Os critérios deverão ser qualitativos (tais como ter demonstrado o comportamento pessoal, os conhecimentos ou o desempenho dos saber fazer, através de formação ou no local de trabalho) e quantitativos (tais como anos de experiência profissional e de escolaridade, número de auditorias conduzidas, horas de formação como auditor).
NP
EN ISO 19011
2012
p. 40 de 55
7.4 Seleção do método de avaliação de auditores adequado
A avaliação deverá ser conduzida utilizando dois ou mais métodos escolhidos de entre os indicados no Quadro 2. Ao utilizar o Quadro 2, deverá ser tido em consideração o seguinte:
− os métodos delineados representam um leque de opções e poderão não ser aplicáveis em todas as situações;
− os vários métodos delineados poderão diferir na sua fiabilidade;
− deverá ser utilizada uma combinação de métodos para assegurar um resultado que seja objetivo, consistente, justo e fiável.
Quadro 2 – Métodos de avaliação possíveis
Método de avaliação Objetivos Exemplos
Revisão de registos Verificar os antecedentes do auditor Análise de registos de escolaridade, de formação, de emprego e da experiência em auditoria Retorno de informação Disponibilizar informação sobre a
forma como o desempenho do auditor é percecionado
Inquéritos, questionários, referência pessoais, testemunhos, reclamações, avaliação de desempenho, revisão pelos pares
Entrevista Avaliar comportamento e,
competências de comunicação pessoais, verificar a informação e testar conhecimentos e obter informação adicional
Entrevistas pessoais
Observação Avaliar os atributos pessoais e a
aptidão para aplicar conhecimentos e saber fazer
Representação, auditorias assistidas, desempenho no exercício da função
Realização de testes Avaliar os atributos pessoais, os conhecimentos e saber fazer e a sua aplicação
Exames orais e escritos, testes psicométricos
Revisão pós-auditoria Proporcionar informação relativa ao desempenho do auditor nas atividades de auditoria, identificando pontos fortes e pontos fracos
Rever o relatório de auditoria, entrevistas com o auditor
coordenador e, se adequado, retorno de informação do auditado
7.5 Condução da avaliação de um auditor
A informação recolhida sobre a pessoa, deverá ser comparada com os critérios estabelecidos em 7.2.3. Quando uma pessoa que se prevê ir participar no programa de auditorias, não satisfaz os critérios, é necessário que obtenha mais formação, currículo profissional ou experiência em auditorias, devendo proceder-se posteriormente a uma reavaliação.
NP
EN ISO 19011
2012
p. 41 de 55
7.6 Manutenção e melhoria da competência de um auditor
Os auditores e os auditores coordenadores deverão melhorar de forma continuada a sua competência. Os auditores deverão manter as suas competências de auditoria através da participação regular em auditorias a sistemas de gestão e desenvolvimento profissional contínuo. O desenvolvimento profissional contínuo envolve a manutenção e a melhoria da competência. Isto, poderá ser conseguido através de meios como experiência profissional adicional, formação, autoformação, tutoria, presença em encontros, seminários e conferências ou outras atividades relevantes.
A pessoa responsável pela gestão do programa de auditoria deverá estabelecer mecanismos adequados para a avaliação contínua do desempenho dos auditores e dos auditores coordenadores.
As atividades de desenvolvimento profissional contínuo deverão ter em consideração o seguinte:
− alterações nas necessidades das pessoas e da organização responsável por conduzir a auditoria;
− a execução na prática de auditorias;
NP
EN ISO 19011
2012
p. 42 de 55Anexo A
(informativo)
Orientações e exemplos esclarecedores de conhecimentos e saber fazer
específicos de disciplinas para auditores
A.1 Generalidades
Este Anexo fornece exemplos genéricos de conhecimentos e saber fazer específicos de disciplinas para auditores de sistemas de gestão, que se pretende possam servir como orientações de apoio para a pessoa responsável pela gestão do programa de auditorias na seleção e na avaliação dos auditores.
Também poderão ser desenvolvidos outros exemplos de conhecimentos e saber fazer, específicos de disciplinas para auditores de sistemas de gestão. Sugere-se que, onde seja possível, esses exemplos sigam a mesma estrutura básica para assegurar a comparabilidade.
A.2 Exemplos esclarecedores de conhecimentos e saber fazer específicos na
disciplina de gestão da segurança em meios de transporte para auditores
Os conhecimentos e saber fazer, relacionados com a gestão da segurança em meios de transporte e a aplicação de métodos, técnicas, processos e práticas de gestão da segurança em meios de transporte, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões de auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− terminologia da gestão da segurança;
− compreensão da abordagem a sistemas seguros;
− apreciação e mitigação do risco;
− análise de fatores humanos relacionados com a gestão da segurança em meios de transporte;
− comportamento e interação humanos;
− interação de seres humanos, máquinas, processos e ambiente de trabalho;
− perigos potenciais e outros fatores do local de trabalho que afetem a segurança;
− métodos e práticas para investigação de incidentes e monitorização do desempenho da segurança;
− avaliação de incidentes e acidentes operacionais;
− desenvolvimento de medidas e métricas proactivas e reativas do desempenho.
NOTA: Para informação adicional ver a futura ISO 39001 preparada pelo ISO/PC 241 relativa a sistemas de gestão da segurança em tráfego rodoviário.
NP
EN ISO 19011
2012
p. 43 de 55
A.3 Exemplos esclarecedores de conhecimentos e saber fazer específicos na
disciplina de gestão ambiental para auditores
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− terminologia do ambiente;
− métricas e estatísticas ambientais;
− ciência da medição e técnicas de monitorização;
− interação de ecossistemas e biodiversidade;
− meios ambientais (p. ex. ar, água, solo, fauna, flora);
− técnicas de determinação do risco (p. ex. avaliação de aspetos/impactes ambientais, incluindo métodos para avaliar a significância);
− avaliação do ciclo de vida;
− avaliação do desempenho ambiental;
− prevenção e controlo da poluição (p. ex. melhores técnicas disponíveis para controlo da poluição ou da eficiência energética);
− práticas e processos de redução na fonte, minimização de resíduos, reutilização, reciclagem e tratamento;
− utilização de substâncias perigosas;
− contabilização e gestão de gases com efeito de estufa;
− gestão de recursos naturais (p. ex. combustíveis fósseis, água, flora e fauna, solo);
− design ambiental;
− relato e divulgação de questões ambientais;
− gestão responsável de produtos;
− tecnologias renováveis e de baixo teor de carbono.
NOTA: Para informação adicional ver as normas sobre gestão ambiental preparadas pelo ISO/TC 207.
A.4 Exemplos esclarecedores de conhecimentos e saber fazer específicos na
disciplina de gestão da qualidade para auditores
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− terminologia relacionada com qualidade, gestão, organização, processos e produtos, características, conformidade, documentação, auditoria e processos de medição;
− focalização no cliente, processos relacionados com o cliente, monitorização e medição da satisfação do cliente, tratamento de reclamações, código de conduta, resolução de conflitos;
NP
EN ISO 19011
2012
p. 44 de 55
− liderança – função da gestão de topo, gestão do sucesso sustentado de uma organização – a abordagem da gestão pela qualidade, a obtenção de benefícios financeiros e económicos através da gestão da qualidade, sistemas de gestão da qualidade e modelos de excelência;
− envolvimento das pessoas, fatores humanos, competência, formação e consciencialização;
− abordagem por processos, análise de processos, capacidade e técnicas de controlo, métodos de tratamento do risco;
− abordagem sistémica à gestão (fundamento lógico dos sistemas de gestão da qualidade, focalização sobre sistemas de gestão da qualidade e outros sistemas de gestão, documentação dos sistemas de gestão da qualidade), tipos e valor, projetos, planos da qualidade, gestão da configuração;
− melhoria contínua, inovação e aprendizagem;
− abordagem à decisão baseada em factos, técnicas de apreciação do risco (identificação, análise e avaliação do risco), avaliação da gestão da qualidade (auditoria, revisão e autoavaliação), técnicas de medição e de monitorização, requisitos para os processos de medição e para os equipamentos de medida, análise das causas na raiz, técnicas estatísticas;
− características de processos e de produtos, incluindo serviços;
− relações mutuamente benéficas com fornecedores, requisitos de sistemas de gestão da qualidade e requisitos para os produtos, requisitos particulares para a gestão da qualidade em diferentes setores.
NOTA: Para informação adicional ver as normas sobre gestão da qualidade preparadas pelo ISO/TC 176.
A.5 Exemplos esclarecedores de conhecimentos e saber fazer específicos na
disciplina de gestão de registos para auditores
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− registos, processos de gestão de registos e terminologia de sistemas de gestão de registos;
− desenvolvimento de medidas e métricas de desempenho;
− investigação e avaliação de práticas de registos através de entrevistas, observação e validação;
− análise de amostras de registos criados em processos de negócio. Características chaves dos registos, sistemas de registo, processos e controlos de registos;
− avaliação do risco (p. ex. avaliação dos riscos resultantes de falhas na criação, manutenção e controlo de registos adequados, dos processo de negócio da organização);
− o desempenho e a adequação dos processos de registo para criarem, para reterem e controlarem os registos;
− avaliação da adequação e do desempenho dos sistemas de registo (incluindo sistemas de negócio para criar e controlar registos), a adequação das ferramentas tecnológicas utilizadas e as instalações e os equipamentos estabelecidos;
− avaliação dos diversos níveis de competência na gestão de registos requeridos transversalmente, numa organização e a avaliação dessa competência;
NP
EN ISO 19011
2012
p. 45 de 55
− significância do conteúdo, contexto, estrutura, representação e controlo da informação (metadata) requeridos para definir e gerir registos e sistemas de registo;
− métodos para desenvolver instrumentos específicos para registos;
− tecnologias utilizadas para a criação, recolha, conversão e migração e preservação no longo prazo de registos eletrónicos/digitais;
− identificação e significância da documentação de autorização para processos de registo.
NOTA: Para informação adicional ver as normas sobre gestão de registos preparadas pelo ISO/TC 46/SC 11.
A.6 Exemplos esclarecedores de conhecimentos e saber fazer específicos na
disciplina de gestão da resiliência, da segurança, da prontidão e da continuidade
para auditores
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− processos, ciência e tecnologia subjacentes à gestão da resiliência, da segurança, da prontidão, da resposta, da continuidade e da recuperação;
− métodos de recolha e monitorização do conhecimento;
− gestão do risco de eventos disruptivos (antecipar, evitar, prevenir, proteger, mitigar, responder e recuperar de um evento disruptivo);
− apreciação do risco (identificação e valorização do património; e identificação, análise e avaliação do risco) e análise de impacto (relativamente a pessoas, a património físico e intangível, bem como sobre o ambiente);
− tratamento do risco (medidas adaptativas, proactivas e reativas);
− métodos e práticas relativas à integridade e à sensibilidade da informação;
− métodos de segurança pessoal e de proteção das pessoas;
− métodos e práticas para a proteção do património e da segurança física;
− métodos e práticas para a gestão da prevenção, da dissuasão e da segurança;
− métodos e práticas para a mitigação de incidentes, para as respostas e a gestão de crises;
− métodos e práticas de gestão da continuidade, da emergência e da recuperação;
− métodos e práticas para a monitorização, a medição e o relato do desempenho (incluindo metodologias para exercícios e testes).
NOTA: Para informação adicional ver as normas relacionadas sobre gestão da resiliência, da segurança, da prontidão e da continuidade preparadas pelos ISO/TC 8, ISO/TC 223 e ISO/TC 247.
NP
EN ISO 19011
2012
p. 46 de 55
A.7 Exemplos esclarecedores de conhecimentos e saber fazer específicos na
disciplina de gestão da segurança da informação para auditores
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− orientações dadas em normas como sejam as ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005;
− identificação e avaliação dos requisitos dos clientes e das partes interessadas;
− as leis e os regulamentos relacionados com a segurança da informação (p. ex. propriedade intelectual; conteúdo, proteção e retenção dos registos da organização; proteção e privacidade dos dados; regulamentação de controlos criptográficos; antiterrorismo; comércio eletrónico; assinaturas eletrónicas e digitais; vigilância de locais de trabalho; ergonomia de locais de trabalho; interceção de telecomunicações e monitorização de dados (p. ex. e-mail), uso abusivo de computador, recolha de evidência eletrónica, testes de intrusão, etc.;
− processos, ciência e tecnologia subjacentes à gestão da segurança da informação;
− apreciação dos riscos (identificação, análise e avaliação) e tendências em tecnologia, ameaças e vulnerabilidades;
− gestão do risco da segurança da informação;
− métodos e práticas para controlo (eletrónico e físico) da segurança da informação;
− métodos e práticas para a integridade e a sensibilidade da informação;
− métodos e práticas para medição e avaliação da eficácia dos sistemas de gestão da segurança da informação e controlos associados;
− métodos e práticas para a medição, a monitorização e o registo do desempenho (incluindo testes, auditorias e revisões).
NOTA: Para informação adicional, ver as normas relacionadas sobre gestão da segurança da informação, preparadas pelo ISO/IEC JTC 1/SC 27.
A.8 Exemplos esclarecedores de conhecimentos e saber fazer específicos na
disciplina de gestão da segurança e saúde do trabalho para auditores
A.8.1 Conhecimentos e saber fazer genéricos
Os conhecimentos e saber fazer relacionados com a disciplina e com a aplicação de métodos, técnicas, processos e práticas específicas da disciplina deverão ser suficientes para permitir ao auditor examinar o sistema de gestão e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− identificação de perigos, incluindo esses e outros fatores que afetem o desempenho do ser humano no local de trabalho (tais como fatores físicos, químicos e biológicos, bem como género, idade, incapacidades e outros fatores fisiológicos, psicológicos ou de saúde);
− apreciação dos riscos, determinação de controlos e comunicação dos riscos [a determinação dos controlos deverá ser baseada na “hierarquia dos controlos” (ver OHSAS 18001:2007, 4.3.1)];
NP
EN ISO 19011
2012
p. 47 de 55
− avaliação de fatores de saúde e humanos (incluindo fatores fisiológicos e psicológicos) e os princípios para a sua avaliação;
− método de monitorização e avaliação da exposição a riscos para a segurança e saúde do trabalho (incluindo os que resultam de fatores humanos como os acima mencionados ou relacionados com a higiene no trabalho) e estratégias relacionadas destinadas a eliminar ou minimizar essas exposições;
− comportamento humano, interações interpessoais e a interação das pessoas com as máquinas, os processos e o ambiente de trabalho (incluindo princípios de conceção ergonómica e segura dos locais de trabalho, tecnologias de informação e de comunicação);
− avaliação dos diferentes tipos e níveis de competência para a segurança e saúde do trabalho requeridos transversalmente numa organização e a avaliação dessas competências;
− métodos para promover a participação e o envolvimento dos colaboradores;
− métodos para promover o bem estar ou o conforto e a autorresponsabilização (em relação a fumo, drogas, álcool, questões relacionadas com o peso, exercício, stress, comportamento agressivo, etc.), tanto durante as horas de trabalho como nas vidas privadas;
− desenvolvimento, utilização e avaliação de medidas e métricas do desempenho proactivo e reativo;
− princípios e práticas para identificar potenciais situações de emergência e para o planeamento, a prevenção, a resposta e a recuperação em situações de emergência;
− métodos para a investigação e a avaliação de incidentes (incluindo acidentes e doenças relacionadas com o trabalho);
− determinação e utilização de informação relacionada com a saúde (incluindo dados de monitorização da exposição e da doença relacionadas com o trabalho) – mas tendo em consideração especial a confidencialidade de aspetos particulares dessa informação;
− compreensão da informação médica (incluindo terminologia suficiente para compreender dados relacionados com a prevenção de lesões e de afeções de saúde);
− sistema de “valores limite de exposição ocupacional”;
− métodos de monitorização e relato do desempenho em termos de segurança e saúde do trabalho;
− compreender as exigências legais e outros relevantes para a segurança e saúde do trabalho que sejam suficientes para permitir ao auditor avaliar o sistema de gestão da segurança e saúde do trabalho.
A.8.2 Conhecimentos e saber fazer específicos do setor a ser auditado
Os conhecimentos e saber fazer relacionados com o setor a ser auditado, deverão ser suficientes para permitir ao auditor examinar o sistema de gestão dentro do contexto do setor e obter constatações e conclusões da auditoria adequadas.
Como exemplos apresentam-se os seguintes:
− processos, equipamentos, matérias primas, substâncias perigosas, ciclos de processo, manutenção, logística, fluxo de informação na organização, práticas laborais, organização de turnos, cultura organizacional, liderança, comportamento e outras questões específicas da operação ou do setor;
− perigos e riscos típicos, incluindo fatores de saúde e humanos específicos do setor.
NOTA: Para informação adicional, ver as normas relacionadas relativas a gestão da segurança e saúde do trabalho, preparadas pelo grupo de projeto de OHSAS.
NP
EN ISO 19011
2012
p. 48 de 55Anexo B
(informativo)
Orientação adicional para os auditores quanto ao planeamento e à condução de
auditorias
B.1 Aplicação de métodos de auditoria
Uma auditoria pode ser realizada utilizando um leque de métodos de auditoria. Uma explicação quanto aos métodos de auditoria geralmente utilizados pode ser encontrada neste Anexo. Os métodos de auditoria escolhidos para uma auditoria dependem dos objetivos, do âmbito e dos critérios definidos para a auditoria, bem como, a sua duração e localização. A disponibilidade de competências nos auditores e quaisquer incertezas que resultem da aplicação dos métodos de auditoria deverão ser também tidos em consideração. A aplicação de uma variedade e uma combinação de diferentes métodos de auditoria pode otimizar a eficácia e a eficiência do processo de auditoria e os seus resultados.
O desempenho de uma auditoria envolve uma interação de pessoas com o sistema de gestão a ser auditado e a tecnologia utilizada para conduzir a auditoria. O Quadro B.1 fornece exemplos de métodos de auditoria que podem ser utilizados, isoladamente ou em combinação, tendo em vista a consecução dos objetivos propostos para a auditoria. Se uma auditoria envolve uma equipa auditora com vários membros, poderão ser utilizados simultaneamente tanto métodos presenciais (on-site) como remotos.
NOTA: Informação adicional sobre visitas presenciais (on-site) é dada na secção B.6.
Quadro B.1 – Métodos de auditoria aplicáveis
Extensão do envolvimento entre o
auditor e o auditado
Localização do auditor
Presencial (on-site) Remota
Interação humana Conduzir entrevistas
Completar listas de verificação e questionários com a participação do auditado.
Conduzir revisões à documentação com a participação do auditado. Amostragem.
Através de meios de comunicação interativos:
− conduzir entrevistas
− completar listas de verificação e questionários
− conduzir revisões à documentação com a participação do auditado Sem interação humana Conduzir revisões à documentação
(p. ex. registos, análises de dados) Observação do trabalho realizado. Conduzir a visita ao local.
Completar listas de verificação Amostragens (p. ex. produtos).
Conduzir revisões à documentação (p. ex. registos, análises de dados). Observar o trabalho realizado através de meios de vigilância, tendo em consideração exigências sociais e legais.
Analisar dados.
As atividades de auditoria presenciais (on-site) são realizadas nas instalações do auditado. Atividades de auditoria remotas são realizadas em qualquer local diferente das instalações do auditado, independentemente da distância.
As atividades de auditoria interativas envolvem a interação entre o pessoal do auditado e a equipa auditora. Atividades não interativas não envolvem interação humana com pessoas em representação do auditado, mas envolvem interação com equipamento, instalações e documentação.
NP
EN ISO 19011
2012
p. 49 de 55
A responsabilidade pela aplicação eficaz de métodos de auditoria para qualquer auditoria na fase de planeamento, pertence à pessoa responsável pela gestão do programa de auditorias ou ao auditor coordenador. O auditor coordenador tem esta responsabilidade pelo facto de conduzir as atividades de auditoria.
A exequibilidade de atividades de auditoria remota pode depender do nível de confiança entre o auditor e os colaboradores do auditado.
Ao nível do programa de auditorias, deverá ser assegurado que a utilização de métodos de auditoria remotos ou presenciais é adequada e equilibrada, tendo em vista assegurar a consecução satisfatória dos objetivos do programa de auditorias.
B.2 Conduzir a revisão da documentação
Os auditores deverão ter em consideração se:
− a informação nos documentos disponibilizados é:
− completa (todo o conteúdo esperado consta do documento);
− correta (o conteúdo está conforme com outras fontes confiáveis, tais como normas e regulamentos);
− consistente (o documento é consistente em si mesmo e com documentos relacionados);