Você está na página 1de 56

NORMA Nº REV.


DOCUMENTOS MANDATÓRIOS DO IAF PARA A APLICAÇÃO NIT-DICOR-054 09
DA ABNT NBR ISO/IEC 17021-1
APROVADA EM PÁGINA
NOV/2017 01/56

SUMÁRIO

1 Objetivo
2 Campo de Aplicação
3 Responsabilidade
4 Histórico das Revisões
5 Documentos Complementares
6 Siglas
7 Documentos Mandatórios do IAF para Aplicação da ABNT NBR ISO/IEC 17021-1
Anexo A – Documento Mandatório do IAF para a Certificação de Multisites baseada em
amostragem (IAF MD 1:2007)
Anexo B – Documento Mandatório do IAF para a Transferência da Certificação Acreditada
de Sistemas de Gestão (IAF MD 2:2017)
Anexo C – Documento Mandatório do IAF para Procedimentos Avançados de Supervisão e
Recertificação (PASR) (IAF MD 3:2008)
Anexo D – Documento Mandatório do IAF para o uso de Técnicas de Auditoria Apoiadas
por Computador (TAAC) para Certificação Acreditada de Sistemas de Gestão
(IAF MD 4:2008)
Anexo E – Documento Mandatório do IAF para Determinação do Tempo de Auditoria de
SGQ e SGA (IAF MD 5:2015)
Anexo F – Documento Mandatório do IAF para Avaliação do Organismo de Certificação
para Gestão da Competência em Conformidade com a ISO/IEC 17021:2011 (IAF
MD 10:2013)
Anexo G – Documento Mandatório do IAF para a aplicação da ISO/IEC 17021 em auditorias
de sistemas de gestão integrados (IAF MD 11:2013)
Anexo H – Documento Mandatório do IAF para a aplicação da ISO/IEC 17021 no setor de
Gestão de Serviços (ISO/IEC 20000-1) - (IAF MD 18:2015)
Anexo I – Documento Mandatório do IAF para a Auditoria e Certificação de um Sistema de
Gestão operado por uma organização multi-site (quando a amostragem do site
não é aplicável) – (IAF MD 19:2016)

1 OBJETIVO

Este documento apresenta a tradução livre dos seguintes documentos mandatórios do IAF, para a
consistente aplicação do ABNT NBR ISO/IEC 17021-1:

IAF MD 1:2007 IAF Mandatory Document for the Certification of Multiple Sites Based on Sampling;
IAF MD 2:2017 IAF Mandatory Document for the Transfer of Accredited Certification of
Management Systems;
IAF MD 3:2008 IAF Mandatory Document for Advanced Surveillance and Recertification
Procedures;
IAF MD 4:2008 IAF Mandatory Document for the use of Computer Assisted Auditing Techniques
(“CAAT”) for Accredited Certification of Management Systems;
IAF MD 5:2015 IAF Mandatory Document for Determination of Audit Time of Quality and
Environmental Management Systems;
IAF MD 10:2013 IAF Mandatory Document for Assessment of Certification Body Management of
Competence in Accordance with ISO/IEC 17021:2011;
IAF-MD 11:2013 IAF Mandatory Document for the Application of ISO/IEC 17021 for Audits of
Integrated Management Systems;
IAF-MD 18:2015 IAF Mandatory Document for the Application of ISO/IEC 17021:2011 in the Service
Management Sector (ISO/IEC 20000-1);
REV. PÁGINA
NIT-DICOR-054
09 2/56

IAF-MD 19:2016 IAF Mandatory Document for the Audit and Certification of a Management System
operated by a Multi-Site Organization (where application of site sampling is not
appropriate)

2 CAMPO DE APLICAÇÃO
Esta norma aplica-se à Dicor.

3 RESPONSABILIDADE
A responsabilidade pela revisão desta norma é da Dicor

4 HISTÓRICO DAS REVISÕES

Revisão Data Itens revisados


8 SET/2017 - Alteração do Objetivo;
- Inclusão Anexo I;
- Exclusão do Quadro de Aprovação
9 NOV/2017 - Alteração do Anexo B

5 DOCUMENTOS COMPLEMENTARES

ABNT NBR ISO/IEC 17020 Avaliação da conformidade — Requisitos para o funcionamento de


diferentes tipos de organismos que executam inspeção
ABNT NBR ISO/IEC 17021 Avaliação da conformidade – Requisitos para organismos que
fornecem auditoria e certificação de sistemas de gestão
ABNT NBR ISO/IEC 17021-1 Avaliação de conformidade — Requisitos para organismos que
fornecem auditoria e certificação de sistemas de gestão
ISO/IEC TS 17022 Conformity assessment -- Requirements and recommendations for
content of a third-party audit report on management systems
ISO/IEC 17024 Avaliação da conformidade — Requisitos gerais para organismos
que certificam pessoas
ISO/IEC 17065 Avaliação da conformidade — Requisitos para organismos de
certificação de produtos, processos e serviços
ABNT NBR ISO 9001 Sistemas de Gestão da Qualidade - Requisitos
ABNT NBR ISO 14001 Sistemas de Gestão Ambiental - Especificação e Diretrizes para uso
ABNT NBR ISO 19011 Diretrizes para auditorias de Sistema de Gestão da Qualidade e/ou
Ambiental

Nota: As normas referenciadas são utilizadas nas suas últimas revisões, conforme disponível no site
da ABNT (www.abnt.org.br).

IAF MD 1:2007 IAF Mandatory Document for the Certification of Multiple Sites Based
on Sampling
IAF MD 2:2017 IAF Mandatory Document for the Transfer of Accredited Certification
of Management Systems;
IAF MD 3:2008 IAF Mandatory Document for Advanced Surveillance and
Recertification Procedures;
REV. PÁGINA
NIT-DICOR-054
09 3/56

IAF MD 4:2008 IAF Mandatory Document for the use of Computer Assisted Auditing
Techniques (“CAAT”) for Accredited Certification of Management
Systems;
IAF MD 5:2015 IAF Mandatory Document for Determination of Audit Time of Quality
and Environmental Management Systems;
IAF MD 10:2013 IAF Mandatory Document for Assessment of Certification Body
Management of Competence in Accordance with ISO/IEC
17021:2011;
IAF-MD 11:2013 IAF Mandatory Document for the Application of ISO/IEC 17021 for
Audits of Integrated Management Systems
IAF-MD 18:2015 IAF Mandatory Document for the Application of ISO/IEC 17021:2011
in the Service Management Sector (ISO/IEC 20000-1)
IAF-MD 19:2016 IAF Mandatory Document for the Audit and Certification of a
Management System operated by a Multi-Site Organization (where
application of site sampling is not appropriate)

6 SIGLAS

ABNT Associação Brasileira de Normas Técnicas


Dicor Divisão de Acreditação de Organismos de Certificação
IAF MD Documento Mandatório do IAF
IAF International Accreditation Forum
IEC International Electrotechnical Commission
ISO International Organization for Standardization
MD Mandatory Document
MLA Acordo de Reconhecimento Multilateral
NBR Norma Brasileira
NIT Norma Inmetro Técnica
OA Organismo de Acreditação
OAC Organismo de Avaliação da Conformidade
OC Organismo de Certificação
PASR Procedimentos Avançados de Supervisão e Reavaliação
SGA Sistema de Gestão Ambiental
SGQ Sistema de Gestão da Qualidade
SGSTI Sistema de Gestão de Serviços de Tecnologia da Informação
SIG Sistema Integrado de Gestão
SLA Acordo de Níveis de Serviço
TAAC Técnicas de Auditoria Apoiadas por Computador

7 DOCUMENTOS MANDATÓRIOS DO IAF PARA APLICAÇÃO DA ABNT NBR ISO/IEC 17021-1

A tradução livre dos documentos IAF MD 1:2007, IAF MD 2:2007, IAF MD 3:2008; IAF MD 4:2008;
IAF MD 5:2015; IAF MD 10:2013, IAF MD 11:2013, IAF MD 18:2015 e IAF-MD 19:2016 estão
apresentadas nos Anexos a esta norma.

O International Accreditation Forum, Inc. (IAF) opera programas para a acreditação de organismos
que fornecem serviços de avaliação da conformidade. Tais acreditações facilitam o comércio e
reduzem a demanda para certificação múltipla.

A acreditação reduz o risco para os negócios e seus clientes ao assegurar a eles que os Organismos
de Avaliação da Conformidade (OACs) acreditados são competentes para realizarem o trabalho que
eles desempenham dentro do seu escopo de acreditação. Exige-se que os Organismos de
REV. PÁGINA
NIT-DICOR-054
09 4/56

Acreditação (OAs), membros do IAF, e seus OACs acreditados atendam às normas internacionais
apropriadas e aos documentos mandatórios do IAF para a consistente aplicação dessas normas.

Os membros do Acordo de Reconhecimento Multilateral (MLA) do IAF conduzem avaliações


regulares entre si para assegurar a equivalência de seus programas de acreditação. Os MLAs do IAF
operam em dois níveis:

 Um MLA para a acreditação de OACs para normas, incluindo a ISO/IEC 17020 para organismos
de inspeção, a ISO/IEC 17021-1 para organismos de certificação de sistemas de gestão, a
ISO/IEC 17024 para organismos de certificação de pessoas e a ISO/IEC 17065 para organismos
de certificação de produtos, é considerado uma estrutura para o MLA. Uma estrutura para o MLA
fornece confiança que OACs acreditados são igualmente dignos de confiança no desempenho
das atividades de avaliação da conformidade.
 Um MLA para a acreditação de OACs que também inclui a norma de avaliação da conformidade
específica ou esquema, como o escopo da acreditação, fornece confiança na equivalência da
certificação.
Um MLA do IAF fornece a confiança necessária para a aceitação da certificação pelo mercado. Uma
organização ou pessoa com certificação para uma norma específica ou esquema que é acreditado
por um OA signatário do MLA do IAF pode ser reconhecido mundialmente facilitando
consequentemente o comércio internacional.

Introdução aos Documentos Mandatórios do IAF


O termo "convém" é usado neste documento para indicar meios reconhecidos de atender aos
requisitos da norma. O Organismo de Avaliação da Conformidade (OAC) pode atendê-los de forma
equivalente, contanto que possa demonstrá-los ao Organismo de Acreditação (OA). O termo "deve" é
usado neste documento para indicar aquelas disposições que, refletindo os requisitos da norma
pertinente, são mandatórias.

_______________________

/ANEXOS
REV. PÁGINA
NIT-DICOR-054
09 5/56

ANEXO A - DOCUMENTO MANDATÓRIO DO IAF PARA A CERTIFICAÇÃO DE MULTISITES


BASEADA EM AMOSTRAGEM (IAF MD 1:2007)

Este documento é mandatório para a consistente aplicação da cláusula 9.1.5 da ABNT NBR ISO/IEC
17021 e é baseado na diretriz previamente fornecida no Anexo 3 do IAF GD2:2005 e IAF GD6:2003
cláusula G.5.3.5 - G.5.3.13. Todas as cláusulas da ABNT NBR ISO/IEC 17021:2007 continuam a ser
aplicadas e este documento não substitui qualquer dos requisitos daquela norma. Este documento
mandatório não é exclusivamente para Sistemas de Gestão da Qualidade (SGQ) e Sistemas de
Gestão Ambiental (SGA) e pode ser utilizado para outros sistemas de gestão. Contudo normas
pertinentes podem fornecer requisitos específicos para multisites ou impedir o uso de amostragem
(ex. ISO/IEC 27006, ISO/TS 22003).

0. INTRODUÇÃO

0.1 Este documento é para a auditoria e, se apropriado, a certificação de sistemas de gestão em


organizações com uma rede de sites para assegurar que a auditoria proporciona confiança adequada
na conformidade do sistema de gestão para a norma apropriada através de todos os sites listados e
que a auditoria é eficaz e viável em termos econômicos e operacionais.

0.2 Normalmente, convém que a auditoria inicial para certificação e subsequentes auditorias de
supervisão e recertificação ocorram em todo site da organização que deve ser coberto pela
certificação. Entretanto, quando a atividade de uma organização sujeita à certificação for realizada de
forma similar em sites diferentes, estando todos sujeitos ao controle e autoridade da organização, um
organismo de certificação poderá utilizar procedimentos apropriados para amostragem dos sites na
auditoria inicial e subsequentes auditorias de supervisão e recertificação. Este documento refere-se
às condições sob as quais a certificação multisite é aceita para organismos de certificação
acreditados incluindo o cálculo do tamanho da amostra e duração da auditoria.

0.3 Este documento não se aplica a auditorias de organizações que tenham multisites onde
fundamentalmente dissimilares processos ou atividades são usados nos sites diferentes, ou numa
combinação de sites, embora eles possam estar sob o mesmo sistema de gestão. As condições sob
as quais os organismos de certificação podem fazer qualquer redução na auditoria completa normal
de todos os sites, nestas circunstâncias, têm que ser justificadas em cada site onde a redução é
proposta.

0.4 Este documento é aplicável a organismos de certificação acreditados que empregam


amostragem em suas auditoria e certificação de organizações multisites. Não obstante, um
organismo de certificação acreditado poderá divergir excepcionalmente deste documento desde que
seja capaz de apresentar justificativas pertinentes. Estas justificativas devem, sob avaliação pelo
organismo de acreditação, demonstrar que o mesmo nível de confiança na conformidade do sistema
de gestão, através de todos os sites listados, pode ser obtida.

0.5 Quando uma organização é considerada uma candidata para certificação com base na
amostragem, o organismo de certificação deve ter arranjos para explicar a aplicação deste
documento para a organização antes do início da auditoria.

1. DEFINIÇÕES

1.1. Organização

O termo organização é usado para designar qualquer empresa ou outra organização que possua um
sistema de gestão sujeito à auditoria e certificação.
REV. PÁGINA
NIT-DICOR-054
09 6/56

1.2. Site

Um site é uma locação permanente onde uma organização realiza trabalho ou serviço.

1.3. Site Temporário

Um site temporário é aquele estabelecido por uma organização para desempenhar trabalho
específico ou serviço por um período de tempo finito e que não se tornará um site permanente (p. ex.
site de construção).

1.4. Sites Adicionais

Um novo site ou grupo de sites que serão adicionados a uma rede multisite certificada existente.

1.5. Organização Multisite

Uma organização multisite é definida como uma organização que tenha uma função central
identificada (daqui por diante designada como escritório central - mas não necessariamente a sede
da organização), onde determinadas atividades são planejadas, controladas ou gerenciadas, e uma
rede de escritórios locais ou filiais (sites), onde tais atividades são executadas completa ou
parcialmente.

2. APLICAÇÃO

2.1 Site

2.1.1 Um site pode incluir todos os terrenos nos quais atividades sob o controle de uma organização
numa dada locação são realizadas incluindo qualquer armazenamento conectado ou associado de
matéria-prima, subprodutos, produtos intermediários, produtos finais e resíduos, e qualquer
equipamento ou infraestrutura envolvidos nas atividades, fixos ou não. Alternativamente, quando
requerido por lei, definições estabelecidas por regimes de licenciamento nacional ou local devem ser
aplicados.

2.1.2 Quando não é viável definir a locação (p. ex. para serviços), convém que a cobertura da
certificação leve em conta as atividades da sede da organização, bem como a entrega dos seus
serviços. Quando pertinente, o organismo de certificação pode decidir que a auditoria de certificação
seja conduzida somente onde a organização entrega seus serviços. Em tais casos, todas as
interfaces com seu escritório central devem ser identificadas e auditadas.

2.2 Site Temporário

2.2.1 Sites temporários que estão cobertos pelo sistema de gestão da organização podem estar
sujeitos à auditoria com base amostral para fornecer evidência da operação e eficácia do sistema de
gestão. Eles podem, contudo, ser incluídos dentro do escopo de uma certificação multisite, sujeita a
acordo entre o organismo de certificação e a organização cliente. Quando incluído no escopo, tais
sites devem ser identificados como temporários.

2.3 Organização Multisite

2.3.1 A organização multisite não precisa ser uma entidade legal única, porém todos os sites devem
ter um vínculo legal ou contratual com o escritório central da organização e devem estar sujeitos a
um sistema de gestão comum, o qual é formulado, estabelecido e sujeito à supervisão contínua e
auditorias internas pelo escritório central. Isto significa que o escritório central tem direito de requerer
REV. PÁGINA
NIT-DICOR-054
09 7/56

que os sites implementem ações corretivas, quando necessárias, em qualquer site. Quando for
aplicável, convém que esta condição seja estabelecida no contrato formal entre o escritório central e
os sites.

Exemplos de possíveis organizações multisite:


 Organizações que operam com franquia
 Empresas de fabricação com uma rede de escritórios de vendas (este documento aplicar-se-ia à
rede de vendas)
 Empresas de serviço com sites múltiplos oferecendo um serviço similar
 Empresas com várias filiais

3. CRITÉRIOS DE ELEGIBILIDADE PARA A ORGANIZAÇÃO

3.0.1 Os processos de todos os sites têm que ser essencialmente do mesmo tipo e têm de ser
operados por métodos e procedimentos similares. Quando alguns dos sites sob consideração
conduzem processos similares, mas em menor número que os demais processos, eles podem ser
elegíveis para inclusão na certificação multisite, desde que os sites que conduzem a maior parte dos
processos ou processos críticos sejam sujeitos à auditoria completa.

3.0.2 Organizações que conduzem seus negócios através de processos vinculados em locações
diferentes são também elegíveis para amostragem, desde que sejam atendidas todas as outras
cláusulas deste documento. Quando os processos em cada locação não são similares, mas são
claramente vinculados, o plano de amostragem deve incluir no mínimo um exemplo de cada
processo conduzido pela organização (p.ex. fabricação de componentes eletrônicos em uma
locação, montagem dos mesmos componentes – pela mesma empresa em muitas outras locações).

3.0.3 O sistema de gestão da organização deve estar sob uma plano controlado e administrado
centralmente e estar sujeito à análise crítica da administração central. Todos os sites pertinentes
(inclusive a função de administração central) devem estar sujeitos ao programa de auditoria interna
da organização e todos devem ter sido auditados de acordo com esse programa, antes do organismo
de certificação iniciar sua auditoria.

3.0.4 Deve ser demonstrado que o escritório central da organização estabeleceu um sistema de
gestão de acordo com a norma de sistema de gestão pertinente sob auditoria e que toda a
organização atende aos requisitos da norma. Deve-se incluir a análise dos regulamentos pertinentes.

3.0.5 Convém que a organização demonstre sua capacidade para coleta e análise de dados
(inclusive, mas não limitado aos itens listados a seguir) de todos os sites, inclusive do escritório
central, e sua autoridade e capacidade para iniciar alteração organizacional, se necessário:
 Documentação do sistema e mudanças do sistema;
 Análise crítica pela administração;
 Reclamações;
 Avaliação de ações corretivas;
 Planejamento de auditoria interna e avaliação do resultado;
 Mudanças nos aspectos e impactos associados para sistemas de gestão ambiental
(SGA) e
 Requisitos legais diferentes.

3.0.6 Nem todas as organizações que se encaixam na definição de “organização multisite” serão
elegíveis para amostragem.
REV. PÁGINA
NIT-DICOR-054
09 8/56

3.0.7 Nem todas as normas de sistemas de gestão são adequadas na consideração para certificação
multisite. Por exemplo, amostragem multisite poderia não ser adequada quando a auditoria de
fatores locais variáveis é um requisito da norma. Regras específicas aplicam-se, também, para
alguns esquemas, por exemplo, aqueles que incluem séries automotiva (TS 16949) e aeroespacial
(AS 9100), e os requisitos de tais esquemas devem ter prioridade.

3.0.8 Convém que os organismos de certificação tenham procedimentos documentados para


restringir tal amostragem quando a amostragem de site não for apropriada para obter confiança
suficiente na eficácia do sistema de gestão sob auditoria. Convém que tais restrições sejam definidas
pelo organismo de certificação com relação a:

 Setores ou atividades do escopo (isto é, baseado na avaliação de riscos ou de complexidade


associados com esse setor ou atividade);
 Tamanho dos sites elegíveis para auditoria multisite;
 Variações na implementação local do sistema de gestão, tal como a necessidade de recursos
frequentes para utilização de planos, dentro do sistema de gestão, para abordar diferentes
atividades ou diferentes sistemas contratuais ou reguladores;
 Uso de sites temporários que operam de acordo com o sistema de gestão da organização, e os
quais não serão incluídos dentro do escopo da certificação.

4. CRITÉRIOS DE ELEGIBILIDADE PARA O ORGANISMO DE CERTIFICAÇÃO

4.0.1 O organismo de certificação deve fornecer informações para a organização sobre a aplicação
deste documento e as normas pertinentes de sistema de gestão, antes de começar o processo de
auditoria, e convém não prosseguir se quaisquer das provisões não forem atendidas. Antes de
começar o processo de auditoria, convém que o organismo de certificação informe à organização
que o certificado não será emitido se durante a auditoria inicial forem detectadas não conformidades.

4.1. Análise Crítica de Contrato

4.1.1 Convém que os procedimentos do organismo de certificação assegurem que a análise crítica
inicial de contrato identifica a complexidade e escala das atividades cobertas pelo sistema de gestão,
sujeitas à certificação, bem como quaisquer diferenças entre os sites como base para a
determinação do nível de amostragem.

4.1.2 O organismo de certificação deve identificar a função central da organização que tem contrato
legal e vigente para o fornecimento das atividades de certificação.

4.1.3 O organismo de certificação deve verificar, em cada caso individual, em que extensão os sites
de uma organização operam substancialmente o mesmo tipo de processos, de acordo com os
mesmos procedimentos e métodos. Veja a cláusula 3.0.1 para sites que conduzem processos
similares, mas em menor número que os demais processos, e a cláusula 3.0.2 para sites envolvendo
processos conectados. Somente após uma verificação completa, que confirme, pelo organismo de
certificação, de que todos os sites propostos para inclusão no multisite atendem às provisões de
elegibilidade, é que os procedimentos de amostragem poderão ser aplicados a cada site
individualmente.

4.1.4 Se nem todos os sites de uma organização de serviço, onde a atividade sujeita à certificação
estiver sendo realizada, estiverem prontos para serem submetidos à certificação ao mesmo tempo, o
organismo de certificação deve solicitar à organização que informe, com antecedência, quais os sites
que ela quer incluir no certificado e aqueles que serão excluídos.
REV. PÁGINA
NIT-DICOR-054
09 9/56

4.2 Auditoria

4.2.1 O organismo de certificação deve ter procedimentos documentados para lidar com as auditorias
sob seu procedimento multisite. Tais procedimentos devem estabelecer o modo que o organismo de
certificação se convence de que o mesmo sistema de gestão controla as atividades em todos os sites
e que os critérios de elegibilidade para a organização na cláusula 3 anterior são atendidos. Este
requisito também é aplicável a um sistema de gestão onde são usados documentos eletrônicos,
controle de processo ou outros processos eletrônicos. O organismo de certificação deve justificar e
registrar as razões para prosseguir com a abordagem multisite.

4.2.2 Se mais de uma equipe auditora estiver envolvida na auditoria ou supervisão da rede, convém
que o organismo de certificação designe um único auditor líder cuja responsabilidade seja a de
consolidar as constatações de todas as equipes auditoras e produzir um relatório de síntese.

4.3 Não Conformidades

4.3.1 Quando não conformidades, conforme definido na cláusula 9.1.15 da ABNT NBR ISO/IEC
17021, forem encontradas em qualquer site individual, seja por meio de auditoria interna da
organização ou de auditoria pelo organismo de certificação, convém realizar uma investigação para
determinar se os outros sites podem ser afetados. Portanto, convém que o organismo de certificação
requeira que a organização analise criticamente as não conformidades para determinar se elas
indicam uma deficiência geral do sistema aplicável ou não a todos os sites. Em caso positivo,
convém que ação corretiva seja realizada e verificada tanto no escritório central como nos sites
individuais afetados. Em caso negativo, convém que a organização seja capaz de demonstrar ao
organismo de certificação a justificativa para limitar seu acompanhamento da ação corretiva.

4.3.2 O organismo de certificação deve requerer a evidência dessas ações e deve aumentar sua
frequência de amostragem e/ou o tamanho da amostra até estar convencido de que o controle foi
restabelecido.

4.3.3 Durante o processo de tomada de decisão, se qualquer site tiver uma não conformidade,
conforme definido na cláusula 9.1.15 (b) da ABNT NBR ISO/IEC 17021, a certificação deve ser
negada a toda rede de sites listada, pendente de ação corretiva satisfatória.

4.3.4 Não deve ser admissível que, para superar o obstáculo levantado pela existência de uma não
conformidade em um único site, a organização procure excluir do escopo o site "problemático”
durante o processo de certificação. Tal exclusão pode somente ser acordada com antecedência
(Veja cláusula 4.1.4).

4.4 Documentos de Certificação

4.4.1 Documentos de certificação podem ser emitidos, cobrindo múltiplos sites desde que cada site
incluído no escopo da certificação tenha sido auditado individualmente pelo organismo de
certificação ou auditado utilizando-se abordagem de amostragem definida neste documento.

4.4.2 O organismo de certificação deve fornecer documentos de certificação aos clientes certificados
por qualquer meio a sua escolha. Tais documentos de certificação devem atender em todos os
aspectos à ABNT NBR ISO/IEC 17021.

4.4.3 Estes documentos devem conter o nome e endereço do escritório central da organização e
uma lista de todos os sites os quais os documentos de certificação se relacionam. O escopo ou outra
referência nestes documentos deve tornar claro que as atividades certificadas são realizadas pela
rede de sites da lista. Se o escopo de certificação dos sites só for emitido como parte do escopo
geral da organização, sua aplicabilidade a todos os sites deve ser claramente estabelecida. Quando
REV. PÁGINA
NIT-DICOR-054
09 10/56

sites temporários são incluídos no escopo, tais sites devem ser identificados como temporários nos
documentos de certificação.

4.4.4 Documentos de certificação poderão ser emitidos para a organização para cada site coberto
pela certificação com a condição de que estes contenham o mesmo escopo ou um subescopo
daquele escopo, e que inclua uma referência clara aos documentos de certificação principais.

4.4.5 A documentação da certificação será totalmente cancelada, se o escritório central ou quaisquer


dos sites não atenderem às provisões necessárias para a manutenção da certificação.

4.4.6 A lista de sites deve ser mantida atualizada pelo organismo de certificação. Para esse fim, o
organismo de certificação deve solicitar à organização que informe sobre o fechamento de qualquer
dos sites cobertos pela certificação. A falha no fornecimento dessas informações será considerada
pelo organismo de certificação como mau uso da certificação, e convém que o organismo aja
consequentemente de acordo com os seus procedimentos.

4.4.7 Sites adicionais podem ser adicionados a uma certificação existente como resultado das
atividades de supervisão ou recertificação ou aumento de escopo. O organismo de certificação deve
ter procedimentos documentados para a adição de novos sites.

5 AMOSTRAGEM

5.1 Metodologia

5.1.1 Convém que a amostra seja parcialmente seletiva, com base nos fatores estabelecidos abaixo
e parcialmente não seletiva, e que resulte na seleção de uma gama de diferentes sites, sem excluir o
elemento aleatório de amostragem.

5.1.2 Convém que pelo menos 25% da amostra seja selecionada aleatoriamente.

5.1.3 Levando em consideração os critérios mencionados a seguir, convém que o restante seja
escolhido de forma que as diferenças entre os sites selecionados, no período de validade do
certificado, sejam as maiores possíveis.

5.1.4 Os critérios de seleção do site poderão incluir entre outros os seguintes aspectos:
 Resultados de auditorias internas de site e análises críticas ou certificação prévia;
 Registros de reclamações e outros aspectos pertinentes de ação corretiva e preventiva;
 Variações significativas no tamanho dos sites;
 Variações nas mudanças de tendência e procedimentos de trabalho;
 Complexidade do sistema de gestão e processos conduzidos nos sites;
 Modificações desde a última auditoria de certificação;
 Maturidade do sistema de gestão e conhecimento da organização;
 Questões ambientais e extensão dos aspectos e impactos associados para sistemas de gestão
ambiental (SGA);
 Diferenças de cultura, idioma e requisitos regulatórios; e
 Dispersão geográfica.

5.1.5 Não é obrigatório que esta seleção seja feita no início do processo de auditoria. Ela também
pode ser feita quando a auditoria no escritório central tiver sido concluída. Em qualquer caso, o
escritório central deve ser informado sobre os sites a serem incluídos na amostra. O envio destas
informações pode ser feito com pouca antecedência, mas convém que permita tempo adequado para
a preparação para a auditoria.
REV. PÁGINA
NIT-DICOR-054
09 11/56

5.2 Tamanho da Amostra

5.2.1 O organismo de certificação deve ter um procedimento documentado para determinação da


amostra a ser tomada ao auditar sites como parte das auditorias e certificação de uma organização
multisite. Convém que este procedimento leve em consideração todos os fatores descritos neste
documento.

5.2.2 O organismo de certificação deve ter registros sobre cada solicitação de amostragem multisite
justificando que ele está operando de acordo com este documento.

5.2.3 O cálculo a seguir é um exemplo baseado no exemplo de uma atividade de pequeno a médio
risco com menos de 50 empregados em cada site. O número mínimo de sites a serem visitados por
auditoria é de:

 Auditoria inicial: convém que o tamanho da amostra seja a raiz quadrada do número de sites
remotos: (y=x), arredondado ao número inteiro superior.
 Auditoria de supervisão: convém que o tamanho da amostra anual seja a raiz quadrada do
número de sites remotos com 0,6 como um coeficiente (y=0,6 x), arredondado ao número inteiro
superior.
 Auditoria de Recertificação: convém que o tamanho da amostra seja o mesmo de uma
auditoria inicial. Não obstante, quando o sistema de gestão demonstrar ser eficaz num período de
três anos, o tamanho da amostra poderá ser reduzido por um fator de 0,8, isto é: (y=0,8 x),
arredondado ao número inteiro superior.

5.2.4 Convém que o organismo de certificação defina dentro do seu sistema de gestão os níveis de
risco das atividades, como aplicado acima.

5.2.5 O escritório central também deve ser auditado durante cada auditoria inicial de certificação e no
mínimo anualmente como parte da supervisão.

5.2.6 Convém que o tamanho ou a frequência da amostra seja aumentado quando a análise de risco
do organismo de certificação da atividade coberta pelo sistema de gestão, sujeito à certificação,
indicar circunstâncias especiais em relação a fatores tais como:

 O tamanho dos sites e número de empregados (p.ex. mais de 50 empregados num site);
 A complexidade do nível de risco da atividade e do sistema de gestão;
 Variações nas práticas de trabalho (p.ex. trabalho em turno);
 Variações nas atividades empreendidas;
 Significância e extensão dos aspectos e impactos associados para sistemas de gestão ambiental
(SGA);
 Registros de reclamações e outros aspectos pertinentes de ação corretiva e preventiva;
 Quaisquer aspectos multinacionais;
 Resultados de auditorias internas e análise crítica.

5.2.7 Quando a organização tiver um sistema hierárquico de filiais (p. ex. escritório sede (central),
escritórios nacionais, escritórios regionais, filiais locais), o modelo de amostragem para a auditoria
inicial, conforme definido anteriormente, se aplica a cada nível.

Exemplos:
1 escritório sede: visitado em cada ciclo de auditoria
(inicial ou supervisão ou recertificação)
4 escritórios nacionais: amostra = 2: mínimo 1, aleatoriamente
27 escritórios regionais: amostra = 6: mínimo 2, aleatoriamente
1700 filiais locais: amostra = 42: mínimo 11, aleatoriamente.
REV. PÁGINA
NIT-DICOR-054
09 12/56

5.3 Tempos de Auditoria

5.3.1 O tempo utilizado na auditoria de cada site individual é outro elemento importante a ser
considerado, e o organismo de certificação deve estar preparado para justificar o tempo utilizado nas
auditorias multisite quanto à sua política global de alocação de tempo de auditoria.

5.3.2 Normalmente, convém que o número de homens dia por site, incluindo o escritório central, seja
calculado para cada site, utilizando-se o mais recente documento publicado pelo IAF para o cálculo
de homens.dia, para a norma pertinente.

5.3.3 Podem ser aplicadas reduções que levem em consideração as cláusulas que não sejam
pertinentes ao escritório central e/ou sites locais. As razões para a justificativa de tais reduções
devem ser registradas pelo organismo de certificação.

Nota: Sites que conduzem a maior parte dos processos ou processos críticos não estão sujeitos à
redução (cláusula 3.0.1).

5.3.4 Convém que o tempo total utilizado na auditoria inicial e supervisão, que é a soma total do
tempo utilizado em cada site adicionado ao do escritório central, nunca seja menor do que aquele
que teria sido calculado para o tamanho e a complexidade da operação, caso todo o trabalho tivesse
sido realizado em um único site (isto é, com todos os empregados da empresa no mesmo site).

5.4 Sites Adicionais

5.4.1 Na solicitação de um grupo novo de sites para juntar-se a uma rede de multisites já certificada,
convém que cada grupo novo de sites seja considerado como um conjunto independente para a
determinação do tamanho da amostra. Após a inclusão do grupo novo no certificado, convém que os
novos sites sejam acumulados aos outros já existentes para determinar o tamanho da amostra para
futuras auditorias de supervisão ou recertificação.

/ANEXO B
REV. PÁGINA
NIT-DICOR-054
09 13/56

ANEXO B - DOCUMENTO MANDATÓRIO DO IAF PARA A TRANSFERÊNCIA DA


CERTIFICAÇÃO ACREDITADA DE SISTEMAS DE GESTÃO (IAF MD 2:2017)

Este documento é mandatório para a consistente aplicação da cláusula 9.1.3 da ABNT NBR ISO/IEC
17021-1:2015. Todas as cláusulas da ABNT NBR ISO/IEC 17021-1:2015 continuam a ser aplicadas
e este documento não substitui qualquer dos requisitos daquela norma.

0. INTRODUÇÃO

0.1 Este documento fornece critérios normativos sobre a transferência de certificação de sistemas de
gestão acreditada entre organismos de certificação. Os critérios podem, também, ser aplicados no
caso de aquisição de organismos de certificação acreditados por um signatário do MLA do IAF.

0.2 O objetivo deste documento é assegurar a manutenção da integridade das certificações de


sistema de gestão acreditadas, emitidas por um organismo de certificação, se transferidas
posteriormente para outro organismo semelhante.

0.3 O documento fornece critérios mínimos para a transferência de certificação. Os organismos de


certificação poderão implementar procedimentos ou ações que sejam mais restritivas do que as
contidas aqui, desde que a liberdade da organização cliente em escolher um organismo de
certificação não seja indevida ou injustamente restringida.

1. DEFINIÇÃO

1.1 Transferência de Certificação

A transferência de certificação é definida como o reconhecimento da existência e validade de uma


certificação de sistema de gestão, concedida por um organismo de certificação acreditado (daqui por
diante denominado "organismo de certificação emissor”), por outro organismo de certificação
acreditado (daqui por diante denominado "organismo de certificação receptor”), com a finalidade de
emitir sua própria certificação.

Observação: A certificação múltipla (certificação simultânea por mais de um organismo de


certificação) não recai na definição anterior e não é encorajada pelo IAF.

2. REQUISITOS MÍNIMOS

2.1 Acreditação

2.1.1 Somente certificações cobertas pela acreditação de um signatário do MLA do IAF ou signatário
do MLA Regional no nível 3 e, onde aplicável, níveis 4 e 5, devem ser elegíveis para transferência.
As organizações portadoras de certificações que não estejam cobertas por tais acreditações devem
ser tratadas como novos clientes.

2.1.2 Somente certificações acreditadas válidas devem ser transferidas. Certificações que estejam
em vias de serem suspensas não devem ser aceitas para transferência.

2.1.3 Em casos onde a certificação foi concedida por um organismo de certificação que tenha
cessado a negociação ou que a acreditação expirou, esteja suspenso ou cancelado, a transferência
deve ser finalizada no prazo de 6 meses ou no vencimento da certificação, o que vier primeiro.
REV. PÁGINA
NIT-DICOR-054
09 14/56

2.2. Análise Crítica antes da Transferência

2.2.1 O organismo de certificação receptor deve ter um processo para obter informações suficientes
a fim de tomar a decisão pela certificação e informar ao cliente da transferência do processo. Esta
informação deve incluir, no mínimo, disposições relativas ao ciclo de certificação.

2.2.2 O organismo de certificação deve realizar a revisão da certificação do cliente a ser transferido.
Esta revisão deve ser conduzida por uma análise da documentação e onde identificado como
necessário por esta análise, por exemplo, identificação de não conformidades maiores deve incluir
uma pré-visita de transferência ao cliente para confirmar a validade da certificação.

Nota: a pré-visita de transferência não é uma auditoria.

2.2.3 O organismo de certificação receptor deve determinar os critérios de competência para o


pessoal envolvido na análise crítica antes da transferência. A revisão pode ser conduzida por uma ou
mais pessoas. O indivíduo ou grupo que realiza a pré-visita deve ter a mesma competência que é
requerida para uma equipe de auditoria apropriada para o escopo da certificação que está sendo
analisado.

2.2.4 A análise deve abranger minimamente os seguintes aspectos e as evidências devem ser
documentadas:

(i) confirmação de que as atividades certificadas do cliente estão cobertas e válidas pelo escopo da
acreditação do organismo de certificação receptor;

(ii) confirmação de que o escopo acreditado do organismo de certificação emissor está coberto pelo
escopo de acreditação do MLA do IAF;

(ii) os motivos que levaram à transferência;

(iv) que o site ou sites que desejam a transferência da certificação possuem uma certificação
acreditada válida;

(v) relatórios de auditoria da certificação inicial ou recertificação mais recentes, e o relatório da última
supervisão; o status de todas as não conformidades críticas evidenciadas nos relatórios ou outros
meios disponíveis, documentação relevante relacionada ao processo de certificação. Se esses
relatórios de auditoria não estiverem disponíveis ou se a auditoria de supervisão ou recertificação
não tiver sido finalizada, como exigido pelo programa de auditoria do organismo de certificação
emissor, então a organização deve ser tratada como um novo cliente;

(vi) recebimento de reclamações e ações tomadas;

(vii) considerações relevantes para estabelecer um plano de auditoria e um programa de auditoria. O


programa de auditoria estabelecido pelo organismo de certificação emissor deveria ser revisado, se
disponibilizado. Ver requisito 2.3.4 deste documento; e

(viii) qualquer envolvimento atual do cliente a ser transferido com órgãos regulamentadores
relevantes para o escopo da certificação em relação à conformidade legal.

2.3 Transferência de Certificação

2.3.1 De acordo com o requisito 9.5.2 da ABNT NBR ISO/IEC 17021-1:2015, o organismo de
certificação receptor não deve aceitar a transferência até que:
REV. PÁGINA
NIT-DICOR-054
09 15/56

(i) tenha sido verificada a implementação de correções e ações corretivas em relação a todas as não
conformidades críticas maiores, e

(ii) tenham sido aceitos os planos de correção e ação corretiva para todas as não conformidades
menores pendentes do cliente solicitante da transferência.

2.3.2 Se a análise crítica de pré-transferência (análise documental e/ou visita de pré-transferência)


identificar questões que impeçam a conclusão da transferência, o organismo de certificação receptor
deve tratar o cliente como um cliente novo.

A justificativa para esta decisão deve ser explicada ao solicitante da transferência e deve ser
documentada pelo organismo de certificação receptor e os registros mantidos.

2.3.3 O processo normal de tomada de decisão deve seguir de acordo com o requisito 9.5 da ABNT
NBR ISO/IEC 17021-1:2015 incluindo o fato de que o pessoal responsável pela tomada de decisão
deve ser diferente daquele que realizou a análise crítica da pré-transferência.

2.3.4 Se não forem identificados problemas na análise crítica da pré-transferência, o ciclo de


certificação deve basear-se no ciclo de certificação anterior e o organismo de certificação receptor
deve estabelecer um programa de auditoria para o restante do ciclo de certificação.

NOTA: O organismo de certificação receptor pode citar a data da certificação inicial da organização
nos documentos de certificação com a indicação de que a organização foi certificada por outro
organismo de certificação antes de uma determinada data.

Se o organismo de certificação receptor teve que tratar o solicitante como um novo cliente, como
resultado da análise crítica da pré-transferência, o ciclo de certificação deve começar com a decisão
pela certificação.

2.3.5 O organismo de certificação receptor deve tomar a decisão pela certificação antes que qualquer
auditoria de supervisão ou recertificação tenha sido iniciada.

2.4 Cooperação entre Organismos de Certificação Emissores e Receptores

2.4.1 A cooperação entre organismos de certificação emissores e receptores é essencial para o


processo efetivo de transferência e a integridade da certificação. Quando solicitado, o organismo de
certificação emissor deve fornecer ao organismo de certificação receptor todos os documentos e
informações exigidas por este documento. Quando não for possível a comunicação com o organismo
de certificação emissor, o organismo de certificação receptor deve registrar as razões e fazer todos
os esforços para obter as informações necessárias por outras fontes.

2.4.2 O cliente solicitante da transferência deve autorizar que o organismo de certificação emissor
forneça as informações solicitadas pelo organismo de certificação receptor. O organismo de
certificação emissor não deve suspender ou cancelar o certificado da organização após a notificação
de que a organização está em processo de transferência para o organismo de certificação receptor,
se o cliente continua cumprindo com os requisitos de certificação.

/ANEXO C
REV. PÁGINA
NIT-DICOR-054
09 16/56

ANEXO C - DOCUMENTO MANDATÓRIO DO IAF PARA PROCEDIMENTOS AVANÇADOS DE


SUPERVISÃO E RECERTIFICAÇÃO (PASR) (IAF MD 3:2008)

Este documento fornece critérios normativos para procedimentos avançados de supervisão e


recertificação (PASR), para a consistente aplicação da cláusula 9.1.1 da ABNT NBR ISO/IEC
17021:2007, para determinar ajustes subsequentes no programa de auditoria. Este documento
considera somente Sistemas de Gestão da Qualidade (SGQ) e Sistemas de Gestão Ambiental
(SGA), os quais os membros do IAF têm experiência na implementação de PASR ou de suas
metodologias predecessoras. O uso de PASR não é mandatório, mas se um organismo de
acreditação desejar permitir seu organismo de certificação acreditado e seu(s) cliente(s) optarem
pelo uso de PASR, é um requisito do IAF que o organismo de certificação e seu(s) cliente(s) atendam
a este documento e estejam aptos a demonstrar conformidade ao organismo de acreditação.

0 INTRODUÇÃO

0.1 Nos casos em que uma organização estabeleceu confiança em seu sistema de gestão (SGQ
e/ou SGA), ao demonstrar regularmente eficácia durante um período, o organismo de certificação,
sob consulta com a organização, poderá decidir aplicar os Procedimentos Avançados de Supervisão
e Reavaliação (PASR) possibilitados por este documento. Tal programa avançado de supervisão e
reavaliação poderá ter um grau de confiança maior (mas não total) nos processos de auditoria
interna e análise crítica pela administração da organização, incluir tópicos específicos para
supervisão, levar em consideração entradas específicas de projeto da organização e/ou usar outros
métodos, conforme apropriado, para demonstrar conformidade do sistema de gestão.

0.2 O objetivo deste documento é assegurar o fornecimento de uma auditoria mais eficaz e eficiente
de organizações que possuam um registro de desempenho comprovado mantendo, ao mesmo
tempo, a integridade dos respectivos certificados de sistema de gestão acreditados.

0.3 Este documento estabelece os requisitos mínimos para a aplicação do PASR. Os organismos de
certificação poderão implementar procedimentos ou ações que sejam mais restritivas do que as
contidas aqui, desde que um pedido justificável da organização para o PASR não seja indevido ou
injustamente restringido.

1 REQUISITOS MÍNIMOS

1.1 Pré-requisito

A fim de utilizar o PASR, o organismo de certificação deve primeiramente demonstrar para um


organismo de acreditação signatário do MLA do IAF:

a) que esteve operando um programa de certificação acreditado para o sistema de gestão pertinente
(SGQ e/ou SGA) por no mínimo um ciclo completo de acreditação.

b) que é competente para elaborar um programa de PASR para cada organização individual, no
sistema de gestão pertinente (SGQ e/ou SGA), de acordo com os requisitos da cláusula 7.3 da NBR
ISO 9001:2000, e utilizando os critérios de entrada de projeto mencionados na cláusula 1.3.2 a
seguir.

NOTA: A referência é feita aqui à NBR ISO 9001 visto que ela especifica os requisitos para o
organismo de certificação elaborar um programa para PASR, indiferentemente se ele estiver
operando certificação de SGQ ou SGA.
REV. PÁGINA
NIT-DICOR-054
09 17/56

1.2 Escopo de acreditação

A competência do organismo de certificação em atender ao item 1.1 (b) anterior deve ser avaliada
pelo organismo de acreditação. Se a avaliação for bem sucedida, deve-se incluir uma referência
específica à aprovação para PASR para SGQ e/ou SGA, conforme pertinente, no escopo de
acreditação do organismo de certificação.

1.3 Critérios de elegibilidade e de entrada de projeto

O organismo de certificação deve informar ao organismo de acreditação antes de cada nova


utilização do PASR para cada organização específica, e deve ser capaz de demonstrar que os
critérios constantes a seguir nas cláusulas 1.3.1 e 1.3.2 foram satisfeitos:

1.3.1 Critérios de elegibilidade

a) O organismo de certificação deve confirmar que o sistema de gestão da organização teve sua
conformidade demonstrada com os requisitos da(s) norma(s) aplicável(is) por um período de no
mínimo um ciclo completo de certificação incluindo as auditorias inicial, de supervisão e de
recertificação.

NOTA: O resultado da primeira auditoria de recertificação (sem aplicar PASR) da organização,


conduzida ao final de um ciclo de certificação de três anos, poderá servir de base para o organismo
de certificação confirmar que a conformidade foi demonstrada.

b) Todas as não conformidades levantadas durante o ciclo de certificação imediatamente antes da


utilização do PASR devem ter sido resolvidas com sucesso.

c) Para um SGA, o organismo de certificação deve confirmar que a organização estabeleceu


conformidade com os requisitos legais aplicáveis e que não teve quaisquer sanções impostas pela(s)
autoridade(s) regulamentadora(s) pertinente(s) durante o período citado no item a) anterior.

d) O organismo de certificação deve ter combinado com a organização, indicadores de desempenho


adequados, pelos quais possa julgar a eficácia contínua do sistema de gestão, e deve assegurar que
a organização atende coerentemente às metas de desempenho combinadas.

(i) Para um SGQ, estes indicadores de desempenho devem abordar, no mínimo, a capacidade
demonstrada da organização em fornecer regularmente produtos que atendam aos requisitos de
regulamentos aplicáveis e do cliente (veja a cláusula 1.1 da NBR ISO 9001:2000), e deve
incorporar requisitos para a melhoria contínua da eficácia do SGQ.

NOTA: Para um SGQ, entende-se por “indicador” a característica a ser medida e por “meta” os
requisitos quantitativos/qualitativos a serem atendidos.

(ii) Para um SGA, estes indicadores de desempenho devem abordar, no mínimo, a capacidade
demonstrada da organização em alcançar sua política, objetivos e metas ambientais e em atender
aos requisitos legais aplicáveis e a outros relacionados com seus aspectos ambientais (veja a
cláusula 4.3.2 da ABNT NBR ISO 14001:2004), e devem incorporar requisitos para a melhoria
contínua e prevenção da poluição.

NOTA: Para um SGA, entende-se por “indicador” a característica a ser medida e por “meta”,
usada no contexto de meta de desempenho, os requisitos quantitativos/qualitativos a serem
atendidos, que é considerada como sendo idêntica à “meta ambiental”, conforme definido na
ABNT NBR ISO 14001.
REV. PÁGINA
NIT-DICOR-054
09 18/56

e) O organismo de certificação deve ter arranjos executáveis legalmente com a organização para que
esta ofereça acesso às informações pertinentes. Para um SGQ, estas informações são todos os
dados de satisfação do cliente coletados ou disponíveis de outra forma. Para um SGA, estas
informações são todas as comunicações pertinentes de partes externas interessadas, e em particular
de autoridade(s) regulamentadora(s) pertinente(s). Quando for necessário que o organismo de
certificação comunique-se diretamente com a fonte de tais informações para validá-las, devem ser
aplicadas políticas e procedimentos de confidencialidade em comum acordo.

f) O organismo de certificação deve verificar se o processo de auditoria interna da organização vem


sendo gerenciado de acordo com a diretriz constante na ABNT NBR ISO 19011, em particular quanto
à competência do auditor definida na cláusula 7. O processo de auditoria interna deve ser
coordenado e integrado o suficiente para fornecer uma avaliação do sistema de gestão como um
todo, e não só o desempenho isolado dos componentes.

g) O organismo de certificação deve ter acordos contratuais vigentes que o permitam aumentar o
escopo, frequência e duração de suas auditorias no caso de uma deterioração da capacidade da
organização em atender às metas de desempenho combinadas.

1.3.2 Critérios de entrada de projeto

Além dos critérios de entrada específicos da organização, o projeto de cada PASR individual deve
abordar os itens a seguir:

a) A frequência e duração das auditorias do organismo de certificação devem ser suficientes para
permitir que o organismo de certificação atenda a este documento de critérios, incluindo os itens b) e
c) a seguir, entre outros.

Para cada utilização proposta do PASR, o organismo de certificação deve determinar o tempo básico
de auditor (sem aplicar o PASR) usando os Documentos pertinentes dos Critérios Normativos ou da
Diretriz do IAF e, se aplicável, o Anexo A deste documento (IAF MD1: 2007) para amostragem de
multisites. Se o organismo de certificação planejar um programa PASR individual que reduza o
tempo de auditor a menos de 70% deste nível básico, o organismo de certificação deve justificar tais
reduções e solicitar aprovação específica para o organismo de acreditação antes de sua
implementação.

NOTA: os Documentos Mandatórios do IAF aplicáveis a tempo de auditor para SGQ e SGA estão em
desenvolvimento. Até que tais documentos estejam disponíveis, convém que o Anexo 2 do IAF GD2/
Anexo E da NIT-Dicor-054 (e, quando aplicável o Anexo A) continuem a ser aplicados para definir o
tempo total de auditoria (Fase 1 + Fase 2).

b) Além de auditar um número estatisticamente significativo de amostras dos processos do sistema


de gestão da organização para confirmar a adequação e eficácia do processo de auditoria interna, o
organismo de certificação deve ele próprio continuar a realizar, pelo menos, as seguintes atividades
a cada auditoria de supervisão e recertificação no local (com outras atividades definidas pelo PASR;
consulte a cláusula 1.4 abaixo):

 Entrevistar a alta direção e o representante da administração;


 Avaliar as entradas e saídas da análise crítica pela administração, incluindo a
verificação da capacidade da organização em atender às metas de desempenho
combinadas;
 Analisar criticamente o processo de auditoria interna, incluindo os procedimentos e
registros de auditorias internas, e a competência dos auditores internos;
 Analisar criticamente os planos de ações corretivas e preventivas e verificar sua
implementação eficaz.
REV. PÁGINA
NIT-DICOR-054
09 19/56

c) O organismo de certificação deve assegurar que todos os requisitos de uma certificação


acreditada (incluindo os requisitos da ABNT NBR ISO/IEC 17021:2007 e de qualquer programa
aplicável ao setor) continuam a ser atendidos.

1.4 Saídas de projeto

A saída de projeto para cada aplicação do programa PASR do organismo de certificação deve incluir
o constante nos itens de (a) a (f), a seguir:

a) A extensão na qual o organismo de certificação utilizará os processos de auditoria interna e


análise crítica pela administração da organização para complementar as atividades do organismo de
certificação;

b) Os critérios para atestar as auditorias internas da organização, incluindo amostragem dos


processos e dos auditores a serem auditados;

c) Os critérios para aceitar e monitorar a competência dos auditores internos da organização e o


método de relatar os resultados da auditoria interna;

d) Os critérios para ajustes contínuos do programa de avaliação, levando em consideração a


capacidade demonstrada da organização ao longo do tempo em atender às metas de desempenho
combinadas;

e) Os componentes do sistema de gestão que serão necessariamente auditados pelo organismo de


certificação a cada auditoria de supervisão e recertificação (veja cláusula 1.3.2 b); e

f) Os critérios específicos de competência dos auditores do organismo de certificação e, quando


aplicável, dos especialistas técnicos.

1.5 Certificados
O organismo de certificação não deve diferenciar entre as metodologias com PASR e sem PASR nos
certificados que ele emitir.

/ANEXO D
REV. PÁGINA
NIT-DICOR-054
09 20/56

ANEXO D - DOCUMENTO MANDATÓRIO DO IAF PARA O USO DE TÉCNICAS DE AUDITORIA


APOIADAS POR COMPUTADOR (TAAC) PARA CERTIFICAÇÃO ACREDITADA DE SISTEMAS
DE GESTÃO (IAF MD 4:2008)

Este documento é mandatório para a consistente aplicação da ABNT NBR ISO/IEC 17021 quando
técnicas de auditoria apoiadas por computador são usadas como parte da metodologia de auditoria.
O uso de TAAC não é mandatório, mas se o organismo de certificação e seu cliente optarem por
usarem TAAC é mandatório que eles atendam a este documento e estejam aptos a demonstrar
conformidade ao organismo de acreditação.

0 INTRODUÇÃO

0.1 Como as tecnologias da informação e comunicação se tornam cada vez mais sofisticadas, é
importante para os organismos de certificação estar aptos a utilizarem “Técnicas de Auditoria
Apoiadas por Computador” para melhorar a eficácia e a eficiência da auditoria, e para apoiar e
manter a integridade do processo de auditoria.

NOTA: Diretriz sobre o uso de Técnicas de auditoria apoiadas por computador podem ser obtidas a
partir do site do Grupo de Práticas de Auditoria da ISO/IAF
www.iso.org/tc176/ISO9001AuditingPracticesGroup

0.2 Tais “Técnicas de Auditoria Apoiadas por Computador” (TAAC”) podem incluir, por exemplo:
 Teleconferência,
 Reuniões pela web,
 Comunicações interativas pela web,
 Acesso eletrônico remoto à documentação do sistema de gestão e/ou processos do sistema de
gestão.

0.3 Os objetivos para a aplicação eficaz das TAAC são:

a) Fornecer uma metodologia que seja suficientemente flexível e não-prescritiva em natureza para
satisfazer as necessidades da indústria, permitindo às organizações clientes e seus respectivos
organismos de certificação a utilizarem o TAAC para melhorar o processo de auditoria convencional,
e

b) Para assegurar que controles adequados estão nos locais com suficiente supervisão do
organismo de acreditação para evitar abusos e para prevenir pressões comerciais excessivas que
possam comprometer a integridade do processo de certificação.

1. REQUISITOS

1.1 Confidencialidade

De acordo com a ISO/IEC 17021, cláusula 8.5.1, a segurança e confidencialidade da informação


eletrônica ou eletronicamente transmitida é particularmente importante quando o organismo de
certificação está usando TAAC. Convém que o organismo de certificação acorde sobre medidas de
segurança da informação mutuamente aceitáveis com seus clientes antes de utilizar TAAC.

1.2 Requisitos do processo

1.2.1 Além dos requisitos da cláusula 9.1.2 da ABNT NBR ISO/IEC 17021, o plano de auditoria deve
identificar quaisquer técnicas de auditoria apoiadas por computador que serão utilizadas.
REV. PÁGINA
NIT-DICOR-054
09 21/56

1.2.2 Além dos requisitos da cláusula 9.1.3 da ABNT NBR ISO/IEC 17021, ao TAAC deve ser dada
atenção específica à habilidade dos auditores em entender e utilizar as tecnologias da informação
empregadas pela organização cliente para gerenciar seus processos de sistema de gestão.

1.2.3 Além dos requisitos da cláusula 9.1.4 da ABNT NBR ISO/IEC 17021, se o organismo de
certificação utilizar TAAC, isto pode ser considerado como parcialmente contribuindo para o total do
tempo do auditor nas instalações. Se atividades de auditoria remota representam mais do que 30%
do tempo planejado do auditor nas instalações, o organismo de certificação deve justificar o plano de
auditoria e obter aprovação específica do organismo de acreditação antes da sua implementação.

NOTAS:
1) Espera-se que esta “aprovação específica” seja feita inicialmente caso a caso, mas não exclui
uma “aprovação por completo” do organismo de acreditação para o organismo de certificação ir
além de 30% de redução uma vez que organismo de certificação tenha demonstrado que o seu
processo é robusto.
2) O tempo de auditor nas instalações refere-se ao tempo de auditor nas instalações alocado para
sites individuais. Auditorias eletrônicas de sites remotos são consideradas auditorias remotas,
mesmo se a auditoria eletrônica for conduzida fisicamente de outra instalação da organização do
cliente.

1.2.4 Além dos requisitos da cláusula 9.1.10 da ABNT NBR ISO/IEC 17021, os relatórios de auditoria
devem indicar a extensão na qual as TAAC são usadas na condução da auditoria e como isso
contribui para a eficácia e eficiência da auditoria.

1.2.5 Além dos requisitos da cláusula 9.2.21 da ABNT NBR ISO/IEC 17021, alínea a, quando o
organismo de certificação se propõe a utilizar TAAC como parte da auditoria, a análise da solicitação
deve incluir a verificação de que a organização do cliente tem a infraestrutura necessária para apoiar
esta abordagem.

1.2.6 Além dos requisitos da cláusula 9.3.2.2 da ABNT NBR ISO/IEC 17021, com relação ao uso das
TAAC, a organização deve ser fisicamente visitada, no mínimo, anualmente.

1.2.7 Além dos requisitos da cláusula 9.9.2 da ABNT NBR ISO/IEC 17021, os registros devem indicar
a extensão na qual as TAAC são usadas nas realizações da auditoria e da certificação.

/ANEXO E
REV. PÁGINA
NIT-DICOR-054
09 22/56

ANEXO E - Documento Obrigatório do IAF para determinação do tempo de auditorias de SGQ


e SGA (IAF MD 5:2015)
Este documento é obrigatório para a aplicação coerente da ISO/IEC 17021-1 para as auditorias de
sistemas de gestão da qualidade e ambiental. Todas as cláusulas da ISO/IEC 17021-1 continuam a
ser aplicadas e este documento não substitui nenhum dos requisitos nesta norma. Embora o
número de funcionários (permanente, temporário e parcial) do cliente seja usado como ponto de
partida quando se considera o período de auditoria, esta não é a única consideração, também
deverão ser levados em conta outros fatores que afetam o tempo de auditoria, incluindo todas as
listadas na ISO/IEC 17021-1.

0. INTRODUÇÃO

1. Este documento fornece disposições obrigatórias e orientação para que os organismos de


certificação desenvolvam os seus próprios procedimentos documentados para determinar a
quantidade de tempo necessário para a auditoria de clientes de diferentes tamanhos e complexidade
ao longo de um amplo espectro de atividades. Pretende-se que isso vai levar a consistência de
duração da auditoria entre os Organismos de Certificação, bem como entre os clientes semelhantes
do mesmo Organismo.

2. O OAC deve identificar a duração da auditoria para a Fase 1 e Fase 2 da auditoria inicial,
auditorias de manutenção e auditorias de recertificação para cada cliente candidato e cliente
certificado.

3. Este documento obrigatório não estipula mínimo/máximo de tempo, mas fornece uma estrutura
que deve ser documentada em procedimentos e utilizada dentro de um Organismo de Certificação
para determinar a duração apropriada da auditoria, tendo em conta as especificidades do cliente a
ser auditado.

4. Para fins de aprovação, deve notar-se que não conformidade a este documento (e/ou as tabelas
incluídas) em casos individuais não faz levar automaticamente à não conformidade com a ISO/IEC
17021. No entanto, esta situação poderia ser motivo para uma investigação mais aprofundada para a
integralidade da auditoria. Uma atenção especial deve ser dada para investigar os motivos para o
desvio a partir deste documento obrigatório.

5. Se forem encontradas inconsistências a este documento obrigatório com regularidade, isso


poderia formar uma base para a não conformidade com a ABNT ISO/IEC 17021 considerando assim
que o Organismo de Certificação não pode dar uma garantia razoável de que ele fornece às suas
equipes de auditoria o tempo para realizar uma auditoria suficientemente completa como parte do
processo de certificação.

1. DEFINIÇÃO

1.1 Esquema de Certificação de Sistema de Gestão


Sistema de avaliação da conformidade relacionado com sistemas de gestão para os mesmos
requisitos especificados, regras específicas e processos aplicáveis.

1.2 Organização Cliente


Entidade ou parte definida de uma entidade que opera um sistema de gestão.

1.3 Site Permanente


Local (físico ou virtual) onde uma organização cliente (1.2) realiza um trabalho ou fornece um serviço
em uma base contínua.
REV. PÁGINA
NIT-DICOR-054
09 23/56

1.4 Site Virtual


Local virtual onde uma organização cliente executa trabalho ou fornece um serviço usando um
ambiente on-line permitindo que as pessoas, independente da localização física, possam executar
processos.

Nota 1: Processos que devem ser realizados em um ambiente físico não podem ser considerados
como Site Virtual, por exemplo: Armazenagem, fabricação, testes físicos, laboratórios, instalação ou
reparos para produtos físicos;

Nota 2: Um site virtual (por exemplo intranet da empresa) é considerado um único site para o cálculo
de tempo de auditoria.

1.5 Site Temporário


Local (físico ou virtual) onde uma organização cliente (1.2) realiza um trabalho específico ou
proporciona um serviço por um período de tempo finito e que não se destina a tornar-se um Site
Permanente.

1.6 Tempo de auditoria


Tempo necessário para planejar e realizar uma auditoria completa e eficaz do sistema de gestão da
organização cliente (ABNT ISO/IEC 17021-1).

1.7 Duração da Auditoria de Certificação de Sistema de Gestão


Parte do Tempo de Auditoria (1.6) utilizado na condução das atividades de auditoria desde a reunião
de abertura até a reunião de encerramento, inclusive.

Nota: Atividades de auditoria normalmente incluem:


• condução da reunião de abertura;
• análise de documentos enquanto conduz a auditoria;
• atribuir papéis e responsabilidades aos guias e observadores;
• coleta e verificação de informações;
• constatações gerais da auditoria;
• elaboração das conclusões de auditoria;
• condução da reunião de encerramento.

1.8 Auditor Dia


A duração de um auditor dia é normalmente 8 horas e pode ou não incluir tempo de locomoção e
almoço dependendo da legislação local.

1.9 Número Efetivo de Pessoal


O número efetivo de pessoal consiste em todo o pessoal envolvido no escopo da certificação,
incluindo aqueles que trabalham em cada turno. Pessoal não permanente (por exemplo: pessoal
contratado), assim como pessoal que trabalhe em tempo parcial, deve ser incluído neste número.
(referenciado em 2.3 para cálculo do número de pessoal efetivo).

1.10 Categoria de Risco (Somente para Sistema de Gestão da Qualidade - SGQ)


Para sistema de gestão da qualidade, as disposições contidas neste documento são baseadas em
três categorias, dependendo dos riscos associados a falhas de produto ou serviço da organização
cliente. Estas categorias podem ser consideradas como alto, médio ou baixo risco.

Atividades de alto risco (por exemplo: nuclear, médica, farmacêutica, alimentos, construção)
normalmente requerem mais tempo de auditoria. Atividades de médio risco (por exemplo: fabricação
simples) são suscetíveis de exigir um tempo médio para realizar uma auditoria eficaz e atividade de
baixo risco, um menor tempo. (Ver Anexo A, Tabela SGQ 2).
REV. PÁGINA
NIT-DICOR-054
09 24/56

1.11 Complexidade da Categoria (somente SGA)


Para os sistemas de gestão ambiental, as disposições contidas neste documento se baseiam em
cinco categorias de complexidade de natureza primária, número e gravidade dos aspectos
ambientais de uma organização que fundamentalmente afetam o tempo de auditoria. (Ver Anexo B,
Tabela SGA 2).

2. APLICAÇÃO

2.1 Tempo de Auditoria

2.1.1 O tempo de auditoria para todos os tipos de auditorias inclui o tempo total no local das
instalações do cliente (físico ou virtual) e o tempo gasto fora do local de realização de planejamento,
revisão de documentos, interação com o pessoal do cliente e elaboração de relatórios.

2.1.2 A duração da auditoria de certificação de sistema de gestão (1.7) normalmente não deveria ser
menor que 80% do tempo de auditoria calculado seguindo a metodologia da Seção 3. Isto se aplica à
auditoria inicial, supervisão e recertificação.

2.1.3 Viagem (em rota ou entre sites) e quaisquer paradas não estão incluídas na duração da
auditoria de sistema de gestão no local.

Nota: Ver 1.8. Pode haver um requisito legal local para inclusão de pausa para almoço.

2.2 Auditor Dia(s)

2.2.1 As tabelas SGQ 1 e SGA 1 apresentam a média do tempo de auditoria de certificação de


sistema de gestão calculado em auditor dia(s). Ajustes nacionais de números de dias podem ser
necessários para cumprir a legislação local no que se refere à locomoção, pausa para almoço e
horas trabalhadas, isto para atingir o mesmo total de números de auditoria das Tabelas SGQ 1 e
SGA 1.

2.2.2 O número de auditor dias alocado não deve ser reduzido na fase de planejamento quando
houver uma programação maior de horas por dia de trabalho. Considerações podem ser feitas para
permitir uma auditoria eficiente das atividades quando houver deslocamento que podem exigir horas
adicionais em um dia de trabalho.

2.2.3 Se o cálculo do resultado for um número decimal, o número de dias deve ser ajustado para o
meio-dia mais próximo (por exemplo: 5,3 auditor dia torna-se 5,5 auditor dia. 5,2 auditor dia torna-se
5,0 auditor dia).

2.2.4 Para ajudar a garantir a eficácia da auditoria, o Organismo de Certificação deve também
considerar a composição e tamanho da equipe de auditoria (por exemplo: ½ dia com 2 auditores
pode não ser tão eficaz quanto um auditor dia com 1 auditor ou um auditor dia com 1 auditor líder e 1
especialista técnico é mais eficaz que 1 auditor dia sem o especialista técnico).

Nota 1: O Organismo de acreditação pode requerer que o Organismos de Certificação demonstre


que a média do tempo de auditoria de clientes específicos não é significativamente nem mais nem
menos que o tempo de auditoria calculado das tabelas SGQ1 e SGA2.

Nota 2: Organismos de Certificação que trabalhem essencialmente com indústrias de alto risco ou
complexas são suscetíveis de ter uma média maior que as das tabelas e OC que trabalham
principalmente com indústrias de baixo risco são suscetíveis a ter uma média mais baixa que as
das tabelas.
REV. PÁGINA
NIT-DICOR-054
09 25/56

2.3 Cálculo do Número Efetivo de Pessoal


2.3.1 O número efetivo de pessoal, como definido acima, é usado como base de cálculo para o
tempo de auditoria de sistema de gestão. Considerações para determinar o número efetivo de
empregados incluem pessoal de tempo parcial ou pessoal com atividades parciais ao escopo,
aqueles trabalhando em turnos, administrativos, ou todas as categorias de pessoal de escritório,
processos repetitivos, e o emprego de um grande número de mão-de-obra não especializada
em alguns países.

2.3.2 A justificativa para determinar o número efetivo de pessoal deve estar disponível para a
organização cliente e para o Organismo de Acreditação para revisão durante suas avaliações e a
pedido do Organismo de Acreditação.

2.3.3 Pessoal de Tempo Parcial e pessoal com atividades parciais no escopo


Dependendo das horas trabalhadas, o número de pessoal de período parcial e pessoal limitado ao
escopo poderá ser reduzido ou acrescido e convertido para um número equivalente de pessoal de
período integral (por exemplo: 30 pessoas trabalhando em tempo parcial 4 horas/ dia equivalem a 15
pessoas trabalhando em período integral).

2.3.4 Processo repetitivo dentro do escopo


Quando uma elevada porcentagem de pessoal executa certas atividades/posições que são
consideradas repetitivas (por exemplo: limpeza, segurança, transporte, vendas, call centers, etc.), é
permitida a redução coerente e consistente do número de pessoal, a ser feita de empresa para
empresa, com base no escopo de certificação. Os métodos incorporados para redução devem ser
documentados para incluir quaisquer considerações de atividades/posições de risco.

2.3.5 Empregados que trabalham em turno


O Organismo de Certificação deve determinar a duração ou época da auditoria para melhor avaliar a
eficácia do sistema de gestão para todos os escopos de atividades do cliente, incluindo a
necessidade de auditar fora do horário normal de trabalho e variados padrões de turno. Isto deve ser
acordado com o cliente.

2.3.6 Mão-de-obra não especializada temporária


Esta situação normalmente só se aplica em países com um baixo nível de tecnologia onde mão-de-
obra não qualificada temporária pode ser empregada em considerável número em substituição a
processos automatizados. Nestas circunstâncias, uma redução de empregados efetivos pode ser
feita, mas a consideração dos processos é mais importante que o número de empregados. Esta
redução é incomum e a justificativa para isto deve ser registrada e colocada à disposição do
Organismo de Acreditação nas avaliações.

3. METODOLOGIA PARA DETERMINAR O TEMPO DE AUDITORIA DE SISTEMAS DE GESTÃO

3.1 A metodologia usada como base para cálculo do tempo de auditoria de sistemas de gestão
para uma auditoria inicial (Fase 1 + Fase 2) envolve o entendimento das tabelas e figuras no Anexo
A e Anexo B para auditorias SGQ e SGA, respectivamente. O Anexo A (SGQ) é baseado unicamente
no número efetivo de pessoal (ver Cláusula 2.3 para orientação do cálculo do número efetivo de
pessoal) e no nível de risco, mas não fornece a duração mínima ou máxima do tempo da auditoria.
Adicionalmente ao número efetivo de pessoal, o Apêndice B (SGA) está baseado também na
complexidade ambiental da organização e não fornece a duração mínima ou máxima do tempo da
auditoria.

Nota: A prática normal é que o tempo gasto na Fase 2 exceda o tempo gasto na Fase 1.

3.2 Usando um multiplicador adequado, as mesmas tabelas e figuras podem ser usadas como
base no cálculo do tempo de auditoria para auditorias de supervisão (Cláusula 5) e auditoria de
REV. PÁGINA
NIT-DICOR-054
09 26/56

recertificação (Cláusula 6).

3.3 O Organismo de Certificação deve ter procedimentos que forneçam o tempo adequado de
alocação para a auditoria de relevantes processos do cliente. Experiências têm demonstrado que
fora o número de pessoal, o tempo requerido para realização de uma auditoria eficaz depende de
outros fatores tanto para SGQ e SGA. Estes fatores são abordados com maior profundidade na
Cláusula 8.

3.4 Este documento mandatório enumera as disposições que devem ser consideradas quando se
estabelece uma quantidade de tempo necessário para realização da auditoria. Estes e outros fatores
precisam ser examinados durante o processo de análise crítica dos Organismos de Certificação e
após a Fase 1, ao longo do ciclo de certificação e recertificação, pelos seus potenciais impactos na
determinação do tempo de auditoria independentemente do tipo de auditoria. Portanto, as tabelas,
figuras e diagramas para SGQ e SGA, os quais demonstram a relação entre o número efetivo de
pessoal e a complexidade, não podem ser utilizadas isoladamente. Essas tabelas e figuras
fornecem a estrutura para o planejamento de auditoria e, portanto, ajustes necessários devem ser
feitos para a determinação do tempo de auditoria para todos os tipos de auditorias.

3.5 Para auditorias SGQ, a Figura SGQ 1 fornece o guia visual para realizar ajustes no tempo de
auditoria calculados da Tabela SGQ1 e fornece também a estrutura para um processo que deve ser
usado para o planejamento de auditorias, identificando o ponto de partida baseado no número efetivo
de pessoal de todos os turnos.

3.6 Para uma auditoria de SGA, é adequado basear o tempo de auditoria no número efetivo de
pessoal da organização e na natureza, número e gravidade dos aspectos ambientais da organização
e do setor da indústria. É recomendável que as Tabelas SGA1 e SGQ2, que fornecem a estrutura
para o processo, sejam utilizadas no planejamento da auditoria. O tempo de auditoria de sistema de
gestão deve ser ajustado com base em quaisquer fatores significativos que se apliquem
exclusivamente à organização a ser auditada.

3.7 O ponto de partida para a determinação do tempo de auditoria deve ser identificado com base
no número efetivo de pessoal, em seguida, ajustado para os fatores significativos aplicados aos
clientes a serem auditados e atribuindo a cada fator uma ponderação aditiva ou subtrativa para
modificar a figura base. Em cada situação, a base para estabelecer o tempo de auditoria de sistema
de gestão, incluindo ajustes feitos, deve ser registrada. O Organismo de Certificação deve assegurar
que qualquer variação no tempo de auditoria não levará a um comprometimento da eficácia das
auditorias. Para processos de realização do produto ou serviço operados em regime de turno, a
extensão da auditoria de cada turno pelo Organismo de Certificação depende dos processos
realizados em cada turno e do nível de controle de cada turno que é demonstrado pelo cliente. Para
a implementação de uma auditoria eficaz, pelo menos um dos turnos deve ser amostrado. A
justificativa para a não realização de auditoria em outros turnos deve ser documentada (por exemplo:
aqueles que estão fora do horário regular de expediente).

3.8 Determinações do tempo de auditoria de sistemas de gestão, usando as tabelas ou figuras dos
Anexos A e B, não incluem o tempo de "auditores em treinamento" ou o tempo de especialistas
técnicos.

3.9 A redução do tempo de auditoria de sistema de gestão não deve exceder 30% do tempo
estabelecido nas tabelas SGQ 1 ou SGA 1.

Nota: A Cláusula 3.9 pode não se aplicar às situações descritas no IAF MD1 para locais individuais
em operações multilocais onde a amostragem de sites seja permitida. Nesta situação, um número
limitado de processos está presente em tais locais e a implementação de todos os requisitos
relevantes das normas de sistemas de gestão pode ser verificada.
REV. PÁGINA
NIT-DICOR-054
09 27/56

4. AUDITORIA INICIAL DE SISTEMAS DE GESTÃO (Fase 1 mais Fase 2)

4.1 A determinação do tempo de auditoria de sistema de gestão envolvendo uma combinação de


atividades realizadas fora do local (Cláusula 2.1) não deveria reduzir o total da duração da auditoria
do sistema de gestão no local para menos de 80% do tempo de auditoria calculado seguindo a
metodologia das Tabelas da Seção 3. Sempre que um tempo de auditoria adicional for necessário
para o planejamento e/ou redação do relatório, isto não poderá ser considerado como justificativa
para a redução da duração do tempo de auditoria do sistema de gestão no local.

4.2 As Tabelas SGQ 1 e SGA 1 fornecem um ponto de partida para estimar o tempo de auditoria
de uma auditoria inicial (Fase 1 + Fase 2) para auditorias SGQ e SGA, respectivamente.

4.3 O tempo de auditoria estipulado pelo organismo de certificação e a justificativa para a


determinação devem ser registradas. Este cálculo deve incluir detalhes sobre o tempo atribuído para
cobrir todos os escopos de certificação.

4.4 O Organismo de Certificação deve fornecer para a organização cliente a determinação do


tempo de auditoria e as justificativas registradas como parte do contrato de certificação e deve ser
disponibilizado ao Organismo de Acreditação, quando solicitado.

4.5 Auditorias de certificação podem incluir técnicas remotas de auditoria, tais como colaboração
baseada na web interativa, reuniões por web, teleconferências e/ou verificação eletrônica de
processos do cliente (ver IAF MD4). Essas atividades devem ser identificadas no planejamento da
auditoria, e o tempo gasto nessas atividades pode ser considerado como contribuindo para a
duração total da auditoria de sistema de gestão. Se o Organismo de Certificação planejar uma
auditoria na qual as atividades remotas representem mais de 30% da duração previstas no local da
auditoria planejada, o Organismo de Certificação deverá justificar o plano de auditoria e manter os
registros de justificativa que devem estar disponíveis para o Organismo de Acreditação para
avaliação (ver IAF MD4).

Nota 1: Duração de auditorias de certificação de sistemas de gestão refere-se ao tempo de auditoria


alocado destinado para sites individuais. Auditorias eletrônicas de sites remotos são consideradas
auditorias remotas, mesmo se a auditoria eletrônica for fisicamente realizada nas instalações da
organização (física ou virtual).

Nota 2: Independentemente das técnicas de auditoria remotas utilizadas, a organização do cliente


deve ser fisicamente visitada, pelo menos uma vez ao ano, onde houver um local físico.

Nota 3: É improvável que a duração de uma auditoria Fase 2 seja menor do que um (1) Auditor Dia.

5. SUPERVISÃO

Durante os três anos iniciais do ciclo de certificação, o tempo de auditoria de supervisão para uma
determinada organização deve ser proporcional ao tempo de auditoria gasto na auditoria de
certificação inicial (Fase 1 + Fase 2), com a quantidade total de tempo gasto anualmente em
supervisão sendo cerca de 1/3 do tempo de auditoria gasto na auditoria de certificação inicial. O
Organismo de Certificação deve obter uma atualização de dados dos clientes relacionados com seu
sistema de gestão como parte de cada auditoria de supervisão. O planejamento do tempo de
auditoria de supervisão deve ser revisto de tempos em tempos, pelo menos a cada auditoria de
supervisão e sempre no momento da recertificação, levando em conta as mudanças na organização,
maturidade do sistema, etc. A evidência de revisão, incluindo os ajustes para o tempo de auditoria,
devem ser registrados.

Nota: É improvável que uma auditoria de supervisão dure menos do que um (1) Auditor Dia.
REV. PÁGINA
NIT-DICOR-054
09 28/56

6. RECERTIFICAÇÃO

Recomenda-se que o tempo de auditoria de recertificação seja calculado com base na informação
atualizada do cliente e seja, normalmente, cerca de 2/3 do tempo de auditoria que seria necessário
para uma auditoria de certificação inicial (Fase 1 + Fase 2) da organização, se uma auditoria inicial
fosse realizada no momento da recertificação (i.e. não 2/3 do tempo de auditoria de certificação
inicial original). O tempo de auditoria de sistema de gestão deve levar em conta o resultado da
avaliação de desempenho do sistema (ABNT NBR ISO/IEC 17021 requisito 9.4.1.2). A avaliação do
desempenho do sistema em si não faz parte do tempo de auditoria para as auditorias de
recertificação.

Nota: É improvável que uma auditoria de recertificação dure menos do que um (1) Auditor Dia.

7. SEGUNDO E SUBSEQUENTES CICLOS DE CERTIFICAÇÃO INDIVIDUALIZADOS

Para o segundo e subsequentes ciclos de certificação, o OC pode optar por planejar um programa
individualizado de supervisão e recertificação (ver IAF MD3 de Supervisão Avançada e
Procedimentos de Recertificação - ASRP) com a aprovação do Organismo de Acreditação. Se uma
abordagem definida no MD3 não for escolhida, o tempo de auditoria de sistema de gestão deveria
ser calculado como indicado nas Cláusulas 5 e 6.

8. FATORES PARA AJUSTE DO TEMPO DE AUDITORIA DE SISTEMAS DE GESTÃO (SGQ E


SGA)

Os fatores adicionais que precisam ser considerados incluem os abaixo, mas não se limitam a:

i) Aumento no tempo de auditoria de sistemas de gestão

a. Logística complicada envolvendo mais de um edifício ou locação onde o trabalho é


realizado, por exemplo, um Centro de Design em separado, deve ser auditado;
b. Colaboradores que falam mais de um idioma (requerendo intérprete ou impedindo os
auditores de trabalharem individualmente);
c. Local muito grande para o número de pessoal (por exemplo, uma floresta);
d. Alto grau de regulação (exemplo: alimentos, drogas, aeroespacial, energia nuclear,
etc);
e. O sistema abrange processos altamente complexos ou número relativamente elevado
de atividades exclusivas;
f. Atividades que requeiram visitas a sites temporários a fim de confirmar as atividades
do site permanente, cujo sistema de gestão é objeto de certificação.
g. Funções ou processos terceirizados.

ii) Aumento no tempo de auditoria de Sistemas de Gestão da Qualidade somente


a. Atividades consideradas de alto risco (ver Anexo A, Tabela SGQ 2).

iii) Aumento no tempo de auditoria para Sistemas de Gestão Ambiental somente:


a. Maior sensibilidade do meio ambiente receptor comparado ao local típico do setor
industrial;
b. Opiniões das partes interessadas;
c. Aspectos indiretos necessitando de aumento de tempo da auditoria;
d. Aspectos ambientais adicionais ou incomuns, ou ainda condições regulamentadas para
o setor.
e. Riscos de acidentes ambientais e impactos que surjam ou possam surgir em
REV. PÁGINA
NIT-DICOR-054
09 29/56

consequência de incidentes, acidentes, situações de emergência potencial e


problemas ambientais anteriores que a organização tenha contribuído.

iv) Diminuição do tempo de auditoria de Sistemas de Gestão:


a. O cliente não é “responsável pelo projeto” ou outros elementos padrão que não
estejam cobertos pelo escopo (apenas SGQ);
b. Local muito pequeno para o número de pessoas (ex.: apenas complexo de escritórios);
c. Maturidade do sistema de gestão;
d. Conhecimento prévio do sistema de gestão do cliente (ex.: já certificado por uma outra
norma pelo mesmo Organismo de Certificação);
e. Preparação do cliente para a certificação (ex.: já certificado ou reconhecido por outro
esquema de terceira parte);
Nota: se a auditoria for conduzida de acordo com o IAF MD11, esta justificativa é
inválida como redução e será calculada como integração.
f. Alto nível de automação;
g. Onde os colaboradores incluem um número de pessoas que trabalham “fora do local”,
por exemplo, vendedores, motoristas, pessoal de manutenção, etc, e é possível auditar
substancialmente o cumprimento de suas atividades com o sistema através de análise
de registros;
h. Atividades consideradas de baixo risco (ver Anexo A, Tabela SGQ2 para exemplos e
Tabela SGA2). Atividades de baixa complexidade, por exemplo:
 Processos que envolvam atividades similares e repetitivas (ex.: Serviços,
somente);
 Atividades idênticas realizadas em todos os turnos com evidências
adequadas de desempenho equivalente em todos os turnos;
 Onde uma proporção significativa dos colaboradores executam uma função
simples. Processos repetitivos dentro do escopo (quando os empregados
realizam atividades repetitivas);

Todos os atributos do sistema do cliente, processos e produtos/serviços devem ser


considerados e um ajuste feito para aqueles fatores que poderiam justificar maior ou menor
tempo de auditoria para uma auditoria eficaz. Fatores adicionais podem ser compensados por
fatores de subtração.

Nota 1: Fatores de subtração podem ser utilizados uma única vez para cada cálculo para cada
organização cliente.

Nota 2: Outros fatores a serem considerados no cálculo do tempo de auditoria de sistemas de


gestão integrados são abordados no IAF MD 11.

9. SITES TEMPORÁRIOS

9.1 Em situações em que o requerente de certificação ou cliente certificado forneça seu(s)


produto(s) ou serviço(s) em sites temporários, esses locais devem ser incorporados nos programas
de auditoria.

9.2 Os sites temporários podem variar de locais principais de gerenciamento de projetos para
locais de serviços / instalações menores. A necessidade de visitar esses locais e a extensão da
amostragem deveria ser baseada em uma avaliação de riscos da falha do SGQ para controlar a
saída do produto ou serviço, ou o SGA para controlar aspectos e impactos ambientais associados às
operações do cliente. A amostra de locais selecionados deveria representar a gama de necessidades
de competências do cliente e as variações de serviços, ter dado atenção aos tamanhos e tipos de
atividades, e as várias fases de projetos em andamento assim como os aspectos e impactos
REV. PÁGINA
NIT-DICOR-054
09 30/56

ambientais associados.

9.3 Normalmente são realizadas auditorias no local de sites temporários. No entanto, os métodos
seguintes podem ser considerados como alternativos para substituir algumas auditorias no local:
i) Entrevistas ou acompanhamento de reuniões da organização com clientes e/ou seus
fornecedores, em pessoa ou por teleconferência;
ii) Análise da documentação das atividades do site temporário;
iii) Acesso remoto ao site eletrônico que contenha registros ou outras informações que sejam
relevantes para a avaliação do sistema de gestão e o(s) site(s) temporário(s);
iv) Utilização de vídeo e teleconferência ou outras tecnologias que permitam uma auditoria
eficaz e que possa ser realizada remotamente.

9.4 Em cada caso, o método de auditoria deve ser devidamente documentado e justificado em
termos da sua eficácia.

10. TEMPO DE AUDITORIAS MULTI-SITES

10.1 No caso de um sistema de gestão operado sobre múltiplos sites, é necessário estabelecer se a
amostragem é permitida ou não.

10.2 Para a certificação de múltiplos sites onde a amostragem não for permitida, requisitos
detalhados serão melhor abordados em um novo IAF MD quando estiver disponível. O ponto de
partida para se calcular o tempo de auditoria de sistema de gestão é o total envolvido em todos os
sites, consistentes com a Tabela SGQ1 e Tabela SGQ2 para Sistema de Gestão da Qualidade e
Tabela SGA1 e Tabela SGA2 para Sistema de Gestão Ambiental.

A proporção de tempo total gasto em cada site deve levar em conta situações onde certos
processos de sistemas de gestão não são relevantes para o site.

10.3 Para a certificação de múltiplos sites onde a amostragem for permitida, requisitos detalhados
serão melhor abordados no IAF MD 1. O ponto de partida para calcular o tempo de auditoria de
sistema de gestão é o total envolvido para cada um dos sites amostrados.

O IAF MD 1 deve ser usado para selecionar sites a serem amostrados antes de se aplicar o IAF MD
5 para cada site selecionado. O tempo total nunca deveria ser menor ao que teria sido calculado para
o tamanho e complexidade da operação se todo o trabalho tivesse sido realizado em único site (IAF
MD1 – cláusula 5.3.4).

11. CONTROLE DE FUNÇÕES OU PROCESSOS PRESTADOS EXTERNAMENTE


(TERCEIRIZAÇÃO)

11.1 Se uma organização terceiriza parte de suas funções ou processos, é responsabilidade do


Organismo de Certificação obter evidências que a organização efetivamente determinou o tipo e
extensão de controles a serem aplicados a fim de assegurar que funções ou processos externamente
prestados não prejudiquem a eficácia do Sistema de Gestão incluindo a capacidade da organização
para entregar consistentemente produtos e serviços a seus clientes ou controlar aspectos ambientais
e o comprometimento com a conformidade com os requisitos legais.

11.2 O Organismo de Certificação irá auditar e avaliar a eficácia do Sistema de Gestão dos seus
clientes na gestão de qualquer atividade fornecida e os riscos que isto representa no atendimento
aos objetivos, clientes e requisitos de conformidade.
REV. PÁGINA
NIT-DICOR-054
09 31/56

Anexo A – SISTEMAS DE GESTÃO DA QUALIDADE

Tabela SGQ 1 – Sistemas de Gestão da Qualidade

Relação entre o Número Efetivo de Pessoal e Tempo de Auditoria


(somente para Auditoria Inicial)

Número
Número Efetivo de Tempo de Auditoria Tempo de Auditoria
Efetivo de
Pessoal Fase 1 + Fase 2 (dias) Fase 1 + Fase 2 (dias)
Pessoal
1-5 1.5 626-875 12
6-10 2 876-1175 13
11-15 2.5 1176-1550 14
16-25 3 1551-2025 15
26-45 4 2026-2675 16
46-65 5 2676-3450 17
66-85 6 3451-4350 18
86-125 7 4351-5450 19
126-175 8 5451-6800 20
176-275 9 6801-8500 21
276-425 10 8501-10700 22
426-625 11 >10700 Seguir progressão acima

Nota 1: O número de pessoal da Tabela SGQ 1 deveria ser entendido como sequência contínua
ao invés de uma sequência escalonada. Ou seja, se plotados em um gráfico, a linha deveria
começar com os valores na faixa inferior e terminar no ponto final de cada faixa. O ponto inicial
do gráfico deve ser 1 pessoa em 1,5 dia.

Nota 2: O procedimento dos Organismos de Certificação pode fornecer o cálculo do tempo de


auditoria para um número de pessoal superior a 10,700. Este tempo deve seguir a progressão da
Tabela SGQ1 de uma forma consistente.

Nota 3: Ver também cláusulas 1.9 e 2.3


REV. PÁGINA
NIT-DICOR-054
09 32/56

Figura SGQ 1 – Relação entre Complexidade e Tempo de Auditoria

Grande Simples Grande Complexo


Multisite Multilocais
Poucos processos Muitos processos
Grande escopo
Processo repetitivo
Processos Únicos
Escopo pequeno
Responsabilidade do projeto
- Distribuição Organizacional

Ponto de partida da
Tabela SGQ 1

Muitos processos

Responsabilidade do projeto
Poucos processos Grande escopo
Escopo pequeno
Processos Únicos
Processo repetitivo
Pequeno Simples Pequeno Complexo

Complexidade do sistema do cliente


REV. PÁGINA
NIT-DICOR-054
09 33/56

Tabela SGQ 2 – Exemplos de categorias de Risco

Estas categorias de risco não são definitivas, elas são apenas exemplos que poderiam ser
utilizados por um Organismo de Certificação ao determinar a categoria de risco de uma auditoria.

Alto Risco

Onde a falha do produto ou serviço causa uma catástrofe econômica ou põe vidas em
risco. Exemplos incluem, mas não se limitam a:

Alimentos; produtos farmacêuticos; aeronaves; construção naval; componentes e


estruturas de suporte de carga; atividades de construção complexa; equipamentos
elétricos e gás; serviços médicos e de saúde; pesca; combustível nuclear; químicos;
produtos químicos e fibras.

Médio Risco

Onde a falha no produto ou serviço poderia causar danos ou doenças. Exemplos


incluem, mas não se limitam a:

Componentes e estruturas de suporte sem carga; atividades de construção simples;


metal básico e produtos fabricados; produtos não metálicos; mobiliário; equipamento
óptico; laser e serviços pessoais.

Baixo Risco

Onde a falha do produto ou serviço é improvável causar danos ou doenças. Exemplos


incluem, mas não se limitam a:

Têxteis e vestuários; celulose; papel e produtos de papel; edição; serviços de escritório;


educação; varejo; hotéis e restaurantes.

Nota 1: Espera-se que atividades de negócios definidas como baixo risco possam exigir menos
tempo de auditoria que o tempo calculado utilizando a Tabela SGQ1, atividades definidas como
médio risco terão o tempo calculado usando a Tabela SGQ1, e atividades de alto risco terão um
tempo maior.

Nota 2: Se a companhia está fornecendo uma mistura de atividades de negócio (exemplo:


companhia de construção que constrói construção simples – médio risco – e pontes – alto risco),
cabe ao Organismo de Certificação determinar o correto tempo de auditoria, levando em
consideração o número de pessoal envolvido em cada atividade.
REV. PÁGINA
NIT-DICOR-054
09 34/56

Anexo B – SISTEMAS DE GESTÃO AMBIENTAL

Tabela SGA 1 – Relação entre o Efetivo Número de Pessoal, Complexidade e Tempo de


Auditoria
(Somente para Auditoria Inicial – Fase 1 + Fase 2)

Número Número
Tempo de Auditoria Tempo de Auditoria
Efetivo de Efetivo de
Fase 1 + Fase 2 (dias) Fase 1 + Fase 2 (dias)
Pessoal Pessoal
Alta Média Baixa Limitada Alta Média Baixa Limitado
1-5 3 2.5 2.5 2.5 626-875 17 13 10 6.5
6-10 3.5 3 3 3 876-1175 19 15 11 7
11-15 4.5 3.5 3 3 1176-1550 20 16 12 7.5
16-25 5.5 4.5 3.5 3 1551-2025 21 17 12 8
26-45 7 5.5 4 3 2026-2675 23 18 13 8.5
46-65 8 6 4.5 3.5 2676-3450 25 19 14 9
66-85 9 7 5 3.5 3451-4350 27 20 15 10
86-125 11 8 5.5 4 4351-5450 28 21 16 11
126-175 12 9 6 4.5 5451-6800 30 23 17 12
176-275 13 10 7 5 6801-8500 32 25 19 13
276-425 15 11 8 5.5 8501-10700 34 27 20 14
426-625 16 12 9 6 >10700 Seguir progressão acima

Nota 1: O tempo de auditoria é mostrado para complexidade de auditorias alta, média, baixa e
limitada.

Nota 2: O número de empregados da Tabela SGA 1 deve ser visto como um processo contínuo
ao invés de uma mudança escalonada.

Note 3: O procedimento do Organismo de Certificação pode fornecer o cálculo do tempo de auditoria


para um número de pessoal superior a 10.700. Este tempo deve seguir a progressão da Tabela SGA
1 de uma forma consistente.
REV. PÁGINA
NIT-DICOR-054
09 35/56

Tabela SGA 2 – Exemplos de conexão entre os setores de negócios e categorias de


complexidade dos aspectos ambientais

Categorias de Setor de Negócio


complexidade

Alta – indústria extrativa


– extração de petróleo e gás
– curtimento de têxteis e vestuário
– parte da fabricação de papel, incluindo processo de reciclagem
– refino de petróleo
– químicos e farmacêuticos
– produções primárias – metais
– processamentos não metálicos e produtos que abrangem cerâmica e
cimento
– geração de energia elétrica à base de carvão
– construção civil e demolição
– processamento de resíduos perigosos e não perigosos, por
exemplo incineração, etc.
– processamento de efluentes e esgoto

Média – pesca / agricultura / silvicultura


– têxteis e de vestuário, exceto para couro
– fabricação de placas, tratamento / impregnação de madeira e produtos
de madeira
– produção de papel e impressão, excluindo despolpamento
– processamento não-metálicos e produtos de cobertura de vidro , argila,
cal, etc.
– tratamento superficial e outros tratamentos à base de produtos químicos
para metais fabricados , excluindo a produção primária
– tratamento superficial e outros tratamentos à base de químicos para a
engenharia mecânica geral
– produção de placas de circuito impresso para a indústria eletrônica
– fabricação de equipamentos de transporte - rodoviário, ferroviário,
aéreo, marítimo
– geração de eletricidade não à base de carvão e de distribuição
– produção de gás, armazenamento e distribuição (extração é graduada
como alta)
– captação de água, tratamento e distribuição, incluindo a gestão do rio
(nota: tratamento de efluentes comercial é classificado como alta)
– varejo e atacado de combustíveis fósseis
– processamento de alimentos e de tabaco
– transporte e distribuição por mar, ar, terra
– agência imobiliária comercial, gestão imobiliária, limpeza industrial,
limpeza e higiene, limpeza a seco normalmente parte dos serviços
prestados às empresas
– reciclagem, compostagem, aterro (de resíduos não perigosos)
– ensaios técnicos e laboratoriais
– cuidados de saúde/hospitais/veterinária
– serviços de lazer e serviços pessoais, excluindo os hotéis/restaurantes
REV. PÁGINA
NIT-DICOR-054
09 36/56

Categorias de Setor de Negócio


complexidade

– hotéis/restaurantes
Baixa – produtos de madeira, excluindo a fabricação de placas, tratamento e
impregnação da madeira
– produtos de papel, excluindo impressão despolpação e fabricação de
papel
– borracha e plástico moldagem por injeção, conformação e
montagem, excluindo fabricação de artigos de borracha e de
matérias-primas de plástico que são parte dos produtos químicos
– fabricação e formação de metal quente e frio, excluindo o
tratamento de superfície e outros tratamentos de base química e
produção primária
– montagem engenharia mecânica em geral, excluindo o
tratamento de superfície e outros tratamentos de base química
– atacado e varejo
– montagem de equipamentos elétricos e eletrônicos, excluindo
fabricação de placas de circuito impresso

Limitada – as atividades sociais e de gestão, HQ e gestão das sociedades


gestoras de participações
– serviços de gestão de transporte e de distribuição sem frota real
para gerenciar
– telecomunicações
– serviços de negócios em geral, exceto agência comercial de
imóveis, gestão de imóveis, limpeza industrial, limpeza e higiene,
limpeza a seco
– serviços de educação

Casos – nuclear
Especiais – geração de eletricidade nuclear
– armazenamento de grandes quantidades de material perigoso
– administração pública
– autoridades locais
– organizações com produtos ou serviços sensíveis ambientais,
instituições financeiras

Categorias da complexidade dos aspectos ambientais

As disposições previstas neste documento baseiam-se em cinco categorias de complexidade


primárias de natureza e gravidade dos aspectos ambientais de uma organização que afetam
fundamentalmente o tempo de auditoria. São elas:

Alta – aspectos ambientais com significante natureza e gravidade (tipicamente os tipos de


organizações de fabricação ou processamento com impactos significativos em vários dos
aspectos ambientais);
REV. PÁGINA
NIT-DICOR-054
09 37/56

Média – aspectos ambientais com natureza e gravidade média (normalmente organizações de


fabricação com impactos significativos em alguns dos aspectos ambientais);

Baixa – aspectos ambientais com baixa natureza e gravidade (tipicamente organizações de


montagem com um ambiente com poucos aspectos significativos );

Limitada – aspectos ambientais com limitada natureza e gravidade (normalmente as


organizações de um ambiente tipo escritório);

Especial – Estes requerem consideração adicional e exclusiva no estágio de planejamento de


auditoria.

A Tabela SGA 1 abrange as quatro categorias de complexidade acima: alta, média, baixa e
limitada. A Tabela SGA 2 fornece a ligação entre as categorias de cinco complexidades acima e
os setores de indústria que normalmente se enquadram nessa categoria.

O Organismo de Certificação deveria reconhecer que nem todas as organizações em um setor


específico vão sempre pertencer a mesma categoria de complexidade. O Organismo de
Certificação deve permitir a flexibilidade em seu processo de análise crítica de contrato para
garantir que as atividades específicas da organização sejam consideradas na determinação da
categoria de complexidade. Por exemplo, apesar de muitas empresas do setor químico serem
classificadas como "alta complexidade", uma organização que tenha apenas uma mistura livre
de reação química ou emissão e/ou operação de negociação poderia ser classificada como
"médio" ou mesmo de "baixa complexidade". O Organismo de Certificação deve documentar
todos os casos onde eles têm reduzido a categoria de complexidade de uma organização em um
setor específico.

A Tabela SGA 1 não abrange a categoria de "complexidade especial" e o tempo de auditoria de


sistema de gestão deve ser desenvolvido e justificado individualmente nesses casos.

/ANEXO F
REV. PÁGINA
NIT-DICOR-054
09 38/56

ANEXO F - Documento Mandatório do IAF para Avaliação do Organismo de Certificação para


Gestão da Competência em Conformidade com a ISO/IEC 17021:2011 (IAF MD 10:2013)

1. INTRODUÇÃO

O objetivo deste documento é fornecer uma abordagem harmonizada para como Organismos de
Acreditação avaliam um Organismo de Certificação (OC) na gestão de competência em
conformidade com a ISO/IEC 17021:2011.

2. DEFINIÇÕES

Para os propósitos deste documento, devem ser aplicadas as seguintes definições:

2.1 Processo de Certificação: a totalidade das funções relativas à certificação desde a recepção do
pedido até a concessão e a manutenção da certificação;

2.2 Função da Certificação: um estágio do processo de certificação, como, por exemplo, a revisão
da aplicação, auditoria, decisão da certificação (ref.: ISO/IEC 17021:2011 Anexo A);

2.3 Resultados pretendidos: as saídas de uma função de certificação que cumpram os requisitos
da norma ISO/IEC 17021:2011 e os objetivos do processo de certificação dos OCs.

3. GERAL

3.1 O OA deve verificar se o OC pode demonstrar que todo o pessoal envolvido na realização
das funções de certificação possua a competência requerida.

3.2 O OA deve verificar se o OC já tem definido seu processo de certificação, bem como os
resultados que deverão ser atingidos para cada função da certificação. A avaliação dos OAs para as
competências dos OCs devem ser baseadas em:

(a) Processos documentados dos OCs para determinar os critérios de competência;


(b) Os resultados dos processos para determinar os critérios de competência;
(c) Avaliações do pessoal dos OCs;
(d) Levar em conta os resultados pretendidos de cada função de certificação e se foram
ou não alcançados.

3.3 As funções de certificação para as quais o OA deve verificar se o OC determinou os critérios


de competência incluem, mas não estão limitadas a:
(a) Analisar a solicitação (ver exemplo no 3.5 abaixo);
(b) Estabelecer o programa de auditoria;
(c) Agendar as auditorias;
(d) Alocar as equipes de auditoria;
(e) Auditar e relatar;
(f) Relatar análises e decisões de certificação; e
(g) Manutenção da certificação.
O Anexo A deste documento é informativo e fornece exemplos de resultados pretendidos das
funções de certificação acima. O OC poderá identificar outros resultados pretendidos através destas
funções de certificação.

3.4 O OA deve verificar se o OC possui critérios de competência determinados para:


REV. PÁGINA
NIT-DICOR-054
09 39/56

(a) Gestão para inspecionar o processo de certificação;


(b) Membros do seu comitê salvaguardarem imparcialidade;
(c) Pessoal realizando auditorias internas; e
(d) O pessoal responsável pela avaliação e monitoramento da competência e
desempenho dos que executam funções de certificação.
3.5 O OA deve considerar a evidência objetiva do OC alcançar os resultados pretendidos para
todas as funções de certificação (ver Anexo A deste documento) como uma indicação da eficácia de
seus processos para determinação e avaliação de competência. O OA deve considerar evidência
objetiva do OC em não atingir resultados pretendidos para quaisquer funções de certificação como
uma indicação de que os processos de determinação e avaliação de competência podem ser
ineficazes.

Nota: O fracasso do OC em atingir os resultados pretendidos para a função de uma


certificação em particular poderia ser também uma indicação de que os procedimentos dos
OCs para aquela função eram ineficazes ou não foram implementados.

Por exemplo, no caso de revisão da solicitação, para determinar que o OC tenha os membros
da equipe de auditoria competentes, podem alocar e determinar o tempo de auditoria, o OA
deve verificar se o OC:

a) Definiu a intenção de resultados (ver (d) abaixo) para esta função no processo de
certificação;
b) Definiu os critérios efetivos de competência para o pessoal realizar esta função;
c) Pode fornecer evidências objetivas de que o pessoal que executa esta função demonstrou
haver cumprido os critérios de competência; e
d) Que os resultados desta função do processo de certificação alcançou os objetivos
pretendidos, por:
i) fornecer evidências de que a área(s) técnica(s) da organização a ser auditada
foi/foram corretamente alocada(s);
ii) fornecer evidência de que os auditores atribuídos possuem a competência
necessária para a área técnica apropriada; e
iii) fornecer evidências de que o tempo adequado foi alocado para a auditoria, com
base na análise das informações prestadas pelo requerente / cliente certificado e
de auditorias anteriores.

3.6 O OA deve avaliar o processo e os procedimentos estabelecidos pelo OC para determinar


critérios de competência e para avaliar a competência a fim de verificar que o pessoal avaliado como
competente realmente atingiu os resultados previstos para todas as funções de certificação.

3.7 O OA deve verificar se o OC tem registros apropriados da execução de seus processos para
determinação e avaliação de competência e que o OC pode demonstrar se seus métodos de
avaliação são eficazes e alcançaram os resultados pretendidos.

4. ÁREAS TÉCNICAS

4.1 O OA deve verificar se o OC definiu as áreas técnicas que prevê a certificação acreditada e
que estas cobrem o escopo total da acreditação do OC. É de responsabilidade do OC determinar as
áreas técnicas em que atua, com base em comunhão de processos, impactos e aspectos ambientais,
risco, etc.
(a) As áreas técnicas não precisam necessariamente serem definidas usando escopos
de acreditação. É possível que um único âmbito de acreditação possa incluir mais
de uma área técnica, por exemplo, no âmbito IAF 38 * Saúde e Trabalho Social
REV. PÁGINA
NIT-DICOR-054
09 40/56

poderia incluir:
Serviços Veterinários
Serviços Hospitalares
Práticas médicas e dentais
Serviços de cuidados
Trabalho social

Da mesma forma, o escopo IAF 28 * Construção pode compreender atividades que


vão desde pintura e decoração para grandes projetos de construção e engenharia
civil.

* Ver IAF ID1:2010 Documentos Informativos para escopos de Acreditação SGQ.

(b) Em alguns casos, uma única área técnica pode se referir a mais de um escopo de
acreditação. Por exemplo, a fabricação de sacos de plástico para uso em
embalagens poderia relacionar-se tanto no âmbito do SGQ escopo IAF 9 empresas
de impressão e escopo SGQ escopo IAF 14 borracha e produtos plásticos.

4.2 O OA deverá verificar se os critérios documentados da área técnica de competência do OC:

(a) foram formulados em termos de competência (ou seja, quais são os conhecimentos
e as habilidades necessários para aquela área técnica);

Nota: Em certos casos, por exemplo, no caso de um médico, a evidência de


qualificação profissional e de registro com a autoridade nacional relevante pode ser
considerada como parte da evidência de competência da área técnica.

(b) cobrir todos os aspectos relevantes dessa área técnica, ou seja, ter todo o
conhecimento relevante (por exemplo, os requisitos legais, processos, produtos,
técnicas de controle) para aquela área técnica ter sido identificada.

4.3 O OA deve procurar evidências de que o OC é capaz de demonstrar competência em todas


as funções de certificação em toda área técnica, alcançando os resultados pretendidos para cada
função de certificação. O OA deve procurar evidências de que o OC tem processos que possam
assegurar de que pode executar de forma consistente.

5. DETERMINAÇÃO DOS CRITÉRIOS DE COMPETÊNCIA

5.1 O OA deve verificar se o OC tem documentado o conhecimento necessário para estabelecer


e manter os critérios de competência para cada área técnica. Esta experiência pode ser fornecida por
um recurso externo.

5.2 O OA deve verificar o processo dos OCs para determinar critérios de competência, identificar
o conhecimento e as habilidades necessárias para o pessoal que executa todas as funções de
certificação em cada uma de suas áreas técnicas e para cada norma de sistema de gestão ou
especificação.

(a) Para algumas funções de certificação atribuídas a indivíduos em particular, a


competência pode ser incorporada na concepção do processo. Por exemplo, o
sistema de TI do OC pode conter detalhes de auditores e das áreas técnicas para
as quais tenham sido avaliadas como competentes e pode indicar que os auditores
têm competência para realizar uma auditoria de uma determinada organização.
Quando for este o caso, o OA deve verificar se o processo do OC está
REV. PÁGINA
NIT-DICOR-054
09 41/56

adequadamente controlado e é capaz de alcançar os resultados pretendidos.

Nota: Controles apropriados podem incluir definição de níveis de autoridades, controle


de senha, etc.

(b) Não é necessária para o pessoal envolvido na revisão de solicitações, seleção de


equipes de auditoria, determinação de tempos de auditoria, revisão dos relatórios e
tomada de decisões de certificação para ter a mesma profundidade de
competência, em todas as áreas, como auditores. Por exemplo, referindo-se ao
Anexo A da ISO/IEC 17021, o pessoal de revisão dos relatórios e que tomam as
decisões de certificação são obrigados a ter competência equivalente a dos
auditores no conhecimento dos processos do OC, mas não no conhecimento do
setor de negócio do cliente ou no conhecimento dos princípios, práticas e técnicas
de auditorias.
(c) Os indivíduos designados para desempenhar funções de certificação não precisam,
necessariamente, possuir todas as competências requeridas, fornecendo ao OC
demonstração de que tem a competência coletiva para desempenhar essas
funções. Por exemplo, o tomador de decisão de certificação não precisa ser
competente em todos os setores de negócio do cliente, mas se o relatório foi revisto
por um especialista técnico independente a competência coletiva pode ser
observada.
(d) A competência necessária em uma equipe de auditoria pode variar dependendo do
escopo da auditoria. Por exemplo, o âmbito de uma visita de acompanhamento
pode ser mais estreita do que para uma avaliação inicial. O OA deve verificar se o
OC possui um processo que assegure que as equipes de auditoria tenham a
competência coletiva necessária em auditar aquela avaliação em particular.

6. PROCESSOS DE AVALIAÇÃO

6.1 O OA deve verificar se o OC tem processo documentado para avaliar inicialmente a


competência e avaliar a competência continuada de todos os envolvidos na gestão e no desempenho
de todas as funções de certificação. O OA deve procurar evidências objetivas de que o OC avaliou
este pessoal de acordo com os seus próprios processos documentados.
(a) O Anexo B da Norma ISO/IEC 17021, sendo informativo e não normativo, fornece
orientações úteis sobre alguns métodos que podem ser utilizados por um OC na
avaliação da competência. No entanto, o OC é livre para usar outros métodos de
avaliação de competência. Qualquer que seja o método utilizado pelo OC para
avaliação da competência, o OA deve verificar se o OC pode demonstrar se esses
métodos são eficazes na demonstração de competência.
(b) O OC deve levar em conta, mas não depender apenas, de um histórico de
capacidade comprovada de pessoal atingindo os resultados pretendidos para as
tarefas que lhes foram confiadas. O OA deve verificar se esta capacidade
comprovada é baseada na realização de uma avaliação dos resultados da função
de certificação apropriada, por exemplo, registros do OC, relatórios ou outras
informações, o que poderá contribuir para a evidência de que o pessoal tenha o
conhecimento e as habilidades exigidas pelos critérios de competência
documentados.

6.2 O OA deve verificar se o OC ao contratar pessoal externo, os mesmos foram avaliados como
competentes por outro OC acreditado, ainda assim deve executar sua própria avaliação sob seus
próprios critérios de competência. O OC pode levar em conta a avaliação (quando o histórico
completo da avaliação estiver disponível) por outro OC acreditado, porém, não apenas confiar nele,
ao realizar sua própria avaliação.
REV. PÁGINA
NIT-DICOR-054
09 42/56

6.3 A Certificação em um sistema de certificação de pessoal, acreditado para ISO/IEC 17024


pode ser usada como demonstração de competência do pessoal, na medida em que estejam
abrangidos pelo âmbito do esquema. O OA deve procurar evidências de que o OC determinou quais
dos seus critérios de competência não são abrangidos pelo escopo do esquema do pessoal de
certificação e que o OC realizou sua própria avaliação contra estes critérios.

6.4 Onde um esquema de certificação de pessoal não é acreditado, pode ser usado apenas
como uma indicação de que o pessoal tem certo conhecimento e habilidade, e o OA deve verificar
se o OC realizou a sua própria avaliação de competência em relação aos critérios abrangidos pelo
esquema.

6.5 O OA deve verificar se o OC é capaz de identificar quando um indivíduo deixa de estar


disponível para o OC e causa um impacto sobre a competência geral do OC. Por exemplo, é possível
que um auditor, competente em uma área técnica específica, deixando o emprego de um OC pode
resultar em já não ser capaz de demonstrar competência em uma determinada área técnica. Sob tais
circunstâncias, o OA deve procurar evidências de que o OC identificou as limitações à sua
competência geral e os efeitos sobre as certificações existentes.

ANEXO INFORMATIVO
Exemplos de resultados pretendidos de funções de certificação.

FUNÇÃO DE RESULTADOS PRETENDIDOS


CERTIFICAÇÃO
Análise da Solicitação  âmbito da competência do OC;
 o escopo proposto é definido com precisão consistente com o
produto/serviço do requerente e o sistema de gestão;
 a(s) área(s) técnica(s) da organização a ser auditada foi
(foram) corretamente identificada(s) e alocada(s);
 foram designados auditores suficientes;
 os auditores designados possuem a competência requerida
para:
• executar as funções que lhes foram designadas, por
exemplo, auditor líder;
• para executar os processos e operações que lhes foram
designadas;
• o sistema de gestão padrão relevante;
• o esquema de certificação, quando apropriado;
 o tempo adequado foi alocado e justificado para a auditoria,
em linha com IAF MD1 e IAF MD5 (para SGQ e SGA) ou de
outros requisitos específicos para os sistemas de certificação
particulares, com base em análise das informações prestadas
pelo requerente/cliente certificado.
 Pedidos de transferência de certificação são tratados em
conformidade com os resultados do IAF MD 2.

Estabelecendo  o cronograma de supervisão e auditorias de recertificação está


o programa de em linha com a norma ISO/IEC 17021;
auditoria  A aplicação correta da IAF MD 1 para multi sites.

Agendamento das  o programa de auditoria em conformidade com a norma


auditorias ISO/IEC 17021;
 a duração e as datas da auditoria foram acordadas com o
cliente.
REV. PÁGINA
NIT-DICOR-054
09 43/56

Alocação das equipes  A competência coletiva da equipe de auditoria está consistente


de auditoria com os produtos e processos do cliente.

Planejamento da  o plano de auditoria é consistente com o escopo proposto de


auditoria certificação e do tipo de auditoria e reflete a organização,
processos e operação do cliente;
 o plano de auditoria aloca tempo suficiente para uma auditoria
completa;
 são alocadas tarefas adequadas à competência dos membros
da equipe de auditoria.

Auditando e  a execução da auditoria é realizada efetivamente:


reportando • abertura e fechamento de reuniões são realizadas;
• técnicas de coleta de evidências de auditoria são
eficazes;
• membros da equipe de auditoria tomam notas adequadas de
evidências de auditoria;
• técnicas de amostragem são utilizadas de forma eficaz;
• membros da equipe de auditoria chegam a conclusões
consistentes com a evidência de auditoria.
 o conteúdo do relatório de auditoria cumpre com os requisitos
da ISO/IEC TS 17022:2012.
 nova auditoria é realizada quando necessário.
 a recomendação de certificação é consistente com os
resultados da auditoria, o escopo da auditoria e do âmbito da
certificação.
Revisão de relatórios  verificação de quaisquer alterações desde a revisão da
e decisões de aplicação;
certificação  confirmação se o tempo de auditoria estava correto;
 confirmação de que aos membros da equipe de auditoria
foram atribuídas tarefas de auditoria apropriada à sua
competência;
 confirmação de que o relatório de auditoria cumpre os
requisitos da ISO/IEC TS 17022:2012;
 confirmar se a recomendação está consistente com os
achados da auditoria;
• evidência documental está disponível onde o revisor técnico
independente teve motivos para discutir/esclarecer algum
aspecto do conteúdo do relatório ou recomendação
associada.
Manutenção da  o programa de auditoria foi seguido e funções de supervisão e
certificação recertificação foram realizadas em tempo hábil;
 amostragem adequada de relatórios de supervisão para
revisão;
 as alterações foram revisadas e verificadas para não afetar
negativamente a certificação;
 intensificação demonstrada no caso de não conformidades
que podem levar à suspensão ou retirada de certificação;
 auditorias de recertificação oportuna e decisões de
recertificação antes de expirarem.

/ANEXO G
REV. PÁGINA
NIT-DICOR-054
09 44/56

ANEXO G - DOCUMENTO MANDATÓRIO DO IAF PARA A APLICAÇÃO DA ISO/IEC 17021 EM


AUDITORIAS DE SISTEMAS DE GESTÃO INTEGRADAS (IAF MD 11:2013)

Este documento é obrigatório para a aplicação consistente da ISO/IEC 17021 pelos Organismos
de Certificação (OC) ao planejar e realizar Auditorias de Sistemas de Gestão Integrados (SGI).

0. INTRODUÇÃO

Este documento fornece requisitos para a aplicação da ISO/IEC 17021 para o planejamento e
realização de auditorias de SGI e, se for o caso, a certificação do sistema de gestão de uma
organização contra dois ou mais conjuntos de critérios/normas de auditoria. Todas as cláusulas da
ISO/IEC 17021 continuam a ser aplicadas e este documento não acrescenta ou substitui qualquer
um dos requisitos nesta norma.

0.1. Este documento pode não ser aplicável a normas setoriais específicas baseadas na norma ISO
9001.

0.2. Deve ser ressaltado que o Anexo ao final deste documento também faz parte destes requisitos,
devendo ser entendido dessa forma.

1. DEFINIÇÕES

Para os efeitos deste documento, aplicam-se as seguintes definições:

1.1. Auditoria de Sistema Integrado de Gestão: auditoria do sistema de gestão de uma


organização realizada simultaneamente com base em dois ou mais conjuntos de critérios de
auditoria/normas.

1.2. Sistema Integrado de Gestão: Um sistema de gestão único para gerenciar vários aspectos do
desempenho organizacional para atender aos requisitos de mais de uma norma de gestão, em um
determinado nível de integração (1.3). Um sistema de gestão pode consistir em um sistema
combinado de diversos sistemas de gestão distintos, para cada conjunto de critérios de
auditoria/normas, até um Sistema Integrado de Gestão compartilhando em um único sistema,
documentação, elementos de sistema de gestão e responsabilidades.

1.3. Nível de Integração: nível em que uma organização utiliza um sistema de gestão único para
gerenciar múltiplos aspectos do desempenho organizacional para atender aos requisitos de mais de
um sistema de gestão padrão. Integração refere-se ao sistema de gestão, sendo capaz de integrar a
documentação, elementos do sistema de gestão adequado e responsabilidades em relação a dois ou
mais conjuntos de padrões/critérios de auditoria.

Nota: Critérios de auditoria representam as normas de sistema de gestão utilizadas como base para
certificação e avaliação da conformidade (ex. ISO 9001, ISO 14001, ISO/IEC 20000, ISO 22000,
ISO/IEC 27001 etc.).

2. APLICAÇÃO

2.1. O Organismo de Certificação deve assegurar que:

2.1.1. Ao definir o programa de auditoria, seja considerado o nível de integração dos sistemas de
gestão.
REV. PÁGINA
NIT-DICOR-054
09 45/56

2.1.2. Os planos de auditoria cubram todas as áreas e atividades aplicáveis para cada
norma/especificação do sistema de gestão abrangidos pelo âmbito de aplicação da auditoria, e sejam
conduzidas por auditores competentes.

2.1.3. A equipe de auditoria como um todo atenda aos requisitos de competência, estabelecidos
pelo Organismo de Certificação, para cada área técnica, relevantes para cada norma/especificação
de sistema gestão abrangida pelo escopo da auditoria do SIG.

2.1.4. A auditoria será conduzida por um líder, competente em pelo menos uma das
normas/especificações de auditoria.

2.1.5. Tempo suficiente seja alocado para realizar uma auditoria completa e eficaz do sistema de
gestão da organização para o sistema de gestão das normas/especificações abrangidas pelo âmbito
da auditoria.

2.1.5.1. Ao determinar o tempo de auditoria para uma auditoria de um SIG abrangendo duas ou mais
normas de sistema de gestão/especificações, por exemplo, A + B + C, o Organismo de Certificação
deve:
a) calcular o tempo de auditoria necessário para cada norma/especificação de sistema
de gestão separadamente (aplicação de todos os fatores relevantes previstos pelos
documentos e/ou regras do esquema de certificação para cada padrão, ex., IAF MD5,
ISO/TS 22003, ISO/IEC 27006);
b) calcular o ponto de partida (T) para a duração da auditoria do SIG, adicionando a
soma das partes individuais (ex. T = A + B + C);
c) ajustar a figura do ponto de partida, considerando os fatores que podem aumentar ou
reduzir (ver Anexo 1) o tempo necessário para a auditoria.

Os fatores de redução devem incluir, mas não se limitar a:


i) A extensão do nível de integração do sistema de gestão da organização;
ii) A capacidade do pessoal da organização em responder perguntas sobre
mais de uma norma de sistema de gestão; e
iii) A disponibilidade de auditor(es) competente(s) para examinar mais de um
sistema de gestão padrão/especificação.

Os fatores de acréscimo devem incluir, mas não se limitar a:


i) A complexidade da auditoria de um SIG, em comparação com auditorias
de sistemas de gestão únicos.

d) informar ao cliente que a duração da auditoria de SGI baseada no nível de integração


declarado do sistema de gestão da organização pode estar sujeita a ajustes com base
na confirmação do nível de integração na auditoria de fase 1 e em auditorias
subsequentes.

2.1.5.2. A auditoria de um SIG pode resultar em aumento do tempo de auditoria, mas quando
resultar em sua redução, esta não poderá ultrapassar a 20% do ponto de partida T (2.1.5.1b).

2.1.5.3. A figura de ponto de partida e a justificativa para o acréscimo ou redução de tempo devem
ser documentados.

2.2. Os documentos aplicáveis existentes (por exemplo, documentos obrigatórios IAF) relativos a
normas/especificações de auditorias de sistemas de gestão devem ser considerados ao elaborar a
programação de auditorias e planos de auditoria para um SIG.

2.3. Todos os requisitos aplicáveis de cada norma/especificação de sistema de gestão pertinentes ao


REV. PÁGINA
NIT-DICOR-054
09 46/56

escopo do SIG deverão ser auditados.

2.4. Relatórios de auditoria podem ser integrados ou separados, no que diz respeito aos sistemas de
gestão auditados. Cada constatação apontada em um relatório integrado deve ser rastreável em
relação à norma/especificação de sistema de gestão correspondente.

2.5. O Organismo de Certificação deve considerar o impacto que uma não conformidade encontrada
em relação a uma das normas/especificações do sistema de gestão terá sobre a conformidade com
outras normas/especificações do sistema de gestão.

3. AUDITORIA INICIAL E CERTIFICAÇÃO

3.1. Solicitação do Cliente


Deverá incluir informações relativas ao nível de integração, incluindo o nível de integração de
documentos, elementos do sistema de gestão e responsabilidades (ver Anexo 1).

3.2. Auditoria de Fase 1


Durante a Auditoria de Fase 1, a equipe de auditoria deve confirmar o nível de integração do SIG. O
Organismo de Certificação deve rever e modificar, se necessário, o tempo de duração da auditoria
baseado nas informações fornecidas durante a etapa de análise da solicitação.

4. ATIVIDADES DE SUPERVISÃO E RECERTIFICAÇÃO

O Organismo de Certificação deve confirmar que o nível de integração permaneça inalterado durante
todo o ciclo de certificação, para assegurar que os tempos de duração de auditoria estabelecidos
ainda continuam aplicáveis.

5. SUSPENSÃO, REDUÇÃO, CANCELAMENTO

Se a certificação com base em uma ou mais normas/especificações de sistema de gestão for objeto
de suspensão, redução ou cancelamento, o Organismo de Certificação deve avaliar o impacto disto
sobre a certificação nas outras normas/especificações de sistema de gestão.

Figura 1 – REDUÇÃO DO TEMPO DE AUDITORIA


REV. PÁGINA
NIT-DICOR-054
09 47/56

A figura 1 ilustra a redução (%) no tempo de duração de uma auditoria integrada e sua relação com:

Eixo Vertical: nível de integração do sistema de gestão de uma organização (ver abaixo) que deve
incluir a consideração da capacidade da organização auditada em responder a perguntas com multi-
aspectos. Um Sistema Integrado de Gestão resulta de quando uma organização utiliza um sistema
de gestão único para gerenciar vários aspectos do desempenho organizacional. Este é caracterizado
por (mas não se limita a):
1. Um conjunto integrado de documentação, incluindo instruções de trabalho para um bom nível de
desenvolvimento, conforme apropriado;
2. Análises críticas da direção considerando a estratégia geral e o plano de negócios;
3. Uma abordagem integrada de auditorias internas;
4. Uma abordagem integrada de políticas e objetivos;
5. Uma abordagem integrada de processos de sistemas;
6. Uma abordagem integrada de mecanismos de aperfeiçoamento (ações corretivas e preventivas;
monitoramento e melhoria contínua); e
7. Gestão integrada de suporte e responsabilidades.
O Organismo de Certificação tem que decidir o percentual de nível de integração baseado na medida
pela qual o sistema de gestão da organização atenda aos critérios acima.

e com

Eixo Horizontal: a medida dada como uma razão a ser multiplicada por um fator de 100 a fim de se
obter o valor usado como percentual, na qual cada membro individual da equipe de auditoria está
qualificado:

100 ((X1-1) + (X2-1) + (X3-1) + (Xn-1))


Z(Y-1)
Onde
X1, 2, 3…n é o número de normas nas quais um auditor está qualificado para o escopo relevante da
auditoria integrada;
Y é o número de normas de sistema de gestão a ser coberto pela auditoria integrada;
Z é o número de auditores.

Exemplo:
Uma equipe de auditoria integrada composta de três auditores que abrangem três diferentes normas
de sistema de gestão. Um auditor está qualificado para todas as três normas, um auditor está
qualificado para duas das normas e outro auditor está qualificado para uma única norma.
O valor percentual a ser utilizado para o eixo horizontal é:

100 ((3-1) + (2-1) + (1-1)) = 50 %


3(3-1)

Dada a competência disponível de cada auditor em mais de um conjunto de critérios/normas de


auditoria, ganhos de eficiência irão para o cômputo da possível redução de tempo na fórmula acima.
Estes incluem:
1. Tempo ganho com a realização de uma única reunião de abertura e encerramento;
2. Tempo ganho pela elaboração de um único relatório de auditoria integrada;
3. Tempo ganho com otimização da logística;
4. Tempo ganho em reuniões de equipe de auditores; e
5. Tempo ganho auditando elementos comuns, simultaneamente, por exemplo, controle de
documentos.
/ANEXO H
REV. PÁGINA
NIT-DICOR-054
09 48/56

ANEXO H - APLICAÇÃO DA ISO/IEC 17021:2011 NO SETOR DE GESTÃO DE SERVIÇOS


(ISO/IEC 20000-1) - (IAF MD 18:2015)

Este documento é obrigatório para a aplicação consistente da ISO/IEC 17021. Todas as cláusulas da
ISO/IEC 17021 permanecem aplicáveis e este documento não substitui nenhum dos requisitos
daquela norma.

1. ESCOPO
Este documento oferece orientação para organismos que fornecem auditoria e certificação de
sistemas de gestão de serviços de tecnologia da informação (SGSTI, ISO/IEC 20000-1:2011), e
especifica requisitos adicionais aos requisitos contidos na ISO/IEC 17021. Ele é voltado basicamente
a auxiliar na acreditação de organismos que fornecem certificação de SGSTI.

2. REFERÊNCIAS NORMATIVAS
ISO/IEC 20000-1:2011 Tecnologia da Informação – Gestão de Serviços – Parte 1: Requisitos de
Sistemas de Gestão de Serviços

ISO/IEC 17021:2011 Avaliação da Conformidade – Requisitos para organismos que fornecem


auditoria e certificação de sistemas de gestão

3. TERMOS E DEFINIÇÕES

Os termos e definições da ISO/IEC 17021, Cláusula 3, e da ISO/IEC 20000-1 permanecem


aplicáveis.

4. PRINCÍPIOS
Os princípios da ISO/IEC 17021, Cláusula 4, permanecem aplicáveis.

5. REQUISITOS GERAIS
Os requisitos da ISO/IEC 17021, Cláusula 5, permanecem aplicáveis.

6. REQUISITOS ESTRUTURAIS
Os requisitos da ISO/IEC 17021, Cláusula 6, permanecem aplicáveis.

7. REQUISITOS DE RECURSOS

Os requisitos da ISO/IEC 17021, Cláusulas 7.1 a 7.2.7 permanecem aplicáveis.

Nota: ISO/IEC 17021 Anexo A - Os requisitos específicos de SGSTI e orientações, a seguir, são
aplicáveis.

Os requisitos da ISO/IEC 17021, Cláusula 7.2.8, permanecem aplicáveis. Além disso, os requisitos
específicos de SGSTI e orientações a seguir, também são aplicáveis.

O OAC deve oferecer oportunidade de desenvolvimento profissional contínuo para o pessoal de


certificação, de modo a manter e aprimorar sua competência na certificação ISO/IEC 20000. Em
particular, o organismo deve assegurar que os auditores mantenham-se permanentemente
REV. PÁGINA
NIT-DICOR-054
09 49/56

atualizados no conhecimento de práticas de gestão de serviços e de requisitos regulatórios


relevantes.

Desenvolvimento profissional contínuo pode, por exemplo, incluir, mas não se restringir, a:
i. experiência profissional complementar;
ii. participação em cursos de treinamento;
iii. coaching;
iv. estudo individual; e
v. participação em eventos, seminários ou outras atividades relevantes.

Os requisitos da ISO/IEC 17021, Cláusulas 7.2.9 a 7.5, permanecem aplicáveis.

8. REQUISITOS DE INFORMAÇÃO

Os requisitos da ISO/IEC 17021, Cláusulas 8.1 a 8.4, permanecem aplicáveis.

8.5. Confidencialidade

Os requisitos da ISO/IEC 17021, Cláusula 8.5, permanecem aplicáveis. Além disso, os requisitos
específicos de SGSTI e orientações, a seguir, são aplicáveis.

Antes da auditoria de certificação, o Organismo de Certificação deve solicitar à organização cliente


que informe se quaisquer registros do SGSTI não estarão disponíveis para análise pela equipe de
auditoria, por conterem informações confidenciais ou sensíveis, e que seja apresentada uma
justificativa correspondente. O Organismo de Certificação deve determinar e registrar se o SGSTI
pode ser adequadamente auditado na ausência destas informações confidenciais e detalhar o
racional correspondente. Se o Organismo de Certificação concluir que não será possível auditar
adequadamente o SGSTI sem analisar os registros confidenciais ou sensíveis indicados, deverá
alertar a organização cliente que a auditoria de certificação não poderá se realizar até que sejam
concedidas garantias de acesso adequado.

Nota: Alternativamente, um intermediário que possua competência adequada e o necessário nível de


acesso para ver as informações confidenciais ou sensíveis pode ser utilizado para conferir os
registros e confirmar, ou não, a informação requerida. Este intermediário deve ser aceito tanto pelo
OAC quanto pelo seu cliente. Entretanto, este intermediário deve possuir independência em relação
à organização cliente.

Os requisitos da ISO/IEC 17021, Cláusula 8.6, permanecem aplicáveis.

9. REQUISITOS DE PROCESSO

9.1. Requisitos gerais

Os requisitos da ISO/IEC 17021, Cláusulas 9.1.1 e 9.1.3, permanecem aplicáveis.

9.1.2. Os requisitos da ISO/IEC 17021, Cláusula 9.1.2, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.

A equipe auditora deve auditar o SGSTI da organização cliente coberto pelo escopo definido, contra
todos os requisitos de certificação aplicáveis. O Organismo de Certificação deve assegurar que o
escopo e limites do SGSTI da organização cliente estejam claramente definidos em termos das
características do negócio, da organização, de sua localização, bens e tecnologia e nos termos da
REV. PÁGINA
NIT-DICOR-054
09 50/56

ISO/IEC 20000-3. O organismo de certificação deve confirmar que a organização cliente segue os
requisitos declarados no escopo de seu SGSTI.

9.1.4. Os requisitos da ISO/IEC 17021, Cláusula 9.1.4, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações a seguir, são aplicáveis.
O tempo alocado deve considerar os seguintes fatores específicos de SGSTI:
i. tamanho do escopo do SGSTI;
ii. complexidade do SGSTI e a complexidade do(s) serviço(s) prestado(s) pela organização
cliente;
iii. natureza do(s) negócios realizado(s) no âmbito do escopo do SGSTI;
iv. extensão e diversidade da tecnologia utilizada na implementação dos diversos componentes
do SGSTI;
v. número de sites;
vi. desempenho previamente demonstrado do SGSTI;
vii. abrangência dos SLAs e acordos de terceira parte utilizados dentro do escopo do SGSTI;
viii. normas e regulamentos aplicáveis à certificação; e
ix. número de outras partes envolvidas, tais como fornecedores, grupos internos ou
consumidores agindo como fornecedores, envolvidos na prestação dos serviços.

9.1.5. Os requisitos da ISO/IEC 17021, Cláusula 9.1.5, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.

Os requisitos do documento mandatório IAF MD1 para Certificação de multisites baseada em


Amostragem, Cláusulas 0 a 5.2, permanecem aplicáveis. Quando uma organização multisite opera
alguns processos ou atividades distintos em diferentes sites, ou uma combinação de sites, o
Organismo de Certificação precisa justificar e documentar o racional utilizado para qualquer
amostragem que decida implementar durante a certificação do sistema de gestão. Isto deve
demonstrar como pode ser obtido o mesmo nível de confiança na conformidade do sistema de
gestão por entre todos os sites. Também deve ser dada atenção à auditoria de “localizações virtuais”,
p. ex. sites temporários, sites online etc., onde a amostragem pode ser, ou não, adequada.
Os requisitos da ISO/IEC 17021, Cláusulas 9.1.6 a 9.1.9, permanecem aplicáveis.

9.1.10. Os requisitos da ISO/IEC 17021, Cláusula 9.1.10, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.

O relatório de auditoria de certificação deve trazer informações sobre a identificação, avaliação e


gestão de riscos dos serviços da organização cliente de TI.

Os requisitos da ISO/IEC 17021, Cláusulas 9.1.11 a 9.1.15, permanecem aplicáveis.

9.2. Auditoria inicial e certificação


Os requisitos da ISO/IEC 17021, Cláusulas 9.2.1 a 9.2.2, permanecem aplicáveis.

9.2.3. Auditoria de certificação inicial

9.2.3.1. Auditoria fase 1

9.2.3.1.1. Os requisitos da ISO/IEC 17021, Cláusula 9.2.3.1.1, permanecem aplicáveis. Além disso,
os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.

Nesta fase da auditoria, o Organismo de Certificação deve obter documentação sobre o projeto do
SGSTI abrangendo a documentação requerida na Cláusula 4.3.1 da ISO/IEC 20000-1.
REV. PÁGINA
NIT-DICOR-054
09 51/56

O objetivo da auditoria fase 1 é dar foco no planejamento da auditoria fase 2 a partir do entendimento
do SGSTI obtido no contexto das políticas e objetivos de SGSTI da organização cliente e, em
particular, sobre o estágio de preparação da organização cliente para auditoria.

A auditoria fase 1 deve incluir, mas não se restringir à análise da documentação. O Organismo de
Certificação deve acertar com a organização cliente quando e onde a análise da documentação será
realizada. Em qualquer caso, a análise da documentação deve ser concluída antes do início da
auditoria fase 2.

Os resultados da auditoria fase 1 devem ser documentados em um relatório escrito. O Organismo de


Certificação deve analisar o relatório de auditoria fase 1 para decidir se prosseguirá com a auditoria
fase 2, e para selecionar os membros da equipe de auditoria fase 2 com a necessária competência.

O Organismo de Certificação deve manter a organização cliente ciente dos demais tipos de
informação e registros que podem ser requeridos para verificação detalhada durante a auditoria fase
2.

Os requisitos da ISO/IEC 17021, Cláusulas 9.2.3.1.2 e 9.2.3.1.3, permanecem aplicáveis.

9.2.3.2. Auditoria fase 2

Os requisitos da ISO/IEC 17021, Cláusula 9.2.3.2, permanecem aplicáveis. Além disso, os requisitos
específicos de SGSTI e orientações, a seguir, são aplicáveis.

A auditoria deve manter foco nos seguintes aspectos da organização cliente:


i. requisitos de documentação relacionados na Cláusula 4.3.1 da ISO/IEC 20000-1;
ii. eficácia dos controles de execução, monitoramento, medição e análise dos objetivos de
planos e processos de gestão de serviços;
iii. auditorias internas e análises críticas do SGSTI; e
iv. responsabilidade da administração pelas políticas.

Os requisitos da ISO/IEC 17021, Cláusulas 9.2.4 e 9.2.5, permanecem aplicáveis.

Os requisitos da ISO/IEC 17021, Cláusulas 9.3 a 9.9, permanecem aplicáveis.

10. REQUISITOS DE SISTEMAS DE GESTÃO PARA ORGANISMOS DE CERTIFICAÇÃO

Os requisitos da ISO/IEC 17021, Cláusula 10, permanecem aplicáveis.

/ANEXO I
REV. PÁGINA
NIT-DICOR-054
09 52/56

ANEXO I - DOCUMENTO MANDATÓRIO DO IAF PARA A AUDITORIA E CERTIFICAÇÃO DE UM


SISTEMA DE GESTÃO OPERADO POR UMA ORGANIZAÇÃO MULTI-SITE
(QUANDO A AMOSTRAGEM DO SITE NÃO É APLICÁVEL) (IAF MD 19:2016)

1. INTRODUÇÃO

Este documento é para a auditoria e, se apropriado, certificação de Sistema de Gestão de


organizações com uma rede de sites que fazem parte do esquema de certificação, porém onde a
amostragem de sites não é aplicável. O objetivo é garantir que a auditoria forneça confiança
adequada na implementação do sistema de gestão para a norma relevante em todos os sites listados
e que a auditoria é igualmente prática e viável em termos econômicos e operacionais.

2. DEFINIÇÕES

2.1 Organização
Pessoa ou grupo de pessoas que tem suas próprias funções com responsabilidades, autoridades e
relacionamentos para alcançar seus objetivos.(Fonte: Definição 3.1 do Anexo SL de Diretivas ISO)

2.2 Local permanente


Local (físico ou virtual) onde uma organização cliente executa trabalho ou fornece um serviço
continuado. (Fonte: ISO/IEC TS 17023: 2013)

2.3 Local temporário


Local (físico ou virtual) onde uma organização cliente realiza trabalho específico ou fornece um
serviço por um período finito de tempo e não se destina a tornar-se um site permanente. (Fonte:
ISO/IEC TS 17023: 2013)

2.4 Organização multi-site


Uma organização abrangida por um único sistema de gestão que compreende uma função central
(não necessariamente a sede da organização) em que certas atividades são planejadas, controladas
e uma rede de sites (permanente, temporário ou virtual) em que tais atividades são realizadas total
ou parcialmente.

2.5 Função central


A função que é responsável e controla centralmente o Sistema de Gestão.
Nota: A função Central é onde o controle e a autoridade do gerenciamento superior da organização
são exercidos em cada site.

2.6 Site virtual


Ambiente on-line que permite que pessoas de locais físicos diferentes executem Processos.

Nota 1: Um exemplo desse site virtual é uma organização de design e desenvolvimento com todos
os funcionários executando trabalho localizado remotamente, trabalhando em um ambiente em
nuvem.

Nota 2: Um site não pode ser considerado um site virtual onde os processos devem ser executados
em um ambiente físico, por exemplo, armazenagem, fabricação, testes físicos, laboratórios,
instalação ou reparação de produtos físicos.

Nota 3: Um site virtual é considerado um único site para o propósito de cálculo do Tempo de
Auditoria.
REV. PÁGINA
NIT-DICOR-054
09 53/56

2.7 Processo Primário


Processo diretamente relacionado a produtos ou atividades, onde qualquer falha impacta diretamente
na conformidade relacionada ao objetivo dos documentos normativos aplicáveis.

Nota: Tais processos, às vezes, são referenciados como “processos principais ou de maior valor
agregado”, normalmente abordados no Anexo SL nos termos da Cláusula 8.

2.8 Processo Secundário


Processo de suporte que não tem impacto direto sobre a conformidade em relação ao objetivo dos
documentos normativos aplicáveis.

3. ANÁLISE DA ABRANGÊNCIA

Este documento aborda auditoria (para fins de certificação da terceira parte) de uma Organização
que realiza atividades planejadas, controladas e realizadas por uma rede multi-sites,
independentemente de serem permanentes, temporários ou virtuais.

Qualquer site pode realizar total ou parcialmente as atividades abrangidas pelo escopo do Sistema
de Gestão.

No entanto, este documento aborda a situação em que a aplicação da amostragem multi-site não é
apropriada durante o planejamento e a condução da auditoria. Podem haver várias razões para isso,
tais como:

- todos os sites realizam atividades significativamente diferentes;


- o cliente solicita que cada site seja auditado;
- existe um esquema setorial ou requisito regulatório que determina que cada site deva ser
auditado sistematicamente.

Quaisquer considerações legais relativas ao sistema de gestão da organização que sejam aplicadas
a uma única entidade jurídica ou múltiplas entidades legais são geralmente irrelevantes para a
auditoria de sistema de gestão, e, salvo indicação em contrário, não estão cobertos no presente
documento.

É o Sistema de Gestão da organização que deve ser auditado e certificado; além disso, por
definição, uma auditoria do Sistema de Gestão é baseada apenas em uma amostragem de
informação disponível.

Se tomarmos o exemplo de uma auditoria SGQ de uma organização de fabricação com 4 diferentes
linhas de produção. Todos os 4 precisarão ser auditados independentemente do fato de estarem em
um site único ou em locais a quilômetros de distância; mesmo se a logística da auditoria necessite
ser adequada às distâncias geográficas, o tempo de auditoria no local não deve variar
significativamente.

Antes da auditoria, o Organismo de certificação é responsável por obter o entendimento correto de


onde e como a organização está realizando as diferentes atividades no âmbito do escopo do Sistema
de gestão para poder planejar e realizar auditorias eficientes e eficazes.

Critérios-chave para garantir o planejamento efetivo e a implementação de um programa de auditoria


incluem:
- obtenção de conhecimento na fase de planejamento do Sistema de Gestão
- elementos / processos / atividades que são realizados e em qual site;
REV. PÁGINA
NIT-DICOR-054
09 54/56

- determinar os fatores críticos a serem avaliados para uma auditoria eficiente e efetiva,
dependendo do tipo de sistema de gestão que está sendo auditado;
- selecionar os membros da equipe de auditoria tendo em conta o acima;
- atribuição de tempo de auditoria no local suficiente

4. METODOLOGIA PARA AUDITORIA E CERTIFICAÇÃO

4.1 Geral

4.1.1 Todos os requisitos adequados da ISO/IEC 17021-1 devem ser aplicados, além das
Metodologias abaixo.

4.2 Elegibilidade para Certificação

4.2.1 A organização deve identificar a sua função central responsável pelo sistema de gestão.

4.2.2 A função central deve ter autoridade organizacional para definir, estabelecer e manter o
sistema de gestão.

4.2.3 O sistema de gestão da organização deve estar sujeito a uma análise crítica.

4.2.4 Todos os sites devem estar sujeitos ao programa de auditoria interna da organização.

4.2.5 A função central será responsável por garantir que os dados sejam coletados e analisados de
todos os sites e deve ser capaz de demonstrar sua autoridade e capacidade de iniciar mudanças
organizacionais conforme exigido, no entanto, não limitado a:

I – documentação do sistema e alterações do sistema;


ii – análise crítica;
iii – reclamações;
iv – análise de ações corretivas;
v - planejamento de auditoria interna e análise dos resultados;
vi – requisitos estatutários e regulamentares relativos às Normas.

4.3 Análise da Solicitação e Programa de Auditoria

4.3.1 O Organismo de certificação deve obter informações relevantes sobre a organização para:

- determinar o escopo do sistema de gestão que está sendo operado e o escopo solicitado da
certificação;
- compreender os acordos legais e contratuais que ligam os diferentes sites implementando o
Sistema de Gestão;
- entender “o que acontece e onde”, ou seja, determinar interfaces entre os diferentes sites e
atividades e identificar qualquer duplicação de atividades em sites separados;
- levar em consideração outros fatores relevantes (ver também IAF MD5, ISO/IEC TS 17023);
- determinar o tempo de auditoria e determinar a competência da equipe de auditoria necessária;
- determinar o programa de auditoria.

4.3.2 Ao determinar o programa de auditoria, o Organismo de Certificação deve considerar um tempo


adicional suficiente para cobrir atividades que não fazem parte do tempo de auditoria calculado,
como viagem, comunicação entre membros da equipe de auditoria, reuniões de abertura no local e
encerramento, reuniões pós-auditoria, etc., devido à configuração específica da organização a ser
auditada.
REV. PÁGINA
NIT-DICOR-054
09 55/56

Nota: técnicas de auditoria remotas podem ser usadas, desde que os processos a serem auditados
sejam de tal natureza que a auditoria remota seja apropriada (veja ISO/IEC 17021-1).

4.3.3 O Organismo de Certificação deve considerar a necessidade de realizar a Fase 1 em mais de


um site, para obter a informação exigida no Requisito 9.3.1.2.2 de ISO/IEC 17021-1.

4.3.4 O Organismo de Certificação, em colaboração com a organização, deve identificar todos os


processos de sistema de gestão implementado em cada site (com base no escopo da certificação),
incluindo Processos Primários, processos de avaliação e melhoria de desempenho e Processos
Secundários.

Em cada ciclo de certificação, o programa de auditoria deve:

i. Incluir durante cada auditoria todos os Processos Primários, conforme desempenho de cada
site;
ii. Incluir todos os processos de Avaliação e Melhoria do Desempenho durante cada Auditoria
inicial e de recertificação e pelo menos uma outra vez durante uma auditoria de supervisão em
cada ciclo de certificação;
iii. Incluir os Processos Secundários da seguinte maneira:

a. Auditoria de todos os Processos Secundários em cada auditoria inicial e de recertificação,


mas processos secundários semelhantes realizados em diferentes sites podem ser
verificados em base de amostragem;
b. Durante as auditorias de manutenção, os Processos Secundários devem ser verificados
baseados em amostragem e de acordo com o resultado das auditorias anteriores. Esta
amostragem deve ser projetada para garantir uma amostragem significativa para avaliar a
conformidade com os requisitos de sistema de gestão, e deve garantir que a seleção de
processos auditados ao longo dos 3 Ciclos do ano seja razoavelmente representativa do
sistema de gestão.

4.3.5 Quando forem usadas equipes de auditoria consistindo em mais de um membro será
responsabilidade do Organismo de Certificação, em conjunto com o Líder da Equipe, identificar a
competência técnica necessária para cada parte da auditoria e para cada site e alocar membros da
equipe apropriados para cada parte da auditoria.

4.4 Auditoria inicial: Fase 1

4.4.1 Durante a Fase 1, a equipe auditora deve completar a informação para:

- confirmar o programa de auditoria;


- planejar a Fase 2, levando em consideração os processos / elementos / atividades a serem
auditados em cada site, além de quaisquer Processos Primários implementados em cada site. A
equipe auditora deve selecionar em quais sites a implementação de Processos não básicos
precisa ser auditada para assegurar uma auditoria efetiva e completa do Sistema de Gestão; e
- confirmar que a equipe auditora da Fase 2 possui a competência necessária.

Nota: Os processos não primários referidos aqui significam a Avaliação de Desempenho E Melhoria
de processos, bem como os Processos Secundários.

4.5 Auditoria inicial: Fase 2

No resultado da auditoria inicial, a equipe auditora deve documentar quais processos foram
auditados em cada site. Esta informação será usada para alterar planos de auditoria para posteriores
auditorias de manutenção.
REV. PÁGINA
NIT-DICOR-054
09 56/56

4.6 Auditorias de manutenção

4.6.1 O Organismo de certificação deve atribuir tempo suficiente no local para auditar todos os
Processos Primários bem como outros processos em cada site (ver 4.5). Os Processos Secundários
podem ser amostrados desde que seja realizada uma amostragem significativa para avaliar a
conformidade com os requisitos de sistema de gestão (veja também o requisito 9.6.2.2 da ISO/IEC
17021-1). O Organismo de Certificação deve garantir que a seleção dos processos auditados ao
longo do ciclo de 3 anos é razoavelmente representativa do Sistema de Gestão.

4.6.2 A quantidade do tempo de auditoria atribuído a cada site deve depender se esse site está
executando Processos Primários ou não.

4.7 Auditorias de recertificação

O Organismo de certificação deve auditar o sistema de gestão completo de forma semelhante à


auditoria inicial.

O Organismo de certificação deve levar em consideração quais processos foram auditados e em qual
site durante o Ciclo atual.

5. CÁLCULO DO TEMPO DE AUDITORIA

5.1 As normas ISO relevantes, documentos IAF (principalmente IAF MD5) e, onde necessário,
quaisquer requisitos aplicáveis do esquema, em conjunto com os requisitos neste documento devem
ser utilizados para calcular o tempo total de auditoria para o Sistema de Gestão, independentemente
do número de sites.

Este tempo de auditoria nunca deve ser inferior ao que teria sido calculado para o tamanho e
complexidade da operação se todo o trabalho tivesse sido realizado em um único site (isto é, com
todos os funcionários da empresa no mesmo site).

Nota: é improvável que a abordagem “um terço” para o tempo de auditoria de manutenção e os “dois
terços”, para o tempo de auditoria de recertificação em sites únicos, sejam adequados, e deve-se ter
em consideração o tempo necessário para reunião de abertura e encerramento no local, processos
duplicados, variedade de Processos Primários a serem auditados, etc., como indicado no IAF MD5
para logística complicada.

6. DOCUMENTOS DE CERTIFICAÇÃO

6.1 O documento de certificação deve refletir o escopo da certificação e os sites, entidades jurídicas
auditadas e certificadas pelo Organismo de certificação.

________________________________________