NP EN ISO 19011 Portuguesa - fenix. · PDF fileNorma Portuguesa NP EN ISO 19011 2012 Linhas de...
55
Norma Portuguesa NP EN ISO 19011 2012 Linhas de orientação para auditorias a sistemas de gestão (ISO 19011:2011) Lignes directrices pour l’audit des systèmes de management (ISO 19011:2011) Guidelines for auditing management systems (ISO 19011:2011) ICS 03.120.10 CORRESPONDÊNCIA Versão portuguesa da EN ISO 19011:2011 HOMOLOGAÇÃO Termo de Homologação n.º 193/2012, de 2012-07-13 A presente Norma substitui a NP EN ISO 19011:2003 (Ed. 1) ELABORAÇÃO CT 80 (APQ) 2ª EDIÇÃO agosto de 2012 CÓDIGO DE PREÇO X014 IPQ reprodução proibida Rua António Gião, 2 2829-513 CAPARICA PORTUGAL Tel. + 351-212 948 100 Fax + 351-212 948 101 E-mail: [email protected] Internet: www.ipq.pt
Transcript of NP EN ISO 19011 Portuguesa - fenix. · PDF fileNorma Portuguesa NP EN ISO 19011 2012 Linhas de...
Norma Portuguesa
NP EN ISO 19011 2012
Linhas de orientação para auditorias a sistemas de gestão (ISO 19011:2011)
Lignes directrices pour l’audit des systèmes de management (ISO 19011:2011)
Guidelines for auditing management systems (ISO 19011:2011)
ICS 03.120.10 CORRESPONDÊNCIA Versão portuguesa da EN ISO 19011:2011
HOMOLOGAÇÃO Termo de Homologação n.º 193/2012, de 2012-07-13 A presente Norma substitui a NP EN ISO 19011:2003 (Ed. 1) ELABORAÇÃO CT 80 (APQ) 2ª EDIÇÃO agosto de 2012 CÓDIGO DE PREÇO X014
IPQ reprodução proibida
Rua António Gião, 2 2829-513 CAPARICA PORTUGAL
Tel. + 351-212 948 100 Fax + 351-212 948 101 E-mail: [email protected] Internet: www.ipq.pt
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
Nuno Almeida
Typewritten Text
Nuno Almeida
Typewritten Text
Cópia de trabalho
Nuno Almeida
Typewritten Text
Nuno Almeida
Typewritten Text
Nuno Almeida
Typewritten Text
Nuno Almeida
Typewritten Text
Nuno Almeida
Typewritten Text
Nuno Almeida
Typewritten Text
Nuno Almeida
Typewritten Text
Nuno Almeida
Rectangle
Preâmbulo nacional À Norma Europeia EN ISO 19011:2011, foi dado estatuto de Norma Portuguesa em 2012-02-27 (Termo de Adoção nº 230/2012, de 2012-02-27).
Esta versão portuguesa foi preparada pela CT 80 “Gestão da qualidade e garantia da qualidade”, coordenada pelo Organismo de Normalização Sectorial, Associação Portuguesa para a Qualidade (ONS/APQ). Esta segunda edição anula e substitui a primeira edição (EN ISO 19011:2002), que foi objeto de uma revisão técnica.
As principais diferenças em relação à primeira edição são as seguintes:
− o objetivo e campo de aplicação foi alargado de auditorias a sistemas de gestão da qualidade e ambiental para auditorias a quaisquer sistemas de gestão;
− as relações entre a ISO 19011 e a ISO/IEC 17021 foram clarificadas;
− foram introduzidos métodos de auditoria à distância e o conceito de risco;
− a confidencialidade foi introduzida como um novo princípio de auditoria;
− as Secções 5, 6 e 7 foram reorganizadas;
− foi introduzida informação adicional no novo Anexo B, de que resultou a remoção das caixas de ajuda prática;
− o processo de determinação e avaliação da competência foi reforçado;
− exemplos esclarecedores de conhecimentos e de saber fazer específicos de disciplinas foram incluídos no novo Anexo A;
− linhas de orientação adicionais estão disponíveis no endereço www.iso.org/19011auditing.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NORMA EUROPEIA EN ISO 19011
EUROPÄISCHE NORM
NORME EUROPÉENNE
EUROPEAN STANDARD novembro 2011
CEN
Comité Europeu de Normalização Europäisches Komitee für Normung Comité Européen de Normalisation
European Committee for Standardization
Secretariado Central: Avenue Marnix 17, B-1000 Bruxelas
2011 CEN Direitos de reprodução reservados aos membros do CEN
Ref. nº EN ISO 19011:2011 Pt
ICS: 03.120.10; 13.020.10 Substitui a EN ISO 19011:2002
Versão portuguesa
Linhas de orientação para auditorias a sistemas de gestão (ISO 19011:2011)
Leitfaden zur Auditierung von Managementsystemen (ISO 19011:2011)
Lignes directrices pour l’audit des systèmes de management (ISO 19011:2011)
Guidelines for auditing management systems (ISO 19011:2011)
A presente Norma é a versão portuguesa da Norma Europeia EN ISO 19011:2012, e tem o mesmo estatuto que as versões oficiais. A tradução é da responsabilidade do Instituto Português da Qualidade. Esta Norma Europeia foi ratificada pelo CENELEC em 2011-11-05. Os membros do CENELEC são obrigados a submeter-se ao Regulamento Interno do CEN/CENELEC que define as condições de adoção desta Norma Europeia, como norma nacional, sem qualquer modificação. Podem ser obtidas listas atualizadas e referências bibliográficas relativas às normas nacionais correspondentes junto do Secretariado Central ou de qualquer dos membros do CENELEC. A presente Norma Europeia existe nas três versões oficiais (alemão, francês e inglês). Uma versão noutra língua, obtida pela tradução, sob responsabilidade de um membro do CENELEC, para a sua língua nacional, e notificada ao Secretariado Central, tem o mesmo estatuto que as versões oficiais. Os membros do CENELEC são os organismos nacionais de normalização dos seguintes países: Alemanha, Áustria, Bélgica, Bulgária, Chipre, Dinamarca, Eslováquia, Eslovénia, Espanha, Estónia, Finlândia, França, Grécia, Hungria, Irlanda, Islândia, Itália, Letónia, Lituânia, Luxemburgo, Malta, Noruega, Países Baixos, Polónia, Portugal, Reino Unido, República Checa, Roménia, Suécia e Suíça. Im
pres
são
de d
ocum
ento
elec
trónic
o
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 4 de 55
Sumário Página
Preâmbulo nacional ................................................................................................................................. 2
1 Objetivo e campo de aplicação ............................................................................................................ 9
2 Referência normativa ........................................................................................................................... 9
3 Termos e definições .............................................................................................................................. 9
4 Princípios de auditoria ......................................................................................................................... 12
5 Gestão de um programa de auditorias ................................................................................................ 13
5.1 Generalidades ...................................................................................................................................... 13
5.2 Estabelecimento dos objetivos do programa de auditorias .................................................................. 15
5.3 Estabelecimento do programa de auditorias ........................................................................................ 15
5.4 Implementação do programa de auditorias .......................................................................................... 18
5.5 Monitorização do programa de auditorias ........................................................................................... 22
5.6 Revisão e melhoria do programa de auditorias .................................................................................... 22
6 Realização de uma auditoria................................................................................................................ 23
6.1 Generalidades ...................................................................................................................................... 23
6.2 Início da auditoria ................................................................................................................................ 25
6.3 Preparação das atividades de auditoria ................................................................................................ 26
6.4 Condução das atividades de auditoria .................................................................................................. 28
6.5 Preparação e distribuição do relatório da auditoria ............................................................................. 33
6.6 Encerramento da auditoria ................................................................................................................... 34
6.7 Condução do seguimento da auditoria ................................................................................................. 34
7 Competência e avaliação dos auditores .............................................................................................. 35
7.1 Generalidades ...................................................................................................................................... 35
7.2 Determinação das competências dos auditores para satisfazer as necessidades do programa de auditorias .............................................................................................................................. 35
7.3 Estabelecimento dos critérios de avaliação de auditores ..................................................................... 39
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 5 de 55
7.4 Seleção do método de avaliação de auditores adequado ...................................................................... 40
7.5 Condução da avaliação de um auditor .................................................................................................. 40
7.6 Manutenção e melhoria da competência de um auditor ....................................................................... 41
Anexo A (informativo) Orientações e exemplos esclarecedores de conhecimentos e saber fazer específicos de disciplinas para auditores ............................................................................ 42
Anexo B (informativo) Orientação adicional para os auditores quanto ao planeamento e à condução de auditorias ............................................................................................................................ 48
Bibliografia ............................................................................................................................................... 55
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 6 de 55
Preâmbulo A presente Norma (EN ISO 19011:2011) foi elaborada pelo Comité Técnico ISO/TC 176 “Quality management and quality assurance”.
A esta Norma Europeia deve ser atribuído o estatuto de Norma Nacional, seja por publicação de um texto idêntico, seja por adoção, o mais tardar em maio de 2012, e as normas nacionais divergentes devem ser anuladas, o mais tardar em maio de 2012.
Pode acontecer que alguns dos elementos do presente documento sejam objeto de direitos de propriedade. O CEN (e/ou o CENELEC) não deve ser responsabilizado pela identificação de alguns ou de todos esses direitos.
A presente Norma Europeia substitui a EN ISO 19011:2002.
De acordo com o Regulamento Interno do CEN/CENELEC, a presente Norma deve ser implementada pelos organismos nacionais de normalização dos seguintes países: Alemanha, Áustria, Bélgica, Bulgária, Chipre, Dinamarca, Eslováquia, Eslovénia, Espanha, Estónia, Finlândia, França, Grécia, Hungria, Irlanda, Islândia, Itália, Letónia, Lituânia, Luxemburgo, Malta, Noruega, Países Baixos, Polónia, Portugal, Reino Unido, República Checa, Roménia, Suécia e Suíça.
Nota de endosso O texto da presente Norma internacional ISO 19011:2011 foi aprovado pelo CEN como EN ISO 19011:2011 sem qualquer modificação.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 7 de 55
Introdução Desde que a primeira edição desta Norma foi publicada em 2002, várias normas novas de sistemas de gestão foram entretanto publicadas. Daí resultou haver agora a necessidade de ter em consideração um âmbito mais lato de auditoria a sistemas de gestão, bem como de proporcionar orientações que sejam mais genéricas.
Em 2006, o comité da ISO para a avaliação da conformidade (CASCO) desenvolveu a ISO/IEC 17021, que estabelece requisitos para a certificação de sistemas de gestão por terceiras partes e que se baseou parcialmente nas linhas de orientação contidas na primeira edição desta Norma.
A segunda edição da ISO/IEC 17021, publicada em 2011, foi alargada de forma a transformar as orientações proporcionadas nesta Norma em requisitos para auditorias de certificação de sistemas de gestão. É neste contexto que esta segunda edição desta Norma Internacional proporciona orientações a todos os utilizadores, incluindo organizações de pequena e média dimensão, concentrando-se nas que são normalmente designadas “auditorias internas” (de primeira parte) e “auditorias conduzidas pelos clientes aos seus fornecedores” (segunda parte). Embora os envolvidos em auditorias de certificação a sistemas de gestão sigam os requisitos da ISO/IEC 17021:2011, podem também considerar úteis as orientações contidas nesta Norma Internacional.
As relações entre esta segunda edição desta Norma Internacional e a ISO/IEC 17021:2011 são apresentadas no Quadro 1.
Quadro 1 – Âmbito desta Norma Internacional e relacionamento com a ISO/IEC 17021:2011
Auditoria interna Auditoria externa
Auditoria a fornecedores Auditoria de terceira parte
Por vezes designadas como auditoria de primeira parte
Por vezes designadas como auditoria de segunda parte
Para fins legais, regulamentares e outros semelhantes Para certificação (ver também os requisitos na ISO/IEC 17021:2011)
Esta Norma internacional não especifica requisitos, mas proporciona orientações para a gestão de um programa de auditorias, para o planeamento e condução de uma auditoria a um sistema de gestão, bem como quanto à competência e à avaliação de um auditor e de uma equipa auditora.
As organizações podem manter em funcionamento mais de um sistema de gestão formal. Para simplificar a legibilidade desta Norma Internacional, considerou-se preferível usar “sistema de gestão” no singular, podendo o leitor adaptar a implementação destas orientações à sua situação particular. Isto também se aplica à utilização de “pessoa” e “pessoas”, “auditor” e “auditores”.
Pretende-se que esta Norma Internacional seja aplicável a um vasto leque de utilizadores potenciais, incluindo auditores, organizações que implementam sistemas de gestão e organizações que necessitam de conduzir auditorias a sistemas de gestão por razões contratuais ou regulamentares. Os utilizadores desta Norma Internacional podem, contudo, aplicar estas orientações no desenvolvimento dos seus próprios requisitos relativos a auditorias.
As orientações contidas nesta Norma internacional também podem ser utilizadas para efeitos de autodeclaração e ser úteis para organizações envolvidas na formação de auditores ou em certificação de pessoas.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 8 de 55
Pretende-se que as orientações nesta Norma internacional sejam flexíveis. Tal como se indica em diversos pontos no texto, a forma como se utilizam estas orientações pode diferir em função da dimensão e do grau de maturidade do sistema de gestão da organização e da natureza e complexidade da organização a ser auditada, bem como dos objetivos e do âmbito das auditorias a serem conduzidas.
Esta Norma internacional introduz o conceito de risco na auditoria a sistemas de gestão. A abordagem adotada está relacionada, tanto com o risco de o processo de auditoria não atingir os seus objetivos, como com o potencial de a auditoria interferir com as atividades e os processos do auditado. Não proporciona orientações específicas quanto ao processo de gestão do risco da organização, mas reconhece que as organizações podem focalizar o esforço de auditoria em temas significativos para o sistema de gestão.
Esta Norma internacional adota a abordagem em que se designa de “auditoria combinada”, quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados em conjunto. Onde estes sistemas estiverem integrados num único sistema de gestão, os princípios e os processos de auditoria são os mesmos que são usados numa auditoria combinada.
A secção 3 estabelece os termos e as definições chave usados nesta Norma Internacional. Foram feitos todos os esforços para assegurar que estas definições não conflituam com definições utilizadas em outras normas.
A secção 4 descreve os princípios em que se baseia a auditoria. Estes princípios auxiliam o utilizador a compreender a natureza essencial da auditoria e são importantes para compreender as orientações estabelecidas nas secções 5 a 7.
A secção 5 proporciona orientações quanto ao estabelecimento e gestão de programas de auditoria, ao estabelecimento de objetivos para o programa de auditorias e à coordenação das atividades de auditoria.
A secção 6 proporciona orientações quanto ao planeamento e à condução de uma auditoria a um sistema de gestão.
A secção 7 proporciona orientações relativas à competência e à avaliação de auditores e de equipas auditoras de sistemas de gestão.
O Anexo A esclarece a aplicação das orientações dadas na secção 7 a diferentes disciplinas.
O Anexo B proporciona aos auditores orientações adicionais para o planeamento e a condução de auditorias.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 9 de 55
1 Objetivo e campo de aplicação Esta Norma fornece orientações sobre auditorias a sistemas de gestão, incluindo os princípios de auditoria, gestão de um programa de auditorias e condução de auditorias a sistemas de gestão, bem como orientações sobre a avaliação da competência de pessoas envolvidas no processo de auditoria, incluindo o responsável pela gestão do programa de auditorias, os auditores e as equipas auditoras.
É aplicável a todas as organizações que necessitem conduzir auditorias internas ou externas a sistemas de gestão ou gerir um programa de auditorias.
Esta Norma pode ser aplicada a outros tipos de auditorias, desde que seja dada especial atenção à competência específica necessária.
2 Referência normativa Não são citadas referências normativas. Esta secção é incluída para manter a numeração de secções idêntica à adotada em outras normas de sistemas de gestão.
3 Termos e definições Para os fins da presente Norma, aplicam-se os seguintes termos e definições:
3.1 auditoria Processo sistemático, independente e documentado para obter evidências de auditoria (3.3) e respetiva avaliação objetiva, com vista a determinar em que medida os critérios da auditoria (3.2) são satisfeitos.
NOTA 1: As auditorias internas, por vezes denominadas auditorias de primeira parte, são conduzidas por ou em nome da própria organização, para revisão pela gestão ou por outras razões internas (p. ex. para confirmar a eficácia do sistema de gestão ou para obter informação para a melhoria do sistema de gestão). As auditorias internas podem constituir o suporte para uma autodeclaração de conformidade pela organização. Em muitos casos, especialmente em pequenas organizações, a independência pode ser demonstrada pela ausência de responsabilidade pela atividade auditada ou pela ausência de influências e de conflitos de interesses.
NOTA 2: As auditorias externas incluem as auditorias de segunda e de terceira parte. As auditorias de segunda parte são conduzidas por partes com interesse na organização, tais como clientes ou pessoas em seu nome. As auditorias de terceira parte são conduzidas por organizações auditoras independentes, tais como reguladores ou as que proporcionam certificação.
NOTA 3: Sempre que dois ou mais sistemas de gestão de diferentes disciplinas (p. ex. qualidade, ambiente, segurança e saúde do trabalho) sejam auditados conjuntamente, a auditoria é denominada auditoria combinada.
NOTA 4: Sempre que duas ou mais organizações auditoras cooperam para realizar uma auditoria a um único auditado (3.7), esta é denominada auditoria conjunta.
NOTA 5: Adaptado da ISO 9000:2005, definição 3.9.1.
3.2 critérios da auditoria Conjunto de políticas, procedimentos ou requisitos utilizado como referência em relação ao qual se comparam as evidências de auditoria (3.3).
NOTA 1: Adaptado da ISO 9000:2005, definição 3.9.3.
NOTA 2: Se os critérios da auditoria forem exigências legais (incluindo estatutários ou regulamentares), os termos “conforme” e “não conforme” são frequentemente utilizados numa constatação da auditoria (3.4).
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 10 de 55
3.3 evidências de auditoria Registos, afirmações factuais ou outra informação, que sejam relevantes para os critérios da auditoria (3.2) e verificáveis.
NOTA: As evidências de auditoria podem ser qualitativas ou quantitativas.
[ISO 9000:2005, definição 3.9.4]
3.4 constatações da auditoria Resultados da avaliação das evidências de auditoria (3.3) recolhidas face aos critérios da auditoria (3.2).
NOTA 1: As constatações da auditoria indicam conformidade ou não conformidade.
NOTA 2: As constatações da auditoria podem levar à identificação de oportunidades de melhoria ou ao registo de boas práticas.
NOTA 3: Se os critérios da auditoria forem baseados em exigências legais ou outros, a constatação da auditoria será de conformidade ou de não conformidade.
NOTA 4: Adaptado da ISO 9000:2005, definição 3.9.5.
3.5 conclusões da auditoria Resultados finais de uma auditoria (3.1), após serem tidos em consideração os objetivos da auditoria e todas as constatações da auditoria (3.4).
NOTA: Adaptado da ISO 9000:2005, definição 3.9.6.
3.6 cliente da auditoria Organização ou pessoa que requer uma auditoria (3.1).
NOTA 1: No caso da auditoria interna, o cliente da auditoria pode ser também o auditado (3.7) ou a pessoa responsável pela gestão do programa de auditorias. As solicitações de auditorias externas podem ser feitas por entidades como reguladores, partes contratantes ou clientes potenciais.
NOTA 2: Adaptado da ISO 9000:2005, definição 3.9.7.
3.7 auditado Organização a ser auditada.
[ISO 9000:2005, definição 3.9.8]
3.8 auditor Pessoa que conduz uma auditoria (3.1).
3.9 equipa auditora Um ou mais auditores (3.8) que conduzem uma auditoria (3.1), se necessário com o suporte de peritos técnicos (3.10).
NOTA 1: Um dos auditores da equipa auditora é nomeado coordenador da equipa auditora.
NOTA 2: A equipa auditora poderá incluir auditores em formação.
[ISO 9000:2005, definição 3.9.10]
3.10 perito técnico Pessoa que proporciona conhecimento específico ou experiência qualificada à equipa auditora (3.9).
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 11 de 55
NOTA 1: Conhecimentos específicos ou experiência qualificada no que diz respeito à organização, ao processo ou à atividade a auditar, à língua ou à orientação cultural.
NOTA 2: Um perito técnico não atua como auditor (3.8) no âmbito da equipa auditora.
[ISO 9000:2005, definição 3.9.11]
3.11 observador Pessoa que acompanha a equipa auditora (3.9), mas que não audita.
NOTA 1: Um observador não faz parte da equipa auditora (3.9) e não influencia ou interfere na condução da auditoria (3.1).
NOTA 2: Um observador pode pertencer ao auditado (3.7), a um regulador ou a uma outra parte interessada que testemunha a auditoria (3.1).
3.12 guia Pessoa indicada pelo auditado (3.7) para dar apoio à equipa auditora (3.9).
3.13 programa de auditorias Preparativos para um conjunto de uma ou mais auditorias (3.1) planeadas para um determinado período de tempo e dirigidas a uma finalidade específica.
NOTA: Adaptado da ISO 9000:2005, definição 3.9.2.
3.14 âmbito da auditoria Extensão e limites de uma auditoria (3.1).
NOTA: O âmbito da auditoria normalmente inclui uma descrição dos locais, das unidades organizacionais, das atividades e dos processos, bem como do período de tempo abrangido.
[ISO 9000:2005, definição 3.9.13]
3.15 plano de auditoria Descrição das atividades e dos preparativos de uma auditoria (3.1).
[ISO 9000:2005, definição 3.9.12]
3.16 risco Efeito da incerteza nos objetivos.
NOTA: Adaptado do ISO Guide 73:2009, definição 1.11).
3.17 competência Aptidão para aplicar conhecimentos e saber fazer para atingir os resultados pretendidos.
NOTA: A aptidão implica comportamento pessoal adequado durante o processo de auditoria.
3.18 conformidade Satisfação de um requisito.
[ISO 9000:2005, definição 3.6.1]
1) Versão portuguesa: DNP ISO Guia 73:2011 (nota nacional).
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 12 de 55
3.19 não-conformidade Não satisfação de um requisito.
[ISO 9000:2005, definição 3.6.2]
3.20 sistema de gestão Sistema para o estabelecimento da política e dos objetivos e para a concretização desses objetivos.
NOTA: O sistema de gestão de uma organização pode incluir diferentes sistemas de gestão, tais como o sistema de gestão da qualidade, o sistema de gestão financeira ou o sistema de gestão ambiental.
[ISO 9000:2005, definição 3.2.2].
4 Princípios de auditoria A atividade de auditoria é caracterizada por se basear num conjunto de princípios. Estes princípios deverão ajudar a fazer da auditoria uma ferramenta eficaz e fiável de suporte às políticas e ao controlo de gestão, ao fornecer informação sobre a qual uma organização pode atuar para melhorar o seu desempenho. A adesão a estes princípios é um pré-requisito para proporcionar conclusões da auditoria que sejam relevantes e suficientes e para permitir que auditores, trabalhando independentemente uns dos outros, cheguem a conclusões semelhantes em circunstâncias semelhantes.
As orientações dadas nas Secções 5 a 7 baseiam-se nos seis princípios que se esboçam a seguir:
a) Integridade: pilar do profissionalismo.
Os auditores e a pessoa responsável pela gestão do programa de auditorias deverão:
− realizar o seu trabalho com honestidade, diligência e responsabilidade;
− observar e cumprir quaisquer exigências legais aplicáveis;
− demonstrar a sua competência enquanto realizam o seu trabalho;
− realizar o seu trabalho de forma imparcial, isto é, permanecer justo e isento de influências em todas as suas relações;
− estar cientes de quaisquer influências que poderão ser exercidas por outras partes interessadas sobre os seus juízos de valor, enquanto realizam uma auditoria.
b) Apresentação justa: obrigação de relatar com verdade e rigor.
Constatações, conclusões e relatórios de auditoria deverão refletir com verdade e rigor as atividades da auditoria. Deverão ser relatados os obstáculos significativos encontrados durante a auditoria, assim como as opiniões divergentes, não resolvidas, entre a equipa auditora e o auditado. A comunicação deverá ser verdadeira, rigorosa, objetiva, oportuna, clara e completa.
c) Devido cuidado profissional: aplicação de diligência e de discernimento ao auditar.
Os auditores deverão atuar com o cuidado adequado à importância da tarefa que executam e à confiança neles depositada pelo cliente da auditoria e outras partes interessadas. Um fator importante para executarem o seu trabalho com o devido cuidado profissional, é terem a aptidão para fazer juízos fundamentados em todas as situações de auditoria.
d) Confidencialidade: segurança da informação.
Os auditores deverão ser prudentes na utilização e proteção da informação obtida no exercício das suas tarefas. A informação da auditoria não deverá ser utilizada de forma inadequada para proveito pessoal do
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 13 de 55
auditor ou do cliente da auditoria, ou de forma a prejudicar os legítimos interesses do auditado. Este conceito inclui o tratamento adequado de informação sensível ou confidencial.
e) Independência: pilar da imparcialidade da auditoria e da objetividade das conclusões da auditoria.
Os auditores deverão ser independentes da atividade a ser auditada e deverão em todos os casos atuar de forma que seja livre de influências e de conflitos de interesses. Nas auditorias internas, os auditores deverão ser independentes dos gestores operacionais das funções auditadas. Os auditores deverão manter a objetividade durante o processo de auditoria para assegurar que as constatações e as conclusões da auditoria se baseiam unicamente em evidências de auditoria.
Nas organizações pequenas poderá não ser possível que os auditores internos sejam totalmente independentes da atividade a ser auditada, mas deverão ser envidados todos os esforços para remover influências e promover a objetividade.
f) Abordagem baseada em evidências: método racional para chegar a conclusões da auditoria fiáveis e reprodutíveis num processo de auditoria sistemático.
As evidências de auditoria deverão ser verificáveis. Baseiam-se geralmente em amostras da informação disponível, dado que uma auditoria é conduzida com tempo e recursos limitados. Deverá utilizar-se a amostragem de forma adequada, uma vez que essa utilização se relaciona intimamente com a confiança que pode ser depositada nas conclusões da auditoria.
5 Gestão de um programa de auditorias
5.1 Generalidades
Uma organização que necessita de conduzir auditorias deverá estabelecer um programa de auditorias que contribua para a determinação da eficácia do sistema de gestão do auditado. O programa de auditorias pode incluir auditorias que tenham em consideração um ou mais sistemas de gestão, conduzidas tanto separadamente como em combinação.
A gestão de topo deverá assegurar que os objetivos do programa de auditorias são estabelecidos e nomear uma ou mais pessoas com competências para gerir o programa de auditorias. A extensão de um programa de auditorias deverá ter em conta a dimensão e a natureza da organização a ser auditada, bem como na natureza, funcionalidade, complexidade e nível de maturidade do sistema de gestão a ser auditado. Na alocação dos recursos do programa de auditorias deverá ser dada prioridade à auditoria aos aspetos significativos dentro do sistema de gestão. Estes poderão incluir as características-chave da qualidade dos produtos, perigos relativos a segurança e saúde do trabalho ou aspetos ambientais significativos e o seu controlo.
NOTA: Este conceito é geralmente conhecido como auditoria baseada no risco. Esta Norma não proporciona quaisquer outras orientações sobre auditorias baseadas no risco.
O programa de auditorias deverá incluir a informação e os recursos necessários para organizar e conduzir as suas auditorias de forma eficaz e eficiente dentro dos prazos especificados e também pode incluir o seguinte:
− objetivos do programa de auditorias e de cada uma das auditorias;
− extensão/número/tipos/duração/locais/calendarização das auditorias;
− procedimentos do programa de auditorias;
− critérios da auditoria;
− métodos de auditoria;
− seleção das equipas auditoras;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 14 de 55
− recursos necessários, incluindo viagens e alojamento;
− processos para o tratamento de questões de confidencialidade, segurança da informação, segurança e saúde do trabalho e outras similares.
A implementação do programa de auditorias deverá ser monitorizada e medida para assegurar a consecução dos seus objetivos. O programa de auditorias deverá ser revisto para identificar possíveis melhorias.
A Figura 1 ilustra o fluxo do processo de gestão de um programa de auditorias.
Figura 1 – Fluxo do processo de gestão de um programa de auditoria
NOTA 1: Esta Figura ilustra a aplicação do ciclo Planear-Executar-Verificar-Atuar a esta Norma.
5.2 Estabelecimento dos objetivos do programa de auditorias
5.3 Estabelecimento do programa de auditorias
5.3.1 Funções e responsabilidades da pessoa responsável pela gestão do programa de auditorias
5.3.2 Competência da pessoa responsável pela gestão do programa de auditorias
5.3.3 Estabelecimento da extensão do programa de auditorias
5.3.4 Identificação e avaliação dos riscos do programa de auditorias
5.3.5 Estabelecimento de procedimentos para o programa de auditorias
5.3.6 Identificação dos recursos do programa de auditorias
5.4 Implementação do programa de auditorias
5.4.1 Generalidades
5.4.2 Definição dos objetivos, âmbito e critérios de cada auditoria
5.4.3 Seleção dos métodos de auditoria
5.4.4 Seleção dos membros da equipa auditora
5.4.5 Atribuição de responsabilidade por uma auditoria ao auditor coordenador
5.4.6 Gestão dos resultados do programa de auditorias
5.4.7 Gestão e manutenção dos registos do programa de auditorias
5.6 Revisão e melhoria do programa de auditoria
5.5 Monitorização do programa de auditoria
Competência e avaliação de auditores (secção 7)
Realizar uma auditoria (secção 6)
PLANEAR
EXECUTAR
VERIFICAR
ATUAR
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 15 de 55
NOTA 2: A numeração de secções/subsecções refere-se às correspondentes secções/subsecções desta Norma.
5.2 Estabelecimento dos objetivos do programa de auditorias
A gestão de topo deverá assegurar que os objetivos do programa de auditorias são estabelecidos para orientar o planeamento e a condução das auditorias e que o programa de auditorias é eficazmente implementado. Os objetivos do programa de auditorias deverão ser consistentes com a política e os objetivos do sistema de gestão e dar-lhes suporte.
Estes objetivos podem ter em conta:
a) prioridades da gestão;
b) intenções comerciais e outros negócios;
c) características dos processos, produtos e projetos, e quaisquer alterações aos mesmos;
d) requisitos do sistema de gestão;
e) exigências legais e contratuais e outros requisitos com os quais a organização se tenha comprometido;
f) necessidades de avaliação de fornecedores;
g) necessidade e expectativas de partes interessadas, incluindo clientes;
h) nível de desempenho do auditado, tal como se reflete na ocorrência de falhas ou incidentes ou em reclamações de clientes;
i) riscos para o auditado;
j) resultados de auditorias anteriores;
k) nível de maturidade do sistema de gestão a ser auditado.
Exemplos de objetivos do programa de auditorias incluem o seguinte:
− contribuição para a melhoria de um sistema de gestão e do seu desempenho;
− satisfação de requisitos externos, p. ex. certificação de acordo com a Norma de um sistema de gestão;
− verificação da conformidade com requisitos contratuais;
− obtenção e manutenção da confiança na capacidade de um fornecedor;
− determinação da eficácia do sistema de gestão;
− avaliação da compatibilidade e do alinhamento dos objetivos do sistema de gestão com a política do sistema de gestão e os objetivos globais da organização.
5.3 Estabelecimento do programa de auditorias
5.3.1 Funções e responsabilidades da pessoa responsável pela gestão do programa de auditorias
A pessoa responsável pela gestão do programa de auditorias deverá:
− estabelecer a extensão do programa de auditorias;
− identificar e avaliar os riscos do programa de auditorias;
− estabelecer responsabilidades para as auditorias;
− estabelecer procedimentos para os programas de auditoria;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 16 de 55
− determinar os recursos necessários;
− assegurar a implementação do programa de auditorias, incluindo o estabelecimento de objetivos, âmbito e critérios de auditoria de cada uma das auditorias, a determinação dos métodos de auditoria, a seleção da equipa auditora e a avaliação dos auditores;
− assegurar que são geridos e mantidos os registos adequados do programa de auditorias;
− monitorizar, rever e melhorar o programa de auditorias.
A pessoa responsável pela gestão de um programa de auditorias deverá informar a gestão de topo dos conteúdos do programa de auditorias e, quando necessário, obter a respetiva aprovação.
5.3.2 Competência da pessoa responsável pela gestão do programa de auditorias
A pessoa responsável pela gestão do programa de auditorias deverá ter a competência necessária para gerir de forma eficaz e eficiente o programa e os riscos associados, bem como conhecimentos e saber fazer nas seguintes áreas:
− princípios, procedimentos e métodos de auditoria;
− normas de sistemas de gestão e documentos de referência;
− atividades, produtos e processos do auditado;
− exigências legais e outras aplicáveis, que sejam relevantes para as atividades e para os produtos do auditado;
− clientes, fornecedores e outras partes interessadas do auditado, onde aplicável.
A pessoa responsável pela gestão do programa de auditorias deverá participar em atividades adequadas de desenvolvimento profissional contínuo para manter os conhecimentos e saber fazer necessários para gerir o programa de auditorias.
5.3.3 Estabelecimento da extensão do programa de auditorias
A pessoa responsável pela gestão do programa de auditorias deverá determinar a extensão do programa de auditorias, que pode variar dependendo da dimensão e da natureza do auditado, bem como da natureza, funcionalidade, complexidade e nível de maturidade do sistema de gestão a auditar e ainda, de questões significativas para esse mesmo sistema.
NOTA: Em certos casos, dependendo da estrutura do auditado e das suas atividades, o programa de auditoria pode consistir numa única auditoria (p. ex. uma atividade de um pequeno projeto).
Outros fatores com impacto na extensão do programa de auditorias incluem o seguinte:
− objetivo, âmbito e duração de cada auditoria bem como número de auditorias a conduzir, incluindo o seguimento de auditorias, se aplicável;
− número, importância, complexidade, semelhança e localização das atividades a serem auditadas;
− fatores que influenciam a eficácia do sistema de gestão;
− critérios da auditoria aplicáveis, tais como os preparativos planeados para as normas de gestão relevantes, exigências legais, contratuais e outros requisitos com os quais a organização esteja comprometida;
− conclusões de auditorias internas e externas anteriores;
− resultados da revisão de um programa de auditorias anterior;
− questões de língua, culturais e sociais;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 17 de 55
− as preocupações de partes interessadas, tais como reclamações de clientes e a não conformidade com exigências legais;
− alterações significativas no auditado ou nas suas operações;
− disponibilidade de tecnologias de informação e de comunicação que deem suporte às atividades de auditoria, em particular a utilização de métodos de auditoria à distância (ver secção B.1);
− a ocorrência de acontecimentos internos ou externos, tais como falhas em produtos, quebras na segurança da informação, incidentes no domínio da segurança e saúde do trabalho, atos criminosos ou incidentes ambientais.
5.3.4 Identificação e avaliação dos riscos do programa de auditorias
Há muitos riscos diferentes associados ao estabelecimento, implementação, monitorização, revisão e melhoria de um programa de auditorias, que poderão afetar a consecução dos seus objetivos. A pessoa responsável pela gestão do programa de auditorias deverá ter estes riscos em consideração quando o elabora. Estes riscos poderão estar associados ao seguinte:
− planeamento, p. ex. falha no estabelecimento de objetivos relevantes para a auditoria e determinação da extensão do programa de auditorias;
− recursos, p. ex. estabelecendo tempo insuficiente para desenvolver o programa de auditorias ou para conduzir uma auditoria;
− seleção da equipa auditora, p. ex. a equipa não reúne a competência coletiva para conduzir auditorias com eficácia;
− implementação, p. ex. comunicação ineficaz do programa de auditorias;
− registos e respetivo controlo, p. ex. falha na proteção adequada dos registos de auditorias para demonstrar a eficácia do programa de auditorias;
− monitorização, revisão e melhoria do programa de auditorias, p. ex. monitorização ineficaz dos resultados do programa de auditorias.
5.3.5 Estabelecimento de procedimentos para o programa de auditorias
A pessoa responsável pela gestão do programa de auditorias deverá estabelecer um ou mais procedimentos que abordem o seguinte, conforme aplicável:
− planeamento e calendarização das auditorias tendo em consideração os riscos do programa de auditorias;
− garantia da segurança e da confidencialidade da informação;
− garantia da competência dos auditores e dos auditores coordenadores;
− seleção das equipas auditoras adequadas e atribuição de funções e responsabilidades;
− condução das auditorias, incluindo a utilização de métodos de amostragem adequados;
− condução do seguimento da auditoria, se aplicável;
− reporte à gestão de topo quanto às consecuções globais do programa de auditorias;
− manutenção dos registos dos programas de auditoria;
− monitorização e revisão do desempenho e dos riscos e melhoria da eficácia do programa de auditorias.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 18 de 55
5.3.6 Identificação dos recursos do programa de auditorias
Ao identificar os recursos para o programa de auditorias, a pessoa responsável pela gestão do programa de auditorias deverá ter em consideração:
− os recursos financeiros necessários para desenvolver, implementar, gerir e melhorar as atividades de auditoria;
− os métodos de auditoria;
− a disponibilidade de auditores e de peritos técnicos com as competências adequadas aos objetivos específicos do programa de auditorias;
− a extensão do programa de auditorias e os respetivos riscos;
− os tempos e custos de deslocação, o alojamento e outras necessidades relativas à auditoria;
− a disponibilidade de tecnologias de informação e de comunicação.
5.4 Implementação do programa de auditorias
5.4.1 Generalidades
Para implementar o programa de auditorias, a pessoa responsável pela gestão do programa de auditorias deverá:
− comunicar as partes pertinentes do programa de auditorias às partes interessadas relevantes e informá-las periodicamente sobre o seu progresso;
− definir objetivos, âmbito e critérios para cada uma das auditorias;
− coordenar e calendarizar as auditorias e outras atividades relevantes para o programa de auditorias;
− assegurar a seleção de equipas auditoras com a competência necessária;
− disponibilizar os recursos necessários às equipas auditoras;
− assegurar a condução das auditorias de acordo com o programa de auditorias e dentro dos prazos acordados;
− assegurar que as atividades de auditoria são registadas e a correta gestão e manutenção desses registos.
5.4.2 Definição dos objetivos, âmbito e critérios de cada auditoria
Cada uma das auditorias deverá estar baseada em objetivos, âmbito e critérios de auditoria documentados. Estes deverão ser definidos pela pessoa responsável pela gestão do programa de auditorias e ser consistentes com os objetivos globais do programa de auditorias.
Os objetivos da auditoria definem o que deve ser atingido em cada auditoria e poderão incluir o seguinte:
− determinação do grau de conformidade do sistema de gestão a ser auditado, ou de partes do mesmo, com os critérios da auditoria;
− determinação do grau de conformidade das atividades, processos e produtos com os requisitos e procedimentos do sistema de gestão;
− avaliação da capacidade do sistema de gestão para assegurar conformidade com exigências legais e contratuais e outros requisitos com os quais a organização se tenha comprometido;
− avaliação da eficácia do sistema de gestão na consecução dos objetivos especificados;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 19 de 55
− identificação de áreas para melhoria potencial do sistema de gestão.
O âmbito da auditoria deverá ser consistente com o programa de auditorias e com os objetivos da auditoria. Inclui fatores como locais, unidades organizacionais, atividades e processos a auditar, bem como a duração da auditoria.
Os critérios da auditoria são utilizados como referências em relação às quais se determina a conformidade e poderão incluir políticas, procedimentos, normas, exigências legais, requisitos de sistemas de gestão, requisitos contratuais, códigos de conduta sectoriais aplicáveis ou outros preparativos planeados.
Se ocorrerem quaisquer alterações nos objetivos, âmbito ou critérios da auditoria, o programa de auditorias deverá ser modificado se necessário.
Quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados em simultâneo (uma auditoria combinada), é importante que os objetivos, âmbito e critérios sejam consistentes com os objetivos dos programas de auditoria relevantes.
5.4.3 Seleção dos métodos de auditoria
A pessoa responsável pela gestão do programa de auditorias deverá selecionar e determinar os métodos para a condução eficaz da auditoria, em função dos objetivos, âmbito e critérios de auditoria definidos.
NOTA: Orientações quanto à forma de determinar os métodos de auditoria são dadas no Anexo B.
Quando duas ou mais organizações auditoras conduzem uma auditoria conjunta ao mesmo auditado, as pessoas responsáveis pela gestão dos diferentes programas de auditoria, deverão acordar quanto ao método de auditoria e ter em consideração as implicações na atribuição de recursos e no planeamento da auditoria. Se um auditado mantém em funcionamento dois ou mais sistemas de gestão de diferentes disciplinas, o programa de auditorias poderá incluir auditorias combinadas.
5.4.4 Seleção dos membros da equipa auditora
A pessoa responsável pela gestão do programa de auditorias deverá nomear os membros da equipa auditora, incluindo o coordenador da equipa e quaisquer peritos técnicos necessários para a auditoria específica.
Uma equipa auditora deverá ser selecionada, tendo em consideração as competências necessárias para a consecução dos objetivos de uma das auditorias, dentro do âmbito definido. Se for apenas um auditor, este deverá assumir todas as obrigações aplicáveis a um auditor coordenador.
NOTA: A secção 7 contém orientações para a determinação das competências requeridas para os membros da equipa auditora e descreve o processo para a avaliação dos auditores.
Ao decidir a dimensão e a composição da equipa auditora para uma dada auditoria, deverá ser tido em consideração o seguinte:
a) competência global da equipa auditora, necessária para a consecução dos objetivos da auditoria, tendo em consideração o âmbito e os critérios da auditoria;
b) a complexidade da auditoria e se a mesma é uma auditoria combinada ou conjunta;
c) os métodos de auditoria que foram selecionados;
d) exigências legais e contratuais e outros requisitos com os quais a organização se tenha comprometido;
e) a necessidade de assegurar a independência dos membros da equipa auditora, em relação às atividades a auditar e de evitar quaisquer conflitos de interesses [ver o princípio e) na secção 4];
f) a aptidão dos membros da equipa auditora para interagir eficazmente com os representantes do auditado e para trabalhar em conjunto;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 20 de 55
g) o idioma da auditoria e as características sociais e culturais do auditado. Estas questões poderão ser resolvidas, quer através das próprias competências do auditor, quer com o suporte de um perito técnico.
Para garantir as competências globais da equipa auditora, deverão ser dados as seguintes etapas:
− identificar os conhecimentos e saber fazer necessário, para a consecução dos objetivos da auditoria;
− selecionar os membros da equipa auditora de forma a garantir que todo o conhecimento e saber fazer, estão presentes na equipa auditora.
Se os auditores da equipa auditora não reunirem todas as competências necessárias, deverão ser incluídos peritos técnicos com as competências adicionais. Os peritos técnicos deverão atuar sob a direção de um auditor, mas não deverão agir como auditores.
Auditores em formação poderão ser incluídos na equipa auditora, mas deverão participar sob a direção e a orientação de um auditor.
Ajustes à dimensão e à composição da equipa auditora poderão ser necessários durante a auditoria, isto é, se surgirem conflitos de interesse ou questões de competência. Se se verificarem tais situações, deverá ser discutido com as partes adequadas (p. ex. auditor coordenador, a pessoa responsável pela gestão do programa de auditorias, o cliente da auditoria ou o auditado) antes de se proceder a quaisquer ajustes.
5.4.5 Atribuição da responsabilidade por uma auditoria ao auditor coordenador
A pessoa responsável pela gestão do programa de auditorias deverá atribuir a um auditor coordenador a responsabilidade pela condução de cada auditoria.
A atribuição deverá ser feita com um prazo suficiente antes da data marcada para a auditoria, tendo em vista assegurar o planeamento eficaz da auditoria.
Para assegurar que cada uma das auditorias é conduzida com eficácia, a seguinte informação deverá ser fornecida ao auditor coordenador:
a) os objetivos da auditoria;
b) os critérios da auditoria e quaisquer documentos de referência;
c) o âmbito da auditoria, incluindo a identificação das unidades organizacionais e funcionais e dos processos a serem auditados;
d) métodos e procedimentos de auditoria;
e) composição da equipa auditora;
f) detalhes dos contactos do auditado, os locais, as datas e a duração das atividades de auditoria a serem conduzidas;
g) a alocação de recursos adequados para a condução da auditoria;
h) a informação necessária para avaliar e abordar os riscos identificados para a consecução dos objetivos da auditoria.
Esta informação deverá também englobar o seguinte, conforme adequado:
− o idioma de trabalho e do relatório da auditoria, sempre que seja diferente do idioma do auditor, do auditado ou de ambos;
− o conteúdo e a distribuição do relatório de auditoria requeridos pelo programa de auditorias;
− questões relacionadas com confidencialidade e segurança da informação, se requerido pelo programa de auditorias;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 21 de 55
− quaisquer requisitos de segurança e saúde do trabalho para os auditores;
− quaisquer requisitos de segurança pessoal*) e autorizações;
− quaisquer ações de seguimento, p. ex. de uma auditoria anterior, se aplicável;
− coordenação com outras atividades de auditoria, no caso de uma auditoria conjunta.
Quando se conduz uma auditoria conjunta, antes de a mesma começar, é importante obter o acordo entre as organizações que conduzem a auditoria, quanto às responsabilidades específicas de cada parte, particularmente no que se refere à autoridade do coordenador da equipa auditora que tenha sido nomeado.
5.4.6 Gestão dos resultados do programa de auditorias
A pessoa responsável pela gestão do programa de auditorias deverá assegurar-se de que as seguintes atividades são executadas:
− rever e aprovar os relatórios de auditoria, incluindo a avaliação da adequação das constatações da auditoria;
− rever as análises de causas na raiz e a eficácia das ações corretivas e preventivas;
− distribuir os relatórios de auditoria à gestão de topo e a outras partes relevantes;
− determinar a necessidade de uma auditoria de seguimento.
5.4.7 Gestão e manutenção dos registos do programa de auditorias
A pessoa responsável pela gestão do programa de auditorias deverá assegurar-se de que os registos das auditorias são criados, geridos e mantidos para demonstrar a implementação do programa de auditorias. Deverão ser estabelecidos processos para assegurar que são abordadas quaisquer necessidades de confidencialidade associadas com os registos das auditorias.
Os registos deverão incluir o seguinte:
a) registos relacionados com o programa de auditorias, tais como:
− objetivos e extensão documentados do programa de auditorias;
− os que abordem riscos do programa de auditorias;
− revisões da eficácia do programa de auditoria;
b) registos relacionados com cada uma das auditorias, tais como:
− planos e relatórios das auditorias;
− relatórios de não conformidades;
− relatórios de ações corretivas e preventivas;
− relatórios do seguimento das auditorias, se aplicável;
c) registos relacionados com o pessoal que audita, cobrindo questões como:
− competência e avaliação do desempenho dos membros da equipa auditora;
− seleção das equipas auditoras e dos membros das equipas; *) Corresponde ao termo “security” no original em inglês, que se pode entender fundamentalmente como “proteção e preservação das pessoas, bens e informação quer tangível, quer intangível” (nota nacional).
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 22 de 55
− manutenção e melhoria da competência.
A forma e o nível de detalhe dos registos deverão demonstrar a consecução dos objetivos do programa de auditorias.
5.5 Monitorização do programa de auditorias
A pessoa responsável pela gestão do programa de auditorias deverá monitorizar a sua implementação, tendo em consideração a necessidade de:
a) avaliar a conformidade com programas, calendários e objetivos das auditorias;
b) avaliar o desempenho dos membros da equipa auditora;
c) avaliar a aptidão dos membros da equipa auditora para implementar o plano de auditoria;
d) avaliar o retorno de informação da gestão de topo, dos auditados, dos auditores e de outras partes interessadas.
Alguns fatores poderão determinar a necessidade de modificar o programa de auditorias, tais como:
− constatações da auditoria;
− nível de eficácia demonstrado pelo sistema de gestão;
− alterações no sistema de gestão do cliente ou do auditado;
− alterações em normas, exigências legais e contratuais e outros requisitos com os quais a organização se tenha comprometido;
− mudança de fornecedor.
5.6 Revisão e melhoria do programa de auditorias
A pessoa responsável pela gestão do programa de auditorias deverá rever o programa de auditorias para avaliar se os seus objetivos foram atingidos. As lições aprendidas com a revisão do programa de auditorias deverão ser usadas como entradas para o processo de melhoria contínua do programa.
A revisão do programa de auditorias deverá ter em consideração o seguinte:
a) resultados e tendências da monitorização do programa de auditorias;
b) conformidade com os procedimentos do programa de auditorias;
c) evolução das necessidades e expectativas das partes interessadas;
d) registos do programa de auditorias;
e) métodos de auditoria alternativos ou novos;
f) eficácia das medidas para abordar os riscos associados ao programa de auditorias;
g) questões de confidencialidade e de segurança da informação relacionadas com o programa de auditorias.
A pessoa responsável pela gestão do programa de auditorias deverá rever a implementação global do programa de auditorias, identificar áreas de melhoria, emendar o programa se necessário, e deverá também:
− rever o desenvolvimento profissional continuado dos auditores, de acordo com 7.4, 7.5 e 7.6;
− relatar os resultados da revisão do programa de auditorias à gestão de topo.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 23 de 55
6 Realização de uma auditoria
6.1 Generalidades
Esta secção contém orientação sobre a preparação e a condução de atividades de auditoria, que façam parte de um programa de auditorias. A Figura 2 proporciona uma visão global das atividades típicas de uma auditoria. O grau de extensão da aplicação das disposições desta secção depende dos objetivos e do âmbito da auditoria em causa.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 24 de 55
NOTA: A numeração de subsecções refere-se às correspondentes subsecções desta Norma Internacional.
Figura 2 – Atividades típicas de uma auditoria
6.2 Início da auditoria
6.2.1 Generalidades
6.2.2 Estabelecimento do contacto inicial com o auditado
6.2.3 Determinação da exequibilidade da auditoria
6.3 Preparação das atividades de auditoria
6.3.1 Revisão da documentação na preparação da auditoria
6.3.2 Preparação do plano da auditoria
6.3.3 Atribuição de tarefas à equipa auditora
6.3.4 Preparação dos documentos de trabalho
6.5 Preparação e distribuição do relatório da auditoria
6.5.1 Preparação do relatório da auditoria
6.5.2 Distribuição do relatório da auditoria
6.6 Encerramento da auditoria
6.7 Condução do seguimento da auditoria (se especificado no plano de auditoria)
6.4 Condução das atividades de auditoria
6.4.1 Generalidades
6.4.2 Condução da reunião de abertura
6.4.3 Revisão da documentação enquanto se conduz a auditoria
6.4.4 Comunicação durante a auditoria
6.4.5 Atribuição de funções e responsabilidades a guias e observadores
6.4.6 Recolha e verificação da informação
6.4.7 Elaboração das constatações da auditoria
6.4.8 Preparação das conclusões da auditoria
6.4.9 Condução da reunião de encerramento
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 25 de 55
6.2 Início da auditoria
6.2.1 Generalidades
Quando se inicia uma auditoria, a responsabilidade pela sua condução até que a mesma seja encerrada (ver 6.6) é do auditor coordenador que tenha sido nomeado (ver 5.4.5).
Para iniciar uma auditoria, deverão ser tidos em consideração as etapas da Figura 2; contudo, dependendo do auditado, dos processos e de circunstâncias específicas, a sequência pode ser diferente.
6.2.2 Estabelecimento do contacto inicial com o auditado
O contacto inicial com o auditado para a realização da auditoria pode ser informal ou formal e deverá ser feito pelo auditor coordenador. Os propósitos do contacto inicial são os seguintes:
− estabelecer canais de comunicação com os representantes do auditado;
− confirmar que está autorizado a conduzir a auditoria;
− fornecer informação sobre objetivos, âmbito, métodos e composição da equipa auditora, incluindo peritos técnicos;
− solicitar acesso a documentos e registos relevantes para efeitos de planeamento;
− determinar os exigências legais e contratuais aplicáveis e quaisquer outros requisitos relevantes para as atividades e produtos do auditado;
− confirmar o acordado com o auditado no que se refere à extensão da divulgação e ao tratamento de informação confidencial;
− fazer os preparativos para a auditoria, incluindo a calendarização das datas;
− determinar quaisquer requisitos específicos do local quanto a acesso, segurança pessoal, segurança e saúde do trabalho ou outros aplicáveis;
− acordar sobre a participação de observadores e a necessidade de guias para a equipa auditora;
− determinar quaisquer áreas de interesse ou preocupação para o auditado em relação à auditoria específica.
6.2.3 Determinação da exequibilidade da auditoria
A exequibilidade da auditoria deverá ser determinada para proporcionar confiança razoável na consecução dos objetivos da auditoria.
A determinação da exequibilidade deverá ter em consideração fatores tais como a disponibilidade de:
− informação suficiente e adequada para planear e conduzir a auditoria;
− cooperação adequada por parte do auditado;
− tempo e recursos adequados para a condução da auditoria.
Quando a auditoria não for exequível, deverá ser proposta ao cliente da auditoria uma alternativa que tenha o acordo do auditado.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 26 de 55
6.3 Preparação das atividades de auditoria
6.3.1 Revisão da documentação na preparação da auditoria
A documentação relevante do sistema de gestão do auditado deverá ser revista para:
− recolher informação para preparar as atividades de auditoria e os documentos de trabalho aplicáveis (ver 6.3.4), p. ex. relativos a processos, funções;
− obter uma visão global da extensão da documentação do sistema para detetar possíveis lacunas.
NOTA: Orientações quanto à forma de realizar uma revisão da documentação são dadas na secção B.2.
A documentação deverá incluir, conforme aplicável, documentos e registos do sistema de gestão, bem como relatórios de auditorias anteriores. A revisão da documentação deverá ter em consideração a dimensão, a natureza e a complexidade do sistema de gestão e da organização do auditado, bem como os objetivos e o âmbito da auditoria contaminação em instalações do tipo clean room*).
6.3.2 Preparação do plano da auditoria
6.3.2.1 O auditor coordenador deverá preparar um plano da auditoria com base na informação contida no programa de auditorias e na documentação fornecida pelo auditado. O plano de auditoria deverá ter em consideração o efeito das atividades de auditoria nos processos do auditado e proporcionar a base para um acordo entre o cliente da auditoria, a equipa auditora e o auditado no que se refere à condução da auditoria. O plano deverá promover a eficiente calendarização e coordenação das atividades da auditoria para a consecução eficaz dos objetivos da auditoria.
O grau de detalhe fornecido no plano da auditoria deverá refletir o âmbito e a complexidade da auditoria, bem como o efeito da incerteza na consecução dos objetivos da auditoria. Ao preparar o plano da auditoria, o auditor coordenador deverá estar ciente do seguinte:
− técnicas de amostragem adequadas (ver secção B.3);
− composição da equipa auditora e a sua competência coletiva;
− riscos para a organização que resultem da auditoria.
Os riscos para a organização poderão, por exemplo, decorrer da influência da presença de membros da equipa auditora, sobre a segurança e a saúde do trabalho, o ambiente e a qualidade, e cuja presença represente ameaças para os produtos, serviços, pessoal ou infraestrutura do auditado (p. ex. contaminação em instalações do tipo*)).
Em auditorias combinadas deverá ser dada particular atenção às interações entre processos operacionais e os objetivos e prioridades conflituantes dos diferentes sistemas de gestão.
6.3.2.2 A extensão e os conteúdos do plano de auditoria poderão diferir, por exemplo, entre a auditoria inicial e as auditorias seguintes, bem como entre auditorias internas e auditorias externas. O plano da auditoria deverá ser suficientemente flexível para permitir as alterações que se poderão tornar-se necessárias, à medida que as atividades de auditoria progridam.
*) “sala limpa” (nota nacional).
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 27 de 55
O plano de auditoria deverá cobrir ou referir o seguinte:
a) os objetivos da auditoria;
b) o âmbito da auditoria, incluindo a identificação das unidades organizacionais e funcionais, bem como os processos a auditar;
c) os critérios da auditoria e quaisquer documentos de referência;
d) os locais, datas, horas e durações expectáveis das atividades de auditoria a conduzir, incluindo reuniões com a gestão do auditado;
e) os métodos de auditoria a utilizar, incluindo o nível de amostragem requerido pela auditoria para obter evidências de auditoria suficientes e o modelo do plano de amostragem, se aplicável;
f) as funções e as responsabilidades dos membros da equipa auditora, bem como dos guias e dos observadores;
g) a alocação de recursos adequados às áreas críticas da auditoria.
O plano de auditoria poderá também cobrir o seguinte, conforme adequado:
− identificação do representante do auditado para a auditoria;
− o idioma de trabalho e do relatório da auditoria quando seja diferente do idioma do auditor, do auditado ou de ambos;
− os tópicos do relatório de auditoria;
− preparativos quanto a logística e a comunicações, incluindo preparativos específicos para os locais a serem auditados;
− quaisquer medidas específicas a tomar para abordar o efeito da incerteza, no atingir dos objetivos da auditoria;
− questões relacionadas com a confidencialidade e segurança da informação;
− quaisquer ações de seguimento de uma auditoria anterior;
− quaisquer ações de seguimento para a auditoria planeada;
− coordenação com outras atividades de auditoria, no caso de ser uma auditoria conjunta.
O plano poderá ser revisto e aceite pelo cliente da auditoria e deverá ser apresentado ao auditado. Quaisquer objeções do auditado ao plano de auditoria deverão ser resolvidas entre o auditor coordenador, o auditado e o cliente da auditoria.
6.3.3 Atribuição de tarefas à equipa auditora
O auditor coordenador, tendo consultado a equipa auditora, deverá atribuir a cada membro da equipa responsabilidades para auditar processos, atividades, funções ou locais específicos. Tais atribuições deverão ter em consideração a independência e a competência dos auditores e a utilização eficaz dos recursos, bem como as diferentes funções e responsabilidades dos auditores, dos auditores em formação e dos peritos técnicos.
O auditor coordenador deverá fazer, conforme adequado, pontos de situação com a equipa auditora para distribuir tarefas e decidir possíveis alterações. As alterações às atribuições de tarefas podem ser efetuadas à medida que a auditoria progride, de modo a assegurar a consecução dos objetivos da auditoria.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 28 de 55
6.3.4 Preparação dos documentos de trabalho
Os membros da equipa auditora deverão recolher e rever a informação relevante, para as suas atribuições na auditoria e preparar os documentos de trabalho, conforme necessário, para referência e para registo das evidências de auditoria. Tais documentos de trabalho poderão incluir:
− listas de verificação;
− planos de amostragem da auditoria;
− formulários para registo de informação, tais como evidências de suporte, constatações da auditoria e registos de reuniões.
A utilização de listas de verificação e formulários não deverá restringir a extensão das atividades de auditoria, que podem ser alteradas como resultado da informação recolhida durante a auditoria.
NOTA: Orientações relativas à preparação de documentos de trabalho são dadas na secção B.4.
Os documentos de trabalho, incluindo os registos decorrentes da sua utilização, deverão ser retidos pelo menos até à conclusão da auditoria, ou conforme especificado no plano de auditoria. A retenção de documentos após a conclusão da auditoria está descrita em 6.6. Os documentos que envolvam informação confidencial ou da propriedade da organização, deverão ser devidamente salvaguardados durante o tempo todo, pelos membros da equipa auditora.
6.4 Condução das atividades de auditoria
6.4.1 Generalidades
As atividades de auditoria são normalmente conduzidas numa sequência definida como a da Figura 2. Esta sequência poderá ser alterada para se adaptar às circunstâncias de auditorias específicas.
6.4.2 Condução da reunião de abertura
O propósito da reunião de abertura é:
a) confirmar o acordo de todas as partes (p. ex. auditado, equipa auditora) com o plano da auditoria;
b) apresentar a equipa auditora;
c) assegurar que todas as atividades de auditoria planeadas podem ser executadas.
Deverá ser realizada uma reunião de abertura com a gestão do auditado e, onde adequado, com os responsáveis pelas funções ou processos a auditar. Durante a reunião deverá ser dada a oportunidade de serem colocadas questões.
O grau de detalhe deverá ser consistente com a familiaridade do auditado com o processo de auditoria. Em muitas situações, p. ex. no caso de auditorias internas numa pequena organização, a reunião de abertura poderá simplesmente, consistir em comunicar que vai ser conduzida uma auditoria e em explicar a sua natureza.
Noutras situações de auditoria, a reunião poderá ser formal e deverão ser mantidos registos das presenças. A reunião deverá ser dirigida pelo auditor coordenador e, conforme adequado, deverão ser tidos em consideração os seguintes pontos:
− apresentação dos participantes, incluindo observadores e guias, com uma breve descrição das respetivas funções;
− confirmação dos objetivos, âmbito e critérios da auditoria;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 29 de 55
− confirmação, com o auditado, do plano da auditoria e de outros preparativos relevantes, tais como data e hora da reunião de encerramento, de quaisquer reuniões intercalares entre a equipa auditora e a gestão do auditado, bem como eventuais alterações de última hora;
− apresentação dos métodos a serem utilizados na condução da auditoria, incluindo informar o auditado de que as evidências de auditoria serão apenas baseadas numa amostra da informação disponível;
− introdução de métodos para gerir os riscos para a organização, que poderão resultar da presença dos membros da equipa auditora;
− confirmação dos canais de comunicação formais entre a equipa auditora e o auditado;
− confirmação do idioma a ser utilizado durante a auditoria;
− confirmação de que, durante a auditoria, o auditado será mantido ao corrente do progresso da mesma;
− confirmação da disponibilidade dos recursos e instalações necessários à equipa auditora;
− confirmação das questões relacionadas com confidencialidade e segurança da informação;
− confirmação dos procedimentos relevantes de segurança e saúde do trabalho, emergência e segurança pessoal para a equipa auditora;
− informação sobre a metodologia para reporte das constatações da auditoria, incluindo a sua classificação se aplicável;
− informação sobre circunstâncias que poderão pôr termo à auditoria;
− informação sobre a reunião de encerramento;
− informação sobre a forma de lidar com possíveis constatações durante a auditoria;
− informação sobre qualquer sistema para o auditado dar informação de retorno sobre as constatações ou as conclusões da auditoria, incluindo reclamações ou recursos.
6.4.3 Revisão da documentação enquanto se conduz a auditoria
A documentação relevante do auditado deverá ser revista para:
− determinar a conformidade do sistema, na medida em que deverá estar documentado, com os critérios da auditoria;
− recolher informação para suporte das atividades de auditoria.
NOTA: Orientações sobre revisão da documentação são dadas na secção B.2.
A revisão poderá ser combinada com outras atividades de auditoria e poderá continuar ao longo de toda a auditoria, desde que isto não prejudique a eficácia da condução da auditoria.
Se não for possível disponibilizar a documentação adequada dentro do prazo dado no plano de auditoria, o auditor coordenador deverá informar a pessoa responsável pela gestão do programa de auditorias e o auditado. Dependendo dos objetivos e âmbito da auditoria, deverá ser tomada uma decisão, quanto à continuação ou à suspensão da auditoria até que os problemas com a documentação sejam resolvidos.
6.4.4 Comunicação durante a auditoria
Poderá ser necessário, no decorrer da auditoria, formalizar a comunicação dentro da equipa auditora, com o auditado, com o cliente da auditoria e, eventualmente, com organismos externos (p. ex. reguladores), especialmente quando haja requisitos legais que requeiram o relato obrigatório de não conformidades.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 30 de 55
A equipa auditora deverá fazer pontos de situação periódicos para trocar informações, avaliar o progresso da auditoria e, conforme necessário, redistribuir trabalho entre os membros da equipa auditora.
Durante a auditoria, o auditor coordenador deverá comunicar periodicamente, ao auditado e ao cliente da auditoria, conforme adequado, o progresso da auditoria e quaisquer preocupações. A evidência recolhida no decurso da auditoria que sugira um risco imediato e significativo para o auditado, deverá ser-lhe relatada sem demora e, conforme adequado, ao cliente da auditoria. Qualquer preocupação com uma questão fora do âmbito da auditoria deverá ser anotada e relatada ao auditor coordenador, para eventual comunicação ao cliente da auditoria e ao auditado.
Quando as evidências de auditoria disponíveis indicarem que os objetivos da auditoria não são atingíveis, o auditor coordenador deverá relatar as razões ao cliente da auditoria e ao auditado para determinar a ação adequada. Tal ação poderá incluir a reconfirmação ou a modificação do plano da auditoria, alterações aos objetivos ou ao âmbito da auditoria, ou que a mesma seja terminada.
Deverão ser revistas e aprovadas, tanto pela pessoa responsável pela gestão do programa de auditorias como pelo auditado, conforme adequado, quaisquer necessidades de alterações ao plano da auditoria que se revelem necessárias à medida que as atividades de auditoria no local progridam.
6.4.5 Atribuição de funções e responsabilidades a guias e observadores
A equipa auditora poderá ser acompanhada por guias e observadores (p. ex. regulador ou outras partes interessadas). Estes não deverão influenciar ou interferir com a condução da auditoria. Se isso não puder ser assegurado, o auditor coordenador deverá ter o direito de recusar a participação de observadores em certas atividades de auditoria.
Quaisquer obrigações dos observadores relativas a segurança e saúde do trabalho, segurança pessoal e confidencialidade deverão ser geridas entre o cliente da auditoria e o auditado.
Os guias, designados pelo auditado, deverão apoiar a equipa auditora e atuar a pedido do auditor coordenador. As suas responsabilidades deverão incluir o seguinte:
a) apoiar os auditores na identificação de pessoas a entrevistar e na confirmação dos horários;
b) combinar os acessos a locais específicos do auditado;
c) assegurar que as regras relativas a procedimentos de segurança de pessoas e bens do local, são conhecidas e respeitadas pelos membros da equipa auditora e pelos observadores.
A função de guia poderá incluir também, o seguinte:
− testemunhar a auditoria em nome do auditado;
− prestar esclarecimentos ou apoiar a recolha de informação.
6.4.6 Recolha e verificação da informação
Durante a auditoria a informação relevante para os objetivos, âmbito e critérios da auditoria, incluindo a informação sobre interfaces entre funções, atividades e processos, deverá ser recolhida por amostragem adequada e deverá ser verificada. Apenas a informação que é verificável deverá ser aceite como evidência de auditoria. As evidências de auditoria que deem origem a constatações da auditoria deverão ser registadas. Se, ao recolher evidências, a equipa auditora se aperceber de quaisquer circunstâncias ou riscos que sejam novos ou tenham sido alterados, os mesmos deverão ser abordados pela equipa de forma adequada.
NOTA 1: Orientações sobre amostragens são dadas na secção B.3.
A Figura 3 dá uma visão global do processo, desde a recolha da informação até às conclusões da auditoria.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 31 de 55
Figura 3 – Visão global do processo de recolha e verificação da informação
Os métodos de recolha de informação incluem:
− entrevistas;
− observação de atividades;
− revisão de documentos, incluindo registos.
NOTA 2: Orientações sobre fontes de informação são dadas na secção B.5.
NOTA 3: Orientações sobre visita ao local do auditado são dadas na secção B.6.
NOTA 4: Orientações sobre condução de entrevistas são dadas na secção B.7.
6.4.7 Elaboração das constatações da auditoria
As evidências de auditoria deverão ser avaliadas face aos critérios da auditoria, para se chegar às constatações da auditoria. As constatações da auditoria podem indicar conformidade ou não conformidade com os critérios da auditoria. Quando especificado no plano de auditoria, as constatações de cada uma das auditorias deverão incluir conformidade e boas práticas e as correspondentes evidências de suporte, oportunidades de melhoria e eventuais recomendações para o auditado.
As não conformidades e as correspondentes evidências de auditoria que as suportem deverão ser registadas. As não conformidades podem ser classificadas. Deverão ser revistas com o auditado para que reconheça a exatidão das evidências de auditoria e compreenda as não conformidades. Deverão ser feitas todas as
Fonte de informação
Recolha usando amostragem adequada
Evidências de auditoria
Avaliação face aos critérios da auditoria
Constatações da auditoria
Revisão
Conclusões de auditoria
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 32 de 55
tentativas para solucionar opiniões divergentes relativas a evidências ou a constatações de auditoria, devendo ser registados os aspetos não resolvidos.
A equipa auditora deverá reunir-se, sempre que necessário, em momentos adequados da auditoria para rever as constatações da auditoria.
NOTA: Orientações adicionais sobre identificação e avaliação das constatações da auditoria são dadas na secção B.8.
6.4.8 Preparação das conclusões da auditoria
A equipa auditora deverá conferenciar antes da reunião de encerramento, para:
a) rever, face aos objetivos da auditoria, as constatações da auditoria e qualquer outra informação adequada recolhida durante a auditoria;
b) acordar sobre as conclusões da auditoria, tendo em consideração a incerteza inerente ao processo de auditoria;
c) preparar recomendações, se especificado no plano de auditoria;
d) discutir o seguimento da auditoria, se aplicável.
As conclusões da auditoria podem abordar questões, tais como:
− a extensão da conformidade com os critérios da auditoria e a robustez do sistema de gestão, incluindo a eficácia do sistema de gestão, para se atingirem os objetivos declarados;
− a eficaz implementação, manutenção e melhoria do sistema de gestão;
− a capacidade do processo de revisão pela gestão para assegurar pertinência, adequação, eficácia e melhoria continuadas do sistema de gestão;
− a consecução dos objetivos da auditoria, a cobertura do âmbito da auditoria e a satisfação dos critérios da auditoria;
− análise das causas na raiz das constatações, se incluído no plano de auditoria;
− constatações semelhantes observadas em diferentes áreas auditadas, para identificação de tendências.
Caso seja especificado no plano da auditoria, as conclusões da auditoria podem conduzir a recomendações de melhoria ou a futuras atividades de auditoria.
6.4.9 Condução da reunião de encerramento
Deverá ser realizada uma reunião de encerramento, presidida pelo auditor coordenador, para apresentação das constatações e das conclusões da auditoria. A gestão do auditado e, onde adequado, os responsáveis pelas funções ou processos que tenham sido auditados, deverão estar incluídos na lista de participantes da reunião de encerramento, que também, poderá incluir o cliente da auditoria e outras partes. Se aplicável, o auditor coordenador deverá informar o auditado sobre situações encontradas durante a auditoria, suscetíveis de diminuir a confiança nas conclusões da auditoria. Se estiver definido no sistema de gestão ou tiver sido acordado com o cliente da auditoria, os participantes deverão acordar um prazo para um plano de ação, para o tratamento das constatações da auditoria.
O grau de detalhe deverá ser consistente com a familiaridade do auditado com o processo de auditoria. Em algumas situações de auditoria, a reunião poderá ser formal e deverão ser guardadas atas, incluindo registos de presença. Noutras situações, p. ex. auditorias internas, a reunião de encerramento poderá ser menos formal e consistir apenas na comunicação das constatações e das conclusões da auditoria.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 33 de 55
Conforme adequado, na reunião de encerramento deverá ser explicado ao auditado o seguinte:
− informar que as evidências de auditoria recolhidas se basearam numa amostra da informação disponível;
− o método de elaboração do relatório;
− o processo de tratamento das constatações da auditoria e as possíveis consequências;
− apresentação das constatações e conclusões da auditoria de tal forma que sejam compreendidas e aceites pela gestão do auditado;
− quaisquer atividades posteriores relacionadas com a auditoria (p. ex. implementação de ações corretivas, tratamento das reclamações da auditoria, processo de recurso).
Deverão ser discutidas e, se possível, resolvidas quaisquer opiniões divergentes entre a equipa auditora e o auditado, relativas às constatações ou às conclusões da auditoria. Deverão ser registadas as que não sejam resolvidas.
Se especificado nos objetivos da auditoria, poderão ser apresentadas recomendações de melhoria. Deverá ser enfatizado que as recomendações não são vinculativas.
6.5 Preparação e distribuição do relatório da auditoria
6.5.1 Preparação do relatório da auditoria
O auditor coordenador deverá relatar os resultados da auditoria, de acordo com os procedimentos do programa de auditorias.
O relatório da auditoria deverá fornecer um registo completo, exato, conciso e claro da auditoria, e deverá incluir ou referir o seguinte:
a) os objetivos da auditoria;
b) o âmbito da auditoria, nomeadamente, a identificação das unidades organizacionais e funcionais ou processos auditados;
c) a identificação do cliente da auditoria;
d) a identificação da equipa auditora e dos membros do auditado que participaram na auditoria;
e) as datas e os locais onde foram conduzidas as atividades de auditoria;
f) os critérios da auditoria;
g) as constatações da auditoria e as correspondentes evidências;
h) as conclusões da auditoria;
i) uma declaração sobre o grau de satisfação dos critérios da auditoria.
O relatório de auditoria, conforme adequado, também pode incluir ou referir o seguinte:
− o plano da auditoria, incluindo a calendarização;
− um resumo do processo de auditoria, incluindo quaisquer obstáculos encontrados, suscetíveis de diminuir a fiabilidade das conclusões da auditoria;
− a confirmação da consecução dos objetivos da auditoria no âmbito da auditoria, de acordo com o plano de auditoria;
− quaisquer áreas no âmbito da auditoria que não tenham sido cobertas;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 34 de 55
− um resumo com as conclusões da auditoria e as principais constatações da auditoria que as suportam;
− quaisquer opiniões divergentes não resolvidas entre a equipa auditora e o auditado;
− oportunidades de melhoria, se especificado no plano de auditoria;
− boas práticas identificadas;
− planos de ação de seguimento acordados, caso existam;
− uma declaração sobre a confidencialidade dos conteúdos;
− quaisquer implicações para o programa de auditorias ou auditorias seguintes;
− a lista de distribuição do relatório da auditoria.
NOTA: O relatório da auditoria pode ser elaborado antes da reunião de encerramento.
6.5.2 Distribuição do relatório da auditoria
O relatório da auditoria deverá ser emitido dentro do prazo acordado. Se tal não for possível, as razões para o atraso deverão ser comunicadas ao auditado e à pessoa responsável pela gestão do programa de auditorias.
O relatório da auditoria deverá ser datado, revisto e aprovado, conforme adequado, de acordo com os procedimentos do programa de auditorias.
O relatório da auditoria deverá ser então distribuído aos destinatários designados nos procedimentos de auditoria ou no plano de auditoria.
6.6 Encerramento da auditoria
A auditoria é encerrada quando tiverem sido realizadas todas as atividades de auditoria planeadas, ou conforme qualquer outro acordo com o cliente da auditoria (p. ex. se tiver ocorrido uma situação inesperada que impeça o encerramento da auditoria de acordo com o plano).
Os documentos relacionados com a auditoria deverão ser retidos, ou destruídos conforme acordado entre as partes participantes e em conformidade com os procedimentos do programa de auditorias, ou requisitos aplicáveis.
A menos que seja exigido por lei, a equipa auditora e a pessoa responsável pela gestão do programa de auditorias não deverão revelar o conteúdo dos documentos, qualquer outra informação obtida durante a auditoria, ou o relatório da auditoria, a uma qualquer outra parte sem a aprovação expressa do cliente da auditoria e, onde adequado, a aprovação do auditado. Se for requerida a revelação dos conteúdos de um documento da auditoria, o cliente da auditoria e o auditado deverão ser informados logo que possível.
As lições aprendidas com a auditoria deverão ser integradas no processo de melhoria contínua do sistema de gestão das organizações, auditadas.
6.7 Condução do seguimento da auditoria
As conclusões da auditoria podem, dependendo dos objetivos da auditoria, indicar a necessidade de correções ou de ações corretivas, preventivas ou de melhoria. Estas ações são geralmente decididas e empreendidas pelo auditado dentro de prazos acordados. Conforme adequado, o auditado deverá informar a pessoa responsável pela gestão do programa de auditorias e a equipa auditora sobre o estado destas ações.
O encerramento e a eficácia destas ações deverão ser verificados. Esta verificação poderá fazer parte de uma auditoria subsequente.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 35 de 55
7 Competência e avaliação dos auditores
7.1 Generalidades
A confiança no processo de auditoria e a aptidão para a consecução dos seus objetivos depende da competência das pessoas envolvidas no planeamento e na condução de auditorias, incluindo auditores e auditores coordenadores. A competência deverá ser avaliada através de um processo que tenha em consideração o comportamento pessoal e a aptidão para aplicar os conhecimentos e saber fazer, obtidos através de escolaridade, experiência profissional, formação como auditor e experiência de auditoria. Este processo deverá ter em consideração as necessidades do programa de auditorias e os seus objetivos. Alguns dos conhecimentos e saber fazer, descritos em 7.2.3, são comuns aos auditores de um sistema de gestão de qualquer disciplina; outros são específicos das disciplinas de cada sistemasistemas de gestão. Não é necessário que cada auditor na equipa auditora tenha as mesmas competências; contudo, é necessário que as competências globais da equipa auditora sejam suficientes para a consecução dos objetivos da auditoria.
A avaliação da competência dos auditores deverá ser planeada, implementada e documentada de acordo com o programa de auditorias, incluindo os procedimentos inerentes para proporcionar um resultado que seja objetivo, consistente, justo e fiável. O processo de avaliação deverá incluir quatro etapas principais, que são:
a) determinar a competência das pessoas que auditam, para satisfazer as necessidades do programa de auditorias;
b) estabelecer os critérios de avaliação;
c) selecionar o método de avaliação adequado;
d) conduzir a avaliação.
O resultado do processo de avaliação deverá poder servir de base para:
− selecionar os membros da equipa auditora tal como descrito em 5.4.4;
− determinar a necessidade de melhores competências (p. ex. formação adicional);
− avaliação continuada do desempenho dos auditores.
Os auditores deverão desenvolver, manter e melhorar as suas competências através de um desenvolvimento profissional contínuo e da participação regular em auditorias (ver 7.6).
Um processo para a avaliação de auditores e de auditores coordenadores é descrito em 7.4 e 7.5.
Os auditores e os auditores coordenadores deverão ser avaliados de acordo com os critérios definidos em 7.2.2 e7.2.3.
A competência requerida ao responsável pela gestão do programa de auditorias é descrita em 5.3.2.
7.2 Determinação das competências dos auditores para satisfazer as necessidades do programa de auditorias
7.2.1 Generalidades
Ao decidir quais os conhecimentos e saber fazer, adequados que são requeridos ao auditor, deverá ter-se em consideração o seguinte:
− a dimensão, a natureza e a complexidade da organização a ser auditada;
− as disciplinas do sistema de gestão a ser auditado;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 36 de 55
− os objetivos e a extensão do programa de auditorias;
− outros requisitos, tais como os impostos por entidades externas, onde adequado;
− o papel do processo de auditoria no sistema de gestão do auditado;
− a complexidade do sistema de gestão a ser auditado;
− a incerteza no atingir os objetivos da auditoria.
Esta informação deverá ser comparada com a que é listada em 7.2.3.2, 7.2.3.3 e 7.2.3.4.
7.2.2 Comportamento pessoal
Os auditores deverão ter as qualidades necessárias que lhes permitam atuar de acordo com os princípios de auditoria, descritos na secção 4. Os auditores deverão demonstrar um comportamento profissional no desempenho das atividades de auditoria, incluindo serem:
− éticos, isto é, justos, verdadeiros, sinceros, honestos e discretos;
− pessoas de espírito aberto, isto é, estarem dispostos a considerar ideias ou pontos de vista alternativos;
− serem diplomatas, isto é, usarem de tato no relacionamento com as pessoas;
− observadores, isto é, observarem ativamente o meio físico envolvente e as atividades;
− percetivos, isto é, conscientes e capazes de compreender situações;
− versáteis, isto é, capazes de facilmente se adaptarem a diferentes situações;
− tenazes, isto é, persistentes e focalizados no atingir dos objetivos;
− decididos, isto é, capazes de chegar oportunamente a conclusões com base em raciocínio e em análise lógicos;
− autónomos, isto é, capazes de atuar e exercer as suas funções de forma independente, enquanto interagem eficazmente com outros;
− corajosos, isto é capazes de atuar responsável e eticamente, mesmo que estas ações poerão nem sempre ser populares e poderão, por vezes, resultar em desacordo e confrontação;
− abertos à melhoria, isto é, dispostos de aprender com as situações e esforçando-se por obter melhores resultados da auditoria;
− sensíveis a aspetos culturais, isto é, observadores e respeitadores da cultura do auditado;
− colaborativos, isto é, interagirem de forma eficaz com os outros, incluindo os membros da equipa auditora e os colaboradores do auditado.
7.2.3 Conhecimentos e saber fazer
7.2.3.1 Generalidades Os auditores deverão ter os conhecimentos e saber fazer necessários para a consecução dos resultados pretendidos, para as auditorias que se espera, que venham a realizar. Todos os auditores deverão ter conhecimentos e saber fazer genéricos e deverá ser também expectável, que tenha conhecimentos e saber fazer específicos, de algumas disciplinas e setores. Os auditores coordenadores deverão ter os conhecimentos e saber fazer, adicionais necessários para assegurar a coordenação da equipa auditora.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 37 de 55
7.2.3.2 Conhecimentos e saber fazer genéricos para auditores de sistemas de gestão Os auditores deverão ter conhecimentos e saber fazer nas áreas delineadas a seguir:
a) Princípios, procedimentos e métodos de auditoria: os conhecimentos e saber fazer nesta área, permite ao auditor aplicar a diferentes auditorias os princípios, procedimentos e métodos adequados, e assegurar que as auditorias são conduzidas de uma forma consistente e sistemática. Um auditor deverá ser capaz de:
− aplicar os princípios, procedimentos e métodos de auditoria;
− planear e organizar o trabalho de forma eficaz;
− conduzir a auditoria dentro do prazo acordado;
− atribuir prioridades e focalizar-se nas questões significativas;
− recolher informação através de entrevistas eficazes, escutando, observando e revendo documentos, registos e dados;
− compreender e ter em consideração as opiniões de peritos;
− compreender a adequabilidade e as consequências da utilização de técnicas de amostragem em auditoria;
− verificar a relevância e a exatidão da informação recolhida;
− confirmar a suficiência e a adequação das evidências de auditoria para suportar as constatações e as conclusões da auditoria;
− avaliar os fatores que poderão influenciar a fiabilidade das constatações e das conclusões da auditoria;
− utilizar documentos de trabalho para registar as atividades de auditoria;
− documentar as constatações da auditoria e preparar relatórios de auditoria adequados;
− manter a confidencialidade e segurança da informação, dos dados, dos documentos e dos registos;
− comunicar eficazmente, oralmente e por escrito (quer pessoalmente, quer por recurso a intérpretes e a tradutores);
− compreender os tipos de riscos associados a auditar.
b) Documentos do sistema de gestão e de referência: os conhecimentos e saber fazer, nesta área possibilita ao auditor a compreensão do âmbito da auditoria e a aplicação dos critérios da auditoria e deverão abranger:
− normas de sistemas de gestão e outros documentos usados como critérios da auditoria;
− a aplicação de normas de sistemas de gestão pelo auditado e por outras organizações, conforme adequado;
− a interação entre os elementos do sistema de gestão;
− reconhecimento da hierarquia dos documentos de referência;
− a aplicação dos documentos de referência em diferentes situações de auditoria.
c) Contexto organizacional: os conhecimentos e saber fazer nesta área, possibilita ao auditor a compreensão da estrutura, do negócio e das práticas de gestão e deverão abranger:
− tipos, governação, dimensão, estrutura, funções e relações organizacionais;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 38 de 55
− conceitos de processos gerais de negócio e de gestão, processos e terminologia com eles relacionada, incluindo planeamento, orçamentação e gestão de pessoal;
− hábitos culturais e aspetos sociais do auditado.
d) Exigências legais e contratuais aplicáveis e outros requisitos relevantes que sejam aplicáveis ao auditado: os conhecimentos e saber fazer nesta área possibilita ao auditor ter consciência das exigências legais e contratuais da organização e trabalhar nesse contexto. Os conhecimentos e saber fazer específicos da jurisdição ou das atividades e produtos do auditado deverão abranger:
− legislação e regulamentação e respetivas agências reguladoras;
− terminologia legal básica;
− contratos e obrigações.
7.2.3.3 Conhecimentos e saber fazer específicos de disciplinas e de setores para auditores de sistemas de gestão Os auditores deverão ter os conhecimentos e saber fazer específicos de disciplinas e de setores, que sejam adequados a auditar o tipo particular de sistema de gestão e de setor.
Não é necessário que cada membro da equipa auditora tenha as mesmas competências; contudo, é necessário que a competência global da equipa auditora seja suficiente para a consecução dos objetivos da auditoria.
Os conhecimentos e saber fazer específicos de disciplinas e de setores dos auditores, incluem:
− requisitos e princípios específicos de sistemas de gestão de uma dada disciplina e sua aplicação;
− exigências legais relevantes para disciplina e para o setor, de forma a que o auditor esteja consciente dos requisitos específicos da jurisdição e das obrigações, das atividades e dos produtos do auditado;
− requisitos de partes interessadas relevantes para a disciplina específica;
− fundamentos da disciplina e da aplicação de métodos, técnicas, processos e práticas de negócio e técnicos específicos da disciplina, que sejam suficientes para permitir ao auditor examinar o sistema de gestão e produzir constatações e conclusões da auditoria adequadas;
− conhecimentos específicos da disciplina relativos ao setor particular, à natureza das operações ou ao local a ser auditado, que sejam suficientes para o auditor avaliar as atividades, os processos e os produtos (bens e serviços) do auditado;
− princípios da gestão do risco, métodos e técnicas relevantes para a disciplina e para o setor, tais que o auditor possa avaliar e controlar os riscos associados ao programa de auditorias.
NOTA: Orientações e exemplos esclarecedores de conhecimentos e saber fazer, específicos de disciplinas e de setores para auditores são dados no Anexo A.
7.2.3.4 Conhecimentos e saber fazer genéricos de um auditor coordenador Os auditores coordenadores deverão ter conhecimentos e saber fazer adicionais para gerir e proporcionar liderança à equipa auditora, de forma a promover uma condução da auditoria que seja eficaz e eficiente. Um auditor coordenador deverá ter os conhecimentos e saber fazer necessários para:
a) equilibrar os pontos fortes e os pontos fracos de cada um dos membros da equipa auditora;
b) desenvolver uma relação de trabalho harmoniosa entre os membros da equipa auditora;
c) gerir o processo de auditoria, incluindo:
− planear a auditoria e utilizar eficazmente os recursos durante a auditoria;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 39 de 55
− gerir a incerteza de se atingirem os objetivos da auditoria;
− proteger segurança e saúde do trabalho dos membros da equipa auditora durante a auditoria, incluindo assegurar que os auditores satisfazem os requisitos relevantes de saúde e de segurança de pessoas e bens;
− organizar e dirigir os membros da equipa auditora;
− dirigir e orientar auditores em formação;
− evitar e resolver conflitos, conforme necessário.
d) representar a equipa auditora nas comunicações com a pessoa responsável pela gestão do programa de auditorias, com o cliente da auditoria e com o auditado;
e) conduzir a equipa auditora para a obtenção de conclusões da auditoria;
f) preparar e concluir o relatório da auditoria.
7.2.3.5 Conhecimentos e saber fazer específicos para auditar sistemas de gestão multidisciplinares Os auditores que pretendam participar como membros de equipas auditoras na auditoria a sistemas de gestão multidisciplinares, deverão ter as competências necessárias para auditar, pelo menos uma das disciplinas e uma compreensão das interações e sinergias entre os diferentes sistemas de gestão.
Os auditores coordenadores que conduzam auditorias a sistemas de gestão multidisciplinares, deverão compreender os requisitos das normas de gestão de cada um dos sistemas e reconhecer os limites dos seus conhecimentos e saber fazer, em cada uma das disciplinas.
7.2.4 Atingir competência como auditor
Os conhecimentos e saber fazer como auditor podem ser adquiridos mediante uma combinação do seguinte:
− escolaridade/formação formais e experiência, que contribuam para o desenvolvimento dos conhecimentos e saber fazer na disciplina e setor de sistema de gestão que o auditor tenciona auditar;
− programas de formação que cubram conhecimentos e saber fazer genéricos, para ser auditor;
− experiência numa posição técnica, de gestão ou profissional relevante que envolva fazer juízos de valor, tomar decisões, resolver problemas e comunicar com gestores, profissionais, pares, clientes e outras partes interessadas;
− experiência de auditoria adquirida sob a supervisão de um auditor na mesma disciplina.
7.2.5 Auditores coordenadores
Um auditor coordenador deverá ter adquirido experiência adicional em auditorias para desenvolver os conhecimentos e saber fazer descritos em 7.2.3. Esta experiência adicional deverá ter sido adquirida ao trabalhar sob direção e orientação de um outro auditor coordenador.
7.3 Estabelecimento dos critérios de avaliação de auditores
Os critérios deverão ser qualitativos (tais como ter demonstrado o comportamento pessoal, os conhecimentos ou o desempenho dos saber fazer, através de formação ou no local de trabalho) e quantitativos (tais como anos de experiência profissional e de escolaridade, número de auditorias conduzidas, horas de formação como auditor).
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 40 de 55
7.4 Seleção do método de avaliação de auditores adequado
A avaliação deverá ser conduzida utilizando dois ou mais métodos escolhidos de entre os indicados no Quadro 2. Ao utilizar o Quadro 2, deverá ser tido em consideração o seguinte:
− os métodos delineados representam um leque de opções e poderão não ser aplicáveis em todas as situações;
− os vários métodos delineados poderão diferir na sua fiabilidade;
− deverá ser utilizada uma combinação de métodos para assegurar um resultado que seja objetivo, consistente, justo e fiável.
Quadro 2 – Métodos de avaliação possíveis
Método de avaliação Objetivos Exemplos
Revisão de registos Verificar os antecedentes do auditor Análise de registos de escolaridade, de formação, de emprego e da experiência em auditoria
Retorno de informação Disponibilizar informação sobre a forma como o desempenho do auditor é percecionado
Inquéritos, questionários, referência pessoais, testemunhos, reclamações, avaliação de desempenho, revisão pelos pares
Entrevista Avaliar comportamento e, competências de comunicação pessoais, verificar a informação e testar conhecimentos e obter informação adicional
Entrevistas pessoais
Observação Avaliar os atributos pessoais e a aptidão para aplicar conhecimentos e saber fazer
Representação, auditorias assistidas, desempenho no exercício da função
Realização de testes Avaliar os atributos pessoais, os conhecimentos e saber fazer e a sua aplicação
Exames orais e escritos, testes psicométricos
Revisão pós-auditoria Proporcionar informação relativa ao desempenho do auditor nas atividades de auditoria, identificando pontos fortes e pontos fracos
Rever o relatório de auditoria, entrevistas com o auditor coordenador e, se adequado, retorno de informação do auditado
7.5 Condução da avaliação de um auditor
A informação recolhida sobre a pessoa, deverá ser comparada com os critérios estabelecidos em 7.2.3. Quando uma pessoa que se prevê ir participar no programa de auditorias, não satisfaz os critérios, é necessário que obtenha mais formação, currículo profissional ou experiência em auditorias, devendo proceder-se posteriormente a uma reavaliação.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 41 de 55
7.6 Manutenção e melhoria da competência de um auditor
Os auditores e os auditores coordenadores deverão melhorar de forma continuada a sua competência. Os auditores deverão manter as suas competências de auditoria através da participação regular em auditorias a sistemas de gestão e desenvolvimento profissional contínuo. O desenvolvimento profissional contínuo envolve a manutenção e a melhoria da competência. Isto, poderá ser conseguido através de meios como experiência profissional adicional, formação, autoformação, tutoria, presença em encontros, seminários e conferências ou outras atividades relevantes.
A pessoa responsável pela gestão do programa de auditoria deverá estabelecer mecanismos adequados para a avaliação contínua do desempenho dos auditores e dos auditores coordenadores.
As atividades de desenvolvimento profissional contínuo deverão ter em consideração o seguinte:
− alterações nas necessidades das pessoas e da organização responsável por conduzir a auditoria;
− a execução na prática de auditorias;
− normas relevantes e outros requisitos.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 42 de 55
Anexo A (informativo)
Orientações e exemplos esclarecedores de conhecimentos e saber fazer específicos de disciplinas para auditores
A.1 Generalidades Este Anexo fornece exemplos genéricos de conhecimentos e saber fazer específicos de disciplinas para auditores de sistemas de gestão, que se pretende possam servir como orientações de apoio para a pessoa responsável pela gestão do programa de auditorias na seleção e na avaliação dos auditores.
Também poderão ser desenvolvidos outros exemplos de conhecimentos e saber fazer, específicos de disciplinas para auditores de sistemas de gestão. Sugere-se que, onde seja possível, esses exemplos sigam a mesma estrutura básica para assegurar a comparabilidade.
A.2 Exemplos esclarecedores de conhecimentos e saber fazer específicos na disciplina de gestão da segurança em meios de transporte para auditores Os conhecimentos e saber fazer, relacionados com a gestão da segurança em meios de transporte e a aplicação de métodos, técnicas, processos e práticas de gestão da segurança em meios de transporte, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões de auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− terminologia da gestão da segurança;
− compreensão da abordagem a sistemas seguros;
− apreciação e mitigação do risco;
− análise de fatores humanos relacionados com a gestão da segurança em meios de transporte;
− comportamento e interação humanos;
− interação de seres humanos, máquinas, processos e ambiente de trabalho;
− perigos potenciais e outros fatores do local de trabalho que afetem a segurança;
− métodos e práticas para investigação de incidentes e monitorização do desempenho da segurança;
− avaliação de incidentes e acidentes operacionais;
− desenvolvimento de medidas e métricas proactivas e reativas do desempenho.
NOTA: Para informação adicional ver a futura ISO 39001 preparada pelo ISO/PC 241 relativa a sistemas de gestão da segurança em tráfego rodoviário.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 43 de 55
A.3 Exemplos esclarecedores de conhecimentos e saber fazer específicos na disciplina de gestão ambiental para auditores Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− terminologia do ambiente;
− métricas e estatísticas ambientais;
− ciência da medição e técnicas de monitorização;
− interação de ecossistemas e biodiversidade;
− meios ambientais (p. ex. ar, água, solo, fauna, flora);
− técnicas de determinação do risco (p. ex. avaliação de aspetos/impactes ambientais, incluindo métodos para avaliar a significância);
− avaliação do ciclo de vida;
− avaliação do desempenho ambiental;
− prevenção e controlo da poluição (p. ex. melhores técnicas disponíveis para controlo da poluição ou da eficiência energética);
− práticas e processos de redução na fonte, minimização de resíduos, reutilização, reciclagem e tratamento;
− utilização de substâncias perigosas;
− contabilização e gestão de gases com efeito de estufa;
− gestão de recursos naturais (p. ex. combustíveis fósseis, água, flora e fauna, solo);
− design ambiental;
− relato e divulgação de questões ambientais;
− gestão responsável de produtos;
− tecnologias renováveis e de baixo teor de carbono.
NOTA: Para informação adicional ver as normas sobre gestão ambiental preparadas pelo ISO/TC 207.
A.4 Exemplos esclarecedores de conhecimentos e saber fazer específicos na disciplina de gestão da qualidade para auditores Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− terminologia relacionada com qualidade, gestão, organização, processos e produtos, características, conformidade, documentação, auditoria e processos de medição;
− focalização no cliente, processos relacionados com o cliente, monitorização e medição da satisfação do cliente, tratamento de reclamações, código de conduta, resolução de conflitos;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 44 de 55
− liderança – função da gestão de topo, gestão do sucesso sustentado de uma organização – a abordagem da gestão pela qualidade, a obtenção de benefícios financeiros e económicos através da gestão da qualidade, sistemas de gestão da qualidade e modelos de excelência;
− envolvimento das pessoas, fatores humanos, competência, formação e consciencialização;
− abordagem por processos, análise de processos, capacidade e técnicas de controlo, métodos de tratamento do risco;
− abordagem sistémica à gestão (fundamento lógico dos sistemas de gestão da qualidade, focalização sobre sistemas de gestão da qualidade e outros sistemas de gestão, documentação dos sistemas de gestão da qualidade), tipos e valor, projetos, planos da qualidade, gestão da configuração;
− melhoria contínua, inovação e aprendizagem;
− abordagem à decisão baseada em factos, técnicas de apreciação do risco (identificação, análise e avaliação do risco), avaliação da gestão da qualidade (auditoria, revisão e autoavaliação), técnicas de medição e de monitorização, requisitos para os processos de medição e para os equipamentos de medida, análise das causas na raiz, técnicas estatísticas;
− características de processos e de produtos, incluindo serviços;
− relações mutuamente benéficas com fornecedores, requisitos de sistemas de gestão da qualidade e requisitos para os produtos, requisitos particulares para a gestão da qualidade em diferentes setores.
NOTA: Para informação adicional ver as normas sobre gestão da qualidade preparadas pelo ISO/TC 176.
A.5 Exemplos esclarecedores de conhecimentos e saber fazer específicos na disciplina de gestão de registos para auditores Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− registos, processos de gestão de registos e terminologia de sistemas de gestão de registos;
− desenvolvimento de medidas e métricas de desempenho;
− investigação e avaliação de práticas de registos através de entrevistas, observação e validação;
− análise de amostras de registos criados em processos de negócio. Características chaves dos registos, sistemas de registo, processos e controlos de registos;
− avaliação do risco (p. ex. avaliação dos riscos resultantes de falhas na criação, manutenção e controlo de registos adequados, dos processo de negócio da organização);
− o desempenho e a adequação dos processos de registo para criarem, para reterem e controlarem os registos;
− avaliação da adequação e do desempenho dos sistemas de registo (incluindo sistemas de negócio para criar e controlar registos), a adequação das ferramentas tecnológicas utilizadas e as instalações e os equipamentos estabelecidos;
− avaliação dos diversos níveis de competência na gestão de registos requeridos transversalmente, numa organização e a avaliação dessa competência;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 45 de 55
− significância do conteúdo, contexto, estrutura, representação e controlo da informação (metadata) requeridos para definir e gerir registos e sistemas de registo;
− métodos para desenvolver instrumentos específicos para registos;
− tecnologias utilizadas para a criação, recolha, conversão e migração e preservação no longo prazo de registos eletrónicos/digitais;
− identificação e significância da documentação de autorização para processos de registo.
NOTA: Para informação adicional ver as normas sobre gestão de registos preparadas pelo ISO/TC 46/SC 11.
A.6 Exemplos esclarecedores de conhecimentos e saber fazer específicos na disciplina de gestão da resiliência, da segurança, da prontidão e da continuidade para auditores Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− processos, ciência e tecnologia subjacentes à gestão da resiliência, da segurança, da prontidão, da resposta, da continuidade e da recuperação;
− métodos de recolha e monitorização do conhecimento;
− gestão do risco de eventos disruptivos (antecipar, evitar, prevenir, proteger, mitigar, responder e recuperar de um evento disruptivo);
− apreciação do risco (identificação e valorização do património; e identificação, análise e avaliação do risco) e análise de impacto (relativamente a pessoas, a património físico e intangível, bem como sobre o ambiente);
− tratamento do risco (medidas adaptativas, proactivas e reativas);
− métodos e práticas relativas à integridade e à sensibilidade da informação;
− métodos de segurança pessoal e de proteção das pessoas;
− métodos e práticas para a proteção do património e da segurança física;
− métodos e práticas para a gestão da prevenção, da dissuasão e da segurança;
− métodos e práticas para a mitigação de incidentes, para as respostas e a gestão de crises;
− métodos e práticas de gestão da continuidade, da emergência e da recuperação;
− métodos e práticas para a monitorização, a medição e o relato do desempenho (incluindo metodologias para exercícios e testes).
NOTA: Para informação adicional ver as normas relacionadas sobre gestão da resiliência, da segurança, da prontidão e da continuidade preparadas pelos ISO/TC 8, ISO/TC 223 e ISO/TC 247.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 46 de 55
A.7 Exemplos esclarecedores de conhecimentos e saber fazer específicos na disciplina de gestão da segurança da informação para auditores Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− orientações dadas em normas como sejam as ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005;
− identificação e avaliação dos requisitos dos clientes e das partes interessadas;
− as leis e os regulamentos relacionados com a segurança da informação (p. ex. propriedade intelectual; conteúdo, proteção e retenção dos registos da organização; proteção e privacidade dos dados; regulamentação de controlos criptográficos; antiterrorismo; comércio eletrónico; assinaturas eletrónicas e digitais; vigilância de locais de trabalho; ergonomia de locais de trabalho; interceção de telecomunicações e monitorização de dados (p. ex. e-mail), uso abusivo de computador, recolha de evidência eletrónica, testes de intrusão, etc.;
− processos, ciência e tecnologia subjacentes à gestão da segurança da informação;
− apreciação dos riscos (identificação, análise e avaliação) e tendências em tecnologia, ameaças e vulnerabilidades;
− gestão do risco da segurança da informação;
− métodos e práticas para controlo (eletrónico e físico) da segurança da informação;
− métodos e práticas para a integridade e a sensibilidade da informação;
− métodos e práticas para medição e avaliação da eficácia dos sistemas de gestão da segurança da informação e controlos associados;
− métodos e práticas para a medição, a monitorização e o registo do desempenho (incluindo testes, auditorias e revisões).
NOTA: Para informação adicional, ver as normas relacionadas sobre gestão da segurança da informação, preparadas pelo ISO/IEC JTC 1/SC 27.
A.8 Exemplos esclarecedores de conhecimentos e saber fazer específicos na disciplina de gestão da segurança e saúde do trabalho para auditores A.8.1 Conhecimentos e saber fazer genéricos Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− identificação de perigos, incluindo esses e outros fatores que afetem o desempenho do ser humano no local de trabalho (tais como fatores físicos, químicos e biológicos, bem como género, idade, incapacidades e outros fatores fisiológicos, psicológicos ou de saúde);
− apreciação dos riscos, determinação de controlos e comunicação dos riscos [a determinação dos controlos deverá ser baseada na “hierarquia dos controlos” (ver OHSAS 18001:2007, 4.3.1)];
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 47 de 55
− avaliação de fatores de saúde e humanos (incluindo fatores fisiológicos e psicológicos) e os princípios para a sua avaliação;
− método de monitorização e avaliação da exposição a riscos para a segurança e saúde do trabalho (incluindo os que resultam de fatores humanos como os acima mencionados ou relacionados com a higiene no trabalho) e estratégias relacionadas destinadas a eliminar ou minimizar essas exposições;
− comportamento humano, interações interpessoais e a interação das pessoas com as máquinas, os processos e o ambiente de trabalho (incluindo princípios de conceção ergonómica e segura dos locais de trabalho, tecnologias de informação e de comunicação);
− avaliação dos diferentes tipos e níveis de competência para a segurança e saúde do trabalho requeridos transversalmente numa organização e a avaliação dessas competências;
− métodos para promover a participação e o envolvimento dos colaboradores;
− métodos para promover o bem estar ou o conforto e a autorresponsabilização (em relação a fumo, drogas, álcool, questões relacionadas com o peso, exercício, stress, comportamento agressivo, etc.), tanto durante as horas de trabalho como nas vidas privadas;
− desenvolvimento, utilização e avaliação de medidas e métricas do desempenho proactivo e reativo;
− princípios e práticas para identificar potenciais situações de emergência e para o planeamento, a prevenção, a resposta e a recuperação em situações de emergência;
− métodos para a investigação e a avaliação de incidentes (incluindo acidentes e doenças relacionadas com o trabalho);
− determinação e utilização de informação relacionada com a saúde (incluindo dados de monitorização da exposição e da doença relacionadas com o trabalho) – mas tendo em consideração especial a confidencialidade de aspetos particulares dessa informação;
− compreensão da informação médica (incluindo terminologia suficiente para compreender dados relacionados com a prevenção de lesões e de afeções de saúde);
− sistema de “valores limite de exposição ocupacional”;
− métodos de monitorização e relato do desempenho em termos de segurança e saúde do trabalho;
− compreender as exigências legais e outros relevantes para a segurança e saúde do trabalho que sejam suficientes para permitir ao auditor avaliar o sistema de gestão da segurança e saúde do trabalho.
A.8.2 Conhecimentos e saber fazer específicos do setor a ser auditado Os conhecimentos e saber fazer relacionados com o setor a ser auditado, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão dentro do contexto do setor e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− processos, equipamentos, matérias primas, substâncias perigosas, ciclos de processo, manutenção, logística, fluxo de informação na organização, práticas laborais, organização de turnos, cultura organizacional, liderança, comportamento e outras questões específicas da operação ou do setor;
− perigos e riscos típicos, incluindo fatores de saúde e humanos específicos do setor.
NOTA: Para informação adicional, ver as normas relacionadas relativas a gestão da segurança e saúde do trabalho, preparadas pelo grupo de projeto de OHSAS.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 48 de 55
Anexo B (informativo)
Orientação adicional para os auditores quanto ao planeamento e à condução de auditorias
B.1 Aplicação de métodos de auditoria Uma auditoria pode ser realizada utilizando um leque de métodos de auditoria. Uma explicação quanto aos métodos de auditoria geralmente utilizados pode ser encontrada neste Anexo. Os métodos de auditoria escolhidos para uma auditoria dependem dos objetivos, do âmbito e dos critérios definidos para a auditoria, bem como, a sua duração e localização. A disponibilidade de competências nos auditores e quaisquer incertezas que resultem da aplicação dos métodos de auditoria deverão ser também tidos em consideração. A aplicação de uma variedade e uma combinação de diferentes métodos de auditoria pode otimizar a eficácia e a eficiência do processo de auditoria e os seus resultados.
O desempenho de uma auditoria envolve uma interação de pessoas com o sistema de gestão a ser auditado e a tecnologia utilizada para conduzir a auditoria. O Quadro B.1 fornece exemplos de métodos de auditoria que podem ser utilizados, isoladamente ou em combinação, tendo em vista a consecução dos objetivos propostos para a auditoria. Se uma auditoria envolve uma equipa auditora com vários membros, poderão ser utilizados simultaneamente tanto métodos presenciais (on-site) como remotos.
NOTA: Informação adicional sobre visitas presenciais (on-site) é dada na secção B.6.
Quadro B.1 – Métodos de auditoria aplicáveis
Extensão do envolvimento entre o auditor e o auditado
Localização do auditor
Presencial (on-site) Remota
Interação humana Conduzir entrevistas Completar listas de verificação e questionários com a participação do auditado. Conduzir revisões à documentação com a participação do auditado. Amostragem.
Através de meios de comunicação interativos: − conduzir entrevistas − completar listas de verificação e
questionários − conduzir revisões à documentação
com a participação do auditado Sem interação humana Conduzir revisões à documentação
(p. ex. registos, análises de dados) Observação do trabalho realizado. Conduzir a visita ao local. Completar listas de verificação Amostragens (p. ex. produtos).
Conduzir revisões à documentação (p. ex. registos, análises de dados). Observar o trabalho realizado através de meios de vigilância, tendo em consideração exigências sociais e legais. Analisar dados.
As atividades de auditoria presenciais (on-site) são realizadas nas instalações do auditado. Atividades de auditoria remotas são realizadas em qualquer local diferente das instalações do auditado, independentemente da distância. As atividades de auditoria interativas envolvem a interação entre o pessoal do auditado e a equipa auditora. Atividades não interativas não envolvem interação humana com pessoas em representação do auditado, mas envolvem interação com equipamento, instalações e documentação.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 49 de 55
A responsabilidade pela aplicação eficaz de métodos de auditoria para qualquer auditoria na fase de planeamento, pertence à pessoa responsável pela gestão do programa de auditorias ou ao auditor coordenador. O auditor coordenador tem esta responsabilidade pelo facto de conduzir as atividades de auditoria.
A exequibilidade de atividades de auditoria remota pode depender do nível de confiança entre o auditor e os colaboradores do auditado.
Ao nível do programa de auditorias, deverá ser assegurado que a utilização de métodos de auditoria remotos ou presenciais é adequada e equilibrada, tendo em vista assegurar a consecução satisfatória dos objetivos do programa de auditorias.
B.2 Conduzir a revisão da documentação Os auditores deverão ter em consideração se:
− a informação nos documentos disponibilizados é:
− completa (todo o conteúdo esperado consta do documento);
− correta (o conteúdo está conforme com outras fontes confiáveis, tais como normas e regulamentos);
− consistente (o documento é consistente em si mesmo e com documentos relacionados);
− atual (os conteúdos estão atualizados);
− os documentos em revisão cobrem o âmbito da auditoria e fornecem informação suficiente para suportar os objetivos da auditoria;
− a utilização de tecnologias de informação e de comunicação, dependendo dos métodos de auditoria, fomenta uma condução eficaz da auditoria: é necessário cuidado especial com a segurança da informação, devido aos regulamentos aplicáveis relativos à proteção de dados (em particular para a informação que esteja fora do âmbito da auditoria, mas que também esteja contida no documento).
NOTA: A revisão da documentação pode dar uma indicação da eficácia do controlo de documentos dentro do sistema de gestão do auditado.
B.3 Amostragem
B.3.1 Generalidades
Procede-se à amostragem em auditoria, quando não for possível ou eficaz do ponto de vista de custos, examinar toda a informação disponível no decorrer da auditoria, p. ex. os registos são muito numerosos ou estão geograficamente muito dispersos para justificar proceder ao exame de cada item na população. A amostragem de uma grande população em auditoria é o processo de selecionar menos de 100 % dos itens, dentro da totalidade de dados disponíveis (população) para obter e avaliar a evidência relativa a algumas características dessa população, tendo em vista formular uma conclusão quanto a essa população.
O objetivo da amostragem de auditoria é fornecer a informação, para que o auditor tenha confiança em que os objetivos da auditoria podem ser atingidos.
O risco associado à amostragem é que as amostras poderão não ser significativas da população de onde são selecionadas e, assim, a conclusão do auditor poderá ser tendenciosa e diferir da que se obteria se fosse examinada toda a população. Poderá haver outros riscos, dependendo da variabilidade dentro da população a ser examinada e do método escolhido.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 50 de 55
A amostragem em auditoria envolve tipicamente as seguintes etapas:
− estabelecer os objetivos do plano de amostragens;
− estabelecer a extensão e a composição da população a ser amostrada;
− selecionar o método de amostragem;
− determinar a dimensão da amostra a ser recolhida;
− conduzir a atividade de amostragem;
− recolher, avaliar, relatar e documentar os resultados.
Quando se fazem amostragens, deverá ser tida em consideração a qualidade dos dados disponíveis, já que fazer amostragens sobre dados insuficientes e inexatos não irá proporcionar um resultado que seja útil. A escolha de uma amostra adequada deverá basear-se simultaneamente sobre o método de amostragem e o tipo de dados pretendidos, p. ex. para deduzir um dado padrão de comportamento ou fazer inferências cruzadas sobre uma população.
Ao fazer o relatório sobre a amostra selecionada, poderá ter-se em consideração a dimensão da amostra, o método de seleção e as estimativas feitas com base na amostra e no grau de confiança.
Nas auditorias tanto se pode usar a amostragem com base em discernimento (ver B.3.2), como a amostragem estatística (ver B.3.3).
B.3.2 Amostragem com base em discernimento
A amostragem com base em discernimento, é suportada no conhecimento, saber fazer e experiência da equipa auditora (ver secção 7).
Para a amostragem com base em discernimento pode ter-se em consideração o seguinte:
− experiência de auditoria anterior dentro do âmbito da auditoria;
− complexidade dos requisitos (incluindo exigências legais) para atingir os objetivos da auditoria;
− complexidade e interação dos processos da organização e dos elementos do sistema de gestão;
− grau das alterações na tecnologia, no fator humano ou no sistema de gestão;
− áreas de risco e de melhoria previamente identificadas;
− resultados da monitorização dos sistemas de gestão.
Uma desvantagem da amostragem com base em discernimento, pode não haver uma estimativa estatística do efeito da incerteza nas constatações da auditoria e nas conclusões a que se chega.
B.3.3 Amostragem estatística
Se se toma a decisão de utilizar amostragem estatística, o plano de amostragem deverá basear-se nos objetivos da auditoria e no que se sabe relativamente às características da globalidade da população, onde se vão recolher amostras.
− A conceção da amostragem estatística utiliza um processo de seleção de amostras baseado na teoria das probabilidades. A amostragem baseada em atributos é utilizada quando há apenas dois resultados possíveis para cada amostra (p. ex. correto/incorreto ou passa/não passa). A amostragem baseada em variáveis é utilizada, quando os resultados da amostra ocorrem dentro de um intervalo contínuo.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 51 de 55
− O plano de amostragem deverá ter em consideração se os resultados a examinar são suscetíveis de ser baseados em atributos ou baseados em variáveis. Por exemplo, quando se avalia a conformidade do preenchimento de formulários face ao estabelecido num procedimento, poder-se-á utilizar uma abordagem baseada em atributos. Quando se avalia a ocorrência de incidentes na segurança alimentar ou o número de falhas de segurança, afigura-se como mais adequada uma abordagem baseada em variáveis.
− Os elementos chave que irão afetar o plano de amostragens de auditoria são:
− a dimensão da organização;
− o número de auditores competentes;
− a frequência de auditorias durante o ano;
− a duração de cada uma das auditorias;
− qualquer nível de confiança requerido externamente.
− Quando se desenvolve um plano de amostragem estatística, o nível de risco de amostragem que o auditor está disposto a aceitar, tem de ser devidamente considerado. Isto é, frequentemente referido como o nível de confiança aceitável. Por exemplo, um risco de amostragem de 5 % corresponde a um nível de confiança aceitável de 95 %. Um risco de amostragem de 5 % significa, que o auditor está disposto a aceitar o risco de que 5 em cada 100 (ou 1 em cada 20) amostras examinadas não reflita os valores reais que se obteriam se toda a população fosse examinada.
− Quando se utiliza amostragem estatística, os auditores deverão documentar de forma adequada o trabalho realizado. Isto, deverá incluir uma descrição da população que se pretendia amostrar, os critérios de amostragem utilizados, os parâmetros estatísticos e os métodos que foram utilizados para a avaliação (p. ex. qual é a amostra aceitável), os parâmetros estatísticos e os métodos que foram utilizados, o número de amostras avaliadas e os resultados obtidos.
B.4 Preparação dos documentos de trabalho Quando está a preparar os documentos de trabalho, a equipa auditora deverá ter em consideração para cada documento as questões que se seguem:
a) Que registo de auditoria se vai constituir quando se utiliza este documento de trabalho?
b) Que atividade de auditoria está ligada a este documento de trabalho em particular?
c) Quem será o utilizador deste documento de trabalho?
d) Que informação é necessária para preparar este documento de trabalho?
Para as auditorias combinadas, os documentos de trabalho deverão ser elaborados de forma a evitar duplicação de atividades de auditoria ao:
− agrupar requisitos semelhantes de diferentes critérios;
− coordenar os conteúdos de listas de verificação e questionários relacionados.
Os documentos de trabalho deverão ser adequados à abordagem de todos os elementos do sistema de gestão que estejam dentro do âmbito da auditoria e que poderão ser fornecidos em qualquer meio de suporte.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 52 de 55
B.5 Seleção das fontes de informação As fontes de informação escolhidas poderão variar de acordo com o âmbito e a complexidade da auditoria e poderão incluir o seguinte:
− entrevistas com colaboradores e outras pessoas;
− observação das atividades e do ambiente e condições de trabalho circunvizinhos;
− documentos, tais como políticas, objetivos, planos, procedimentos, normas, instruções, licenças e autorizações, especificações, desenhos, contratos e encomendas;
− registos, tais como registos de inspeção, atas de reuniões, relatórios de auditorias, registos de programas de monitorização e os resultados de medições;
− resumos de dados, análises e indicadores de desempenho;
− informação sobre os planos de amostragem utilizados pelo auditado e sobre procedimentos para o controlo dos processos de amostragem e de medição;
− relatórios de outras fontes, p. ex. retorno de informação dos clientes, inquéritos e medições externos, outra informação relevante de partes externas e avaliações de fornecedores;
− bases de dados informáticas e páginas da Internet;
− simulação e modelagem.
B.6 Orientações para visitas aos locais do auditado Para minimizar a interferência entre as atividades de auditoria e os processos de trabalho do auditado e para assegurar a segurança e saúde do trabalho da equipa auditora durante a visita, deverá ter-se em consideração o seguinte:
a) planear a visita:
− assegurar as autorizações e acessos às partes do local do auditado a serem visitadas, de acordo com o âmbito da auditoria;
− fornecer a informação adequada (p. ex. dar instruções) aos auditores quanto a questões de segurança pessoal, saúde (p. ex. quarentena), segurança e saúde do trabalho e normas culturais para a visita, incluindo vacinações e levantamento de restrições requeridos e recomendados, se aplicável;
− confirmar com o auditado que quaisquer equipamentos de proteção individual (EPI) requeridos estarão disponíveis para a equipa auditora, se aplicável;
− exceto para auditorias ad hoc não calendarizadas, assegurar que as pessoas a serem visitadas serão informadas, quanto aos objetivos e âmbito da auditoria;
b) atividades presenciais (on-site):
− evitar quaisquer perturbações desnecessárias dos processos operacionais;
− assegurar que a equipa auditora está a utilizar os EPI de forma correta;
− assegurar que os procedimentos de emergência são comunicados (p. ex. saídas de emergência, pontos de encontro);
− calendarizar a comunicação para minimizar as interrupções;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 53 de 55
− adaptar a dimensão da equipa auditora e o número de guias e observadores de acordo com o âmbito da auditoria, de forma a evitar tanto quanto possível interferências com os processos operacionais;
− não tocar ou manipular qualquer equipamento, exceto se explicitamente autorizado, mesmo que tenha competências ou esteja licenciado para o fazer;
− se ocorrer qualquer incidente durante a visita presencial (on-site), o auditor coordenador deverá rever a situação com o auditado e, se necessário, com o cliente da auditoria e chegar a um acordo quanto a auditoria ser interrompida, recalendarizada ou continuada;
− se se recolhem imagens fotográficas ou de vídeo, solicitar antecipadamente autorização à gestão e ter em consideração questões de segurança e de confidencialidade, evitando tirar fotografias a pessoas isoladas sem o seu consentimento;
− se se fizerem cópias de documentos de qualquer tipo, solicitar antecipadamente autorização para tal e ter em consideração questões de confidencialidade e de segurança;
− ao tomar notas, evitar recolher informação pessoal exceto se requerido pelos objetivos ou pelos critérios da auditoria.
B.7 Condução de entrevistas As entrevistas são um dos meios importantes de recolha da informação e deverão ser realizadas tendo em conta a situação e a pessoa entrevistada, quer seja presencial ou utilize outros meios de comunicação. Contudo, o auditor deverá ter em consideração o seguinte:
− as entrevistas deverão ser conduzidas junto de pessoas de níveis e funções adequados, que desempenhem atividades ou tarefas dentro do âmbito da auditoria;
− as entrevistas deverão ser conduzidas nas horas normais de funcionamento, e, onde aplicável, no local normal de trabalho da pessoa a ser entrevistada;
− procurar colocar à vontade a pessoa a ser entrevistada, antes e durante a entrevista;
− deverão ser explicadas as razões da entrevista e de quaisquer notas tomadas;
− as entrevistas poderão ser iniciadas pedindo às pessoas que descrevam o seu trabalho;
− escolha criteriosa dos tipos de questões a serem colocadas (p. ex. abertas, fechadas, perguntas orientadoras);
− os resultados da entrevista deverão ser resumidos e revistos com a pessoa entrevistada;
− deverá ser agradecida a participação e a cooperação das pessoas entrevistadas.
B.8 Constatações da auditoria
B.8.1 Determinação das constatações da auditoria
Ao determinar as constatações da auditoria, deverá ser tido em consideração o seguinte:
− seguimento de registos e conclusões de auditorias anteriores;
− requisitos do cliente da auditoria;
− constatações que ultrapassem a prática normal, ou oportunidades de melhoria;
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 54 de 55
− dimensão da amostra;
− categorização (se aplicável) das constatações da auditoria.
B.8.2 Registo das conformidades
Para os registos das conformidades, deverá ter-se em consideração o seguinte:
− identificação dos critérios da auditoria face aos quais se demonstra a conformidade;
− evidência(s) de auditoria que suporta(m) a conformidade;
− declaração de conformidade, se aplicável.
B.8.3 Registo das não conformidades
Para os registos das não conformidades, deverá ter-se em consideração o seguinte:
− descrição de ou referência a critérios da auditoria;
− declaração de não conformidade;
− evidências de auditoria;
− constatações da auditoria relacionadas, se aplicável.
B.8.4 Lidar com constatações relativas a múltiplos critérios
No decorrer da auditoria, é possível identificar constatações relativas a múltiplos critérios. Quando um auditor identifica uma constatação relacionada com um critério no decorrer de uma auditoria combinada, o auditor deverá ter em consideração o possível impacto no critério correspondente ou similar do outro sistema de gestão.
Dependendo do acordado com o cliente da auditoria, o auditor poderá propor quer:
− constatações separadas para cada critério; ou
− uma única constatação, combinando as referências aos múltiplos critérios.
Dependendo do acordado com o cliente da auditoria, o auditor poderá dar orientações ao auditado quanto à forma de responder a essas constatações.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
NP EN ISO 19011 2012
p. 55 de 55
Bibliografia
[1] ISO 2859-4 Sampling procedures for inspection by attributes – Part 4: Procedures for assessment of declared quality levels
[2] ISO 9000:2005 Quality management systems – Fundamentals and vocabulary
[3] ISO 9001 Quality management systems – Requirements
[4] ISO 14001 Environmental management systems – Requirements with guidance for use
[5] ISO 14050 Environmental management – Vocabulary
[6] ISO/IEC 17021:2011 Conformity assessment – Requirements for bodies providing audit and certification of management systems
[7] ISO/IEC 20000-1 Information technology – Service management – Part 1: Service management system requirements
[8] ISO 22000 Food safety management systems – Requirements for any organization in the food chain
[9] ISO/IEC 27000 Information technology – Security techniques – Information security management systems – Overview and vocabulary
[10] ISO/IEC 27001 Information technology – Security techniques – Information security management systems – Requirements
[11] ISO/IEC 27002 Information technology – Security techniques – Code of practice for information security management
[12] ISO/IEC 27003 Information technology – Security techniques – Information security management system implementation guidance
[13] ISO/IEC 27004 Information technology – Security techniques – Information security management – Measurement
[14] ISO/IEC 27005 Information technology – Security techniques – Information security risk management
[15] ISO 28000 Specification for security management systems for the supply chain
[16] ISO 303011) Information and documentation – Management system for records – Requirements
[17] ISO 31000 Risk management – Principles and guidelines
[18] ISO 390012) Road traffic safety (RTS) management systems – Requirements with guidance for use
[19] ISO 50001 Energy management systems – Requirements with guidance for use
[20] ISO Guide 73:2009 Risk management – Vocabulary
[21] OHSAS 18001:2007 Occupational health and safety management systems – Requirements
[22] ISO 9001 Auditing Practices Group papers available at: www.iso.org/tc176/ISO9001AuditingPractices Group
[23] ISO 19011 Additional guidelines2) available at: www.iso.org/19011auditing
1) A publicar. 2) Em preparação.
Impr
essã
o de
doc
umen
to e
lectró
nico
©IP
Q repr
oduç
ão p
roibi
da
