(QUANDO A AMOSTRAGEM DO SITE NÃO É APLICÁVEL) (IAF MD 19:2016)
1. INTRODUÇÃO
Este documento é para a auditoria e, se apropriado, certificação de Sistema de Gestão de organizações com uma rede de sites que fazem parte do esquema de certificação, porém onde a amostragem de sites não é aplicável. O objetivo é garantir que a auditoria forneça confiança adequada na implementação do sistema de gestão para a norma relevante em todos os sites listados e que a auditoria é igualmente prática e viável em termos econômicos e operacionais.
2. DEFINIÇÕES
2.1 Organização
Pessoa ou grupo de pessoas que tem suas próprias funções com responsabilidades, autoridades e relacionamentos para alcançar seus objetivos.(Fonte: Definição 3.1 do Anexo SL de Diretivas ISO) 2.2 Local permanente
Local (físico ou virtual) onde uma organização cliente executa trabalho ou fornece um serviço continuado. (Fonte: ISO/IEC TS 17023: 2013)
2.3 Local temporário
Local (físico ou virtual) onde uma organização cliente realiza trabalho específico ou fornece um serviço por um período finito de tempo e não se destina a tornar-se um site permanente. (Fonte:
ISO/IEC TS 17023: 2013) 2.4 Organização multi-site
Uma organização abrangida por um único sistema de gestão que compreende uma função central (não necessariamente a sede da organização) em que certas atividades são planejadas, controladas e uma rede de sites (permanente, temporário ou virtual) em que tais atividades são realizadas total ou parcialmente.
2.5 Função central
A função que é responsável e controla centralmente o Sistema de Gestão.
Nota: A função Central é onde o controle e a autoridade do gerenciamento superior da organização são exercidos em cada site.
2.6 Site virtual
Ambiente on-line que permite que pessoas de locais físicos diferentes executem Processos.
Nota 1: Um exemplo desse site virtual é uma organização de design e desenvolvimento com todos os funcionários executando trabalho localizado remotamente, trabalhando em um ambiente em nuvem.
Nota 2: Um site não pode ser considerado um site virtual onde os processos devem ser executados em um ambiente físico, por exemplo, armazenagem, fabricação, testes físicos, laboratórios, instalação ou reparação de produtos físicos.
Nota 3: Um site virtual é considerado um único site para o propósito de cálculo do Tempo de Auditoria.
2.7 Processo Primário
Processo diretamente relacionado a produtos ou atividades, onde qualquer falha impacta diretamente na conformidade relacionada ao objetivo dos documentos normativos aplicáveis.
Nota: Tais processos, às vezes, são referenciados como “processos principais ou de maior valor agregado”, normalmente abordados no Anexo SL nos termos da Cláusula 8.
2.8 Processo Secundário
Processo de suporte que não tem impacto direto sobre a conformidade em relação ao objetivo dos documentos normativos aplicáveis.
3. ANÁLISE DA ABRANGÊNCIA
Este documento aborda auditoria (para fins de certificação da terceira parte) de uma Organização que realiza atividades planejadas, controladas e realizadas por uma rede multi-sites, independentemente de serem permanentes, temporários ou virtuais.
Qualquer site pode realizar total ou parcialmente as atividades abrangidas pelo escopo do Sistema de Gestão.
No entanto, este documento aborda a situação em que a aplicação da amostragem multi-site não é apropriada durante o planejamento e a condução da auditoria. Podem haver várias razões para isso, tais como:
- todos os sites realizam atividades significativamente diferentes;
- o cliente solicita que cada site seja auditado;
- existe um esquema setorial ou requisito regulatório que determina que cada site deva ser auditado sistematicamente.
Quaisquer considerações legais relativas ao sistema de gestão da organização que sejam aplicadas a uma única entidade jurídica ou múltiplas entidades legais são geralmente irrelevantes para a auditoria de sistema de gestão, e, salvo indicação em contrário, não estão cobertos no presente documento.
É o Sistema de Gestão da organização que deve ser auditado e certificado; além disso, por definição, uma auditoria do Sistema de Gestão é baseada apenas em uma amostragem de informação disponível.
Se tomarmos o exemplo de uma auditoria SGQ de uma organização de fabricação com 4 diferentes linhas de produção. Todos os 4 precisarão ser auditados independentemente do fato de estarem em um site único ou em locais a quilômetros de distância; mesmo se a logística da auditoria necessite ser adequada às distâncias geográficas, o tempo de auditoria no local não deve variar significativamente.
Antes da auditoria, o Organismo de certificação é responsável por obter o entendimento correto de onde e como a organização está realizando as diferentes atividades no âmbito do escopo do Sistema de gestão para poder planejar e realizar auditorias eficientes e eficazes.
Critérios-chave para garantir o planejamento efetivo e a implementação de um programa de auditoria incluem:
- obtenção de conhecimento na fase de planejamento do Sistema de Gestão - elementos / processos / atividades que são realizados e em qual site;
- determinar os fatores críticos a serem avaliados para uma auditoria eficiente e efetiva, dependendo do tipo de sistema de gestão que está sendo auditado;
- selecionar os membros da equipe de auditoria tendo em conta o acima;
- atribuição de tempo de auditoria no local suficiente
4. METODOLOGIA PARA AUDITORIA E CERTIFICAÇÃO 4.1 Geral
4.1.1 Todos os requisitos adequados da ISO/IEC 17021-1 devem ser aplicados, além das Metodologias abaixo.
4.2 Elegibilidade para Certificação
4.2.1 A organização deve identificar a sua função central responsável pelo sistema de gestão.
4.2.2 A função central deve ter autoridade organizacional para definir, estabelecer e manter o sistema de gestão.
4.2.3 O sistema de gestão da organização deve estar sujeito a uma análise crítica.
4.2.4 Todos os sites devem estar sujeitos ao programa de auditoria interna da organização.
4.2.5 A função central será responsável por garantir que os dados sejam coletados e analisados de todos os sites e deve ser capaz de demonstrar sua autoridade e capacidade de iniciar mudanças organizacionais conforme exigido, no entanto, não limitado a:
I – documentação do sistema e alterações do sistema;
ii – análise crítica;
iii – reclamações;
iv – análise de ações corretivas;
v - planejamento de auditoria interna e análise dos resultados;
vi – requisitos estatutários e regulamentares relativos às Normas.
4.3 Análise da Solicitação e Programa de Auditoria
4.3.1 O Organismo de certificação deve obter informações relevantes sobre a organização para:
- determinar o escopo do sistema de gestão que está sendo operado e o escopo solicitado da certificação;
- compreender os acordos legais e contratuais que ligam os diferentes sites implementando o Sistema de Gestão;
- entender “o que acontece e onde”, ou seja, determinar interfaces entre os diferentes sites e atividades e identificar qualquer duplicação de atividades em sites separados;
- levar em consideração outros fatores relevantes (ver também IAF MD5, ISO/IEC TS 17023);
- determinar o tempo de auditoria e determinar a competência da equipe de auditoria necessária;
- determinar o programa de auditoria.
4.3.2 Ao determinar o programa de auditoria, o Organismo de Certificação deve considerar um tempo adicional suficiente para cobrir atividades que não fazem parte do tempo de auditoria calculado, como viagem, comunicação entre membros da equipe de auditoria, reuniões de abertura no local e encerramento, reuniões pós-auditoria, etc., devido à configuração específica da organização a ser auditada.
Nota: técnicas de auditoria remotas podem ser usadas, desde que os processos a serem auditados sejam de tal natureza que a auditoria remota seja apropriada (veja ISO/IEC 17021-1).
4.3.3 O Organismo de Certificação deve considerar a necessidade de realizar a Fase 1 em mais de um site, para obter a informação exigida no Requisito 9.3.1.2.2 de ISO/IEC 17021-1.
4.3.4 O Organismo de Certificação, em colaboração com a organização, deve identificar todos os processos de sistema de gestão implementado em cada site (com base no escopo da certificação), incluindo Processos Primários, processos de avaliação e melhoria de desempenho e Processos Secundários.
Em cada ciclo de certificação, o programa de auditoria deve:
i. Incluir durante cada auditoria todos os Processos Primários, conforme desempenho de cada site;
ii. Incluir todos os processos de Avaliação e Melhoria do Desempenho durante cada Auditoria inicial e de recertificação e pelo menos uma outra vez durante uma auditoria de supervisão em cada ciclo de certificação;
iii. Incluir os Processos Secundários da seguinte maneira:
a. Auditoria de todos os Processos Secundários em cada auditoria inicial e de recertificação, mas processos secundários semelhantes realizados em diferentes sites podem ser verificados em base de amostragem;
b. Durante as auditorias de manutenção, os Processos Secundários devem ser verificados baseados em amostragem e de acordo com o resultado das auditorias anteriores. Esta amostragem deve ser projetada para garantir uma amostragem significativa para avaliar a conformidade com os requisitos de sistema de gestão, e deve garantir que a seleção de processos auditados ao longo dos 3 Ciclos do ano seja razoavelmente representativa do sistema de gestão.
4.3.5 Quando forem usadas equipes de auditoria consistindo em mais de um membro será responsabilidade do Organismo de Certificação, em conjunto com o Líder da Equipe, identificar a competência técnica necessária para cada parte da auditoria e para cada site e alocar membros da equipe apropriados para cada parte da auditoria.
4.4 Auditoria inicial: Fase 1
4.4.1 Durante a Fase 1, a equipe auditora deve completar a informação para:
- confirmar o programa de auditoria;
- planejar a Fase 2, levando em consideração os processos / elementos / atividades a serem auditados em cada site, além de quaisquer Processos Primários implementados em cada site. A equipe auditora deve selecionar em quais sites a implementação de Processos não básicos precisa ser auditada para assegurar uma auditoria efetiva e completa do Sistema de Gestão; e - confirmar que a equipe auditora da Fase 2 possui a competência necessária.
Nota: Os processos não primários referidos aqui significam a Avaliação de Desempenho E Melhoria de processos, bem como os Processos Secundários.
4.5 Auditoria inicial: Fase 2
No resultado da auditoria inicial, a equipe auditora deve documentar quais processos foram auditados em cada site. Esta informação será usada para alterar planos de auditoria para posteriores auditorias de manutenção.
4.6 Auditorias de manutenção
4.6.1 O Organismo de certificação deve atribuir tempo suficiente no local para auditar todos os Processos Primários bem como outros processos em cada site (ver 4.5). Os Processos Secundários podem ser amostrados desde que seja realizada uma amostragem significativa para avaliar a conformidade com os requisitos de sistema de gestão (veja também o requisito 9.6.2.2 da ISO/IEC 17021-1). O Organismo de Certificação deve garantir que a seleção dos processos auditados ao longo do ciclo de 3 anos é razoavelmente representativa do Sistema de Gestão.
4.6.2 A quantidade do tempo de auditoria atribuído a cada site deve depender se esse site está executando Processos Primários ou não.
4.7 Auditorias de recertificação
O Organismo de certificação deve auditar o sistema de gestão completo de forma semelhante à auditoria inicial.
O Organismo de certificação deve levar em consideração quais processos foram auditados e em qual site durante o Ciclo atual.
5. CÁLCULO DO TEMPO DE AUDITORIA
5.1 As normas ISO relevantes, documentos IAF (principalmente IAF MD5) e, onde necessário, quaisquer requisitos aplicáveis do esquema, em conjunto com os requisitos neste documento devem ser utilizados para calcular o tempo total de auditoria para o Sistema de Gestão, independentemente do número de sites.
Este tempo de auditoria nunca deve ser inferior ao que teria sido calculado para o tamanho e complexidade da operação se todo o trabalho tivesse sido realizado em um único site (isto é, com todos os funcionários da empresa no mesmo site).
Nota: é improvável que a abordagem “um terço” para o tempo de auditoria de manutenção e os “dois terços”, para o tempo de auditoria de recertificação em sites únicos, sejam adequados, e deve-se ter em consideração o tempo necessário para reunião de abertura e encerramento no local, processos duplicados, variedade de Processos Primários a serem auditados, etc., como indicado no IAF MD5 para logística complicada.
6. DOCUMENTOS DE CERTIFICAÇÃO
6.1 O documento de certificação deve refletir o escopo da certificação e os sites, entidades jurídicas auditadas e certificadas pelo Organismo de certificação.
________________________________________