requisitos de documentos de arquivo das diferentes perspectivas mencionadas neste documento. Recomenda-se avaliar essas perspectivas caso a caso e de maneira uniforme, para evitar que uma dessas perspectivas (por exemplo, legal) seja a mais importante. EXEMPLO Uma empresa de fabricação está mantendo dados referentes às ligações e histórico de nave- gação na Internet de seus clientes. Pode haver requisitos conflitantes do ambiente regulatório, indicando que esses dados devem ser produzidos e retidos por um período mínimo de tempo, enquanto há um requisito social geral para que as empresas retenham apenas dados pessoais essenciais à condução de seus negó- cios. Nesse caso, para a empresa, o efeito da não conformidade com uma exigência regulatória seria grave e muito provável de ocorrer. Isso pode superar o impacto da resposta negativa da comunidade como resultado da manutenção dos dados pessoais. 6.4 Documentação do processo de avaliação A análise da documentação de avaliação e os resultados da avaliação podem assumir uma variedade de formas, dependendo dos requisitos organizacionais ou jurisdicionais, da maturidade tecnológica e de outros fatores. Recomenda-se que a documentação dos resultados da avaliação seja criada e retida com identificação clara de cada instância de avaliação e de quaisquer autorizações exigidas. Recomenda-se manter a documentação relacionada ao processo de avaliação de forma estruturada, para facilitar a análise transversal e a reutilização de informações. Manter fidedigna a documentação de avaliação é muito importante para — responsabilização pelas decisões tomadas, — comunicação dos resultados aos envolvidos na sua implementação, e — pesquisas futuras sobre o porquê dos documentos de arquivo de certas atividades do negócio terem sido produzidos e mantidos. Exemplos de maneiras de documentar os resultados da avaliação podem ser: — um relatório oficial indicando os resultados a serem implementados; — documentação detalhada dos requisitos de documentos de arquivo, suas fontes, perfis de risco, data de sua autorização e quem autorizou; — representações hierárquicas ou sequenciais de atividades de negócios; D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 20 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados — detalhes dos agentes e das áreas de negócio a que se referem; — documentação mostrando as ligações de requisitos para documentos de arquivo para atividade de negócio. Convém que as ferramentas para documentar os resultados da avaliação sejam adequadas ao con- texto local e aos propósitos para os quais os resultados serão colocados. Por exemplo: — para uma análise da atividade de negócios que é usada como um esquema de codificação em um esquema de metadados, registrando termos em um formato legível por máquina; — para requisitos de documentos de arquivo que exigem autorização da administração, em forma tabular, com detalhes das análises de risco realizadas. 6.5 Uso dos resultados do processo de avaliação Os resultados do processo de avaliação dependerão de seu propósito, de seuescopo e das pessoas envolvidas. Os resultados que podem ser entregues incluem: — documentação do contexto comercial, regulatório, societário e histórico de uma área de negócio; — análise funcional ou sequencial do negócio; — análise do risco e estratégias de mitigação; — lista de requisitos de documentos de arquivo acordados para a(s) área(s) de escopo dos negócios. Esta informação pode ser usada para uma variedade de propósitos, incluindo: — desenvolvimento e implementação de sistemas para documentos de arquivo; — desenvolvimento e implementação de controles de documentos de arquivo; — identificação de documentos de arquivo para recolhimento para um arquivo (seja na própria orga- nização ou para uma instituição arquivística); — identificação dos documentos de arquivo que possuem dados pessoais; — identificação dos documentos de arquivo indicados para compartilhamento público, por exemplo, como dados abertos ou para um público restrito; — planos de migração para sistemas de negócios que tratam da proteção e gerenciamento de documentos de arquivo; — desenvolvimento ou revisão de políticas e procedimentos focados em negócios ou documentos de arquivo. Os controles que podem ser desenvolvidos ou revisados com base nos resultados da avaliação para o gerenciamento de documentos de arquivo incluem: — esquemas de metadados para documentos de arquivo; — plano de classificação de negócios; D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 21 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados — regras de acesso e permissões; — autoridades de destinação. Em alguns casos, os resultados da avaliação podem ser usados como controle de documentos de arquivo. Por exemplo, os resultados documentados de uma análise funcional podem ser usados como um plano de classificação de negócios. Exemplos de políticas ou procedimentos que poderiam ser desenvolvidos ou revisados com base nos resultados da avaliação incluem: — procedimentos operacionais conforme escopo das áreas de negócio; — política e procedimentos para a produção, captura e gerenciamento de documentos de arquivo; — política e procedimentos de governança da informação; — política de segurança da informação; — estratégias de migração; — planos de continuidade de negócios; — planos de gestão de risco; — políticas de privacidade. O(s) método(s) de implementação desses produtos de avaliação dependerá(ão) do ambiente de negócio, dos recursos disponíveis e da natureza dos documentos de arquivo. Convém que a implementação seja apoiada nas atribuições, treinamento e monitoramento contínuo. Convém que agentes relevantes sejam informados e treinados sobre novos sistemas, processos, políticas ou procedimentos, quando novos resultados de avaliação forem implementados. 7 Monitoramento A avaliação para gerenciar documentos de arquivo e a implementação de produtos com base em seus resultados requerem monitoramento e análise contínua. Recomenda-se que o monitoramento seja realizado rotineiramente para avaliar se os produtos da avaliação e se os instrumentos resultantes continuam funcionando eficazmente, bem como se mudan- ças no próprio negócio ou no contexto em que o negócio foi realizado indicam o escopo e o início de um novo processo de avaliação. O monitoramento e a análise contínua dão apoio à natureza recorrente da avaliação para o gerencia- mento de documentos de arquivo. Para permitir monitoramento e revisão eficazes, convém que uma organização determine: — o que precisa ser monitorado e analisado; — quais partes interessadas são incluídas nas atividades relacionadas ao monitoramento e à análise; D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 22 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados — os métodos de monitoramento, análise e avaliação para assegurar resultados válidos; — a frequência com que as atividades de monitoramento e análise serão realizadas; — quando os resultados do monitoramento serão analisados. 8 Revisão e ação corretiva Com base nos resultados do monitoramento e análise, convém que as decisões sobre como respondê-los sejam autorizadas e tomadas no nível apropriado. Convém que essas decisões, bem como os resulta- dos analisados das atividades de monitoramento, sejam documentados. No caso de produtos que não são considerados eficazes, como controles de documentos de arquivo, as respostas podem ser na forma de medidas de mitigação. Por exemplo, as regras de acesso e as permissões não estão sendo bem implementadas, devido à alta rotatividade de pessoal. Uma solução encontrada é a integração do sistema de documentos de arquivo com o sistema de gerencia- mento de identificação de uma melhor maneira. Ou, no caso de documentos de arquivo não serem produzidos quando convém, os procedimentos existentes podem ser alterados. Por exemplo, a continuação de um processo de trabalho pode ser dependente da produção e da captura de um conjunto de documentos de arquivo predefinidos após cada etapa do processo de trabalho. Dessa forma, uma abordagem de melhoria contínua é usada para assegurar a implementação ade- quada das decisões de avaliação. No caso de alterações no negócio ou em seu(s) contexto(s), as respostas podem incluir o início de um novo processo de avaliação. D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS 23 ABNT ISO/TR 21946:2020 © ISO 2018 - © ABNT 2020 - Todos os direitos reservados Bibliografia [1] ISO/TR 18128, Information and documentation – Risk assessment for records processes and systems [2] ISO/TR 26122, Information and documentation – Work process analysis for records [3] ABNT NBR ISO 23081-1, Informação e documentação – Processos de gestão de documentos de arquivo – Metadados para documentos de arquivo – Parte 1: Princípios [4] ABNT NBR ISO 23081-2, Informação e documentação – Gerenciamento de metadados para documento de arquivos – Parte 2: Problemas conceituais e implementação [5] ISO/TR 23081-3, Information and documentation – Managing metadata for records – Part 3: Self-assessment method [6] ABNT NBR ISO 30300, Informação e documentação – Sistema de gestão de documentos de arquivo – Fundamentos e vocabulário [7] ABNT NBR ISO 30301, Informação e documentação – Sistema de gestão de documentos de arquivo – Requisitos [8] ABNT NBR ISO 30302, Informação e documentação – Sistema de gestão de documentos de arquivo – Diretrizes para implementação D oc um en to im pr es so e m 3 0/ 09 /2 02 1 12 :2 2: 02 , d e us o ex cl us iv o de A SS O C IA C AO B R AS IL EI R A D E ED U C AD O R ES L AS SA LI ST AS Documento impresso em 30/09/2021 12:22:02, de uso exclusivo de ASSOCIACAO BRASILEIRA DE EDUCADORES LASSALISTAS