Escolar Documentos
Profissional Documentos
Cultura Documentos
NP EN ISO 19011
2019
Portuguesa
o
çã
ma
Linhas de orientação para auditorias a sistemas de gestão
(ISO 19011:2018)
or
Lignes directrices pour l’audit des systèmes de management
ef
(ISO 19011:2018)
sd
Guidelines for auditing management systems
(ISO 19011:2018)
ito
efe
ra
pa
lho
ba
Tra
ICS HOMOLOGAÇÃO
03.100.70; 03.120.20 Termo de Homologação n.º 48/2019, de 2019-02-19
O presente documento substitui a NP EN ISO 19011:2012
(Ed. 2)
de
CORRESPONDÊNCIA ELABORAÇÃO
Versão portuguesa da EN ISO 19011:2018 CT 80 (APQ)
nto
me
o
Esta terceira edição cancela e substitui a segunda edição (ISO 19011:2011), que foi objeto de uma
çã
revisão técnica.
As principais diferenças em relação à segunda edição são as seguintes:
ma
foi adicionada a abordagem baseada no risco aos princípios de auditoria;
foram alargadas as orientações relativas à gestão de um programa de auditoria, incluindo o risco
or
do programa de auditoria;
foram alargadas as orientações relativas à condução de uma auditoria, em particular na secção
ef
relativa ao planeamento da auditoria;
foram alargados os requisitos relativos às competências gerais dos auditores;
sd
foi reajustada a terminologia para refletir o processo e não o objeto (“coisa”);
foi retirado o anexo contendo requisitos de competências para auditar disciplinas específicas de
ito
sistemas de gestão (atendendo ao elevado número de normas individuais de sistemas de gestão,
não seria praticável a inclusão de requisitos de competências para todas as disciplinas);
efe
foi ampliado o Anexo A para incluir orientações para auditoria de (novos) conceitos tais como
contexto da organização, liderança e compromisso, auditorias virtuais, conformidade e cadeia de
fornecimento.
ra
pa
lho
ba
Tra
de
nto
me
cu
As normas e os documentos normativos são documentos abrangidos por direitos de Propriedade Intelectual a
qual inclui a Propriedade Industrial, Direitos de Autor e Direitos Conexos. É proibida e punida, nos termos da
legislação aplicável, a sua reprodução, utilização, distribuição ou divulgação pública, de qualquer parte deste
documento, em qualquer formato, eletrónico ou mecânico, incluindo fotocópia ou colocação na internet ou numa
intranet, sem autorização prévia escrita. A autorização deve ser requerida ao Instituto Português da Qualidade
enquanto Organismo Nacional de Normalização.
NORMA EUROPEIA EN ISO 19011
EUROPÄISCHE NORM
NORME EUROPÉENNE
o
çã
EUROPEAN STANDARD julho 2018
ma
ICS: 03.100.70; 03.120.20 Substitui a EN ISO 19011:2011
or
Versão portuguesa
Linhas de orientação para auditorias a sistemas de gestão
ef
(ISO 19011:2018)
sd
Leitfaden zur Auditierung von Lignes directrices pour l’audit des Guidelines for auditing
Managementsystemen systèmes de management management systems
ito
(ISO 19011:2018) (ISO 19011:2018) (ISO 19011:2018)
efe
A presente norma é a versão portuguesa da Norma Europeia EN ISO 19011:2018 e tem o mesmo estatuto que
ra
as versões oficiais. A tradução é da responsabilidade do Instituto Português da Qualidade.
Esta norma europeia foi ratificada pelo CEN em 2018-06-18.
pa
Os membros do CEN são obrigados a submeter-se ao Regulamento Interno do CEN/CENELEC que define as
condições de adoção desta norma europeia, como norma nacional, sem qualquer modificação.
Podem ser obtidas listas atualizadas e referências bibliográficas relativas às normas nacionais
correspondentes junto do Secretariado Central ou de qualquer dos membros do CEN.
lho
A presente norma europeia existe nas três versões oficiais (alemão, francês e inglês). Uma versão noutra
língua, obtida pela tradução, sob responsabilidade de um membro do CEN, para a sua língua nacional, e
notificada ao Secretariado Central, tem o mesmo estatuto que as versões oficiais.
ba
Os membros do CEN são os organismos nacionais de normalização dos seguintes países: Alemanha, Antiga
República Jugoslava da Macedónia, Áustria, Bélgica, Chipre, Dinamarca, Eslováquia, Eslovénia, Espanha,
Estónia, Finlândia, França, Grécia, Hungria, Irlanda, Islândia, Itália, Letónia, Lituânia, Luxemburgo, Malta,
Tra
Noruega, Países Baixos, Polónia, Portugal, Reino Unido, República Checa, Suécia, Suíça e Turquia.
de
nto
CEN
me
2018 CEN Todos os direitos de exploração sob qualquer forma e por qualquer meio reservados
mundialmente para os membros do CEN
o
çã
p. 4 de 58
ma
Sumário Página
Preâmbulo nacional ..................................................................................................................................................... 2
or
Preâmbulo europeu ..................................................................................................................................................... 6
ef
Introdução ....................................................................................................................................................................... 7
1 Objetivo e campo de aplicação ............................................................................................................................. 9
sd
2 Referências normativas .......................................................................................................................................... 9
3 Termos e definições ................................................................................................................................................. 9
ito
4 Princípios de auditoria ........................................................................................................................................ 13
5 Gestão de um programa de auditoria ............................................................................................................. 14
efe
5.1 Generalidades .......................................................................................................................................................................... 14
5.2 Estabelecimento dos objetivos do programa de auditoria .................................................................................. 17
5.3 Determinação e avaliação dos riscos e oportunidades do programa de auditoria ................................... 17
ra
5.4 Estabelecimento do programa de auditoria ............................................................................................................... 18
pa
6.2.1 Generalidades....................................................................................................................................................................... 27
6.2.2 Estabelecimento de contacto com o auditado ....................................................................................................... 27
6.2.3 Determinação da exequibilidade da auditoria ....................................................................................................... 28
de
o
çã
p. 5 de 58
ma
7.6 Manutenção e melhoria da competência de um auditor ....................................................................................... 45
Anexo A (informativo) Orientação adicional para os auditores planearem e conduzirem
or
auditorias .........................................................................................................................................................................................46
Bibliografia .................................................................................................................................................................. 58
ef
sd
ito
efe
ra
pa
lho
ba
Tra
de
nto
me
cu
Do
o
çã
p. 6 de 58
ma
Preâmbulo europeu
A presente Norma (EN ISO 19011:2018) foi elaborada por colaboração entre o Comité Técnico
or
ISO/PC 302 “Guidelines for auditing management systems” e o CCMC*).
A esta norma europeia deve ser atribuído o estatuto de norma nacional, seja por publicação de um
ef
texto idêntico, seja por adoção, o mais tardar em janeiro 2019, e as normas nacionais divergentes
devem ser anuladas, o mais tardar em janeiro 2019.
sd
Pode acontecer que alguns elementos do presente documento sejam objeto de direitos de propriedade.
O CEN não é responsabilizado pela identificação de alguns ou de todos esses direitos.
ito
A presente norma substitui a EN ISO 19011:2011.
A presente norma foi elaborada no âmbito de um mandato atribuído ao CEN pela Comissão Europeia e
pela Associação Europeia de Comércio Livre.
efe
De acordo com o Regulamento Interno do CEN/CENELEC, a presente norma deve ser implementada
pelos organismos nacionais de normalização dos seguintes países: Alemanha, Antiga República
Jugoslava da Macedónia, Áustria, Bélgica, Bulgária, Chipre, Croácia, Dinamarca, Eslováquia, Eslovénia,
ra
Espanha, Estónia, Finlândia, França, Grécia, Hungria, Irlanda, Islândia, Itália, Letónia, Lituânia,
Luxemburgo, Malta, Noruega, Países Baixos, Polónia, Portugal, Reino Unido, República Checa, Roménia,
pa
o
çã
p. 7 de 58
ma
Introdução
Desde que a segunda edição desta norma foi publicada em 2011, várias normas novas de sistemas de
or
gestão foram entretanto publicadas, sendo que muitas delas têm uma estrutura comum, requisitos de
base idênticos e termos e definições de base comuns. Daí resultou haver agora a necessidade de ter em
ef
consideração um âmbito mais lato de auditoria a sistemas de gestão, bem como de proporcionar linhas
de orientação que sejam mais genéricas. Os resultados das auditorias podem proporcionar entradas
para a perspetiva analítica do planeamento do negócio e podem contribuir para a identificação de
sd
necessidades e atividades de melhoria.
Uma auditoria pode ser conduzida de acordo com um conjunto de critérios de auditoria,
ito
separadamente ou em combinação, incluindo mas não se limitando a:
requisitos definidos em uma ou mais normas de sistemas de gestão;
efe
políticas e requisitos especificados por partes interessadas relevantes;
exigências estatutárias e regulamentares;
um ou mais processos de sistemas de gestão definidos pela organização ou por outras partes;
ra
plano(s) de sistema(s) de gestão relativos à disponibilização de resultados específicos de sistemas
de gestão (p. ex. plano da qualidade, plano de projeto).
pa
Esta norma proporciona orientações para organizações de todos as dimensões e tipos e para
auditorias de diversos âmbitos e escalas, incluindo as que são conduzidas por grandes equipas
lho
auditoras, como é normal em organizações de maiores dimensões, e as que são conduzidas apenas por
um auditor, tanto em organizações de grandes como de pequenas dimensões. Estas orientações
deverão ser adaptadas conforme seja apropriado ao âmbito, à complexidade e à escala do programa de
auditoria.
ba
Esta norma concentra-se nas auditorias internas (de primeira parte) e nas auditorias conduzidas pelas
organizações aos seus fornecedores externos e a outras partes interessadas externas (de segunda
Tra
parte). Esta norma pode ser igualmente útil para auditorias externas conduzidas para outros efeitos
que não sejam a certificação de um sistema de gestão por terceira parte. A ISO/IEC 17021-1
proporciona requisitos para a auditoria a sistemas de gestão para efeitos de certificação; a presente
norma pode proporcionar orientações adicionais úteis (ver o Quadro 1).
de
Para simplificar a legibilidade desta norma, foi dada preferência { forma singular “sistema de gestão”,
Do
mas os leitores podem adaptar a implementação da orientação às suas próprias situações. Isto é
igualmente aplic|vel { utilização de “pessoa” e “pessoas”, “auditor” e “auditores”.
Pretende-se que esta norma seja aplicável a um vasto leque de utilizadores potenciais, incluindo
auditores, organizações que implementam sistemas de gestão e organizações que necessitam de
o
çã
p. 8 de 58
ma
conduzir auditorias a sistemas de gestão por razões contratuais ou regulamentares. Os utilizadores
desta norma podem, contudo, aplicar estas orientações no desenvolvimento dos seus próprios
requisitos relativos a auditorias.
or
As orientações contidas nesta norma podem também ser utilizadas para efeitos de autodeclaração e
ef
ser úteis para organizações envolvidas em formação de auditores ou certificação de pessoas.
Pretende-se que as orientações desta norma sejam flexíveis. Tal como se indica em diversos pontos no
texto, a forma como se utilizam estas orientações pode diferir em função da dimensão e do grau de
sd
maturidade do sistema de gestão da organização. Deverão ser também consideradas a natureza e a
complexidade da organização a auditar, bem como os objetivos e o âmbito das auditorias a conduzir.
ito
Esta norma adota a abordagem de “auditoria combinada” quando dois ou mais sistemas de gestão de
disciplinas diferentes são auditados em conjunto. Se estes sistemas estiverem integrados num único
sistema de gestão, os princípios e os processos de auditoria são os mesmos que são usados numa
efe
auditoria combinada (por vezes designada como auditoria integrada).
Esta norma proporciona orientações relativas à gestão de um programa de auditoria, ao planeamento
e à condução de auditorias a sistemas de gestão, bem como à competência e à avaliação de um auditor
ra
e de uma equipa auditora.
pa
lho
ba
Tra
de
nto
me
cu
Do
o
çã
p. 9 de 58
ma
1 Objetivo e campo de aplicação
Esta norma proporciona orientações sobre auditorias a sistemas de gestão, incluindo os princípios de
or
auditoria, gestão de um programa de auditoria e condução de auditorias a sistemas de gestão, bem
como orientações sobre a avaliação da competência de pessoas envolvidas no processo de auditoria.
ef
Estas atividades incluem a(s) pessoa(s) que gere(m) o programa de auditoria, os auditores e as
equipas auditoras.
sd
É aplicável a todas as organizações que precisem de planear e conduzir auditorias internas ou externas
a sistemas de gestão ou de gerir um programa de auditoria.
Esta norma pode ser aplicada a outros tipos de auditorias, desde que seja dada atenção especial à
ito
competência específica necessária.
2 Referências normativas
Não há referências normativas nesta norma.
efe
3 Termos e definições
ra
Para os fins da presente norma aplicam-se os seguintes termos e definições.
pa
A ISO e IEC gerem bases de dados de terminologia cujo objetivo é a sua utilização como ferramenta de
normalização. Estão disponíveis nos seguintes endereços:
ISO Online browsing platform: https://www.iso.org/obp
lho
3.1 auditoria
Processo sistemático, independente e documentado para obter evidência objetiva (3.8) e respetiva
avaliação objetiva, com vista a determinar em que medida os critérios da auditoria (3.7) são
Tra
cumpridos.
NOTA 1 à secção: As auditorias internas, por vezes denominadas “auditorias de primeira parte”, são conduzidas por ou em
nome da própria organização.
de
NOTA 2 à secção: As auditorias externas incluem as auditorias de segunda e de terceira parte. As auditorias de segunda
parte são conduzidas por partes com interesse na organização, tais como clientes ou pessoas em seu nome. As auditorias de
terceira parte são conduzidas por organizações auditoras independentes, tais como as que proporcionam certificação/registo
de conformidade ou agências governamentais.
nto
Auditoria (3.1) realizada conjuntamente num único auditado (3.13) a dois ou mais sistemas de gestão
(3.18).
NOTA 1 à secção: Quando dois ou mais sistemas de gestão de disciplinas específicas são integrados num único sistema de
cu
o
çã
p. 10 de 58
ma
3.3 auditoria conjunta
Auditoria (3.1) realizada num único auditado (3.13) por duas ou mais organizações auditoras.
or
[ISO 9000:2015; 3.13.3]
ef
3.4 programa de auditoria
Preparativos para um conjunto de uma ou mais auditorias (3.1) planeadas para um determinado
período de tempo e dirigidas a uma finalidade específica.
sd
[ISO 9000:2015; 3.13.4, modificado – acrescentadas palavras na definição]
ito
3.5 âmbito da auditoria
Extensão e limites de uma auditoria (3.1).
NOTA 1 à secção: O âmbito da auditoria normalmente inclui uma descrição dos locais físicos e virtuais, das funções, das
efe
unidades organizacionais, das atividades e dos processos, bem como do período de tempo abrangido.
NOTA 2 à secção: Um local virtual é onde uma organização executa trabalho ou disponibiliza um serviço recorrendo a um
ambiente em linha*) que permite que pessoas executem os processos independentemente da sua localização física.
ra
[ISO 9000:2015, 3.13.5, modificado – a Nota 1 à secção foi modificada, a Nota 2 à secção foi
acrescentada]
pa
frequentemente utilizadas as palavras “conformidade” ou “não conformidade” nas constatações da auditoria (3.10).
NOTA 2 à secção: Os requisitos poderão incluir políticas, procedimentos, instruções de trabalho, exigências legais,
obrigações contratuais, etc.
de
[ISO 9000:2015, 3.13.7, modificado – a definição foi modificada e as Notas 1 e 2 à secção foram
acrescentadas]
relativas a factos ou outra informação que seja relevante para os critérios da auditoria (3.7) e verificável.
o
çã
p. 11 de 58
ma
3.9 evidências de auditoria
Registos, afirmações factuais ou outra informação, que sejam relevantes para os critérios da auditoria
(3.7) e verificáveis.
or
[ISO 9000:2015, 3.13.8]
ef
3.10 constatações da auditoria
Resultados da avaliação das evidências de auditoria (3.9) recolhidas face aos critérios da auditoria
sd
(3.7).
NOTA 1 à secção: As constatações da auditoria indicam conformidade (3.20) ou não conformidade (3.21).
ito
NOTA 2 à secção: As constatações da auditoria podem levar à identificação de riscos, de oportunidades de melhoria ou ao
registo de boas práticas.
NOTA 3 à secção: Em inglês, se os critérios da auditoria forem baseados em exigências legais ou outras, a constatação da
efe
auditoria será de conformidade legal ou de não conformidade legal.
3.13 auditado
Organização a ser auditada na sua totalidade ou em algumas das suas partes.
[ISO 9000:2015, 3.13.12, modificado]
de
técnicos (3.16).
NOTA 1 à secção: Um dos auditores (3.15) da equipa auditora (3.14) é nomeado coordenador da equipa auditora.
NOTA 2 à secção: A equipa auditora pode incluir auditores em formação.
me
3.15 auditor
cu
o
çã
p. 12 de 58
ma
NOTA 1 à secção: Conhecimentos específicos ou experiência qualificada no que diz respeito à organização, à atividade, ao
processo, ao serviço, ao produto, à disciplina a auditar, à língua ou à cultura.
NOTA 2 à secção: Um perito técnico não atua como auditor (3.15) no âmbito da equipa auditora (3.14).
or
[ISO 9000:2015, 3.13.16, modificado – foram modificadas as Notas 1 e 2 à secção]
ef
3.17 observador
Pessoa que acompanha a equipa auditora (3.14) mas que não atua como auditor (3.15).
sd
[ISO 9000:2015, 3.13.17, modificado]
ito
Conjunto de elementos inter-relacionados ou interatuantes de uma organização para o
estabelecimento de políticas e objetivos e de processos (3.24) para atingir esses objetivos.
efe
NOTA 1 à secção: Um sistema de gestão pode tratar uma única disciplina ou diversas disciplinas, p. ex. gestão da qualidade,
gestão financeira ou gestão ambiental.
NOTA 2 à secção: Os elementos do sistema de gestão da organização estabelecem a estrutura, as funções e as
responsabilidades, o planeamento, a operacionalização, as políticas, as práticas, as regras, as crenças, os objetivos e os
ra
processos para atingir esses objetivos.
NOTA 3 à secção: O âmbito de um sistema de gestão poderá incluir toda a organização, funções específicas e identificadas da
pa
organização, secções específicas e identificadas da organização, ou uma ou mais funções dentro de um grupo de organizações.
3.19 risco
Efeito da incerteza.
NOTA 1 à secção: Um efeito é um desvio ao esperado - positivo ou negativo.
ba
NOTA 2 à secção: A incerteza é o estado, ainda que parcial, de deficiência de informação, relacionado com a compreensão ou
conhecimento de um evento, sua consequência ou verosimilhança.
Tra
NOTA 3 à secção: O risco é frequentemente caracterizado por referência a potenciais eventos (como definido no
Guia ISO 73:2009, 3.5.1.3) e consequências (como definido no Guia ISO 73:2009, 3.6.1.3), ou a uma combinação destes.
NOTA 4 à secção: O risco é frequentemente expresso em termos de uma combinação das consequências de um evento
(incluindo alterações nas circunstâncias) com a verosimilhança (como definida no Guia ISO 73:2009, 3.6.1.1) de ocorrência
associada.
de
3.20 conformidade
nto
3.22 competência
Do
o
çã
p. 13 de 58
ma
3.23 requisito
Necessidade ou expectativa expressa, geralmente implícita ou obrigatória.
or
NOTA 1 à secção: “Geralmente implícito” significa que é h|bito ou pr|tica comum para a organização e para as partes
interessadas que a necessidade ou expectativa em consideração esteja implícita.
ef
NOTA 2 à secção: Um requisito especificado é um requisito que é expresso, p. ex. em informação documentada.
sd
3.24 processo
Conjunto de atividades inter-relacionadas ou interatuantes que utiliza entradas para disponibilizar um
ito
resultado pretendido.
[ISO 9000:2015, 3.4.1, modificado – as Notas à secção foram eliminadas]
3.25 desempenho
Resultado mensurável. efe
NOTA 1 à secção: O desempenho pode referir-se a constatações quantitativas ou qualitativas.
ra
NOTA 2 à secção: O desempenho pode referir-se à gestão de atividades, a processos (3.24), a produtos, a serviços, a sistemas
ou a organizações.
pa
3.26 eficácia
lho
4 Princípios de auditoria
A atividade de auditoria é caracterizada por se basear num conjunto de princípios. Estes princípios
Tra
deverão ajudar a fazer da auditoria uma ferramenta eficaz e fiável de suporte às políticas e aos
controlos de gestão, ao proporcionar informação sobre a qual uma organização pode atuar para
melhorar o seu desempenho. A adesão a estes princípios é um pré-requisito para proporcionar
conclusões da auditoria que sejam relevantes e suficientes e para permitir que auditores, trabalhando
de
realizar o seu trabalho de forma imparcial, isto é, permanecer justo e isento de influências em
todas as suas relações;
Do
estar cientes de quaisquer influências que poderão ser exercidas sobre os seus juízos durante a
realização de uma auditoria.
b) Apresentação imparcial: obrigação de relatar com verdade e rigor.
o
çã
p. 14 de 58
ma
Constatações, conclusões e relatórios de auditoria deverão refletir com verdade e rigor as
atividades da auditoria. Deverão ser relatados os obstáculos significativos encontrados durante a
auditoria, assim como as opiniões divergentes, não resolvidas, entre a equipa auditora e o auditado.
or
A comunicação deverá ser verdadeira, rigorosa, objetiva, oportuna, clara e completa.
ef
c) Devido zelo profissional: aplicação de diligência e de julgamento no decurso da auditoria.
Os auditores deverão atuar com o cuidado adequado à importância da tarefa que executam e à
confiança neles depositada pelo cliente da auditoria e por outras partes interessadas. Um fator
sd
importante para executarem o seu trabalho com o devido zelo profissional é terem a aptidão para
fazer julgamentos fundamentados em todas as situações de auditoria.
ito
d) Confidencialidade: segurança da informação.
Os auditores deverão ser discretos na utilização e proteção da informação obtida no exercício das
efe
suas tarefas. A informação da auditoria não deverá ser utilizada de forma inadequada para proveito
pessoal do auditor ou do cliente da auditoria, ou de forma a prejudicar os legítimos interesses do
auditado. Este conceito inclui o tratamento adequado de informação sensível ou confidencial.
e) Independência: pilar da imparcialidade da auditoria e da objetividade das conclusões da auditoria.
ra
Os auditores deverão, sempre que possível, ser independentes da atividade a ser auditada e
deverão em todos os casos agir de forma que seja livre de influências e de conflitos de interesses.
pa
Nas auditorias internas, os auditores deverão ser, na medida do possível, independentes da função
auditada. Os auditores deverão manter a objetividade durante o processo de auditoria para
assegurar que as constatações e as conclusões da auditoria se baseiam unicamente em evidências
lho
de auditoria.
Nas organizações pequenas poderá não ser possível que os auditores internos sejam totalmente
independentes da atividade a auditar, mas deverão ser envidados todos os esforços para remover
ba
Deverá utilizar-se a amostragem de forma adequada, uma vez que essa utilização se relaciona
intimamente com a confiança que pode ser depositada nas conclusões da auditoria.
g) Abordagem baseada no risco: uma abordagem à auditoria que tem em consideração os riscos e as
nto
oportunidades.
A abordagem baseada no risco deverá influenciar de forma marcante o planeamento, a condução e
o relato das auditorias, para assegurar que as auditorias se focam em questões que são
me
5.1 Generalidades
Do
Deverá ser estabelecido um programa de auditoria que possa incluir auditorias que abordem uma ou
mais normas de sistemas de gestão ou outros requisitos, conduzidas separadamente ou em
combinação (auditoria combinada).
o
çã
p. 15 de 58
ma
A extensão de um programa de auditoria deverá ter em conta a dimensão e a natureza do auditado,
bem como a natureza, a funcionalidade, a complexidade, o tipo de riscos e oportunidades e o nível de
maturidade do(s) sistema(s) de gestão a auditar.
or
A funcionalidade do sistema de gestão pode ser ainda mais complexa quando a maioria das funções
ef
importantes são externalizadas e geridas sob a liderança de outras organizações. Há necessidade de
prestar atenção especial ao local onde são tomadas as decisões mais importantes e à constituição da
gestão de topo do sistema de gestão.
sd
Se houver múltiplos locais/sítios (p. ex. em países diferentes), ou se as funções relevantes forem
externalizadas e geridas sob a liderança de outra organização, deverá ser prestada atenção especial à
conceção, ao planeamento e à validação do programa de auditoria.
ito
No caso de organizações mais pequenas ou menos complexas, o programa de auditoria pode ser
devidamente redimensionado.
efe
Para compreender o contexto do auditado, o programa de auditoria deverá ter em consideração:
objetivos organizacionais;
ra
questões externas e internas relevantes;
necessidades e expetativas de partes interessadas relevantes;
pa
fornecedores externos, pode ser organizado para contribuir para outros objetivos da organização.
A(s) pessoa(s) que gere(m) o programa de auditoria deverá(ão) assegurar que a integridade da
auditoria é mantida e que não é exercida influência indevida sobre a mesma.
ba
Na auditoria deverá ser dada prioridade à alocação de recursos e métodos aos aspetos do sistema de
gestão com risco inerente mais alto e nível de desempenho mais baixo.
Tra
deverá incluir:
a) objetivos do programa de auditoria;
nto
b) riscos e oportunidades associados ao programa de auditoria (ver 5.3) a as ações para os abordar;
c) âmbito (extensão, limites, locais) de cada auditoria do programa de auditoria;
d) calendário (número/duração/frequência) das auditorias;
me
o
çã
p. 16 de 58
ma
A implementação do programa de auditoria deverá ser monitorizada e medida de forma continuada
(ver 5.6) para assegurar que os seus objetivos são atingidos. O programa de auditoria deverá ser
revisto para identificar necessidades de alterações e eventuais oportunidades para melhorias
or
(ver 5.7).
ef
A Figura 1 ilustra o fluxo do processo para a gestão de um programa de auditoria.
sd
5.2
Estabelecimento
dos objetivos do
ito
programa de
auditoria
efe
5.3 Determinação
e avaliação dos 5.7 Revisão e
riscos e melhoria do
oportunidades do programa de
programa de auditoria
auditoria
ra
5.4
pa
Estabelecimento
do programa de
auditoria
5.5 5.6
Implementação Monitorização
lho
do programa de do programa de
auditoria auditoria Secção 5
ba
Secção 6
Tra
6.2 Início da
auditoria
de
6.5
Preparação e 6.6
distribuição Encerramento
do relatório da auditoria
da auditoria
me
o
çã
p. 17 de 58
ma
5.2 Estabelecimento dos objetivos do programa de auditoria
O cliente da auditoria deverá assegurar que os objetivos do programa de auditoria são estabelecidos
or
para orientar o planeamento e a condução das auditorias e que o programa de auditoria é eficazmente
implementado. Os objetivos do programa de auditoria deverão ser coerentes com a orientação
ef
estratégica do cliente e suportar a política e os objetivos do sistema de gestão.
Estes objetivos podem ter em consideração o seguinte:
sd
a) necessidades e expectativas de partes interessadas relevantes, tanto internas como externas;
b) características e requisitos dos processos, produtos, serviços e projetos, e quaisquer alterações aos
mesmos;
ito
c) requisitos do sistema de gestão;
d) necessidade de avaliação de fornecedores externos;
efe
e) nível de desempenho do auditado e nível de maturidade do(s) sistema(s) de gestão, refletidos nos
indicadores de desempenho relevantes (p. ex. KPIs), ocorrência de não conformidades ou
incidentes ou reclamações de partes interessadas;
ra
f) riscos e oportunidades identificados para o auditado;
pa
estratégica da organização.
programa de auditoria e que podem afetar o atingir dos seus objetivos. A(s) pessoa(s) responsável(eis)
pela gestão do programa de auditoria deverá(ão) identificar e apresentar ao cliente da auditoria os
riscos e oportunidades que foram considerados na preparação do programa de auditoria e as
cu
o
çã
p. 18 de 58
ma
b) recursos, p. ex. prazos, equipamentos e/ou formação insuficientes para desenvolver o programa de
auditoria ou para conduzir uma auditoria;
or
c) seleção da equipa auditora, p. ex. competência global insuficiente para conduzir auditorias com
eficácia;
ef
d) comunicação, p. ex. processos/canais de comunicação internos/externos que não sejam eficazes;
e) implementação, p. ex. coordenação ineficaz das auditorias do programa de auditoria ou não
sd
consideração da segurança e da confidencialidade da informação;
f) controlo da informação documentada, p. ex. determinação ineficaz da informação documentada
necessária que é requerida pelos auditores e pelas partes interessadas relevantes, falha na proteção
ito
adequada dos registos de auditoria para demonstrar a eficácia do programa de auditoria;
g) monitorização, revisão e melhoria do programa de auditoria, p. ex. monitorização ineficaz dos
resultados do programa de auditoria;
efe
h) disponibilidade e cooperação do auditado e disponibilidade de evidências a amostrar.
As oportunidades de melhoria do programa de auditoria podem incluir:
ra
a possibilidade de conduzir várias auditorias numa única visita;
pa
auditoria
A(s) pessoa(s) que gere(m) o programa de auditoria deverá(ão):
a) estabelecer a extensão do programa de auditoria de acordo com os objetivos relevantes (ver 5.2) e
de
seja adequado;
d) estabelecer todos os processos relevantes, incluindo processos para:
coordenação e calendarização de todas as auditorias do programa de auditoria;
cu
o
çã
p. 19 de 58
ma
resolução de diferendos e tratamento de reclamações;
seguimento das auditorias, se aplicável;
or
relato ao cliente da auditoria e às partes interessadas relevantes, conforme adequado;
ef
e) determinar e providenciar todos os recursos necessários;
f) assegurar que é preparada e mantida informação documentada apropriada, incluindo registos do
programa de auditoria;
sd
g) monitorizar, rever e melhorar o programa de auditoria;
h) comunicar o programa de auditoria ao cliente da auditoria e, conforme adequado, às partes
ito
interessadas relevantes.
A(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria deverá(ão) requerer a
aprovação do mesmo pelo cliente da auditoria.
efe
5.4.2 Competência da(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria
ra
A(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria deverá(ão) ter a competência
necessária para gerir de forma eficaz e eficiente o programa e os riscos e oportunidades associados e
as questões externas e internas, incluindo conhecimentos de:
pa
a) princípios (ver a Secção 4), métodos e processos de auditoria (ver A.1 e A.2);
b) normas de sistemas de gestão, outras normas relevantes e documentos de referência/orientação;
lho
c) informações relativas ao auditado e ao seu contexto (p. ex. questões externas/internas, partes
interessadas relevantes e respetivas necessidades e expetativas, atividades de negócio, produtos,
serviços e processos do auditado);
ba
Conforme adequado, poderão ser tidos em consideração conhecimentos de gestão do risco, de gestão
de projetos e processos e de tecnologias de informação e comunicação (TIC).
A(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria deverá(ão) participar em
de
Outros fatores que têm impacto na extensão de um programa de auditoria podem incluir o seguinte:
a) o objetivo, o âmbito e a duração de cada auditoria e o número de auditorias a conduzir, o método
Do
o
çã
p. 20 de 58
ma
d) os fatores que influenciam a eficácia do sistema de gestão;
e) os critérios de auditoria aplicáveis, tais como disposições planeadas consoante as normas de
or
sistemas de gestão relevantes, exigências estatutárias e regulamentares e outros requisitos com
os quais a organização se tenha comprometido;
ef
f) os resultados de auditorias internas ou externas anteriores e de revisões pela gestão, conforme
adequado;
sd
g) os resultados da revisão do programa de auditoria anterior;
h) questões de língua, culturais e sociais;
ito
i) as preocupações das partes interessadas, tais como reclamações de clientes, não conformidade
com exigências estatutárias e regulamentares e outros requisitos com os quais a organização se
tenha comprometido, ou questões na cadeia de fornecimento;
j)
k)
oportunidades relacionados; efe
as alterações significativas no contexto do auditado ou nas suas operações e os riscos e
atividades de auditoria;
b) os métodos de auditoria (ver A.1);
c) a disponibilidade individual e global de auditores e de peritos técnicos com as competências
de
requeridos para conduzir uma auditoria à distância utilizando tecnologias que suportem
colaboração à distância);
h) a disponibilidade de quaisquer ferramentas, tecnologia e equipamento necessários;
cu
o
çã
p. 21 de 58
ma
5.5 Implementação do programa de auditoria
5.5.1 Generalidades
or
Depois de estabelecido o programa de auditoria (ver 5.4.3) e determinados os recursos relacionados
(ver 5.4.4), é necessário implementar o planeamento operacional e a coordenação de todas as
ef
atividades inerentes ao programa.
A(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria deverá(ão):
sd
a) comunicar as partes relevantes do programa de auditoria, incluindo os riscos e oportunidades
envolvidos, às partes interessadas relevantes e informá-las periodicamente sobre o seu progresso,
ito
utilizando os canais de comunicação externa e interna estabelecidos;
b) definir objetivos, âmbito e critérios de cada uma das auditorias;
efe
c) selecionar os métodos de auditoria (ver A.1);
d) coordenar e calendarizar as auditorias e outras atividades relevantes para o programa de auditoria;
e) assegurar que as equipas auditoras têm a competência necessária (ver 5.5.4);
ra
f) disponibilizar os recursos individuais e globais necessários às equipas auditoras (ver 5.4.4);
pa
g) assegurar a condução das auditorias de acordo com o programa de auditoria, gerindo todos os
riscos, oportunidades e questões operacionais (isto é imprevistos), que surjam no decurso do
programa;
lho
programa de auditoria;
j) rever o programa de auditoria para identificar oportunidades de melhoria (ver 5.7).
Tra
Os objetivos da auditoria definem o que é esperado de cada auditoria e poderão incluir o seguinte:
a) determinação do grau de conformidade de todo ou de parte do sistema de gestão a auditar com os
nto
critérios da auditoria;
b) avaliação da capacidade do sistema de gestão para ajudar a organização a satisfazer as exigências
estatutárias e regulamentares relevantes e outros requisitos com que a organização se tenha
me
comprometido;
c) avaliação da eficácia do sistema de gestão para atingir os resultados pretendidos;
cu
estratégica do auditado;
f) avaliação da capacidade do sistema de gestão para estabelecer e atingir objetivos e para abordar
com eficácia os riscos e oportunidades, num contexto de mudança, incluindo a implementação das
ações relacionadas.
o
çã
p. 22 de 58
ma
O âmbito da auditoria deverá ser coerente com o programa de auditoria e com os objetivos da
auditoria. Inclui fatores como locais, funções, atividades e processos a auditar, bem como o período de
tempo coberto pela auditoria.
or
Os critérios da auditoria são utilizados como referências em relação aos quais é determinada a
ef
conformidade. Estes poderão incluir um ou mais dos seguintes aspetos: políticas aplicáveis, processos,
procedimentos, critérios de desempenho incluindo objetivos, exigências estatutárias e
regulamentares, requisitos de sistemas de gestão, informação relativa ao contexto e aos riscos e
sd
oportunidades tal como determinados pelo auditado (incluindo requisitos relevantes de partes
interessadas externas/internas), códigos de conduta sectoriais ou outras disposições planeadas.
Se ocorrerem quaisquer alterações nos objetivos, âmbito ou critérios da auditoria, o programa de
ito
auditoria deverá ser modificado se necessário e comunicado às partes interessadas para aprovação, se
adequado.
efe
Quando várias disciplinas são auditadas em simultâneo, é importante que os objetivos, âmbito e
critérios de auditoria sejam coerentes com os programas de auditorias relevantes para cada disciplina.
Para algumas disciplinas o âmbito reflete toda a organização, enquanto para outras o âmbito reflete
apenas uma parte da organização.
ra
5.5.3 Seleção e determinação dos métodos de auditoria
pa
As auditorias podem ser realizadas localmente, à distância ou combinando os dois métodos. O recurso
a estes métodos deverá ser adequadamente equilibrado, tendo em consideração os riscos e
oportunidades associados, entre outros aspetos.
ba
Quando duas ou mais organizações auditoras conduzem uma auditoria conjunta ao mesmo auditado,
as pessoas responsáveis pela gestão dos diferentes programas de auditorias deverão acordar os
Tra
Para assegurar a competência global da equipa auditora, deverão ser dados os seguintes passos:
Do
o
çã
p. 23 de 58
ma
Ao decidir a dimensão e a composição da equipa auditora para uma auditoria específica, deverá ser
tido em consideração o seguinte:
or
a) competência global da equipa auditora necessária para serem atingidos os objetivos da auditoria,
tendo em conta o âmbito e os critérios da auditoria;
ef
b) a complexidade da auditoria;
c) se é uma auditoria combinada ou conjunta;
sd
d) os métodos de auditoria selecionados;
e) a garantia de objetividade e imparcialidade para evitar quaisquer conflitos de interesse no processo
ito
de auditoria;
f) a aptidão dos membros da equipa auditora para trabalhar e interagir eficazmente com os
representantes do auditado e das partes interessadas relevantes;
efe
g) as questões externas/internas relevantes, tais como a língua da auditoria e as caraterísticas sociais
e culturais do auditado. Estas questões poderão ser abordadas pelo próprio saber-fazer do auditor,
ou com a ajuda de um perito técnico, considerando também a necessidade de intérpretes;
ra
h) o tipo e complexidade dos processos a auditar.
pa
incluídos peritos técnicos com as competências adicionais para dar apoio à equipa.
Auditores em formação poderão ser incluídos na equipa auditora, mas deverão participar sob a
direção e a orientação de um auditor.
ba
No decurso da auditoria poderão ser necessárias alterações da composição da equipa auditora, p. ex.
se surgirem questões de conflito de interesses ou de competência. Se uma destas situações se verificar,
Tra
a mesma deverá ser resolvida com as partes envolvidas (p. ex. coordenador da equipa auditora, a(s)
pessoa(s) responsável(eis) pela gestão do programa de auditoria, o cliente da auditoria ou o auditado)
antes de se proceder a quaisquer alterações.
de
Para assegurar a condução eficaz de cada auditoria, deverá ser fornecida ao coordenador da equipa
auditora a informação seguinte:
cu
a) objetivos da auditoria;
b) critérios da auditoria e qualquer informação documentada relevante;
Do
o
çã
p. 24 de 58
ma
f) detalhes dos contactos do auditado, locais, prazos e duração das atividades de auditoria a
conduzir;
or
g) recursos necessários para conduzir a auditoria;
h) informação necessária para avaliar e abordar os riscos e oportunidades identificados para serem
ef
atingidos os objetivos da auditoria;
i) informação que ajude o(s) coordenador(es) da(s) equipa(s) auditora(s) nas suas interações com o
sd
auditado para a eficácia do programa de auditoria.
Conforme adequado, esta informação deverá também englobar o seguinte:
ito
língua de trabalho e de relato da auditoria, se for diferente da do auditor e/ou do auditado;
relato da auditoria conforme requerido e a quem tem que ser distribuído;
programa de auditoria;
efe
questões relacionadas com confidencialidade e segurança da informação, conforme requerido pelo
quaisquer disposições em matéria de saúde, segurança pessoal e ambiente relativas aos auditores;
ra
requisitos de viagem ou de acesso a locais remotos;
pa
a) avaliação da medida em que são atingidos os objetivos de cada auditoria do programa de auditoria;
b) revisão e aprovação dos relatórios de auditoria no que se refere ao cumprimento do âmbito e dos
objetivos da auditoria;
nto
a comunicação dos resultados da auditoria e das melhores práticas a outras áreas da organização, e
Do
o
çã
p. 25 de 58
ma
5.5.7 Gestão e manutenção dos registos do programa de auditoria
A(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria deverá(ão) assegurar-se de que
or
os registos das auditorias são criados, geridos e mantidos para demonstrar a implementação do
programa de auditoria. Deverão ser estabelecidos processos para assegurar que são abordadas
ef
quaisquer necessidades de segurança e confidencialidade de informação associadas aos registos das
auditorias.
Os registos poderão incluir o seguinte:
sd
a) registos relacionados com o programa de auditoria, tais como:
calendário das auditorias;
ito
objetivos e extensão do programa de auditoria;
efe
registos relativos à abordagem aos riscos e oportunidades do programa de auditoria e a
questões externas e internas relevantes;
revisões da eficácia do programa de auditoria;
ra
b) registos relacionados com cada uma das auditorias, tais como:
planos e relatórios das auditorias;
pa
critérios de seleção das equipas auditoras e dos membros das equipas e de constituição das
equipas auditoras;
manutenção e melhoria da competência.
de
A forma e o nível de detalhe dos registos deverão demonstrar que os objetivos do programa de
auditoria foram atingidos.
nto
o
çã
p. 26 de 58
ma
e) a suficiência e adequação da informação documentada em todo o processo de auditoria.
Alguns fatores podem determinar a necessidade de modificar o programa de auditoria. Estes podem
or
incluir alterações:
das constatações da auditoria;
ef
do nível de eficácia e de maturidade demonstrado pelo sistema de gestão do auditado;
da eficácia do programa de auditoria;
sd
do âmbito da auditoria ou do âmbito do programa de auditoria;
do sistema de gestão do auditado;
ito
das normas e de outros requisitos com os quais a organização se tenha comprometido;
efe
dos fornecedores externos;
dos conflitos de interesse identificados;
dos requisitos do cliente da auditoria.
ra
5.7 Revisão e melhoria do programa de auditoria
pa
programa.
A(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria deverá(ão) assegurar o
seguinte:
ba
relato dos resultados do programa de auditoria e sua revisão com o cliente da auditoria e as partes
interessadas relevantes, conforme adequado.
A revisão do programa de auditoria deverá ter em consideração o seguinte:
nto
relevante;
c) evolução das necessidades e expectativas das partes interessadas relevantes;
d) registos do programa de auditoria;
cu
o
çã
p. 27 de 58
ma
h) questões de confidencialidade e de segurança da informação relacionadas com o programa de
auditoria.
or
6 Condução de uma auditoria
ef
6.1 Generalidades
Esta secção dá orientações sobre a preparação e a condução de uma auditoria específica que faça parte
sd
de um programa de auditoria. A Figura 2 dá uma visão geral das atividades normais de uma auditoria.
A aplicação das disposições desta secção depende dos objetivos e do âmbito da auditoria em causa.
ito
6.2 Início da auditoria
6.2.1 Generalidades
Para iniciar uma auditoria, deverão ser consideradas as etapas constantes da Figura 1; contudo,
ra
dependendo do auditado, dos processos e de circunstâncias específicas da auditoria, a sequência pode
ser diferente.
pa
auditado para:
a) confirmar os canais de comunicação com os representantes do auditado;
ba
informação confidencial;
g) preparar a auditoria, incluindo o calendário;
h) determinar quaisquer disposições específicas do local quanto a acesso, saúde e segurança pessoal,
me
*) Tradução dos termos em inglês "safety" - segurança pessoal, "security" – segurança (nota nacional).
o
çã
p. 28 de 58
ma
k) resolver questões sobre a composição da equipa auditora com o auditado ou com o cliente da
auditoria.
or
6.2.3 Determinação da exequibilidade da auditoria
A exequibilidade da auditoria deverá ser determinada para dar confiança razoável de que os objetivos
ef
da auditoria podem ser atingidos.
A determinação da exequibilidade deverá ter em consideração fatores tais como a disponibilidade de:
sd
a) informação suficiente e adequada para planear e conduzir a auditoria;
b) cooperação adequada por parte do auditado;
ito
c) tempo e recursos adequados para a condução da auditoria.
NOTA: Os recursos incluem acesso a tecnologia de informação e comunicação apropriada.
efe
Quando a auditoria não for exequível, deverá ser proposta ao cliente da auditoria uma alternativa que
tenha o acordo do auditado.
ra
6.3 Preparação das atividades de auditoria
A informação documentada relevante do sistema de gestão do auditado deverá ser revista para:
recolher informação para compreender as operações do auditado e preparar as atividades de
lho
auditoria e os documentos de trabalho aplicáveis (ver 6.3.4), p. ex. relativos a processos, funções;
obter uma visão geral da extensão da informação documentada para determinar a sua eventual
ba
gestão, bem como relatórios de auditorias anteriores. A revisão deverá ter em conta o contexto da
organização do auditado, incluindo a sua dimensão, natureza e complexidade, e os respetivos riscos e
oportunidades. Deverá ter também em conta o âmbito, os critérios e os objetivos da auditoria.
de
O grau de detalhe do plano da auditoria deverá refletir o âmbito e a complexidade da auditoria, bem
como o risco de os objetivos da auditoria não serem atingidos. No planeamento da auditoria, o
coordenador da equipa auditora deverá considerar o seguinte:
o
çã
p. 29 de 58
ma
a) a composição da equipa auditora e a sua competência coletiva;
b) as técnicas de amostragem adequadas (ver A.6);
or
c) as oportunidades para melhorar a eficácia e a eficiência das atividades de auditoria;
d) os riscos de os objetivos da auditoria não serem atingidos decorrentes de um planeamento ineficaz
ef
da auditoria;
e) os riscos para o auditado criados pela realização da auditoria.
sd
Os riscos para o auditado podem decorrer da influência adversa da presença dos membros da equipa
auditora sobre as disposições do auditado em matéria de saúde e segurança pessoal, ambiente e
ito
qualidade e sobre os seus produtos, serviços, pessoal ou infraestrutura (p. ex. contaminação de
instalações do tipo “sala limpa”).
Em auditorias combinadas, deverá ser dada particular atenção às interações entre processos
efe
operacionais e a quaisquer objetivos e prioridades concorrentes dos diferentes sistemas de gestão.
planeamento da auditoria deverá ser suficientemente flexível para permitir alterações que possam ser
necessárias à medida que as atividades de auditoria progridam.
O planeamento da auditoria deverá tratar ou referir o seguinte:
lho
a) os objetivos da auditoria;
b) o âmbito da auditoria, incluindo a identificação da organização e das suas funções, bem como os
ba
processos a auditar;
c) os critérios da auditoria e qualquer informação documentada de referência;
Tra
d) os locais (físicos e virtuais), datas, horas e durações expectáveis das atividades de auditoria a
conduzir, incluindo reuniões com a gestão do auditado;
e) a necessidade de a própria equipa auditora se familiarizar com as instalações e os processos do
de
auditado (p. ex. fazendo uma visita aos locais físicos ou revendo as tecnologias de informação e
comunicação);
f) os métodos de auditoria a utilizar, incluindo a medida em que é necessária amostragem de
nto
o
çã
p. 30 de 58
ma
quaisquer ações específicas a empreender na abordagem aos riscos para a consecução dos
objetivos da auditoria e as oportunidades decorrentes;
or
questões relacionadas com confidencialidade e segurança da informação;
quaisquer ações de seguimento de uma auditoria anterior ou de outra(s) fonte(s), p. ex. lições
ef
aprendidas, revisões de projeto;
quaisquer ações de seguimento da auditoria planeada;
sd
coordenação com outras atividades de auditoria, no caso de uma auditoria conjunta.
Os planos de auditoria deverão ser apresentados ao auditado. Quaisquer questões com os planos de
ito
auditoria deverão ser resolvidas entre o coordenador da equipa auditora, o auditado e, se necessário
a(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria.
funções e responsabilidades dos auditores, dos auditores em formação e dos peritos técnicos.
O coordenador da equipa auditora deverá reunir, conforme adequado, com a equipa auditora para
distribuir tarefas e decidir possíveis alterações. A atribuição de tarefas pode ser alterada no decurso
lho
Os membros da equipa auditora deverão recolher e rever a informação relevante para as suas
atribuições na auditoria e preparar a informação documentada para a auditoria, recorrendo a
quaisquer meios adequados. Esta informação documentada para a auditoria pode incluir mas não está
Tra
limitada a:
a) listas de verificação físicas ou digitais;
b) detalhes da amostragem na auditoria;
de
c) informação audiovisual.
A utilização destes meios não deverá restringir a extensão das atividades de auditoria, que podem ser
nto
A informação documentada preparada para a auditoria e a que resulte da mesma deverá se retida pelo
me
protegida deverá ser sempre devidamente salvaguardada pelos membros da equipa auditora.
Do
o
çã
p. 31 de 58
ma
6.4 Condução das atividades de auditoria
6.4.1 Generalidades
or
As atividades de auditoria são normalmente conduzidas numa sequência definida, tal como indicado
na Figura 1. Esta sequência poderá ser alterada para se adaptar às circunstâncias de auditorias
ef
específicas.
sd
6.4.2 Atribuição de funções e responsabilidades de guias e observadores
A equipa auditora poderá ser acompanhada por guias e observadores mediante a aprovação do
coordenador da equipa auditora, do cliente da auditoria e/ou do auditado, se necessário. Estes não
ito
deverão influenciar ou interferir na condução da auditoria. Se isso não puder ser garantido, o
coordenador da equipa auditora deverá ter o direito de recusar a presença de observadores em certas
atividades de auditoria.
efe
No caso dos observadores, quaisquer disposições sobre acesso, saúde e segurança pessoal, ambiente,
segurança e confidencialidade deverão ser geridas entre o cliente da auditoria e o auditado.
Os guias, designados pelo auditado, deverão apoiar a equipa auditora e atuar a pedido do coordenador
ra
da equipa auditora ou do auditor que acompanham. As suas responsabilidades deverão incluir o
seguinte:
pa
c) assegurar que as regras específicas dos locais em matéria de acesso, segurança pessoal, ambiente,
segurança, confidencialidade e outras são conhecidas e respeitadas pelos membros da equipa
auditora e pelos observadores e que quaisquer riscos são abordados;
ba
a) confirmar o acordo de todas as partes (p. ex. auditado, equipa auditora) com o plano da auditoria;
b) apresentar a equipa auditora e as respetivas funções;
nto
questões.
O grau de detalhe deverá ser consistente com a familiaridade do auditado com o processo de auditoria.
Em muitas situações, p. ex. no caso de auditorias internas numa pequena organização, a reunião de
cu
abertura poderá simplesmente consistir em comunicar que vai ser conduzida uma auditoria e em
explicar a sua natureza.
Do
Noutras situações de auditoria, a reunião poderá ser formal e deverão ser mantidos registos das
presenças. A reunião deverá ser dirigida pelo coordenador da equipa auditora.
o
çã
p. 32 de 58
ma
Conforme adequado, deverá ser considerada a apresentação dos seguintes pontos:
outros participantes, incluindo observadores, guias e intérpretes, e uma breve descrição das
or
respetivas funções;
os métodos de auditoria para a gestão dos riscos para a organização que poderão resultar da
ef
presença dos membros da equipa auditora.
Conforme adequado, deverá ser considerada a confirmação dos seguintes pontos:
sd
os objetivos, âmbito e critérios da auditoria;
o plano da auditoria e outras disposições relevantes, tais como data e hora da reunião de
ito
encerramento, quaisquer reuniões intercalares entre a equipa auditora e a gestão do auditado, bem
como quaisquer alterações que sejam necessárias;
efe
os canais de comunicação formais entre a equipa auditora e o auditado;
a língua a utilizar durante a auditoria;
o auditado permanecer informado sobre o progresso da auditoria no decurso da mesma:
ra
a disponibilidade dos recursos e instalações necessários à equipa auditora;
pa
auditado, com o cliente da auditoria e eventualmente com partes interessadas externas (p. ex.
reguladores), especialmente se houver exigências estatutárias e regulamentares que requeiram relato
obrigatório de não conformidades.
me
Periodicamente, a equipa auditora deverá fazer um ponto de situação para trocar informações, avaliar
o progresso da auditoria e, se necessário, redistribuir trabalho entre os membros da equipa auditora.
Durante a auditoria, o coordenador da equipa auditora deverá comunicar periodicamente, ao auditado
cu
significativo deverá ser relatada sem demora ao auditado e, se adequado, ao cliente da auditoria.
Qualquer preocupação com uma questão fora do âmbito da auditoria deverá ser anotada e relatada ao
coordenador da equipa auditora, para eventual comunicação ao cliente da auditoria e ao auditado.
o
çã
p. 33 de 58
ma
Se as evidências de auditoria disponíveis indicarem que os objetivos da auditoria são inatingíveis, o
coordenador da equipa auditora deverá relatar as razões ao cliente da auditoria e ao auditado para
determinar a ação adequada. Essa ação poderá incluir alterações ao planeamento, aos objetivos ou ao
or
âmbito da auditoria, ou o término da auditoria.
ef
Quaisquer necessidades de alterações ao plano da auditoria que se revelem necessárias à medida que
as atividades de auditoria progridam deverão ser revistas e aceites, conforme adequado, pela(s)
pessoa(s) responsável(eis) pela gestão do programa de auditoria e pelo cliente da auditoria, e
sd
apresentadas ao auditado.
ito
Os métodos de auditoria são escolhidos em função dos objetivos, âmbito e critérios definidos para a
auditoria, bem como da duração e do local. O local é onde a informação necessária para as atividades
efe
da auditoria específica está à disposição da equipa auditora. Isto poderá incluir locais físicos e virtuais.
Onde, quando e como aceder à informação de auditoria é crucial para a auditoria. Isto é independente
de onde a informação é criada, usada e/ou armazenada. Tendo por base estas questões, é necessário
determinar os métodos de auditoria (ver Quadro A.1). A auditoria pode usar vários métodos. As
ra
circunstâncias da auditoria poderão, também, levar a mudar os métodos de auditoria no decurso da
mesma.
pa
A revisão poderá ser combinada com outras atividades de auditoria e poderá continuar ao longo de
toda a auditoria, desde que não prejudique a eficácia da condução da auditoria.
Se a informação documentada adequada não puder ser fornecida dentro do prazo previsto no plano de
de
auditoria, o coordenador da equipa auditora deverá informar a(s) pessoa(s) responsável(eis) pela
gestão do programa de auditoria e o auditado. Dependendo dos objetivos e do âmbito da auditoria,
deverá ser decidida a continuação ou a suspensão da auditoria até que as questões relativas à
informação documentada estejam resolvidas.
nto
Apenas deve ser aceite como evidência de auditoria a informação que possa ser submetida a algum
Do
grau de verificação. Quando o grau de verificação for baixo, o auditor deverá utilizar o seu juízo
profissional para determinar o nível de confiança que lhe possa ser atribuído enquanto evidência. As
evidências de auditoria que originem constatações de auditoria deverão ser registadas. Se, ao recolher
evidências, a equipa auditora se aperceber de quaisquer circunstâncias, riscos ou oportunidades que
o
çã
p. 34 de 58
ma
sejam novos ou tenham sido alterados, os mesmos deverão ser tratados pela equipa de forma
adequada.
or
A Figura 2 dá uma visão geral de um processo-tipo, desde a recolha de informação até às conclusões da
auditoria.
ef
Fonte de informação
sd
Recolha por amostragem adequada
ito
efe
Evidências de auditoria
Constatações da auditoria
lho
Revisão
ba
Tra
Conclusões da auditoria
de
entrevistas;
observações;
revisão de informação documentada.
me
NOTA 3: Orientações sobre seleção de fontes de informação e de observação são propostas em A.14.
NOTA 4: Orientações sobre visita ao local do auditado são propostas em A.15.
cu
o
çã
p. 35 de 58
ma
constatações de auditoria deverão incluir a conformidade e as boas práticas, bem como as
correspondentes evidências de suporte, as oportunidades de melhoria e eventuais recomendações ao
auditado.
or
As não conformidades e as respetivas evidências de auditoria deverão ser registadas.
ef
As não conformidades podem ser classificadas em função do contexto da organização e dos riscos
associados. Esta classificação pode ser quantitativa (p. ex. de 1 a 5) ou qualitativa (p. ex. menor, maior).
Deverão ser revistas com o auditado para que este reconheça a exatidão das evidências de auditoria e
sd
compreenda as não conformidades. Deverão ser feitos todos os esforços para solucionar opiniões
divergentes sobre as evidências ou constatações de auditoria. As questões não resolvidas deverão ser
registadas no relatório de auditoria.
ito
A equipa auditora deverá reunir-se em momentos adequados da auditoria para rever as constatações
da auditoria, se necessário.
efe
NOTA 1: Orientações adicionais sobre identificação e avaliação das constatações da auditoria são propostas em A.18.
NOTA 2: Conformidade ou não conformidade com critérios de auditoria relacionados com exigências estatutárias ou
regulamentares ou outros requisitos é por vezes referida como conformidade legal ou não conformidade legal*).
ra
6.4.9 Determinação das conclusões da auditoria
pa
auditoria;
c) preparar recomendações, se especificado no plano de auditoria;
Tra
c) o atingir dos objetivos da auditoria, a cobertura do âmbito da auditoria e a satisfação dos critérios
de auditoria;
d) constatações semelhantes feitas em diferentes áreas auditadas ou em auditoria conjunta ou
cu
*)Tradução dos termos em inglês "compliance" - conformidade legal, "non-compliance" - não conformidade legal (nota
nacional).
o
çã
p. 36 de 58
ma
Se estiver especificado no plano da auditoria, as conclusões da auditoria podem levar a recomendações
de melhoria ou a futuras atividades de auditoria.
or
6.4.10 Condução da reunião de encerramento
Deverá ser realizada uma reunião de encerramento para apresentar as constatações e as conclusões da
ef
auditoria.
A reunião de encerramento deverá ser presidida pelo coordenador da equipa auditora e contar com a
sd
presença da gestão do auditado e incluir, conforme aplicável:
os responsáveis pelas funções ou processos auditados;
ito
o cliente da auditoria;
outros membros da equipa auditora;
da auditoria, os participantes deverão acordar o prazo para apresentar um plano de ação para tratar as
constatações da auditoria.
O grau de detalhe deverá ter em conta a eficácia do sistema de gestão para que sejam atingidos os
lho
Em algumas situações de auditoria, a reunião poderá ser formal e deverá ser guardada ata, incluindo
registo de presenças. Noutras situações, p. ex. auditorias internas, a reunião de encerramento poderá
Tra
ser menos formal e consistir apenas na comunicação das constatações e das conclusões da auditoria.
Conforme seja adequado, na reunião de encerramento deverá ser explicado ao auditado o seguinte:
a) que as evidências de auditoria recolhidas se basearam numa amostra da informação disponível e
de
que não são necessariamente representativas da eficácia global dos processos do auditado;
b) o método de relatar;
nto
c) como deverão ser tratadas as constatações da auditoria com base no processo acordado;
d) consequências possíveis de tratamento inadequado das constatações da auditoria;
e) apresentação das constatações e conclusões da auditoria de maneira a que sejam compreendidas e
me
conclusões da auditoria deverão ser discutidas e, se possível, resolvidas. Se não forem resolvidas, essas
opiniões deverão ser registadas.
Se especificado nos objetivos da auditoria, poderão ser apresentadas recomendações para as
oportunidades de melhoria. Deverá ser realçado que as recomendações não são vinculativas.
o
çã
p. 37 de 58
ma
6.5 Preparação e distribuição do relatório da auditoria
or
O coordenador da equipa auditora deverá relatar as conclusões da auditoria de acordo com o
programa de auditoria. O relatório da auditoria deverá ser um registo completo, exato, conciso e claro
ef
da auditoria e deverá incluir ou referir o seguinte:
a) os objetivos da auditoria;
sd
b) o âmbito da auditoria, nomeadamente a identificação da organização (o auditado) e das funções ou
processos auditados;
ito
c) a identificação do cliente da auditoria;
d) a identificação da equipa auditora e dos participantes na auditoria por parte do auditado;
efe
e) as datas e os locais onde foram conduzidas as atividades de auditoria;
f) os critérios da auditoria;
g) as constatações da auditoria e as correspondentes evidências;
ra
h) as conclusões da auditoria;
pa
k) pela sua natureza, as auditorias são um exercício de amostragem; há, portanto, o risco de as
evidências de auditoria examinadas não serem representativas.
Se adequado, o relatório de auditoria pode também incluir ou referir o seguinte:
ba
quaisquer áreas no âmbito da auditoria que não tenham sido cobertas, incluindo quaisquer
questões relativas à disponibilidade de evidências, aos recursos ou à confidencialidade, com as
respetivas justificações;
nto
o
çã
p. 38 de 58
ma
6.5.2 Distribuição do relatório da auditoria
O relatório da auditoria deverá ser emitido dentro do prazo acordado. Se tal não for possível, as razões
or
do atraso deverão ser comunicadas ao auditado e à(s) pessoa(s) responsável(eis) pela gestão do
programa de auditoria.
ef
O relatório da auditoria deverá ser datado, revisto e aceite, conforme adequado, de acordo com o
programa de auditoria.
sd
O relatório da auditoria deverá ser então distribuído às partes interessadas relevantes definidas no
programa de auditoria ou no plano de auditoria.
Na distribuição do relatório de auditoria, deverão ser consideradas medidas adequadas para assegurar
ito
a confidencialidade.
efe
A auditoria é encerrada quando tiverem sido realizadas todas as atividades de auditoria planeadas, ou
conforme acordado com o cliente da auditoria (p. ex. uma situação inesperada pode impedir que a
auditoria termine de acordo com o plano de auditoria).
ra
A informação documentada relacionada com a auditoria deverá ser retida ou destruída conforme
acordado entre as partes participantes e em conformidade com o programa de auditoria e os
pa
requisitos aplicáveis.
Exceto se for legalmente exigido, a equipa auditora e a(s) pessoa(s) responsável(eis) pela gestão do
lho
programa de auditoria não deverão revelar nenhuma informação obtida durante da auditoria, ou o
conteúdo do relatório da auditoria, a qualquer outra parte sem a aprovação expressa do cliente da
auditoria e, se adequado, do auditado. Se for requerida a revelação do conteúdo de um documento da
auditoria, o cliente da auditoria e o auditado deverão ser informados logo que possível.
ba
As lições aprendidas com a auditoria podem identificar riscos e oportunidades para o programa de
auditoria e para o auditado.
Tra
A conclusão e a eficácia destas ações deverão ser verificadas. Esta verificação poderá fazer parte de
uma auditoria subsequente. Os resultados deverão ser relatados à pessoa responsável pela gestão do
programa de auditoria e ao cliente da auditoria para efeitos de revisão pela gestão.
me
7.1 Generalidades
A confiança no processo de auditoria e a capacidade para atingir os seus objetivos depende da
Do
competência das pessoas envolvidas na realização das auditorias, incluindo auditores e coordenadores
da equipa auditora. A competência deverá ser avaliada regularmente através de um processo que
considere o comportamento pessoal e a capacidade para aplicar os conhecimentos e saber-fazer
obtidos através de educação, experiência profissional, formação de auditores e experiência de
o
çã
p. 39 de 58
ma
auditoria. Este processo deverá ter em consideração as necessidades do programa de auditoria e os
seus objetivos. Alguns conhecimentos e saber-fazer descritos em 7.2.3 são comuns aos auditores de
todas as disciplinas de sistemas de gestão; outros são específicos das disciplinas de cada sistema de
or
gestão. Não é necessário que cada auditor da equipa auditora tenha as mesmas competências.
Contudo, é necessário que as competências globais da equipa auditora sejam suficientes para que os
ef
objetivos da auditoria sejam atingidos.
A avaliação da competência dos auditores deverá ser planeada, implementada e documentada para se
sd
obter um resultado objetivo, consistente, justo e fiável. O processo de avaliação deverá incluir quatro
etapas principais, que são:
a) determinar a competência requerida para satisfazer as necessidades do programa de auditoria;
ito
b) estabelecer os critérios de avaliação;
efe
c) selecionar o método de avaliação adequado;
d) conduzir a avaliação.
O resultado do processo de avaliação deverá proporcionar uma base para:
ra
a seleção dos membros da equipa auditora (tal como descrito em 5.5.4);
a determinação da necessidade de melhoria da competência (p. ex. formação adicional);
pa
A competência requerida à(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria está
descrita em 5.4.2.
de
7.2.1 Generalidades
nto
Ao definir as competências necessárias para uma auditoria, deverão ser tidos em consideração os
conhecimentos e saber-fazer de um auditor relacionados com:
a) a dimensão, a natureza, a complexidade, os produtos, os serviços e os processos dos auditados;
me
b) os métodos de auditoria;
c) as disciplinas do sistema de gestão a auditar;
cu
o
çã
p. 40 de 58
ma
h) outros requisitos, tais como os impostos pelo cliente da auditoria ou outras partes interessadas
relevantes, se adequado.
or
Esta informação deverá ser comparada com a que é listada em 7.2.3.
ef
Os auditores deverão ter os atributos necessários que lhes permitam agir de acordo com os princípios
de auditoria descritos na Secção 4. Os auditores deverão ter um comportamento profissional no
sd
desempenho das atividades de auditoria. Os comportamentos profissionais desejados incluem ser:
a) ético, isto é, justo, verdadeiro, sincero, honesto e discreto;
ito
b) espírito aberto, isto é, estar disposto a considerar ideias ou pontos de vista alternativos;
c) diplomata, isto é, ter tato a lidar com as pessoas;
e) efe
d) observador, isto é, observar ativamente o ambiente físico e as atividades;
perspicaz, isto é, estar ciente das situações e ser capaz de as compreender;
f) versátil, isto é, capaz de se adaptar facilmente a situações diferentes;
ra
g) tenaz, isto é, persistente e concentrado em atingir os objetivos;
pa
i) autónomo, isto é, capaz de agir e funcionar de forma independente interagindo eficazmente com
os outros;
j) firme, isto é, capaz de agir de forma responsável e ética, mesmo que essas ações possam nem
ba
7.2.3.1 Generalidades
nto
venham a realizar;
b) competência geral e um nível de conhecimentos e de saber-fazer específicos da disciplina e dos
setores em causa.
cu
o
çã
p. 41 de 58
ma
a) Princípios, processos e métodos de auditoria: os conhecimentos e saber-fazer nesta área permitem
ao auditor assegurar-se que as auditorias são realizadas de maneira coerente e sistemática.
or
Um auditor deverá ser capaz de:
compreender os tipos de riscos e de oportunidades associados às auditorias e os princípios de
ef
uma abordagem baseada no risco em auditorias;
planear e organizar o trabalho de forma eficaz;
sd
conduzir a auditoria dentro do prazo acordado;
priorizar e concentrar-se nas questões significativas;
ito
comunicar eficazmente, na forma oral e escrita (pessoalmente ou através de intérpretes);
recolher informação através de entrevistas eficazes, escutando, observando e revendo
efe
informação documentada, incluindo registos e dados;
compreender a adequação e as consequências da utilização de técnicas de amostragem em
auditoria;
ra
compreender e considerar as opiniões de peritos técnicos;
pa
avaliar os fatores que poderão influenciar a fiabilidade das constatações e das conclusões da
auditoria;
Tra
seguinte:
necessidades e expetativas de partes interessadas relevantes com impacto no sistema de
gestão;
o
çã
p. 42 de 58
ma
tipo de organização, governança, dimensão, estrutura, funções e relacionamentos;
conceitos gerais de negócio e de gestão, processos e terminologia relacionada, incluindo
or
planeamento, orçamentação e gestão de pessoas;
aspetos culturais e sociais do auditado.
ef
d) Exigências estatutárias e regulamentares aplicáveis e outros requisitos: os conhecimentos e saber-
fazer nesta área permitem que o auditor esteja ciente dos requisitos aplicáveis à organização e
sd
trabalhe nesse contexto. Os conhecimentos e saber-fazer específicos da área ou das atividades,
processos, produtos e serviços do auditado deverão abranger o seguinte:
exigências estatutárias e regulamentares e respetivas agências de governação;
ito
terminologia legal básica;
efe
contratação e responsabilidade.
NOTA: Estar ciente das exigências estatutárias e regulamentares não implica competência jurídica e uma auditoria a
um sistema de gestão não deverá ser tratada como uma auditoria de conformidade legal.
ra
7.2.3.3 Competência específica dos auditores na disciplina e no setor
As equipas auditoras deverão ter a competência coletiva específica na disciplina e no setor adequada
pa
competência para:
a) planear a auditoria e atribuir as tarefas de auditoria consoante as competências específicas de cada
um dos membros da equipa auditora;
me
b) debater questões estratégicas com a gestão de topo do auditado para determinar se estas questões
foram consideradas na avaliação dos seus riscos e oportunidades;
c) desenvolver e manter uma relação de trabalho de colaboração entre os membros da equipa
cu
auditora;
d) gerir o processo de auditoria, incluindo:
Do
o
çã
p. 43 de 58
ma
proteção da segurança pessoal e saúde dos membros da equipa auditora durante a auditoria,
incluindo assegurar a conformidade dos auditores com as disposições relevantes em matéria de
segurança pessoal e saúde e de segurança;
or
gestão dos membros da equipa auditora;
ef
gestão e orientação dos auditores em formação;
prevenção e resolução de conflitos e problemas que possam ocorrer durante a auditoria,
sd
inclusive na equipa auditora, se necessário;
e) representar a equipa auditora nas comunicações com a(s) pessoa(s) responsável(eis) pela gestão
ito
do programa de auditoria, o cliente da auditoria e o auditado;
f) liderar a equipa auditora para tirar conclusões da auditoria;
efe
g) preparar e ultimar o relatório da auditoria.
de sistemas de gestão a auditar e reconhecer os limites das suas competências em cada uma das
disciplinas.
lho
NOTA: Auditorias simultâneas a múltiplas disciplinas podem ser realizadas na forma de auditoria combinada ou de auditoria
a um sistema de gestão integrado que cobre múltiplas disciplinas.
auditor;
b) experiência obtida numa posição técnica, de gestão ou profissional relevante que envolva fazer
juízos de valor, tomar decisões, resolver problemas e comunicar com gestores, profissionais, pares,
de
desenvolver as competências descritas em 7.2.3.4. Esta experiência adicional deverá ter sido obtida
trabalhando sob a direção e orientação de outro coordenador de equipa auditora.
Do
o
çã
p. 44 de 58
ma
de experiência profissional e de educação, número de auditorias realizadas, horas de formação em
auditoria).
or
7.4 Seleção do método adequado de avaliação de auditores
A avaliação deverá ser feita por dois ou mais dos métodos indicados no Quadro 2, notando o seguinte:
ef
a) os métodos indicados representam um conjunto de opções e poderão não ser aplicáveis em todas as
situações;
sd
b) os vários métodos indicados poderão não ter a mesma fiabilidade;
c) deverá ser utilizada uma combinação de métodos para assegurar um resultado objetivo, coerente,
ito
justo e fiável.
Quadro 2 – Métodos de avaliação de auditores
Método de avaliação
Revisão de registos
Objetivos
Verificar os antecedentes do
efe Exemplos
Análise de registos de educação, de
auditor formação, de emprego, de
ra
credenciais profissionais e da
experiência em auditoria
pa
profissional desejado e a
capacidade de comunicação,
verificar a informação e testar
Tra
*)
Tradução do termo inglês "role playing" (nota nacional).
o
çã
p. 45 de 58
ma
7.5 Condução da avaliação de um auditor
A informação recolhida sobre o auditor em avaliação deverá ser comparada com os critérios
or
estabelecidos em 7.2.3. Se estiver prevista a participação num programa de auditoria de um auditor
em avaliação que não satisfaz os critérios, então deverá ser providenciada formação complementar,
ef
experiência profissional ou em auditorias, procedendo-se posteriormente a uma reavaliação.
sd
Os auditores e os coordenadores de equipas auditoras deverão melhorar continuamente a sua
competência. Os auditores deverão manter as suas competências de auditoria através de participação
regular em auditorias a sistemas de gestão e desenvolvimento profissional contínuo. Isto poderá ser
ito
atingido através de experiência profissional adicional, formação, autoformação, tutoria, participação
em reuniões, seminários e conferências ou outras atividades relevantes.
efe
A(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria deverá(ão) estabelecer
mecanismos adequados para a avaliação contínua do desempenho dos auditores e dos coordenadores
das equipas auditoras.
ra
As atividades de desenvolvimento profissional contínuo deverão ter em consideração o seguinte:
a) alterações nas necessidades das pessoas e da organização responsável por conduzir a auditoria;
pa
o
çã
p. 46 de 58
ma
Anexo A
(informativo)
or
Orientação adicional para os auditores planearem e conduzirem
ef
auditorias
sd
A.1 Aplicação de métodos de auditoria
Uma auditoria pode ser realizada utilizando um conjunto de métodos de auditoria. Este anexo explica
os métodos de auditoria geralmente utilizados. Os métodos de auditoria são escolhidos em função dos
ito
objetivos, do âmbito e dos critérios definidos para a auditoria, bem como da sua duração e local. A
disponibilidade de competências dos auditores e qualquer incerteza decorrente da aplicação dos
efe
métodos de auditoria deverão ser também tidos em conta. A aplicação de diferentes métodos de
auditoria e suas combinações pode otimizar a eficácia e a eficiência do processo de auditoria e os seus
resultados.
A realização de uma auditoria envolve uma interação de pessoas ligadas ao sistema de gestão a auditar
ra
e a tecnologia utilizada para a condução da auditoria. O Quadro A.1 dá exemplos de métodos de
auditoria que podem ser utilizados, isoladamente ou em combinação, para serem atingidos os
pa
objetivos da auditoria. Se uma auditoria envolver uma equipa auditora com vários membros, poderão
ser utilizados simultaneamente tanto métodos no local como à distância.
NOTA: Informação adicional sobre visitas a locais físicos é dada na secção A.15.
lho
interativos:
Preenchimento de listas de verificação
– condução de entrevistas;
e questionários com a participação do
auditado – observação do trabalho realizado
com um guia à distância;
Revisão de documentação com a
de
– preenchimento de listas de
participação do auditado verificação e questionários;
Amostragem – revisão de documentação com a
participação do auditado
nto
Sem interação humana Revisão de documentação (p. ex. Revisão de documentação (p. ex.
registos, análises de dados) registos, análises de dados)
Observação do trabalho realizado Observação do trabalho realizado
me
distância são realizadas em qualquer local que não as instalações do auditado, independentemente da
distância.
As atividades de auditoria interativas envolvem interação do pessoal do auditado e da equipa auditora.
Atividades de auditoria não interativas não envolvem interação humana com representantes do auditado,
mas envolvem interação com equipamento, instalações e documentação.
o
çã
p. 47 de 58
ma
A responsabilidade pela aplicação eficaz de métodos de auditoria para qualquer auditoria na fase de
planeamento incumbe à(s) pessoa(s) responsável(eis) pela gestão do programa de auditoria ou ao
coordenador da equipa auditora. Este tem esta responsabilidade por ser quem conduz as atividades de
or
auditoria.
ef
A exequibilidade de atividades de auditoria à distância pode depender de diversos fatores (p. ex. o
nível de risco de se atingirem os objetivos da auditoria, o nível de confiança entre o auditor e o pessoal
do auditado e as exigências regulamentares).
sd
Ao nível do programa de auditoria, deverá ser assegurado que a utilização de métodos de auditoria à
distância e no local é adequada e equilibrada, para assegurar que são satisfatoriamente atingidos os
objetivos do programa de auditoria.
ito
A.2 Abordagem por processos à auditoria
efe
O recurso a uma “abordagem por processos” é um requisito de todas as normas ISO de sistemas de
gestão, em conformidade com as Diretivas ISO/IEC, Parte 1, Anexo SL. Os auditores deverão
compreender que auditar um sistema de gestão é auditar os processos de uma organização e as suas
interações segundo uma ou mais normas de sistemas de gestão. Resultados consistentes e previsíveis
ra
são obtidos de forma mais eficaz e eficiente quando as atividades são compreendidas e geridas como
processos interrelacionados que funcionam como um sistema coerente.
pa
Os auditores deverão exercer o seu juízo profissional durante o processo de auditoria e evitar
concentrarem-se em requisitos específicos de cada secção da norma em detrimento de serem
atingidos os resultados esperados do sistema de gestão. Algumas secções das normas ISO de sistemas
de gestão não se prestam facilmente a auditoria em termos de comparação de um conjunto de critérios
ba
de gestão. Embora sejam importantes os processos e o que atingem, o que conta é o resultado e o
desempenho do sistema de gestão. É também importante considerar o nível de integração dos
diferentes sistemas de gestão e os respetivos resultados pretendidos.
nto
A falta de um processo ou de documentação pode ser importante numa organização de risco elevado
ou complexa, mas não ser tão significativa em outras organizações.
regulamentos);
c) coerente (a informação documentada é coerente de per si e com os documentos relacionados);
d) atual (o conteúdo está atualizado).
o
çã
p. 48 de 58
ma
Deverá ser também considerado se a informação verificada proporciona evidência objetiva suficiente
para demonstrar que os requisitos estão a ser satisfeitos.
or
Se a informação é dada de maneira diferente da esperada (p. ex. por outras pessoas, por meios
alternativos), deverá ser avaliada a integridade da evidência.
ef
É necessário ter um cuidado especial com a segurança da informação devido aos regulamentos de
proteção de dados aplicáveis (nomeadamente com informação que esteja fora do âmbito da auditoria,
mas que esteja também contida no documento).
sd
A.6 Amostragem
ito
A.6.1 Generalidades
A amostragem em auditoria faz-se quando não for possível ou rentável examinar toda a informação
efe
disponível no decurso da auditoria, p. ex. os registos são muito numerosos ou estão geograficamente
muito dispersos para justificar o exame de cada item da população. A amostragem em auditoria de
uma grande população consiste em selecionar menos de 100 % dos itens dentro de todo o conjunto de
dados disponíveis (população) para obter e avaliar a evidência de certas características dessa
ra
população, para tirar uma conclusão sobre essa população.
pa
O objetivo da amostragem em auditoria é obter informação que permita ao auditor ter confiança em
que os objetivos da auditoria podem ser ou serão atingidos.
O risco associado à amostragem é o de as amostras poderem não ser representativas da população a
lho
partir da qual são selecionadas. Assim, a conclusão do auditor poderá ser enviesada e diferir daquela
que se tiraria se fosse examinada toda a população. Poderá haver outros riscos dependendo da
variabilidade da população a amostrar e do método escolhido.
ba
Quando se faz amostragem, deverá ser considerada a qualidade dos dados disponíveis, já que amostrar
dados insuficientes e inexatos não dará um resultado útil. A escolha de uma amostra adequada deverá
basear-se simultaneamente no método de amostragem e no tipo de dados pretendidos, p. ex. inferir
me
Nas auditorias tanto se pode usar amostragem dirigida (ver A.6.2) como amostragem estatística (ver
A.6.3).
Do
o
çã
p. 49 de 58
ma
A.6.2 Amostragem dirigida
A amostragem dirigida depende da competência e da experiência da equipa auditora (ver Secção 7).
or
Para a amostragem dirigida, pode considerar-se o seguinte:
ef
a) experiência de auditorias anteriores no quadro do âmbito da auditoria;
b) complexidade dos requisitos (incluindo exigências estatutárias e regulamentares) para atingir os
sd
objetivos da auditoria;
c) complexidade e interação dos processos da organização e dos elementos do sistema de gestão;
ito
d) nível das alterações em tecnologia, no fator humano ou no sistema de gestão;
e) riscos e oportunidades de melhoria significativos previamente identificados;
efe
f) resultados da monitorização dos sistemas de gestão.
Uma desvantagem da amostragem dirigida é que pode não haver uma estimativa estatística do efeito
da incerteza nas constatações da auditoria e nas conclusões tiradas.
ra
A.6.3 Amostragem estatística
pa
Se a decisão for utilizar amostragem estatística, o plano de amostragem deverá basear-se nos objetivos
da auditoria e no conhecimento das características da população global donde vão ser recolhidas as
amostras.
lho
por atributos ou por variáveis. Por exemplo, quando se avalia a conformidade de formulários
preenchidos segundo os requisitos de um procedimento, poder-se-á utilizar uma abordagem por
atributos. Quando se examina a ocorrência de incidentes de segurança alimentar ou o número de
falhas de segurança, uma abordagem por variáveis seria provavelmente mais adequada.
de
frequentemente referido como o nível de confiança aceitável. Por exemplo, um risco de amostragem de
5 % corresponde a um nível de confiança aceitável de 95 %. Um risco de amostragem de 5 % significa
que o auditor está disposto a aceitar o risco de 5 em 100 (ou 1 em 20) das amostras examinadas não
refletirem os valores reais que se obteriam se toda a população fosse examinada.
o
çã
p. 50 de 58
ma
Quando se utiliza amostragem estatística, os auditores deverão documentar de forma adequada o
trabalho realizado. Isto deverá incluir uma descrição da população a amostrar, os critérios de
amostragem utilizados para a avaliação (p. ex. o que é uma amostra aceitável), os parâmetros e os
or
métodos estatísticos utilizados para a avaliação, o número de amostras avaliadas e os resultados
obtidos.
ef
A.7 Auditoria da conformidade no quadro de um sistema de gestão
sd
A equipa auditora deverá verificar se o auditado tem processos eficazes para:
a) identificar as exigências estatutárias e regulamentares e outros requisitos com que se
ito
comprometeu;
b) gerir as suas atividades, produtos e serviços para obter a conformidade com estas exigências;
efe
c) avaliar o seu estado de conformidade.
Para além da orientação genérica dada neste documento, na avaliação dos processos implementados
para assegurar a conformidade com as exigências relevantes, a equipa auditora deverá verificar se o
auditado:
ra
1) tem um sistema eficaz para identificar alterações das exigências de conformidade e para as
pa
as necessidades e as expetativas das partes interessadas relevantes, bem como as questões externas e
internas. Para o fazer, a organização pode recorrer a várias técnicas de análise e planeamento
estratégicos.
nto
Os auditores deverão confirmar se foram desenvolvidos processos adequados para o fazer e se são
usados com eficácia, para que os seus resultados forneçam uma base confiável para determinar o
âmbito e o desenvolvimento do sistema de gestão. Para tanto, os auditores deverão considerar
evidência objetiva relacionada com:
me
o
çã
p. 51 de 58
ma
Os auditores deverão ter conhecimentos relevantes específicos do sector e compreender as
ferramentas de gestão que as organizações podem usar para serem capazes de julgar a eficácia dos
processos usados para determinar o contexto.
or
A.9 Auditoria da liderança e do compromisso
ef
Muitas normas de sistemas de gestão têm requisitos acrescidos relativos à gestão de topo.
sd
Estes requisitos incluem demonstrar compromisso e liderança ao assumir a responsabilização pela
eficácia do sistema de gestão e pela satisfação de diversas responsabilidades. Estas incluem tarefas que
a própria gestão de topo deverá assumir e outras que podem ser delegadas.
ito
Os auditores deverão obter evidência objetiva do envolvimento da gestão de topo na tomada de
decisões sobre o sistema de gestão e de como demonstra o empenho em assegurar a sua eficácia. Isto
pode ser conseguido revendo os resultados de processos relevantes (p. ex. políticas, objetivos,
Os auditores deverão também procurar entrevistar a gestão de topo para confirmar que há uma
ra
compreensão adequada das questões específicas da disciplina que são relevantes para o sistema de
gestão, bem como do contexto em que a organização opera, para que possa assegurar que o sistema de
pa
tarefas de uma dada auditoria. Os objetivos principais dessas tarefas numa auditoria são:
garantir que o(s) processo(s) de identificação de riscos e oportunidades são credíveis;
Tra
Uma auditoria à abordagem de uma organização para determinar os riscos e oportunidades não
deverá ser uma atividade isolada. Deverá estar implícita durante toda a auditoria de um sistema de
gestão, inclusive na entrevista à gestão de topo. O auditor deverá atuar de acordo com os passos
nto
as fontes potenciais de risco, tais como aspetos ambientais e perigos de segurança, entre outros,
b) métodos de avaliação dos riscos e oportunidades, que podem ser diferentes entre disciplinas e
sectores.
o
çã
p. 52 de 58
ma
O tratamento dos riscos e oportunidades pela organização, incluindo o nível de risco que está disposta
a aceitar e como é controlado, irá requerer a aplicação de juízo profissional por parte do auditor.
or
A.11 Ciclo de vida
ef
Sistemas de gestão específicos de algumas disciplinas requerem a aplicação de uma perspetiva de ciclo
de vida aos seus produtos e serviços. Os auditores não deverão considerar isto como requisito para
adotar uma abordagem de ciclo de vida. Uma perspetiva de ciclo de vida implica ter em conta o
sd
controlo e a influência da organização sobre as etapas do ciclo de vida dos seus produtos e serviços. As
etapas do ciclo de vida incluem aquisição de matérias-primas, design, produção, transporte/entrega,
utilização, tratamento em fim de vida e eliminação final. Esta abordagem permite à organização
ito
identificar as áreas em que, considerando o seu âmbito, pode minimizar o impacto no ambiente
enquanto acrescenta valor para a organização. O auditor deverá usar o seu juízo profissional para
avaliar a maneira como a organização aplicou uma perspetiva de ciclo de vida em termos de estratégia
e de:
a) vida do produto ou serviço; efe
b) influência da organização na cadeia de fornecimento;
ra
c) extensão da cadeia de fornecimento;
pa
Para auditorias combinadas, os documentos de trabalho deverão ser elaborados de maneira a evitar
duplicação das atividades de auditoria, nomeadamente:
Do
o
çã
p. 53 de 58
ma
Os documentos de trabalho da auditoria deverão permitir tratar todos os elementos do sistema de
gestão no âmbito da auditoria e poderão ser disponibilizados em qualquer meio de suporte.
or
A.14 Seleção das fontes de informação
ef
As fontes de informação selecionadas poderão variar de acordo com o âmbito e a complexidade da
auditoria e poderão incluir o seguinte:
sd
a) entrevistas a colaboradores e a outras pessoas;
b) observação das atividades, do ambiente e das condições de trabalho;
ito
c) informação documentada, tal como políticas, objetivos, planos, procedimentos, normas, instruções,
licenças e autorizações, especificações, desenhos, contratos e encomendas;
d) registos, tais como registos de inspeção, atas de reuniões, relatórios de auditorias, registos de
efe
programas de monitorização e os resultados de medições;
e) resumos de dados, análises e indicadores de desempenho;
f) informação sobre planos de amostragem utilizados pelo auditado e procedimentos de controlo dos
ra
processos de amostragem e de medição;
pa
g) relatórios de outras fontes, p. ex. retorno de informação dos clientes, inquéritos e medições
externos, outra informação relevante de origem externa e avaliações de fornecedores externos;
h) bases de dados e sítios de Internet;
lho
i) simulação e modelação.
o seguinte:
a) planeamento da visita:
assegurar autorizações e acessos às áreas do local do auditado a visitar de acordo com o âmbito
de
da auditoria;
fornecer informação adequada aos auditores sobre segurança, saúde (p. ex. quarentena),
segurança e saúde do trabalho e normas culturais e horários de trabalho para a visita, incluindo
nto
exceto para auditorias não programadas, pontuais, assegurar que as pessoas a visitar serão
informadas sobre os objetivos e âmbito da auditoria;
b) atividades no local:
o
çã
p. 54 de 58
ma
evitar qualquer perturbação desnecessária dos processos operacionais;
assegurar que a equipa auditora está a utilizar os EPI de forma correta, se aplicável;
or
assegurar que os procedimentos de emergência são comunicados (p. ex. saídas de emergência,
pontos de encontro);
ef
calendarizar a comunicação para minimizar as interrupções;
adaptar a dimensão da equipa auditora e o número de guias e observadores de acordo com o
sd
âmbito da auditoria, para evitar tanto quanto possível interferência com os processos
operacionais;
ito
não tocar nem manipular qualquer equipamento, exceto se autorizado explicitamente, mesmo
que tenha competência ou licença para o fazer;
efe
se ocorrer um incidente durante a visita ao local, o auditor coordenador deverá rever a situação
com o auditado e, se necessário, com o cliente da auditoria e chegar a um acordo sobre a
conveniência de interromper, remarcar ou continuar a auditoria;
se forem tiradas cópias de documentos em qualquer suporte, solicitar autorização prévia e
ra
considerar questões de confidencialidade e segurança;
pa
se forem tomadas notas, evitar recolher informação pessoal exceto se requerido pelos objetivos
ou critérios da auditoria;
c) atividades em visitas virtuais:
lho
assegurar que a equipa auditora utiliza os protocolos de acesso remoto acordados, incluindo os
dispositivos requeridos, o software, entre outros;
ba
se forem feitas capturas de écrans de documentos de qualquer tipo, pedir autorização prévia e
considerar questões de segurança e confidencialidade e evitar a gravação de pessoas sem a sua
autorização;
Tra
se ocorrer um incidente com o acesso à distância, o auditor coordenador deverá rever a situação
com o auditado e, se necessário, com o cliente da auditoria e chegar a um acordo sobre a
conveniência de interromper, remarcar ou continuar a auditoria;
de
As auditorias virtuais são conduzidas quando uma organização realiza um trabalho ou presta um
serviço recorrendo a um ambiente em linha*), permitindo às pessoas executar os processos
cu
independentemente do local físico onde se encontrem (p. ex. intranet de uma empresa, computação
em nuvem). As auditorias a locais virtuais são por vezes referidas como auditorias virtuais. As
Do
o
çã
p. 55 de 58
ma
auditorias à distância consistem na utilização de tecnologia para recolher informação, entrevistar um
auditado, entre outros quando os métodos cara-a-cara não são possíveis ou desejados.
or
Uma auditoria virtual segue o processo padrão de auditoria, recorrendo a tecnologia para verificar
evidência objetiva. O auditado e a equipa auditora deverão assegurar os requisitos tecnológicos
ef
apropriados para auditorias virtuais, que podem incluir:
assegurar que a equipa auditora usa os protocolos de acesso remoto acordados, incluindo os
dispositivos requeridos, o software, entre outros;
sd
fazer verificações técnicas antes da auditoria para resolver problemas técnicos;
assegurar que estão disponíveis e são comunicados planos de contingência (p. ex. interrupção dos
ito
acessos, recurso a tecnologia alternativa), incluindo tempo extra de auditoria se necessário.
A competência do auditor deverá incluir:
efe
competência técnica para usar o equipamento eletrónico adequado e outra tecnologia durante a
auditoria;
experiência em facilitação de reuniões virtuais para conduzir a auditoria à distância.
ra
Ao conduzir a reunião de abertura ou na auditoria em modo virtual, o auditor deverá considerar os
pa
seguintes itens:
riscos associados às auditorias virtuais ou à distância;
utilização de plantas/diagramas dos locais remotos para referência ou mapeamento da informação
lho
eletrónica;
prevenção de perturbações e interrupções devidas a ruído de fundo;
ba
pedido prévio de autorização para fazer capturas de ecrã dos documentos ou qualquer tipo de
gravações, considerando questões de confidencialidade e de segurança;
Tra
As entrevistas são um meio importante de recolha de informação e deverão ser realizadas tendo em
conta a situação e a pessoa entrevistada, quer sejam cara-a-cara ou por outros meios de comunicação.
nto
e) as entrevistas poderão começar por se pedir às pessoas que descrevam o seu trabalho;
f) o tipo de perguntas a colocar deverá ser cuidadosamente selecionado (p. ex. abertas, fechadas,
dirigidas, questionário apreciativo);
o
çã
p. 56 de 58
ma
g) consciência das limitações da comunicação não verbal em ambientes virtuais; o foco deverá estar
no tipo de questões a usar para procurar evidência objetiva;
or
h) os resultados da entrevista deverão ser resumidos e revistos com a pessoa entrevistada;
i) deverá-se agradecer a participação e a cooperação das pessoas entrevistadas.
ef
A.18 Constatações da auditoria
sd
A.18.1 Determinação das constatações da auditoria
Na determinação das constatações da auditoria, deverá ser considerado o seguinte:
ito
a) seguimento de registos e conclusões de auditoria(s) anterior(es);
b) requisitos do cliente da auditoria;
efe
c) exatidão, suficiência e adequação da evidência objetiva para suportar as constatações da auditoria;
d) medida em que as atividades de auditoria planeadas foram realizadas e os resultados planeados
foram atingidos;
ra
e) constatações que ultrapassem a prática normal, ou oportunidades de melhoria;
pa
f) dimensão da amostra;
g) categorização (se aplicável) das constatações da auditoria.
lho
a) descrição ou referência dos critérios da auditoria face aos quais foi demonstrada conformidade;
b) evidência de auditoria que suporta a conformidade e a eficácia, se aplicável;
Tra
Quando um auditor identifica uma constatação relacionada com um critério numa auditoria
combinada, o auditor deverá considerar o impacto eventual no critério correspondente ou similar dos
outros sistemas de gestão.
Do
o
çã
p. 57 de 58
ma
Dependendo do acordado com o cliente da auditoria, o auditor poderá considerar:
a) constatações separadas para cada critério; ou
or
b) uma única constatação, combinando as referências aos múltiplos critérios.
Dependendo do acordado com o cliente da auditoria, o auditor poderá dar orientações ao auditado
ef
sobre como responder a essas constatações.
sd
ito
efe
ra
pa
lho
ba
Tra
de
nto
me
cu
Do
o
çã
p. 58 de 58
ma
Bibliografia
or
[1] ISO 9000:2015 Quality management systems – Fundamentals and vocabulary
ef
[2] ISO 9001 Quality management systems – Requirements1)
[3] ISO Guide 73:2009 Risk management systems – Vocabulary
sd
[4] ISO/IEC 17021-1 Conformity assessment – Requirements for bodies providing audit and
certification of management systems – Part 1: Requirements
ito
efe
ra
pa
lho
ba
Tra
de
nto
me
cu
Do