Escolar Documentos
Profissional Documentos
Cultura Documentos
Primeira edição
16.05.2016
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
Versão corrigida
12.09.2016
Número de referência
ABNT NBR ISO/IEC 17021-1:2016
54 páginas
© ISO/IEC 2015
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT, único representante da ISO no território brasileiro.
© ABNT 2016
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser
reproduzida ou utilizada por qualquer meio, eletrônico ou mecânico, incluindo fotocópia e microfilme, sem permissão por
escrito da ABNT.
ABNT
Av.Treze de Maio, 13 - 28º andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
Sumário Página
Prefácio Nacional...............................................................................................................................vii
Introdução............................................................................................................................................ix
1 Escopo.................................................................................................................................1
2 Referências normativas......................................................................................................1
3 Termos e definições............................................................................................................1
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
4 Princípios.............................................................................................................................4
4.1 Generalidades......................................................................................................................4
4.2 Imparcialidade.....................................................................................................................5
4.3 Competência........................................................................................................................6
4.4 Responsabilidade................................................................................................................6
4.5 Transparência......................................................................................................................6
4.6 Confidencialidade...............................................................................................................6
4.7 Capacidade de resposta a reclamações...........................................................................6
4.8 Abordagem baseada em risco...........................................................................................7
5 Requisitos gerais................................................................................................................7
5.1 Aspectos legais e contratuais............................................................................................7
5.1.1 Responsabilidade legal......................................................................................................7
5.1.2 Contrato de certificação.....................................................................................................7
5.1.3 Responsabilidade pelas decisões de certificação...........................................................8
5.2 Gestão da imparcialidade...................................................................................................8
5.3 Responsabilidade civil e finanças...................................................................................10
6 Requisitos de estrutura....................................................................................................10
6.1 Estrutura organizacional e Alta Direção.........................................................................10
6.2 Controle operacional........................................................................................................ 11
7 Requisitos de recursos..................................................................................................... 11
7.1 Competência do pessoal.................................................................................................. 11
7.1.1 Considerações gerais....................................................................................................... 11
7.1.2 Determinação de critérios de competência.................................................................... 11
7.1.3 Processos de avaliação....................................................................................................12
7.1.4 Outras considerações.......................................................................................................12
7.2 Pessoal envolvido nas atividades de certificação.........................................................12
7.3 Uso de auditores e especialistas técnicos externos.....................................................13
7.4 Registros do pessoal........................................................................................................13
7.5 Terceirização......................................................................................................................14
8 Requisitos sobre informações.........................................................................................14
8.1 Informações públicas.......................................................................................................14
8.2 Documentos de certificação............................................................................................15
8.3 Referência à certificação e ao uso de marcas................................................................16
8.4 Confidencialidade.............................................................................................................17
8.5 Troca de informações entre um organismo de certificação e seus clientes...............18
8.5.1 Informações sobre a atividade e os requisitos de certificação....................................18
B.6 Exames...............................................................................................................................48
Anexo C (informativo) Exemplo de um fluxo de processo para determinação e manutenção
da competência.................................................................................................................49
Anexo D (informativo) Comportamento pessoal desejado..............................................................50
Anexo E (informativo) Auditoria e processo de certificação...........................................................51
Bibliografia..........................................................................................................................................53
Figuras
Figura C.1 – Exemplo de um fluxo de processo para determinação e manutenção
da competência.................................................................................................................49
Figura E.1 – Fluxo de processo típico para auditoria de terceira parte e processo
de certificação...................................................................................................................52
Tabela
Tabela A.1 – Tabela de conhecimentos e habilidades....................................................................43
Prefácio Nacional
Os Documentos Técnicos ABNT são elaborados conforme as regras da Diretiva ABNT, Parte 2.
A ABNT chama a atenção para que, apesar de ter sido solicitada manifestação sobre eventuais
direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados
à ABNT a qualquer momento (Lei nº 9.279, de 14 de maio de 1996).
Ressalta-se que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos.
Nestes casos, os Órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras datas
para exigência dos requisitos desta Norma.
A ABNT NBR ISO/IEC 17021-1 foi elaborada no Comitê Brasileiro da Qualidade (ABNT/CB-025),
pela Comissão de Estudo de Avaliação da Conformidade (CE-025:000.004). O Projeto circulou em
Consulta Nacional conforme Edital nº 03, de 11.03.2016 a 10.04.2016.
Esta Norma é uma adoção idêntica, em conteúdo técnico, estrutura e redação, à ISO/IEC 17021-1:2015,
que foi elaborada pelo Technical Committee on Conformity Assessment (CASCO), conforme
ISO/IEC Guide 21-1:2005.
Esta versão corrigida da ABNT NBR ISO/IEC 17021-1:2016 incorpora a Errata 1, de 12.09.2016.
A ABNT NBR ISO/IEC 17021, sob o título geral “Avaliação da conformidade – Requisitos para
organismos que fornecem auditoria e certificação de sistemas de gestão”, tem previsão de conter as
seguintes partes:
—— Parte 1: Requisitos
—— Part 4: Competence requirements for auditing and certification of event sustainability management
systems [Technical Specification];
—— Part 6: Competence requirements for auditing and certification of business continuity management
systems [Technical Specification];
—— Part 7: Competence requirements for auditing and certification of road traffic safety management
systems [Technical Specification].
Scope
This part of ABNT NBR ISO/IEC 17021 contains principles and requirements for the competence,
consistency and impartiality of bodies providing audit and certification of all types of management
systems.
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
Certification bodies operating to this part of ABNT NBR ISO/IEC 17021 need not offer all types
of management system certification.
NOTE 2 In this part of ABNT NBR ISO/IEC 17021, certification management system is referred to as
“certification” and assessment bodies are referred to as “certification bodies”.
NOTE 3 A certification body can be non-governmental or governmental, with or without regulatory authority.
NOTE 4 This part of ABNT ISO/IEC 17021 can be used as a criteria document for accreditation, peer
assessment or other audit processes.
Introdução
Esta parte da ABNT NBR ISO/IEC 17021 especifica os requisitos para organismos que fornecem
auditoria e certificação de sistemas de gestão. Ela fornece requisitos genéricos para organismos
que realizam auditoria e certificação nos campos da qualidade, ambiental e outros tipos de sistemas
de gestão. Estes organismos são referidos como organismos de certificação. A observância destes
requisitos destina-se a garantir que os organismos de certificação operaram a certificação do
sistema de gestão de forma competente, consistente e imparcial, facilitando assim o reconhecimento
destes organismos e a aceitação de suas certificações em nível nacional e internacional. Esta parte
da ABNT NBR ISO/IEC 17021 serve como base para facilitar o reconhecimento da certificação
do sistema de gestão no interesse do comércio internacional.
b) seja capaz de atingir de forma consistente a sua política e os objetivos declarados;
A avaliação de conformidade, como a certificação de um sistema de gestão, desta forma, fornece valor
para a organização, seus clientes e partes interessadas.
A Seção 4 descreve os princípios sobre os quais se baseiam a certificação acreditável. Estes prin-
cípios ajudam o usuário a entender a natureza essencial da certificação e eles são um preâm-
bulo necessário para as Seções 5 a 10. Estes princípios sustentam os requisitos desta parte da
ABNT NBR ISO/IEC 17021, porém tais princípios não são requisitos auditáveis. A Seção 10 descreve
duas maneiras alternativas de apoiar e demonstrar o cumprimento coerente dos requisitos desta parte
da ABNT NBR ISO/IEC 17021 por meio do estabelecimento de um sistema de gestão pelo organismo
de certificação.
Atividades de certificação são atividades individuais que compõem todo o processo de certificação,
a partir da solicitação da análise critica até o término da certificação. O Anexo E fornece uma ilustração
da maneira que muitas destas atividades podem interagir.
Esta parte da ABNT NBR ISO/IEC 17021 é aplicável à auditoria e certificação de qualquer tipo de sistema
de gestão. Reconhece-se que alguns dos requisitos, em especial os relacionados à competência
do auditor, podem ser complementados com critérios adicionais, a fim de alcançar as expectativas das
partes interessadas.
Nesta parte da ABNT NBR ISO/IEC 17021, as seguintes formas verbais são usadas:
—— “pode” ás vezes indica uma permissão e às vezes indica uma possibilidade ou uma capacidade.
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
1 Escopo
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
Esta parte da ABNT NBR ISO/IEC 17021 contém princípios e requisitos para a competência, coerência
e imparcialidade de organismos que fornecem auditoria e certificação de todos os tipos de sistemas
de gestão.
Os organismos de certificação que operam de acordo com esta parte da ABNT NBR ISO/IEC 17021
não precisam oferecer todos os tipos de certificação de sistemas de gestão.
NOTA 1 Exemplos de sistemas de gestão incluem sistemas de gestão ambiental, sistemas de gestão
da qualidade e sistemas de gestão da segurança da informação.
NOTA 2 Nesta parte da ABNT NBR ISO/IEC 17021, certificação de sistemas de gestão é referenciada
como “certificação” e organismos de avaliação da conformidade de terceira parte são referenciados como
“organismos de certificação”.
NOTA 3 Um organismo de certificação pode ou não ser uma instituição governamental, com ou sem
autoridade regulamentadora.
NOTA 4 Esta parte da ABNT NBR ISO/IEC 17021 pode ser usada como um documento de critérios para
acreditação ou avaliação de pares ou outros processos de auditoria.
2 Referências normativas
Os documentos relacionados a seguir são indispensáveis à aplicação deste documento. Para refe-
rências datadas, aplicam-se somente as edições citadas. Para referências não datadas, aplicam-se
as edições mais recentes do referido documento (incluindo emendas).
3 Termos e definições
Para os efeitos deste documento, aplicam-se os seguintes termos e definições.
3.1
cliente certificado
organização cujo sistema de gestão foi certificado
3.2
imparcialidade
presença de objetividade
NOTA 1 A objetividade implica a ausência de conflitos de interesse, ou a sua resolução, de modo a não
influenciar de forma adversa nas atividades subsequentes do organismo de certificação.
NOTA 2 Outros termos úteis para entender o elemento de imparcialidade incluem “independência”, “ausência
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
3.3
consultoria de sistema de gestão
participação na implantação, implementação ou manutenção de um sistema de gestão
NOTA 1 Organizar treinamentos e participar como instrutor não é considerado consultoria, desde que,
ao tratar de assuntos relacionados aos sistemas de gestão ou auditoria, o treinamento se restrinja ao
fornecimento de informações genéricas; isto é, não convém que o instrutor ofereça soluções específicas
para o cliente.
NOTA 2 O fornecimento de informações genéricas, porém não soluções específicas para o cliente para
a melhoria de processos ou sistemas, não é considerado consultoria. Tal informação pode incluir:
—— outros aspectos de gestão que não estejam cobertos pelo sistema de gestão sendo auditado.
3.4
auditoria de certificação
auditoria realizada por uma organização de auditoria independente do cliente e das partes interes-
sadas na certificação, para fins de certificação do sistema de gestão do cliente
NOTA 1 Nas definições a seguir, o termo “auditoria” foi usado por simplicidade para referir-se às auditorias
de certificação de terceira parte.
NOTA 3 Auditorias de certificação são tipicamente realizadas por equipes de auditoria dos organismos
que oferecem certificação de conformidade aos requisitos das normas de sistemas de gestão.
NOTA 4 Uma auditoria conjunta é quando duas ou mais organizações de auditoria cooperam para auditar
um único cliente.
NOTA 5 Uma auditoria combinada é quando um cliente é auditado pelos requisitos de duas ou mais
normas de sistemas de gestão juntas.
NOTA 6 Uma auditoria integrada é quando um cliente integra a aplicação dos requisitos de duas ou mais
normas de sistemas de gestão em um único sistema de gestão e é auditado por mais de uma norma.
3.5
cliente
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
3.6
auditor
pessoa que realiza uma auditoria
3.7
competência
capacidade para aplicar conhecimento e habilidades para conseguir os resultados pretendidos
3.8
guia
pessoa designada pelo cliente para auxiliar a equipe auditora
3.9
observador
pessoa que acompanha a equipe auditora, mas não audita
3.10
área técnica
área caracterizada por processos com características comuns pertinentes a um tipo específico
de sistema de gestão e seus resultados pretendidos
3.11
não conformidade
não atendimento a um requisito
3.12
não conformidade maior
não conformidade (3.11) que afeta a capacidade do sistema de gestão de atingir os resultados
pretendidos
NOTA Não conformidades poderiam ser classificadas como maiores nas seguintes circunstâncias:
—— se houver uma dúvida significativa de que há um controle efetivo de processo, ou de que produtos
ou serviços irão atender aos requisitos especificados;
3.13
não conformidade menor
não conformidade (3.11) que não afeta a capacidade do sistema de gestão de atingir os resultados
pretendidos
3.14
especialista técnico
pessoa que fornece conhecimento específico ou expertise à equipe auditora
3.15
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
esquema de certificação
sistema de avaliação da conformidade relativo aos sistemas de gestão para os quais os mesmos
requisitos especificados, regras e procedimentos específicos se aplicam
3.16
tempo de auditoria
tempo necessário para planejar e concluir uma auditoria completa e efetiva do sistema de gestão
da organização cliente
3.17
duração de auditorias de certificação de sistema de gestão
parte do tempo de auditoria (3.16) despendido, conduzindo atividades desde a reunião de abertura
até a reunião de encerramento, inclusive
NOTA Atividades de auditoria normalmente incluem:
4 Princípios
4.1 Generalidades
4.1.1 Os princípios descritos nesta Seção fornecem a base para o desempenho específico
subsequente e para os requisitos descritos nesta parte da ABNT NBR ISO/IEC 17021. Esta parte da
ABNT NBR ISO/IEC 17021 não oferece requisitos específicos para todas as situações que
possam ocorrer. Convém aplicar estes princípios como orientação para tomar decisões que podem
ser necessárias em situações imprevistas. Princípios não são requisitos.
4.1.2 O objetivo geral da certificação é proporcionar confiança a todas as partes que um sistema
de gestão atende a requisitos específicos. O valor da certificação é o grau de confiança pública
estabelecida por meio de uma avaliação competente e imparcial, realizada por uma terceira parte.
As partes com interesse na certificação incluem, entre outras:
a) clientes dos organismos de certificação;
—— imparcialidade;
—— competência;
—— responsabilidade;
—— transparência;
—— confidencialidade;
4.2 Imparcialidade
4.2.1 Para que um organismo de certificação possa oferecer uma certificação que proporcione
confiança, é necessário que ele seja imparcial e percebido como tal. É importante que todo o pessoal
interno e externo esteja consciente da necessidade de imparcialidade.
4.2.3 Para obter e manter a confiança, é essencial que as decisões de um organismo de certificação
sejam baseadas em evidências objetivas de conformidade (ou não conformidade) obtidas pelo
organismo de certificação e que suas decisões não sejam influenciadas por outros interesses ou por
outras partes.
a) Interesse próprio: ameaças que surgem de uma pessoa ou organismo que atua em seu próprio
interesse. O interesse financeiro próprio representa uma ameaça suscetível de comprometer
a imparcialidade de uma certificação.
b) Auto avaliação: ameaças que surgem de uma pessoa ou organismo que avalia o seu próprio
trabalho. A auditoria dos sistemas de gestão de um cliente para o qual o organismo de certificação
forneceu consultoria sobre sistemas de gestão seria uma ameaça deste tipo.
c) Familiaridade (ou confiança): ameaças que surgem de uma pessoa ou organismo que, por ser
muito familiar ou confiante em outra pessoa, não procura evidências de auditoria.
d) Intimidação: ameaças que surgem de uma pessoa ou organismo ao perceber que está sendo
coagido em público ou discretamente, como, por exemplo, uma ameaça de ser substituído
ou denunciado a um supervisor.
4.3 Competência
4.3.1 A competência do pessoal do organismo de certificação em todas as funções envolvidas
nas atividades de certificação é necessária para oferecer uma certificação que proporcione confiança.
4.3.2 A competência também precisa ser mantida pelo sistema de gestão do organismo de
certificação.
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
4.3.3 É crítico para a direção do organismo de certificação ter um processo implementado para a
definição dos critérios de competência para o pessoal envolvido na auditoria e em outras atividades
de certificação e para realizar avaliação com base nos critérios.
4.4 Responsabilidade
4.4.1 O cliente certificado, e não o organismo de certificação, é quem possui a responsabilidade
por consistentemente alcançar os resultados pretendidos da implementação da norma de sistema
de gestão e pela conformidade com os requisitos para certificação.
4.4.2 O organismo de certificação é responsável por avaliar evidências objetivas suficientes, nas
quais possa basear uma decisão de certificação. Com base nas conclusões de auditoria, o organismo
toma a decisão de conceder a certificação se houver evidência suficiente de conformidade, ou de não
conceder a certificação, se não houver evidência suficiente de conformidade.
NOTA Qualquer auditoria baseia-se em amostragem dentro do sistema de gestão de uma organização
e, portanto, não é uma garantia de 100 % de conformidade com os requisitos.
4.5 Transparência
4.5.1 Um organismo de certificação precisa oferecer acesso público ou divulgar informações
apropriadas e oportunas sobre seu processo de auditoria e de certificação, e sobre a situação da
certificação (ou seja, a concessão, manutenção da certificação, expansão ou redução de escopo da
certificação, renovação, suspensão ou restauração, ou cancelamento da certificação) de qualquer
organização, a fim de obter confiança na integridade e credibilidade das certificações. Transparência
é um princípio de acesso ou divulgação de informações apropriadas.
4.5.2 Para obter ou manter confiança na certificação, convém que um organismo de certificação
ofereça acesso apropriado ou divulgue informações, que não sejam confidenciais, sobre as conclusões
de auditorias específicas (por exemplo, auditorias em resposta a reclamações) a partes interessadas
específicas.
4.6 Confidencialidade
Para obter acesso privilegiado às informações que são necessárias para avaliar adequadamente
a conformidade com os requisitos de certificação, é essencial que um organismo de certificação não
divulgue qualquer informação confidencial.
As partes que confiam na certificação esperam ter as suas reclamações investigadas e, caso sejam
procedentes, convém que tenham confiança de que estas reclamações serão tratadas adequadamente
e com razoável empenho pelo organismo de certificação, para serem solucionadas. A eficácia da
capacidade de resposta a reclamações é um meio importante de proteção para o organismo de
certificação, seus clientes e outros usuários de certificação contra erros, omissões ou comportamento
impróprio. A confiança nas atividades de certificação é salvaguardada quando as reclamações são
tratadas adequadamente.
associados a:
—— objetivos da auditoria;
—— uso de marcas.
5 Requisitos gerais
5.1 Aspectos legais e contratuais
O organismo de certificação deve ser uma entidade com personalidade jurídica própria, ou uma parte
definida de uma entidade com personalidade jurídica própria que possa ser responsável legalmente por
todas as suas atividades de certificação. Um organismo de certificação governamental é considerado
entidade legal com base em seu estatuto governamental.
O organismo de certificação deve ter um contrato legal e vigente com cada cliente para o
fornecimento de atividades de certificação de acordo com os requisitos pertinentes desta parte
da ABNT NBR ISO/IEC 17021. Além disso, quando os organismos de certificação possuírem
diversos escritórios ou um cliente possuir vários locais, o organismo de certificação deve
assegurar a existência de um contrato legal e vigente entre o organismo de certificação que
concede a certificação e o cliente, que cubra todos os locais inclusos no escopo da certificação.
NOTA Um acordo pode ser conseguido através de múltiplos acordos que referenciem ou, por outro lado,
associem-se um ao outro.
O organismo de certificação deve ser responsável e manter autoridade por suas decisões em relação
à certificação, incluindo concessão, recusa, manutenção da certificação, expansão ou redução
do escopo de certificação, renovação, suspensão ou restauração após suspensão, ou cancelamento
da certificação.
5.2.3 O organismo de certificação deve ter um processo para identificar, analisar, avaliar, tratar,
monitorar e documentar os riscos relacionados a conflitos de interesses provenientes do fornecimento
de certificação, incluindo quaisquer conflitos resultantes de seus relacionamentos, de forma contínua.
Onde haja qualquer ameaça à imparcialidade, o organismo de certificação deve documentar
e demonstrar como elimina ou minimiza estas ameaças e documentar qualquer risco residual.
A demonstração deve cobrir todas as potenciais ameaças que estejam definidas, sendo resultantes de
dentro do organismo de certificação ou de atividades de outras pessoas, organismos ou organizações.
Quando um relacionamento apresenta uma ameaça inaceitável à imparcialidade (como uma filial que
pertence inteiramente ao organismo de certificação solicitando ser certificada por seu proprietário), a
certificação não pode ser fornecida.
A Alta Direção deve analisar criticamente qualquer risco residual para determinar se este está em um
nível de risco aceitável.
NOTA 2 Partes interessadas podem incluir pessoal e clientes do organismo de certificação, clientes das
organizações cujos sistemas de gestão estão certificados, representantes de associações da indústria e
comércio, representantes de organismos reguladores governamentais ou outros serviços governamentais,
ou representantes de organizações não governamentais, incluindo organizações do consumidor.
NOTA 3 Uma forma de atendimento do requisito de consulta desta Seção é o uso de um comitê composto
por estas partes interessadas.
5.2.4 Um organismo de certificação não pode certificar outro organismo de certificação para seu
sistema de gestão da qualidade.
5.2.5 O organismo de certificação e qualquer parte da mesma entidade legal e qualquer entidade
sob o controle organizacional do organismo de certificação [ver 9.5.1.2, alínea b)] não podem oferecer
ou prestar consultoria em sistema de gestão. Esta restrição também se aplica à parte da entidade
governamental identificada como organismo de certificação.
NOTA Isto não exclui a possibilidade de troca de informações (por exemplo, explicação dos resultados
ou esclarecimento dos requisitos) entre o organismo de certificação e seus clientes.
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
5.2.6 A realização de auditorias internas pelo organismo de certificação e por qualquer parte
da mesma entidade legal para seus clientes certificados é um risco significativo à imparcialidade.
Portanto, o organismo de certificação e qualquer parte da mesma entidade legal e qualquer entidade
sob o controle organizacional do organismo de certificação [ver 9.5.1.2, alínea b)] não podem oferecer
ou fornecer auditorias internas a seus clientes certificados. Uma mitigação reconhecida para esta
ameaça é que o organismo de certificação não pode certificar um sistema de gestão para o qual tenha
fornecido auditorias internas por um mínimo de dois anos após o término das auditorias internas.
5.2.7 Onde um cliente tenha recebido consultoria em sistemas de gestão de um organismo que
tenha um relacionamento com um organismo de certificação, isto é uma ameaça significativa à
imparcialidade. Uma mitigação reconhecida para esta ameaça é que o organismo de certificação não
pode certificar o sistema de gestão por um mínimo de dois anos após o fim da consultoria.
5.2.8 O organismo de certificação não pode terceirizar auditorias a uma organização de consultoria
em sistema de gestão, visto que essa situação constitui uma ameaça inaceitável à imparcialidade
do organismo de certificação (ver 7.5). Isso não se aplica às pessoas contratadas como auditores,
conforme 7.3.
5.2.9 As atividades do organismo de certificação não podem ser negociadas ou oferecidas ligadas
com as atividades de uma organização que forneça consultoria de sistema de gestão. O organismo
de certificação deve tomar ações para corrigir declarações ou associações inadequadas de qualquer
organização de consultoria que afirme ou infira que a certificação seria mais simples, mais fácil,
mais rápida ou menos dispendiosa se o organismo de certificação fosse usado. O organismo de
certificação não pode afirmar ou inferir que a certificação seria mais simples, mais fácil, mais rápida
ou menos dispendiosa se uma determinada organização que fornece consultoria fosse usada.
5.2.10 De forma a assegurar que não haja conflito de interesses, o pessoal que forneceu consultoria
em sistema de gestão, inclusive aqueles atuando em uma função gerencial, não pode ser usado pelo
organismo de certificação para participar em auditorias ou outras atividades de certificação, se eles
estiverem envolvidos em consultoria em sistema de gestão em relação ao cliente. Uma mitigação
reconhecida para esta ameaça é que este pessoal não pode ser utilizado por um mínimo de dois anos
após o término da consultoria.
5.2.11 O organismo de certificação deve tomar ações para responder a quaisquer ameaças à sua
imparcialidade, resultantes das ações de outras pessoas, organismos ou organizações.
5.2.12 Todo o pessoal do organismo de certificação, interno ou externo, ou de comitês, que possa
influenciar as atividades de certificação, deve agir de forma imparcial e não pode permitir que pressões
comerciais, financeiras ou de outros tipos comprometam a imparcialidade.
5.2.13 Os organismos de certificação devem exigir que o seu pessoal, interno e externo, revele
qualquer situação conhecida que possa oferecer um conflito de interesses a si próprio ou ao organismo
de certificação. Os organismos de certificação devem registrar e usar essas informações como
entrada para identificar ameaças à imparcialidade causadas pelas atividades de seu pessoal ou pelas
organizações que o empregam, e não podem usar esse pessoal, interno ou externo, a menos que
possam demonstrar ausência de conflito de interesses.
5.3.1 O organismo de certificação deve ser capaz de demonstrar que avaliou os riscos resultantes
de suas atividades de certificação e que possui medidas adequadas (por exemplo, seguro ou fundos
de reserva) para cobrir as responsabilidades civis resultantes de suas operações em cada um de seus
campos de atividade e nas áreas geográficas nas quais opera.
5.3.2 O organismo de certificação deve avaliar seus recursos financeiros e suas fontes de renda, bem
como deve demonstrar que, inicialmente e de forma ininterrupta, as pressões comerciais, financeiras
ou de outros tipos não comprometem sua imparcialidade.
6 Requisitos de estrutura
6.1 Estrutura organizacional e Alta Direção
6.1.3 O organismo de certificação deve identificar a Alta Direção (comitês, grupo de pessoas
ou pessoa), que detém autoridade e responsabilidade total por cada uma das seguintes atividades:
h) delegação de autoridade a comitês ou pessoas, conforme necessário, para executar atividades
definidas em seu nome;
6.1.4 O organismo de certificação deve possuir regras formais para a designação, termos de refe-
rência (atribuições) e operação de quaisquer comitês envolvidos nas atividades de certificação.
6.2.1 O organismo de certificação deve possuir um processo para o controle efetivo das atividades
de certificação oferecidas por filiais, parceiros, agentes, franqueados etc., independentemente
de sua situação legal, relacionamento ou localização geográfica. O organismo de certificação
deve considerar o risco que estas atividades impõem à competência, coerência e imparcialidade
do organismo de certificação.
7 Requisitos de recursos
7.1 Competência do pessoal
O organismo de certificação deve ter processos para assegurar que o pessoal possua conhecimento
e habilidades adequados, pertinentes aos tipos de sistemas de gestão (por exemplo, sistemas de
gestão ambiental, sistemas de gestão da qualidade, sistemas de gestão de segurança da informação)
e áreas geográficas nas quais opera.
NOTA O termo “área técnica” é empregado de maneiras diferentes, dependendo da norma de sistema de
gestão considerada. Para qualquer sistema de gestão, o termo é relativo a produtos, processos e serviços
no contexto do escopo da norma de sistema de gestão. A área técnica pode ser definida por um esquema
específico de certificação (por exemplo, ABNT ISO/TS 22003) ou pode ser determinada pelo organismo de
certificação. Isto é utilizado para cobrir um número de outros termos como “escopos”, “categorias”, “setores”
etc., os quais são tradicionalmente usados em disciplinas de sistemas de gestão distintas.
NOTA 1 Diversos métodos de avaliação que podem ser usados para avaliar a competência estão descritos
no Anexo B.
O organismo de certificação deve ter acesso ao conhecimento técnico necessário para aconselha-
mento em questões diretamente relacionadas à certificação para áreas técnicas, tipos de sistema
de gestão e áreas geográficas nas quais o organismo de certificação opera. Este aconselhamento
pode ser fornecido externamente ou pelo pessoal do organismo de certificação.
7.2.1 O organismo de certificação deve possuir pessoal competente suficiente para gerenciar e dar
suporte ao tipo e à variedade de programas de auditoria e outras tarefas de certificação realizadas.
7.2.2 O organismo de certificação deve empregar ou ter acesso a um número suficiente de auditores,
incluindo auditores líderes e especialistas técnicos, para cobrir todas as suas atividades e para tratar
o volume de serviços de auditoria realizados.
7.2.3 O organismo de certificação deve esclarecer para cada pessoa envolvida os seus deveres,
responsabilidades e autoridades.
7.2.4 O organismo de certificação deve ter processos para selecionar, treinar e nomear formalmente
os auditores, e para selecionar e familiarizar os especialistas técnicos usados na atividade de
certificação. A avaliação inicial da competência de um auditor deve incluir a capacidade de aplicar
o conhecimento e habilidades necessários durante as auditorias, conforme determinado por um
avaliador competente ao observar o auditor realizando uma auditoria.
NOTA Durante o processo de seleção e treinamento descrito acima, comportamentos pessoais desejados
podem ser considerados. Essas são características que afetam a capacidade de um indivíduo para realizar
funções específicas. Portanto, o conhecimento sobre o comportamento dos indivíduos possibilita que o organismo
de certificação tire proveito de seus pontos fortes e minimize o impacto de suas fraquezas. O comportamento
pessoal desejado, que é importante para o pessoal envolvido nas atividades de certificação, está descrito
no Anexo D.
7.2.5 O organismo de certificação deve ter um processo para realizar e demonstrar uma auditoria
eficaz, incluindo o uso de auditores e auditores-líderes com conhecimento e habilidades genéricas
de auditoria, assim como conhecimento e habilidades adequadas para auditoria nas áreas técnicas
específicas.
7.2.6 O organismo de certificação deve assegurar que auditores e, quando necessário, especialistas
técnicos, estejam bem informados de seus processos de auditoria, requisitos de certificação e outros
requisitos pertinentes. O organismo de certificação deve fornecer aos auditores e especialistas técnicos
acesso a um conjunto atualizado de procedimentos documentados, contendo instruções de auditoria
e todas as informações pertinentes sobre as atividades de certificação.
7.2.8 O grupo ou pessoa que toma a decisão para concessão, recusa, manutenção, renovação,
suspensão, restauração ou cancelamento da certificação, ou para expansão ou redução de escopo da
certificação, deve entender a norma aplicável e os requisitos de certificação, e deve ter demonstrado
competência para avaliar os resultados dos processos de auditoria, incluindo as recomendações
relacionadas da equipe auditora.
7.2.10 O organismo de certificação deve monitorar cada auditor, considerando cada tipo de sistema
de gestão para os quais o auditor seja considerado competente. Os procedimentos documentados de
monitoramento de auditores devem incluir uma combinação de observação no local, análise crítica de
relatórios de auditoria e retorno dos clientes ou do mercado. Esse monitoramento deve ser concebido
de forma a minimizar perturbações ao processo normal de certificação, sobretudo do ponto de vista
do cliente.
NOTA O uso de uma pessoa ou empregado de outra organização individualmente contratado para atuar
como um auditor externo ou especialista técnico não caracteriza terceirização.
7.5 Terceirização
7.5.1 O organismo de certificação deve ter um processo no qual descreva as condições em que
pode ocorrer a terceirização (ou seja, a subcontratação de outra organização para fornecer parte
das atividades de certificação em nome do organismo de certificação). O organismo de certificação
deve ter um acordo legal e vigente cobrindo as condições, inclusive confidencialidade e conflito
de interesses, com cada organismo que forneça serviços terceirizados.
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
a) assumir responsabilidade por todas as atividades terceirizadas para outro organismo;
b) assegurar que o organismo que fornece serviços terceirizados e que as pessoas que ele utiliza
atendam aos requisitos do organismo de certificação e às disposições aplicáveis desta parte da
ABNT ISO/IEC 17021, incluindo competência, imparcialidade e confidencialidade;
c) assegurar que o organismo que fornece serviços terceirizados e que as pessoas que ele utiliza não
estejam envolvidos, diretamente ou por meio de qualquer outro empregador, com a organização a
ser auditada, de maneira tal que a imparcialidade possa ser comprometida.
7.5.4 O organismo de certificação deve ter um processo para a aprovação e monitoramento de todos
os organismos que forneçam serviços terceirizados usados para atividades de certificação, e deve
assegurar que sejam mantidos registros de competência de todo o pessoal envolvido em atividades
de certificação.
NOTA 1 Para 7.5.1 a 7.5.4, onde o organismo de certificação faz uso de indivíduos ou empregados de
outras organizações para fornecer recursos adicionais ou conhecimento técnico, estes indivíduos não repre-
sentam terceirização, desde que sejam contratados individualmente para trabalhar sob o sistema de gestão
do organismo de certificação (Ver 7.3)
NOTA 2 Para 7.5.1 a 7.5.4, os termos “terceirização” e “subcontratação” são considerados sinônimos.
8.1.1 O organismo de certificação deve manter (através de publicações, meio eletrônico ou outros
meios) e tornar públicas, sem lhe ser solicitado, em todas as áreas geográficas nas quais opera,
informações sobre:
b) processos para concessão, recusa, manutenção, renovação, suspensão, restauração ou cance-
lamento da certificação ou expansão ou redução de escopo da certificação;
c) nome, documento normativo relacionado, escopo e localização geográfica (cidade e país) para
um cliente certificado específico.
NOTA 1 Em casos excepcionais, o acesso a certas informações pode ser limitado a pedido do cliente
(por exemplo, por razões de segurança).
NOTA 2 O organismo de certificação pode também tornar a informação de 8.1.2 pública através de qualquer
meio que escolha sem que lhe seja solicitado, por exemplo, em sua página na internet.
8.1.3 As informações fornecidas pelo organismo de certificação para qualquer cliente ou para o
mercado, inclusive propagandas, devem ser exatas e não podem ser enganosas.
8.2.1 O organismo de certificação deve fornecer, através de qualquer meio que escolha, documentos
de certificação para o cliente certificado.
a) o nome e a localização geográfica de cada cliente certificado (ou a localização geográfica da sede
e de quaisquer locais incluídos no escopo de uma certificação multi-site);
NOTA O organismo de certificação pode manter a data original de certificação no certificado, quando um
certificado expira por um período de tempo, desde que:
—— a data de expiração do último ciclo de certificação esteja indicada em conjunto com a data da auditoria
de recertificação.
c) a data em que expira a certificação ou a data prevista para a renovação da certificação coerente
com o ciclo de renovação da certificação;
e) a norma de sistema de gestão e/ou outro documento normativo, incluindo uma indicação da
situação da emissão (por exemplo, data ou número de revisão), usado para a auditoria do cliente
certificado;
f) o escopo da certificação relativo ao tipo de atividades, produtos e serviços, conforme aplicável
para cada local, sem confundir nem ser ambíguo;
g) o nome, endereço e marca de certificação do organismo de certificação; outras marcas (por
exemplo, símbolos de acreditação, logomarca do cliente) podem ser usadas, desde que não
induzam a erro ou não sejam ambíguas;
h) quaisquer outras informações requeridas pela norma e/ou outro documento normativo usado
para certificação;
8.3.1 O organismo de certificação deve ter regras para gerir qualquer marca de certificação de
sistema de gestão que ele autorize os clientes certificados a usar. Estas regras devem assegurar,
entre outros aspectos, a rastreabilidade ao organismo de certificação. Não pode haver ambiguidade
na marca ou no texto que a acompanha, em relação ao que foi certificado e a qual organismo de
certificação concedeu a certificação. Essa marca não pode ser usada em um produto nem na
embalagem do produto nem de qualquer outra maneira que possa ser interpretada como denotando
conformidade do produto.
NOTA A ABNT NBR ISO/IEC 17030 fornece informação adicional para o uso de marcas de terceira parte.
8.3.2 O organismo de certificação não pode permitir que sua marca seja aplicada por clientes certifi-
cados a relatórios de laboratórios referentes a ensaio, calibração ou inspeção ou certificados.
8.3.3 Um organismo de certificação deve ter regras para gerir o uso de qualquer declaração, na
embalagem ou nas informações que acompanham o produto, de que o cliente certificado possui um
sistema de gestão certificado. Embalagem do produto é considerada aquela que pode ser removida
sem que o produto seja desintegrado ou danificado. Informações que acompanham o produto
são consideradas como disponíveis separadamente ou facilmente destacadas. Rótulos ou placas
de identificação são consideradas parte do produto. A declaração não pode inferir que o produto,
processo ou serviço seja certificado. A declaração deve incluir referência a:
8.3.4 O organismo de certificação deve, através de acordos legais e vigentes, exigir que o cliente
certificado:
a) atenda aos requisitos do organismo de certificação ao fazer referência à sua condição de certifi-
cação nos meios de comunicação, como internet, folhetos ou propaganda, ou outros documentos;
b) não faça ou permita qualquer declaração que induza a erro em relação à sua certificação;
c) não use ou permita o uso de um documento de certificação ou de qualquer parte dele, de maneira
que induza a erro;
d) em caso de cancelamento da sua certificação, interrompa o uso de todo material publicitário que
faça referência à certificação, conforme orientações do organismo de certificação (ver 9.6.5);
e) altere todo material publicitário quando o escopo da certificação tiver sido reduzido;
f) não permita que a referência à certificação de seu sistema de gestão seja usada de tal forma que
implique que o organismo de certificação certifique um produto (incluindo serviço) ou processo;
g) não dê a entender que a certificação aplica-se às atividades e locais fora do escopo de
certificação;
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
h) não use sua certificação de tal maneira que possa comprometer a reputação do organismo
de certificação e/ou o sistema de certificação e perder a confiança pública.
8.3.5 O organismo de certificação deve exercer controle apropriado quanto à propriedade e tomar
ações para lidar com referências incorretas à condição de certificação ou ao uso enganoso de docu-
mentos de certificação, marcas ou relatórios de auditoria.
NOTA Tais ações podem incluir pedidos para correção e ação corretiva, suspensão, cancelamento
da certificação, publicação da transgressão e, se necessário, ação legal.
8.4 Confidencialidade
8.4.1 O organismo de certificação deve ser responsável, por meio de acordos legais e vigentes, pela
gestão de todas as informações obtidas ou geradas durante a realização de atividades de certificação
em todos os níveis da sua estrutura, inclusive comitês e organismos externos ou pessoas atuando
em seu nome.
8.4.3 Exceto como requerido exigido nesta parte da ABNT NBR ISO/IEC 17021, as informações
sobre um cliente certificado ou pessoa em particular não podem ser divulgadas a terceiros sem o
consentimento por escrito do cliente certificado ou pessoa envolvida. Quando o organismo de
certificação for obrigado por lei a revelar informações confidenciais a terceiros, o cliente ou pessoa
envolvida deve, a menos se regulamentado por lei, ser notificado antecipadamente das informações
fornecidas.
8.4.4 Quando o organismo de certificação for obrigado por lei ou autorizado por acordos contratuais
(como com o organismo de acreditação) a revelar informações confidenciais, o cliente ou pessoa
envolvida deve, a menos que proibido por lei, ser notificado das informações fornecidas.
8.4.5 As informações sobre o cliente provenientes de outras fontes que não o próprio cliente (por
exemplo, reclamante, regulamentadores) devem ser tratadas como confidenciais, em coerência com
a política do organismo de certificação.
8.4.7 O organismo de certificação deve ter processos e, quando aplicável, equipamentos e instala-
ções que garantam a segurança no tratamento de informações confidenciais.
O organismo de certificação deve fornecer e atualizar seus clientes sobre as seguintes informações:
a) uma descrição detalhada da atividade inicial e contínua de certificação, incluindo a solicitação,
auditorias iniciais, auditorias de supervisão e processo para concessão, recusa, manutenção
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
c) informações sobre as taxas cobradas para solicitação, certificação inicial e manutenção;
2) tomem todas as medidas necessárias para a realização das auditorias, incluindo as disposições
para análise da documentação e o acesso a todos os processos e áreas, registros e pessoal,
para fins de certificação inicial, supervisão, recertificação e solução de reclamações; e
e) documentos descrevendo os direitos e deveres dos clientes certificados, incluindo requisitos ao
fazer referência à sua certificação em qualquer tipo de comunicação, de acordo com os requisitos
de 8.3;
O organismo de certificação deve informar devidamente a seus clientes certificados sobre quaisquer
alterações em seus requisitos para certificação. O organismo de certificação deve verificar se cada
cliente certificado atende aos novos requisitos.
O organismo de certificação deve ter acordos legais e vigentes para assegurar que o cliente certificado
informe ao organismo de certificação, sem demora, das questões que possam afetar a capacidade
do sistema de gestão de continuar a atender aos requisitos da norma usada para certificação. Essas
questões incluem, por exemplo, alterações relativas a:
b) organização e gestão (por exemplo, pessoal-chave, como gestores, tomadores de decisão
ou equipe técnica);
9.1.1 Solicitação
c) identificação de todos os processos terceirizados usados pela organização que afetarão a confor-
midade com os requisitos;
d) as normas ou outros requisitos para os quais a organização solicitante busca certificação;
e) se consultoria relativa ao sistema de gestão a ser certificado foi fornecida e, se sim, quem forneceu.
9.1.2.1 O organismo de certificação deve realizar uma análise crítica da solicitação e das informa-
ções suplementares de certificação para assegurar que
a) as informações sobre a organização solicitante e seu sistema de gestão sejam suficientes
para desenvolver um programa de auditoria (ver 9.1.3);
d) o escopo solicitado para a certificação, a(s) planta(s) das operações da organização solicitante,
o tempo necessário para completar as auditorias e quaisquer outros pontos que influenciem
o serviço de certificação sejam levados em consideração (idioma, condições de segurança,
ameaças à imparcialidade etc.).
9.1.2.2 Após a análise crítica da solicitação, o organismo de certificação deve aceitar ou recusar
a solicitação para certificação. Quando o organismo de certificação recusar uma solicitação para
certificação como resultado da análise crítica, ele deve documentar os motivos para a recusa
da solicitação e deixar claro para o cliente.
9.1.2.3 Com base nessa análise crítica, o organismo de certificação deve determinar as compe-
tências que ele precisa incluir em sua equipe auditora e para a decisão de certificação.
9.1.3.1 Um programa de auditoria para o ciclo completo de certificação deve ser elaborado para
identificar claramente a(s) atividade(s) de auditoria necessária(s) para demonstrar que o sistema de
gestão do cliente atende aos requisitos para certificação para a(s) norma(s) selecionada(s) ou outro(s)
documento(s) normativo(s). O programa de auditoria para o ciclo de certificação deve cobrir todos
os requisitos do sistema de gestão.
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
9.1.3.2 O programa de auditoria para a certificação inicial deve incluir uma auditoria inicial em duas
fases, auditorias de supervisão no primeiro e no segundo anos após a decisão de certificação, e uma
auditoria de recertificação no terceiro ano, antes do vencimento da certificação. O primeiro ciclo de
certificação de três anos inicia-se com a decisão de certificação. Os ciclos subsequentes iniciam com
a decisão de recertificação (ver 9.6.3.2.3). A determinação do programa de auditoria e de quaisquer
ajustes subsequentes deve considerar o tamanho do cliente, o escopo e a complexidade de seu
sistema de gestão, produtos e processos, assim como o nível demonstrado de eficácia do sistema
de gestão e os resultados de quaisquer auditorias anteriores.
NOTA 1 O Anexo E contém um fluxograma de um processo típico de auditoria e certificação.
NOTA 2 A lista a seguir contém itens adicionais que podem ser considerados ao se elaborar ou revisar
um programa de auditoria; também pode ser necessário abordá-los na determinação do escopo da auditoria
e elaboração de plano de auditoria:
NOTA 3 Caso especificado pelo esquema de certificação específico da indústria, o ciclo de certificação
pode ser diferente de três anos.
9.1.3.3 As auditorias de supervisão devem ser realizadas no mínimo uma vez a cada ano do
calendário, exceto em anos de recertificação. A data da primeira auditoria de supervisão, após a
certificação inicial, não pode ultrapassar 12 meses a partir da data da decisão da certificação.
NOTA Pode ser necessário ajustar a frequência das auditorias de supervisão para acomodar fatores
como sazonalidade ou certificação de sistemas de gestão de duração limitada (por exemplo, plantas
de construção temporárias).
9.1.3.5 Onde o cliente opera em regime de turnos, as atividades que acontecem durante o turno de
trabalho devem ser consideradas na elaboração do programa de auditoria e nos planos de auditoria.
9.1.4.1 O organismo de certificação deve ter procedimentos documentados para determinar o tempo
de auditoria. Para cada cliente, ele deve calcular o tempo necessário para planejar e realizar uma
auditoria completa e eficaz do sistema de gestão do cliente.
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
NOTA 1 O tempo gasto em deslocamento para chegar e deixar os locais auditados não está incluído
no cálculo da duração dos dias de auditoria do sistema de gestão.
NOTA 2 O organismo de certificação pode utilizar as diretrizes estabelecidas na ISO/IEC TS 17023 para
determinação da duração da auditoria de sistema de gestão no ato da documentação destes procedimentos.
Nos casos em que tenham sido estabelecidos critérios específicos para um esquema específico de
certificação, por exemplo, ABNT ISO/TS 22003 ou ISO/IEC 27006, esses critérios devem ser aplicados.
9.1.4.3 A duração da auditoria do sistema de gestão e a sua justificativa devem ser registradas.
9.1.4.4 O tempo utilizado por qualquer membro da equipe que não for designado como auditor (por
exemplo, especialistas técnicos, tradutores, intérpretes, observadores e auditores em treinamento)
não pode contar na duração da auditoria de sistema de gestão estabelecida.
NOTA Para o uso de tradutores e intérpretes, pode ser necessário um tempo adicional de auditoria.
Ao utilizar amostragem de multi-site para a auditoria do sistema de gestão de um cliente que cubra a
mesma atividade em diversas localizações geográficas, o organismo de certificação deve desenvolver
um programa de amostragem, a fim de assegurar uma auditoria adequada do sistema de gestão. A
justificativa para o plano de amostragem deve ser documentada para cada cliente. A amostragem não
é permitida para alguns esquemas de certificação específicos, e onde critérios específicos tenham sido
estabelecidos para um esquema de certificação específico, por exemplo, ABNT NBR ISO/TS 22003,
estes devem ser aplicados.
NOTA Quando houver múltiplas plantas que não cubram a mesma atividade, amostragem não é adequada.
9.2.1.1 Os objetivos de auditoria devem ser determinados pelo organismo de certificação. O escopo
e os critérios de auditoria, incluindo quaisquer alterações, devem ser estabelecidos pelo organismo
de certificação após discussão com o cliente.
9.2.1.2 Os objetivos de auditoria devem descrever o que deve ser realizado pela auditoria e devem
incluir:
a) determinação da conformidade do sistema de gestão do cliente, ou de parte desse sistema, com
os critérios de auditoria;
b) determinação da capacidade do sistema de gestão para assegurar que o cliente atenda aos
requisitos estatutários, regulamentares e contratuais;
NOTA Uma auditoria de certificação de sistema de gestão não é uma auditoria de conformidade legal.
c) determinação da eficácia do sistema de gestão para assegurar que o cliente pode razoavelmente
esperar atender seus objetivos definidos;
d) conforme aplicável, identificação de áreas para possível melhoria do sistema de gestão.
9.2.1.4 Os critérios de auditoria devem ser usados como referência para determinação da conformi-
dade e devem incluir:
9.2.2.1 Generalidades
9.2.2.1.1 O organismo de certificação deve ter um processo para selecionar e designar a equipe
auditora, inclusive o auditor-líder e especialistas técnicos, se necessário, levando em consideração
a competência necessária para alcançar os objetivos da auditoria e requisitos de imparcialidade.
Se houver somente um auditor, ele deve ter a competência para executar os deveres de um auditor-
líder aplicáveis à auditoria em questão. A equipe auditora deve possuir a totalidade de competências
identificadas pelo organismo de certificação, conforme definido em 9.1.2.3, para a auditoria.
c) a competência global da equipe auditora necessária para alcançar os objetivos da auditoria
(ver Tabela A.1);
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
9.2.2.1.4 Auditores em treinamento podem participar na auditoria, desde que um auditor seja
designado como avaliador. O avaliador deve ser competente para exercer os deveres e ter respon-
sabilidade final pelas atividades e constatações do auditor em treinamento.
9.2.2.2.1 Observadores
A presença e a justificativa para observadores durante uma atividade de auditoria devem ser
acordadas entre o organismo de certificação e o cliente antes da realização da auditoria. A equipe
auditora deve assegurar que os observadores não influenciem ou interfiram indevidamente
no processo ou no resultado da auditoria.
NOTA Os observadores podem ser membros da organização do cliente, consultores, pessoal do organismo
de acreditação realizando uma testemunha, reguladores ou outras pessoas justificadas.
O papel dos especialistas técnicos durante uma auditoria deve ser acordado entre o organismo de
certificação e o cliente antes da condução da auditoria. Um especialista técnico não pode atuar como
auditor na equipe auditora. Os especialistas técnicos devem estar acompanhados por um auditor.
NOTA Os especialistas técnicos podem fornecer assessoramento à equipe auditora para a preparação,
planejamento ou auditoria.
9.2.2.2.3 Guias
Cada auditor deve ser acompanhado por um guia, a menos se acordado de outra forma pelo auditor-
líder e pelo cliente. Os guias são designados pela equipe auditora para facilitar a auditoria. A equipe
auditora deve assegurar que os guias não influenciem ou interfiram no processo ou no resultado
da auditoria.
c) assegurar que regras relativas aos procedimentos de segurança e seguridade do local sejam conhecidas
e respeitadas pelos membros da equipe auditora;
9.2.3.1 Generalidades
O organismo de certificação deve assegurar que um plano de auditoria seja estabelecido antes
de cada auditoria identificada no programa de auditoria, que sirva de base para acordo em relação
à realização e programação das atividades de auditoria.
NOTA Não se espera que um organismo de certificação vá elaborar um plano de auditoria para cada
auditoria no momento em que o programa de auditorias for elaborado.
O plano de auditoria deve ser apropriado aos objetivos e ao escopo da auditoria. O plano de auditoria
deve incluir ou fazer referência no mínimo aos seguintes itens:
c) o escopo da auditoria, incluindo a identificação das unidades organizacionais e funcionais ou dos
processos a serem auditados;
d) as datas e lugares onde as atividades de auditoria no local serão realizadas, incluindo visitas
a sites temporários e atividades de auditoria remota, conforme apropriado;
f) as funções e responsabilidades dos membros da equipe auditora e das pessoas acompanhantes,
como observadores ou intérpretes.
As tarefas atribuídas à equipe auditora devem ser definidas e devem determinar que a equipe
auditora:
b) confirme se esses itens atendem a todos os requisitos pertinentes ao escopo pretendido
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
de certificação;
d) comunique ao cliente, para sua ação, quaisquer incoerências entre a política, objetivos e metas
do cliente.
O plano de auditoria deve ser comunicado e as datas da auditoria devem ser previamente acordadas
com a organização do cliente.
O organismo de certificação deve fornecer o nome e, quando solicitado, deve tornar disponíveis
informações curriculares de cada membro da equipe auditora, com tempo suficiente para o cliente
discordar da designação de qualquer membro da equipe e para o organismo de certificação
reconstituir a equipe em resposta a qualquer objeção válida.
9.3.1.1 Generalidades
A auditoria inicial de certificação de um sistema de gestão deve ser realizada em duas fases: fase 1
e fase 2.
9.3.1.2 Fase 1
9.3.1.2.1 O planejamento deve assegurar que os objetivos da fase 1 possam ser atingidos e que
o cliente esteja informado sobre quaisquer atividades “in-loco” durante a fase 1.
NOTA A fase 1 não requer um plano de auditoria formal (ver 9.2.3)
b) avaliar as condições específicas da planta do cliente e discutir com o pessoal do cliente, a fim
de determinar o grau de preparação para a fase 2;
c) analisar criticamente a situação e a compreensão do cliente quanto aos requisitos da norma,
em especial com relação à identificação de aspectos-chave ou significativos de desempenho,
de processos, de objetivos e da operação do sistema de gestão;
e) analisar criticamente a alocação de recursos para a fase 2 e acordar com o cliente os detalhes
da fase 2;
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
g) avaliar se as auditorias internas e as análises críticas pela direção estão sendo planejadas e
realizadas, e se o nível de implementação do sistema de gestão demonstra que o cliente está
pronto para a fase 2.
NOTA Se ao menos parte da fase 1 for realizada nas instalações do cliente, isto pode auxiliar a alcançar
os objetivos citados acima.
NOTA Os dados resultantes da fase 1 não precisam atender os requisitos de um relatório (ver 9.4.8).
9.3.1.3 Fase 2
a) informações e evidências sobre conformidade com todos os requisitos da norma aplicável
de sistema de gestão ou outro documento normativo;
A equipe auditora deve analisar criticamente todas as informações e evidências coletadas durante
as fases 1 e 2, a fim de analisar criticamente as constatações da auditoria e concordar quanto
às conclusões da auditoria.
9.4.1 Generalidades
O organismo de certificação deve ter um processo para realizar auditorias no local. Esse processo
deve incluir uma reunião de abertura no início da auditoria e uma reunião de encerramento ao final
da auditoria.
Quando alguma parte da auditoria for feita por meios eletrônicos ou quando o local a ser auditado
for virtual, o organismo de certificação deve assegurar que estas atividades sejam conduzidas por
pessoal com a competência apropriada. As evidências obtidas durante este tipo de auditoria devem
ser suficientes para permitir que o auditor tome uma decisão consciente sobre a conformidade
do requisito em questão.
NOTA Auditorias “in loco” podem incluir acesso remoto a sites eletrônicos que contenham informações
pertinentes à auditoria do sistema de gestão. Pode ser considerado o uso de meios eletrônicos para
a condução de auditorias.
Deve-se realizar uma reunião de abertura formal com a Alta Direção do cliente e, quando apropriado,
com o responsável pelas funções ou processos a serem auditados. O propósito da reunião de abertura,
geralmente conduzida pelo auditor-líder, é fornecer uma breve explicação de como as atividades
de auditoria serão realizadas. O grau de detalhes deve ser coerente com a familiaridade do cliente
com o processo de auditoria e deve considerar o seguinte:
c) confirmação do plano de auditoria (incluindo tipo e escopo da auditoria, objetivos e critérios),
mudanças e outros arranjos pertinentes com o cliente, como data e duração da reunião
de encerramento e reuniões intermediárias entre a equipe auditora e a direção do cliente;
d) confirmação dos canais formais de comunicação entre a equipe auditora e o cliente;
e) confirmação de que os recursos e instalações necessários à equipe auditora estejam disponíveis;
j) informações sobre as condições nas quais a auditoria pode ser encerrada prematuramente;
l) confirmação da situação das constatações da análise crítica ou auditoria anterior, se aplicável;
m) métodos e procedimentos a serem usados para realização da auditoria com base em amostragem;
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
o) confirmação de que, durante a auditoria, o cliente será mantido informado do progresso
da auditoria e de quaisquer preocupações;
9.4.3.1 Durante a auditoria, a equipe auditora deve avaliar periodicamente o progresso da auditoria
e trocar informações. O auditor-líder deve redistribuir o trabalho entre os membros da equipe auditora,
conforme necessário, e comunicar periodicamente o progresso da auditoria e quaisquer preocupações
ao cliente.
9.4.3.2 Quando a evidência disponível da auditoria indicar que os objetivos da auditoria são inatingí-
veis ou sugerir a presença de um risco imediato e significativo (por exemplo, segurança), o auditor-líder
deve relatar esse fato ao cliente e, se possível, ao organismo de certificação, para determinar a ação
apropriada. Tal ação pode incluir a reconfirmação ou a modificação do plano de auditoria, mudanças
nos objetivos ou no escopo da auditoria ou o encerramento da auditoria. O auditor-líder deve relatar
o resultado da ação para o organismo de certificação.
9.4.3.3 O auditor-líder deve analisar criticamente com o cliente qualquer necessidade de mudanças
no escopo da auditoria, que fiquem aparentes com o progresso das atividades da auditoria no local,
e relatar essas mudanças ao organismo de certificação.
9.4.4.1 Durante a auditoria, as informações pertinentes aos objetivos, escopo e critérios da auditoria
(incluindo informações relativas às interfaces entre funções, atividades e processos) devem ser obtidas
por amostragem adequada e verificadas para que se tornem evidência de auditoria.
a) entrevistas;
9.4.5.2 Oportunidades de melhoria podem ser identificadas e registradas, exceto se proibidas pelos
requisitos de um esquema de certificação de sistema de gestão. Entretanto, as constatações de
auditoria que forem não conformidades não podem ser registradas como oportunidades de melhoria.
9.4.5.3 Uma constatação de não conformidade deve ser registrada contra um requisito específico
e deve conter uma declaração clara da não conformidade, identificando em detalhes as evidências
nas quais a não conformidade se baseia. As não conformidades devem ser discutidas com o cliente
para assegurar que a evidência seja precisa e que as não conformidades sejam compreendidas.
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
Entretanto, o auditor deve abster-se de sugerir a causa das não conformidades ou sua solução.
b) acordar quanto às conclusões da auditoria, levando em conta a incerteza inerente ao processo
de auditoria;
9.4.7.1 Deve-se realizar uma reunião de encerramento formal, na qual a presença deve ser
registrada, com a direção do cliente e, quando apropriado, com o responsável pelas funções ou
processos auditados. O objetivo da reunião de encerramento, que normalmente deve ser presidida
pelo auditor-líder, é apresentar as conclusões da auditoria, incluindo a recomendação relativa
à certificação. As não conformidades devem ser apresentadas de tal maneira que possam ser
compreendidas, e deve-se acordar o prazo para resposta.
NOTA O termo “compreendidas” não significa necessariamente que as não conformidades foram aceitas
pelo cliente.
9.4.7.2 A reunião de encerramento também deve incluir os seguintes elementos, onde o grau de
detalhes deve ser coerente com a familiaridade do cliente com o processo de auditoria:
a) informar ao cliente que as evidências obtidas na auditoria foram baseadas em uma amostra
das informações, introduzindo assim um elemento de incerteza;
b) o método e o prazo para relatar, incluindo a classificação das constatações da auditoria;
d) o prazo para o cliente apresentar um plano para correção e ação corretiva para as não conformi-
dades identificadas durante a auditoria;
9.4.7.3 Deve-se dar oportunidade para o cliente fazer perguntas. Quaisquer opiniões divergentes
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
relativas às constatações ou conclusões da auditoria entre a equipe auditora e o cliente devem ser
discutidas e, se possível, resolvidas. Quaisquer opiniões divergentes não resolvidas devem ser regis-
tradas e comunicadas ao organismo de certificação.
9.4.8.1 O organismo de certificação deve fornecer um relatório escrito para cada auditoria ao cliente.
A equipe auditora pode identificar oportunidades de melhoria, mas não pode recomendar soluções
específicas. O organismo de certificação deve manter a propriedade pelo relatório de auditoria.
9.4.8.2 O auditor-líder deve assegurar a preparação do relatório de auditoria e ser responsável por
seu conteúdo. O relatório da auditoria deve fornecer um registro preciso, conciso e claro da auditoria,
para possibilitar uma tomada de decisão de certificação fundamentada, e deve incluir ou se referir
ao seguinte:
c) tipo de auditoria (por exemplo, inicial, supervisão ou recertificação ou auditorias especiais);
i) identificação do auditor-líder, dos membros da equipe auditora e das pessoas acompanhantes;
j) as datas e lugares onde as atividades da auditoria (no local ou fora do local, locais permanentes
ou temporários) foram realizadas;
k) constatações da auditoria (ver 9.4.5), referência às evidências e conclusões, coerentes com
os requisitos do tipo de auditoria;
l) mudanças significativas, se houver, que afetem o sistema de gestão do cliente desde
a realização da última auditoria;
q) se o cliente auditado está controlando efetivamente o uso dos documentos de certificação
e marcas, se aplicável;
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
r) verificação da eficácia das ações corretivas tomadas para não conformidades identificadas
anteriormente, se aplicável.
a) uma declaração sobre a conformidade e a eficácia do sistema de gestão com um resumo das
evidências relacionadas a:
O organismo de certificação deve exigir que o cliente analise a causa e descreva a correção e as
ações corretivas específicas tomadas, ou que planeja tomar, para eliminar as não conformidades
detectadas, dentro de um tempo definido.
NOTA A verificação da eficácia de correções e ações corretivas pode ser realizada com base em
uma análise crítica da informação documentada, fornecida pelo cliente ou, quando necessário, por meio
de verificação no local. Normalmente esta atividade é feita por um membro da equipe auditora.
9.5.1 Generalidades
9.5.1.1 O organismo de certificação deve assegurar que pessoas ou comitês que tomam as decisões
para concessão ou recusa da certificação, expansão ou redução de escopo da certificação, suspensão
ou restauração da certificação, cancelamento ou renovação da certificação sejam diferentes daquelas
que realizaram as auditorias. A(s) pessoa(s) designada(s) a conduzir a decisão da certificação
deve(m) possuir competência apropriada.
9.5.1.2 A(s) pessoa(s) [excluindo membros de comitês (ver 6.1.4)] designada(s) pelo organismo de
certificação para fazer uma decisão de certificação deve(m) estar empregada(s), ou deve(m) estar
sob contrato com o organismo de certificação ou com uma entidade sob o controle organizacional
do organismo de certificação. O controle organizacional do organismo de certificação deve ser um
dos seguintes:
b) participação majoritária pelo organismo de certificação no conselho de diretores de outra entidade;
c) uma autoridade documentada pelo organismo de certificação sobre outra entidade em uma rede
de pessoas jurídicas (na qual o organismo de certificação se encontra), ligada por propriedade
ou controle do conselho diretor.
NOTA Para organismos de certificação governamentais, outras partes do mesmo governo podem ser
consideradas “ligadas por propriedade” ao organismo de certificação.
9.5.1.3 As pessoas empregadas ou sob contrato com as entidades sob controle organizacional
devem cumprir os mesmos requisitos desta parte da ABNT NBR ISO/IEC 17021 que as pessoas
empregadas ou sob contrato com o organismo de certificação.
9.5.1.4 O organismo de certificação deve registrar cada decisão de certificação, incluindo qualquer
informação adicional ou esclarecimento solicitado à equipe auditora ou a outras fontes.
O organismo de certificação deve ter um processo para conduzir uma análise crítica eficaz antes da
tomada de decisão para concessão da certificação, expansão ou redução de escopo da certificação,
renovação, suspensão ou restauração, ou cancelamento da certificação, inclua que
a) as informações fornecidas pela equipe auditora são suficientes em relação aos requisitos e ao
escopo para certificação;
b) para qualquer não conformidade maior, o organismo tenha analisado criticamente, aceito e verifi-
cado as correções e ações corretivas;
c) para qualquer não conformidade menor, o organismo tenha analisado criticamente e aceito
o plano do cliente para as correções e ações corretivas.
b) comentários sobre as não conformidades e, onde aplicável, a correção e ações corretivas tomadas
pelo cliente;
c) confirmação das informações fornecidas ao organismo de certificação usadas na análise crítica
da solicitação (ver 9.1.2); e
e) uma recomendação de conceder ou não a certificação, juntamente com quaisquer condições ou
observações.
NOTA Esquemas de certificação podem ter regras específicas sobre transferência de certificação.
O organismo de certificação deve tomar decisões sobre a renovação da certificação com base nos
resultados da auditoria de recertificação, bem como nos resultados da análise crítica do sistema,
durante o período de certificação, e nas reclamações recebidas de usuários da certificação.
9.6.1 Generalidades
O organismo de certificação deve manter a certificação com base na demonstração de que o cliente
continua a satisfazer os requisitos da norma de sistema de gestão. Ele pode manter a certificação
de um cliente baseando-se em uma conclusão positiva pelo líder da equipe auditora sem posterior
análise crítica independente e decisão, desde que:
a) para qualquer não conformidade maior ou outra situação que possa conduzir à suspensão ou
cancelamento da certificação, o organismo de certificação tenha um sistema que exija que o
líder da equipe auditora relate ao organismo de certificação a necessidade de iniciar uma análise
crítica por pessoal competente (ver 7.2.8), diferentemente daqueles que realizaram a auditoria,
para determinar se a certificação pode ser mantida;
9.6.2.1 Generalidades
9.6.2.1.2 As atividades de supervisão devem incluir auditorias no local para avaliar se o sistema
de gestão do cliente certificado atende aos requisitos especificados em relação à norma na qual
a certificação foi concedida. Outras atividades de supervisão podem incluir
b) análise crítica de quaisquer declarações do cliente com relação às suas operações (por exemplo,
material promocional, site),
c) pedidos ao cliente para fornecimento de informação documentada (em papel ou meio eletrônico);
Auditorias de supervisão são auditorias no local, mas não são necessariamente auditorias
completas do sistema e devem ser planejadas junto com outras atividades de supervisão, a fim de
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
que o organismo de certificação possa manter a confiança de que o sistema de gestão certificado
do cliente continua a atender aos requisitos entre as auditorias de recertificação. Cada supervisão
para a norma de sistema de gestão pertinente deve incluir:
b) uma análise crítica das ações tomadas para as não conformidades identificadas durante a
auditoria anterior;
d) eficácia do sistema de gestão com respeito ao atingimento dos objetivos do cliente certificado
e os resultados pretendidos do(s) respectivo(s) sistema(s) de gestão;
9.6.3 Recertificação
9.6.3.1.2 A atividade de recertificação deve incluir a análise crítica dos relatórios de auditoria de
supervisão anteriores e considerar o desempenho do sistema de gestão durante o ciclo de certificação
mais recente.
9.6.3.1.3 Nas atividades de auditoria de recertificação, pode ser necessário realizar uma fase 1 em
situações onde houver mudanças significativas no sistema de gestão, na organização ou no contexto
no qual o sistema de gestão opera (por exemplo, mudanças na legislação).
NOTA Tais mudanças podem ocorrer a qualquer tempo durante o ciclo de certificação e o organismo
de certificação pode precisar realizar uma auditoria especial (ver 9.6.4), que pode ou não ser uma auditoria
de duas fases.
9.6.3.2.1 A auditoria de recertificação deve incluir uma auditoria no local que considere os seguintes
tópicos:
a) a eficácia de todo o sistema de gestão, considerando mudanças internas e externas, e sua
relevância e aplicabilidade contínuas ao escopo de certificação;
b) comprometimento demonstrado para manter a eficácia e melhoria do sistema de gestão, a fim
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
9.6.3.2.2 Para qualquer não conformidade maior, o organismo de certificação deve definir limites de
tempo para correção e ações corretivas. Estas ações devem ser implementadas e verificadas antes
da expiração da certificação.
9.6.3.2.3 Quando as atividades de recertificação são completadas com sucesso antes da data
de expiração da certificação vigente, a data de expiração da nova certificação pode ser baseada
na data de expiração da certificação vigente. A data de emissão no novo certificado deve ser a partir
da decisão de recertificação.
O organismo de certificação deve, em resposta a uma solicitação para expansão de escopo de uma
certificação já concedida, realizar uma análise crítica da solicitação e determinar quaisquer atividades
de auditoria necessárias para decidir se a extensão pode ou não ser concedida. Essa auditoria pode
ser realizada em conjunto com uma auditoria de supervisão.
Pode ser necessário para o organismo de certificação realizar auditorias avisadas com pouca
antecedência ou sem aviso em clientes certificados para investigar reclamações ou em resposta
a mudanças ou como acompanhamento em clientes suspensos. Em tais casos
b) o organismo de certificação deve tomar um cuidado adicional ao designar a equipe auditora,
devido à falta de oportunidade para o cliente recusar algum membro da equipe auditora.
9.6.5.2 O organismo de certificação deve suspender a certificação nos casos em que, por exemplo:
9.6.5.4 O organismo de certificação deve restaurar a certificação suspensa se o problema que resul-
tou na suspensão foi resolvido. A falha na resolução dos problemas que ocasionaram a suspensão,
no prazo estabelecido pelo organismo de certificação, deve resultar no cancelamento ou na redução
do escopo da certificação.
9.6.5.5 O organismo de certificação deve reduzir o escopo de certificação do cliente para excluir as
partes que não atendam aos requisitos, quando o cliente tiver falhado persistentemente ou seriamente
em atender aos requisitos de certificação para aquelas partes do escopo da certificação. Qualquer
redução desse tipo deve estar de acordo com os requisitos da norma usada para certificação.
9.7 Apelações
9.7.1 O organismo de certificação deve ter um processo documentado para receber, avaliar e tomar
decisões sobre apelações.
9.7.2 O organismo de certificação deve ser responsável por todas as decisões em todos os níveis do
processo de tratamento de apelações. O organismo de certificação deve assegurar que as pessoas
envolvidas no processo de tratamento de apelações sejam diferentes daquelas que realizaram
as auditorias e tomaram as decisões de certificação.
9.7.3 A submissão, investigação e decisão sobre apelações não podem resultar em qualquer ação
discriminatória contra o apelante.
9.7.4 O processo de tratamento de apelações deve incluir pelo menos os seguintes elementos
e métodos:
a) uma descrição geral do processo de recebimento, validação e investigação da apelação, e para
decisão de quais ações precisam ser tomadas em resposta a ela, considerando-se os resultados
de apelações anteriores similares;
c) garantia de que quaisquer correções e ações corretivas apropriadas sejam tomadas.
9.7.5 O organismo de certificação que recebe a apelação deve ser responsável por coletar
e verificar toda a informação necessária para validar a apelação.
9.7.7 A decisão a ser comunicada ao apelante deve ser tomada, ou analisada criticamente
e aprovada, por pessoa(s) sem envolvimento anterior com o assunto da apelação.
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
9.7.8 O organismo de certificação deve enviar ao apelante uma notificação formal do término
do processo de tratamento da apelação.
9.8 Reclamações
9.8.1 O organismo de certificação deve ser responsável por todas as decisões em todos os níveis
do processo de gestão de reclamações.
9.8.2 A submissão, investigação e decisão sobre reclamações não podem resultar em quaisquer
ações discriminatórias contra o reclamante.
9.8.3 Ao receber uma reclamação, o organismo de certificação deve confirmar se a reclamação está
relacionada às atividades de certificação pelas quais ele é responsável e, se estiver, ele deve tratá-la.
Se a reclamação for relativa a um cliente certificado, o exame da reclamação deve analisar a eficácia
do sistema de gestão certificado.
9.8.4 Qualquer reclamação válida sobre um cliente certificado também deve ser comunicada pelo
organismo de certificação ao cliente certificado em questão em um tempo adequado.
9.8.5 O organismo de certificação deve ter um processo documentado para receber, avaliar e tomar
decisões sobre reclamações. Esse processo deve estar sujeito aos requisitos de confidencialidade
em relação ao reclamante e ao assunto da reclamação.
9.8.6 O processo de tratamento de reclamações deve incluir pelo menos os seguintes elementos
e métodos:
c) garantia de que quaisquer correções e ações corretivas apropriadas sejam tomadas.
NOTA A ABNT NBR ISO 10002 fornece orientações para o tratamento de reclamações.
9.8.7 O organismo de certificação que recebe a reclamação deve ser responsável pela coleta
e verificação de todas as informações necessárias para validar a reclamação.
9.8.8 Sempre que possível, o organismo de certificação deve confirmar o recebimento da recla-
mação e fornecer ao reclamante relatórios de andamento e o resultado da reclamação.
9.8.9 A decisão a ser comunicada ao reclamante deve ser preparada, ou revisada e aprovada,
por pessoa(s) sem envolvimento anterior com o assunto da reclamação.
9.8.10 Sempre que possível, o organismo de certificação deve enviar ao reclamante uma notificação
formal do término do processo de tratamento da reclamação.
9.8.11 O organismo de certificação deve determinar, junto com o cliente certificado e o reclamante,
se ele deve tornar públicos o assunto da reclamação e a sua solução e, se assim for, em que extensão.
NOTA A metodologia de amostragem inclui a amostragem aplicada para auditar o sistema de gestão
específico e/ou selecionar sites no contexto de uma auditoria multi-site.
i) documentos de certificação, incluindo o escopo de certificação com relação ao produto, processo
ou serviço, conforme aplicável;
9.9.3 O organismo de certificação deve manter seguros os registros de solicitantes e clientes, a fim
de assegurar que as informações sejam mantidas confidenciais. Os registros devem ser transportados,
transmitidos ou transferidos de forma a assegurar que a confidencialidade seja mantida.
9.9.4 O organismo de certificação deve ter uma política documentada e procedimentos documen-
tados para a retenção de registros. Os registros de clientes certificados e de clientes certificados
anteriormente devem ser retidos enquanto durar o ciclo corrente e por mais um ciclo completo
de certificação.
NOTA Em algumas jurisdições, a lei estipula que é necessário manter registros por um período maior.
b) requisitos de sistema de gestão de acordo com a ABNT NBR ISO 9001 (ver 10.3).
A Alta Direção do organismo de certificação deve estabelecer e documentar políticas e objetivos para
suas atividades. Além disso, a Alta Direção deve fornecer evidências de seu comprometimento com
o desenvolvimento e implementação do sistema de gestão, de acordo com os requisitos desta parte
da ABNT NBR ISO/IEC 17021. A Alta Direção deve assegurar que as políticas sejam entendidas,
implementadas e mantidas em todos os níveis da estrutura do organismo de certificação.
a) assegurar que os processos e procedimentos necessários para o sistema de gestão estejam
estabelecidos, implementados e mantidos;
b) relatar à Alta Direção o desempenho do sistema de gestão e qualquer necessidade de melhoria.
Todos os requisitos aplicáveis desta parte da ABNT NBR ISO/IEC 17021 devem ser abordados
em um manual ou em documentos associados. O organismo de certificação deve assegurar que o
manual e os documentos concernentes associados estejam acessíveis a todo pessoal pertinente.
c) assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas;
d) assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais
de uso;
f) assegurar que os documentos de origem externa sejam identificados e sua distribuição seja
controlada;
g) evitar o uso não intencional de documentos obsoletos e aplicar identificação adequada nos casos
em que forem retidos para qualquer finalidade.
Além disso, o organismo de certificação deve estabelecer procedimentos para reter registros por um
período coerente com suas obrigações contratuais e legais. O acesso a esses registros deve ser
coerente com os mecanismos de confidencialidade.
10.2.5.1 Generalidades
As entradas para a análise crítica pela direção devem incluir informações relacionadas a:
As saídas da análise crítica pela direção devem incluir decisões e ações relacionadas a:
10.2.6.1 O organismo de certificação deve estabelecer procedimentos para auditorias internas, a fim
de verificar se ele atende aos requisitos desta parte da ABNT NBR ISO/IEC 17021 e se o sistema
de gestão está implementado e é mantido com eficácia.
NOTA A ABNT NBR ISO 19011 fornece diretrizes para a realização de auditorias internas.
10.2.6.3 As auditorias internas devem ser realizadas no mínimo uma vez a cada 12 meses.
A frequência das auditorias internas pode ser reduzida se o organismo de certificação puder demonstrar
que o seu sistema de gestão continua implementado com eficácia, de acordo com esta parte
da ABNT NBR ISO/IEC 17021, e possui estabilidade comprovada.
a) as auditorias internas sejam realizadas por pessoal qualificado, com conhecimento em certifi-
cação, auditoria e requisitos desta parte da ABNT NBR ISO/IEC 17021;
c) o pessoal responsável pela área auditada seja informado do resultado da auditoria;
d) quaisquer ações resultantes de auditorias internas sejam tomadas de maneira apropriada e em
tempo adequado;
d) avaliar a necessidade de ações para assegurar que as não conformidades não ocorram novamente;
10.3 Opção B: Requisitos de sistema de gestão de acordo com a ABNT NBR ISO 9001
10.3.1 Generalidades
10.3.2 Escopo
Para a aplicação dos requisitos da ABNT NBR ISO 9001, o escopo do sistema de gestão deve incluir
os requisitos de projeto e desenvolvimento para seus serviços de certificação.
Para a aplicação dos requisitos da ABNT NBR ISO 9001, ao desenvolver seu sistema de gestão, o
organismo de certificação deve analisar a credibilidade da certificação e abordar as necessidades
de todas as partes (conforme estabelecido em 4.1.2) que dependem de seus serviços de auditoria
e certificação e não apenas de seus clientes.
Para a aplicação dos requisitos da ABNT NBR ISO 9001, o organismo de certificação deve incluir,
como entrada para a análise crítica pela direção, informações sobre apelações e reclamações perti-
nentes de usuários de atividades de certificação e uma análise crítica da imparcialidade.
Anexo A
(normativo)
A.1 Generalidades
A Tabela A.1 especifica o conhecimento e habilidades que um organismo de certificação deve definir
para funções específicas de certificação. X significa que o organismo de certificação deve definir
os critérios e a profundidade dos conhecimentos e habilidades. Os requisitos de conhecimento
e habilidades especificados na Tabela A.1 estão explicados em mais detalhes no texto após a tabela
e estão referenciados pelo número entre parênteses.
NOTA Entende-se por setor de negócios as atividades econômicas (por exemplo, aeroespacial, química,
serviços financeiros).
Capacidade de ler e escrever com velocidade, precisão e compreensão suficientes para registrar,
tomar notas e efetivamente comunicar constatações de auditoria e conclusões.
Capacidade de entrevistar para obter informações pertinentes, usando perguntas abertas e bem
formuladas e ouvindo para entender e avaliar as respostas.
Capacidade de conduzir e gerenciar uma auditoria para atingir os objetivos da auditoria dentro
do período de tempo acordado. Para o líder da equipe, capacidade de conduzir reuniões para a
troca eficaz de informações e capacidade de fazer atribuições ou reatribuições de tarefas, quando
necessário.
As funções deste pessoal podem ser preenchidas por uma ou mais pessoas.
Conhecimento de quais normas ou outros documentos normativos estão sendo especificados para
certificação.
Conhecimento relacionado aos tipos de produtos ou processos de um cliente, suficiente para designar
membros da equipe de auditoria competentes e determinar o tempo de auditoria com exatidão.
Anexo B
(informativo)
B.1 Generalidades
Este Anexo fornece exemplos de métodos de avaliação para ajudar os organismos de certificação.
Os métodos para avaliar a competência de pessoas podem ser agrupados em cinco grandes categorias:
análise crítica de registros, realimentação, entrevistas, observações e exames. Essas categorias
podem ser ainda mais subdivididas. A seguir apresenta-se uma breve descrição de cada método,
sua utilidade e suas limitações para avaliar conhecimentos e habilidades. É improvável que qualquer
método, utilizado sozinho, confirme a competência.
Os métodos descritos em B.2 a B.6 podem fornecer informações úteis sobre conhecimentos e habili-
dades; eles são mais eficazes quando elaborados para uso com critérios especificados de competên-
cia resultantes do processo de determinação de competências definido em 7.1.2 e 7.1.3.
Alguns registros são indicadores de habilidades, como relatórios de auditoria, registros de experiência
de trabalho, experiência em auditorias, formação e capacitação.
Outros registros são evidência direta de demonstração de competência, como, por exemplo,
um relatório de uma avaliação do desempenho de um auditor realizando uma auditoria.
B.3 Realimentação
A realimentação direta de empregadores passados pode ser um indicador de conhecimentos e habi-
lidades, mas é importante observar que algumas vezes os empregadores excluem especificamente
informações negativas.
A realimentação por pares pode ser um indicador de conhecimentos e habilidades. Tal realimentação
pode ser influenciada pelo relacionamento entre pares.
B.4 Entrevistas
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
As entrevistas podem ser úteis para extrair informações sobre conhecimentos e habilidades.
Entrevistas de emprego podem ser úteis para detalhar informações de currículos e de experiências
passadas de trabalho em relação a conhecimentos e habilidades.
Como parte das análises críticas de desempenho, as entrevistas podem fornecer informações
específicas sobre conhecimentos e habilidades.
A entrevista de uma equipe auditora, para uma análise crítica após a auditoria, pode fornecer
informações úteis sobre os conhecimentos e habilidades de um auditor. Ela oferece uma oportuni-
dade de entender por que um auditor tomou decisões específicas, selecionou trilhas específicas de
auditoria etc. Esta técnica pode ser usada após uma auditoria observada e também mais tarde na
análise do relatório escrito de auditoria. Além disso, pode ser útil especialmente na determinação
da competência relativa a uma área técnica específica.
A evidência direta da demonstração de competência pode ser obtida por meio de uma entrevista
estruturada, com registros adequados, contra critérios definidos de competência.
B.5 Observações
A observação de uma pessoa realizando uma tarefa pode fornecer evidência direta de competência
conforme a aplicação demonstrada de conhecimentos e habilidades para se obter um resultado
desejado. Este método de avaliação é útil para todas as funções, para o pessoal administrativo
e de gestão, assim como para auditores e tomadores de decisão de certificação. Uma limitação de
se observar um auditor realizando uma auditoria é o grau de desafio apresentado pela auditoria
específica.
B.6 Exames
Exames escritos podem fornecer evidências boas e bem documentadas de conhecimentos e, depen-
dendo dos métodos, também das habilidades.
Anexo C
(informativo)
sim
Boa não Estabelecer programa de
treinamento/orientação
Demonstração de
conhecimentos e habilidades não
Treinament
sim o eficaz?
Satisfatória
PDCA não
sim
sim não
Competente
competência
não não
sim PDCA
não
Treinamento eficaz?
PDCA
Anexo D
(informativo)
Exemplos de comportamento pessoal, que são importantes para o pessoal envolvido nas atividades
de certificação para qualquer tipo de sistema de gestão, estão descritos a seguir:
b) mente aberta, isto é, disposto a considerar ideias ou pontos de vista alternativos;
i) decisivo, isto é, chega a conclusões oportunas com base em razões lógicas e análise;
k) profissional, isto é, exibe conduta cortês, cautelosa e, em geral, típica de negócios no local
de trabalho;
l) moralmente corajoso, isto é, disposto a atuar com responsabilidade e ética mesmo se estas ações
puderem nem sempre ser populares e algumas vezes acarretarem discordâncias ou confrontos;
m) organizado, isto é, apresenta uma gestão eficaz do tempo, priorização, planejamento e eficiência.
Anexo E
(informativo)
A Figura E.1 representa um fluxo típico de processo. Outras atividades de auditoria podem
ser realizadas, por exemplo, análise da documentação e auditorias especiais. Para a diferença entre
o ciclo de auditoria e o ciclo de certificação, ver 9. 2 e 9.3.
Figura E.1 – Fluxo de processo típico para auditoria de terceira parte e processo
de certificação
Bibliografia
[2] ABNT NBR ISO 10002, Gestão da qualidade – Satisfação do cliente – Diretrizes para o tratamento
de reclamações nas organizações
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
[3] ABNT NBR ISO 14001, Sistemas da gestão ambiental – Requisitos com orientações para uso
[4] ABNT ISO/IEC TS 17021-2, Avaliação da conformidade – Requisitos para organismos que
fornecem auditoria e certificação de sistemas de gestão – Parte 2: Requisitos de competência
para auditoria e certificação de sistemas de gestão ambiental
[5] ISO/IEC TS 17021-3, Conformity assessment – Requirements for bodies providing audit and
certification of management systems – Part 3: Competence requirements for auditing and
certification of quality management systems
[6] ISO/IEC TS 17021-4, Conformity assessment – Requirements for bodies providing audit and
certification of management systems – Part 4: Competence requirements for auditing and
certification of event sustainability management systems
[7] ABNT ISO/IEC TS 17021-5, Avaliação da conformidade – Requisitos para organismos que
fornecem auditoria e certificação de sistemas de gestão – Parte 5: Requisitos de competência
para a auditoria e certificação de sistemas de gestão de ativos
[8] ISO/IEC TS 17021-6, Conformity assessment – Requirements for bodies providing audit and
certification of management systems – Part 6: Competence requirements for auditing and
certification of business continuity management systems
[9] ISO/IEC TS 17021-7, Conformity assessment – Requirements for bodies providing audit and
certification of management systems – Part 7: Competence requirements for auditing and
certification of road traffic safety management systems
[10] ISO/IEC TS 17023, Conformity assessment – Guidelines for determining the duration of
management system certification audits
[11] ABNT NBR ISO/IEC 17030, Avaliação de conformidade – Requisitos gerais para marcas
de conformidade de terceira parte
[12] ABNT NBR ISO 19011, Diretrizes para auditorias de sistema de gestão da qualidade e/ou
ambiental
[13] ABNT NBR ISO 20121, Sistemas de gestão para sustentabilidade de eventos – Requisitos com
orientações de uso
[14] ABNT ISO/TS 22003, Sistemas de gestão da segurança de alimentos – Requisitos para
organismos de auditoria e certificação de sistemas de gestão da segurança de alimentos
[16] ISO/IEC 27006, Information technology – Security techniques – Requirements for bodies
providingaudit and certification of information security management systems
[17] ABNT NBR ISO 31000, Gestão de riscos – Técnicas para o processo de avaliação de riscos
[18] ABNT NBR ISO/IEC 31010, Gestão de riscos – Técnicas para o processo de avaliação de riscos
[19] ISO 39001, Road traffic safety (RTS) management systems – Requirements with guidance
Documento impresso em 12/10/2019 19:19:39, de uso exclusivo de ICV BRASIL INSPECAO, CERTIFICACAO E VISTORIA LTDA
for use
[20] ISO 50003, Energy management systems – Requirements for bodies providing audit and
certification of energy management systems
[21] ABNT NBR ISO 55001, Gestão de ativos – Sistemas de gestão – Requisitos