Professional Documents
Culture Documents
Lignes directrices pour laudit des systmes de management (ISO 19011:2011) Guidelines for auditing management systems (ISO 19011:2011)
ICS 03.120.10
HOMOLOGAO Termo de Homologao n. 193/2012, de 2012-07-13 A presente Norma substitui a NP EN ISO 19011:2003 (Ed. 1)
PORTUGAL
Tel. + 351-212 948 100 Fax + 351-212 948 101 E-mail: ipq@mail.ipq.pt Internet: www.ipq.pt
Prembulo nacional
Norma Europeia EN ISO 19011:2011, foi dado estatuto de Norma Portuguesa em 2012-02-27 (Termo de Adoo n 230/2012, de 2012-02-27). Esta verso portuguesa foi preparada pela CT 80 Gesto da qualidade e garantia da qualidade, coordenada pelo Organismo de Normalizao Sectorial, Associao Portuguesa para a Qualidade (ONS/APQ). Esta segunda edio anula e substitui a primeira edio (EN ISO 19011:2002), que foi objeto de uma reviso
tcnica.
As principais diferenas em relao primeira edio so as seguintes: o objetivo e campo de aplicao foi alargado de auditorias a sistemas de gesto da qualidade e ambiental para auditorias a quaisquer sistemas de gesto; as relaes entre a ISO 19011 e a ISO/IEC 17021 foram clarificadas; foram introduzidos mtodos de auditoria distncia e o conceito de risco; a confidencialidade foi introduzida como um novo princpio de auditoria; as Seces 5, 6 e 7 foram reorganizadas; foi introduzida informao adicional no novo Anexo B, de que resultou a remoo das caixas de ajuda prtica; o processo de determinao e avaliao da competncia foi reforado; exemplos esclarecedores de conhecimentos e de saber fazer especficos de disciplinas foram includos no novo Anexo A; linhas de orientao adicionais esto disponveis no endereo www.iso.org/19011auditing.
EN ISO 19011
novembro 2011
Lignes directrices pour laudit Guidelines for auditing des systmes de management management systems (ISO 19011:2011) (ISO 19011:2011)
A presente Norma a verso portuguesa da Norma Europeia EN ISO 19011:2012, e tem o mesmo estatuto que as verses oficiais. A traduo da responsabilidade do Instituto Portugus da Qualidade. Esta Norma Europeia foi ratificada pelo CENELEC em 2011-11-05. Os membros do CENELEC so obrigados a submeter-se ao Regulamento Interno do CEN/CENELEC que define as condies de adoo desta Norma Europeia, como norma nacional, sem qualquer modificao. Podem ser obtidas listas atualizadas e referncias bibliogrficas relativas s normas nacionais correspondentes junto do Secretariado Central ou de qualquer dos membros do CENELEC. A presente Norma Europeia existe nas trs verses oficiais (alemo, francs e ingls). Uma verso noutra lngua, obtida pela traduo, sob responsabilidade de um membro do CENELEC, para a sua lngua nacional, e notificada ao Secretariado Central, tem o mesmo estatuto que as verses oficiais. Os membros do CENELEC so os organismos nacionais de normalizao dos seguintes pases: Alemanha, ustria, Blgica, Bulgria, Chipre, Dinamarca, Eslovquia, Eslovnia, Espanha, Estnia, Finlndia, Frana, Grcia, Hungria, Irlanda, Islndia, Itlia, Letnia, Litunia, Luxemburgo, Malta, Noruega, Pases Baixos, Polnia, Portugal, Reino Unido, Repblica Checa, Romnia, Sucia e Sua.
CEN
Comit Europeu de Normalizao Europisches Komitee fr Normung Comit Europen de Normalisation European Committee for Standardization Secretariado Central: Avenue Marnix 17, B-1000 Bruxelas 2011 CEN Direitos de reproduo reservados aos membros do CEN Ref. n EN ISO 19011:2011 Pt
Sumrio
Pgina 2 9 9 9 12 13 13 15 15 18 22 22 23 23 25 26 28 33 34 34 35 35 35 39
Prembulo nacional ................................................................................................................................. 1 Objetivo e campo de aplicao ............................................................................................................ 2 Referncia normativa ........................................................................................................................... 3 Termos e definies .............................................................................................................................. 4 Princpios de auditoria ......................................................................................................................... 5 Gesto de um programa de auditorias................................................................................................ 5.1 Generalidades ...................................................................................................................................... 5.2 Estabelecimento dos objetivos do programa de auditorias .................................................................. 5.3 Estabelecimento do programa de auditorias ........................................................................................ 5.4 Implementao do programa de auditorias .......................................................................................... 5.5 Monitorizao do programa de auditorias ........................................................................................... 5.6 Reviso e melhoria do programa de auditorias.................................................................................... 6 Realizao de uma auditoria................................................................................................................ 6.1 Generalidades ...................................................................................................................................... 6.2 Incio da auditoria ................................................................................................................................ 6.3 Preparao das atividades de auditoria ................................................................................................ 6.4 Conduo das atividades de auditoria.................................................................................................. 6.5 Preparao e distribuio do relatrio da auditoria ............................................................................. 6.6 Encerramento da auditoria ................................................................................................................... 6.7 Conduo do seguimento da auditoria ................................................................................................. 7 Competncia e avaliao dos auditores .............................................................................................. 7.1 Generalidades ...................................................................................................................................... 7.2 Determinao das competncias dos auditores para satisfazer as necessidades do programa de auditorias .............................................................................................................................. 7.3 Estabelecimento dos critrios de avaliao de auditores .....................................................................
7.4 Seleo do mtodo de avaliao de auditores adequado ...................................................................... 7.5 Conduo da avaliao de um auditor .................................................................................................. 7.6 Manuteno e melhoria da competncia de um auditor ....................................................................... Anexo A (informativo) Orientaes e exemplos esclarecedores de conhecimentos e saber fazer especficos de disciplinas para auditores ............................................................................ Anexo B (informativo) Orientao adicional para os auditores quanto ao planeamento e conduo de auditorias ............................................................................................................................ Bibliografia ...............................................................................................................................................
40 40 41
42 48 55
Prembulo
A presente Norma (EN ISO 19011:2011) foi elaborada pelo Comit Tcnico ISO/TC 176 Quality management and quality assurance. A esta Norma Europeia deve ser atribudo o estatuto de Norma Nacional, seja por publicao de um texto idntico, seja por adoo, o mais tardar em maio de 2012, e as normas nacionais divergentes devem ser anuladas, o mais tardar em maio de 2012. Pode acontecer que alguns dos elementos do presente documento sejam objeto de direitos de propriedade. O CEN (e/ou o CENELEC) no deve ser responsabilizado pela identificao de alguns ou de todos esses direitos. A presente Norma Europeia substitui a EN ISO 19011:2002. De acordo com o Regulamento Interno do CEN/CENELEC, a presente Norma deve ser implementada pelos organismos nacionais de normalizao dos seguintes pases: Alemanha, ustria, Blgica, Bulgria, Chipre, Dinamarca, Eslovquia, Eslovnia, Espanha, Estnia, Finlndia, Frana, Grcia, Hungria, Irlanda, Islndia, Itlia, Letnia, Litunia, Luxemburgo, Malta, Noruega, Pases Baixos, Polnia, Portugal, Reino Unido, Repblica Checa, Romnia, Sucia e Sua.
Nota de endosso
O texto da presente Norma internacional ISO 19011:2011 foi aprovado pelo CEN como EN ISO 19011:2011 sem qualquer modificao.
Introduo
Desde que a primeira edio desta Norma foi publicada em 2002, vrias normas novas de sistemas de gesto foram entretanto publicadas. Da resultou haver agora a necessidade de ter em considerao um mbito mais lato de auditoria a sistemas de gesto, bem como de proporcionar orientaes que sejam mais genricas. Em 2006, o comit da ISO para a avaliao da conformidade (CASCO) desenvolveu a ISO/IEC 17021, que estabelece requisitos para a certificao de sistemas de gesto por terceiras partes e que se baseou parcialmente nas linhas de orientao contidas na primeira edio desta Norma. A segunda edio da ISO/IEC 17021, publicada em 2011, foi alargada de forma a transformar as orientaes proporcionadas nesta Norma em requisitos para auditorias de certificao de sistemas de gesto. neste contexto que esta segunda edio desta Norma Internacional proporciona orientaes a todos os utilizadores, incluindo organizaes de pequena e mdia dimenso, concentrando-se nas que so normalmente designadas auditorias internas (de primeira parte) e auditorias conduzidas pelos clientes aos seus fornecedores (segunda parte). Embora os envolvidos em auditorias de certificao a sistemas de gesto sigam os requisitos da ISO/IEC 17021:2011, podem tambm considerar teis as orientaes contidas nesta Norma Internacional. As relaes entre esta segunda edio desta Norma Internacional e a ISO/IEC 17021:2011 so apresentadas no Quadro 1. Quadro 1 mbito desta Norma Internacional e relacionamento com a ISO/IEC 17021:2011 Auditoria externa Auditoria interna Auditoria a fornecedores Por vezes designadas como auditoria de primeira parte Por vezes designadas como auditoria de segunda parte Auditoria de terceira parte Para fins legais, regulamentares e outros semelhantes Para certificao (ver tambm os requisitos na ISO/IEC 17021:2011)
Esta Norma internacional no especifica requisitos, mas proporciona orientaes para a gesto de um programa de auditorias, para o planeamento e conduo de uma auditoria a um sistema de gesto, bem como quanto competncia e avaliao de um auditor e de uma equipa auditora. As organizaes podem manter em funcionamento mais de um sistema de gesto formal. Para simplificar a legibilidade desta Norma Internacional, considerou-se prefervel usar sistema de gesto no singular, podendo o leitor adaptar a implementao destas orientaes sua situao particular. Isto tambm se aplica utilizao de pessoa e pessoas, auditor e auditores. Pretende-se que esta Norma Internacional seja aplicvel a um vasto leque de utilizadores potenciais, incluindo auditores, organizaes que implementam sistemas de gesto e organizaes que necessitam de conduzir auditorias a sistemas de gesto por razes contratuais ou regulamentares. Os utilizadores desta Norma Internacional podem, contudo, aplicar estas orientaes no desenvolvimento dos seus prprios requisitos relativos a auditorias. As orientaes contidas nesta Norma internacional tambm podem ser utilizadas para efeitos de autodeclarao e ser teis para organizaes envolvidas na formao de auditores ou em certificao de pessoas.
2 Referncia normativa
No so citadas referncias normativas. Esta seco includa para manter a numerao de seces idntica adotada em outras normas de sistemas de gesto.
3 Termos e definies
Para os fins da presente Norma, aplicam-se os seguintes termos e definies: 3.1 auditoria Processo sistemtico, independente e documentado para obter evidncias de auditoria (3.3) e respetiva avaliao objetiva, com vista a determinar em que medida os critrios da auditoria (3.2) so satisfeitos.
NOTA 1: As auditorias internas, por vezes denominadas auditorias de primeira parte, so conduzidas por ou em nome da prpria organizao, para reviso pela gesto ou por outras razes internas (p. ex. para confirmar a eficcia do sistema de gesto ou para obter informao para a melhoria do sistema de gesto). As auditorias internas podem constituir o suporte para uma autodeclarao de conformidade pela organizao. Em muitos casos, especialmente em pequenas organizaes, a independncia pode ser demonstrada pela ausncia de responsabilidade pela atividade auditada ou pela ausncia de influncias e de conflitos de interesses. NOTA 2: As auditorias externas incluem as auditorias de segunda e de terceira parte. As auditorias de segunda parte so conduzidas por partes com interesse na organizao, tais como clientes ou pessoas em seu nome. As auditorias de terceira parte so conduzidas por organizaes auditoras independentes, tais como reguladores ou as que proporcionam certificao. NOTA 3: Sempre que dois ou mais sistemas de gesto de diferentes disciplinas (p. ex. qualidade, ambiente, segurana e sade do trabalho) sejam auditados conjuntamente, a auditoria denominada auditoria combinada. NOTA 4: Sempre que duas ou mais organizaes auditoras cooperam para realizar uma auditoria a um nico auditado (3.7), esta denominada auditoria conjunta. NOTA 5: Adaptado da ISO 9000:2005, definio 3.9.1.
3.2 critrios da auditoria Conjunto de polticas, procedimentos ou requisitos utilizado como referncia em relao ao qual se comparam as evidncias de auditoria (3.3).
NOTA 1: Adaptado da ISO 9000:2005, definio 3.9.3. NOTA 2: Se os critrios da auditoria forem exigncias legais (incluindo estatutrios ou regulamentares), os termos conforme e no conforme so frequentemente utilizados numa constatao da auditoria (3.4).
[ISO 9000:2005, definio 3.9.4] 3.4 constataes da auditoria Resultados da avaliao das evidncias de auditoria (3.3) recolhidas face aos critrios da auditoria (3.2).
NOTA 1: As constataes da auditoria indicam conformidade ou no conformidade. NOTA 2: As constataes da auditoria podem levar identificao de oportunidades de melhoria ou ao registo de boas prticas. NOTA 3: Se os critrios da auditoria forem baseados em exigncias legais ou outros, a constatao da auditoria ser de conformidade ou de no conformidade. NOTA 4: Adaptado da ISO 9000:2005, definio 3.9.5.
3.5 concluses da auditoria Resultados finais de uma auditoria (3.1), aps serem tidos em considerao os objetivos da auditoria e todas as constataes da auditoria (3.4).
NOTA: Adaptado da ISO 9000:2005, definio 3.9.6.
3.6 cliente da auditoria Organizao ou pessoa que requer uma auditoria (3.1).
NOTA 1: No caso da auditoria interna, o cliente da auditoria pode ser tambm o auditado (3.7) ou a pessoa responsvel pela gesto do programa de auditorias. As solicitaes de auditorias externas podem ser feitas por entidades como reguladores, partes contratantes ou clientes potenciais. NOTA 2: Adaptado da ISO 9000:2005, definio 3.9.7.
3.7 auditado Organizao a ser auditada. [ISO 9000:2005, definio 3.9.8] 3.8 auditor Pessoa que conduz uma auditoria (3.1). 3.9 equipa auditora Um ou mais auditores (3.8) que conduzem uma auditoria (3.1), se necessrio com o suporte de peritos tcnicos (3.10).
NOTA 1: Um dos auditores da equipa auditora nomeado coordenador da equipa auditora. NOTA 2: A equipa auditora poder incluir auditores em formao.
[ISO 9000:2005, definio 3.9.10] 3.10 perito tcnico Pessoa que proporciona conhecimento especfico ou experincia qualificada equipa auditora (3.9).
NOTA 1: Conhecimentos especficos ou experincia qualificada no que diz respeito organizao, ao processo ou atividade a auditar, lngua ou orientao cultural. NOTA 2: Um perito tcnico no atua como auditor (3.8) no mbito da equipa auditora.
[ISO 9000:2005, definio 3.9.11] 3.11 observador Pessoa que acompanha a equipa auditora (3.9), mas que no audita.
NOTA 1: Um observador no faz parte da equipa auditora (3.9) e no influencia ou interfere na conduo da auditoria (3.1). NOTA 2: Um observador pode pertencer ao auditado (3.7), a um regulador ou a uma outra parte interessada que testemunha a auditoria (3.1).
3.12 guia Pessoa indicada pelo auditado (3.7) para dar apoio equipa auditora (3.9). 3.13 programa de auditorias Preparativos para um conjunto de uma ou mais auditorias (3.1) planeadas para um determinado perodo de tempo e dirigidas a uma finalidade especfica.
NOTA: Adaptado da ISO 9000:2005, definio 3.9.2.
[ISO 9000:2005, definio 3.9.13] 3.15 plano de auditoria Descrio das atividades e dos preparativos de uma auditoria (3.1). [ISO 9000:2005, definio 3.9.12] 3.16 risco Efeito da incerteza nos objetivos.
NOTA: Adaptado do ISO Guide 73:2009, definio 1.11).
3.17 competncia Aptido para aplicar conhecimentos e saber fazer para atingir os resultados pretendidos.
NOTA: A aptido implica comportamento pessoal adequado durante o processo de auditoria.
1)
4 Princpios de auditoria
A atividade de auditoria caracterizada por se basear num conjunto de princpios. Estes princpios devero ajudar a fazer da auditoria uma ferramenta eficaz e fivel de suporte s polticas e ao controlo de gesto, ao fornecer informao sobre a qual uma organizao pode atuar para melhorar o seu desempenho. A adeso a estes princpios um pr-requisito para proporcionar concluses da auditoria que sejam relevantes e suficientes e para permitir que auditores, trabalhando independentemente uns dos outros, cheguem a concluses semelhantes em circunstncias semelhantes. As orientaes dadas nas Seces 5 a 7 baseiam-se nos seis princpios que se esboam a seguir: a) Integridade: pilar do profissionalismo. Os auditores e a pessoa responsvel pela gesto do programa de auditorias devero: realizar o seu trabalho com honestidade, diligncia e responsabilidade; observar e cumprir quaisquer exigncias legais aplicveis; demonstrar a sua competncia enquanto realizam o seu trabalho; realizar o seu trabalho de forma imparcial, isto , permanecer justo e isento de influncias em todas as suas relaes; estar cientes de quaisquer influncias que podero ser exercidas por outras partes interessadas sobre os seus juzos de valor, enquanto realizam uma auditoria. b) Apresentao justa: obrigao de relatar com verdade e rigor. Constataes, concluses e relatrios de auditoria devero refletir com verdade e rigor as atividades da auditoria. Devero ser relatados os obstculos significativos encontrados durante a auditoria, assim como as opinies divergentes, no resolvidas, entre a equipa auditora e o auditado. A comunicao dever ser verdadeira, rigorosa, objetiva, oportuna, clara e completa. c) Devido cuidado profissional: aplicao de diligncia e de discernimento ao auditar. Os auditores devero atuar com o cuidado adequado importncia da tarefa que executam e confiana neles depositada pelo cliente da auditoria e outras partes interessadas. Um fator importante para executarem o seu trabalho com o devido cuidado profissional, terem a aptido para fazer juzos fundamentados em todas as situaes de auditoria. d) Confidencialidade: segurana da informao. Os auditores devero ser prudentes na utilizao e proteo da informao obtida no exerccio das suas tarefas. A informao da auditoria no dever ser utilizada de forma inadequada para proveito pessoal do
auditor ou do cliente da auditoria, ou de forma a prejudicar os legtimos interesses do auditado. Este conceito inclui o tratamento adequado de informao sensvel ou confidencial. e) Independncia: pilar da imparcialidade da auditoria e da objetividade das concluses da auditoria. Os auditores devero ser independentes da atividade a ser auditada e devero em todos os casos atuar de forma que seja livre de influncias e de conflitos de interesses. Nas auditorias internas, os auditores devero ser independentes dos gestores operacionais das funes auditadas. Os auditores devero manter a objetividade durante o processo de auditoria para assegurar que as constataes e as concluses da auditoria se baseiam unicamente em evidncias de auditoria. Nas organizaes pequenas poder no ser possvel que os auditores internos sejam totalmente independentes da atividade a ser auditada, mas devero ser envidados todos os esforos para remover influncias e promover a objetividade. f) Abordagem baseada em evidncias: mtodo racional para chegar a concluses da auditoria fiveis e reprodutveis num processo de auditoria sistemtico. As evidncias de auditoria devero ser verificveis. Baseiam-se geralmente em amostras da informao disponvel, dado que uma auditoria conduzida com tempo e recursos limitados. Dever utilizar-se a amostragem de forma adequada, uma vez que essa utilizao se relaciona intimamente com a confiana que pode ser depositada nas concluses da auditoria.
O programa de auditorias dever incluir a informao e os recursos necessrios para organizar e conduzir as suas auditorias de forma eficaz e eficiente dentro dos prazos especificados e tambm pode incluir o seguinte: objetivos do programa de auditorias e de cada uma das auditorias; extenso/nmero/tipos/durao/locais/calendarizao das auditorias; procedimentos do programa de auditorias; critrios da auditoria; mtodos de auditoria; seleo das equipas auditoras;
A implementao do programa de auditorias dever ser monitorizada e medida para assegurar a consecuo dos seus objetivos. O programa de auditorias dever ser revisto para identificar possveis melhorias. A Figura 1 ilustra o fluxo do processo de gesto de um programa de auditorias.
5.2 Estabelecimento dos objetivos do programa de auditorias
5.3 Estabelecimento do programa de auditorias 5.3.1 Funes e responsabilidades da pessoa responsvel pela gesto do programa de auditorias 5.3.2 Competncia da pessoa responsvel pela gesto do programa de auditorias 5.3.3 Estabelecimento da extenso do programa de auditorias 5.3.4 Identificao e avaliao dos riscos do programa de auditorias 5.3.5 Estabelecimento de procedimentos para o programa de auditorias 5.3.6 Identificao dos recursos do programa de auditorias PLANEAR
5.4 Implementao do programa de auditorias 5.4.1 Generalidades 5.4.2 Definio dos objetivos, mbito e critrios de cada auditoria 5.4.3 Seleo dos mtodos de auditoria 5.4.4 Seleo dos membros da equipa auditora 5.4.5 Atribuio de responsabilidade por uma auditoria ao auditor coordenador 5.4.6 Gesto dos resultados do programa de auditorias 5.4.7 Gesto e manuteno dos registos do programa de auditorias Realizar uma auditoria (seco 6) Competncia e avaliao de auditores (seco 7) EXECUTAR
VERIFICAR
ATUAR
5.2 Estabelecimento dos objetivos do programa de auditorias A gesto de topo dever assegurar que os objetivos do programa de auditorias so estabelecidos para orientar o planeamento e a conduo das auditorias e que o programa de auditorias eficazmente implementado. Os objetivos do programa de auditorias devero ser consistentes com a poltica e os objetivos do sistema de gesto e dar-lhes suporte. Estes objetivos podem ter em conta: a) b) c) d) e) f) g) h) i) j) k) prioridades da gesto; intenes comerciais e outros negcios; caractersticas dos processos, produtos e projetos, e quaisquer alteraes aos mesmos; requisitos do sistema de gesto; exigncias legais e contratuais e outros requisitos com os quais a organizao se tenha comprometido; necessidades de avaliao de fornecedores; necessidade e expectativas de partes interessadas, incluindo clientes; nvel de desempenho do auditado, tal como se reflete na ocorrncia de falhas ou incidentes ou em reclamaes de clientes; riscos para o auditado; resultados de auditorias anteriores; nvel de maturidade do sistema de gesto a ser auditado.
Exemplos de objetivos do programa de auditorias incluem o seguinte: contribuio para a melhoria de um sistema de gesto e do seu desempenho; satisfao de requisitos externos, p. ex. certificao de acordo com a Norma de um sistema de gesto; verificao da conformidade com requisitos contratuais; obteno e manuteno da confiana na capacidade de um fornecedor; determinao da eficcia do sistema de gesto; avaliao da compatibilidade e do alinhamento dos objetivos do sistema de gesto com a poltica do sistema de gesto e os objetivos globais da organizao. 5.3 Estabelecimento do programa de auditorias 5.3.1 Funes e responsabilidades da pessoa responsvel pela gesto do programa de auditorias A pessoa responsvel pela gesto do programa de auditorias dever: estabelecer a extenso do programa de auditorias; identificar e avaliar os riscos do programa de auditorias; estabelecer responsabilidades para as auditorias; estabelecer procedimentos para os programas de auditoria;
assegurar que so geridos e mantidos os registos adequados do programa de auditorias; monitorizar, rever e melhorar o programa de auditorias. A pessoa responsvel pela gesto de um programa de auditorias dever informar a gesto de topo dos contedos do programa de auditorias e, quando necessrio, obter a respetiva aprovao. 5.3.2 Competncia da pessoa responsvel pela gesto do programa de auditorias A pessoa responsvel pela gesto do programa de auditorias dever ter a competncia necessria para gerir de forma eficaz e eficiente o programa e os riscos associados, bem como conhecimentos e saber fazer nas seguintes reas: princpios, procedimentos e mtodos de auditoria; normas de sistemas de gesto e documentos de referncia; atividades, produtos e processos do auditado; exigncias legais e outras aplicveis, que sejam relevantes para as atividades e para os produtos do auditado; clientes, fornecedores e outras partes interessadas do auditado, onde aplicvel. A pessoa responsvel pela gesto do programa de auditorias dever participar em atividades adequadas de desenvolvimento profissional contnuo para manter os conhecimentos e saber fazer necessrios para gerir o programa de auditorias. 5.3.3 Estabelecimento da extenso do programa de auditorias A pessoa responsvel pela gesto do programa de auditorias dever determinar a extenso do programa de auditorias, que pode variar dependendo da dimenso e da natureza do auditado, bem como da natureza, funcionalidade, complexidade e nvel de maturidade do sistema de gesto a auditar e ainda, de questes significativas para esse mesmo sistema.
NOTA: Em certos casos, dependendo da estrutura do auditado e das suas atividades, o programa de auditoria pode consistir numa nica auditoria (p. ex. uma atividade de um pequeno projeto).
Outros fatores com impacto na extenso do programa de auditorias incluem o seguinte: objetivo, mbito e durao de cada auditoria bem como nmero de auditorias a conduzir, incluindo o seguimento de auditorias, se aplicvel; nmero, importncia, complexidade, semelhana e localizao das atividades a serem auditadas; fatores que influenciam a eficcia do sistema de gesto; critrios da auditoria aplicveis, tais como os preparativos planeados para as normas de gesto relevantes, exigncias legais, contratuais e outros requisitos com os quais a organizao esteja comprometida; concluses de auditorias internas e externas anteriores; resultados da reviso de um programa de auditorias anterior; questes de lngua, culturais e sociais;
Quando duas ou mais organizaes auditoras conduzem uma auditoria conjunta ao mesmo auditado, as pessoas responsveis pela gesto dos diferentes programas de auditoria, devero acordar quanto ao mtodo de auditoria e ter em considerao as implicaes na atribuio de recursos e no planeamento da auditoria. Se um auditado mantm em funcionamento dois ou mais sistemas de gesto de diferentes disciplinas, o programa de auditorias poder incluir auditorias combinadas. 5.4.4 Seleo dos membros da equipa auditora A pessoa responsvel pela gesto do programa de auditorias dever nomear os membros da equipa auditora, incluindo o coordenador da equipa e quaisquer peritos tcnicos necessrios para a auditoria especfica. Uma equipa auditora dever ser selecionada, tendo em considerao as competncias necessrias para a consecuo dos objetivos de uma das auditorias, dentro do mbito definido. Se for apenas um auditor, este dever assumir todas as obrigaes aplicveis a um auditor coordenador.
NOTA: A seco 7 contm orientaes para a determinao das competncias requeridas para os membros da equipa auditora e descreve o processo para a avaliao dos auditores.
Ao decidir a dimenso e a composio da equipa auditora para uma dada auditoria, dever ser tido em considerao o seguinte: a) competncia global da equipa auditora, necessria para a consecuo dos objetivos da auditoria, tendo em considerao o mbito e os critrios da auditoria; b) a complexidade da auditoria e se a mesma uma auditoria combinada ou conjunta; c) os mtodos de auditoria que foram selecionados; d) exigncias legais e contratuais e outros requisitos com os quais a organizao se tenha comprometido; e) a necessidade de assegurar a independncia dos membros da equipa auditora, em relao s atividades a auditar e de evitar quaisquer conflitos de interesses [ver o princpio e) na seco 4]; f) a aptido dos membros da equipa auditora para interagir eficazmente com os representantes do auditado e para trabalhar em conjunto;
6.2 Incio da auditoria 6.2.1 Generalidades Quando se inicia uma auditoria, a responsabilidade pela sua conduo at que a mesma seja encerrada (ver 6.6) do auditor coordenador que tenha sido nomeado (ver 5.4.5). Para iniciar uma auditoria, devero ser tidos em considerao as etapas da Figura 2; contudo, dependendo do auditado, dos processos e de circunstncias especficas, a sequncia pode ser diferente. 6.2.2 Estabelecimento do contacto inicial com o auditado O contacto inicial com o auditado para a realizao da auditoria pode ser informal ou formal e dever ser feito pelo auditor coordenador. Os propsitos do contacto inicial so os seguintes: estabelecer canais de comunicao com os representantes do auditado; confirmar que est autorizado a conduzir a auditoria; fornecer informao sobre objetivos, mbito, mtodos e composio da equipa auditora, incluindo peritos tcnicos; solicitar acesso a documentos e registos relevantes para efeitos de planeamento; determinar os exigncias legais e contratuais aplicveis e quaisquer outros requisitos relevantes para as atividades e produtos do auditado; confirmar o acordado com o auditado no que se refere extenso da divulgao e ao tratamento de informao confidencial; fazer os preparativos para a auditoria, incluindo a calendarizao das datas; determinar quaisquer requisitos especficos do local quanto a acesso, segurana pessoal, segurana e sade do trabalho ou outros aplicveis; acordar sobre a participao de observadores e a necessidade de guias para a equipa auditora; determinar quaisquer reas de interesse ou preocupao para o auditado em relao auditoria especfica. 6.2.3 Determinao da exequibilidade da auditoria A exequibilidade da auditoria dever ser determinada para proporcionar confiana razovel na consecuo dos objetivos da auditoria. A determinao da exequibilidade dever ter em considerao fatores tais como a disponibilidade de: informao suficiente e adequada para planear e conduzir a auditoria; cooperao adequada por parte do auditado; tempo e recursos adequados para a conduo da auditoria. Quando a auditoria no for exequvel, dever ser proposta ao cliente da auditoria uma alternativa que tenha o acordo do auditado.
A documentao dever incluir, conforme aplicvel, documentos e registos do sistema de gesto, bem como relatrios de auditorias anteriores. A reviso da documentao dever ter em considerao a dimenso, a natureza e a complexidade do sistema de gesto e da organizao do auditado, bem como os objetivos e o mbito da auditoria contaminao em instalaes do tipo clean room*). 6.3.2 Preparao do plano da auditoria 6.3.2.1 O auditor coordenador dever preparar um plano da auditoria com base na informao contida no programa de auditorias e na documentao fornecida pelo auditado. O plano de auditoria dever ter em considerao o efeito das atividades de auditoria nos processos do auditado e proporcionar a base para um acordo entre o cliente da auditoria, a equipa auditora e o auditado no que se refere conduo da auditoria. O plano dever promover a eficiente calendarizao e coordenao das atividades da auditoria para a consecuo eficaz dos objetivos da auditoria. O grau de detalhe fornecido no plano da auditoria dever refletir o mbito e a complexidade da auditoria, bem como o efeito da incerteza na consecuo dos objetivos da auditoria. Ao preparar o plano da auditoria, o auditor coordenador dever estar ciente do seguinte: tcnicas de amostragem adequadas (ver seco B.3); composio da equipa auditora e a sua competncia coletiva; riscos para a organizao que resultem da auditoria. Os riscos para a organizao podero, por exemplo, decorrer da influncia da presena de membros da equipa auditora, sobre a segurana e a sade do trabalho, o ambiente e a qualidade, e cuja presena represente ameaas para os produtos, servios, pessoal ou infraestrutura do auditado (p. ex. contaminao em instalaes do tipo*)). Em auditorias combinadas dever ser dada particular ateno s interaes entre processos operacionais e os objetivos e prioridades conflituantes dos diferentes sistemas de gesto. 6.3.2.2 A extenso e os contedos do plano de auditoria podero diferir, por exemplo, entre a auditoria inicial e as auditorias seguintes, bem como entre auditorias internas e auditorias externas. O plano da auditoria dever ser suficientemente flexvel para permitir as alteraes que se podero tornar-se necessrias, medida que as atividades de auditoria progridam.
*)
O plano de auditoria dever cobrir ou referir o seguinte: a) os objetivos da auditoria; b) o mbito da auditoria, incluindo a identificao das unidades organizacionais e funcionais, bem como os processos a auditar; c) os critrios da auditoria e quaisquer documentos de referncia; d) os locais, datas, horas e duraes expectveis das atividades de auditoria a conduzir, incluindo reunies com a gesto do auditado; e) os mtodos de auditoria a utilizar, incluindo o nvel de amostragem requerido pela auditoria para obter evidncias de auditoria suficientes e o modelo do plano de amostragem, se aplicvel; f) as funes e as responsabilidades dos membros da equipa auditora, bem como dos guias e dos observadores; g) a alocao de recursos adequados s reas crticas da auditoria. O plano de auditoria poder tambm cobrir o seguinte, conforme adequado: identificao do representante do auditado para a auditoria; o idioma de trabalho e do relatrio da auditoria quando seja diferente do idioma do auditor, do auditado ou de ambos; os tpicos do relatrio de auditoria; preparativos quanto a logstica e a comunicaes, incluindo preparativos especficos para os locais a serem auditados; quaisquer medidas especficas a tomar para abordar o efeito da incerteza, no atingir dos objetivos da auditoria; questes relacionadas com a confidencialidade e segurana da informao; quaisquer aes de seguimento de uma auditoria anterior; quaisquer aes de seguimento para a auditoria planeada; coordenao com outras atividades de auditoria, no caso de ser uma auditoria conjunta. O plano poder ser revisto e aceite pelo cliente da auditoria e dever ser apresentado ao auditado. Quaisquer objees do auditado ao plano de auditoria devero ser resolvidas entre o auditor coordenador, o auditado e o cliente da auditoria. 6.3.3 Atribuio de tarefas equipa auditora O auditor coordenador, tendo consultado a equipa auditora, dever atribuir a cada membro da equipa responsabilidades para auditar processos, atividades, funes ou locais especficos. Tais atribuies devero ter em considerao a independncia e a competncia dos auditores e a utilizao eficaz dos recursos, bem como as diferentes funes e responsabilidades dos auditores, dos auditores em formao e dos peritos tcnicos. O auditor coordenador dever fazer, conforme adequado, pontos de situao com a equipa auditora para distribuir tarefas e decidir possveis alteraes. As alteraes s atribuies de tarefas podem ser efetuadas medida que a auditoria progride, de modo a assegurar a consecuo dos objetivos da auditoria.
Os documentos de trabalho, incluindo os registos decorrentes da sua utilizao, devero ser retidos pelo menos at concluso da auditoria, ou conforme especificado no plano de auditoria. A reteno de documentos aps a concluso da auditoria est descrita em 6.6. Os documentos que envolvam informao confidencial ou da propriedade da organizao, devero ser devidamente salvaguardados durante o tempo todo, pelos membros da equipa auditora. 6.4 Conduo das atividades de auditoria 6.4.1 Generalidades As atividades de auditoria so normalmente conduzidas numa sequncia definida como a da Figura 2. Esta sequncia poder ser alterada para se adaptar s circunstncias de auditorias especficas. 6.4.2 Conduo da reunio de abertura O propsito da reunio de abertura : a) confirmar o acordo de todas as partes (p. ex. auditado, equipa auditora) com o plano da auditoria; b) apresentar a equipa auditora; c) assegurar que todas as atividades de auditoria planeadas podem ser executadas. Dever ser realizada uma reunio de abertura com a gesto do auditado e, onde adequado, com os responsveis pelas funes ou processos a auditar. Durante a reunio dever ser dada a oportunidade de serem colocadas questes. O grau de detalhe dever ser consistente com a familiaridade do auditado com o processo de auditoria. Em muitas situaes, p. ex. no caso de auditorias internas numa pequena organizao, a reunio de abertura poder simplesmente, consistir em comunicar que vai ser conduzida uma auditoria e em explicar a sua natureza. Noutras situaes de auditoria, a reunio poder ser formal e devero ser mantidos registos das presenas. A reunio dever ser dirigida pelo auditor coordenador e, conforme adequado, devero ser tidos em considerao os seguintes pontos: apresentao dos participantes, incluindo observadores e guias, com uma breve descrio das respetivas funes; confirmao dos objetivos, mbito e critrios da auditoria;
A reviso poder ser combinada com outras atividades de auditoria e poder continuar ao longo de toda a auditoria, desde que isto no prejudique a eficcia da conduo da auditoria. Se no for possvel disponibilizar a documentao adequada dentro do prazo dado no plano de auditoria, o auditor coordenador dever informar a pessoa responsvel pela gesto do programa de auditorias e o auditado. Dependendo dos objetivos e mbito da auditoria, dever ser tomada uma deciso, quanto continuao ou suspenso da auditoria at que os problemas com a documentao sejam resolvidos. 6.4.4 Comunicao durante a auditoria Poder ser necessrio, no decorrer da auditoria, formalizar a comunicao dentro da equipa auditora, com o auditado, com o cliente da auditoria e, eventualmente, com organismos externos (p. ex. reguladores), especialmente quando haja requisitos legais que requeiram o relato obrigatrio de no conformidades.
A Figura 3 d uma viso global do processo, desde a recolha da informao at s concluses da auditoria.
Fonte de informao
Evidncias de auditoria
Constataes da auditoria
Reviso
Concluses de auditoria
Figura 3 Viso global do processo de recolha e verificao da informao Os mtodos de recolha de informao incluem: entrevistas; observao de atividades; reviso de documentos, incluindo registos.
NOTA 2: Orientaes sobre fontes de informao so dadas na seco B.5. NOTA 3: Orientaes sobre visita ao local do auditado so dadas na seco B.6. NOTA 4: Orientaes sobre conduo de entrevistas so dadas na seco B.7.
6.4.7 Elaborao das constataes da auditoria As evidncias de auditoria devero ser avaliadas face aos critrios da auditoria, para se chegar s constataes da auditoria. As constataes da auditoria podem indicar conformidade ou no conformidade com os critrios da auditoria. Quando especificado no plano de auditoria, as constataes de cada uma das auditorias devero incluir conformidade e boas prticas e as correspondentes evidncias de suporte, oportunidades de melhoria e eventuais recomendaes para o auditado. As no conformidades e as correspondentes evidncias de auditoria que as suportem devero ser registadas. As no conformidades podem ser classificadas. Devero ser revistas com o auditado para que reconhea a exatido das evidncias de auditoria e compreenda as no conformidades. Devero ser feitas todas as
6.4.8 Preparao das concluses da auditoria A equipa auditora dever conferenciar antes da reunio de encerramento, para: a) rever, face aos objetivos da auditoria, as constataes da auditoria e qualquer outra informao adequada recolhida durante a auditoria; b) acordar sobre as concluses da auditoria, tendo em considerao a incerteza inerente ao processo de auditoria; c) preparar recomendaes, se especificado no plano de auditoria; d) discutir o seguimento da auditoria, se aplicvel. As concluses da auditoria podem abordar questes, tais como: a extenso da conformidade com os critrios da auditoria e a robustez do sistema de gesto, incluindo a eficcia do sistema de gesto, para se atingirem os objetivos declarados; a eficaz implementao, manuteno e melhoria do sistema de gesto; a capacidade do processo de reviso pela gesto para assegurar pertinncia, adequao, eficcia e melhoria continuadas do sistema de gesto; a consecuo dos objetivos da auditoria, a cobertura do mbito da auditoria e a satisfao dos critrios da auditoria; anlise das causas na raiz das constataes, se includo no plano de auditoria; constataes semelhantes observadas em diferentes reas auditadas, para identificao de tendncias. Caso seja especificado no plano da auditoria, as concluses da auditoria podem conduzir a recomendaes de melhoria ou a futuras atividades de auditoria. 6.4.9 Conduo da reunio de encerramento Dever ser realizada uma reunio de encerramento, presidida pelo auditor coordenador, para apresentao das constataes e das concluses da auditoria. A gesto do auditado e, onde adequado, os responsveis pelas funes ou processos que tenham sido auditados, devero estar includos na lista de participantes da reunio de encerramento, que tambm, poder incluir o cliente da auditoria e outras partes. Se aplicvel, o auditor coordenador dever informar o auditado sobre situaes encontradas durante a auditoria, suscetveis de diminuir a confiana nas concluses da auditoria. Se estiver definido no sistema de gesto ou tiver sido acordado com o cliente da auditoria, os participantes devero acordar um prazo para um plano de ao, para o tratamento das constataes da auditoria. O grau de detalhe dever ser consistente com a familiaridade do auditado com o processo de auditoria. Em algumas situaes de auditoria, a reunio poder ser formal e devero ser guardadas atas, incluindo registos de presena. Noutras situaes, p. ex. auditorias internas, a reunio de encerramento poder ser menos formal e consistir apenas na comunicao das constataes e das concluses da auditoria.
Conforme adequado, na reunio de encerramento dever ser explicado ao auditado o seguinte: informar que as evidncias de auditoria recolhidas se basearam numa amostra da informao disponvel; o mtodo de elaborao do relatrio; o processo de tratamento das constataes da auditoria e as possveis consequncias; apresentao das constataes e concluses da auditoria de tal forma que sejam compreendidas e aceites pela gesto do auditado; quaisquer atividades posteriores relacionadas com a auditoria (p. ex. implementao de aes corretivas, tratamento das reclamaes da auditoria, processo de recurso). Devero ser discutidas e, se possvel, resolvidas quaisquer opinies divergentes entre a equipa auditora e o auditado, relativas s constataes ou s concluses da auditoria. Devero ser registadas as que no sejam resolvidas. Se especificado nos objetivos da auditoria, podero ser apresentadas recomendaes de melhoria. Dever ser enfatizado que as recomendaes no so vinculativas. 6.5 Preparao e distribuio do relatrio da auditoria 6.5.1 Preparao do relatrio da auditoria O auditor coordenador dever relatar os resultados da auditoria, de acordo com os procedimentos do programa de auditorias. O relatrio da auditoria dever fornecer um registo completo, exato, conciso e claro da auditoria, e dever incluir ou referir o seguinte: a) os objetivos da auditoria; b) o mbito da auditoria, nomeadamente, a identificao das unidades organizacionais e funcionais ou processos auditados; c) a identificao do cliente da auditoria; d) a identificao da equipa auditora e dos membros do auditado que participaram na auditoria; e) as datas e os locais onde foram conduzidas as atividades de auditoria; f) os critrios da auditoria; g) as constataes da auditoria e as correspondentes evidncias; h) as concluses da auditoria; i) uma declarao sobre o grau de satisfao dos critrios da auditoria. O relatrio de auditoria, conforme adequado, tambm pode incluir ou referir o seguinte: o plano da auditoria, incluindo a calendarizao; um resumo do processo de auditoria, incluindo quaisquer obstculos encontrados, suscetveis de diminuir a fiabilidade das concluses da auditoria; a confirmao da consecuo dos objetivos da auditoria no mbito da auditoria, de acordo com o plano de auditoria; quaisquer reas no mbito da auditoria que no tenham sido cobertas;
6.5.2 Distribuio do relatrio da auditoria O relatrio da auditoria dever ser emitido dentro do prazo acordado. Se tal no for possvel, as razes para o atraso devero ser comunicadas ao auditado e pessoa responsvel pela gesto do programa de auditorias. O relatrio da auditoria dever ser datado, revisto e aprovado, conforme adequado, de acordo com os procedimentos do programa de auditorias. O relatrio da auditoria dever ser ento distribudo aos destinatrios designados nos procedimentos de auditoria ou no plano de auditoria. 6.6 Encerramento da auditoria A auditoria encerrada quando tiverem sido realizadas todas as atividades de auditoria planeadas, ou conforme qualquer outro acordo com o cliente da auditoria (p. ex. se tiver ocorrido uma situao inesperada que impea o encerramento da auditoria de acordo com o plano). Os documentos relacionados com a auditoria devero ser retidos, ou destrudos conforme acordado entre as partes participantes e em conformidade com os procedimentos do programa de auditorias, ou requisitos aplicveis. A menos que seja exigido por lei, a equipa auditora e a pessoa responsvel pela gesto do programa de auditorias no devero revelar o contedo dos documentos, qualquer outra informao obtida durante a auditoria, ou o relatrio da auditoria, a uma qualquer outra parte sem a aprovao expressa do cliente da auditoria e, onde adequado, a aprovao do auditado. Se for requerida a revelao dos contedos de um documento da auditoria, o cliente da auditoria e o auditado devero ser informados logo que possvel. As lies aprendidas com a auditoria devero ser integradas no processo de melhoria contnua do sistema de gesto das organizaes, auditadas. 6.7 Conduo do seguimento da auditoria As concluses da auditoria podem, dependendo dos objetivos da auditoria, indicar a necessidade de correes ou de aes corretivas, preventivas ou de melhoria. Estas aes so geralmente decididas e empreendidas pelo auditado dentro de prazos acordados. Conforme adequado, o auditado dever informar a pessoa responsvel pela gesto do programa de auditorias e a equipa auditora sobre o estado destas aes. O encerramento e a eficcia destas aes devero ser verificados. Esta verificao poder fazer parte de uma auditoria subsequente.
7.2.3.2 Conhecimentos e saber fazer genricos para auditores de sistemas de gesto Os auditores devero ter conhecimentos e saber fazer nas reas delineadas a seguir: a) Princpios, procedimentos e mtodos de auditoria: os conhecimentos e saber fazer nesta rea, permite ao auditor aplicar a diferentes auditorias os princpios, procedimentos e mtodos adequados, e assegurar que as auditorias so conduzidas de uma forma consistente e sistemtica. Um auditor dever ser capaz de: aplicar os princpios, procedimentos e mtodos de auditoria; planear e organizar o trabalho de forma eficaz; conduzir a auditoria dentro do prazo acordado; atribuir prioridades e focalizar-se nas questes significativas; recolher informao atravs de entrevistas eficazes, escutando, observando e revendo documentos, registos e dados; compreender e ter em considerao as opinies de peritos; compreender a adequabilidade e as consequncias da utilizao de tcnicas de amostragem em auditoria; verificar a relevncia e a exatido da informao recolhida; confirmar a suficincia e a adequao das evidncias de auditoria para suportar as constataes e as concluses da auditoria; avaliar os fatores que podero influenciar a fiabilidade das constataes e das concluses da auditoria; utilizar documentos de trabalho para registar as atividades de auditoria; documentar as constataes da auditoria e preparar relatrios de auditoria adequados; manter a confidencialidade e segurana da informao, dos dados, dos documentos e dos registos; comunicar eficazmente, oralmente e por escrito (quer pessoalmente, quer por recurso a intrpretes e a tradutores); compreender os tipos de riscos associados a auditar.
b) Documentos do sistema de gesto e de referncia: os conhecimentos e saber fazer, nesta rea possibilita ao auditor a compreenso do mbito da auditoria e a aplicao dos critrios da auditoria e devero abranger: normas de sistemas de gesto e outros documentos usados como critrios da auditoria; a aplicao de normas de sistemas de gesto pelo auditado e por outras organizaes, conforme adequado; a interao entre os elementos do sistema de gesto; reconhecimento da hierarquia dos documentos de referncia; a aplicao dos documentos de referncia em diferentes situaes de auditoria.
c) Contexto organizacional: os conhecimentos e saber fazer nesta rea, possibilita ao auditor a compreenso da estrutura, do negcio e das prticas de gesto e devero abranger: tipos, governao, dimenso, estrutura, funes e relaes organizacionais;
7.2.3.4 Conhecimentos e saber fazer genricos de um auditor coordenador Os auditores coordenadores devero ter conhecimentos e saber fazer adicionais para gerir e proporcionar liderana equipa auditora, de forma a promover uma conduo da auditoria que seja eficaz e eficiente. Um auditor coordenador dever ter os conhecimentos e saber fazer necessrios para: a) equilibrar os pontos fortes e os pontos fracos de cada um dos membros da equipa auditora; b) desenvolver uma relao de trabalho harmoniosa entre os membros da equipa auditora; c) gerir o processo de auditoria, incluindo: planear a auditoria e utilizar eficazmente os recursos durante a auditoria;
Retorno de informao
Disponibilizar informao sobre a forma como o desempenho do auditor percecionado Avaliar comportamento e, competncias de comunicao pessoais, verificar a informao e testar conhecimentos e obter informao adicional Avaliar os atributos pessoais e a aptido para aplicar conhecimentos e saber fazer Avaliar os atributos pessoais, os conhecimentos e saber fazer e a sua aplicao Proporcionar informao relativa ao desempenho do auditor nas atividades de auditoria, identificando pontos fortes e pontos fracos
Entrevista
Observao
Representao, auditorias assistidas, desempenho no exerccio da funo Exames orais e escritos, testes psicomtricos Rever o relatrio de auditoria, entrevistas com o auditor coordenador e, se adequado, retorno de informao do auditado
Realizao de testes
Reviso ps-auditoria
7.5 Conduo da avaliao de um auditor A informao recolhida sobre a pessoa, dever ser comparada com os critrios estabelecidos em 7.2.3. Quando uma pessoa que se prev ir participar no programa de auditorias, no satisfaz os critrios, necessrio que obtenha mais formao, currculo profissional ou experincia em auditorias, devendo proceder-se posteriormente a uma reavaliao.
7.6 Manuteno e melhoria da competncia de um auditor Os auditores e os auditores coordenadores devero melhorar de forma continuada a sua competncia. Os auditores devero manter as suas competncias de auditoria atravs da participao regular em auditorias a sistemas de gesto e desenvolvimento profissional contnuo. O desenvolvimento profissional contnuo envolve a manuteno e a melhoria da competncia. Isto, poder ser conseguido atravs de meios como experincia profissional adicional, formao, autoformao, tutoria, presena em encontros, seminrios e conferncias ou outras atividades relevantes. A pessoa responsvel pela gesto do programa de auditoria dever estabelecer mecanismos adequados para a avaliao contnua do desempenho dos auditores e dos auditores coordenadores. As atividades de desenvolvimento profissional contnuo devero ter em considerao o seguinte: alteraes nas necessidades das pessoas e da organizao responsvel por conduzir a auditoria; a execuo na prtica de auditorias; normas relevantes e outros requisitos.
Anexo A
(informativo) Orientaes e exemplos esclarecedores de conhecimentos e saber fazer especficos de disciplinas para auditores A.1 Generalidades
Este Anexo fornece exemplos genricos de conhecimentos e saber fazer especficos de disciplinas para auditores de sistemas de gesto, que se pretende possam servir como orientaes de apoio para a pessoa responsvel pela gesto do programa de auditorias na seleo e na avaliao dos auditores. Tambm podero ser desenvolvidos outros exemplos de conhecimentos e saber fazer, especficos de disciplinas para auditores de sistemas de gesto. Sugere-se que, onde seja possvel, esses exemplos sigam a mesma estrutura bsica para assegurar a comparabilidade.
A.2 Exemplos esclarecedores de conhecimentos e saber fazer especficos na disciplina de gesto da segurana em meios de transporte para auditores
Os conhecimentos e saber fazer, relacionados com a gesto da segurana em meios de transporte e a aplicao de mtodos, tcnicas, processos e prticas de gesto da segurana em meios de transporte, devero ser suficientes para permitir ao auditor examinar o sistema de gesto e obter constataes e concluses de auditoria adequadas. Como exemplos apresentam-se os seguintes: terminologia da gesto da segurana; compreenso da abordagem a sistemas seguros; apreciao e mitigao do risco; anlise de fatores humanos relacionados com a gesto da segurana em meios de transporte; comportamento e interao humanos; interao de seres humanos, mquinas, processos e ambiente de trabalho; perigos potenciais e outros fatores do local de trabalho que afetem a segurana; mtodos e prticas para investigao de incidentes e monitorizao do desempenho da segurana; avaliao de incidentes e acidentes operacionais; desenvolvimento de medidas e mtricas proactivas e reativas do desempenho.
NOTA: Para informao adicional ver a futura ISO 39001 preparada pelo ISO/PC 241 relativa a sistemas de gesto da segurana em trfego rodovirio.
A.3 Exemplos esclarecedores de conhecimentos e saber fazer especficos na disciplina de gesto ambiental para auditores
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicao de mtodos, tcnicas, processos e prticas especficas da disciplina, devero ser suficientes para permitir ao auditor examinar o sistema de gesto e obter constataes e concluses da auditoria adequadas. Como exemplos apresentam-se os seguintes: terminologia do ambiente; mtricas e estatsticas ambientais; cincia da medio e tcnicas de monitorizao; interao de ecossistemas e biodiversidade; meios ambientais (p. ex. ar, gua, solo, fauna, flora); tcnicas de determinao do risco (p. ex. avaliao de aspetos/impactes ambientais, incluindo mtodos para avaliar a significncia); avaliao do ciclo de vida; avaliao do desempenho ambiental; preveno e controlo da poluio (p. ex. melhores tcnicas disponveis para controlo da poluio ou da eficincia energtica); prticas e processos de reduo na fonte, minimizao de resduos, reutilizao, reciclagem e tratamento; utilizao de substncias perigosas; contabilizao e gesto de gases com efeito de estufa; gesto de recursos naturais (p. ex. combustveis fsseis, gua, flora e fauna, solo); design ambiental; relato e divulgao de questes ambientais; gesto responsvel de produtos; tecnologias renovveis e de baixo teor de carbono.
NOTA: Para informao adicional ver as normas sobre gesto ambiental preparadas pelo ISO/TC 207.
A.4 Exemplos esclarecedores de conhecimentos e saber fazer especficos na disciplina de gesto da qualidade para auditores
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicao de mtodos, tcnicas, processos e prticas especficas da disciplina, devero ser suficientes para permitir ao auditor examinar o sistema de gesto e obter constataes e concluses da auditoria adequadas. Como exemplos apresentam-se os seguintes: terminologia relacionada com qualidade, gesto, organizao, processos e produtos, caractersticas, conformidade, documentao, auditoria e processos de medio; focalizao no cliente, processos relacionados com o cliente, monitorizao e medio da satisfao do cliente, tratamento de reclamaes, cdigo de conduta, resoluo de conflitos;
A.5 Exemplos esclarecedores de conhecimentos e saber fazer especficos na disciplina de gesto de registos para auditores
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicao de mtodos, tcnicas, processos e prticas especficas da disciplina, devero ser suficientes para permitir ao auditor examinar o sistema de gesto e obter constataes e concluses da auditoria adequadas. Como exemplos apresentam-se os seguintes: registos, processos de gesto de registos e terminologia de sistemas de gesto de registos; desenvolvimento de medidas e mtricas de desempenho; investigao e avaliao de prticas de registos atravs de entrevistas, observao e validao; anlise de amostras de registos criados em processos de negcio. Caractersticas chaves dos registos, sistemas de registo, processos e controlos de registos; avaliao do risco (p. ex. avaliao dos riscos resultantes de falhas na criao, manuteno e controlo de registos adequados, dos processo de negcio da organizao); o desempenho e a adequao dos processos de registo para criarem, para reterem e controlarem os registos; avaliao da adequao e do desempenho dos sistemas de registo (incluindo sistemas de negcio para criar e controlar registos), a adequao das ferramentas tecnolgicas utilizadas e as instalaes e os equipamentos estabelecidos; avaliao dos diversos nveis de competncia na gesto de registos requeridos transversalmente, numa organizao e a avaliao dessa competncia;
A.6 Exemplos esclarecedores de conhecimentos e saber fazer especficos na disciplina de gesto da resilincia, da segurana, da prontido e da continuidade para auditores
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicao de mtodos, tcnicas, processos e prticas especficas da disciplina, devero ser suficientes para permitir ao auditor examinar o sistema de gesto e obter constataes e concluses da auditoria adequadas. Como exemplos apresentam-se os seguintes: processos, cincia e tecnologia subjacentes gesto da resilincia, da segurana, da prontido, da resposta, da continuidade e da recuperao; mtodos de recolha e monitorizao do conhecimento; gesto do risco de eventos disruptivos (antecipar, evitar, prevenir, proteger, mitigar, responder e recuperar de um evento disruptivo); apreciao do risco (identificao e valorizao do patrimnio; e identificao, anlise e avaliao do risco) e anlise de impacto (relativamente a pessoas, a patrimnio fsico e intangvel, bem como sobre o ambiente); tratamento do risco (medidas adaptativas, proactivas e reativas); mtodos e prticas relativas integridade e sensibilidade da informao; mtodos de segurana pessoal e de proteo das pessoas; mtodos e prticas para a proteo do patrimnio e da segurana fsica; mtodos e prticas para a gesto da preveno, da dissuaso e da segurana; mtodos e prticas para a mitigao de incidentes, para as respostas e a gesto de crises; mtodos e prticas de gesto da continuidade, da emergncia e da recuperao; mtodos e prticas para a monitorizao, a medio e o relato do desempenho (incluindo metodologias para exerccios e testes).
NOTA: Para informao adicional ver as normas relacionadas sobre gesto da resilincia, da segurana, da prontido e da continuidade preparadas pelos ISO/TC 8, ISO/TC 223 e ISO/TC 247.
A.7 Exemplos esclarecedores de conhecimentos e saber fazer especficos na disciplina de gesto da segurana da informao para auditores
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicao de mtodos, tcnicas, processos e prticas especficas da disciplina, devero ser suficientes para permitir ao auditor examinar o sistema de gesto e obter constataes e concluses da auditoria adequadas. Como exemplos apresentam-se os seguintes: orientaes dadas em normas como sejam as ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005; identificao e avaliao dos requisitos dos clientes e das partes interessadas; as leis e os regulamentos relacionados com a segurana da informao (p. ex. propriedade intelectual; contedo, proteo e reteno dos registos da organizao; proteo e privacidade dos dados; regulamentao de controlos criptogrficos; antiterrorismo; comrcio eletrnico; assinaturas eletrnicas e digitais; vigilncia de locais de trabalho; ergonomia de locais de trabalho; interceo de telecomunicaes e monitorizao de dados (p. ex. e-mail), uso abusivo de computador, recolha de evidncia eletrnica, testes de intruso, etc.; processos, cincia e tecnologia subjacentes gesto da segurana da informao; apreciao dos riscos (identificao, anlise e avaliao) e tendncias em tecnologia, ameaas e vulnerabilidades; gesto do risco da segurana da informao; mtodos e prticas para controlo (eletrnico e fsico) da segurana da informao; mtodos e prticas para a integridade e a sensibilidade da informao; mtodos e prticas para medio e avaliao da eficcia dos sistemas de gesto da segurana da informao e controlos associados; mtodos e prticas para a medio, a monitorizao e o registo do desempenho (incluindo testes, auditorias e revises).
NOTA: Para informao adicional, ver as normas relacionadas sobre gesto da segurana da informao, preparadas pelo ISO/IEC JTC 1/SC 27.
A.8 Exemplos esclarecedores de conhecimentos e saber fazer especficos na disciplina de gesto da segurana e sade do trabalho para auditores
A.8.1 Conhecimentos e saber fazer genricos Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicao de mtodos, tcnicas, processos e prticas especficas da disciplina devero ser suficientes para permitir ao auditor examinar o sistema de gesto e obter constataes e concluses da auditoria adequadas. Como exemplos apresentam-se os seguintes: identificao de perigos, incluindo esses e outros fatores que afetem o desempenho do ser humano no local de trabalho (tais como fatores fsicos, qumicos e biolgicos, bem como gnero, idade, incapacidades e outros fatores fisiolgicos, psicolgicos ou de sade); apreciao dos riscos, determinao de controlos e comunicao dos riscos [a determinao dos controlos dever ser baseada na hierarquia dos controlos (ver OHSAS 18001:2007, 4.3.1)];
Anexo B
(informativo) Orientao adicional para os auditores quanto ao planeamento e conduo de auditorias B.1 Aplicao de mtodos de auditoria
Uma auditoria pode ser realizada utilizando um leque de mtodos de auditoria. Uma explicao quanto aos mtodos de auditoria geralmente utilizados pode ser encontrada neste Anexo. Os mtodos de auditoria escolhidos para uma auditoria dependem dos objetivos, do mbito e dos critrios definidos para a auditoria, bem como, a sua durao e localizao. A disponibilidade de competncias nos auditores e quaisquer incertezas que resultem da aplicao dos mtodos de auditoria devero ser tambm tidos em considerao. A aplicao de uma variedade e uma combinao de diferentes mtodos de auditoria pode otimizar a eficcia e a eficincia do processo de auditoria e os seus resultados. O desempenho de uma auditoria envolve uma interao de pessoas com o sistema de gesto a ser auditado e a tecnologia utilizada para conduzir a auditoria. O Quadro B.1 fornece exemplos de mtodos de auditoria que podem ser utilizados, isoladamente ou em combinao, tendo em vista a consecuo dos objetivos propostos para a auditoria. Se uma auditoria envolve uma equipa auditora com vrios membros, podero ser utilizados simultaneamente tanto mtodos presenciais (on-site) como remotos.
NOTA: Informao adicional sobre visitas presenciais (on-site) dada na seco B.6.
Quadro B.1 Mtodos de auditoria aplicveis Extenso do envolvimento entre o auditor e o auditado Interao humana Localizao do auditor Presencial (on-site) Conduzir entrevistas Completar listas de verificao e questionrios com a participao do auditado. Conduzir revises documentao com a participao do auditado. Amostragem. Conduzir revises documentao (p. ex. registos, anlises de dados) Observao do trabalho realizado. Conduzir a visita ao local. Completar listas de verificao Amostragens (p. ex. produtos). Remota Atravs de meios de comunicao interativos: conduzir entrevistas completar listas de verificao e questionrios conduzir revises documentao com a participao do auditado Conduzir revises documentao (p. ex. registos, anlises de dados). Observar o trabalho realizado atravs de meios de vigilncia, tendo em considerao exigncias sociais e legais. Analisar dados.
As atividades de auditoria presenciais (on-site) so realizadas nas instalaes do auditado. Atividades de auditoria remotas so realizadas em qualquer local diferente das instalaes do auditado, independentemente da distncia. As atividades de auditoria interativas envolvem a interao entre o pessoal do auditado e a equipa auditora. Atividades no interativas no envolvem interao humana com pessoas em representao do auditado, mas envolvem interao com equipamento, instalaes e documentao.
A responsabilidade pela aplicao eficaz de mtodos de auditoria para qualquer auditoria na fase de planeamento, pertence pessoa responsvel pela gesto do programa de auditorias ou ao auditor coordenador. O auditor coordenador tem esta responsabilidade pelo facto de conduzir as atividades de auditoria. A exequibilidade de atividades de auditoria remota pode depender do nvel de confiana entre o auditor e os colaboradores do auditado. Ao nvel do programa de auditorias, dever ser assegurado que a utilizao de mtodos de auditoria remotos ou presenciais adequada e equilibrada, tendo em vista assegurar a consecuo satisfatria dos objetivos do programa de auditorias.
B.3 Amostragem
B.3.1 Generalidades Procede-se amostragem em auditoria, quando no for possvel ou eficaz do ponto de vista de custos, examinar toda a informao disponvel no decorrer da auditoria, p. ex. os registos so muito numerosos ou esto geograficamente muito dispersos para justificar proceder ao exame de cada item na populao. A amostragem de uma grande populao em auditoria o processo de selecionar menos de 100 % dos itens, dentro da totalidade de dados disponveis (populao) para obter e avaliar a evidncia relativa a algumas caractersticas dessa populao, tendo em vista formular uma concluso quanto a essa populao. O objetivo da amostragem de auditoria fornecer a informao, para que o auditor tenha confiana em que os objetivos da auditoria podem ser atingidos. O risco associado amostragem que as amostras podero no ser significativas da populao de onde so selecionadas e, assim, a concluso do auditor poder ser tendenciosa e diferir da que se obteria se fosse examinada toda a populao. Poder haver outros riscos, dependendo da variabilidade dentro da populao a ser examinada e do mtodo escolhido.
Bibliografia
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] ISO 2859-4 ISO 9000:2005 ISO 9001 ISO 14001 ISO 14050 ISO/IEC 17021:2011 ISO/IEC 20000-1 ISO 22000 ISO/IEC 27000 ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27003 ISO/IEC 27004 ISO/IEC 27005 ISO 28000 ISO 303011) ISO 31000 ISO 39001 ISO 50001 ISO Guide 73:2009 OHSAS 18001:2007 ISO 9001 ISO 19011
2)
Sampling procedures for inspection by attributes Part 4: Procedures for assessment of declared quality levels Quality management systems Fundamentals and vocabulary Quality management systems Requirements Environmental management systems Requirements with guidance for use Environmental management Vocabulary Conformity assessment Requirements for bodies providing audit and certification of management systems Information technology Service management Part 1: Service management system requirements Food safety management systems Requirements for any organization in the food chain Information technology Security techniques Information security management systems Overview and vocabulary Information technology Security techniques Information security management systems Requirements Information technology Security techniques Code of practice for information security management Information technology Security techniques Information security management system implementation guidance Information technology Security techniques Information security management Measurement Information technology Security techniques Information security risk management Specification for security management systems for the supply chain Information and documentation Management system for records Requirements Risk management Principles and guidelines Road traffic safety (RTS) management systems Requirements with guidance for use Energy management systems Requirements with guidance for use Risk management Vocabulary Occupational health and safety management systems Requirements Auditing Practices Group papers available at: www.iso.org/tc176/ISO9001AuditingPractices Group Additional guidelines2) available at: www.iso.org/19011auditing
1) 2)
A publicar. Em preparao.