MANUAL DO CURSO

Q31. ISO 19011:2018

©2012 SGS Portugal, S.A.

 A Norma ISO 19011:2018
José Reis

Formador

▪ José Reis
▪ Licenciatura: Engenharia da Qualidade
▪ Pós-graduações: MBA em Gestão; Mestrando em Engenharia
de Computação e Instrumentação Médica
▪ Gestor da Qualidade entre 1995 e 1998
▪ Consultor desde 1998
▪ Sistemas de Gestão da Qualidade, Ambiente, Inovação e SST
▪ Experiência em Marcação CE de Equipamentos de Proteção
Individual e Dispositivos Médicos
▪ Formador – áreas da Qualidade, Ambiente, Inovação e SST
▪ Auditor Coordenador - Sistemas de Gestão da Qualidade ISO
9001, Sistemas de Gestão Ambiental ISO 14001, Sistemas de
Gestão SST OHSAS 18001, Verificador Ambiental EMAS,
Sistemas de Gestão IDI NP 4457, Prestação de Serviços de
Manutenção NP 4492, Marcação CE de EPIs e Marcação CE de
DM

1
 A Norma ISO 19011:2018

◼ Enquadramento e Objetivos
• O presente curso tem como objetivo apresentar as principais
alterações da ISO 19011:2018.
• Estas alterações incluem, entre outras, o novo princípio da
abordagem baseado em risco, um alargamento das
orientações relativas a programação e condução de
auditorias e orientações relativas à auditoria de (novos)
conceitos tais como contexto da organização, Abordagem
por processos à auditoria, liderança e compromisso, riscos e
oportunidades, etc.
• No final da ação, os participantes ficarão esclarecidos sobre
as principais alterações da ISO 19011:2018.

Temas a trabalhar

✓ Principais Alterações da Norma ISO 19011:2018

✓ Termos e Definições
✓ Princípios de Auditoria
✓ Gestão de um Programa de Auditoria
✓ Condução de uma Auditoria
✓ Competência e Avaliação de Auditores
✓ Orientação adicional para os auditores planearem e
conduzirem auditorias

2
 ISO 19011:2018 versus 19011:2011

◼ Estrutura
• 4. Gestão de um Programa de Auditorias
– Determinar e Avaliar os Riscos e Oportunidades do Programa
de Auditorias
• 5. Condução de uma Auditoria (Realização)
• 6 . Realização de uma auditoria
• 7. Competência e Avaliação dos Auditores
– Determinação das competências dos auditores para satisfazer
as necessidades do programa de auditorias
• Anexo A (informativo) Orientações e exemplos
esclarecedores de conhecimentos e saber fazer específicos
de disciplinas para auditores
• Anexo B (informativo) Orientação adicional para os
auditores quanto ao planeamento e à condução de
auditorias passa a Anexo A

ISO 19011:2018 versus 19011:2011

◼ 3ª Edição – Sistemas de Gestão

• ISO 9001 - Sistemas de Gestão da Qualidade - Requisitos
• ISO 13485 - Dispositivos Médicos - Sistemas de Gestão da
Qualidade
• ISO 14001 - Environmental management systems -
Requirements
• ISO 22000 - Food safety management systems - Requirements
• ISO 22301 - Societal security — Business continuity
management systems — Requirements
• ISO 27001 - Information security management systems -
Requirements
• ISO 45001 - Occupational health and safety management
systems - Requirements
• ISO 50001 - Energy management systems – Requirements
• NP 4457 - Gestão da Investigação, Desenvolvimento e Inovação
(IDI) - Requisitos
• NP 4543 - Sistema de Gestão de Respostas Sociais - Requisitos
• SA 8000 - Gestão da Responsabilidade Social

3
 ISO 19011:2018 versus 19011:2011

◼ Principais diferenças
• acrescento da abordagem baseada no risco aos princípios de
auditoria;
• alargamento das orientações sobre a gestão de um programa de
auditoria, incluindo o risco do programa de auditoria;
• ampliação das orientações sobre a condução de uma auditoria,
particularmente a secção sobre planeamento da auditoria;
• alargamento dos requisitos de competência genérica para
auditores;
• ajuste da terminologia para refletir o processo e não o objeto
(“coisa”);
• remoção do anexo que continha os requisitos de competência
para a auditoria de disciplinas específicas do sistema de gestão
(devido ao grande número de normas de sistemas de gestão
individuais, não seria prático incluir requisitos de competência
para todas as disciplinas)
• expansão do Anexo A para fornecer orientação sobre novos
conceitos de auditoria, como contexto da organização, liderança
e comprometimento, auditorias virtuais, conformidade e cadeia
de fornecimento
7

ISO 19011:2018 versus 19011:2011

◼ Evolução
• 1ª edição – Auditorias a Sistemas de Gestão da Qualidade
• 2ª Edição – Auditorias a Sistemas de Gestão da Qualidade
(centrada nas auditorias de 1ª e de 2ª parte devido à
publicação da ISO/IEC 17021)
• 3ª Edição
– Necessidade de considerar uma abordagem mais ampla para a
auditoria ao sistema de gestão, bem como fornecer orientações
mais genéricas.
– Os resultados da auditoria podem fornecer dados de entrada
para a análise de vários aspetos no planeamento do negócio e
podem contribuir para a identificação de necessidades e
atividades de melhoria.

4
 ISO 19011:2018 versus 19011:2011

◼ Evolução
• 3ª Edição
– Centrada nas auditorias de 1ª parte e nas auditorias realizadas
pelas organizações aos seus fornecedores e organizadas por
outras partes interessadas

Auditorias de 1ª Auditorias de 2ª Auditorias de 3ª

Parte Parte Parte
Auditorias internas Auditorias a Auditoria de
fornecedor externo certificação ou
acreditação
Auditoria de outra Auditoria
parte interessada estatutária,
externa regulamentar ou
similar

ISO 19011:2018 versus 19011:2011

◼ Termos e Definições
• Auditoria – caíram as notas 3 e 4 tendo entrado 2 novos
termos “Auditoria Combinada” e “Auditoria Conjunta”
– Auditoria Combinada – auditoria realizada a dois ou mais
sistemas de gestão de um único auditado
– Auditoria Conjunta – auditoria realizada a um único auditado
por duas ou mais organizações
• Âmbito da auditoria
– Alterada a Nota 1 para incluir a referência “localizações virtuais”
e “funções”
– acrescentada a Nota 2 – uma localização virtual é onde uma
organização realiza trabalho ou fornece um serviço usando um
ambiente on-line permitindo que indivíduos possam executar
processos independentemente da sua localização física.

10

10

5
 ISO 19011:2018 versus 19011:2011

◼ Termos e Definições
• Critérios de Auditoria – Conjunto de requisitos usados
como referência contra os quais a evidência objetiva é
comparada (definição simplificada)
– Acrescentada a Nota 2 para clarificar o termo Requisitos –
podem incluir políticas, procedimentos, instruções de trabalho,
requisitos legais, obrigações contratuais, etc.
• Evidência Objetiva – incluída a definição (!!!) – dados que
dão suporte à existência ou veracidade de algo (fonte ISO
9000:2015)
• Constatações de Auditoria
– Acrescentado na Nota 2 o termo “riscos”
• Auditado - organização como um todo ou partes do mesmo
sendo auditada

11

11

ISO 19011:2018 versus 19011:2011

◼ Termos e Definições
• Observador
– Retiradas as Notas 1 e 2. No caso da Nota 1 a retirada deve-se
sobretudo à clarificação que foi feita à definição com a inclusão
de que “um observador não atua como um auditor” enquanto
que na versão anterior apenas era referido que um observador
não audita
• Sistema de Gestão – (alinhamento com a ISO 9000:2015)
conjunto de elementos interrelacionados ou interatuantes de
uma organização para o estabelecimento de política e
objetivos e de processos para atingir esses objetivos
– Mantidas todas as notas, relativamente à ISO 9000:2015 com a
exceção da Nota 4
• Risco – efeito da incerteza nos objetivos
– A definição alinhou com a ISO 9000:2015 incluindo as Notas
com exceção das Notas 5 e 6 que foram retiradas.

12

12

6
 ISO 19011:2018 versus 19011:2011

◼ Termos e Definições
• Competência
– Foi retirada a Nota
• Requisito – (definição incluída alinhada com a ISO
9000:2015) – Necessidade ou expectativa expressa,
geralmente implícita ou obrigatória
– Mantidas as Notas 1 e 2 da ISO 9000:2015
• Processo – (definição incluída alinhada com a ISO
9000:2015 tendo sido retiradas as Notas) – conjunto de
atividades inter-relacionadas ou interatuantes que utiliza
entradas para disponibilizar um resultado pretendido
• Desempenho – Resultado mensurável
– Retirada a Nota 3 da definição que consta da ISO 9000:2015
• Eficácia – Medida em que as atividades planeadas são
realizadas e atingidos os resultados planeados
– Retirada a Nota 1 da definição que consta da ISO 9000:2015
13

13

Princípios de Auditoria

◼ 7 princípios
• Integridade: pilar do profissionalismo
• Apresentação justa: obrigação de relatar com verdade e
rigor.
• Devido cuidado profissional: aplicação de diligência e de
discernimento ao auditar
• Confidencialidade: segurança da informação
• Independência: pilar da imparcialidade da auditoria e da
objetividade das conclusões da auditoria
• Abordagem baseada em evidências: método racional para
chegar a conclusões da auditoria fiáveis e reprodutíveis num
processo de auditoria sistemático
• Abordagem baseada no Risco: uma abordagem da
auditoria que considera riscos e oportunidades

14

14

7
 Princípios de Auditoria

◼ 7 princípios
• Abordagem baseada no Risco
– Esta foi a inclusão mais importante à ISO 19011
» A Estrutura de Alto Nível requer que o planeamento seja feito com
base
» nos riscos e oportunidades da organização (seção 6.1), que,
por sua vez, deve derivar
» do contexto da organização e das suas questões internas e
externas (seções 4.1 e 4.2).
– A ISO 19011: 2011 incluía considerações de risco apenas em
relação ao programa de auditoria e em relação a auditorias
individuais, ou seja, os riscos de não alcançar os objetivos da
auditoria e os riscos para o auditado que resultavam das
atividades de auditoria.

15

15

Princípios de Auditoria

◼ 7 princípios
• Abordagem baseada no Risco
– “Abordagem baseada no risco: uma abordagem da auditoria que
considera riscos e oportunidades.
» A abordagem baseada no risco deve influenciar substancialmente o
planeamento, a condução e a comunicação das auditorias, a fim de
garantir que as auditorias sejam focadas em assuntos importantes
para o auditado e para alcançar os objetivos do programa de
auditorias”.
– Esse novo princípio foi incluído na estrutura restante do
documento, começando com a Seção 5 - Gestão do programa
de auditoria, que sugere que sejam considerados os riscos e
oportunidades identificados pela organização e as ações
tomadas para resolvê-los ao preparar o programa de auditorias

16

16

8
 Gestão de um Programa de Auditorias

◼ Devera ser estabelecido um Programa de Auditorias que

possa incluir auditorias que se destinem:
• A uma ou mais normas de sistemas de gestão ou outros
requisitos
• A que sejam conduzidas de forma separada ou combinada
◼ A extensão de um programa de auditoria deve ser
baseada:
• No tamanho e na natureza do auditado
• Na natureza, funcionalidade, complexidade, tipo de riscos e
oportunidades, e o nível de maturidade do (s) sistema (s) de
gestão a ser auditado.

17

17

Gestão de um Programa de Auditorias

◼ A funcionalidade do sistema de gestão pode ser ainda mais

complexa quando a maioria das funções importantes é
subcontratada e gerida sob a liderança de outras
organizações
◼ Ter atenção relativamente ao local onde são tomadas as
decisões mais importantes
◼ Quem constitui a Gestão de Topo do Sistema de Gestão
◼ No caso de vários locais (por exemplo, países diferentes), ou
onde funções importantes são subcontratadas e geridas sob
a liderança de outra organização, deve-se dar atenção
especial à conceção, planeamento e validação do programa
de auditoria.
◼ No caso de organizações menores ou menos complexas, o
programa de auditoria pode ser dimensionado
adequadamente.
18

18

9
 Gestão de um Programa de Auditorias

◼ Com o objetivo de compreender o contexto do auditado, o

programa de auditorias deve, relativamente ao auditado,
levar em consideração:
• Os objetivos organizacionais;
• Questões internas e externas relevantes
• As necessidade e expectativas das partes interessadas
• Requisitos de segurança e confidencialidade da informação
◼ O planeamento das auditorias internas e, em alguns casos
das auditorias a fornecedores externos, pode ser feito de
forma a contribuir para outros objetivos da organização

19

19

Gestão de um Programa de Auditorias

◼ Quem gere o programa de auditorias deve assegurar que

a integridade da auditoria seja mantida e que não haja
influência indevida sobre a auditoria.
◼ A prioridade da auditoria deve ser dada à alocação de
recursos e métodos para assuntos que num sistema de
gestão possuem maior risco inerente e menor nível de
desempenho.
◼ Devem ser designados indivíduos competentes para gerir
o programa de auditorias.

20

20

10
 Gestão de um Programa de Auditorias

◼ O programa de auditorias deve incluir informações e

identificar recursos para permitir que as auditorias sejam
conduzidas de forma eficaz e eficiente dentro dos prazos
especificados. As informações devem incluir:
• a) objetivos para o programa de auditoria;
• b) riscos e oportunidades associados ao programa de
auditorias e as ações para abordá-los,
• c) âmbito (extensão, limites, locais) de cada auditoria dentro
do programa de auditorias,
• d) cronograma (número / duração / frequência) das
auditorias;
• e) tipos de auditoria, tais como internas ou externas,
• f) critérios de auditoria,
• g) métodos de auditoria a serem empregues,
• h) critérios para seleção de membros da equipa auditora,
• i) informações relevantes documentadas.
21

21

Gestão de um Programa de Auditorias

◼ Processo para Gestão de um Programa de Auditorias

22

22

11
 Gestão de um Programa de Auditorias

◼ Processo para Gestão de um Programa de Auditorias

23

23

Gestão de um Programa de Auditorias

◼ Estabelecimento dos Objetivos do Programa de Auditorias

(5.2)
• Substituído o termo “Gestão de Topo” por “Cliente da Auditoria”
• Os objetivos do programa de auditorias deverão ser
consistentes com a direção estratégica do cliente e dar suporte
à política e objetivos do sistema de gestão. Estes objetivos
podem ter em conta as seguintes considerações:
– necessidades e expectativas das partes interessadas relevantes,
externas e internas;
– características e requisitos de processos, produtos, serviços e
projetos, e quaisquer alterações aos mesmos;
– requisitos do sistema de gestão;
– necessidade de avaliação de fornecedores externos,
– nível de desempenho e nível de maturidade do sistema de gestão
auditado, conforme refletido em indicadores de desempenho
relevantes (por exemplo, KPIs), a ocorrência de não-conformidades
ou incidentes ou reclamações de partes interessadas,
– riscos e oportunidades identificados para o auditado,
– resultados de auditorias anteriores

24

24

12
 Gestão de um Programa de Auditorias

◼ Estabelecimento dos Objetivos do Programa de Auditorias

(5.2)
• Objetivos de programa de auditorias podem incluir os seguintes:
– identificar oportunidades para a melhoria de um sistema de gestão e
seu desempenho;
– avaliar a capacidade do auditado em determinar o seu contexto;
– avaliar a capacidade do auditado em determinar riscos e
oportunidades e identificar e implementar ações eficazes para
enfrentá-los;
– estar em conformidade com todos os requisitos relevantes, por ex.
requisitos estatutários e regulamentares, compromissos de
conformidade, requisitos de certificação de uma norma de sistema
de gestão,
– obter e manter a confiança na capacidade de um fornecedor
externo,
– determinar a adequação contínua, adequação e eficácia do sistema
de gestão do auditado,
– avaliar a compatibilidade e alinhamento dos objetivos do sistema de
gestão com a direção estratégica da organização

25

25

Gestão de um Programa de Auditorias

◼ Determinar e avaliar os riscos e oportunidades do

programa de auditorias (5.3)
• Há riscos e oportunidades relacionados com o contexto do
auditado que podem ser associados a um programa de
auditoria e podem afetar o alcance dos seus objetivos.
• O (s) indivíduo (s) que gere o programa de auditorias deve
identificar e apresentar ao cliente da auditoria os riscos e as
oportunidades considerados ao desenvolver o programa de
auditoria e os requisitos de recursos, para que possam ser
tratados adequadamente.

26

26

13
 Gestão de um Programa de Auditorias

◼ Determinar e avaliar os riscos e oportunidades do

programa de auditorias (5.3)
• Estes riscos podem estar associados com o seguinte:
– planeamento, por ex. falha em definir objetivos de auditoria
relevantes e determinar a extensão, o número, a duração, a
localização e o cronograma das auditorias,
– recursos, por ex. permitir tempo, equipamento e / ou formação
insuficientes para desenvolver o programa de auditorias ou
realizar uma auditoria;
– Seleção da equipa auditora, por ex. insuficiente competência
global para realizar auditorias de forma eficaz
– comunicação, por ex. processos / canais ineficazes de
comunicação externa / interna;

27

27

Gestão de um Programa de Auditorias

◼ Determinar e avaliar os riscos e oportunidades do

programa de auditorias (5.3)
– implementação, por ex. coordenação ineficaz das auditorias
dentro do programa de auditorias, ou não se ter em
consideração a segurança e confidencialidade da informação,
– controlo da informação documentada, por ex. determinação
ineficaz das informações documentadas necessárias exigidas
pelos auditores e partes interessadas relevantes, falha na
proteção adequada dos registros de auditoria para demonstrar a
eficácia do programa de auditoria,
– monitorização, revisão e melhoria do programa de auditorias,
por ex. monitorização ineficaz dos resultados do programa de
auditorias;
– disponibilidade e cooperação do auditado e disponibilidade de
evidências para que se faça uma amostragem.

28

28

14
 Gestão de um Programa de Auditorias

◼ Determinar e avaliar os riscos e oportunidades do

programa de auditorias (5.3)
• As oportunidades para melhorar o programa de auditoria
podem incluir:
– permitir que várias auditorias sejam realizadas em uma única
visita;
– minimizar o tempo e as distâncias nas viagens para um local;
– compatibilizar o nível de competência da equipa auditora com o
nível de competência necessário para alcançar os objetivos da
auditoria,
– alinhar as datas da auditoria com a disponibilidade do pessoal-
chave do auditado

29

29

Gestão de um Programa de Auditorias

◼ Estabelecimento do Programa de Auditorias

• Funções e responsabilidades da pessoa responsável pela
gestão do programa de auditorias (5.4.1)
– Deverá:
» estabelecer a extensão do programa de auditorias de acordo com os
objetivos relevantes e quaisquer restrições conhecidas,
» determinar as questões externas e internas e os riscos e
oportunidades que podem afetar o programa de auditorias e
implementar ações para resolvê-los, integrar essas ações em todas
as atividades relevantes de auditoria, conforme apropriado,
» assegurar a seleção das equipas auditoras e a competência geral
para as atividades de auditoria, atribuindo funções,
responsabilidades e autoridades, e apoiar a liderança, conforme
apropriado;
» determinar e assegurar o fornecimento de todos os recursos
necessários;
» assegurar que informações documentadas apropriadas sejam
preparadas e mantidas, incluindo auditoria. registros de programa;
» Monitorizar rever e melhorar o programa de auditorias
30

30

15
 Gestão de um Programa de Auditorias

◼ Estabelecimento do Programa de Auditorias

• Funções e responsabilidades da pessoa responsável pela
gestão do programa de auditorias (5.4.1)
– Deverá:
» estabelecer todos os processos relevantes, incluindo processos
para:
» a coordenação e programação de todas as auditorias dentro do
programa de auditorias;
» o estabelecimento de objetivos de auditoria, âmbito (s) e
critérios das auditorias, determinação de métodos de auditoria
e seleção da equipa auditora,
» avaliação dos auditores,
» o estabelecimento de processos de comunicação interna e
externa, conforme apropriado;
» a resolução de disputas e tratamento de reclamações;
» acompanhamento da auditoria, se aplicável;
» relato ao cliente da auditoria e partes interessadas relevantes,
conforme apropriado;
» comunicar o programa de auditorias ao cliente da auditoria e,
conforme apropriado, às partes interessadas relevantes.

31

31

Gestão de um Programa de Auditorias

◼ Estabelecimento do Programa de Auditorias

• Competência da pessoa responsável pela gestão do
programa de auditorias (5.4.2)
– … saber fazer nas seguintes áreas:
» …
» informações sobre o auditado e seu contexto (por exemplo,
questões externas / internas, partes interessadas relevantes e suas
necessidades e expectativas, atividades comerciais, produtos,
serviços e processos do auditado);
» requisitos estatutários e regulamentares aplicáveis e outros
requisitos relevantes para as atividades comerciais do auditado
– Conforme apropriado, o conhecimento da gestão de riscos,
gestão de projetos e processos e tecnologia da informação e
comunicação (TIC) pode ser considerado.

32

32

16
 Gestão de um Programa de Auditorias

◼ Estabelecimento do Programa de Auditorias

• Estabelecimento da extensão do programa de auditorias
(5.4.3)
– Outros fatores com impacto na extensão do programa de
auditorias incluem o seguinte:
» …
» b) as normas do sistema de gestão ou outros critérios aplicáveis;
» …
» m) riscos e oportunidades de negócios, incluindo ações para os
tratar;

33

33

Gestão de um Programa de Auditorias

◼ Estabelecimento do Programa de Auditorias

• Estabelecimento de procedimentos para o programa de
auditorias
• Determinação dos recursos do programa de auditorias (5.4.4)
– Ao determinar os recursos necessários, ter em conta:
» …
» d) a extensão do programa de auditoria e os riscos e oportunidades dos
programas de auditorias
» e) tempo de viagem e custo, acomodação e outras necessidades da
auditoria
» f) o impacto de diferentes fusos horários;
» g) a disponibilidade de tecnologias de informação e comunicação (por
exemplo, recursos técnicos necessários para configurar uma auditoria
remota usando tecnologias que suportem a colaboração remota);
» h) a disponibilidade de quaisquer ferramentas, tecnologias e
equipamentos necessários;
» i) a disponibilidade de informações documentadas necessárias,
identificadas como necessárias durante o estabelecimento do programa
de auditorias
» j) requisitos relacionados com a instalação, incluindo qualquer
autorização de segurança e equipamento (por exemplo, verificação de
antecedentes, equipamento, capacidade de usar vestuário de sala limpa)

34

34

17
 Implementação do Programa de
Auditorias (5.5)

◼ Uma vez estabelecido o programa de auditoria e os recursos

relacionados tenham sido determinados, é necessário
implementar o planeamento operacional e a coordenação de
todas as atividades dentro do programa. A pessoa que gere o
programa de auditorias deve:
• comunicar as partes relevantes do programa de auditoria,
incluindo os riscos e oportunidades envolvidos, às partes
interessadas relevantes e informá-las periodicamente do seu
progresso, utilizando canais estabelecidos de comunicação
externa e interna;
• definir objetivos, âmbito e critérios para cada auditoria individual,
• selecionar métodos de auditoria,
• coordenar e calendarizar as auditorias e outras atividades
relevantes para o programa de auditorias,
• assegurar que as equipas auditoras tenham a competência
necessária;
35

35

Implementação do Programa de
Auditorias (5.5)

◼ A pessoa que gere o programa de auditorias deve:

• fornecer recursos individuais e globais necessários às
equipas auditoras;
• assegurar a realização de auditorias de acordo com o
programa de auditorias, gerindo todos os riscos
operacionais, oportunidades e questões (eventos
inesperados), conforme forem surgindo durante a
implementação do programa;
• assegurar que as informações relevantes documentadas
sobre as atividades de auditoria sejam adequadamente
geridas e mantidas
• definir e implementar os controlos operacionais
necessários para a monitorização do programa de
auditorias
• rever o programa de auditorias para identificar
oportunidades de melhoria.

36

36

18
 Implementação do Programa de
Auditorias (5.5)

◼ Definição dos objetivos, âmbito e critérios de cada auditoria

(5.5.2)
• Cada uma das auditorias deverá estar baseada em objetivos,
âmbito e critérios de auditoria documentados definidos. Estes
deverão ser definidos pela pessoa responsável pela gestão do
programa de auditorias e ser consistentes com os objetivos
globais do programa de auditorias.
• Os objetivos da auditoria poderão incluir o seguinte:
– …
– avaliação da aptidão e adequação do sistema de gestão
relativamente ao contexto e direção estratégica do auditado
– avaliação da capacidade do sistema de gestão para estabelecer e
alcançar objetivos e abordar com eficácia os riscos e as
oportunidades, num contexto de mudanças, incluindo a
implementação das ações respetivas.
• …
• Algumas disciplinas podem ter um âmbito que reflete toda a
organização e outras podem ter um âmbito que reflete um
subconjunto de toda a organização. (auditorias combinadas)

37

37

Implementação do Programa de
Auditorias (5.5)

◼ Seleção e determinação dos métodos de auditoria (5.5.3)

• …
• As auditorias podem ser realizadas no local, remotamente ou
como uma combinação destas duas situações.
• …

38

38

19
 Implementação do Programa de
Auditorias (5.5)

◼ Seleção dos membros da equipa auditora (5.5.4)

• …
• Ao decidir o tamanho e a composição da equipe auditora
para a auditoria específica, deve ser tido em consideração:
– …
– exigências legais e contratuais e outros requisitos com os quais
a organização se tenha comprometido
– a capacidade dos membros da equipa auditora trabalharem e
interagirem efetivamente com os representantes do auditado e
das partes interessadas relevantes,
– …
– tipo e complexidade dos processos a serem auditados.
• Quando apropriado, a pessoa que gere o programa de
auditorias deve consultar o auditor coordenador sobre a
composição da equipa auditora.

39

39

Implementação do Programa de
Auditorias (5.5)

◼ Atribuição da responsabilidade por uma auditoria ao auditor

coordenador (5.5.5)
• Para assegurar que cada uma das auditorias é conduzida com
eficácia, a seguinte informação deverá ser fornecida ao auditor
coordenador:
– …
– informações que apoiem o auditor coordenador nas suas interações
com o auditado tendo em vista a eficácia do programa de auditorias.
• Esta informação deverá também englobar o seguinte, conforme
adequado:
– …
– requisitos para viagens ou acesso a locais remotos;
– …
– coordenação com outras atividades de auditoria, por exemplo,
quando diferentes equipas estão a auditar processos similares
ou relacionados em diferentes locais ou no caso de uma auditoria
conjunta.

40

40

20
 Implementação do Programa de
Auditorias (5.5)

◼ Gestão dos resultados do programa de auditorias (5.5.6)

• A pessoa responsável pela gestão do programa de auditorias
deverá assegurar-se de que as seguintes atividades são
executadas:
– avaliar em que medida foram alcançados os objetivos de cada
auditoria dentro do programa de auditorias;
– …
• A pessoal responsável pela gestão do programa de
auditorias deve considerar, quando apropriado:
– comunicar os resultados e as melhores práticas da auditoria
para outras áreas da organização, e
– as implicações para outros processos.

41

41

Implementação do Programa de
Auditorias (5.5)

◼ Gestão e manutenção dos registos do programa de

auditorias (5.5.7)
• Os registos deverão incluir o seguinte:
– registos relacionados com o programa de auditorias, tais como:
» Calendário das auditorias
» …
» Os que abordam riscos e oportunidades do programa de auditorias,
bem como questões internas e externas relevantes
» …
– registos relacionados com cada uma das auditorias, tais como:
» …
» Evidências objetivas de auditoria e constatações
» …
– registos relacionados com o pessoal que audita, cobrindo questões
como:
» …
» critérios para seleção das equipas auditoras e dos membros das equipas
e para constituição das equipas auditoras
» …

42

42

21
 Monitorização do programa de auditorias
(5.6)

◼ A pessoa responsável pela gestão do programa de

auditorias deverá monitorizar a sua implementação, tendo
em consideração a necessidade de:
• …
• suficiência e adequação das informações documentadas em
todo o processo de auditoria.

43

43

Monitorização do programa de auditorias

(5.6)

◼ Alguns fatores poderão determinar a necessidade de

modificar o programa de auditorias, tais como:
• …
• nível demonstrado de eficácia e maturidade do sistema de
gestão do auditado;
• eficácia do programa de auditoria;
• âmbito da auditoria ou âmbito do programa de auditorias;
• o sistema de gestão do auditado;
• normas, exigências legais e contratuais e outros requisitos
com os quais a organização se tenha comprometido;
• fornecedores externos;
• conflitos de interesse identificados;
• os requisitos do cliente da auditoria.

44

44

22
 Revisão e melhoria do programa de
auditorias (5.7)

◼ A pessoa responsável pela gestão do programa de

auditorias deverá assegurar o seguinte:
• …
• rever o desenvolvimento profissional continuado dos
auditores, de acordo com 7.4, 7.5 e 7.6;
• relatar os resultados do programa de auditorias e fazer a sua
revisão com o cliente da auditoria e partes interessadas,
conforme apropriado

45

45

Realização de uma Auditoria (6)

◼ Generalidades
◼ Início da Auditoria
• Generalidades
• Estabelecimento do contacto com o auditado
• Determinação da exequibilidade da auditoria
◼ Preparação das Atividades de Auditoria
• Realização da revisão da informação documentada
• Planeamento da Auditoria
– Abordagem baseada no risco para o planeamento
– Detalhes do Planeamento da Auditoria
• Atribuição de tarefas à equipa auditora
• Preparação de informação documentada para a auditoria

46

46

23
 Realização de uma Auditoria (6)

◼ Condução das atividades de auditoria

• Generalidades
• Atribuição de funções e responsabilidades a guias e
observadores
• Condução da reunião de abertura
• Comunicação durante a auditoria
• Disponibilidade e acesso à informação de auditoria
• Revisão da informação documentada enquanto se conduz a
auditoria
• Recolha e verificação da informação
• Elaboração das constatações da auditoria
• Preparação das conclusões da auditoria
– Preparação da reunião de fecho
– Conteúdo das conclusões de auditoria
– Condução da reunião de fecho
47

47

Realização de uma Auditoria (6)

◼ Preparação e Distribuição do Relatório da Auditoria

• Preparação do Relatório da Auditoria
• Distribuição do Relatório da Auditoria
◼ Encerramento da Auditoria
◼ Condução do seguimento da auditoria

48

48

24
 Realização de uma Auditoria - Início da
Auditoria

◼ Estabelecimento do contacto com o auditado (6.2.2)

• O coordenador deve assegurar o contacto com o auditado
para:
– …
– Fornecer informação relevante relativamente a objetivos,
âmbito, critérios, métodos e composição da equipa auditora,
incluindo qualquer perito técnico;
– Solicitar acesso a informação relevante para efeitos de
planeamento incluindo informação sobre riscos e
oportunidades que a organização identificou e como estão
a ser tratados
– determinar os exigências legais e contratuais aplicáveis e
quaisquer outros requisitos relevantes para as atividades,
processos, produtos e serviços do auditado;
– …
– Resolver questões com o auditado ou cliente da auditoria
relacionadas com a composição da equipa auditora
49

49

Realização de uma Auditoria -

Preparação das Atividades de Auditoria

◼ Realização da revisão da informação documentada (6.3.1)

• A informação relevante do sistema de gestão do auditado
deverá ser revista para:
– …
– obter uma visão global da extensão da documentação do
sistema para detetar possíveis conformidades com o critério de
auditoria e detetar possíveis áreas de preocupação, tais como
insuficiências, omissões ou conflitos.
• As informações documentadas devem incluir, mas não se
limitar a: documentos e registos do sistema de gestão, bem
como relatórios de auditoria anteriores.
• A revisão deve levar em consideração o contexto da
organização do auditado, incluindo o seu tamanho, natureza
e complexidade, e os seus riscos e oportunidades.
• Também deve levar em conta o âmbito, critérios e objetivos
da auditoria.
50

50

25
 Realização de uma Auditoria -
Preparação das Atividades de Auditoria

◼ Abordagem baseada no risco para o planeamento

(6.3.2.1)
• O coordenador deve adotar uma abordagem baseada no
risco para planear a auditoria com base nas informações do
programa de auditorias e nas informações documentadas
fornecidas pelo auditado.
• O planeamento da auditoria deve considerar os riscos das
atividades de auditoria nos processos do auditado e fornecer
a base para o acordo entre o cliente de auditoria, a equipa
auditora e o auditado em relação à condução da auditoria.
• O planeamento deve facilitar o agendamento e a
coordenação eficientes das atividades de auditoria, a fim de
atingir os objetivos de forma eficaz.
• A quantidade de detalhes fornecida no Plano de Auditoria
deve refletir o âmbito e a complexidade da auditoria, bem
como o risco de não atingir os objetivos da auditoria.
51

51

Realização de uma Auditoria -

Preparação das Atividades de Auditoria

◼ Abordagem baseada no risco para o planeamento

(6.3.2.1)
• Ao planear a auditoria, o coordenador deve considerar o
seguinte:
– a composição da equipa auditora e a sua competência geral;
– as técnicas de amostragem apropriadas
– oportunidades para melhorar a eficácia e eficiência das
atividades de auditoria;
– os riscos para alcançar os objetivos da auditoria criados pelo
planeamento ineficaz da auditoria;
– os riscos para o auditado criados pela execução da auditoria.

52

52

26
 Realização de uma Auditoria -
Preparação das Atividades de Auditoria

◼ Detalhes do Plano da Auditoria (6.3.2.2)

• O plano de auditoria deverá cobrir ou referir o seguinte:
– …
– os locais (físicos e virtuais), datas, horas e durações
expectáveis das atividades de auditoria a conduzir, incluindo
reuniões com a gestão do auditado;
– a necessidade da equipe auditora se familiarizar com as
instalações e processos do auditado (por exemplo, realizando
uma visita ao local (is) físico (s) ou revendo tecnologia de
informação e comunicação);
– …
– a alocação de recursos apropriados com base na consideração
dos riscos e oportunidades tendo em conta as atividades que
serão auditadas.

53

53

Realização de uma Auditoria -

Preparação das Atividades de Auditoria

◼ Preparação da informação documentada para a auditoria

(6.3.4)
• A informação documentada para a auditoria pode incluir, mas
não é limitada a:
– Listas de verificação físicas ou digitais
– Detalhes sobre a amostragem para a auditoria
– Informação audiovisual
• O uso destes meios não deverá restringir a extensão das
atividades da auditoria, as quais podem ser alteradas em
resultado de informação recolhida ao longo da auditoria.

54

54

27
 Realização de uma Auditoria – Conduzir
Atividades de Auditoria

◼ Disponibilidade e acesso a informações de auditoria

(6.4.5)
• Os métodos de auditoria escolhidos para uma auditoria
dependem dos objetivos, âmbito e critérios da auditoria
definidos, bem como da duração e localização.
• A localização é onde as informações necessárias para a
atividade de auditoria específica estão disponíveis para a
equipa auditora. Isso pode incluir locais físicos e virtuais
• Onde, quando e como ter acesso a informações de auditoria
é crucial para a auditoria. Isto é independente de onde a
informação é criada, usada e / ou armazenada. Com base
nessas questões, os métodos de auditoria devem ser
determinados.
• A auditoria pode usar uma mistura de métodos.
• As circunstâncias da auditoria podem significar que os
métodos necessitam de ser mudados durante a auditoria
55

55

Realização de uma Auditoria - Conduzir

Atividades de Auditoria

◼ Elaboração das constatações da auditoria (6.4.8)

• …
• As não-conformidades podem ser classificadas dependendo
do contexto da organização e seus riscos. Esta classificação
pode ser quantitativa (por ex. 1 a 5) e qualitativa (por ex.
menor, maior). …
• …

56

56

28
 Realização de uma Auditoria - Conduzir
Atividades de Auditoria

◼ Condução da reunião de fecho (6.4.10)

• …
• A reunião de encerramento deve ser presidida pelo auditor
coordenador e ser acompanhada pela gestão do auditado e
incluir, conforme aplicável:
– os responsáveis ​pelas funções ou processos auditados;
– o cliente da auditoria;
– outros membros da equipa auditora;
– outras partes interessadas relevantes, conforme determinado
pelo cliente da auditoria e / ou auditado.
• …

57

57

Realização de uma Auditoria - Conduzir

Atividades de Auditoria

◼ Condução da reunião de fecho (6.4.10)

• …
• O grau de detalhe deve levar em conta a eficácia do sistema
de gestão para atingir os objetivos do auditado, incluindo
consideração relativamente ao seu contexto, riscos e
oportunidades.
• …
• Conforme apropriado, o seguinte deverá ser explicadas ao
auditado na reunião de encerramento:
– …
– possíveis consequências de não abordar adequadamente os
resultados da auditoria
– …

58

58

29
 Realização de uma Auditoria -
Preparação e distribuição do relatório da
auditoria

◼ Preparação do Relatório da Auditoria (6.5.1)

• O relatório da auditoria deverá fornecer um registo completo,
exato, conciso e claro da auditoria, e deverá incluir ou referir
o seguinte:
– …
– As auditorias por natureza são um exercício de amostragem,
como tal existe um risco de que as evidências de auditorias
examinadas não sejam representativas.

◼ Distribuição do Relatório da Auditoria (6.5.2)

• …
• Aquando da distribuição do Relatório da Auditoria, deverão
ser tidas em conta medidas apropriadas para assegurar a
sua confidencialidade.

59

59

Realização de uma Auditoria

◼ Encerramento da auditoria (6.6)

• …
• As lições aprendidas com a auditoria podem identificar riscos
e oportunidades para o programa de auditorias e para o
auditado
◼ Condução do seguimento da auditoria (6.7)
• …
• Os resultados devem ser relatados à pessoa que gere o
programa de auditorias e reportados ao cliente da auditoria
para revisão pela gestão.

60

60

30
 Competência e avaliação dos auditores
(7)

◼ Generalidades
◼ Determinação da competência do auditor
• Generalidades
• Comportamento pessoal
• Conhecimento e saber fazer
– Generalidades
– Conhecimentos e saber fazer genéricos para auditores de sistemas de
gestão
– Competências específicas de disciplinas e de setores para auditores
– Competência genérica de um auditor coordenador
– Conhecimentos e saber fazer específicos para auditar sistemas
multidisciplinares
• Atingir competência como auditor
• Atingir competência como auditor coordenador
◼ Estabelecimento dos critérios de avaliação de auditores
◼ Seleção do método de avaliação de auditores adequado
◼ Condução da avaliação de um auditor
◼ Manutenção e melhoria da competência de um auditor

61

61

Competência e avaliação dos auditores

◼ Determinação da competência do auditor – Generalidades

(7.2.1)
• Ao decidir quais os conhecimentos e saber fazer, adequados
que são requeridos ao auditor, deverá ter-se em
consideração o seguinte:
– …
– Outros requisitos, como sejam aqueles impostos pelo cliente da
auditoria ou outras partes interessadas relevantes, como
apropriado

62

62

31
 Competência e avaliação dos auditores

◼ Conhecimentos e saber fazer genéricos para auditores de

sistemas de gestão (7.2.3.2)
• Princípios de auditoria, processos e métodos:…
• Um auditor deverá ser capaz de:
– Entender os tipos de riscos e oportunidades associados à
auditoria e os princípios da abordagem baseada no risco para a
auditoria
– …
– Utilizar documentos de trabalho para registar as atividades de
auditoria;
– …
– Auditar um processo do início ao fim, incluindo as inter-relações
com outros processos e diferentes funções, quando apropriado;
– …

63

63

Competência e avaliação dos auditores

◼ Conhecimentos e saber fazer genéricos para auditores de

sistemas de gestão (7.2.3.2)
• A organização e o seu contexto: os conhecimentos e
competências nesta área permitem ao auditor compreender
a estrutura, o propósito e as práticas de gestão do auditado e
devem abranger o seguinte:
– necessidades e expectativas das partes interessadas relevantes
que afetam o sistema de gestão;
– …

64

64

32
 Competência e avaliação dos auditores

◼ Competências genéricas do auditor coordenador (7.2.3.4)

• Um auditoria coordenador deverá ter a competência para:
– …
– discutir questões estratégicas com a gestão de topo do auditado
para determinar se consideraram essas questões ao avaliar os
seus riscos e oportunidades;
– …

65

65

Competência e avaliação dos auditores

◼ Manutenção e melhoria da competência de um auditor

(7.6)
• …
• As atividades de desenvolvimento profissional contínuo
deverão ter em consideração o seguinte:
– …
– Desenvolvimentos na prática de realizar auditorias incluindo o
uso de tecnologia
– …

66

66

33
 A.2 Abordagem por processo para a
auditoria

◼ O uso de uma “abordagem por processo” é um requisito

para todas as normas de sistemas de gestão ISO de
acordo com as Diretivas ISO / IEC, Parte 1, Anexo SL.
◼ Os auditores devem entender que auditar um sistema de
gestão é auditar os processos de uma organização e as
suas interações, relativamente a uma ou mais normas de
sistemas de gestão.
◼ Resultados consistentes e previsíveis são alcançados de
forma mais eficaz e eficiente quando as atividades são
compreendidas e geridas como processos inter-
relacionados que funcionam como um sistema coerente

67

67

A.3 Julgamento profissional

◼ Os auditores devem aplicar julgamento profissional

durante o processo de auditoria e evitar concentrar-se nos
requisitos específicos de cada cláusula da norma, em
detrimento do resultado pretendido para o sistema de
gestão.
◼ Algumas cláusulas das normas de sistemas de gestão da
ISO não se prestam prontamente à auditoria em termos de
comparação entre um conjunto de critérios e o conteúdo
de um procedimento ou instrução de trabalho.
◼ Nessas situações, os auditores devem usar o seu
julgamento profissional para determinar se a intenção da
cláusula foi cumprida.

68

68

34
 A.4 Resultados do desempenho

◼ Os auditores devem estar focados no resultado pretendido

do sistema de gestão durante todo o processo de
auditoria.
◼ Embora os processos e o que eles alcançam sejam
importantes, o resultado do sistema de gestão e o seu
desempenho é que conta.
◼ Também é importante considerar o nível de integração
dos diferentes sistemas de gestão e os seus resultados
pretendidos.
◼ A ausência de um processo ou documentação pode ser
importante numa organização complexa ou de alto risco,
mas não ter significado em outras organizações.

69

69

A.7 Auditoria à conformidade dentro de

um sistema de gestão

◼ A equipa auditora deve considerar se o auditado possui

processos eficazes para:
• Identificar os seus requisitos estatutários e regulamentares e
outros requisitos com os quais está comprometido;
• Gerir as suas atividades, produtos e serviços para alcançar a
conformidade com esses requisitos;
• Avaliar o seu estado de conformidade.

70

70

35
 A.7 Auditoria à conformidade dentro de
um sistema de gestão

◼ Além da orientação genérica dada neste documento, ao

avaliar os processos que o auditado implementou para
garantir a conformidade com os requisitos relevantes, a
equipa auditora deve considerar se o auditado:
• possui um processo efetivo para identificar mudanças nos
requisitos de conformidade considerando-os como parte da
gestão da mudança,
• tem pessoas competentes para gerir os seus processos de
conformidade;
• mantém e fornece informações documentadas apropriadas
sobre o seu estado de conformidade, conforme exigido pelos
reguladores ou outras partes interessadas;
• inclui requisitos de conformidade no seu programa de
auditorias internas;
• aborda o desempenho da conformidade no seu processo de
revisão pela gestão

71

71

A.8 Auditar o contexto

◼ Muitas normas de sistemas de gestão exigem que uma

organização determine o seu contexto, incluindo as
necessidades e expectativas das partes interessadas
relevantes e questões externas e internas.
◼ Para fazer isso, uma organização pode usar várias
técnicas para análise e planeamento estratégico.
◼ Os auditores devem confirmar que os processos
adequados foram desenvolvidos para esse fim e são
usados ​de forma eficaz, de modo a que os seus
resultados forneçam uma base confiável para determinar o
âmbito e o desenvolvimento do sistema de gestão.

72

72

36
 A.8 Auditar o contexto

◼ Para fazer isso, os auditores devem considerar evidências

objetivas relacionadas com o seguinte:
• processo (s) ou método (s) utilizado (s);
• a adequação e competência dos indivíduos que contribuem
para o (s) processo (s);
• os resultados do (s) processo (s);
• a aplicação dos resultados para determinar o âmbito e
desenvolvimento do sistema de gestão;
• revisões periódicas do contexto, conforme apropriado.
◼ Os auditores devem ter conhecimento específico do setor
e compreensão das ferramentas de gestão que as
organizações podem usar para fazer um julgamento sobre
a eficácia dos processos usados ​para determinar o
contexto.
73

73

A.9 Auditar a liderança e o

comprometimento

◼ Muitas normas de sistemas de gestão aumentaram os

requisitos para a gestão de topo.
◼ Esses requisitos incluem demonstrar o comprometimento
e liderança assumindo a responsabilidade pela eficácia do
sistema de gestão e cumprindo uma série de
responsabilidades.
◼ Isso inclui tarefas que a gestão de topo deve assumir e
outras que podem ser delegadas.
◼ Os auditores devem obter evidências objetivas do grau em
que a gestão de topo está envolvida na tomada de
decisões relacionadas com o sistema de gestão e como
demonstra o comprometimento em garantir a sua eficácia.

74

74

37
 A.9 Auditar a liderança e o
comprometimento

◼ Isso pode ser obtido analisando os resultados de processos

relevantes (por exemplo, políticas, objetivos, recursos
disponíveis, comunicações da gestão de topo) e
entrevistando a equipa para determinar o grau de
comprometimento da gestão de topo.
◼ Os auditores também devem procurar entrevistar a gestão de
topo para confirmar se possuem um entendimento adequado
das questões específicas da disciplina relevantes ao seu
sistema de gestão, juntamente com o contexto no qual a sua
organização opera, para que possam garantir que o sistema
de gestão atinja os resultados pretendidos.
◼ Os auditores não devem apenas se concentrar na liderança
ao nível da gestão de topo, mas também devem auditar a
liderança e comprometimento em outros níveis de gestão

75

75

A.10 Auditoria a riscos e oportunidades

◼ A determinação e a gestão dos riscos e das oportunidades

da organização podem ser incluídos como parte das
atribuições de uma auditoria.
◼ Os objetivos centrais para tal tarefa de auditoria são:
• garantir a credibilidade do (s) processo (s) de identificação de
riscos e oportunidades;
• garantir que os riscos e as oportunidades sejam corretamente
determinados e geridos;
• Analisar criticamente como a organização aborda os seus riscos
e oportunidades determinados.
◼ Uma auditoria da abordagem de uma organização para a
determinação de riscos e oportunidades não deve ser
executada como uma atividade autônoma.
◼ Deve estar implícito durante toda a auditoria a um sistema de
gestão, inclusive ao entrevistar a gestão de topo.

76

76

38
 A.10 Auditoria a riscos e oportunidades

◼ Um auditor deve agir de acordo com as seguintes etapas

e recolher evidências objetivas da seguinte forma:
• As entradas utilizadas pela organização para determinar os
seus riscos e oportunidades, que podem incluir:
– análise de questões externas e internas;
– a direção estratégica da organização;
– partes interessadas, relacionadas com o sistema de gestão
específico da disciplina e seus requisitos
– fontes potenciais de risco, como aspetos ambientais e riscos de
segurança, etc.
• método pelo qual riscos e oportunidades são avaliados, que
podem diferir entre disciplinas e setores.
◼ O tratamento que a organização faz dos seus riscos e
oportunidades, incluindo o nível de risco que deseja
aceitar e como ele é controlada, exigirá a aplicação do
julgamento profissional pelo auditor.

77

77

A.11 Ciclo de vida

◼ Alguns sistemas de gestão específicos exigem a aplicação

de uma perspetiva de ciclo de vida aos seus produtos e
serviços.
◼ Os auditores não devem considerar isso como um
requisito para adotar uma abordagem de ciclo de vida
◼ Uma perspetiva de ciclo de vida envolve a consideração
do controlo e influência que a organização tem sobre as
etapas de seu ciclo de vida de produto e serviço.
◼ As etapas do ciclo de vida incluem a aquisição de
matérias-primas, design, produção, transporte / entrega,
uso, tratamento de fim de vida útil e disposição final.

78

78

39
 A.11 Ciclo de vida

◼ Essa abordagem permite que a organização identifique as

áreas em que, ao considerar o seu âmbito, pode minimizar o
seu impacto no ambiente, agregando valor à organização.
◼ O auditor deve usar o seu julgamento profissional sobre
como a organização aplicou uma perspetiva de ciclo de vida
em termos da sua estratégia e a:
• vida do produto ou serviço;
• influência da organização na cadeia de fornecimentos;
• comprimento da cadeia de fornecimentos;
• complexidade tecnológica do produto.
◼ Se uma organização combinou vários sistemas de gestão
num único sistema de gestão para ir ao encontro das suas
próprias necessidades, o auditor deve examinar
cuidadosamente qualquer sobreposição relativa à
consideração do ciclo de vida.

79

79

40