Material Didatico Curso Auditor Interno Sgi - Iel-Pe

AUDITOR INTERNO DE SISTEMA
DE GESTÃO INTEGRADO
Conforme Normas:
NBR ISO 9001:2015
NBR ISO 14001:2015
NBR ISO 45001:2018
NBR ISO 19011:2018
Objetivos do Curso
• Formar Auditores Internos para realização periódica
de auditorias e acompanhamento das ações para
tratamento das não conformidades relativas ao
sistema de gestão.
• Demonstrar que a Auditoria é uma importante

ferramenta de melhoria contínua.
• Proporcionar aos participantes os conhecimentos

necessários para executar ou receber auditorias,
sejam internas ou externas.
REVISÃO DAS NORMAS DE
REFERÊNCIA:
NBR ISO 9001:2015
NBR ISO 14001:2015
NBR ISO 45001:2018
NORMALIZAÇÃO
O que é Normalização?
É a maneira de organizar as atividades

pela criação e utilização de regras ou
normas, visando contribuir para o
desenvolvimento econômico e social.
Níveis de Normalização
ISO IEC
INTERNACIONAL
AMN CEN COPANT

REGIONAL
ABNT DIN BSI

NACIONAL
PETROBRAS
EMPRESARIAL
O que é a ISO ?
ISO
International Organization for Standardization
(Organização Internacional para Normalização)
É o fórum mundial onde se busca o consenso na elaboração de normas internacionais,

através da conciliação dos interesses dos fornecedores, consumidores, governo, comunidade
científica e demais representantes da sociedade civil organizada.
• FUNDADA APÓS A 2ª GUERRA, 1947

• ORGANIZAÇÃO NÃO GOVERNAMENTAL
• MAIS DE 15.600 NORMAS PUBLICADAS
• APROXIMADAMENTE 150 PAÍSES
SISTEMA DE GESTÃO DA
QUALIDADE – ISO 9001
Princípios da Gestão da Qualidade
PRINCÍPIOS DA GESTÃO DA QUALIDADE - ISO 9001:2015
1 Foco no cliente
2 Liderança
3 Engajamento das pessoas
4 Abordagem de processos
5 Melhoria
6 Tomada de decisão baseada em evidência
7 Gestão de relacionamento
ABORDAGEM DE PROCESSO – ISO
9001:2015
CICLO PDCA – ISO 9001:2015
Estrutura de Requisitos
ISO 9001:2015
0. Introdução
1. Escopo
2. Referências Normativas
3. Termos e Definições
4. Contexto da organização
5. Liderança
6. Planejamento
7. Apoio
8. Operação
9. Avaliação de Desempenho
10. Melhoria
SISTEMA DE GESTÃO
AMBIENTAL – ISO 14001
ISO 14001:2015
0. Introdução
1. Escopo
5. Liderança
6. Planejamento
7. Apoio
8. Operação
10. Melhoria
SISTEMA DE GESTÃO
SAÚDE E SEGURANÇA
OCUPACIONAL
ISO 45001
ISO 45001:2018
0. Introdução
1. Escopo
5. Liderança e Participação dos Trabalhadores
6. Planejamento
7. Suporte
8. Operação
10. Melhoria
Abordagem de Processo
• Entender e gerenciar processos inter-relacionados como um
sistema contribui para a eficácia e eficiência da organização
em atingir seus resultados pretendidos.
• A abordagem de processo envolve a definição e a gestão

sistemáticas de processos e suas interações para alcançar os
resultados pretendidos de acordo com a política de qualidade
e com o direcionamento estratégico da organização. A gestão
dos processos e do sistema como um todo pode ser
conseguida usando o ciclo PDCA com um foco geral na
mentalidade de risco, visando tirar proveito das
oportunidades e prevenir resultados indesejáveis
MENTALIDADE DE
RISCOS
RISCO
Efeito da
incerteza nos
objetivos.
(ISO 31000:2018).
Gestão de Riscos – ISO 31000:2018
• As organizações enfrentam influências
e fatores externos e internos que
podem afetar o alcance de seus
objetivos.
• Gerenciar riscos é iterativo e auxilia as
organizações no estabelecimento de
estratégias, no alcance de objetivos e
na tomada de decisões fundamentais.
• Gerenciar riscos considera os fatores
externos e internos da organização,
incluindo o comportamento humano
e os fatores culturais.
Mentalidade de Risco – ISO 9001:2015
• Um dos propósitos-chave de um sistema de gestão da
qualidade é atuar como uma ferramenta preventiva.
• O conceito de ação preventiva é expresso por meio de
uso de mentalidade de risco na formulação de
requisitos de sistema de gestão da qualidade.
• Não há requisito pra métodos formais para gestão de
riscos ou um processo de gestão de risco
documentado. As organizações podem decidir
desenvolver ou não uma metodologia de gestão de
risco mais extensiva que o requerido por esta Norma.
Exemplo – Mapeamento de Risco
IDENTIFICAÇÃO, ANÁLISE E AVALIAÇÃO DE RISCOS
EMPRESA: AREA/SETOR RESPONSÁVEL:
ÁREA PROCESSO S / P/ MEDIDA DE
EVENTO CAUSA CONSEQUÊNCIA RISCO SIGNIFICÂNCIA AÇÃO
TAREFA G F CONTROLE
Falha no
Falta de
COMERCIAL dimensiona
conhecimen Prejuízo
(APRESENTAÇÃO mento / 2 1 2
to / falha financeiro
DE PROPOSTA) definição do
técnica
produto
Recebiment
Falta de o fora de Atraso na
SUPRIMENTOS 0
itens críticos especificaçã produção
o
Falha do
Reclamação Cumpriment
Insatisfação do
SAC do cliente o do 0
cliente
não tratada procediment
o
0
Sistema de Gestão Integrada
ISO 9001 – Gestão

da Qualidade
ISO 45001 –
ISO 14001 – Gestão de
Gestão Saúde e
Ambiental Segurança
Ocupacional
Requisitos ISO
9001:2015
A estrutura da ISO 9001:2015
• Introdução
• 1. Escopo
• 2. Referências Normativas
• 3. Termos e Definições
• 4. Contexto da organização
– 1. Entendendo a organização e seu contexto
– 2. Entendendo as necessidades e expectativas das partes interessadas
– 3. Determinando o escopo do sistema de gestão da qualidade
– 4. Sistema de gestão da qualidade
• 1. Generalidades
• 2. Abordagem de processos
• 5. Liderança
– 1. Liderança e comprometimento
• 1. Liderança e comprometimento com respeito ao sistema de gestão da qualidade
• 2. Liderança e comprometimento com respeito às necessidades e expectativas dos clientes
– 2. Política da qualidade
– 3. Funções organizacionais, responsabilidades e autoridades
• 6. Planejamento
– 1. Ações para lidar com riscos e oportunidades
– 2. Objetivos da qualidade e planos para alcançá-los
– 3. Planejamento de mudanças
• 7. Apoio
– 1. Recursos
• 2. Infraestrutura
• 3. Ambiente de processo
• 4. Dispositivos de monitoramento e medição
• 5. Conhecimento
– 2. Competência
– 3. Conscientização
– 4. Comunicação
– 5. Informação documentada
• 2. Criação e atualização
• 3. Controle de informação documentada
• 8. Operação
– 1. Planejamento e controle operacional
– 2. Determinação das necessidades do mercado e interações com os clientes
• 2. Determinação dos requisitos relacionados aos bens e serviços
• 3. Análise crítica dos requisitos relacionados aos bens e serviços
• 4. Comunicação com o cliente
– 3. Planejamento operacional
– 4. Controle de provisão externa de bens e serviços
• 2. Tipo e extensão do controle de provisão externa
• 3. Informação documentada para provedores externos
– 5. Desenvolvimento de bens e serviços
• 1. Processos de desenvolvimento
• 2. Controles de desenvolvimento
• 3. Transferência de desenvolvimento
– 6. Realização de bens e serviços
• 1. Controle de produção de bens e prestação de serviços
• 2. Identificação e rastreabilidade
• 3. Propriedade dos clientes e provedores externos
• 4. Preservação de bens e serviços
• 5. Atividades pós-entrega
• 6. Controle de mudanças
• 7. Liberação de bens e serviços
• 8. Bens e serviços não conformes
• 9. Avaliação de desempenho
– 1. Monitoramento, medição, análise e avaliação
• 2. Satisfação do cliente
• 3. Análise e avaliação de dados
– 2. Auditoria interna
– 3. Análise crítica pela direção
• 10. Melhoria
– 1. Não conformidade e ação corretiva
– 2. Melhoria
4.1 Entendendo a organização e seu
contexto
• Determinar questões externas e internas
(propósito organizacional e direcionamento
estratégico) e que afetem a capacidade de
alcançar os resultados do SGQ
• Monitorar e analisar criticamente informação
sobre essas questões externas e internas
4.2 Entendendo as necessidades e
expectativas de partes interessadas
• Determinar, devido ao seu efeito ou potencial
efeito:
a. As partes interessadas que sejam pertinentes para o

SGQ
b. Os requisitos dessas partes interessadas que sejam
pertinentes para o SGQ
• Monitorar e analisar criticamente informação

sobre essas partes interessadas e seus requisitos
pertinentes.
4.3 Determinando o escopo do SGQ
• Determinar os limites e a aplicabilidade do SGQ para
estabelecer o seu escopo
• Aplicar todos os requisitos desta Norma, se eles forem

aplicáveis no escopo determinado do seu SGQ.
• O escopo do sistema de gestão da qualidade deve:

– Estar disponível e ser mantido como informação
documentada
– Declarar os tipos de produtos e serviços cobertos e prover
justificativa para qualquer requisito desta Norma não
aplicável
4.4 Sistema de Gestão da Qualidade e
seus processos
• 4.4.1 Estabelecer, implementar, manter e melhorar continuamente o SGQ, incluindo os processos
necessários e suas interações, de acordo com os requisitos desta Norma.
Determinar os processos necessários para o SGQ e sua aplicação na organização, e deve:
a. Determinar as entradas requeridas e as saídas esperadas desses processos;

b. Determinar a sequência e a interação desses processos;
c. Determinar e aplicar os critérios e métodos (incluindo monitoramento, medições e indicadores de
desempenho relacionados) necessários para assegurar a operação e o controle eficazes desses processos;
d. Determinar os recursos necessários para esses processos e assegurar a sua disponibilidade;
e. Atribuir as responsabilidades e autoridades para esses processos;
f. Abordar os riscos e oportunidades conforme determinados de acordo com os requisitos de 6.1;
g. Avaliar esses processos e implementar quaisquer mudanças necessárias para assegurar que esses
processos alcancem seus resultados pretendidos;
h. Melhorar os processos e o SGQ.
• 4.4.2 Na extensão necessária, a organização deve:
Manter informação documentada para apoiar a operação de seus processos;
Reter informação documentada para ter confiança em que os processos sejam realizados conforme
planejado.
5.1 Liderança e comprometimento
5. Liderança
5.1.1 Generalidades
A Alta Direção deve demonstrar liderança e comprometimento:
a. Prestar contas pela eficácia do SGQ;

b. Assegurando que a política da qualidade e os objetivos da qualidade sejam compatíveis com o contexto e a direção
estratégica da organização;
c. Assegurando a integração dos requisitos do sistema de gestão da qualidade nos processos de negócio da organização;
d. Promovendo o uso da abordagem de processos e da mentalidade de risco;
e. Recursos necessários para o sistema de gestão da qualidade estejam disponíveis;
f. Comunicando a importância de uma gestão da qualidade eficaz e de estar conforme com os requisitos do sistema de
gestão da qualidade;
g. Assegurando que o sistema de gestão da qualidade alcance seus resultados pretendidos;
h. Engajando, dirigindo e apoiando pessoas a contribuir para a eficácia do sistema de gestão da qualidade;
i. Promovendo melhoria;
j. Apoiando outros papéis pertinentes de gestão a demonstrar como sua liderança se aplica às áreas sob sua
responsabilidade.
5.1.2 Foco no cliente

A Alta Direção deve demonstrar liderança e comprometimento com relação ao foco no cliente, assegurando que:
a. Os requisitos do cliente e os requisitos estatutários e regulamentares pertinentes sejam determinados, entendidos e

atendidos consistentemente;
b. Os riscos e oportunidades que possam afetar a conformidade de produtos e serviços e a capacidade de aumentar a
satisfação do cliente sejam determinados e abordados;
c. O foco no aumento de satisfação do cliente seja mantido.
5.2 Política
5. Liderança
5.2.1 Desenvolvendo a política da qualidade
A Alta Direção deve estabelecer, implementar e manter uma política da qualidade que:
a. Seja apropriada ao propósito e ao contexto da organização e apoie seu direcionamento estratégico;
b. Proveja uma estrutura para o estabelecimento dos objetivos da qualidade;
c. Inclua um comprometimento em satisfazer requisitos aplicáveis;
d. Inclua um comprometimento com a melhoria contínua do sistema de gestão da qualidade.
5.2.2 Comunicando a política da qualidade
A política da qualidade deve:

a. Estar disponível e ser mantida como informação documentada;
b. Ser comunicada, entendida e aplicada na organização;
c. Estar disponível para partes interessadas pertinentes, como apropriado.
5.3 Papéis, responsabilidades e autoridades organizacionais.
A Alta Direção deve atribuir à responsabilidade em autoridades para:

a. Assegurar que o sistema de gestão da qualidade esteja conforme com os requisitos desta Norma;
b. Assegurar que os processos entreguem suas saídas pretendidas;
c. Relatar o desempenho do sistema de gestão da qualidade e as oportunidades para melhoria (ver 10.1),
em particular para a Alta Direção;
d. Assegurar a promoção do foco no cliente na organização;
e. Assegurar que a integridade do sistema de gestão da qualidade seja mantida quando forem
planejadas e implementadas mudanças no sistema de gestão da qualidade.
6. Planejamento
6.1 Ações para abordar riscos e oportunidades
6.1.1 Ao planejar o sistema de gestão da qualidade, a organização deve
considerar as questões referidas em 4.1 e os requisitos referidos em 4.2, e
determinar os riscos e oportunidades que precisam ser abordados para:
a. Assegurar que o sistema de questão da qualidade possa alcançar seus

resultados pretendidos;
b. Aumentar efeitos desejáveis;
c. Prevenir, ou reduzir, efeitos indesejáveis;
d. Alcançar melhoria.
6.1.2 A organização deve planejar:
a. Ações para abordar esses riscos e oportunidades;

b. Integrar e implementar as ações nos processos do seu sistema de gestão da
qualidade (ver 4.4);
c. Avaliar a eficácia dessas ações.
6. Planejamento
6.2 Objetivos da qualidade e planejamento para alcançá-los
6.2.1 A organização deve estabelecer objetivos da qualidade nas funções, níveis e
processos pertinentes necessários para o SGQ.
Os objetivos da qualidade devem:
a. Ser coerentes com a política da qualidade;
b. Ser mensuráveis;
c. Levar em conta requisitos aplicáveis;
d. Ser pertinentes para a conformidade de produtos e serviços e para aumentar a satisfação do
cliente;
e. Ser monitorados;
f. Ser comunicados;
g. Ser atualizados como apropriado.
Informação documentada sobre os objetivos da qualidade.
6.2.2 Ao planejar como alcançar seus objetivos da qualidade, a organização deve

determinar:
a. O que será feito;
b. Quais recursos serão requeridos;
c. Quem será responsável;
d. Quando isso será concluído;
e. Como os resultados serão avaliados.
6. Planejamento
6.3 Planejamento de mudanças
Quando a organização determina a necessidade de mudanças

no SGQ, as mudanças devem ser realizadas de uma maneira
planejada e sistemática (ver 4.4).
Considerar:
a. O propósito das mudanças e suas potenciais consequências;
b. A integridade do sistema de gestão da qualidade;
c. A disponibilidade de recursos;
d. A alocação ou realocação de responsabilidade e autoridades.
7. Apoio
7.1 Recursos
7.1.1 Generalidades
A organização deve determinar e prover os recursos necessários

para estabelecimentos, implementação, manutenção e melhoria
contínua do SGQ.
A organização deve considerar:
a. As capacidades e restrições de recursos internos existentes;
b. O que precisa ser obtido de provedores externos.
7.1.2 Pessoas
A organização deve determinar e prover as pessoas necessárias

para a implementação eficaz do seu sistema de gestão da qualidade
e para a operação e controle de seus processos.
7. Apoio
7.1.3 Infraestrutura
A organização deve determinar, prover e manter a

infraestrutura necessária para a operação dos seus
processos e para alcançar conformidade de produtos e
serviços.
NOTA Infraestrutura pode incluir:

a. Edifícios e utilidades associadas;
b. Equipamento, incluindo materiais, máquinas, ferramentas, etc.
e software.
c. Recursos para transporte;
d. Tecnologia da informação e de comunicação.
7. Apoio
7.1.4 Ambiente para a operação dos processos
A organização deve determinar, prover e manter um
ambiente necessário para a operação de seus processos
e para alcançar a conformidade de produtos e serviços.
NOTA Um ambiente adequado pode ser a combinação de

fatores humanos e físicos, como:
a. Social (por exemplo, não discriminatório, calmo, não
confrontante);
b. Psicológico (por exemplo, redutor de estresse, preventivo
quanto à exaustão, emocionalmente protetor);
c. Físico (por exemplo, temperatura, calor, umidade, luz, fluxo
de ar, higiene, ruído).
7. Apoio
7.1.5 Recursos de monitoramento e medição
7.1.5.1 Generalidades
A organização deve determinar e prover os recursos necessários para assegurar

resultados válidos e confiáveis quando monitoramento ou medição for usado para
verificar a conformidade de produtos e serviços com requisitos.
A organização deve reter informação documentada
7.1.5.2 Rastreabilidade de medição
Quando a rastreamento de medição for um requisito, ou for considerada pela

organização uma parte essencial da provisão de confiança na validade de resultados
de medição, os equipamentos de medição devem ser:
a. Verificados ou calibrados, ou ambos;
b. Identificados para determinar sua situação;
c. Salvaguardados contra ajustes, danos ou deterioração que invalidariam a situação
de calibração e resultados de medições subsequentes.
d. A organização deve determinar se a validade de resultados de medição anteriores
foi adversamente afetada quando o equipamento de medição for constatado
inapropriado para seu propósito, e deve tomar ação apropriada, como necessário.
7. Apoio
7.1.6 Conhecimento organizacional
A organização deve determinar o conhecimento necessário

para a operação de seus processos e para alcançar a
conformidade de produtos e serviços.
Esse conhecimento deve ser mantido e estar disponível na

extensão necessária.
Ao abordar necessidades e tendências de mudanças, a

organização deve considerar seu conhecimento no
momento e determinar como adquirir ou acessar
qualquer conhecimento adicional necessário e
atualizações requeridas.
7. Apoio
7.2 Competência
A organização deve:
a. Determinar a competência necessária de pessoa(s)
que realize(m) trabalho sob o seu controle que afete
o desempenho e a eficácia do sistema de gestão da
qualidade;
b. Assegurar que essas pessoas sejam competentes,
com base em educação, treinamento ou experiência
apropriados;
c. Onde aplicável, tomar ações para adquirir a
competência necessária e avaliar a eficácia das ações
tomadas;
d. Reter informação documentada, apropriada como
evidência de competência.
7. Apoio
7.3. Conscientização
A organização deve assegurar que pessoas que realizam trabalho sob o
controle da organização estejam conscientes:
a. Da política da qualidade;
b. Dos objetivos da qualidade pertinentes;
c. Da sua contribuição para a eficácia do sistema de gestão da qualidade, incluindo os
benefícios de desempenho melhorado;
d. Das implicações de não estar conforme com os requisitos do sistema de gestão da
qualidade.
7.4 Comunicação
A organização deve determinar as comunicações internas e externas
pertinentes para o sistema de gestão da qualidade, incluindo:
a. Sobre o que comunicar;
b. Quando comunicar;
c. Com quem se comunicar;
d. Como comunicar;
e. Quem comunica.
7. Apoio
7.5 Informação documentada
7.5.1 Generalidades
O sistema de gestão da qualidade da organização deve incluir:
a. Informação documentada requerida por esta Norma;
b. Informação documentada determinada pela organização como sendo necessária para a
eficácia do sistema de gestão da qualidade.
• NOTA A extensão da informação documentada para um sistema de gestão da

qualidade pode diferir de uma organização para outra devido:
– Ao porte da organização e seu tipo de atividades, processos, produtos e serviços:
– À complexidade de processos e suas interações;
– À competência de pessoas.
7.5.2 Criando e atualizando

Ao criar e atualizar informação documentada, a organização deve assegurar
apropriados (as):
a. Identificação e descrição (por exemplo, um título, data, autor ou número de referência);
b. Formato (por exemplo, linguagem, versão de software, gráficos) e meio (por exemplo,
papel, eletrônico);
c. Análise crítica e aprovação quanto à adequação e suficiência.
7. Apoio
7.5.3 Controle de informação documentada
7.5.3.1 A informação documentada requerida pelo sistema de gestão da
qualidade e por esta Norma deve ser controlada para assegurar que:
a. Ela esteja disponível e adequada para uso, onde e quando ela for necessária;
b. Ela esteja protegida suficientemente (por exemplo, contra perda de
confidencialidade, uso impróprio ou perda de integridade).
7.5.3.2 Para o controle de informação documentada, a organização deve

abordar as seguintes atividades, como aplicável:
a. Distribuição, acesso, recuperação e uso;
b. Armazenamento e preservação, incluindo preservação de legibilidade;
c. Controle de alterações (por exemplo, controle de versão);
d. Retenção e disposição.
A informação documentada de origem externa determinada pela organização

como necessária para o planejamento e operação do sistema de gestão da
qualidade deve ser identificada, como apropriado, e controlada.
Informação documentada retida como evidência de conformidade deve ser
protegida contra alterações não intencionais.
8. Operação
8.1 Planejamento e Controle Operacionais
A organização deve planejar, implementar e controlar os processos para provisionar e
implementar:
a. Determinar os requisitos para produtos e serviços;
b. Estabelecer critérios para:
1) Os processos;
2) A aceitação de produtos e serviços
c. Determinar os recursos necessários para alcançar conformidade
d. Implementar controle de processos de acordo com critérios;
e. Determinar e conservar informação documentada na extensão necessária para:
1) ter confiança em que os processos foram conduzidos como planejado;
2) demonstrar conformidade de produtos e serviços com seus requisitos.
A saída desse planejamento deve ser adequada para as operações da organização.
A organização deve controlar mudanças planejadas e analisar criticamente as

consequências de mudanças não intencionais, tomando ações para mitigar
quaisquer efeitos adversos, como necessário.
A organização deve assegurar que os processos terceirizados sejam controlados

8. Operação
8.2 Requisitos para produtos e serviços
8.2.1 Comunicação com o cliente
A comunicação com clientes deve incluir:

a. Prover informação relativa a produtos e serviços;
b. Lidar com consultas, contratos ou pedidos, incluindo mudanças;
c. Obter retroalimentação do cliente relativa a produtos e serviços, incluindo
reclamações do cliente;
d. Lidar ou controlar propriedade do cliente;
e. Estabelecer requisitos específicos para ações de contingência, quando
pertinente.
8.2.2 Determinação de requisitos relativos a produtos e serviços
a. Os requisitos para os produtos e serviços sejam definidos, incluindo:

1) Quaisquer requisitos estatutários e regulamentares aplicáveis;
2) Aqueles considerados necessários pela organização.
b. A organização possa atender aos pleitos para os produtos e serviços que ela
oferece.
8. Operação
8.2.3 Análise crítica de requisitos relativos a produtos e serviços
8.2.3.1 A organização deve assegurar que ela tenha a capacidade de atender aos
requisitos para produtos e serviços a serem oferecidos a clientes. A organização
deve conduzir uma análise crítica antes de se comprometer a fornecer produtos e
serviços a um cliente, para incluir:
a. Requisitos especificados pelo cliente, incluindo os requisitos para atividades de

entrega e pós-entrega;
b. Requisitos não declarados pelo cliente, mas necessários para o uso especificado
ou pretendido, quando conhecido;
c. Requisitos especificados pela organização;
d. Requisitos estatutários e regulamentares aplicáveis a produtos e serviços;
e. Requisitos de contrato ou pedido diferentes daqueles previamente expressos.
8.2.3.2 A organização deve reter informação documentada, como aplicável, sobre:

a. Os resultados da análise crítica;
b. Quaisquer novos requisitos para os produtos e serviços.
8. Operação
8.2.4 Mudanças nos requisitos para produtos
e serviços
A organização deve assegurar que informação

documentada pertinente seja emendada, e
que pessoas pertinentes sejam alertadas dos
requisitos mudados, quando os requisitos
para produtos e serviços.
8. Operação
8.3 Projeto e desenvolvimento de produtos e serviços
8.3.1 Generalidades
A organização deve estabelecer, implementar e manter um processo de projeto e desenvolvimento

que seja apropriado para assegurar a subsequente provisão de produtos e serviços.
8.3.2 Planejamento de projeto e desenvolvimento
Na determinação dos estágios e controles para o projeto e desenvolvimento, a organização deve

considerar:
a. A natureza, duração e complexidade das atividades de projeto e desenvolvimento;
b. Os estágios de processo requeridos, incluindo análises críticas de projeto e desenvolvimento;
c. As atividades de verificação e validação de produto e desenvolvimento requeridos;
d. As responsabilidades e autoridades envolvidas no processo de projeto e desenvolvimento;
e. Os recursos internos e externos necessários para o projeto e desenvolvimento de produtos e
serviços;
f. A necessidade de controlar interfaces entre pessoas envolvidas no processo de projeto e
desenvolvimento;
g. A necessidade de envolvimento de clientes e usuários no processo de projeto e
desenvolvimento;
h. Os requisitos para a provisão subsequente de produtos e serviços;
i. O nível de controle esperado para o processo de projeto e desenvolvimento por clientes e outras
partes interessadas pertinentes;
j. A informação documentada necessária para demonstrar que os requisitos de projeto e
desenvolvimento foram atendidos.
8. Operação
8.3.3 Entradas do projeto e desenvolvimento
A organização deve determinar os requisitos essenciais para os tipos específicos de produtos e
serviços a serem projetados e desenvolvidos. A organização deve considerar:
a. Requisitos funcionais e de desempenho;
b. Informação derivada de atividades similares de projeto e desenvolvimento anteriores;
c. Requisitos estatutários e regulamentares;
d. Normas ou códigos de prática que a organização tenha se comprometido a implementar;
e. Consequências potenciais de falhas devidas à natureza de produtos e serviços.
A organização deve reter informação documentada de entradas de projeto e desenvolvimento.
8.3.4 Controles de projeto e desenvolvimento

A organização deve aplicar controles para o processo de projeto e desenvolvimento para assegurar
que:
a. Os resultados a serem alcançados estejam definidos;
b. Análises críticas sejam conduzidas para avaliar a capacidade de os resultados de projeto e
desenvolvimento atenderem a requisitos;
c. Atividades de verificação sejam conduzidas para assegurar que as saídas de projeto e
desenvolvimento atendam aos requisitos de entrada;
d. Atividades de validação sejam conduzidas para assegurar que os produtos e serviços resultantes
atendam aos requisitos para a aplicação especificada ou uso pretendido;
e. Quaisquer ações necessárias sejam tomadas sobre os problemas determinados durante as
análises críticas ou atividades de verificação e validação;
f. Informação documentada sobre essas atividades seja retida.
8. Operação
8.3.5 Saídas do projeto e desenvolvimento
A organização deve assegurar que saídas de projeto e desenvolvimento:
a. Atendam aos requisitos de entrada;

b. Sejam adequadas para os processos subsequentes para a provisão de produtos e serviços;
c. Incluam ou referenciem requisitos de monitoramento e medição, como apropriado, e critérios de
aceitação;
d. Especifiquem as características dos produtos e serviços que sejam essenciais para propósito
pretendido e sua provisão segura e apropriada.
A organização deve reter informação documentada sobre as saídas de projeto e desenvolvimento.
8.3.6 Mudanças de projeto e desenvolvimento
A organização deve identificar, analisar criticamente e controlar mudanças feitas durante, ou

subsequentemente a, o projeto e desenvolvimento de produtos e serviços, na extensão necessária
para assegurar que não haja impacto sobre a conformidade com requisitos.
A organização deve reter informação documentada sobre:

a. As mudanças de projeto e desenvolvimento;
b. Os resultados de análises críticas;
c. A autorização das mudanças;
d. As ações tomadas para prevenir impactos adversos.
8. Operação
• 8.4 Controle de processos, produtos e serviços providos externamente
8.4.1 Generalidades
A organização deve assegurar que processos, produtos e serviços providos
externamente estejam conforme com requisitos.
A organização deve determinar os controles a serem aplicados para os processos,

produtos e serviços providos externamente quando:
a. Produtos e serviços de provedores externos forem destinados a incorporação

nos produtos e serviços da própria organização;
b. Produtos e serviços forem providos diretamente para o(s) cliente(s) por
provedores externos em nome da organização;
c. Um processo, ou parte de um processo, for provido por um provedor externo
como um resultado de uma decisão da organização.
A organização deve determinar e aplicar critérios para a avaliação, seleção,

monitoramento de desempenho e reavaliação de provedores externos, baseados
na sua capacitação de prover processos ou produtos e serviços de acordo com
requisitos. A organização deve reter informação documentada dessas atividades e
de quaisquer ações necessárias decorrentes das avaliações.
8. Operação
8.4.2 Tipo e extensão do controle
A organização deve assegurar que processos, produtos e serviços providos

externamente não afetem adversamente a capacidade da organização de entregar
consistentemente produtos e serviços conformes para seus clientes.
a. Assegurar que processos providos externamente permaneçam sob o controle do

seu sistema de gestão da qualidade;
b. Definir tanto os controles que ela pretende aplicar a um provedor externo como
aqueles que ela pretende aplicar às saídas resultantes;
c. Levar em consideração:
1) O impacto potencial dos processos, produtos e serviços providos externamente
sobre a capacidade da organização de atender consistentemente aos requisitos do
cliente e aos requisitos estatutários e regulamentares;
2) A eficácia dos controles aplicados pelo provedor externo;
d. Determinar a verificação, ou outra atividade, necessária para assegurar que os
processos, produtos e serviços providos externamente atendam a requisitos.
8. Operação
8.4.3 Informação para provedores externos
A organização deve assegurar a suficiência de requisitos antes de sua
comunicação para o provedor externo.
A organização deve comunicar para provedores externos seus requisitos
para:
a. Os processos, produtos e serviços a serem providos;
b. A aprovação de:
1) Produtos e serviços;
2) Métodos, processos e equipamentos;
3) Liberação de produtos e serviços;
e. Competência, incluindo qualquer qualificação de pessoas requerida;
f. As interações do provedor externo com a organização;
g. Controle e monitoramento do desempenho do provedor externo a ser
aplicado pela organização;
h. Atividades de verificação ou validação que a organização, ou seus
clientes, pretendam desempenhar nas instalações do provedor externo.
8. Operação
• 8.5 Produção e provisão de serviço
8.5.1 Controle de produção e de provisão de serviço
Condições controladas devem incluir, como aplicável:
a. A disponibilidade de informação documentada que defina:
1) As características dos produtos a serem produzidos, dos serviços a serem
providos ou das atividades a serem desempenhadas;
2) Os resultados a serem alcançados;
b. A disponibilidade e uso de recursos de monitoramento e medição adequados;
c. A implementação de atividades de monitoramento e medição em estágios
apropriados para verificar que critérios para controle de processos ou saídas e
critérios de aceitação para produtos e serviços foram atendidos;
d. O uso de infraestrutura e ambiente adequados para a operação dos processos;
e. A designação de pessoas competentes, incluindo qualquer qualificação
requerida;
f. A validação e revalidação periódica da capacidade de alcançar resultados
planejados dos processos para produção e provisão de serviço, onde não for
possível verificar a saída resultante por monitoramento ou medição
subsequentes;
g. A implementação de ações para prevenir erro humano;
h. A implementação de atividades de liberação, entrega e pós-entrega.
8. Operação
8.5.2 Identificação e rastreabilidade
A organização deve usar meios adequados para identificar saídas quando isso for necessário
assegurar a conformidade de produtos e serviços.
A organização deve identificar a situação das saídas com relação aos requisitos de monitoramento e
medição ao longo da produção e provisão de serviço.
A organização deve controlar a identificação única das saídas quando a rastreabilidade for um
requisito, e deve reter a informação documentada necessária para possibilitar rastreabilidade.
8.5.3 Propriedade pertencente a clientes ou provedores externos
A organização deve tomar cuidado com propriedade pertencente a clientes ou provedores

externos, enquanto estiver sob o controle da organização ou sendo usada pela organização.
A organização deve identificar, verificar, proteger e salvaguardar propriedade de clientes ou

provedores externos provida para uso ou incorporação nos produtos e serviços.
Quando a propriedade de um cliente ou provedor externo for perdida, danificada ou de outra

maneira constatada inadequada para uso, a organização deve relatar isto para o cliente ou provedor
externo e reter informação documentada sobre o que ocorreu.
8. Operação
8.5.4 Preservação
A organização deve preservar as saídas durante produção e provisão de serviço na
extensão necessária, para assegurar conformidade com requisitos.
NOTA Preservação pode incluir identificação, manuseio, controle de contaminação,

embalagem, armazenamento, transmissão ou transporte e proteção.
8.5.5 Atividades pós-entrega
Na determinação da extensão das atividades pós-entrega requeridas, a

organização deve considerar:
a. Os requisitos estatutários e regulamentares;
b. As consequências indesejáveis potenciais associados com seus produtos e
serviços;
c. A natureza, uso e o tempo de vida pretendido de seus produtos e serviços;
d. Requisitos do cliente;
e. Retroalimentação de cliente.
NOTA Atividades pós-entrega podem incluir ações sob provisões de garantia,

obrigações contratuais como serviço de manutenção e serviços suplementares
como reciclagem ou disposição final.
8. Operação
8.5.6 Controle de mudanças
A organização deve analisar criticamente e

controlar mudanças para produção ou provisão
de serviços na extensão necessária para
assegurar continuamente conformidade com
requisitos.
A organização deve reter informação

documentada, que descreva os resultados das
análises críticas de mudanças, as pessoas que
autorizam a mudança e quaisquer ações
necessárias decorrentes da análise crítica.
8. Operação
8.6 Liberação de produtos e serviços
A organização deve implementar arranjos planejados, em estágios

apropriados, para verificar se os requisitos do produto e do serviço
foram atendidos.
A liberação de produtos e serviços para o cliente não pode proceder

até que os arranjos planejados forem satisfatoriamente concluídos,
a menos que de outra forma tenham sido aprovados por autoridade
pertinente e, como aplicável, pelo cliente.
A informação documentada deve incluir:
a. Evidência de conformidade com os critérios de aceitação;

b. Rastreabilidade à(s) pessoa(s) que autoriza(m) a liberação.
8. Operação
8.7 Controle de saídas não conformes
8.7.1 A organização deve assegurar que saídas que não estejam conformes com seus requisitos sejam
identificadas e controladas para prevenir seu uso ou entrega não pretendido.
A organização deve tomar ações apropriadas baseadas na natureza da não conformidade e em seus
efeitos sobre a conformidade de produtos e serviços. Isso deve também se aplicar aos produtos e
serviços não conformes detectadas após a entrega de produtos, durante ou depois da provisão de
serviços.
A organização deve lidar com saídas não conformes de um ou mais dos seguintes modos:
a. Correção;
b. Segregação, contenção, retorno ou suspensão de provisão de produtos e serviços;
c. Informação do cliente;
d. Obtenção de autorização para aceitação sob concessão.
A conformidade com os requisitos deve ser verificada quando saídas não conformes forem
corrigidas.
8.7.2 A organização deve reter informação documentada que:
a. Descreva a não conformidade;

b. Descreva as ações tomadas;
c. Descreva as concessões obtidas;
d. Identifique a autoridade que decide a ação com relação à não conformidade.
9.1 Monitoramento, medição, análise e avaliação
9.1.1 Generalidades
A organização deve determinar:
a. O que precisa ser monitorado e medido;
b. Os métodos para monitoramento, medição, análise e avaliação
necessários para assegurar resultados válidos;
c. Quando o monitoramento e a medição devem ser realizados;
d. Quando os resultados de monitoramento e medição devem ser
analisados e avaliados.
A organização deve reter informação documentada apropriada

como evidência dos resultados.
9.1.2 Satisfação do cliente
A organização deve monitorar a percepção de cliente do grau em
que suas necessidades e expectativas foram atendidas. A
organização deve determinar os métodos para obter, monitorar e
analisar criticamente essa informação.
9.1.3 Análise e avaliação
A organização deve analisar e avaliar dados e informações
apropriadas provenientes de monitoramento e medição.
Os resultados de análises devem ser usados para avaliar:

a. Conformidade de produtos e serviços;
b. O grau de satisfação de cliente;
c. O desempenho e a eficácia do sistema de gestão da qualidade;
d. Se o planejamento foi implementado eficazmente;
e. A eficácia das ações tomadas para abordar riscos e oportunidades;
f. O desempenho de provedores externos;
g. A necessidade de melhorias do sistema de gestão da qualidade.
NOTA Métodos para analisar dados podem incluir técnicas estatísticas.

9.2 Auditoria interna
9.2.1 A organização deve conduzir auditorias internas a intervalos planejados para prover
informação sobre se o sistema de gestão da qualidade:
a. Está conforme com:

1) Os requisitos da própria organização para o seu sistema de gestão da qualidade;
2) Os requisitos desta Norma;
b. Está implementado e mantido eficazmente.
9.2.2 A organização deve:

a. Planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a
frequência, métodos, responsabilidades, requisitos para planejar e para relatar, o que deve
levar em consideração a importância dos processos concernentes, mudanças que afetam a
organização e os resultados de auditorias anteriores;
b. Definir os critérios de auditoria e o escopo para cada auditoria;
c. Selecionar auditorias e conduzir auditorias para assegurar a objetividade e a imparcialidade
do processo de auditoria;
d. Assegurar que os resultados das auditorias sejam relatados para a gerência pertinente;
e. Executar correção e ações corretivas apropriadas sem demora indevida;
f. Reter informação documentada como evidência da implementação do programa de
auditoria e dos resultados de auditoria.
9.3 Análise crítica pela direção
9.3.1 Generalidades
A Alta Direção deve analisar criticamente o sistema de gestão da qualidade da organização, a
intervalor planejados, para assegurar sua contínua adequação, suficiência, eficácia e alinhamento
com o direcionamento estratégico da organização.
9.3.2 Entradas de análise crítica pela direção

A análise crítica pela direção deve ser planejada e realizada levando em consideração:
a. A situação de ações provenientes de análises críticas anteriores pela direção;
b. Mudanças em questões externas e internas que sejam pertinentes para o sistema de gestão da
qualidade;
c. Informação sobre o desempenho e a eficácia do sistema de gestão da qualidade, incluindo
tendências relativas a:
1) Satisfação do cliente e retroalimentação de partes interessadas pertinentes;
2) Extensão na qual os objetivos da qualidade foram alcançados;
3) Desempenho de processos e conformidade de produtos e serviços;
4) Não conformidades e ações corretivas;
5) Resultados do monitoramento e medição;
6) Resultados de auditoria;
7) Desempenho de provedores externos;
d. A suficiência de recursos;
e. A eficácia de ações tomadas para abordar riscos e oportunidades (ver 6.1);
f. Oportunidades para melhoria.
9.3.3 Saídas de análise crítica pela direção
As saídas da análise crítica pela direção devem
incluir decisões e ações relacionadas com:
a. Oportunidades para melhoria;

b. Qualquer necessidade de mudanças no sistema
de gestão da qualidade;
c. Necessidades de recurso.
A organização deve reter informação

documentada como evidência dos resultados de
análises críticas.
10. Melhoria
10.1 Generalidades
A organização deve determinar e selecionar oportunidades para
melhoria e implementar quaisquer ações necessárias para atender
a requisitos do cliente e aumentar a satisfação do cliente.
a. Melhorar produtos e serviços para atender a requisitos assim

como para abordar futuras necessidades e expectativas;
b. Corrigir, prevenir ou reduzir efeitos indesejados;
c. Melhorar o desempenho e a eficácia do sistema de gestão da
qualidade.
NOTA Exemplos de melhoria podem incluir correção, ação corretiva,

melhoria contínua, mudanças revolucionárias, inovação e
reorganização.
10. Melhoria
10.2 Não conformidade e ação corretiva
10.2.1 Ao ocorrer uma não conformidade, incluindo as provenientes de reclamações, a organização
deve:
a. Reagir à não conformidade e, como aplicável:

1) Tomar ação para controlá-la e corrigi-la;
2)Lidar com as consequências;
b. Avaliar a necessidade de ação para eliminar a(s) causa(s) da não conformidade, a fim de que ela
não se repita ou ocorra em outro lugar:
1) Analisando criticamente e analisando a não conformidade;
2) Determinando as causas das não conformidades;
3) Determinado se não conformidades similares existem, ou se poderiam potencialmente ocorrer.
c. Implementar qualquer ação necessária;
d. Analisar criticamente a eficácia de qualquer ação corretiva tomada;
e. Atualizar riscos e oportunidades determinados durante o planejamento, se necessário;
f. Realizar mudanças no sistema de gestão da qualidade, se necessário.
Ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
10.2.2 A organização deve reter informação documentada como evidência:

a. Da natureza das não conformidades e quaisquer ações subsequentes tomadas;
b. Dos resultados de qualquer ação corretiva.
10. Melhoria
10.3 Melhoria contínua
A organização deve melhorar continuamente a

adequação, suficiência e eficácia do sistema de
gestão da qualidade.
A organização deve considerar os resultados de

análise e avaliação e as saídas de análise crítica
pela direção para determinar se existem
necessidades ou oportunidades que devem ser
abordadas como parte de melhoria contínua.
Auditoria de Sistema de
Gestão da Qualidade
ISO 19011:2018
O QUE É AUDITORIA?
“Processo sistemático, independente

e documentado para obter evidência
objetiva (3.8) e avaliá-la objetivamente,
para determinar a extensão na qual os
critérios de auditoria (3.7) são atendidos.”
(NBR ISO 19011:2018)
ISO 19011:2018
0. Introdução
1. Escopo
4. Princípios de auditoria
5. Gerenciando um programa de auditoria
6. Conduzindo uma auditoria
7. Competência e avaliação de auditores
TIPOS DE AUDITORIA
DEFINIÇÕES (NBR ISO 19011:2018)
Programa de auditoria: arranjos para um conjunto de uma ou mais auditorias,
planejado para um período de tempo específico e direcionado a um propósito
específico
Escopo da auditoria: abrangência e limites de uma auditoria
Plano de auditoria: descrição das atividades e arranjos para uma auditoria
Critérios de auditoria: conjunto de requisitos usados como uma referência

com a qual a evidência objetiva é comparada
Evidência objetiva: dados que apoiam a existência ou a veracidade de alguma

coisa
Evidência de auditoria: registros, apresentação de fatos ou outras

informações pertinentes aos critérios de auditoria
e verificáveis.
Constatações de auditoria: resultados da avaliação de evidência de

auditoria coletada, comparada com os critérios de auditoria
Conclusão de auditoria: resultado de uma auditoria, após levar em

consideração os objetivos de auditoria e todas as
constatações de auditoria
Cliente de auditoria: organização ou pessoa que solicita uma

auditoria
Auditado: organização como um todo ou suas partes, que está

sendo auditada
Equipe de auditoria: uma ou mais pessoas que realizam uma

auditoria, apoiadas, se necessário, por especialistas
Auditor: pessoa que realiza uma auditoria
Especialista: pessoa que provê conhecimento ou experiência

específicos para a equipe de auditoria
Observador: pessoa que acompanha a equipe de auditoria, mas

não atua como auditor
Sistema de gestão: conjunto de elementos inter-relacionados ou

interativos de uma organização, para estabelecer políticas,
objetivos e processos para alcançar estes objetivos
Equipe de auditoria: uma ou mais pessoas que realizam uma

auditoria, apoiadas, se necessário, por especialistas
Auditor: pessoa que realiza uma auditoria
Especialista: pessoa que provê conhecimento ou experiência

específicos para a equipe de auditoria
Observador: pessoa que acompanha a equipe de auditoria, mas

não atua como auditor
Sistema de gestão: conjunto de elementos inter-relacionados ou

interativos de uma organização, para estabelecer políticas,
objetivos e processos para alcançar estes objetivos
Conformidade: atendimento de um requisito
Não conformidade: não atendimento de um requisito
Requisito: necessidade ou expectativa que é declarada, geralmente

implícita ou obrigatória
Processo: conjunto de atividades inter-relacionadas ou interativas

que utilizam entradas para entregar um resultado pretendido
PRINCÍPIOS DA AUDITORIA (seção 4)
• Integridade: o fundamento do profissionalismo
• Apresentação justa: a obrigação de reportar com
veracidade e exatidão
• Devido cuidado profissional: a aplicação de diligência e
julgamento em auditoria
• Confidencialidade: segurança de informação
• Independência: a base para a imparcialidade da auditoria
e objetividade das conclusões de auditoria
• Abordagem baseada em evidência
• Abordagem baseada em risco
Gerenciando um programa de auditoria (seção 5)
• Estabelecer um programa de auditoria, o qual pode incluir auditorias que abordem uma ou mais normas de sistema de
gestão ou outros requisitos, conduzidas separadamente ou em combinação (auditoria combinada).
• Convém que a extensão de um programa de auditoria seja baseada no tamanho e natureza do auditado, assim como na
natureza, funcionalidade, complexidade, tipo de riscos e oportunidades e nível de maturidade do(s) sistema(s) de gestão
a ser(em) auditado(s).
• A funcionalidade do sistema de gestão pode ser ainda mais complexa quando a maioria das funções importantes é
terceirizada e gerenciada sob a liderança de outras organizações.
• Para entender o contexto do auditado, convém que o programa de auditoria leve em conta:
• — objetivos organizacionais;
• — questões externas e internas pertinentes do auditado;
• — necessidades e expectativas de partes interessadas pertinentes;
• — requisitos de segurança e confidencialidade da informação.
• Convém que o programa de auditoria inclua informação e identifique recursos para permitir que as auditorias sejam
conduzidas de forma eficaz e eficiente dentro dos prazos especificados, incluindo:
• a) objetivos para o programa de auditoria;
• b) riscos e oportunidades associados ao programa de auditoria (ver 5.3) e ações para abordá-los;
• c) escopo (extensão, limites, locais) de cada auditoria no programa de auditoria;
• d) agendamento (número/duração/frequência) das auditorias;
• e) tipos de auditoria, como interna ou externa;
• f) critérios de auditoria;
• g) métodos de auditoria a serem empregados;
• h) critérios para selecionar membros de equipe de auditoria;
• i) informação documentada pertinente.
Fluxo Processo Gestão do
Programa de Auditoria – ISO
19011
Processo para o gerenciamento de um
programa de auditoria
Determinando e
Estabelecendo
avaliando riscos e Estabelecendo o Implementando o
objetivos do programa
oportunidades do programa de auditoria programa de auditoria
de auditoria
Preparando e Conduzindo as
Preparando atividades
distribuindo o atividades da Iniciando a auditoria
da auditoria
relatório da auditoria auditoria
Analisando
Conduzindo
Monitorando o criticamente e
Concluindo a auditoria acompanhamento da
programa de auditoria melhorando o
auditoria
Estabelecendo objetivos do programa
de auditoria
• Estabelecer os objetivos do programa de auditoria para direcionar o
planejamento e a condução de auditorias
• Assegurar que o programa de auditoria seja implementado eficazmente
• Os objetivos do programa de auditoria devem ser coerentes com a direção
estratégica do cliente da auditoria e apoiem a política e os objetivos do
sistema de gestão
• Podem ser baseados em:
– necessidades e expectativas de partes interessadas pertinentes, externas e
internas;
– características e requisitos de processos, produtos, serviços e projetos, e
quaisquer mudanças neles;
– requisitos de sistema de gestão;
– necessidade para avaliação de fornecedores externos;
– nível de desempenho e nível de maturidade do(s) sistema(s) de gestão do
auditado, como refletido nos indicadores de desempenho pertinentes, a
ocorrência de não conformidades ou incidentes ou reclamações de partes
interessadas;
– riscos e oportunidades identificados para o auditado;
– resultados de auditorias anteriores
Determinando e avaliando riscos e
oportunidades do programa de auditoria
• Riscos e oportunidades relacionados ao contexto do auditado podem estar associados a um programa de
auditoria e podem afetar o alcance de seus objetivos.
• Podem ser baseados em:
– planejamento, por exemplo, falha em estabelecer objetivos de auditoria pertinentes e em determinar a
extensão, número, duração, locais e agenda das auditorias;
– recursos, por exemplo, dispor de tempo, equipamento e/ou treinamento insuficientes para desenvolver o
programa de auditoria ou conduzir uma auditoria;
– seleção da equipe de auditoria, por exemplo, competência global insuficiente para conduzir auditorias
eficazmente;
– comunicação, por exemplo, processos/canais de comunicação externa/interna ineficazes;
– implementação, por exemplo, coordenação ineficaz das auditorias no programa de auditoria ou não
considerar segurança e confidencialidade da informação;
– controle de informação documentada, por exemplo, determinação ineficaz da informação documentada
necessária requerida por auditores e partes interessadas pertinentes, falha em proteger suficientemente
registros de auditoria para demonstrar a eficácia do programa de auditoria;
– monitoramento, análise crítica e melhoria do programa de auditoria, por exemplo, monitoramento ineficaz
de resultados do programa de auditoria;
– disponibilidade e cooperação do auditado e disponibilidade de evidência para ser amostrada.
• Oportunidades para melhorar o programa de auditoria:
• — permitir que múltiplas auditorias sejam conduzidas em uma visita única;
• — minimizar tempo e distância de viagem ao local;
• — conciliar o nível de competência da equipe de auditoria ao nível de competência necessário para alcançar os
objetivos da auditoria;
• — alinhar datas de auditoria com a disponibilidade de pessoal-chave do auditado.
Estabelecendo o programa de auditoria
• Papéis e responsabilidades da pessoa que gerencia o programa de auditoria
• a) estabeleça a extensão do programa de auditoria de acordo com os objetivos pertinentes e
quaisquer restrições conhecidas;
• b) determine questões internas e externas e riscos e oportunidades que possam afetar o programa
de auditoria e implemente ações para abordá-los;
• c) assegure a seleção de equipes de auditoria e a competência global para as atividades de
auditoria;
• d) estabeleça todos os processos pertinentes,
• e) determine e assegure provisão de todos os recursos necessários;
• f) assegure que a informação documentada apropriada seja preparada e mantida, incluindo
registros do programa de auditoria;
• g) monitore, analise criticamente e melhore o programa de auditoria;
• h) comunique o programa de auditoria ao cliente de auditoria e, conforme apropriado, às partes
interessadas pertinentes.
• Competência da(s) pessoa(s) que gerencia(m) o programa de auditoria

• a) princípios de auditoria, métodos e processos;
• b) normas de sistema de gestão, outras normas pertinentes e documentos de
referência/orientação;
• c) informação relativa ao auditado e seu contexto;
• d) requisitos estatutários e regulamentares aplicáveis, e outros requisitos pertinentes às atividades
de negócios do auditado.
• Estabelecendo a extensão do programa de auditoria
• Pode haver variação dependendo da informação fornecida pelo auditado relativa a seu contexto.
• Fatores que impactam a extensão de um programa de auditoria podem incluir o seguinte:

• a) objetivo, escopo e duração de cada auditoria e número de auditorias a serem conduzidas, método de
relatar e, se aplicável, acompanhamento da auditoria;
• b) normas de sistema de gestão ou outros critérios aplicáveis;
• c) número, importância, complexidade, similaridade e locais das atividades a serem auditadas;
• d) aqueles fatores que influenciam a eficácia do sistema de gestão;
• e) critérios de auditoria aplicáveis, como arranjos planejados para normas pertinentes do sistema de
gestão, requisitos estatutários e regulamentares e outros requisitos com os quais a organização esteja
comprometida;
• f) resultados de auditorias internas ou externas e análises críticas gerenciais anteriores, se apropriado;
• g) resultados de análise crítica de um programa de auditoria anterior;
• h) questões de idioma, culturais e sociais;
• i) preocupações das partes interessadas, como reclamações de clientes, não conformidade com requisitos
estatutários e regulamentares, e outros requisitos com os quais a organização esteja comprometida, ou
questões de cadeia de suprimentos;
• j) mudanças significativas para o contexto do auditado ou suas operações e riscos e oportunidades
relacionadas;
• k) disponibilidade de tecnologias da informação e comunicação para apoiar atividades de auditoria, em
particular o uso de métodos de auditoria remota;
• l) ocorrência de eventos internos e externos, como não conformidades de produtos ou serviço, brechas de
segurança da informação, incidentes de saúde e segurança, atos criminosos ou incidentes ambientais;
• m) riscos e oportunidades do negócio, incluindo ações para abordá-los.
• Determinando recursos do programa de auditoria
• a) recursos financeiros e tempo necessários para desenvolver, implementar, gerenciar e melhorar
atividades de auditoria;
• b) métodos de auditoria;
• c) disponibilidade individual e global de auditores e especialistas que tenham competência
apropriada para os objetivos particulares do programa de auditoria;
• d) extensão do programa de auditoria e riscos e oportunidades do programa de auditoria;
• e) custo e tempo de viagem, acomodação e outras necessidades de auditoria;
• f) impacto de diferentes fusos horários;
• g) a disponibilidade de tecnologias de informação e comunicação (por exemplo, recursos técnicos
requeridos para instituir uma auditoria remota usando tecnologias que apoiam a colaboração
remota);
• h) disponibilidade de quaisquer ferramentas, tecnologia e equipamento requeridos;
• i) disponibilidade de informação documentada necessária, como determinada durante o
estabelecimento de um programa de auditoria;
• j) requisitos relacionados à instalação, incluindo quaisquer liberações e equipamento de segurança
(por exemplo, verificações de histórico, equipamento de proteção pessoal, capacidade de usar
trajes para salas limpas).
Implementando o programa de auditoria
• É necessário implementar o planejamento operacional e a coordenação de todas as
atividades no programa.
• Convém que a pessoa que gerencia o programa de auditoria:
• a) comunique-se com as partes pertinentes do programa de auditoria, incluindo os riscos e
oportunidades envolvidos, e com as partes interessadas pertinentes e informe periodicamente de
seu progresso, usando canais de comunicação externos e internos estabelecidos;
• b) especifique objetivos, escopo e critérios para cada auditoria individual;
• c) selecione métodos de auditoria;
• d) coordene e agende auditorias e outras atividades pertinentes ao programa de auditoria;
• e) assegure que as equipes de auditoria tenham a competência necessária;
• f) forneça recursos individuais e globais necessários para as equipes de auditoria;
• g) assegure a condução de auditorias de acordo com o programa de auditoria, gerenciando todos os
riscos operacionais, oportunidades e questões (isto é, eventos inesperados), conforme eles surjam
durante a implantação do programa;
• h) assegure que a informação documentada pertinente relativa às atividades de auditoria seja
gerenciada e mantida apropriadamente;
• i) defina e implemente os controles operacionais necessários para o monitoramento do programa
de auditoria;
• j) análise criticamente o programa de auditoria para identificar oportunidades para sua melhoria.
• Definindo os objetivos, escopo e critérios para uma auditoria individual
• Convém que cada auditoria individual seja baseada em objetivos, escopo e critérios de
auditoria especificados. Convém que esses sejam coerentes com os objetivos globais do
programa de auditoria.
• Os objetivos da auditoria determinam o que é para ser realizado pela auditoria
individual e podem incluir o seguinte:
• a) determinação da extensão da conformidade do sistema de gestão a ser auditado, ou
partes dele, com critérios de auditoria;
• b) avaliação da capacidade do sistema de gestão de auxiliar a organização a atender os
requisitos regulamentares e estatutários pertinentes, e outros requisitos com os quais
a organização esteja comprometida;
• c) avaliação da eficácia do sistema de gestão em alcançar seus resultados pretendidos;
• d) identificação de oportunidades para potencial melhoria do sistema de gestão;
• e) avaliação da adequação e suficiência do sistema de gestão em relação ao contexto e
direção estratégica do auditado;
• f) avaliação da capacidade do sistema de gestão para estabelecer e alcançar objetivos e
abordar riscos e oportunidades eficazmente, em um contexto em mudança, incluindo
a implementação das ações relacionadas.
• Convém que o escopo de auditoria seja coerente com o programa e os objetivos da
auditoria. Ele inclui fatores como locais, funções, atividades e processos a serem
auditados, assim como o período de tempo coberto pela auditoria.
• Os critérios de auditoria são usados como uma referência em relação à qual a
conformidade é determinada. Estes podem incluir um ou mais dos seguintes: políticas
aplicáveis, processos, procedimentos, critérios de desempenho, incluindo objetivos,
requisitos estatutários e regulamentares, requisitos do sistema de gestão, informação
relativa ao contexto e aos riscos e oportunidades como determinado pelo auditado
(incluindo requisitos de partes interessadas pertinentes externas/internas), códigos de
conduta setoriais ou outros arranjos planejados.
• Convém que, na eventualidade de quaisquer mudanças nos objetivos de auditoria,
escopo ou critérios, o programa de auditoria seja modificado, se necessário, e
comunicado as partes interessadas para aprovação, se apropriado.
• Quando mais de uma disciplina está sendo auditada ao mesmo tempo, é importante
que os objetivos, o escopo e os critérios de auditoria sejam coerentes com os
programas de auditorias pertinentes para cada disciplina. Algumas disciplinas podem
ter um escopo que reflita a organização inteira, e outras podem ter um escopo que
reflita um subconjunto da organização inteira.
• Selecionando e determinando os métodos de auditoria
• Convém que a pessoa que gerencia o programa de auditoria selecione e
determine os métodos para conduzir uma auditoria eficaz e eficientemente,
dependendo dos objetivos, escopo e critérios de auditoria estabelecidos.
• Auditorias podem ser realizadas no local, remotamente ou como uma
combinação. Convém que o uso destes métodos seja adequadamente
equilibrado, baseado em, entre outras, consideração de riscos e
oportunidades associadas.
• Quando duas ou mais organizações de auditoria conduzem uma auditoria
conjunta do mesmo auditado, convém que as pessoas que gerenciam os
diferentes programas de auditorias estejam de acordo sobre os métodos de
auditoria e considerem implicações para alocar recursos e planejar a auditoria.
• Se um auditado operar dois ou mais sistemas de gestão de diferentes
disciplinas, auditorias combinadas podem ser incluídas no programa de
auditoria.
• Selecionando os membros da equipe de auditoria
• Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria
indique(m) os membros da equipe de auditoria, incluindo o líder da
equipe e quaisquer especialistas necessários para a auditoria específica.
• Convém que uma equipe de auditoria seja selecionada levando em conta
a competência necessária para alcançar os objetivos da auditoria
individual no escopo determinado. Se houver somente um auditor,
convém que o auditor realize todas as obrigações aplicáveis de um líder de
equipe de auditoria.
• Para assegurar a competência global da equipe de auditoria, convém
realizar os seguintes passos:
• — identificação da competência necessária para alcançar os objetivos da
auditoria;
• — seleção dos membros da equipe de auditoria, de modo que a
competência necessária esteja presente na equipe de auditoria.
• Ao decidir o tamanho e a composição da equipe de auditoria para a auditoria
específica, convém que seja considerado o seguinte:
• a) competência global necessária da equipe de auditoria para alcançar os objetivos
de auditoria, levando em conta o escopo e os critérios de auditoria;
• b) complexidade da auditoria;
• c) se a auditoria é uma auditoria combinada ou conjunta;
• d) os métodos de auditoria selecionados;
• e) asseguramento da objetividade e imparcialidade para evitar qualquer conflito
de interesse do processo de auditoria;
• f) capacidade dos membros da equipe de auditoria para trabalhar e interagir
eficazmente com os representantes do auditado e partes interessadas pertinentes;
g) questões externas/internas pertinentes, como o idioma da auditoria e as
características culturais e sociais do auditado. Estas questões podem ser
abordadas pelas próprias habilidades do auditor ou por meio do apoio de um
especialista, também considerando a necessidade de intérpretes;
• h) tipo e complexidade dos processos a serem auditados.
• Quando apropriado, convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria consulte(m) o líder da equipe sobre a composição
da equipe de auditoria.
• Se a competência necessária não for coberta pelos auditores na equipe de
auditoria, convém que especialistas com competência adicional sejam
colocados à disposição para apoiar a equipe.
• Auditores em treinamento podem ser incluídos na equipe de auditoria,
mas convém que participem sob a direção e orientação de um auditor.
• Mudanças na composição da equipe de auditoria podem ser necessárias
durante a auditoria, por exemplo, se um conflito de interesse ou questão
de competência surgir. Se tal situação surgir, convém que ela seja resolvida
com as partes apropriadas (por exemplo, líder da equipe de auditoria,
pessoa(s) que gerencia(m) o programa de auditoria, cliente da auditoria
ou auditado) antes que quaisquer mudanças sejam feitas.
• Atribuindo responsabilidade para uma auditoria individual ao líder da equipe de auditoria
• Convém que a pessoa que gerencia o programa de auditoria designe a responsabilidade por
conduzir a auditoria individual a um líder de equipe de auditoria.
• Convém que a atribuição seja feita em tempo suficiente antes da data agendada da
auditoria,para assegurar o planejamento eficaz da auditoria.
• Para assegurar a condução eficaz das auditorias individuais, convém que a seguinte
informação seja fornecida ao líder da equipe de auditoria:
• a) objetivos da auditoria;
• b) critérios de auditoria e qualquer informação documentada pertinente;
• c) escopo da auditoria, incluindo identificação da organização e suas funções e processos a
serem auditados;
• d) processos de auditoria e métodos associados;
• e) composição da equipe de auditoria;
• f) detalhes de contato do auditado, e locais, período de tempo e duração das atividades de
auditoria a serem conduzidas;
• g) recursos necessários para conduzir a auditoria;
• h) informação necessária para avaliar e abordar riscos e oportunidades identificados para o
alcance dos objetivos de auditoria;
• i) informação que apoie o(s) líder(es) da equipe de auditoria em suas interações com o
auditado para a eficácia do programa de auditoria.
• Atribuindo responsabilidade para uma auditoria individual ao líder da equipe de auditoria
• Convém que a informação de atribuição também abranja o seguinte, conforme apropriado:
• — idioma de trabalho e de relato da auditoria quando este for diferente do idioma do auditor
ou do auditado, ou de ambos;
• — saída de relato de auditoria como requerido e a quem será distribuída;
• — assuntos relacionados à confidencialidade e segurança da informação, se requerido pelo
programa de auditoria;
• — quaisquer arranjos de saúde, segurança e meio ambiente para os auditores;
• — requisitos para viagem ou acesso a locais remotos;
• — quaisquer requisitos de segurança e autorização;
• — quaisquer ações a serem analisadas criticamente, por exemplo, ações de
acompanhamento de uma auditoria anterior;
• — coordenação com outras atividades de auditoria, por exemplo, quando equipes diferentes
estão auditando processos similares ou relacionados a diferentes locais ou no caso de
auditoria conjunta.
• Quando uma auditoria conjunta for conduzida, é importante alcançar acordo entre as
organizações que conduzem auditorias, antes que a auditoria comece, sobre as
responsabilidades específicas de cada parte, particularmente em relação à autoridade do
líder de equipe indicado para a auditoria.
• Gerenciando os resultados do programa de auditoria
assegure(m) que as seguintes atividades sejam realizadas:
• a) avaliação do alcance dos objetivos para cada auditoria no programa de
auditoria;
• b) análise crítica e aprovação de relatórios de auditoria relativos ao
atendimento do escopo e objetivos de auditoria;
• c) análise crítica da eficácia de ações tomadas para abordar constatações de
auditoria;
• d) distribuição de relatórios de auditoria às partes interessadas pertinentes;
• e) determinação da necessidade de qualquer auditoria de acompanhamento.
• Convém que a pessoa que gerencia o programa de auditoria considere,
quando apropriado:
• — comunicação dos resultados de auditoria e as melhores práticas a outras
áreas da organização, e
• — implicações para outros processos.
• Gerenciando e mantendo os registros do programa de auditoria
assegure(m) que os registros de auditoria sejam gerados, gerenciados e
mantidos para demonstrar a implementação do programa de auditoria.
Convém que os processos sejam estabelecidos para assegurar que
quaisquer necessidades de segurança e confidencialidade de informação
associadas aos registros de auditoria sejam abordadas.
• Os registros podem incluir o seguinte:
• a) Registros relacionados ao programa de auditoria, como:
• — agenda de auditoria;
• — objetivos e extensão do programa de auditoria;
• — aqueles que abordam riscos e oportunidades do programa de auditoria
e questões externas e internas pertinentes;
• — análise crítica da eficácia do programa de auditoria.
• Gerenciando e mantendo os registros do programa de auditoria
• b) Registros relacionados a cada auditoria, como:

• — planos de auditoria e relatórios de auditoria;
• — evidência objetiva e constatações de auditoria;
• — relatórios de não conformidades;
• — relatórios de correções e ações corretivas;
• — relatórios de acompanhamento de auditoria.
• c) Registros relacionados à equipe de auditoria, abrangendo tópicos como:
• — avaliação de competência e desempenho dos membros da equipe de
auditoria;
• — critérios para a seleção de equipes de auditoria e membros da equipe, e
formação de equipes de auditoria;
• — manutenção e melhoria da competência.
• Convém que a forma e ao nível de detalhe dos registros demonstrem que os
objetivos do programa de auditoria foram alcançados.
Monitorando o programa de auditoria
• Assegurar a avaliação de:
• a) se os agendamentos estão sendo cumpridos e se os objetivos do programa de auditoria
estão sendo alcançados;
• b) desempenho dos membros da equipe de auditoria, incluindo o líder da equipe de
auditoria e os especialistas;
• c) capacidade das equipes de auditoria de implementar o plano de auditoria;
• d) feedback para clientes de auditoria, auditados, auditores, especialistas e outras partes
interessadas pertinentes;
• e) suficiência e adequação de informação documentada em todo o processo de auditoria.
• Fatores que podem indicar a necessidade de modificar o programa de auditoria:
• — constatações de auditoria;
• — nível demonstrado de eficácia e maturidade do sistema de gestão do auditado;
• — eficácia do programa de auditoria;
• — escopo de auditoria ou escopo do programa de auditoria;
• — sistema de gestão do auditado;
• — normas e outros requisitos com os quais a organização está comprometida;
• — fornecedores externos;
• — conflitos de interesse identificados;
• — requisitos do cliente da auditoria.
Analisando criticamente e melhorando o
• Analisar criticamente o programa de auditoria para avaliar se os seus objetivos foram
alcançados. Assegurar:
• —análise crítica da implementação global do programa de auditoria;
• —identificação das áreas e oportunidades para melhoria;
• —operação de mudanças no programa de auditoria, se necessário;
• —análise crítica do desenvolvimento profissional contínuo de auditores;
• —relatos dos resultados do programa de auditoria e análise crítica com o cliente de auditoria e
partes interessadas pertinentes, conforme apropriado.
• Considerar:
• a) resultados e tendências do monitoramento do programa de auditoria;
• b) conformidade com os processos do programa de auditoria e informação documentada
pertinente;
• c) necessidades e expectativas em evolução de partes interessadas pertinentes;
• d) registros do programa de auditoria;
• e) métodos novos ou alternativos de auditoria;
• f) métodos novos ou alternativos para avaliar auditores;
• g) eficácia de ações para abordar os riscos e oportunidades e questões internas e externas
associadas ao programa de auditoria;
• h) questões de confidencialidade e segurança de informação relativas ao programa de auditoria.
Conduzindo uma auditoria (seção 6)
Iniciando a auditoria
• A responsabilidade por conduzir a auditoria deve ser mantida com o auditor-líder da equipe de auditoria
designado até que a auditoria seja concluída.
• Estabelecendo contato com o auditado
• O líder da equipe de auditoria assegura que seja feito contato com o auditado para:
• a) confirmar canais de comunicação com os representantes do auditado;
• b) confirmar a autoridade para conduzir a auditoria;
• c) fornecer informação pertinente sobre os objetivos, escopo, critérios, métodos de auditoria e
composição da equipe de auditoria, incluindo quaisquer especialistas;
• d) solicitar acesso à informação pertinente para propósitos de planejamento, incluindo informação sobre
os riscos e oportunidades que a organização tenha identificado e como eles serão abordados;
• e) determinar requisitos estatutários e regulamentares aplicáveis e outros requisitos pertinentes às
atividades, processos, produtos e serviços do auditado;
• f) confirmar o acordo com o auditado relativo à extensão da divulgação e ao tratamento de informação
confidencial;
• g) fazer arranjos para a auditoria, incluindo o agendamento;
• h) determinar quaisquer arranjos específicos ao local para acesso, saúde e segurança, segurança,
confidencialidade ou outro;
• i) acordar sobre a presença de observadores e a necessidade de guias ou intérpretes para a equipe de
auditoria;
• j) determinar quaisquer áreas de interesse, preocupação ou riscos para o auditado em relação à auditoria
específica;
• k) resolver questões relativas à composição da equipe de auditoria com o auditado ou o cliente de
auditoria.
Iniciando a auditoria
• Determinando a viabilidade da auditoria
• Convém que a viabilidade da auditoria seja determinada para fornecer
confiança razoável de que os objetivos da auditoria podem ser alcançados.
• Convém que a determinação da viabilidade leve em consideração fatores
como a disponibilidade do seguinte:
• a) informação apropriada e suficiente para planejar e conduzir a auditoria;
• b) cooperação adequada do auditado;
• c) tempo e recursos adequados para conduzir a auditoria.
Preparando as atividades da auditoria
• Realizando análise crítica de informação documentada
• Convém que a informação documentada pertinente do sistema de gestão do
auditado seja analisada criticamente para:
• — reunir informação para entender as operações do auditado e preparar as
atividades da auditoria e documentos de trabalho de auditoria aplicáveis (ver
6.3.4), por exemplo, sobre processos e funções;
• — estabelecer uma visão geral da extensão da informação documentada para
determinar possível conformidade com os critérios de auditoria e detectar
possíveis áreas de preocupação, como deficiências, omissões ou conflitos.
• Convém que a informação documentada inclua, mas não se limite a:

documentos e registros de sistema de gestão, assim como relatórios de
auditorias anteriores. Convém que a análise crítica leve em conta o contexto
da organização do auditado, incluindo seu tamanho, natureza e complexidade,
e seus riscos e oportunidades relacionados. Convém que ela também leve em
conta o escopo, critérios e objetivos da auditoria.
• Planejando a auditoria
• Abordagem baseada em risco para planejamento
• Adotar uma abordagem baseada em risco para planejar a auditoria, com base na
informação no programa de auditoria e na informação documentada fornecida pelo
auditado.
• Considerar os riscos das atividades de auditoria nos processos do auditado e fornecer a
base para o acordo entre o cliente de auditoria, a equipe de auditoria e o auditado,
relativo à condução da auditoria.
• Ao planejar a auditoria, convém que o líder da equipe de auditoria considere:
• a) composição da equipe de auditoria e sua competência global;
• b) técnicas de amostragem apropriadas;
• c) oportunidades para melhorar a eficácia e a eficiência das atividades de auditoria;
• d) riscos para alcançar os objetivos da auditoria criados por um planejamento de
auditoria ineficaz;
• e) riscos para o auditado criados pela realização da auditoria.
• Riscos para o auditado podem resultar da presença dos membros da equipe de
auditoria influenciando adversamente os arranjos do auditado para saúde e segurança,
meio ambiente e qualidade e seus produtos, serviços, pessoal ou infraestrutura (por
exemplo, contaminação em instalações de sala limpa).
• Detalhes do planejamento de auditoria
• A dimensão e o conteúdo do planejamento de auditoria podem variar, inclusive entre auditorias internas e
externas. Convém que o planejamento de auditoria seja suficientemente flexível para permitir mudanças
que possam se tornar necessárias conforme as atividades de auditoria progridam.
• Convém que o planejamento da auditoria aborde ou referencie o seguinte:
• a) objetivos de auditoria;
• b) escopo da auditoria, incluindo identificação da organização e suas funções, assim como os processos a
serem auditados;
• c) critérios de auditoria e qualquer informação documentada de referência;
• d) locais (físicos e virtuais), datas, tempo e duração estimados das atividades de auditoria a serem
conduzidas, incluindo reuniões com a direção do auditado;
• e) necessidade de a equipe de auditoria se familiarizar com as instalações e processos do auditado (por
exemplo, conduzindo uma visita ao(s) local(is) físico(s) ou analisando criticamente tecnologia de
informação e comunicação);
• f) métodos de auditoria a serem usados, incluindo a extensão na qual a amostragem de auditoria seja
necessária para obter evidências suficientes de auditoria;
• g) papéis e responsabilidades dos membros da equipe de auditoria, assim como dos guias e observadores
ou intérpretes;
• h) alocação de recursos apropriados, baseada na consideração dos riscos e oportunidades relacionados às
atividades que serão auditadas;
• Atribuindo trabalho para a equipe de auditoria
• O líder da equipe de auditoria, consultando à equipe de auditoria, atribua responsabilidade a cada
membro da equipe para auditar processos, atividades, funções ou locais específicos. Convém que as
atribuições levem em conta a imparcialidade, objetividade e competência dos auditores, e o uso eficaz de
recursos, assim como diferentes funções e responsabilidades dos auditores, auditores em treinamento e
especialistas.
• Reuniões da equipe de auditoria devem ser realizadas pelo líder da equipe de auditoria, para alocar as
atribuições de trabalho e decidir as possíveis mudanças.
• Preparando informação documentada para a auditoria
• Convém que os membros da equipe de auditoria coletem e analisem criticamente a informação pertinente
às suas atribuições de auditoria e preparem informação documentada para a auditoria, usando qualquer
meio apropriado. A informação documentada para a auditoria pode incluir, mas não está limitada a:
• a) listas de verificação físicas ou digitais;
• b) detalhes de amostragem de auditoria;
• c) informação audiovisual.
• Convém que o uso destes meios não restrinja a extensão das atividades de auditoria.
• Convém que informação documentada preparada para a, e resultante da, auditoria seja retida no mínimo
até a conclusão da auditoria ou como especificado no programa de auditoria.
• Convém que informação documentada, criada durante o processo de auditoria envolvendo informação
confidencial ou proprietária, seja sempre salvaguardada adequadamente pelos membros da equipe de
auditoria.
Conduzindo atividades da auditoria
• Atribuindo papéis e responsabilidades para guias e observadores
• Guias e observadores podem acompanhar a equipe de auditoria com aprovações do líder da equipe
de auditoria, cliente da auditoria e/ou auditado, se requerido. Não convém que eles influenciem ou
interfiram na condução da auditoria. Se isso não puder ser assegurado, convém que o líder da
equipe de auditoria tenha o direito de negar que os observadores estejam presentes durante certas
atividades de auditoria.
• Para os observadores, convém que quaisquer arranjos para acesso, saúde e segurança, meio
ambiente, segurança e confidencialidade sejam gerenciados entre o cliente de auditoria e o
auditado.
• Convém que os guias designados pelo auditado auxiliem a equipe de auditoria e ajam por
solicitação do líder da equipe de auditoria ou auditor ao qual eles tiverem sido atribuídos. Convém
que suas responsabilidades incluam o seguinte:
• a) auxiliar os auditores na identificação de pessoas para participar de entrevistas e na confirmação
de horários e locais;
• b) arranjar acesso aos locais específicos do auditado;
• c) assegurar que as regras relativas aos arranjos para acesso específicos do local, saúde e
segurança, meio ambiente, segurança, confidencialidade e outras questões sejam conhecidas e
respeitadas pelos membros da equipe de auditoria e observadores, e que quaisquer riscos sejam
abordados;
• d) testemunhar a auditoria em nome do auditado, quando apropriado;
• e) fornecer esclarecimento ou auxiliar na coleta de informação, quando necessário.
• Conduzindo a reunião de abertura
• O propósito da reunião de abertura é:
• a) confirmar o acordo de todas os participantes (por exemplo, auditado, equipe de
auditoria) com o plano de auditoria;
• b) apresentar a equipe de auditoria e suas funções;
• c) assegurar que todas as atividades planejadas de auditoria possam ser realizadas.
• Convém que uma reunião de abertura seja realizada com a direção do auditado e,
onde apropriado, aqueles responsáveis pelas funções ou processos a serem
auditados. Durante a reunião, convém que seja dada uma oportunidade para
perguntas.
• Convém que o grau de detalhe seja coerente com a familiaridade do auditado com
o processo da auditoria. Em muitas situações, por exemplo, em auditorias internas
em uma pequena organização, a reunião de abertura pode simplesmente consistir
em comunicar que uma auditoria está sendo conduzida e explicar a natureza da
auditoria.
• Para outras situações de auditoria, a reunião pode ser formal, e convém que
registros de presença sejam mantidos. Convém que a reunião seja presidida pelo
líder da equipe de auditoria.
• Convém considerar introduzir, conforme apropriado:
• — outros participantes, incluindo observadores e guias, intérpretes e um delineamento
de suas funções;
• — métodos de auditoria para gerenciar riscos para a organização que podem resultar
da presença dos membros da equipe de auditoria.
• Convém que seja considerada a confirmação dos seguintes itens, conforme apropriado:
• — objetivos, escopo e critérios de auditoria;
• — plano de auditoria e outros arranjos pertinentes com o auditado, como data e
horário da reunião de encerramento e de quaisquer reuniões intermediárias entre a
equipe de auditoria e a direção do auditado e qualquer mudança necessária;
• — canais formais de comunicação entre a equipe de auditoria e o auditado;
• — idioma a ser usado durante a auditoria;
• — que o auditado será mantido informado do progresso da auditoria durante a
auditoria;
• — disponibilidade dos recursos e instalações necessárias pela equipe de auditoria;
• — assuntos relacionados à confidencialidade e segurança da informação;
• — arranjos pertinentes de acesso, saúde e segurança, segurança, emergência e outros
arranjos para a equipe de auditoria;
• — atividades no local que possam impactar a condução da auditoria.
• Comunicação durante a auditoria
• Durante a auditoria, pode ser necessário fazer arranjos formais para comunicação entre a equipe
de auditoria, assim como com o auditado, o cliente de auditoria e com partes potencialmente
interessadas externas (por exemplo, regulamentadores), especialmente onde, os requisitos
estatutários e regulamentares requerem mandatoriamente relatar não conformidades.
• Convém que a equipe de auditoria se comunique periodicamente para trocar informação, avaliar o
progresso da auditoria e reatribuir trabalho entre os membros da equipe de auditoria, se
necessário.
• Durante a auditoria, convém que o líder da equipe de auditoria comunique periodicamente o
progresso da auditoria, quaisquer constatações significativas e quaisquer preocupações ao
auditado e ao cliente da auditoria, conforme apropriado. Convém que a evidência coletada durante
a auditoria que sugira um risco imediato e significativo seja relatada sem demora ao auditado e,
conforme apropriado, ao cliente da auditoria. Convém que qualquer preocupação sobre um
assunto fora do escopo da auditoria seja notada e relatada ao líder da equipe de auditoria, para
possível comunicação ao cliente da auditoria e ao auditado.
• Quando a evidência de auditoria disponível indicar que os objetivos de auditoria são inatingíveis,
convém que o líder da equipe de auditoria relate as razões ao cliente da auditoria e ao auditado,
para determinação da ação apropriada. Tal ação pode incluir mudanças no planejamento da
auditoria, objetivos ou escopo da auditoria ou encerramento da auditoria.
• Convém que qualquer necessidade de mudanças no plano da auditoria que possa se tornar
aparente, conforme as atividades de auditoria progridam, seja analisada criticamente e aceita,
conforme apropriado, pela(s) pessoa(s) que gerencia(m) o programa de auditoria e pelo cliente de
auditoria, e seja apresentada ao auditado.
• Disponibilidade e acesso de informação de auditoria
• Os métodos de auditoria escolhidos para uma auditoria dependem dos objetivos, escopo e
critérios de auditoria estabelecidos, assim como duração e local. O local é onde a informação
necessária para a atividade específica de auditoria está disponível para a equipe de auditoria.
Isso pode incluir locais físicos e virtuais.
• Onde, quando e como acessar a informação de auditoria é crucial para a auditoria. Isso é
independente de onde a informação é criada, usada e/ou armazenada. Com base nestas
questões, os métodos de auditoria necessitam ser determinados. A auditoria pode usar uma
mistura de métodos. Além disso, circunstâncias de auditoria podem significar que os
métodos necessitam ser modificados durante a auditoria.
• Analisando criticamente a informação documentada ao conduzir a auditoria
• A informação documentada pertinente do auditado deve ser analisada criticamente para:
• — determinar a conformidade do sistema, até onde documentada, com os critérios de
auditoria;
• — reunir informação para apoiar as atividades de auditoria.
• Se informação documentada adequada não puder ser fornecida no período de tempo dado
no plano de auditoria, convém que o líder da equipe de auditoria informe à(s) pessoa(s) que
gerencia(m) o programa de auditoria e ao auditado. Dependendo dos objetivos e do escopo
da auditoria, convém que uma decisão seja tomada sobre se convém continuar ou suspender
a auditoria até que preocupações com informação documentada sejam resolvidas.
• Coletando e verificando informação
• Convém que, durante a auditoria, informação pertinente aos objetivos, escopo e
critérios de auditoria, incluindo informação relativa às interfaces entre funções,
atividades e processos, seja coletada por meio de amostragem apropriada e
convém que seja verificada, até onde praticável.
• Convém que somente informação que possa estar sujeita a algum grau de
verificação seja aceita como evidência de auditoria. Onde o grau de verificação
for baixo, convém que o auditor use seu julgamento profissional para determinar o
grau de confiança que pode ser depositado nela como evidência.
• Convém que a evidência de auditoria que leve a constatações de auditoria seja
registrada. Se, durante a coleta de evidência objetiva, a equipe de auditoria tomar
ciência de quaisquer circunstâncias novas ou modificadas, ou riscos ou
oportunidades, convém que eles sejam convenientemente abordados pela equipe.
• Métodos para coletar informação incluem o, mas não estão limitados ao, seguinte:
• — entrevistas;
• — observações;
• — análise crítica de informação documentada.
• Gerando constatações de auditoria
• Convém que a evidência de auditoria seja avaliada em relação aos critérios de auditoria
para determinar as constatações de auditoria. As constatações de auditoria podem
indicar conformidade ou não conformidade com os critérios de auditoria. Quando
especificado pelo plano de auditoria, convém que as constatações de auditoria
individual incluam conformidade e boas práticas junto com suas evidências de apoio,
oportunidades para melhoria e quaisquer recomendações para o auditado.
• Convém que não conformidades e evidências de auditoria que as apoiam sejam
registradas.
• Não conformidades podem ser classificadas dependendo do contexto da organização e
de seus riscos. Esta classificação pode ser quantitativa (por exemplo, de 1 a 5) e
qualitativa (por exemplo, menor e maior). Convém que elas sejam analisadas
criticamente com o auditado para obter reconhecimento de que a evidência de
auditoria é exata, e que as não conformidades são entendidas. Convém que todo o
empenho seja feito para resolver quaisquer opiniões divergentes relativas às evidências
ou constatações de auditoria. Convém que questões não resolvidas sejam registradas
no relatório de auditoria.
• Convém que a equipe de auditoria se reúna como necessário para analisar criticamente
as constatações de auditoria em estágios apropriados durante a auditoria.
• Determinando conclusões de auditoria
• Preparação para a reunião de encerramento
• Convém que a equipe de auditoria conferencie antes da reunião de encerramento para:
• a) analisar criticamente as constatações da auditoria e qualquer outra informação apropriada
coletada durante a auditoria, em relação aos objetivos de auditoria;
• b) acordar sobre as conclusões de auditoria, levando em conta a incerteza inerente ao processo de
auditoria;
• c) preparar recomendações, se especificado pelo plano de auditoria;
• d) discutir o acompanhamento de auditoria, como aplicável.
• Conteúdo de conclusões de auditoria
• Convém que as conclusões de auditoria abordem questões como as seguintes:
• a) extensão da conformidade com os critérios de auditoria e robustez do sistema de gestão,
incluindo a eficácia do sistema de gestão em alcançar os resultados pretendidos, a identificação de
riscos e eficácia das ações tomadas pelo auditado para abordar riscos;
• b) implementação a eficaz, manutenção e melhoria do sistema de gestão;
• c) alcance dos objetivos de auditoria, cobertura do escopo de auditoria e atendimento de critérios
de auditoria;
• d) constatações similares feitas em diferentes áreas que foram auditadas ou de uma auditoria
conjunta ou prévia com o propósito de identificar tendências.
• Se especificado pelo plano de auditoria, conclusões de auditoria podem levar a recomendações
para melhoria, ou a futuras atividades de auditoria.
• Conduzindo a reunião de encerramento
• Convém que seja realizada uma reunião de encerramento para apresentar as constatações e
conclusões de auditoria.
• É conduzida pelo líder da equipe de auditoria, com a participação da direção do auditado, e
inclua, como aplicável:
• — aqueles responsáveis pelas funções ou processos que foram auditados;
• — cliente de auditoria;
• — outros membros da equipe de auditoria;
• — outras partes interessadas pertinentes, como determinado pelo cliente da auditoria e/ou
pelo auditado.
• Se aplicável, convém que o líder da equipe de auditoria alerte ao auditado sobre situações
encontradas durante a auditoria que possam diminuir a confiança que pode ser depositada
nas conclusões de auditoria. Se for especificado no sistema de gestão ou por acordo com o
cliente de auditoria, convém que os participantes acordem o período de tempo para um
plano de ação abordar constatações de auditoria.
• Para algumas situações de auditoria, a reunião pode ser formal e convém que atas, incluindo
registros de presença, sejam conservadas. Em outras situações, por exemplo, auditorias
internas, a reunião de encerramento pode ser menos formal e consistir apenas em
comunicar as constatações de auditoria e as conclusões de auditoria.
• Conduzindo a reunião de encerramento
• Conforme apropriado, convém que o seguinte seja explicado ao auditado na reunião de
encerramento:
• a) aviso de que a evidência de auditoria coletada foi baseada em uma amostragem da
informação disponível e que não é necessariamente totalmente representativa da eficácia
global dos processos do auditado;
• b) método de relatar;
• c) como convém que a constatação de auditoria seja abordada no processo acordado;
• d) possíveis consequências de não abordar suficientemente as constatações de auditoria;
• e) apresentação das constatações e conclusões de auditoria, de uma maneira que elas sejam
entendidas e reconhecidas pela direção do auditado;
• f) quaisquer atividades pós-auditoria relacionadas (por exemplo, implementação e análise
crítica de ações corretivas, abordagem de reclamações de auditoria, processo de apelação).
• Convém que quaisquer opiniões divergentes relativas às constatações ou conclusões de
auditoria entre a equipe de auditoria e o auditado sejam discutidas e, se possível, resolvidas.
Se não resolvidas, convém que isso seja registrado.
• Se especificado pelos objetivos da auditoria, recomendações de oportunidades para
melhorias podem ser apresentadas. Convém que seja enfatizado que as recomendações não
são restritivas.
• Preparando e distribuindo o relatório de auditoria
• Preparando o relatório de auditoria
• Convém que o líder da equipe de auditoria relate as conclusões de auditoria de acordo com o
programa de auditoria. Convém que o relatório de auditoria forneça um registro completo,
exato, conciso e claro da auditoria, e convém que inclua ou se refira ao seguinte:
• a) objetivos de auditoria;
• b) escopo de auditoria, particularmente a identificação da organização (o auditado) e as
funções ou processos auditados;
• c) identificação do cliente de auditoria;
• d) identificação da equipe de auditoria e de participantes do auditado na auditoria;
• e) datas e locais onde as atividades de auditoria foram conduzidas;
• f) critérios de auditoria;
• g) constatações de auditoria e evidências relacionadas;
• h) conclusões de auditoria;
• i) uma declaração sobre o grau no qual os critérios de auditoria foram atendidos;
• j) quaisquer opiniões divergentes não resolvidas entre a equipe de auditoria e o auditado;
• k) auditorias por natureza são um exercício de amostragem; como tal, há um risco de que a
evidência de auditoria examinada não seja representativa.
• Preparando o relatório de auditoria
• O relatório de auditoria pode também incluir ou se referir ao seguinte, conforme
apropriado:
• — plano de auditoria, incluindo agenda;
• — um resumo do processo de auditoria, incluindo quaisquer obstáculos encontrados
que possam reduzir a confiabilidade das conclusões de auditoria;
• — confirmação de que os objetivos de auditoria foram alcançados no escopo de
auditoria de acordo com o plano de auditoria;
• — quaisquer áreas no escopo da auditoria não cobertas, incluindo quaisquer questões
de disponibilidade de evidência, recursos ou confidencialidade, com justificativas
relacionadas;
• — um resumo cobrindo as conclusões de auditoria e as principais constatações de
auditoria que a apoiam;
• — boas práticas identificadas;
• — acompanhamento de plano de ação acordado, se houver;
• — uma declaração da natureza confidencial dos conteúdos;
• — quaisquer implicações para o programa de auditoria ou auditorias subsequentes.
• Distribuindo o relatório da auditoria
• Convém que o relatório de auditoria seja emitido em um período de
tempo acordado. Se ele estiver atrasado, convém que as razões sejam
comunicadas ao auditado e à(s) pessoa(s) que gerencia(m) o programa de
auditoria.
• Convém que o relatório de auditoria seja datado, analisado criticamente e
aceito, conforme apropriado, de acordo com o programa de auditoria.
• Convém que o relatório de auditoria seja então distribuído às partes
interessadas pertinentes especificadas no programa de auditoria ou plano
de auditoria.
• Ao distribuir o relatório de auditoria, convém que medidas apropriadas
para assegurar a confidencialidade sejam consideradas.
• Concluindo a auditoria
• A auditoria é concluída quando todas as atividades de auditoria planejadas
tiverem sido realizadas ou, de outro modo, tiver sido acordado com o cliente
de auditoria (por exemplo, pode haver uma situação inesperada que impeça a
auditoria ser concluída de acordo com o plano de auditoria).
• Convém que informação documentada pertencente à auditoria seja retida ou
descartada por acordo entre as partes participantes e de acordo com o
programa de auditoria e com os requisitos aplicáveis.
• A menos que requerido por lei, não convém que a equipe de auditoria e a
pessoa que gerencia o programa de auditoria divulguem qualquer informação
obtida durante a auditoria, ou o relatório de auditoria, para qualquer outra
parte sem a aprovação explícita do cliente da auditoria e, onde apropriado, a
aprovação do auditado. Se a divulgação do conteúdo de um documento de
auditoria for requerida, convém que o cliente da auditoria e o auditado sejam
informados assim que possível.
• Lições apreendidas da auditoria podem identificar riscos e oportunidades para
o programa de auditoria e o auditado.
• Conduzindo o acompanhamento da auditoria
• O resultado da auditoria pode, dependendo dos objetivos da auditoria,
indicar a necessidade para correções ou para ações corretivas ou
oportunidades para melhoria. Tais ações são usualmente decididas e
realizadas pelo auditado em um período de tempo acordado. Conforme
apropriado, convém que o auditado mantenha a(s) pessoa(s) que
gerencia(m) o programa de auditoria e/ou a equipe de auditoria
informadas da situação destas ações.
• Convém que a conclusão e a eficácia destas ações sejam verificadas. Esta
verificação pode ser parte de uma auditoria subsequente. Convém que os
resultados sejam relatados à pessoa que gerencia o programa de auditoria
e relatados ao cliente de auditoria para análise crítica pela direção.
Competência e avaliação de auditores (seção 7)
• Confiança no processo de auditoria e na capacidade para alcançar seus objetivos
depende da competência daquelas pessoas que estão envolvidas na realização de
auditorias, incluindo auditores e líderes da equipe de auditoria. Convém que a
competência seja avaliada regularmente por meio de um processo que considere o
comportamento pessoal e a capacidade para aplicar conhecimento e habilidades obtidos
por meio de educação, experiência de trabalho, treinamento de auditor e experiência de
auditoria. Convém que este processo leve em consideração as necessidades do programa
de auditoria e seus objetivos. Alguns dos conhecimentos e habilidades são comuns para
auditores de qualquer disciplina de sistema de gestão; outros são específicos para
disciplinas particulares de sistemas de gestão. Não é necessário que cada auditor na
equipe de auditoria tenha a mesma competência. Entretanto, a competência global da
equipe de auditoria necessita ser suficiente para alcançar os objetivos da auditoria.
• Convém que a avaliação da competência do auditor seja planejada, implementada e
documentada para fornecer um resultado que seja objetivo, coerente, justo e confiável.
Convém que o processo de avaliação inclua quatro passos principais, como a seguir:
• a) determinar a competência necessária para atender às necessidades do programa de
auditoria;
• b) estabelecer os critérios de avaliação;
• c) selecionar o método apropriado de avaliação;
• d) conduzir a avaliação.
Competência e avaliação de auditores (seção 7)
• Convém que o resultado do processo de avaliação forneça uma base para:
• — seleção dos membros da equipe de auditoria (como descrito em 5.5.4);
• — determinação da necessidade para competência melhorada (por
exemplo, treinamento adicional);
• — avaliação continuada do desempenho de auditores.
• Convém que os auditores desenvolvam, mantenham e melhorem suas
competências por meio de um desenvolvimento profissional contínuo e
participação regular em auditorias.
Determinando a competência de auditor
• Ao decidir a competência necessária para uma auditoria, convém que o

conhecimento e as habilidades de um auditor relacionados ao seguinte
sejam considerados:
• a) tamanho, natureza, complexidade, produtos, serviços e processos de
auditados;
• b) métodos para auditar;
• c) disciplinas do sistema de gestão a serem auditadas;
• d) complexidade e processos do sistema de gestão a serem auditados;
• e) tipos e níveis de riscos e oportunidades abordados pelo sistema de
gestão;
• f) objetivos e extensão do programa de auditoria;
• g) incerteza de alcançar os objetivos de auditoria;
• h) outros requisitos, como aqueles impostos pelo cliente de auditoria ou
outras partes interessadas pertinentes, onde apropriado.
• Conhecimento e habilidades
• Convém que os auditores possuam:
• a) conhecimento e habilidades necessários para alcançar os resultados
pretendidos das auditorias que se espera que eles desempenhem;
• b) competência genérica e um nível de conhecimento e habilidades de
disciplinas e setores específicos.
• Convém que os líderes das equipes de auditoria tenham conhecimento e
habilidades adicionais necessários para fornecer liderança à equipe de
auditoria.
• Conhecimento e habilidades genéricos de auditores do sistema de gestão
• Convém que os auditores tenham conhecimento e habilidades nas áreas
delineadas abaixo.
• a) Princípios, processos e métodos de auditoria: conhecimento e
habilidades nesta área possibilitam o auditor a assegurar que as auditorias
sejam desempenhadas de maneira coerente e sistemática.
• Convém que um auditor seja capaz de:
• — entender os tipos de riscos e oportunidades associados à auditoria e os princípios da abordagem
baseada em risco para auditar;
• — planejar e organizar o trabalho eficazmente;
• — desempenhar a auditoria dentro do calendário acordado;
• — priorizar e focar assuntos de significância;
• — comunicar-se eficazmente, oralmente e por escrito (pessoalmente ou com o uso de intérpretes);
• — coletar informação por meio de entrevistas, escuta, observação e análise crítica de informação
documentada eficazes, incluindo registros e dados;
• — entender a propriedade e consequências de usar técnicas de amostragem para auditar;
• — entender e considerar opiniões de especialistas;
• — auditar um processo do início ao fim, incluindo as inter-relações com outros processos e
diferentes funções, onde apropriado;
• — verificar a relevância e a exatidão da informação coletada;
• — confirmar a suficiência e a propriedade da evidência de auditoria para apoiar constatações e
conclusões de auditoria;
• — avaliar aqueles fatores que possam afetar a confiabilidade das constatações e conclusões de
auditoria;
• — documentar atividades de auditoria e constatações de auditoria e preparar relatórios;
• — manter a confidencialidade e a segurança da informação.
• b) Normas de sistema de gestão e outras referências: conhecimento e habilidades nesta área
• possibilitam o auditor a entender o escopo da auditoria e aplicar critérios de auditoria, e
convém que abranjam o seguinte:
• — normas de sistema de gestão ou outros documentos normativos ou de orientação/apoio
usados para estabelecer critérios ou métodos de auditoria;
• — aplicação de normas de sistema de gestão pelo auditado e outras organizações;
• — relacionamentos e interações entre os processos do(s) sistema(s) de gestão;
• — entendimento da importância e prioridade de normas ou referências múltiplas;
• — aplicação de normas ou referências a diferentes situações de auditoria.
• c) A organização e seu contexto: conhecimento e habilidades nesta área possibilitam o
auditor a entender a estrutura, propósito e práticas de gestão do auditado, e convém que
abranjam o seguinte:
• — necessidades e expectativas de partes interessadas pertinentes que impactam o sistema
de gestão;
• — tipo de organização, governança, tamanho, estrutura, funções e relacionamentos;
• — conceitos gerais de gestão e negócios, processos e terminologia relacionada, incluindo
planejamento, orçamento e gestão de pessoas;
• — aspectos culturais e sociais do auditado.
• d) Requisitos regulamentares e estatutários aplicáveis e outros requisitos: conhecimento e
habilidades nesta área possibilitam o auditor a estar consciente de, e trabalhar de acordo com, os
requisitos da organização. Convém que conhecimento e habilidades específicos para a jurisdição ou
para as atividades, processos, produtos e serviços do auditado abranjam o seguinte:
• — requisitos estatutários e regulamentares e suas agências governamentais;
• — terminologia legal básica;
• — contratação e responsabilidade.
• Competência de auditores em disciplina e setor específicos
• Convém que as equipes de auditoria tenham competência coletiva apropriada da disciplina e do
setor específicos para auditar os tipos particulares de sistemas de gestão e setores.
• A competência de auditores na disciplina e setor específicos inclui o seguinte:
• a) requisitos e princípios de sistema de gestão e suas aplicações;
• b) fundamentos da(s) disciplina(s) e setor(es) relacionados às normas de sistema de gestão, como
aplicados pelo auditado;
• c) aplicação de métodos, técnicas, processos e práticas de disciplina e de setor específicos para
possibilitar a equipe de auditoria a avaliar a conformidade no escopo de auditoria estabelecido e
gerar constatações e conclusões de auditoria apropriadas;
• d) princípios, métodos e técnicas pertinentes à disciplina e setor, tais que o auditor possa
determinar e avaliar os riscos e oportunidades associados aos objetivos da auditoria.
• Competência genérica de líder de equipe de auditoria
• Para facilitar a condução eficiente e eficaz da auditoria, convém que um líder de equipe de
auditoria tenha competência para:
• a) planejar a auditoria e atribuir tarefas de auditoria de acordo com a competência específica
dos membros individuais da equipe de auditoria;
• b) discutir questões estratégicas com a Alta Direção do auditado para determinar se ela
considerou estas questões ao avaliar seus riscos e oportunidades;
• c) desenvolver e manter um relacionamento de trabalho colaborativo entre os membros da
equipe de auditoria;
• d) gerenciar o processo de auditoria, incluindo:
• — fazer uso eficaz dos recursos durante a auditoria;
• — gerenciar a incerteza de alcançar objetivos de auditoria;
• — proteger a saúde e segurança dos membros da equipe de auditoria durante a auditoria,
• incluindo assegurar compliance dos auditores com os arranjos pertinentes de saúde e
segurança, e segurança;
• — orientar os membros da equipe de auditoria;
• — fornecer direção e orientação para auditores em treinamento;
• — prevenir e resolver conflitos e problemas que possam ocorrer durante a auditoria,
incluindo aqueles na equipe de auditoria, se necessário.
• Competência genérica de líder de equipe de auditoria
• e) representar a equipe de auditoria nas comunicações com a(s) pessoa(s)
que gerencia(m) o programa de auditoria, o cliente de auditoria e o
auditado;
• f) liderar a equipe de auditoria para alcançar as conclusões de auditoria; g)
preparar e concluir o relatório de auditoria.
• Conhecimento e habilidades para auditar múltiplas disciplinas
• Ao auditar sistemas de gestão de múltiplas disciplinas, convém que o membro da
equipe de auditoria tenha um entendimento das interações e sinergia entre os
diferentes sistemas de gestão.
• Convém que líderes da equipe de auditoria entendam os requisitos de cada uma das
normas de sistema de gestão que estão sendo auditadas e reconheçam os limites de
sua competência em cada uma das disciplinas.
• Alcançando a competência de auditor
• A competência de auditor pode ser adquirida usando uma combinação do seguinte:
• a) conclusões com sucesso de programas de treinamento que abranjam conhecimento
e habilidades genéricos de auditor;
• b) experiência em uma posição técnica, gerencial ou profissional pertinente,
envolvendo o exercício de julgamento, tomada de decisão, solução de problema e
comunicação com gerentes, profissionais, pares, clientes e outras partes interessadas
pertinentes;
• c) educação/treinamento e experiência em uma disciplina e setor específicos de
sistema de gestão que contribuam para o desenvolvimento da competência global;
• d) experiência de auditoria adquirida sob supervisão de um auditor competente na
mesma disciplina.
• Conhecimento e habilidades para auditar múltiplas disciplinas
• Ao auditar sistemas de gestão de múltiplas disciplinas, convém que o membro da equipe de
auditoria tenha um entendimento das interações e sinergia entre os diferentes sistemas de gestão.
• Convém que líderes da equipe de auditoria entendam os requisitos de cada uma das normas de
sistema de gestão que estão sendo auditadas e reconheçam os limites de sua competência em cada
uma das disciplinas.
• Alcançando a competência de auditor
• A competência de auditor pode ser adquirida usando uma combinação do seguinte:
• a) conclusões com sucesso de programas de treinamento que abranjam conhecimento e
habilidades genéricos de auditor;
• b) experiência em uma posição técnica, gerencial ou profissional pertinente, envolvendo o exercício
de julgamento, tomada de decisão, solução de problema e comunicação com gerentes,
profissionais, pares, clientes e outras partes interessadas pertinentes;
• c) educação/treinamento e experiência em uma disciplina e setor específicos de sistema de gestão
que contribuam para o desenvolvimento da competência global;
• d) experiência de auditoria adquirida sob supervisão de um auditor competente na mesma
disciplina.
• Alcançando a competência do líder da equipe de auditoria
• Convém que um líder da equipe de auditoria tenha adquirido experiência adicional em auditoria.
Convém que esta experiência adicional tenha sido adquirida trabalhando sob a direção e orientação
de um líder de equipe de auditoria diferente.
• Estabelecendo os critérios de avaliação de auditor
• Convém que os critérios sejam qualitativos (como ter demonstrado
comportamento, conhecimento ou desempenho desejável das
habilidades, em treinamento ou em local de trabalho) e quantitativos
(como os anos de experiência de trabalho e educação, número de
auditorias conduzidas, horas de treinamento em auditoria).
• Selecionando o método apropriado de avaliação de auditor
• Considerar:
• a) os métodos delineados representam uma gama de opções e podem não
ser aplicáveis a todas situações;
• b) os vários métodos delineados podem variar quanto à sua
confiabilidade;
• c) convém que uma combinação de métodos seja usada para assegurar
um resultado que seja objetivo, coerente, justo e confiável.
Métodos de avaliação de auditores
Conduzindo a avaliação de auditor
• Convém que a informação coletada sobre o auditor em avaliação seja
comparada em relação aos critérios estabelecidos. Quando um auditor em
avaliação do qual se espera participação no programa de auditoria não
preenche os critérios, convém que, então, sejam realizados treinamentos,
trabalhos ou experiências em auditoria adicionais e que seja realizada
uma reavaliação subsequente.
Mantendo e melhorando a competência de auditor
• Convém que os auditores e líderes da equipe de auditoria melhorem
continuamente sua competência.
• Convém que os auditores mantenham sua competência em auditar por meio de
participação regular em auditorias de sistemas de gestão e desenvolvimento
profissional contínuo. Isso pode ser alcançado por meios como experiência
adicional de trabalho, treinamento, estudo privado, instrução, participação em
reuniões, seminários e conferências ou outras atividades pertinentes.
• Convém que a pessoa que gerencia o programa de auditoria estabeleça
mecanismos adequados para a avaliação contínua do desempenho dos auditores e
líderes da equipe de auditoria.
• Convém que as atividades de desenvolvimento profissional contínuo levem em
conta:
• a) mudanças nas necessidades das pessoas e da organização responsável pela
condução da auditoria;
• b) desenvolvimentos na prática de auditar, incluindo o uso de tecnologia;
• c) normas pertinentes, incluindo documentos de orientação/apoio e outros
requisitos;
• d) mudanças no setor ou disciplinas.
Dicas para uma boa auditoria
• O auditor deve realizar uma preparação prévia
– Check list (lista de verificação)
• Trilha para não sair do foco da auditoria (planejamento)
• Reduz imprevistos e potenciais interferências
• Base nos riscos do processo
• Uso de amostragem
• O auditor deve ter cuidado para não deixar o
auditado na defensiva
– Explique o propósito da auditoria
– Na entrevista, procure deixar o auditado
confortável
– Mantenha uma postura profissional e objetiva
– Procure utilizar perguntas com “como”, “por que”,
“quem”...
– Procure fazer perguntas abertas
• Não confie na memória! Anote as evidências
para permitir um relato claro e objetivo.
• Monitore o tempo
• Conduza investigações na hora ou registre
para que seja investigado posteriormente
• Cuidado com desvios na auditorias (auditado
falando demais, pistas falsas, pausas...)
Obrigada!
• Angela Lima
• Engenheira Eletricista, Pós-graduada em Gestão da Qualidade, MBA em Planejamento e Gestão
Organizacional, especialista em Engenharia de Segurança do Trabalho.
• Consultora organizacional com mais de 15 anos de experiência, especialista em Gestão Estratégica,
Gestão de Riscos, Compliance, Implantação de Sistemas de Gestão para Certificação, Mapeamento
e Modelagem de Processos, Gestão de Indicadores e Células de Negócio.
• Auditora Líder de Gestão Integrada, considerando as normas ISO 9001, ISO 14001, OHSAS 18001,
ISO 4001, SA 8000 e NBR 16001, Examinadora Sênior do PQGP ciclos 2008, 2009 e 2010.
• Consultora especializada em Gestão de Riscos e preparação para certificações e programas de
reconhecimento como: Pró-Ética, ISO 37001, Indicadores Instituto Ethos, ISO 9001, ISO 14001,
OHSAS 18001, ISO 45001, ISO 22000, SA 8000 e NBR 16001.
• Instrutora da CNI para o PDA (Programa de Desenvolvimento Associativo).
• Consultora da CNI para Normalização, Metrologia e Avaliação da Conformidade no projeto da TIB
(Tecnologia Industrial Básica).
• Consultora em projetos da FIEPE para estruturação de Estratégias e Processos em empresas
Associadas.
• Participou da implantação do Sistema de Estratégias, Gestão, Processos em empresas de diversos
segmentos, tais como: FIEPE, CREA-PE, CREMEPE, Grupo HEBRON, ABIH-PE, Engeman Engenharia,
Destilaria Tabu, Geosistemas, TRON Controles Elétricos, Renel Engenharia, Labortecne, Fiabesa,
Frompet - Lorenpet, FRT Tecnologia, Gerdau-Açonorte,CHESF, entre outras.

Material Didatico Curso Auditor Interno Sgi - Iel-Pe

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Material Didatico Curso Auditor Interno Sgi - Iel-Pe

Enviado por

Direitos autorais:

Formatos disponíveis

AUDITOR INTERNO DE SISTEMA

• Demonstrar que a Auditoria é uma importante

• Proporcionar aos participantes os conhecimentos

É a maneira de organizar as atividades

AMN CEN COPANT

ABNT DIN BSI

É o fórum mundial onde se busca o consenso na elaboração de normas internacionais,

• FUNDADA APÓS A 2ª GUERRA, 1947

• A abordagem de processo envolve a definição e a gestão

ISO 9001 – Gestão

a. As partes interessadas que sejam pertinentes para o

• Monitorar e analisar criticamente informação

• Aplicar todos os requisitos desta Norma, se eles forem

• O escopo do sistema de gestão da qualidade deve:

Determinar os processos necessários para o SGQ e sua aplicação na organização, e deve:

a. Determinar as entradas requeridas e as saídas esperadas desses processos;

• 4.4.2 Na extensão necessária, a organização deve:

Manter informação documentada para apoiar a operação de seus processos;

A Alta Direção deve demonstrar liderança e comprometimento:

a. Prestar contas pela eficácia do SGQ;

5.1.2 Foco no cliente

a. Os requisitos do cliente e os requisitos estatutários e regulamentares pertinentes sejam determinados, entendidos e

5.2.2 Comunicando a política da qualidade

A política da qualidade deve:

5.3 Papéis, responsabilidades e autoridades organizacionais.

A Alta Direção deve atribuir à responsabilidade em autoridades para:

a. Assegurar que o sistema de questão da qualidade possa alcançar seus

6.1.2 A organização deve planejar:

a. Ações para abordar esses riscos e oportunidades;

Informação documentada sobre os objetivos da qualidade.

6.2.2 Ao planejar como alcançar seus objetivos da qualidade, a organização deve

Quando a organização determina a necessidade de mudanças

A organização deve determinar e prover os recursos necessários

A organização deve determinar e prover as pessoas necessárias

A organização deve determinar, prover e manter a

NOTA Infraestrutura pode incluir:

NOTA Um ambiente adequado pode ser a combinação de

A organização deve determinar e prover os recursos necessários para assegurar

A organização deve reter informação documentada

7.1.5.2 Rastreabilidade de medição

Quando a rastreamento de medição for um requisito, ou for considerada pela

A organização deve determinar o conhecimento necessário

Esse conhecimento deve ser mantido e estar disponível na

Ao abordar necessidades e tendências de mudanças, a

• NOTA A extensão da informação documentada para um sistema de gestão da

7.5.2 Criando e atualizando

7.5.3.2 Para o controle de informação documentada, a organização deve

A informação documentada de origem externa determinada pela organização

A saída desse planejamento deve ser adequada para as operações da organização.

A organização deve controlar mudanças planejadas e analisar criticamente as

A organização deve assegurar que os processos terceirizados sejam controlados

A comunicação com clientes deve incluir:

8.2.2 Determinação de requisitos relativos a produtos e serviços

a. Os requisitos para os produtos e serviços sejam definidos, incluindo:

a. Requisitos especificados pelo cliente, incluindo os requisitos para atividades de

8.2.3.2 A organização deve reter informação documentada, como aplicável, sobre:

A organização deve assegurar que informação

A organização deve estabelecer, implementar e manter um processo de projeto e desenvolvimento

8.3.2 Planejamento de projeto e desenvolvimento

Na determinação dos estágios e controles para o projeto e desenvolvimento, a organização deve

A organização deve reter informação documentada de entradas de projeto e desenvolvimento.

8.3.4 Controles de projeto e desenvolvimento

a. Atendam aos requisitos de entrada;