1 Anexo A – ISO 19011:2018

ANEXO A - ISO 19011

Diretrizes para Auditoria de

Sistemas de Gestão

www.target-q.com
2 Anexo A – ISO 19011:2018

Anexo A
(informativo)

Orientação adicional para auditores planejando e conduzindo auditorias

A.1 Aplicando métodos de auditoria

Uma auditoria pode ser executada usando um intervalo de métodos de auditoria. Uma
explicação dos métodos de auditoria comumente usados pode ser encontrada neste anexo. Os
métodos de auditoria escolhidos para uma auditoria dependem dos objetivos, escopo e
critérios de auditoria definidos, bem como da duração e localização. A competência de auditor
disponível e qualquer incerteza resultante da aplicação de métodos de auditoria também
devem ser consideradas. A aplicação de uma variedade e combinação de diferentes métodos
de auditoria pode otimizar a eficiência e a eficácia do processo de auditoria e seu resultado.

O desempenho de uma auditoria envolve uma interação entre os indivíduos dentro do sistema
de gestão que está sendo auditado e a tecnologia usada para conduzir a auditoria. A Tabela
A.1 fornece exemplos de métodos de auditoria que podem ser usados, individualmente ou
combinados, para atingir os objetivos da auditoria. Se uma auditoria envolve o uso de uma
equipe de auditoria com vários membros, os métodos no local e remoto podem ser usados
simultaneamente.

NOTA Informações adicionais sobre visitas a locais físicos são fornecidas em A.15.

Tabela A.1 - Métodos de auditoria

Extensão do envolvimento Localização do auditor

entre o auditor e o auditado
Interação humana
No local
- Realizando entrevistas
- Completando listas de
verificação e questionários
com participação de
auditado
- Realização de revisão de
documentos com
participação de auditado
Amostragem
Remota
Via comunicação interativa
significa:
- realização de entrevistas;
- observando o trabalho
realizado com guia remoto;
preenchimento de checklists
e questionários;
- realização de revisão de
documentos com
participação de auditado

Nenhuma interação humana Realização de revisão de Realização de revisão de

documentos (por exemplo,
registros, análise de dados)
Observando o trabalho
realizado Realizando visita in
loco Concluindo listas de
verificação Amostragem (por
exemplo, produtos)
documentos (por exemplo,
registros, análise de dados)
Observação de trabalhos
realizados por meios de
vigilância, considerando
requisitos sociais e
estatutários e regulatórios.

As atividades de auditoria no local são realizadas no local do auditado. As atividades de

auditoria remota são realizadas em qualquer outro local que não seja o local do auditado,

www.target-q.com
3 Anexo A – ISO 19011:2018

independentemente da distância. As atividades de auditoria interativa envolvem interação

entre o pessoal do auditado e a equipe de auditoria. Atividades de auditoria não interativas
não envolvem interação humana com indivíduos representando o auditado, mas envolvem
interação com equipamentos, instalações e documentação.

A responsabilidade da aplicação efetiva dos métodos de auditoria para qualquer auditoria no

estágio de planejamento permanece com o (s) indivíduo (s) que gerencia (m) o programa de
auditoria ou o líder da equipe de auditoria. O líder da equipe de auditoria tem essa
responsabilidade pela condução das atividades de auditoria.

A viabilidade de atividades de auditoria remota pode depender de vários fatores (por exemplo,
o nível de risco para alcançar os objetivos da auditoria, o nível de confiança entre o auditor e o
pessoal do auditado e os requisitos regulatórios).

Ao nível do programa de auditoria, deve assegurar-se que a utilização de métodos de auditoria

remotos e no local é adequada e equilibrada, a fim de assegurar a realização satisfatória dos
objetivos do programa de auditoria.

A.2 Abordagem do processo de auditoria

O uso de uma “abordagem de processo” é um requisito para todos os padrões do sistema de

gestão ISO, de acordo com as Diretivas ISO / IEC, Parte 1, Anexo SL. Os auditores devem
compreender que a auditoria de um sistema de gestão está a auditar os processos de uma
organização e as suas interações em relação a um ou mais padrões do sistema de gestão.
Resultados consistentes e previsíveis são alcançados de forma mais eficaz e eficiente quando
as atividades são compreendidas e gerenciadas como processos inter-relacionados que
funcionam como um sistema coerente.

A.3 Julgamento profissional

Os auditores devem aplicar julgamento profissional durante o processo de auditoria e evitar

concentrar-se nos requisitos específicos de cada cláusula da norma, em detrimento do
resultado pretendido do sistema de gestão. Algumas cláusulas padrão do sistema de
gerenciamento da ISO não se prestam prontamente à auditoria em termos de comparação
entre um conjunto de critérios e o conteúdo de um procedimento ou instrução de trabalho.
Nessas situações, os auditores devem usar seu julgamento profissional para determinar se a
intenção da cláusula foi cumprida.

A.4 Resultados de desempenho

Os auditores devem estar focados no resultado pretendido do sistema de gestão durante todo
o processo de auditoria. Embora os processos e o que eles alcançam sejam importantes, o
resultado do sistema de gerenciamento e seu desempenho são o que conta. Também é
importante considerar o nível de integração de diferentes sistemas de gestão e seus resultados
pretendidos.

A ausência de um processo ou documentação pode ser importante em uma organização

complexa ou de alto risco, mas não tão significativa em outras organizações.

www.target-q.com
4 Anexo A – ISO 19011:2018

A.5 Verificação de informações

Na medida do possível, os auditores devem considerar se as informações fornecem evidência

objetiva suficiente para demonstrar que os requisitos estão sendo atendidos, tais como:

a) completos (todo o conteúdo esperado está contido nas informações documentadas);

b) correto (o conteúdo está em conformidade com outras fontes confiáveis, como normas e
regulamentos);

c) consistente (a informação documentada é consistente em si e com documentos

relacionados);

d) atual (o conteúdo está atualizado).

Também deve ser considerado se as informações verificadas fornecem evidência objetiva

suficiente para demonstrar que os requisitos estão sendo atendidos.

Se a informação é fornecida de uma maneira diferente do esperado (por exemplo, por

indivíduos diferentes, mídia alternativa), a integridade da evidência deve ser avaliada.

É necessário cuidado específico para a segurança da informação devido às regulamentações

aplicáveis sobre proteção de dados (em particular para informações que estão fora do escopo
da auditoria, mas que também estão contidas no documento).

A.6 Amostragem

A.6.1 Geral

A amostragem de auditoria ocorre quando não é prático ou econômico examinar todas as

informações disponíveis durante uma auditoria, por ex. os registros são muito numerosos ou
muito dispersos geograficamente para justificar o exame de todos os itens da população.
Amostragem de auditoria de uma grande população é o processo de selecionar menos de
100% dos itens dentro do conjunto de dados disponíveis (população) para obter e avaliar
evidências sobre alguma característica dessa população, a fim de formar uma conclusão sobre
a população.

O objetivo da amostragem de auditoria é fornecer informações para que o auditor tenha

confiança de que os objetivos da auditoria podem ou serão alcançados.

O risco associado à amostragem é que as amostras podem não ser representativas da

população a partir da qual são selecionadas. Assim, a conclusão do auditor pode ser
tendenciosa e ser diferente daquilo que seria alcançado se toda a população fosse examinada.
Pode haver outros riscos dependendo da variabilidade dentro da população a ser amostrada e
do método escolhido.

A amostragem de auditoria geralmente envolve as seguintes etapas:

a) estabelecer os objetivos da amostragem;

b) selecionar a extensão e composição da população a ser amostrada;

www.target-q.com
5 Anexo A – ISO 19011:2018

c) selecionar um método de amostragem;

d) determinar o tamanho da amostra a ser tomada;

e) conduzir a atividade de amostragem;

f) compilar, avaliar, relatar e documentar os resultados.

Ao amostrar, deve-se considerar a qualidade dos dados disponíveis, pois a amostragem de

dados insuficientes e imprecisos não fornecerá um resultado útil. A selecção de uma amostra
apropriada deve basear-se no método de amostragem e no tipo de dados requeridos, e. inferir
um determinado padrão de comportamento ou fazer inferências em uma população.

O relato da amostra selecionada poderia levar em consideração o tamanho da amostra, o

método de seleção e as estimativas feitas com base na amostra e no nível de confiança.

As auditorias podem usar amostragem baseada em julgamento (ver A.6.2) ou amostragem

estatística (ver A.6.3).

A.6.2 Amostragem baseada em julgamento

A amostragem baseada em julgamento depende da competência e experiência da equipe de

auditoria (vide Cláusula 7).

Para amostragem baseada em julgamento, pode-se considerar o seguinte:

a) experiência de auditoria anterior no escopo da auditoria;

b) complexidade dos requisitos (incluindo requisitos estatutários e regulamentares) para

alcançar os objetivos da auditoria,

c) complexidade e interação dos processos da organização e elementos do sistema de gestão,

d) grau de mudança na tecnologia, fator humano ou sistema de gestão;

e) riscos significativos e oportunidades de melhoria;

f) resultados do monitoramento de sistemas de gerenciamento.

Uma desvantagem da amostragem baseada em julgamento é que não pode haver estimativa
estatística do efeito da incerteza nos resultados da auditoria e nas conclusões alcançadas.

A.6.3 Amostragem estatística

Se for tomada a decisão de usar a amostragem estatística, o plano de amostragem deve se

basear nos objetivos da auditoria e no que se sabe sobre as características da população total
a partir da qual as amostras devem ser coletadas.

O desenho estatístico de amostragem utiliza um processo de seleção de amostras baseado na

teoria da probabilidade. A amostragem baseada em atributos é usada quando há apenas dois
resultados possíveis de amostra para cada amostra (por exemplo, correta / incorreta ou

www.target-q.com
6 Anexo A – ISO 19011:2018

aprovação / reprovação). A amostragem baseada em variáveis é usada quando os resultados

da amostra ocorrem em um intervalo contínuo.

O plano de amostragem deve levar em conta se os resultados que estão sendo examinados
tendem a ser baseados em atributos ou variáveis. Por exemplo, ao avaliar a conformidade dos
formulários preenchidos com os requisitos estabelecidos em um procedimento, uma
abordagem baseada em atributos poderia ser usada. Ao examinar a ocorrência de incidentes
de segurança alimentar ou o número de violações de segurança, uma abordagem baseada em
variáveis provavelmente seria mais apropriada.

Elementos que podem afetar o plano de amostragem da auditoria são:

a) o contexto, tamanho, natureza e complexidade da organização;

b) o número de auditores competentes;

c) a frequência das auditorias;

d) o tempo de auditoria individual;

e) qualquer nível de confiança requerido externamente;

f) a ocorrência de eventos indesejáveis e / ou inesperados.

Quando um plano de amostragem estatística é desenvolvido, o nível de risco de amostragem

que o auditor está disposto a aceitar é uma consideração importante. Isso é geralmente
chamado de nível de confiança aceitável. Por exemplo, um risco de amostragem de 5%
corresponde a um nível de confiança aceitável de 95%. Um risco de amostragem de 5%
significa que o auditor está disposto a aceitar o risco de que 5 de 100 (ou 1 em 20) das
amostras examinadas não reflitam os valores reais que seriam vistos se toda a população fosse
examinada.

Quando a amostragem estatística é usada, os auditores devem documentar adequadamente o

trabalho realizado. Isto deve incluir uma descrição da população que se pretende amostrar, os
critérios de amostragem utilizados para a avaliação (por exemplo, o que é uma amostra
aceitável), os parâmetros estatísticos e métodos utilizados, o número de amostras avaliadas e
os resultados obtidos.

A.7 Auditoria de conformidade dentro de um sistema de gestão

A equipe de auditoria deve considerar se o auditado possui processos eficazes para:

a) identificar seus requisitos estatutários e regulamentares e outros requisitos com os quais

está comprometido;

b) gerenciar suas atividades, produtos e serviços para alcançar a conformidade com esses
requisitos;

c) avaliar seu status de conformidade. Além da orientação genérica dada neste documento, ao
avaliar os processos que o auditado implementou para garantir a conformidade com os
requisitos relevantes, a equipe de auditoria deve considerar se o auditado:

www.target-q.com
7 Anexo A – ISO 19011:2018

1) tem um processo efetivo para identificar mudanças nos requisitos de conformidade e para
considerando-os como parte da gestão de mudança,

2) tem indivíduos competentes para gerenciar seus processos de conformidade;

3) mantém e fornece informações documentadas apropriadas sobre seu status de

conformidade, conforme exigido pelos reguladores ou outras partes interessadas;

4) inclui requisitos de conformidade em seu programa de auditoria interna;

5) aborda quaisquer casos de não conformidade;

6) considera o desempenho de conformidade em suas revisões de gerenciamento.

A.8 Auditando o Contexto

Muitos padrões de sistemas de gerenciamento exigem que uma organização determine seu
contexto, incluindo as necessidades e expectativas de partes interessadas relevantes e
questões externas e internas. Para fazer isso, uma organização pode usar várias técnicas para
análise e planejamento estratégico.

Os auditores devem confirmar que processos adequados foram desenvolvidos para isso e são
usados efetivamente, de modo que seus resultados forneçam uma base confiável para
determinar o escopo e o desenvolvimento do sistema de gestão. Para fazer isso, os auditores
devem considerar evidências objetivas relacionadas ao seguinte:

a) processo (s) ou método (s) utilizado (s);

b) a adequação e competência dos indivíduos que contribuem para o (s) processo (s);

c) os resultados do (s) processo (s);

d) a aplicação dos resultados para determinar o escopo e desenvolvimento do sistema de

gestão;

e) revisões periódicas do contexto, conforme apropriado.

Os auditores devem ter conhecimento específico do setor e compreensão das ferramentas de

gerenciamento que as organizações podem usar para fazer um julgamento sobre a eficácia dos
processos usados para determinar o contexto.

A.9 Auditoria de liderança e comprometimento

Muitos padrões de sistemas de gerenciamento aumentaram os requisitos para a alta

administração.

Esses requisitos incluem demonstrar comprometimento e liderança assumindo a

responsabilidade pela eficácia do sistema de gestão e cumprindo uma série de
responsabilidades. Isso inclui tarefas que a alta administração deve assumir e outras que
podem ser delegadas.

www.target-q.com
8 Anexo A – ISO 19011:2018

Os auditores devem obter evidências objetivas do grau em que a alta administração está
envolvida na tomada de decisões relacionadas ao sistema de gestão e como demonstra o
comprometimento em garantir sua eficácia. Isso pode ser obtido analisando os resultados de
processos relevantes (por exemplo, políticas, objetivos, recursos disponíveis, comunicações da
alta gerência) e entrevistando a equipe para determinar o grau de engajamento da alta
gerência.

Os auditores também devem procurar entrevistar a alta direção para confirmar se possuem
um entendimento adequado das questões específicas da disciplina relevantes para o seu
sistema de gestão, juntamente com o contexto no qual sua organização opera, para que
possam garantir que o sistema de gestão atinja seus resultados pretendidos.

Os auditores não devem se concentrar apenas na liderança no nível de gestão de alto nível,
mas devem também auditar a liderança e o comprometimento em outros níveis de
gerenciamento, conforme apropriado.

A.10 Auditoria de riscos e oportunidades

Como parte da atribuição de uma auditoria individual, a determinação e o gerenciamento do

risco e das oportunidades da organização podem ser incluídos. Os objetivos centrais para tal
tarefa de auditoria são:

- garantir a credibilidade do processo de identificação de riscos e oportunidades;

- garantir que os riscos e oportunidades sejam corretamente determinados e gerenciados;

- Revise como a organização aborda seus riscos e oportunidades determinados.

Uma auditoria da abordagem de uma organização para a determinação de riscos e

oportunidades não deve ser executada como uma atividade autônoma. Deve estar implícito
durante toda a auditoria de um sistema de gestão, inclusive ao entrevistar a alta gerência. Um
auditor deve agir de acordo com as seguintes etapas e coletar evidências objetivas como
segue:

a) insumos utilizados pela organização para determinar seus riscos e oportunidades, que
podem incluir:

- análise de questões externas e internas;

- a direção estratégica da organização;

- as partes interessadas, relacionadas ao seu sistema de gestão específico da disciplina e seus

requisitos, também

- fontes potenciais de risco, como aspectos ambientais e riscos de segurança, etc.

b) método pelo qual riscos e oportunidades são avaliados, que podem diferir entre disciplinas
e setores.

O tratamento que a organização faz de seus riscos e oportunidades, incluindo o nível de risco
que deseja aceitar e como ela é controlada, exigirá a aplicação do julgamento profissional pelo
auditor.

www.target-q.com
9 Anexo A – ISO 19011:2018

A.11 Ciclo de vida

Alguns sistemas de gerenciamento específicos da disciplina exigem a aplicação de uma

perspectiva de ciclo de vida em seus produtos e serviços. Os auditores não devem considerar
isso como um requisito para adotar uma abordagem de ciclo de vida. Uma perspectiva de ciclo
de vida envolve a consideração do controle e influência que a organização tem sobre as etapas
de seu ciclo de vida de produto e serviço. Os estágios de um ciclo de vida incluem a aquisição
de matérias-primas, projeto, produção, transporte / entrega, uso, tratamento de fim de vida e
disposição final. Essa abordagem permite que a organização identifique as áreas onde, ao
considerar seu escopo, pode minimizar seu impacto no meio ambiente, agregando valor à
organização. O auditor deve usar seu julgamento profissional sobre como a organização
aplicou uma perspectiva de ciclo de vida em termos de sua estratégia e:

a) vida do produto ou serviço;

b) influência da organização na cadeia de suprimentos;

c) comprimento da cadeia de suprimentos;

d) complexidade tecnológica do produto.

Se uma organização combinou vários sistemas de gestão em um único sistema de gestão para
atender às suas próprias necessidades, o auditor deve examinar cuidadosamente qualquer
sobreposição relativa à consideração do ciclo de vida.

A.12 Auditoria da cadeia de suprimentos

A auditoria da cadeia de suprimentos para requisitos específicos pode ser requerida. O

programa de auditoria do fornecedor deve ser desenvolvido com os critérios de auditoria
aplicáveis para o tipo de fornecedores e provedores externos. O escopo da auditoria da cadeia
de suprimentos pode diferir, por exemplo, Auditoria completa do sistema de gestão, auditoria
de processo único, auditoria de produtos, auditoria de configuração.

A.13 Preparação de documentos de trabalho de auditoria

Ao preparar documentos de trabalho de auditoria, a equipe de auditoria deve considerar as

questões abaixo para cada documento.

a) Qual registro de auditoria será criado usando este documento de trabalho?

b) Qual atividade de auditoria está vinculada a este documento de trabalho específico?

c) Quem será o usuário deste documento de trabalho?

d) Que informação é necessária para preparar este documento de trabalho?

Para auditorias combinadas, documentos de trabalho devem ser desenvolvidos para evitar a
duplicação de atividades de auditoria por:

- agrupamento de requisitos semelhantes de diferentes critérios;

www.target-q.com
10 Anexo A – ISO 19011:2018

- coordenar o conteúdo de listas de verificação e questionários relacionados.

Os documentos de trabalho de auditoria devem ser adequados para abordar todos os

elementos do sistema de gestão dentro do escopo da auditoria e podem ser fornecidos em
qualquer mídia.

A.14 Seleção de fontes de informação

As fontes de informação selecionadas podem variar de acordo com o escopo e a complexidade

da auditoria e podem incluir o seguinte:

a) entrevistas com funcionários e outros indivíduos;

b) observações de atividades e do ambiente de trabalho e condições circundantes;

c) informações documentadas, tais como políticas, objetivos, planos, procedimentos, padrões,

instruções, licenças e autorizações, especificações, desenhos, contratos e pedidos

d) registros, como registros de inspeção, atas de reuniões, relatórios de auditoria, registros de

monitoramento

e) resumos de dados, análises e indicadores de desempenho,

f) informações sobre os planos de amostragem do auditado e sobre quaisquer procedimentos

para o controle de amostragem e processos de medição,

g) relatórios de outras fontes, por exemplo feedback de clientes, pesquisas e medições

externas, outras informações relevantes de partes externas e classificações de provedores
externos,

h) bancos de dados e sites,

i) simulação e modelagem.

A.15 Visitar a localização do auditado

Para minimizar a interferência entre as atividades de auditoria e os processos de trabalho do

auditado e para garantir a saúde e segurança da equipe de auditoria durante uma visita, deve-
se considerar o seguinte:

a) Planejar a visita:

- garantir permissão e acesso às partes da localização do auditado, a serem visitadas de acordo

com o escopo da auditoria;

- fornecer informações adequadas aos auditores em matéria de segurança, saúde (por

exemplo, quarentena), saúde ocupacional e segurança e normas culturais e horas de trabalho
para a visita, incluindo vacinas e liberações solicitadas e recomendadas, se aplicável;

- confirmar com o auditado que qualquer proteção pessoal exigida equipamento (PPE) estará
disponível para a equipe de auditoria, se aplicável;

www.target-q.com
11 Anexo A – ISO 19011:2018

- confirmar os arranjos com o auditado sobre o uso de dispositivos móveis e câmeras,

incluindo informações como fotos de locais e equipamentos, cópias de fotos ou fotocópias de
documentos, vídeos. de atividades e entrevistas, levando em consideração questões de
segurança e confidencialidade

- exceto para auditorias ad hoc não programadas, assegure que o pessoal que está sendo
visitado seja informado sobre os objetivos e escopo da auditoria.

b) Atividades no local:

- evitar qualquer perturbação desnecessária de os processos operacionais;

- garantir que a equipe de auditoria esteja usando o EPI adequadamente (se aplicável);

- garantir que os procedimentos de emergência sejam comunicados (por exemplo, saídas de

emergência, pontos de montagem);

- programar a comunicação para minimizar a interrupção;

- adaptar o tamanho da equipe de auditoria e o número de guias e observadores de acordo

com o escopo da auditoria, a fim de evitar interferências nos processos operacionais, na
medida do possível

- não tocar ou manipular qualquer equipamento, a menos que explicitamente permitido,

mesmo quando competente ou licenciado - se ocorrer um incidente durante a visita in loco, o
líder da equipe de auditoria deve revisar a situação com o auditado e, se necessário, com o
cliente de auditoria e chegar a um acordo sobre se a auditoria deve ser interrompida,
remarcada ou continuação:

- se estiver tirando cópias de documentos em qualquer mídia, peça permissão

antecipadamente e considere os assuntos de confidencialidade e segurança,

- ao tomar notas, evite coletar informações pessoais, a menos que isso seja exigido pelos
objetivos da auditoria ou pelos critérios de auditoria.

c) Atividades de auditoria virtual:

- garantir que a equipe de auditoria esteja usando protocolos de acesso remoto acordados,
incluindo dispositivos solicitados, software, etc.

- se estiver fazendo cópias de documentos de qualquer tipo, peça permissão antecipadamente

e considere questões de segurança e confidencialidade e evitar registrar indivíduos sem sua
permissão

- se ocorrer um incidente durante o acesso remoto, o líder da equipe de auditoria deve rever a
situação com o auditado e, se necessário, com o cliente de auditoria e chegar a um acordo
sobre se a auditoria deve ser interrompida. ou continuar

- use plantas / diagramas do local remoto para referência

- mantenha o respeito pela privacidade durante os intervalos de auditoria.

www.target-q.com
12 Anexo A – ISO 19011:2018

É necessário considerar a disposição de informações e evidências de auditoria,

independentemente do tipo de mídia, em uma data posterior, uma vez que a necessidade de
sua retenção tenha expirado.

A.16 Auditoria de atividades e locais virtuais

As auditorias virtuais são realizadas quando uma organização realiza um trabalho ou fornece
um serviço usando um ambiente on-line, permitindo que pessoas, independentemente de
locais físicos, executem processos (por exemplo, intranet da empresa, uma “nuvem de
computação”). A auditoria de um local virtual às vezes é chamada de auditoria virtual.
Auditorias remotas referem-se ao uso de tecnologia para coletar informações, entrevistar um
auditado, etc., quando os métodos “cara-a-cara” não são possíveis ou desejados.

Uma auditoria virtual segue o processo de auditoria padrão enquanto usa a tecnologia para
verificar evidências objetivas. O auditado e a equipe de auditoria devem garantir requisitos
tecnológicos apropriados para auditorias virtuais, que podem incluir:

- garantir que a equipe de auditoria esteja usando protocolos de acesso remoto acordados,
incluindo dispositivos solicitados, software etc.

- realizar verificações técnicas antes da auditoria para resolver problemas técnicos

- garantir que os planos de contingência estejam disponíveis e sejam comunicados (por

exemplo, interrupção do acesso, uso de tecnologia alternativa), incluindo a previsão de tempo
extra de auditoria, se necessário.

A competência do auditor deve incluir:

- habilidades técnicas para usar o equipamento eletrônico apropriado e outras tecnologias

durante a auditoria;

- Experiência em facilitar as reuniões virtualmente para realizar a auditoria remotamente.

Ao conduzir a reunião de abertura ou a auditoria virtualmente, o auditor deve considerar e os

seguintes itens:

- riscos associados a auditorias virtuais ou remotas;

- usando plantas / diagramas de locais remotos para referência ou mapeamento de

informações eletrônicas;

- facilitar a prevenção de interrupções e interrupções do ruído de fundo;

- solicitar permissão antecipadamente para fazer cópias de documentos de captura de tela ou

qualquer tipo de gravação, e considerar questões de confidencialidade e segurança;

- garantir a confidencialidade e a privacidade durante os intervalos de auditoria, por exemplo,

silenciando microfones, pausando as câmeras.

www.target-q.com
13 Anexo A – ISO 19011:2018

A.17 Condução de entrevistas

As entrevistas são um meio importante de coletar informações e devem ser realizadas de

maneira adaptada à situação e ao indivíduo entrevistado, seja frente a frente ou por outros
meios de comunicação. Contudo, o auditor deve considerar o seguinte:

a) as entrevistas devem ser realizadas com indivíduos de níveis e funções apropriados,

realizando atividades ou tarefas dentro do escopo da auditoria,

b) entrevistas devem ser normalmente conduzidas durante o horário normal de trabalho e,

quando praticável, no horário normal. local de trabalho do indivíduo a ser entrevistado

c) devem ser feitas tentativas para colocar o indivíduo que está sendo entrevistado à vontade
antes e durante a entrevista,

d) a razão da entrevista e qualquer anotação deve ser explicada

e) as entrevistas podem ser iniciadas pedir que os indivíduos descrevam o seu trabalho;

f) o tipo de pergunta usado deve ser cuidadosamente selecionado (por exemplo, perguntas
abertas e fechadas, perguntas de apreciação);

g) consciência da limitada comunicação não verbal em ambientes virtuais; em vez disso, o foco
deve estar no tipo de perguntas a serem usadas na busca de evidências objetivas;

h) os resultados da entrevista devem ser resumidos e revisados com o entrevistado:

i) os indivíduos entrevistados devem ser agradecidos por sua participação e cooperação.

A.18 Resultados da auditoria

A.18.1 Determinação dos resultados da auditoria

Ao determinar as constatações da auditoria, deve-se considerar o seguinte:

a) acompanhamento de registros e conclusões anteriores da auditoria;

b) requisitos do cliente de auditoria;

c) precisão, suficiência e adequação da evidência objetiva para apoiar os resultados da

auditoria;

d) medida em que as atividades de auditoria planejadas são realizadas e os resultados

planejados são alcançados;

e) descobertas que excedam a prática normal ou oportunidades de melhoria;

f) tamanho da amostra;

g) categorização (se houver) dos resultados da auditoria.

www.target-q.com
14 Anexo A – ISO 19011:2018

A.18.2 Conformidade de gravação

Para os registros de conformidade, deve-se considerar o seguinte:

a) descrição ou referência a critérios de auditoria contra os quais a conformidade é mostrada;

b) evidência de auditoria para apoiar a conformidade e a eficácia, se aplicável;

c) declaração de conformidade, se aplicável.

A.18.3 Registro de não-conformidades

Para os registros de não-conformidade, deve-se considerar o seguinte:

a) descrição ou referência aos critérios de auditoria;

b) evidência de auditoria;

c) declaração de não conformidade;

d) resultados de auditoria relacionados, se aplicável.

A.18.4 Lidando com descobertas relacionadas a múltiplos critérios

Durante uma auditoria, é possível identificar achados relacionados a múltiplos critérios.

Quando um auditor identifica uma constatação vinculada a um critério em uma auditoria
combinada, o auditor deve considerar o possível impacto nos critérios correspondentes ou
similares dos outros sistemas de gestão.

Dependendo dos acordos com o cliente de auditoria, o auditor pode levantar:

a) conclusões separadas para cada critério; ou

b) uma única descoberta, combinando as referências a vários critérios.

Dependendo dos acordos com o cliente de auditoria, o auditor pode orientar o auditado sobre
como

www.target-q.com