A nova ISO 19011:2012 foi reeditada com um novo título: “Diretrizes para auditoria em
sistemas de gestão”, substituindo o antigo “Diretrizes para auditoria de sistemas de qualidade
e/ou de gestão ambiental”.
O que haverá de novo?
A nova ISO 19011 fornece às pessoas envolvidas na auditoria de gestão de sistemas uma boa orientação prática de auditorias relevantes para o ambiente atual. Atualmente muitas organizações implementam sistemas de gestão que abrangem várias disciplinas, por exemplo, Qualidade (ISO 9001), Meio-ambiente (ISO 14001), Saúde e Segurança Ocupacional (OHSAS 18001) e Segurança da Informação (ISO 27000), etc. Os Princípios de auditoria da nova versão foram revisados e ampliados para incluir o novo princípio de auditoria “Confidencialidade – segurança da informação”. – Este é um princípio que exige que os auditores sejam prudentes no uso e proteção das informações adquiridas no exercício das suas funções durante a auditoria de sistemas de gestão. O corpo principal da ISO 19011:2012 define boas práticas para gerenciamento de um Programa de Auditoria e Execução de uma Auditoria. Foi atualizado para refletir o pensamento atual e expandiu-se significativamente em algumas partes. Estas seções trazem orientações detalhadas; destinadas a serem utilizadas de forma flexível de acordo com o tamanho da organização auditada, nível de maturidade do seu sistema de gestão, natureza e complexidade da organização a ser auditada. O conceito de risco em auditoria está sendo introduzido. Além disso, o uso da tecnologia na área de auditoria remota será reconhecido. Há alterações introduzidas também na orientação sobre competência e avaliação dos auditores. Como a ISO 19011:2012 aborda auditorias de sistemas de gestão que abrangem várias disciplinas, alguns destes podem ser de grande alcance. As mudanças significativas incluem: A competência necessária ao auditor compreende conhecimentos e competências gerais de sistemas de gestão, além de disciplina específica (por exemplo, SGQ), setor de conhecimento (por exemplo, aeroespacial) e habilidades específicas. O Anexo A (informativo) da norma traz exemplos de conhecimentos específicos de cada disciplina e as competências dos auditores, incluindo: - Gestão da segurança em Transporte - Gestão ambiental - Gestão da Qualidade - Gerenciamento de registros - Gestão de Resiliência, a segurança, preparação e continuidade do negócio - Segurança da informação - Saúde e segurança ocupacional A ISO 19011:2012 não inclui orientações sobre conhecimentos específicos do setor de atuação da organização ou sobre as habilidades do auditor. Estas orientações podem ser desenvolvidas posteriormente e publicadas separadamente pela International Organization for Standardization (ISO). A ISO 19011:2002 fornecia orientações sobre educação, experiência profissional, treinamento em auditoria e experiência em auditoria que contribuem para o desenvolvimento do conhecimento e as habilidades necessárias para realizar auditorias e liderar equipes de auditoria. A ISO 19011:2012 também fornece orientações sobre conhecimentos e competências dos auditores do sistema de gestão e um líder da equipe de auditoria, mas não faz referência aos auditores terem concluído o ensino, experiência profissional, treinamento em auditoria e experiência em auditoria. Esta mudança reconhece que a educação, experiência profissional, formação e experiência de auditoria são facilitadores para a competência, que a ISO 19001:2012 e a ISO 17021:2011 definem como “capacidade de aplicar conhecimentos e habilidades para alcançar os resultados desejados”. A ISO 19011:2012 reconhece a necessidade da avaliação de competências, que pode ser realizada de diversas maneiras, por exemplo, uma combinação de testes e exames, entrevistas, e/ou observação direta em auditorias
O que haverá de novo?
1 Escopo - Não houve mudanças significativas. 2 Referências Normativas - Não há referência aos termos e definições dados na ISO 9000 (SGQ) e ISO 14050 (SGA). 3 Termos e definições - Novas definições para “Observador”, “Guia” e “Risco” foram introduzidas. O termo risco foi usado na ISO 19011:2012 no contexto de “auditoria baseada em risco” e também “riscos do programa de auditoria”. A definição de competência foi revista e, embora a mudança pareça pequena, vai exigir que as organizações determinem a competência para atingir resultados pretendidos. O ponto de partida para isso será definir os resultados pretendidos para as diversas atividades envolvidas na gestão de um programa de auditoria e realização das auditorias. Esta mudança será compatível com a norma ISO 17021:2011. 4 Princípios de auditoria - Há seis princípios da norma ISO 19011:2012 em vez dos cinco que existiam na ISO 19011:2002. Princípios (a) – (d) são relacionados com os auditores e a pessoa que gerencia o programa de auditoria. Princípios (e) e (f) são relacionados com a auditoria em si. (A) Integridade – O princípio da integridade irá substituir e expandir o princípio de conduta ética mencionados na norma ISO 19011:2002. O princípio da integridade é o alicerce do profissionalismo. (B) Apresentação justa – Haverá uma expansão menor que incluirá a obrigação de comunicar com veracidade e precisão. (C) Devido cuidado profissional – o pedido de diligência e julgamento na auditoria. “Ter a competência necessária é um fator importante” (em ISO 19011:2002) foi substituído por “Um fator importante na realização do seu trabalho com o devido profissionalismo é ter a capacidade de fazer julgamentos fundamentados em todas as situações de auditoria” na ISO 19011:2012. (D) Confidencialidade - Segurança da informação. Será um novo princípio de auditoria, que vai abordar a necessidade de discrição dos auditores no uso e proteção das informações adquiridas no exercício das suas funções. Este princípio se refere ao uso inadequado de tais informações para obter ganhos pessoais ou de maneira a prejudicar os legítimos interesses da entidade auditada. (E) Independência - a base para a imparcialidade da auditoria e objetividade das conclusões da auditoria. A ISO 19011:2012 fornece orientações mais específicas sobre a extensão da independência que deve ser atingida, embora reconhecendo que em organizações de pequeno porte pode ser difícil para os auditores internos serem totalmente independentes. A ISO 19011:2012 se refere a auditores internos que sejam independentes dos gerentes operacionais das funções a serem auditadas. A ISO 19011:2012 reflete agora a interpretação de independência que os organismos de certificação geralmente aplicam. (F) Abordagem baseada em evidências – Há pequena reformulação na ISO 19011:2012, que incluirá o método racional para alcançar conclusões de auditoria confiáveis e reprodutíveis de uma forma sistemática. 5 – Gerenciando um programa de auditoria -. Esta seção da ISO 19011:2012 teve uma revisão considerável. A linguagem das diretrizes nesta seção é de fácil compreensão, estão mais claras. As diretrizes para a gestão de um programa de auditoria estão estruturadas nas cláusulas abaixo: 5.1 Generalidades - Esta cláusula da ISO 19011:2012 reconhece que uma organização pode implementar uma série de normas de sistemas de gestão. Quando da emissão da norma ISO 19011:2002 referia-se a uma organização estabelecer um ou mais programas de auditoria. A ISO 19011:2012 se refere a um programa de auditoria que pode incluir auditorias considerando uma ou mais normas do sistema de gestão. - Excelente esta mudança, pois oficializa a criação de um único programa que cobre todos os temas de um SGI! Nesta cláusula da ISO 19011:2012 há orientação para alocar os recursos de auditoria para auditar as questões mais importantes dentro do sistema de gestão. Este conceito é conhecido como auditoria baseada em risco. 5.2 Estabelecendo objetivos do programa de auditoria – O título desta cláusula foi revisto e também as diretrizes para a estruturação do conteúdo a seguir. A orientação do fluxo de processo sobre a extensão de um programa de auditoria foi transferida para a seção 5.3.3. 5.3 Estabelecendo o programa de auditoria – Na ISO 19011:2002 o título desta cláusula era “Responsabilidades, recursos e procedimentos do programa de auditoria”. As novidades neste tópico são a orientação sobre “Competência da pessoa que gerencia o programa de auditoria”, e também novas orientações sobre “Identificação e avaliação de riscos do programa de auditoria”. 5.4 Implementar o programa de auditoria – A ISO 19011:2012 fornece orientações mais aprofundadas nesta cláusula. Há a sub-cláusula “Definir os objetivos, escopo e critérios para uma auditoria individual”. As diretrizes desta sub-cláusula identificam que cada auditoria deve ter um objetivo claro. Esta seção também destaca questões a considerar quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados juntos. E também tem uma nova sub-seção “Selecionando métodos de auditoria” e orientações adicionais sobre esta questão estão incluídas no Anexo B da nova ISO 19011. Outras sub-cláusulas incluídas: Seleção dos membros da equipe de auditoria, Atribuição de responsabilidades numa auditoria individual para o líder da equipe, Gestão dos resultados do programa de auditoria, Gestão e manutenção de registros do programa de auditoria. Em suma, podemos concluir que a seção 5.4 da ISO 19011:2002 foi revisada para fornecer uma orientação abrangente para o que antes era uma lista de tópicos que precisavam ser abordados na execução do programa de auditoria. A Seção 5.5 da ISO 19011:2002 – registros do programa de auditoria; agora faz parte da seção 5.4. 5.5 – Monitoramento do programa de auditoria e 5.6 – Revisão e melhoria do programa de auditoria – Essas duas seções substituem o que está estabelecido na ISO 19011:2002 na cláusula 5.6 – Monitoramento e análise crítica do programa de auditoria. Houve uma expansão menor de referências a considerar, tais como: Avaliação do desempenho dos membros da equipe de auditoria, Considerar métodos de auditoria alternativos ou novos como parte de uma revisão, Avaliação da eficácia das medidas para enfrentar riscos associados com o programa de auditoria, revisão de questões sobre confidencialidade e segurança da informação, relativas ao programa. 6 Realizar uma auditoria -. O título desta cláusula na ISO 19011:2002 é “Atividades de auditoria”, que foi revisado. Na ISO 19011:2012 você vai encontrar melhores orientações que na versão anterior, pois ela está estruturada para seguir o fluxo do processo de auditoria (já descrito na versão anterior), como abaixo: 6.1 Generalidades 6.2 Iniciando a auditoria - já não se refere à nomeação do líder da equipe ou à definição dos objetivos da auditoria, escopo e critérios como estes são tratados na gestão de um programa de auditoria. Agora se concentra nos tópicos “Estabelecimento de contato inicial com o auditado” e “determinar a viabilidade da auditoria”. 6.3 Preparando as atividades de auditoria - combina previamente as duas seções ”Realização da revisão de documentos” e “Preparando-se para as atividades de auditoria no local”. Agora cobre: - Execução de revisão dos documentos na preparação para a auditoria - Preparação do plano de auditoria - Atribuição dos trabalhos à equipe de auditoria - Preparação dos documentos de trabalho O objetivo de realizar uma análise de documentos na preparação é reunir informações para preparar as atividades de auditoria e os documentos de trabalho aplicáveis; e também estabelecer uma visão geral da extensão da documentação do sistema para detectar possíveis lacunas. 6.4 Conduzindo as atividades de auditoria - agora abrange: - Realizar a reunião de abertura - Execução de revisão de documentos durante a realização da auditoria - Comunicação durante a auditoria - Atribuir papéis e responsabilidades de guias e observadores - Coleta e verificação das informações - Gerar constatações da auditoria - Preparação das conclusões da auditoria - Realização da reunião de encerramento 6.5 Preparando e distribuindo o relatório de auditoria 6.6 Concluindo a auditoria 6.7 Realização de auditoria de acompanhamento - o texto esclarece que as ações pós auditoria podem ser correções, ações corretivas, ações preventivas ou de melhoria. 7 Competência e avaliação dos auditores - Algumas mudanças significativas foram introduzidas, como seria de esperar, dado que a ISO 19011:2012 está direcionada a sistema de gestão cobrindo várias disciplinas. As novas orientações incluem: Determinar a competência do auditor para atender as necessidades do programa de auditoria – uma seção que identifica os fatores a considerar ao decidir conhecimentos e competências adequadas, por exemplo, as disciplinas do sistema de gestão a ser auditado. Em seguida passa a descrever: Comportamento pessoal - Os auditores devem exibir determinados comportamentos durante a execução das atividades de auditoria, por exemplo, observador, perspicaz, aberto a melhoria, culturalmente sensível e colaborativo. Houve certa expansão do que pedia a ISO 19011:2002. Conhecimentos e habilidades – A seção compreende: Conhecimentos e competências gerais dos auditores em sistema de gestão – uma seção expandida para incorporar o conhecimento e as habilidades necessárias para auditar sistemas de gestão de múltiplas disciplinas e implementar outras partes da ISO 19011:2012. Por exemplo, entender os tipos de riscos associados com a auditoria, ter conhecimento de tipos organizacionais, de negócios e conceitos gerais de gestão, processos e terminologia relacionada, incluindo orçamentos e gestão de pessoal. Muitas das adições nesta seção abordam a necessidade dos auditores serem capazes de posicionar a disciplina e as exigências do setor e os achados de auditoria no contexto mais amplo das atividades do negócio da organização, de agências governamentais, ambiente de negócios, requisitos legais e contratuais e as políticas de gestão e intenções para cada organização. Conhecimento de disciplinas do setor e habilidades específicas do auditor de sistemas de gestão - (disciplina – por exemplo, metrologia; e setor – para a indústria aeroespacial, por exemplo). A ISO 19011:2002 trazia orientação para os auditores de gestão da qualidade e auditores de sistema de gestão ambiental, cada um com sua própria seção fornecendo orientações sobre o conhecimento e competências necessárias ao auditor. A ISO 19011:2012 substitui essas duas seções por uma que identifica o conhecimento e as habilidades que precisam ser aplicados a todos os sistemas de gestão. Por exemplo, o conhecimento de: - Requisitos legais relevantes para a disciplina específica. - Fundamentos da disciplina e da aplicação de técnicas e de negócios específicos de cada disciplina, métodos, técnicas, processos e práticas suficientes para permitir ao auditor examinar o sistema de gestão e gerar resultados de auditoria e conclusões apropriados. - Princípios de gestão de risco, métodos e técnicas relevantes para a disciplina ou setor, para permitir que o auditor possa avaliar e controlar os riscos associados com o programa de auditoria. - Esta, a meu ver, a mudança mais profunda. Como lidar com isso será uma incógnita em muitas organizações… Com as recentes mudanças na ISO 19011 (veja aqui) um dos pontos críticos para atender ao requisito 8.2.2 da ISO 9001 passa a ser a formação dos auditores. Em alguns casos isso pode se tornar um problema… Para equipes pequenas, onde não existem profissionais com conhecimentos multi- disciplinares sobre os vários processos a auditar, fica difícil atender o item 7.2.3 da nova ISO 19011. Porém, não posso deixar de alertar que a norma, nesse item, utiliza muito o termo “convém”. – o que nos tira a obrigatoriedade de atender na íntegra todas as diretrizes ali contidas. A norma orienta sobre a capacitação ideal que devem ter os auditores, criando uma espécie de “Dream Team” de auditoria interna, onde nem todos os auditores estão no patamar de excelência, mas a equipe, somadas as competências individuais, está. “UFA! Escapei dessa!…” – você pode até pensar assim, mas na verdade a intenção da norma é orientar a formação de uma equipe ótima de auditores internos visando o fortalecimento do seu Sistema de Gestão, portanto se sua empresa quer obter o máximo de desempenho dele, deve seguir as orientações da nova ISO 19011. Uma das formas de obter isso é terceirizando o processo de Auditoria Interna. Benefícios da Auditoria Interna Terceirizada Segundo o SETEC Consulting Group, “terceirizar auditorias possibilita a redução dos custos em no mínimo 30% com os treinamentos, requalificação da sua equipe de auditores internos e tempo de seus funcionários; além de eliminar conflitos internos entre auditados e auditores, conseguindo melhorar a qualidade dos resultados.” A Qualylife diz que uma grande vantagem é “a imparcialidade nos resultados e o não vínculo de convivência profissional entre os colaboradores, práticas estas que podem gerar distorções e favorecimento dos resultados.” Já a Knower considera que a Auditoria Interna terceirizada “permite uma maior independência e melhoria do sistema de gestão, através de recomendações apontadas por um profissional com conhecimento de vários sistemas de gestão (qualidade, ambiental, segurança e saúde no trabalho e responsabilidade social), de diferentes ramos e atividades. Muitas vezes a visão de alguém de fora ajuda na identificação de causas de problemas antigos, facilitando a determinação de ações corretivas e oportunidades de melhoria.”
Como escolher quem vai prestar esse serviço?
Na hora de selecionar uma consultoria como parceira, alguns pontos são importantes: Deve existir transferência de conhecimento – Seus auditores devem poder acompanhar todo o processo, acompanhando os auditores terceirizados. As consultorias certamente alegam que seus auditores atendem aos requisitos da ISO 19011. Verifique – Peça o curriculum dos auditores que farão parte do time e compare com o perfil de auditor recomendado pela norma. 100% de adequação é difícil, mas os que cobrirem maior parte dos quesitos apontados pela 19011 formarão um time mais próximo do “Dream Team” sugerido pela norma. O curriculum deles também servirá de evidência para a auditoria externa, então convém arquivar. Custo, flexibilidade de agenda, facilidade de pagamento e confidencialidade também são pontos fundamentais a analisar. Quanto custa terceirizar? Difícil responder isso… O que vai influenciar no custo é uma soma de fatores que incluem a qualificação da equipe ofertada, o tamanho de sua organização, que processos serão auditados e o ramo de negócio, além de outros pontos como deslocamento, hospedagem, etc… Só pedindo um orçamento para ver… – Aliás, não esqueça de avaliar também pequenas consultorias! Não são só as grandes que possuem pessoal capacitado para te atender. E prefira consultorias ou consultores próximos de sua região – é mais econômico e sustentável, ok?