Este documento é obrigatório para a aplicação consistente da ISO/IEC 17021 pelos Organismos de Certificação (OC) ao planejar e realizar Auditorias de Sistemas de Gestão Integrados (SGI).
0. INTRODUÇÃO
Este documento fornece requisitos para a aplicação da ISO/IEC 17021 para o planejamento e realização de auditorias de SGI e, se for o caso, a certificação do sistema de gestão de uma organização contra dois ou mais conjuntos de critérios/normas de auditoria. Todas as cláusulas da ISO/IEC 17021 continuam a ser aplicadas e este documento não acrescenta ou substitui qualquer um dos requisitos nesta norma.
0.1. Este documento pode não ser aplicável a normas setoriais específicas baseadas na norma ISO 9001.
0.2. Deve ser ressaltado que o Anexo ao final deste documento também faz parte destes requisitos, devendo ser entendido dessa forma.
1. DEFINIÇÕES
Para os efeitos deste documento, aplicam-se as seguintes definições:
1.1. Auditoria de Sistema Integrado de Gestão: auditoria do sistema de gestão de uma organização realizada simultaneamente com base em dois ou mais conjuntos de critérios de auditoria/normas.
1.2. Sistema Integrado de Gestão: Um sistema de gestão único para gerenciar vários aspectos do desempenho organizacional para atender aos requisitos de mais de uma norma de gestão, em um determinado nível de integração (1.3). Um sistema de gestão pode consistir em um sistema combinado de diversos sistemas de gestão distintos, para cada conjunto de critérios de auditoria/normas, até um Sistema Integrado de Gestão compartilhando em um único sistema, documentação, elementos de sistema de gestão e responsabilidades.
1.3. Nível de Integração: nível em que uma organização utiliza um sistema de gestão único para gerenciar múltiplos aspectos do desempenho organizacional para atender aos requisitos de mais de um sistema de gestão padrão. Integração refere-se ao sistema de gestão, sendo capaz de integrar a documentação, elementos do sistema de gestão adequado e responsabilidades em relação a dois ou mais conjuntos de padrões/critérios de auditoria.
Nota: Critérios de auditoria representam as normas de sistema de gestão utilizadas como base para certificação e avaliação da conformidade (ex. ISO 9001, ISO 14001, ISO/IEC 20000, ISO 22000, ISO/IEC 27001 etc.).
2. APLICAÇÃO
2.1. O Organismo de Certificação deve assegurar que:
2.1.1. Ao definir o programa de auditoria, seja considerado o nível de integração dos sistemas de gestão.
2.1.2. Os planos de auditoria cubram todas as áreas e atividades aplicáveis para cada norma/especificação do sistema de gestão abrangidos pelo âmbito de aplicação da auditoria, e sejam conduzidas por auditores competentes.
2.1.3. A equipe de auditoria como um todo atenda aos requisitos de competência, estabelecidos pelo Organismo de Certificação, para cada área técnica, relevantes para cada norma/especificação de sistema gestão abrangida pelo escopo da auditoria do SIG.
2.1.4. A auditoria será conduzida por um líder, competente em pelo menos uma das normas/especificações de auditoria.
2.1.5. Tempo suficiente seja alocado para realizar uma auditoria completa e eficaz do sistema de gestão da organização para o sistema de gestão das normas/especificações abrangidas pelo âmbito da auditoria.
2.1.5.1. Ao determinar o tempo de auditoria para uma auditoria de um SIG abrangendo duas ou mais normas de sistema de gestão/especificações, por exemplo, A + B + C, o Organismo de Certificação deve:
a) calcular o tempo de auditoria necessário para cada norma/especificação de sistema de gestão separadamente (aplicação de todos os fatores relevantes previstos pelos documentos e/ou regras do esquema de certificação para cada padrão, ex., IAF MD5, ISO/TS 22003, ISO/IEC 27006);
b) calcular o ponto de partida (T) para a duração da auditoria do SIG, adicionando a soma das partes individuais (ex. T = A + B + C);
c) ajustar a figura do ponto de partida, considerando os fatores que podem aumentar ou reduzir (ver Anexo 1) o tempo necessário para a auditoria.
Os fatores de redução devem incluir, mas não se limitar a:
i) A extensão do nível de integração do sistema de gestão da organização;
ii) A capacidade do pessoal da organização em responder perguntas sobre mais de uma norma de sistema de gestão; e
iii) A disponibilidade de auditor(es) competente(s) para examinar mais de um sistema de gestão padrão/especificação.
Os fatores de acréscimo devem incluir, mas não se limitar a:
i) A complexidade da auditoria de um SIG, em comparação com auditorias de sistemas de gestão únicos.
d) informar ao cliente que a duração da auditoria de SGI baseada no nível de integração declarado do sistema de gestão da organização pode estar sujeita a ajustes com base na confirmação do nível de integração na auditoria de fase 1 e em auditorias subsequentes.
2.1.5.2. A auditoria de um SIG pode resultar em aumento do tempo de auditoria, mas quando resultar em sua redução, esta não poderá ultrapassar a 20% do ponto de partida T (2.1.5.1b).
2.1.5.3. A figura de ponto de partida e a justificativa para o acréscimo ou redução de tempo devem ser documentados.
2.2. Os documentos aplicáveis existentes (por exemplo, documentos obrigatórios IAF) relativos a normas/especificações de auditorias de sistemas de gestão devem ser considerados ao elaborar a programação de auditorias e planos de auditoria para um SIG.
2.3. Todos os requisitos aplicáveis de cada norma/especificação de sistema de gestão pertinentes ao
escopo do SIG deverão ser auditados.
2.4. Relatórios de auditoria podem ser integrados ou separados, no que diz respeito aos sistemas de gestão auditados. Cada constatação apontada em um relatório integrado deve ser rastreável em relação à norma/especificação de sistema de gestão correspondente.
2.5. O Organismo de Certificação deve considerar o impacto que uma não conformidade encontrada em relação a uma das normas/especificações do sistema de gestão terá sobre a conformidade com outras normas/especificações do sistema de gestão.
3. AUDITORIA INICIAL E CERTIFICAÇÃO
3.1. Solicitação do Cliente
Deverá incluir informações relativas ao nível de integração, incluindo o nível de integração de documentos, elementos do sistema de gestão e responsabilidades (ver Anexo 1).
3.2. Auditoria de Fase 1
Durante a Auditoria de Fase 1, a equipe de auditoria deve confirmar o nível de integração do SIG. O Organismo de Certificação deve rever e modificar, se necessário, o tempo de duração da auditoria baseado nas informações fornecidas durante a etapa de análise da solicitação.
4. ATIVIDADES DE SUPERVISÃO E RECERTIFICAÇÃO
O Organismo de Certificação deve confirmar que o nível de integração permaneça inalterado durante todo o ciclo de certificação, para assegurar que os tempos de duração de auditoria estabelecidos ainda continuam aplicáveis.
5. SUSPENSÃO, REDUÇÃO, CANCELAMENTO
Se a certificação com base em uma ou mais normas/especificações de sistema de gestão for objeto de suspensão, redução ou cancelamento, o Organismo de Certificação deve avaliar o impacto disto sobre a certificação nas outras normas/especificações de sistema de gestão.
Figura 1 – REDUÇÃO DO TEMPO DE AUDITORIA
A figura 1 ilustra a redução (%) no tempo de duração de uma auditoria integrada e sua relação com:
Eixo Vertical: nível de integração do sistema de gestão de uma organização (ver abaixo) que deve incluir a consideração da capacidade da organização auditada em responder a perguntas com multi- aspectos. Um Sistema Integrado de Gestão resulta de quando uma organização utiliza um sistema de gestão único para gerenciar vários aspectos do desempenho organizacional. Este é caracterizado por (mas não se limita a):
1. Um conjunto integrado de documentação, incluindo instruções de trabalho para um bom nível de desenvolvimento, conforme apropriado;
2. Análises críticas da direção considerando a estratégia geral e o plano de negócios;
3. Uma abordagem integrada de auditorias internas;
4. Uma abordagem integrada de políticas e objetivos;
5. Uma abordagem integrada de processos de sistemas;
6. Uma abordagem integrada de mecanismos de aperfeiçoamento (ações corretivas e preventivas;
monitoramento e melhoria contínua); e
7. Gestão integrada de suporte e responsabilidades.
O Organismo de Certificação tem que decidir o percentual de nível de integração baseado na medida pela qual o sistema de gestão da organização atenda aos critérios acima.
e com
Eixo Horizontal: a medida dada como uma razão a ser multiplicada por um fator de 100 a fim de se obter o valor usado como percentual, na qual cada membro individual da equipe de auditoria está qualificado:
100 ((X1-1) + (X2-1) + (X3-1) + (Xn-1)) Z(Y-1)
Onde
X1, 2, 3…n é o número de normas nas quais um auditor está qualificado para o escopo relevante da auditoria integrada;
Y é o número de normas de sistema de gestão a ser coberto pela auditoria integrada;
Z é o número de auditores.
Exemplo:
Uma equipe de auditoria integrada composta de três auditores que abrangem três diferentes normas de sistema de gestão. Um auditor está qualificado para todas as três normas, um auditor está qualificado para duas das normas e outro auditor está qualificado para uma única norma.
O valor percentual a ser utilizado para o eixo horizontal é:
100 ((3-1) + (2-1) + (1-1)) = 50 % 3(3-1)
Dada a competência disponível de cada auditor em mais de um conjunto de critérios/normas de auditoria, ganhos de eficiência irão para o cômputo da possível redução de tempo na fórmula acima.
Estes incluem:
1. Tempo ganho com a realização de uma única reunião de abertura e encerramento;
2. Tempo ganho pela elaboração de um único relatório de auditoria integrada;
3. Tempo ganho com otimização da logística;
4. Tempo ganho em reuniões de equipe de auditores; e
5. Tempo ganho auditando elementos comuns, simultaneamente, por exemplo, controle de documentos.
/ANEXO H
ANEXO H - APLICAÇÃO DA ISO/IEC 17021:2011 NO SETOR DE GESTÃO DE SERVIÇOS (ISO/IEC 20000-1) - (IAF MD 18:2015)
Este documento é obrigatório para a aplicação consistente da ISO/IEC 17021. Todas as cláusulas da ISO/IEC 17021 permanecem aplicáveis e este documento não substitui nenhum dos requisitos daquela norma.
1. ESCOPO
Este documento oferece orientação para organismos que fornecem auditoria e certificação de sistemas de gestão de serviços de tecnologia da informação (SGSTI, ISO/IEC 20000-1:2011), e especifica requisitos adicionais aos requisitos contidos na ISO/IEC 17021. Ele é voltado basicamente a auxiliar na acreditação de organismos que fornecem certificação de SGSTI.
2. REFERÊNCIAS NORMATIVAS
ISO/IEC 20000-1:2011 Tecnologia da Informação – Gestão de Serviços – Parte 1: Requisitos de Sistemas de Gestão de Serviços
ISO/IEC 17021:2011 Avaliação da Conformidade – Requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão
3. TERMOS E DEFINIÇÕES
Os termos e definições da ISO/IEC 17021, Cláusula 3, e da ISO/IEC 20000-1 permanecem aplicáveis.
4. PRINCÍPIOS
Os princípios da ISO/IEC 17021, Cláusula 4, permanecem aplicáveis.
5. REQUISITOS GERAIS
Os requisitos da ISO/IEC 17021, Cláusula 5, permanecem aplicáveis.
6. REQUISITOS ESTRUTURAIS
Os requisitos da ISO/IEC 17021, Cláusula 6, permanecem aplicáveis.
7. REQUISITOS DE RECURSOS
Os requisitos da ISO/IEC 17021, Cláusulas 7.1 a 7.2.7 permanecem aplicáveis.
Nota: ISO/IEC 17021 Anexo A - Os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
Os requisitos da ISO/IEC 17021, Cláusula 7.2.8, permanecem aplicáveis. Além disso, os requisitos específicos de SGSTI e orientações a seguir, também são aplicáveis.
O OAC deve oferecer oportunidade de desenvolvimento profissional contínuo para o pessoal de certificação, de modo a manter e aprimorar sua competência na certificação ISO/IEC 20000. Em particular, o organismo deve assegurar que os auditores mantenham-se permanentemente
atualizados no conhecimento de práticas de gestão de serviços e de requisitos regulatórios relevantes.
Desenvolvimento profissional contínuo pode, por exemplo, incluir, mas não se restringir, a:
i. experiência profissional complementar;
ii. participação em cursos de treinamento;
iii. coaching;
iv. estudo individual; e
v. participação em eventos, seminários ou outras atividades relevantes.
Os requisitos da ISO/IEC 17021, Cláusulas 7.2.9 a 7.5, permanecem aplicáveis.
8. REQUISITOS DE INFORMAÇÃO
Os requisitos da ISO/IEC 17021, Cláusulas 8.1 a 8.4, permanecem aplicáveis.
8.5. Confidencialidade
Os requisitos da ISO/IEC 17021, Cláusula 8.5, permanecem aplicáveis. Além disso, os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
Antes da auditoria de certificação, o Organismo de Certificação deve solicitar à organização cliente que informe se quaisquer registros do SGSTI não estarão disponíveis para análise pela equipe de auditoria, por conterem informações confidenciais ou sensíveis, e que seja apresentada uma justificativa correspondente. O Organismo de Certificação deve determinar e registrar se o SGSTI pode ser adequadamente auditado na ausência destas informações confidenciais e detalhar o racional correspondente. Se o Organismo de Certificação concluir que não será possível auditar adequadamente o SGSTI sem analisar os registros confidenciais ou sensíveis indicados, deverá alertar a organização cliente que a auditoria de certificação não poderá se realizar até que sejam concedidas garantias de acesso adequado.
Nota: Alternativamente, um intermediário que possua competência adequada e o necessário nível de acesso para ver as informações confidenciais ou sensíveis pode ser utilizado para conferir os registros e confirmar, ou não, a informação requerida. Este intermediário deve ser aceito tanto pelo OAC quanto pelo seu cliente. Entretanto, este intermediário deve possuir independência em relação à organização cliente.
Os requisitos da ISO/IEC 17021, Cláusula 8.6, permanecem aplicáveis.
9. REQUISITOS DE PROCESSO 9.1. Requisitos gerais
Os requisitos da ISO/IEC 17021, Cláusulas 9.1.1 e 9.1.3, permanecem aplicáveis.
9.1.2. Os requisitos da ISO/IEC 17021, Cláusula 9.1.2, permanecem aplicáveis. Além disso, os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
A equipe auditora deve auditar o SGSTI da organização cliente coberto pelo escopo definido, contra todos os requisitos de certificação aplicáveis. O Organismo de Certificação deve assegurar que o escopo e limites do SGSTI da organização cliente estejam claramente definidos em termos das características do negócio, da organização, de sua localização, bens e tecnologia e nos termos da
ISO/IEC 20000-3. O organismo de certificação deve confirmar que a organização cliente segue os requisitos declarados no escopo de seu SGSTI.
9.1.4. Os requisitos da ISO/IEC 17021, Cláusula 9.1.4, permanecem aplicáveis. Além disso, os requisitos específicos de SGSTI e orientações a seguir, são aplicáveis.
O tempo alocado deve considerar os seguintes fatores específicos de SGSTI:
i. tamanho do escopo do SGSTI;
ii. complexidade do SGSTI e a complexidade do(s) serviço(s) prestado(s) pela organização cliente;
iii. natureza do(s) negócios realizado(s) no âmbito do escopo do SGSTI;
iv. extensão e diversidade da tecnologia utilizada na implementação dos diversos componentes do SGSTI;
v. número de sites;
vi. desempenho previamente demonstrado do SGSTI;
vii. abrangência dos SLAs e acordos de terceira parte utilizados dentro do escopo do SGSTI;
viii. normas e regulamentos aplicáveis à certificação; e
ix. número de outras partes envolvidas, tais como fornecedores, grupos internos ou consumidores agindo como fornecedores, envolvidos na prestação dos serviços.
9.1.5. Os requisitos da ISO/IEC 17021, Cláusula 9.1.5, permanecem aplicáveis. Além disso, os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
Os requisitos do documento mandatório IAF MD1 para Certificação de multisites baseada em Amostragem, Cláusulas 0 a 5.2, permanecem aplicáveis. Quando uma organização multisite opera alguns processos ou atividades distintos em diferentes sites, ou uma combinação de sites, o Organismo de Certificação precisa justificar e documentar o racional utilizado para qualquer amostragem que decida implementar durante a certificação do sistema de gestão. Isto deve demonstrar como pode ser obtido o mesmo nível de confiança na conformidade do sistema de gestão por entre todos os sites. Também deve ser dada atenção à auditoria de “localizações virtuais”, p. ex. sites temporários, sites online etc., onde a amostragem pode ser, ou não, adequada.
Os requisitos da ISO/IEC 17021, Cláusulas 9.1.6 a 9.1.9, permanecem aplicáveis.
9.1.10. Os requisitos da ISO/IEC 17021, Cláusula 9.1.10, permanecem aplicáveis. Além disso, os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
O relatório de auditoria de certificação deve trazer informações sobre a identificação, avaliação e gestão de riscos dos serviços da organização cliente de TI.
Os requisitos da ISO/IEC 17021, Cláusulas 9.1.11 a 9.1.15, permanecem aplicáveis.
9.2. Auditoria inicial e certificação
Os requisitos da ISO/IEC 17021, Cláusulas 9.2.1 a 9.2.2, permanecem aplicáveis.
9.2.3. Auditoria de certificação inicial 9.2.3.1. Auditoria fase 1
9.2.3.1.1. Os requisitos da ISO/IEC 17021, Cláusula 9.2.3.1.1, permanecem aplicáveis. Além disso, os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
Nesta fase da auditoria, o Organismo de Certificação deve obter documentação sobre o projeto do SGSTI abrangendo a documentação requerida na Cláusula 4.3.1 da ISO/IEC 20000-1.
O objetivo da auditoria fase 1 é dar foco no planejamento da auditoria fase 2 a partir do entendimento do SGSTI obtido no contexto das políticas e objetivos de SGSTI da organização cliente e, em particular, sobre o estágio de preparação da organização cliente para auditoria.
A auditoria fase 1 deve incluir, mas não se restringir à análise da documentação. O Organismo de Certificação deve acertar com a organização cliente quando e onde a análise da documentação será realizada. Em qualquer caso, a análise da documentação deve ser concluída antes do início da auditoria fase 2.
Os resultados da auditoria fase 1 devem ser documentados em um relatório escrito. O Organismo de Certificação deve analisar o relatório de auditoria fase 1 para decidir se prosseguirá com a auditoria fase 2, e para selecionar os membros da equipe de auditoria fase 2 com a necessária competência.
O Organismo de Certificação deve manter a organização cliente ciente dos demais tipos de informação e registros que podem ser requeridos para verificação detalhada durante a auditoria fase 2.
Os requisitos da ISO/IEC 17021, Cláusulas 9.2.3.1.2 e 9.2.3.1.3, permanecem aplicáveis.
9.2.3.2. Auditoria fase 2
Os requisitos da ISO/IEC 17021, Cláusula 9.2.3.2, permanecem aplicáveis. Além disso, os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
A auditoria deve manter foco nos seguintes aspectos da organização cliente:
i. requisitos de documentação relacionados na Cláusula 4.3.1 da ISO/IEC 20000-1;
ii. eficácia dos controles de execução, monitoramento, medição e análise dos objetivos de planos e processos de gestão de serviços;
iii. auditorias internas e análises críticas do SGSTI; e iv. responsabilidade da administração pelas políticas.
Os requisitos da ISO/IEC 17021, Cláusulas 9.2.4 e 9.2.5, permanecem aplicáveis.
Os requisitos da ISO/IEC 17021, Cláusulas 9.3 a 9.9, permanecem aplicáveis.
10. REQUISITOS DE SISTEMAS DE GESTÃO PARA ORGANISMOS DE CERTIFICAÇÃO Os requisitos da ISO/IEC 17021, Cláusula 10, permanecem aplicáveis.
/ANEXO I
ANEXO I - DOCUMENTO MANDATÓRIO DO IAF PARA A AUDITORIA E CERTIFICAÇÃO DE UM