Texto

(1)

Norma

Portuguesa

NP

EN ISO 19011

2012

Linhas de orientação para auditorias a sistemas de gestão

(ISO 19011:2011)

Lignes directrices pour l’audit des systèmes de management

(ISO 19011:2011)

Guidelines for auditing management systems

(ISO 19011:2011)

ICS 03.120.10

CORRESPONDÊNCIA

Versão portuguesa da EN ISO 19011:2011

HOMOLOGAÇÃO

Termo de Homologação n.º 193/2012, de 2012-07-13 A presente Norma substitui a NP EN ISO 19011:2003 (Ed. 1)

ELABORAÇÃO CT 80 (APQ) 2ª EDIÇÃO agosto de 2012 CÓDIGO DE PREÇO X014

 IPQ reprodução proibida

Rua António Gião, 2

2829-513 CAPARICA PORTUGAL

Tel. + 351-212 948 100 Fax + 351-212 948 101 E-mail: ipq@mail.ipq.pt Internet: www.ipq.pt

(2)

Preâmbulo nacional

À Norma Europeia EN ISO 19011:2011, foi dado estatuto de Norma Portuguesa em 2012-02-27 (Termo de Adoção nº 230/2012, de 2012-02-27).

Esta versão portuguesa foi preparada pela CT 80 “Gestão da qualidade e garantia da qualidade”, coordenada pelo Organismo de Normalização Sectorial, Associação Portuguesa para a Qualidade (ONS/APQ).

Esta segunda edição anula e substitui a primeira edição (EN ISO 19011:2002), que foi objeto de uma revisão técnica.

As principais diferenças em relação à primeira edição são as seguintes:

− o objetivo e campo de aplicação foi alargado de auditorias a sistemas de gestão da qualidade e ambiental para auditorias a quaisquer sistemas de gestão;

− as relações entre a ISO 19011 e a ISO/IEC 17021 foram clarificadas;

− foram introduzidos métodos de auditoria à distância e o conceito de risco;

− a confidencialidade foi introduzida como um novo princípio de auditoria;

− as Secções 5, 6 e 7 foram reorganizadas;

− foi introduzida informação adicional no novo Anexo B, de que resultou a remoção das caixas de ajuda prática;

− o processo de determinação e avaliação da competência foi reforçado;

− exemplos esclarecedores de conhecimentos e de saber fazer específicos de disciplinas foram incluídos no novo Anexo A;

(3)

NORMA EUROPEIA

EN ISO 19011

EUROPÄISCHE NORM

NORME EUROPÉENNE

EUROPEAN STANDARD

novembro 2011

CEN

Comité Europeu de Normalização Europäisches Komitee für Normung

Comité Européen de Normalisation European Committee for Standardization

Secretariado Central: Avenue Marnix 17, B-1000 Bruxelas

2011 CEN Direitos de reprodução reservados aos membros do CEN

Ref. nº EN ISO 19011:2011 Pt

ICS: 03.120.10; 13.020.10 Substitui a EN ISO 19011:2002

Versão portuguesa

Linhas de orientação para auditorias a sistemas de gestão (ISO 19011:2011)

Leitfaden zur Auditierung von Managementsystemen (ISO 19011:2011)

Lignes directrices pour l’audit des systèmes de management (ISO 19011:2011)

Guidelines for auditing management systems (ISO 19011:2011)

A presente Norma é a versão portuguesa da Norma Europeia EN ISO 19011:2012, e tem o mesmo estatuto que as versões oficiais. A tradução é da responsabilidade do Instituto Português da Qualidade.

Esta Norma Europeia foi ratificada pelo CENELEC em 2011-11-05.

Os membros do CENELEC são obrigados a submeter-se ao Regulamento Interno do CEN/CENELEC que define as condições de adoção desta Norma Europeia, como norma nacional, sem qualquer modificação. Podem ser obtidas listas atualizadas e referências bibliográficas relativas às normas nacionais correspondentes junto do Secretariado Central ou de qualquer dos membros do CENELEC.

A presente Norma Europeia existe nas três versões oficiais (alemão, francês e inglês). Uma versão noutra língua, obtida pela tradução, sob responsabilidade de um membro do CENELEC, para a sua língua nacional, e notificada ao Secretariado Central, tem o mesmo estatuto que as versões oficiais.

Os membros do CENELEC são os organismos nacionais de normalização dos seguintes países: Alemanha, Áustria, Bélgica, Bulgária, Chipre, Dinamarca, Eslováquia, Eslovénia, Espanha, Estónia, Finlândia, França, Grécia, Hungria, Irlanda, Islândia, Itália, Letónia, Lituânia, Luxemburgo, Malta, Noruega, Países Baixos, Polónia, Portugal, Reino Unido, República Checa, Roménia, Suécia e Suíça.

(4)

NP

EN ISO 19011

2012

p. 4 de 55

Sumário

Página Preâmbulo nacional ... 2

1 Objetivo e campo de aplicação ... 9

2 Referência normativa ... 9

3 Termos e definições ... 9

4 Princípios de auditoria ... 12

5 Gestão de um programa de auditorias ... 13

5.1 Generalidades ... 13

5.2 Estabelecimento dos objetivos do programa de auditorias ... 15

5.3 Estabelecimento do programa de auditorias ... 15

5.4 Implementação do programa de auditorias ... 18

5.5 Monitorização do programa de auditorias ... 22

5.6 Revisão e melhoria do programa de auditorias ... 22

6 Realização de uma auditoria... 23

6.1 Generalidades ... 23

6.2 Início da auditoria ... 25

6.3 Preparação das atividades de auditoria ... 26

6.4 Condução das atividades de auditoria ... 28

6.5 Preparação e distribuição do relatório da auditoria ... 33

6.6 Encerramento da auditoria ... 34

6.7 Condução do seguimento da auditoria ... 34

7 Competência e avaliação dos auditores ... 35

7.1 Generalidades ... 35

7.2 Determinação das competências dos auditores para satisfazer as necessidades do programa de auditorias ... 35

(5)

NP

EN ISO 19011

2012

p. 5 de 55

7.4 Seleção do método de avaliação de auditores adequado ... 40

7.5 Condução da avaliação de um auditor ... 40

7.6 Manutenção e melhoria da competência de um auditor ... 41

Anexo A (informativo) Orientações e exemplos esclarecedores de conhecimentos e

saber fazer específicos de disciplinas para auditores ... 42 Anexo B (informativo) Orientação adicional para os auditores quanto ao planeamento e à

condução de auditorias ... 48 Bibliografia ... 55

(6)

NP

EN ISO 19011

2012

p. 6 de 55

Preâmbulo

A presente Norma (EN ISO 19011:2011) foi elaborada pelo Comité Técnico ISO/TC 176 “Quality management and quality assurance”.

A esta Norma Europeia deve ser atribuído o estatuto de Norma Nacional, seja por publicação de um texto idêntico, seja por adoção, o mais tardar em maio de 2012, e as normas nacionais divergentes devem ser anuladas, o mais tardar em maio de 2012.

Pode acontecer que alguns dos elementos do presente documento sejam objeto de direitos de propriedade. O CEN (e/ou o CENELEC) não deve ser responsabilizado pela identificação de alguns ou de todos esses direitos.

A presente Norma Europeia substitui a EN ISO 19011:2002.

De acordo com o Regulamento Interno do CEN/CENELEC, a presente Norma deve ser implementada pelos organismos nacionais de normalização dos seguintes países: Alemanha, Áustria, Bélgica, Bulgária, Chipre, Dinamarca, Eslováquia, Eslovénia, Espanha, Estónia, Finlândia, França, Grécia, Hungria, Irlanda, Islândia, Itália, Letónia, Lituânia, Luxemburgo, Malta, Noruega, Países Baixos, Polónia, Portugal, Reino Unido, República Checa, Roménia, Suécia e Suíça.

Nota de endosso

O texto da presente Norma internacional ISO 19011:2011 foi aprovado pelo CEN como EN ISO 19011:2011 sem qualquer modificação.

(7)

NP

EN ISO 19011

2012

p. 7 de 55

Introdução

Desde que a primeira edição desta Norma foi publicada em 2002, várias normas novas de sistemas de gestão foram entretanto publicadas. Daí resultou haver agora a necessidade de ter em consideração um âmbito mais lato de auditoria a sistemas de gestão, bem como de proporcionar orientações que sejam mais genéricas. Em 2006, o comité da ISO para a avaliação da conformidade (CASCO) desenvolveu a ISO/IEC 17021, que estabelece requisitos para a certificação de sistemas de gestão por terceiras partes e que se baseou parcialmente nas linhas de orientação contidas na primeira edição desta Norma.

A segunda edição da ISO/IEC 17021, publicada em 2011, foi alargada de forma a transformar as orientações proporcionadas nesta Norma em requisitos para auditorias de certificação de sistemas de gestão. É neste contexto que esta segunda edição desta Norma Internacional proporciona orientações a todos os utilizadores, incluindo organizações de pequena e média dimensão, concentrando-se nas que são normalmente designadas “auditorias internas” (de primeira parte) e “auditorias conduzidas pelos clientes aos seus fornecedores” (segunda parte). Embora os envolvidos em auditorias de certificação a sistemas de gestão sigam os requisitos da ISO/IEC 17021:2011, podem também considerar úteis as orientações contidas nesta Norma Internacional. As relações entre esta segunda edição desta Norma Internacional e a ISO/IEC 17021:2011 são apresentadas no Quadro 1.

Quadro 1 – Âmbito desta Norma Internacional e relacionamento com a ISO/IEC 17021:2011

Auditoria interna

Auditoria externa

Auditoria a fornecedores Auditoria de terceira parte

Por vezes designadas como auditoria de primeira parte

Por vezes designadas como auditoria de segunda parte

Para fins legais, regulamentares e outros semelhantes

Para certificação (ver também os requisitos na ISO/IEC 17021:2011)

Esta Norma internacional não especifica requisitos, mas proporciona orientações para a gestão de um programa de auditorias, para o planeamento e condução de uma auditoria a um sistema de gestão, bem como quanto à competência e à avaliação de um auditor e de uma equipa auditora.

As organizações podem manter em funcionamento mais de um sistema de gestão formal. Para simplificar a legibilidade desta Norma Internacional, considerou-se preferível usar “sistema de gestão” no singular, podendo o leitor adaptar a implementação destas orientações à sua situação particular. Isto também se aplica à utilização de “pessoa” e “pessoas”, “auditor” e “auditores”.

Pretende-se que esta Norma Internacional seja aplicável a um vasto leque de utilizadores potenciais, incluindo auditores, organizações que implementam sistemas de gestão e organizações que necessitam de conduzir auditorias a sistemas de gestão por razões contratuais ou regulamentares. Os utilizadores desta Norma Internacional podem, contudo, aplicar estas orientações no desenvolvimento dos seus próprios requisitos relativos a auditorias.

As orientações contidas nesta Norma internacional também podem ser utilizadas para efeitos de autodeclaração e ser úteis para organizações envolvidas na formação de auditores ou em certificação de pessoas.

(8)

NP

EN ISO 19011

2012

p. 8 de 55

Pretende-se que as orientações nesta Norma internacional sejam flexíveis. Tal como se indica em diversos pontos no texto, a forma como se utilizam estas orientações pode diferir em função da dimensão e do grau de maturidade do sistema de gestão da organização e da natureza e complexidade da organização a ser auditada, bem como dos objetivos e do âmbito das auditorias a serem conduzidas.

Esta Norma internacional introduz o conceito de risco na auditoria a sistemas de gestão. A abordagem adotada está relacionada, tanto com o risco de o processo de auditoria não atingir os seus objetivos, como com o potencial de a auditoria interferir com as atividades e os processos do auditado. Não proporciona orientações específicas quanto ao processo de gestão do risco da organização, mas reconhece que as organizações podem focalizar o esforço de auditoria em temas significativos para o sistema de gestão. Esta Norma internacional adota a abordagem em que se designa de “auditoria combinada”, quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados em conjunto. Onde estes sistemas estiverem integrados num único sistema de gestão, os princípios e os processos de auditoria são os mesmos que são usados numa auditoria combinada.

A secção 3 estabelece os termos e as definições chave usados nesta Norma Internacional. Foram feitos todos os esforços para assegurar que estas definições não conflituam com definições utilizadas em outras normas. A secção 4 descreve os princípios em que se baseia a auditoria. Estes princípios auxiliam o utilizador a compreender a natureza essencial da auditoria e são importantes para compreender as orientações estabelecidas nas secções 5 a 7.

A secção 5 proporciona orientações quanto ao estabelecimento e gestão de programas de auditoria, ao estabelecimento de objetivos para o programa de auditorias e à coordenação das atividades de auditoria. A secção 6 proporciona orientações quanto ao planeamento e à condução de uma auditoria a um sistema de gestão.

A secção 7 proporciona orientações relativas à competência e à avaliação de auditores e de equipas auditoras de sistemas de gestão.

O Anexo A esclarece a aplicação das orientações dadas na secção 7 a diferentes disciplinas.

(9)

NP

EN ISO 19011

2012

p. 9 de 55

1 Objetivo e campo de aplicação

Esta Norma fornece orientações sobre auditorias a sistemas de gestão, incluindo os princípios de auditoria, gestão de um programa de auditorias e condução de auditorias a sistemas de gestão, bem como orientações sobre a avaliação da competência de pessoas envolvidas no processo de auditoria, incluindo o responsável pela gestão do programa de auditorias, os auditores e as equipas auditoras.

É aplicável a todas as organizações que necessitem conduzir auditorias internas ou externas a sistemas de gestão ou gerir um programa de auditorias.

Esta Norma pode ser aplicada a outros tipos de auditorias, desde que seja dada especial atenção à competência específica necessária.

2 Referência normativa

Não são citadas referências normativas. Esta secção é incluída para manter a numeração de secções idêntica à adotada em outras normas de sistemas de gestão.

3 Termos e definições

Para os fins da presente Norma, aplicam-se os seguintes termos e definições:

3.1 auditoria

Processo sistemático, independente e documentado para obter evidências de auditoria (3.3) e respetiva avaliação objetiva, com vista a determinar em que medida os critérios da auditoria (3.2) são satisfeitos.

NOTA 1: As auditorias internas, por vezes denominadas auditorias de primeira parte, são conduzidas por ou em nome da própria organização, para revisão pela gestão ou por outras razões internas (p. ex. para confirmar a eficácia do sistema de gestão ou para obter informação para a melhoria do sistema de gestão). As auditorias internas podem constituir o suporte para uma autodeclaração de conformidade pela organização. Em muitos casos, especialmente em pequenas organizações, a independência pode ser demonstrada pela ausência de responsabilidade pela atividade auditada ou pela ausência de influências e de conflitos de interesses.

NOTA 2: As auditorias externas incluem as auditorias de segunda e de terceira parte. As auditorias de segunda parte são conduzidas por partes com interesse na organização, tais como clientes ou pessoas em seu nome. As auditorias de terceira parte são conduzidas por organizações auditoras independentes, tais como reguladores ou as que proporcionam certificação.

NOTA 3: Sempre que dois ou mais sistemas de gestão de diferentes disciplinas (p. ex. qualidade, ambiente, segurança e saúde do trabalho) sejam auditados conjuntamente, a auditoria é denominada auditoria combinada.

NOTA 4: Sempre que duas ou mais organizações auditoras cooperam para realizar uma auditoria a um único auditado (3.7), esta é denominada auditoria conjunta.

NOTA 5: Adaptado da ISO 9000:2005, definição 3.9.1.

3.2 critérios da auditoria

Conjunto de políticas, procedimentos ou requisitos utilizado como referência em relação ao qual se comparam as evidências de auditoria (3.3).

NOTA 1: Adaptado da ISO 9000:2005, definição 3.9.3.

NOTA 2: Se os critérios da auditoria forem exigências legais (incluindo estatutários ou regulamentares), os termos “conforme” e “não conforme” são frequentemente utilizados numa constatação da auditoria (3.4).

(10)

NP

EN ISO 19011

2012

p. 10 de 55

3.3 evidências de auditoria

Registos, afirmações factuais ou outra informação, que sejam relevantes para os critérios da auditoria (3.2) e verificáveis.

NOTA: As evidências de auditoria podem ser qualitativas ou quantitativas.

[ISO 9000:2005, definição 3.9.4]

3.4 constatações da auditoria

Resultados da avaliação das evidências de auditoria (3.3) recolhidas face aos critérios da auditoria (3.2).

NOTA 1: As constatações da auditoria indicam conformidade ou não conformidade.

NOTA 2: As constatações da auditoria podem levar à identificação de oportunidades de melhoria ou ao registo de boas práticas. NOTA 3: Se os critérios da auditoria forem baseados em exigências legais ou outros, a constatação da auditoria será de conformidade ou de não conformidade.

NOTA 4: Adaptado da ISO 9000:2005, definição 3.9.5.

3.5 conclusões da auditoria

Resultados finais de uma auditoria (3.1), após serem tidos em consideração os objetivos da auditoria e todas as constatações da auditoria (3.4).

NOTA: Adaptado da ISO 9000:2005, definição 3.9.6.

3.6 cliente da auditoria

Organização ou pessoa que requer uma auditoria (3.1).

NOTA 1: No caso da auditoria interna, o cliente da auditoria pode ser também o auditado (3.7) ou a pessoa responsável pela gestão do programa de auditorias. As solicitações de auditorias externas podem ser feitas por entidades como reguladores, partes

contratantes ou clientes potenciais.

NOTA 2: Adaptado da ISO 9000:2005, definição 3.9.7.

3.7 auditado

Organização a ser auditada. [ISO 9000:2005, definição 3.9.8]

3.8 auditor

Pessoa que conduz uma auditoria (3.1).

3.9 equipa auditora

Um ou mais auditores (3.8) que conduzem uma auditoria (3.1), se necessário com o suporte de peritos

técnicos (3.10).

NOTA 1: Um dos auditores da equipa auditora é nomeado coordenador da equipa auditora. NOTA 2: A equipa auditora poderá incluir auditores em formação.

[ISO 9000:2005, definição 3.9.10]

3.10 perito técnico

(11)

NP

EN ISO 19011

2012

p. 11 de 55

NOTA 1: Conhecimentos específicos ou experiência qualificada no que diz respeito à organização, ao processo ou à atividade a auditar, à língua ou à orientação cultural.

NOTA 2: Um perito técnico não atua como auditor (3.8) no âmbito da equipa auditora.

[ISO 9000:2005, definição 3.9.11]

3.11 observador

Pessoa que acompanha a equipa auditora (3.9), mas que não audita.

NOTA 1: Um observador não faz parte da equipa auditora (3.9) e não influencia ou interfere na condução da auditoria (3.1). NOTA 2: Um observador pode pertencer ao auditado (3.7), a um regulador ou a uma outra parte interessada que testemunha a auditoria (3.1).

3.12 guia

Pessoa indicada pelo auditado (3.7) para dar apoio à equipa auditora (3.9).

3.13 programa de auditorias

Preparativos para um conjunto de uma ou mais auditorias (3.1) planeadas para um determinado período de tempo e dirigidas a uma finalidade específica.

NOTA: Adaptado da ISO 9000:2005, definição 3.9.2.

3.14 âmbito da auditoria

Extensão e limites de uma auditoria (3.1).

NOTA: O âmbito da auditoria normalmente inclui uma descrição dos locais, das unidades organizacionais, das atividades e dos processos, bem como do período de tempo abrangido.

[ISO 9000:2005, definição 3.9.13]

3.15 plano de auditoria

Descrição das atividades e dos preparativos de uma auditoria (3.1). [ISO 9000:2005, definição 3.9.12]

3.16 risco

Efeito da incerteza nos objetivos.

NOTA: Adaptado do ISO Guide 73:2009, definição 1.11).

3.17 competência

Aptidão para aplicar conhecimentos e saber fazer para atingir os resultados pretendidos.

NOTA: A aptidão implica comportamento pessoal adequado durante o processo de auditoria.

3.18 conformidade

Satisfação de um requisito. [ISO 9000:2005, definição 3.6.1]

1)

(12)

NP

EN ISO 19011

2012

p. 12 de 55

3.19 não-conformidade

Não satisfação de um requisito. [ISO 9000:2005, definição 3.6.2]

3.20 sistema de gestão

Sistema para o estabelecimento da política e dos objetivos e para a concretização desses objetivos.

NOTA: O sistema de gestão de uma organização pode incluir diferentes sistemas de gestão, tais como o sistema de gestão da qualidade, o sistema de gestão financeira ou o sistema de gestão ambiental.

[ISO 9000:2005, definição 3.2.2].

4 Princípios de auditoria

A atividade de auditoria é caracterizada por se basear num conjunto de princípios. Estes princípios deverão ajudar a fazer da auditoria uma ferramenta eficaz e fiável de suporte às políticas e ao controlo de gestão, ao fornecer informação sobre a qual uma organização pode atuar para melhorar o seu desempenho. A adesão a estes princípios é um pré-requisito para proporcionar conclusões da auditoria que sejam relevantes e suficientes e para permitir que auditores, trabalhando independentemente uns dos outros, cheguem a conclusões semelhantes em circunstâncias semelhantes.

As orientações dadas nas Secções 5 a 7 baseiam-se nos seis princípios que se esboçam a seguir: a) Integridade: pilar do profissionalismo.

Os auditores e a pessoa responsável pela gestão do programa de auditorias deverão:

− realizar o seu trabalho com honestidade, diligência e responsabilidade;

− observar e cumprir quaisquer exigências legais aplicáveis;

− demonstrar a sua competência enquanto realizam o seu trabalho;

− realizar o seu trabalho de forma imparcial, isto é, permanecer justo e isento de influências em todas as suas relações;

− estar cientes de quaisquer influências que poderão ser exercidas por outras partes interessadas sobre os seus juízos de valor, enquanto realizam uma auditoria.

b) Apresentação justa: obrigação de relatar com verdade e rigor.

Constatações, conclusões e relatórios de auditoria deverão refletir com verdade e rigor as atividades da auditoria. Deverão ser relatados os obstáculos significativos encontrados durante a auditoria, assim como as opiniões divergentes, não resolvidas, entre a equipa auditora e o auditado. A comunicação deverá ser verdadeira, rigorosa, objetiva, oportuna, clara e completa.

c) Devido cuidado profissional: aplicação de diligência e de discernimento ao auditar.

Os auditores deverão atuar com o cuidado adequado à importância da tarefa que executam e à confiança neles depositada pelo cliente da auditoria e outras partes interessadas. Um fator importante para executarem o seu trabalho com o devido cuidado profissional, é terem a aptidão para fazer juízos fundamentados em todas as situações de auditoria.

d) Confidencialidade: segurança da informação.

Os auditores deverão ser prudentes na utilização e proteção da informação obtida no exercício das suas tarefas. A informação da auditoria não deverá ser utilizada de forma inadequada para proveito pessoal do

(13)

NP

EN ISO 19011

2012

p. 13 de 55

auditor ou do cliente da auditoria, ou de forma a prejudicar os legítimos interesses do auditado. Este conceito inclui o tratamento adequado de informação sensível ou confidencial.

e) Independência: pilar da imparcialidade da auditoria e da objetividade das conclusões da auditoria. Os auditores deverão ser independentes da atividade a ser auditada e deverão em todos os casos atuar de forma que seja livre de influências e de conflitos de interesses. Nas auditorias internas, os auditores deverão ser independentes dos gestores operacionais das funções auditadas. Os auditores deverão manter a objetividade durante o processo de auditoria para assegurar que as constatações e as conclusões da auditoria se baseiam unicamente em evidências de auditoria.

Nas organizações pequenas poderá não ser possível que os auditores internos sejam totalmente independentes da atividade a ser auditada, mas deverão ser envidados todos os esforços para remover influências e promover a objetividade.

f) Abordagem baseada em evidências: método racional para chegar a conclusões da auditoria fiáveis e reprodutíveis num processo de auditoria sistemático.

As evidências de auditoria deverão ser verificáveis. Baseiam-se geralmente em amostras da informação disponível, dado que uma auditoria é conduzida com tempo e recursos limitados. Deverá utilizar-se a amostragem de forma adequada, uma vez que essa utilização se relaciona intimamente com a confiança que pode ser depositada nas conclusões da auditoria.

5 Gestão de um programa de auditorias

5.1 Generalidades

Uma organização que necessita de conduzir auditorias deverá estabelecer um programa de auditorias que contribua para a determinação da eficácia do sistema de gestão do auditado. O programa de auditorias pode incluir auditorias que tenham em consideração um ou mais sistemas de gestão, conduzidas tanto separadamente como em combinação.

A gestão de topo deverá assegurar que os objetivos do programa de auditorias são estabelecidos e nomear uma ou mais pessoas com competências para gerir o programa de auditorias. A extensão de um programa de auditorias deverá ter em conta a dimensão e a natureza da organização a ser auditada, bem como na natureza, funcionalidade, complexidade e nível de maturidade do sistema de gestão a ser auditado. Na alocação dos recursos do programa de auditorias deverá ser dada prioridade à auditoria aos aspetos significativos dentro do sistema de gestão. Estes poderão incluir as características-chave da qualidade dos produtos, perigos relativos a segurança e saúde do trabalho ou aspetos ambientais significativos e o seu controlo.

NOTA: Este conceito é geralmente conhecido como auditoria baseada no risco. Esta Norma não proporciona quaisquer outras orientações sobre auditorias baseadas no risco.

O programa de auditorias deverá incluir a informação e os recursos necessários para organizar e conduzir as suas auditorias de forma eficaz e eficiente dentro dos prazos especificados e também pode incluir o seguinte:

− objetivos do programa de auditorias e de cada uma das auditorias;

− extensão/número/tipos/duração/locais/calendarização das auditorias;

− procedimentos do programa de auditorias;

− critérios da auditoria;

− métodos de auditoria;

(14)

NP

EN ISO 19011

2012

p. 14 de 55

− recursos necessários, incluindo viagens e alojamento;

− processos para o tratamento de questões de confidencialidade, segurança da informação, segurança e saúde do trabalho e outras similares.

A implementação do programa de auditorias deverá ser monitorizada e medida para assegurar a consecução dos seus objetivos. O programa de auditorias deverá ser revisto para identificar possíveis melhorias.

A Figura 1 ilustra o fluxo do processo de gestão de um programa de auditorias.

Figura 1 – Fluxo do processo de gestão de um programa de auditoria

NOTA 1: Esta Figura ilustra a aplicação do ciclo Planear-Executar-Verificar-Atuar a esta Norma. 5.2 Estabelecimento dos objetivos do programa de auditorias

5.3 Estabelecimento do programa de auditorias

5.3.1 Funções e responsabilidades da pessoa responsável pela gestão do programa de auditorias

5.3.2 Competência da pessoa responsável pela gestão do programa de auditorias

5.3.3 Estabelecimento da extensão do programa de auditorias 5.3.4 Identificação e avaliação dos riscos do programa de auditorias 5.3.5 Estabelecimento de procedimentos para o programa de auditorias

5.3.6 Identificação dos recursos do programa de auditorias

5.4 Implementação do programa de auditorias 5.4.1 Generalidades

5.4.2 Definição dos objetivos, âmbito e critérios de cada auditoria 5.4.3 Seleção dos métodos de auditoria

5.4.4 Seleção dos membros da equipa auditora

5.4.5 Atribuição de responsabilidade por uma auditoria ao auditor coordenador

5.4.6 Gestão dos resultados do programa de auditorias

5.4.7 Gestão e manutenção dos registos do programa de auditorias

5.6 Revisão e melhoria do programa de auditoria 5.5 Monitorização do programa de auditoria

Competência e avaliação de auditores (secção 7)

Realizar uma auditoria (secção 6)

PLANEAR

EXECUTAR

VERIFICAR

(15)

NP

EN ISO 19011

2012

p. 15 de 55

NOTA 2: A numeração de secções/subsecções refere-se às correspondentes secções/subsecções desta Norma.

5.2 Estabelecimento dos objetivos do programa de auditorias

A gestão de topo deverá assegurar que os objetivos do programa de auditorias são estabelecidos para orientar o planeamento e a condução das auditorias e que o programa de auditorias é eficazmente implementado. Os objetivos do programa de auditorias deverão ser consistentes com a política e os objetivos do sistema de gestão e dar-lhes suporte.

Estes objetivos podem ter em conta: a) prioridades da gestão;

b) intenções comerciais e outros negócios;

c) características dos processos, produtos e projetos, e quaisquer alterações aos mesmos; d) requisitos do sistema de gestão;

e) exigências legais e contratuais e outros requisitos com os quais a organização se tenha comprometido; f) necessidades de avaliação de fornecedores;

g) necessidade e expectativas de partes interessadas, incluindo clientes;

h) nível de desempenho do auditado, tal como se reflete na ocorrência de falhas ou incidentes ou em reclamações de clientes;

i) riscos para o auditado;

j) resultados de auditorias anteriores;

k) nível de maturidade do sistema de gestão a ser auditado.

Exemplos de objetivos do programa de auditorias incluem o seguinte:

− contribuição para a melhoria de um sistema de gestão e do seu desempenho;

− satisfação de requisitos externos, p. ex. certificação de acordo com a Norma de um sistema de gestão;

− verificação da conformidade com requisitos contratuais;

− obtenção e manutenção da confiança na capacidade de um fornecedor;

− determinação da eficácia do sistema de gestão;

− avaliação da compatibilidade e do alinhamento dos objetivos do sistema de gestão com a política do sistema de gestão e os objetivos globais da organização.

5.3 Estabelecimento do programa de auditorias

5.3.1 Funções e responsabilidades da pessoa responsável pela gestão do programa de auditorias

A pessoa responsável pela gestão do programa de auditorias deverá:

− estabelecer a extensão do programa de auditorias;

− identificar e avaliar os riscos do programa de auditorias;

− estabelecer responsabilidades para as auditorias;

(16)

NP

EN ISO 19011

2012

p. 16 de 55

− determinar os recursos necessários;

− assegurar a implementação do programa de auditorias, incluindo o estabelecimento de objetivos, âmbito e critérios de auditoria de cada uma das auditorias, a determinação dos métodos de auditoria, a seleção da equipa auditora e a avaliação dos auditores;

− assegurar que são geridos e mantidos os registos adequados do programa de auditorias;

− monitorizar, rever e melhorar o programa de auditorias.

A pessoa responsável pela gestão de um programa de auditorias deverá informar a gestão de topo dos conteúdos do programa de auditorias e, quando necessário, obter a respetiva aprovação.

5.3.2 Competência da pessoa responsável pela gestão do programa de auditorias

A pessoa responsável pela gestão do programa de auditorias deverá ter a competência necessária para gerir de forma eficaz e eficiente o programa e os riscos associados, bem como conhecimentos e saber fazer nas seguintes áreas:

− princípios, procedimentos e métodos de auditoria;

− normas de sistemas de gestão e documentos de referência;

− atividades, produtos e processos do auditado;

− exigências legais e outras aplicáveis, que sejam relevantes para as atividades e para os produtos do auditado;

− clientes, fornecedores e outras partes interessadas do auditado, onde aplicável.

A pessoa responsável pela gestão do programa de auditorias deverá participar em atividades adequadas de desenvolvimento profissional contínuo para manter os conhecimentos e saber fazer necessários para gerir o programa de auditorias.

5.3.3 Estabelecimento da extensão do programa de auditorias

A pessoa responsável pela gestão do programa de auditorias deverá determinar a extensão do programa de auditorias, que pode variar dependendo da dimensão e da natureza do auditado, bem como da natureza, funcionalidade, complexidade e nível de maturidade do sistema de gestão a auditar e ainda, de questões significativas para esse mesmo sistema.

NOTA: Em certos casos, dependendo da estrutura do auditado e das suas atividades, o programa de auditoria pode consistir numa única auditoria (p. ex. uma atividade de um pequeno projeto).

Outros fatores com impacto na extensão do programa de auditorias incluem o seguinte:

− objetivo, âmbito e duração de cada auditoria bem como número de auditorias a conduzir, incluindo o seguimento de auditorias, se aplicável;

− número, importância, complexidade, semelhança e localização das atividades a serem auditadas;

− fatores que influenciam a eficácia do sistema de gestão;

− critérios da auditoria aplicáveis, tais como os preparativos planeados para as normas de gestão relevantes, exigências legais, contratuais e outros requisitos com os quais a organização esteja comprometida;

− conclusões de auditorias internas e externas anteriores;

− resultados da revisão de um programa de auditorias anterior;

(17)

NP

EN ISO 19011

2012

p. 17 de 55

− as preocupações de partes interessadas, tais como reclamações de clientes e a não conformidade com exigências legais;

− alterações significativas no auditado ou nas suas operações;

− disponibilidade de tecnologias de informação e de comunicação que deem suporte às atividades de auditoria, em particular a utilização de métodos de auditoria à distância (ver secção B.1);

− a ocorrência de acontecimentos internos ou externos, tais como falhas em produtos, quebras na segurança da informação, incidentes no domínio da segurança e saúde do trabalho, atos criminosos ou incidentes ambientais.

5.3.4 Identificação e avaliação dos riscos do programa de auditorias

Há muitos riscos diferentes associados ao estabelecimento, implementação, monitorização, revisão e melhoria de um programa de auditorias, que poderão afetar a consecução dos seus objetivos. A pessoa responsável pela gestão do programa de auditorias deverá ter estes riscos em consideração quando o elabora. Estes riscos poderão estar associados ao seguinte:

− planeamento, p. ex. falha no estabelecimento de objetivos relevantes para a auditoria e determinação da extensão do programa de auditorias;

− recursos, p. ex. estabelecendo tempo insuficiente para desenvolver o programa de auditorias ou para conduzir uma auditoria;

− seleção da equipa auditora, p. ex. a equipa não reúne a competência coletiva para conduzir auditorias com eficácia;

− implementação, p. ex. comunicação ineficaz do programa de auditorias;

− registos e respetivo controlo, p. ex. falha na proteção adequada dos registos de auditorias para demonstrar a eficácia do programa de auditorias;

− monitorização, revisão e melhoria do programa de auditorias, p. ex. monitorização ineficaz dos resultados do programa de auditorias.

5.3.5 Estabelecimento de procedimentos para o programa de auditorias

A pessoa responsável pela gestão do programa de auditorias deverá estabelecer um ou mais procedimentos que abordem o seguinte, conforme aplicável:

− planeamento e calendarização das auditorias tendo em consideração os riscos do programa de auditorias;

− garantia da segurança e da confidencialidade da informação;

− garantia da competência dos auditores e dos auditores coordenadores;

− seleção das equipas auditoras adequadas e atribuição de funções e responsabilidades;

− condução das auditorias, incluindo a utilização de métodos de amostragem adequados;

− condução do seguimento da auditoria, se aplicável;

− reporte à gestão de topo quanto às consecuções globais do programa de auditorias;

− manutenção dos registos dos programas de auditoria;

(18)

NP

EN ISO 19011

2012

p. 18 de 55

5.3.6 Identificação dos recursos do programa de auditorias

Ao identificar os recursos para o programa de auditorias, a pessoa responsável pela gestão do programa de auditorias deverá ter em consideração:

− os recursos financeiros necessários para desenvolver, implementar, gerir e melhorar as atividades de auditoria;

− os métodos de auditoria;

− a disponibilidade de auditores e de peritos técnicos com as competências adequadas aos objetivos específicos do programa de auditorias;

− a extensão do programa de auditorias e os respetivos riscos;

− os tempos e custos de deslocação, o alojamento e outras necessidades relativas à auditoria;

− a disponibilidade de tecnologias de informação e de comunicação.

5.4 Implementação do programa de auditorias 5.4.1 Generalidades

Para implementar o programa de auditorias, a pessoa responsável pela gestão do programa de auditorias deverá:

− comunicar as partes pertinentes do programa de auditorias às partes interessadas relevantes e informá-las periodicamente sobre o seu progresso;

− definir objetivos, âmbito e critérios para cada uma das auditorias;

− coordenar e calendarizar as auditorias e outras atividades relevantes para o programa de auditorias;

− assegurar a seleção de equipas auditoras com a competência necessária;

− disponibilizar os recursos necessários às equipas auditoras;

− assegurar a condução das auditorias de acordo com o programa de auditorias e dentro dos prazos acordados;

− assegurar que as atividades de auditoria são registadas e a correta gestão e manutenção desses registos.

5.4.2 Definição dos objetivos, âmbito e critérios de cada auditoria

Cada uma das auditorias deverá estar baseada em objetivos, âmbito e critérios de auditoria documentados. Estes deverão ser definidos pela pessoa responsável pela gestão do programa de auditorias e ser consistentes com os objetivos globais do programa de auditorias.

Os objetivos da auditoria definem o que deve ser atingido em cada auditoria e poderão incluir o seguinte:

− determinação do grau de conformidade do sistema de gestão a ser auditado, ou de partes do mesmo, com os critérios da auditoria;

− determinação do grau de conformidade das atividades, processos e produtos com os requisitos e procedimentos do sistema de gestão;

− avaliação da capacidade do sistema de gestão para assegurar conformidade com exigências legais e contratuais e outros requisitos com os quais a organização se tenha comprometido;

(19)

NP

EN ISO 19011

2012

p. 19 de 55

− identificação de áreas para melhoria potencial do sistema de gestão.

O âmbito da auditoria deverá ser consistente com o programa de auditorias e com os objetivos da auditoria. Inclui fatores como locais, unidades organizacionais, atividades e processos a auditar, bem como a duração da auditoria.

Os critérios da auditoria são utilizados como referências em relação às quais se determina a conformidade e poderão incluir políticas, procedimentos, normas, exigências legais, requisitos de sistemas de gestão, requisitos contratuais, códigos de conduta sectoriais aplicáveis ou outros preparativos planeados.

Se ocorrerem quaisquer alterações nos objetivos, âmbito ou critérios da auditoria, o programa de auditorias deverá ser modificado se necessário.

Quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados em simultâneo (uma auditoria combinada), é importante que os objetivos, âmbito e critérios sejam consistentes com os objetivos dos programas de auditoria relevantes.

5.4.3 Seleção dos métodos de auditoria

A pessoa responsável pela gestão do programa de auditorias deverá selecionar e determinar os métodos para a condução eficaz da auditoria, em função dos objetivos, âmbito e critérios de auditoria definidos.

NOTA: Orientações quanto à forma de determinar os métodos de auditoria são dadas no Anexo B.

Quando duas ou mais organizações auditoras conduzem uma auditoria conjunta ao mesmo auditado, as pessoas responsáveis pela gestão dos diferentes programas de auditoria, deverão acordar quanto ao método de auditoria e ter em consideração as implicações na atribuição de recursos e no planeamento da auditoria. Se um auditado mantém em funcionamento dois ou mais sistemas de gestão de diferentes disciplinas, o programa de auditorias poderá incluir auditorias combinadas.

5.4.4 Seleção dos membros da equipa auditora

A pessoa responsável pela gestão do programa de auditorias deverá nomear os membros da equipa auditora, incluindo o coordenador da equipa e quaisquer peritos técnicos necessários para a auditoria específica. Uma equipa auditora deverá ser selecionada, tendo em consideração as competências necessárias para a consecução dos objetivos de uma das auditorias, dentro do âmbito definido. Se for apenas um auditor, este deverá assumir todas as obrigações aplicáveis a um auditor coordenador.

NOTA: A secção 7 contém orientações para a determinação das competências requeridas para os membros da equipa auditora e descreve o processo para a avaliação dos auditores.

Ao decidir a dimensão e a composição da equipa auditora para uma dada auditoria, deverá ser tido em consideração o seguinte:

a) competência global da equipa auditora, necessária para a consecução dos objetivos da auditoria, tendo em consideração o âmbito e os critérios da auditoria;

b) a complexidade da auditoria e se a mesma é uma auditoria combinada ou conjunta; c) os métodos de auditoria que foram selecionados;

d) exigências legais e contratuais e outros requisitos com os quais a organização se tenha comprometido; e) a necessidade de assegurar a independência dos membros da equipa auditora, em relação às atividades a

auditar e de evitar quaisquer conflitos de interesses [ver o princípio e) na secção 4];

f) a aptidão dos membros da equipa auditora para interagir eficazmente com os representantes do auditado e para trabalhar em conjunto;

(20)

NP

EN ISO 19011

2012

p. 20 de 55

g) o idioma da auditoria e as características sociais e culturais do auditado. Estas questões poderão ser resolvidas, quer através das próprias competências do auditor, quer com o suporte de um perito técnico. Para garantir as competências globais da equipa auditora, deverão ser dados as seguintes etapas:

− identificar os conhecimentos e saber fazer necessário, para a consecução dos objetivos da auditoria;

− selecionar os membros da equipa auditora de forma a garantir que todo o conhecimento e saber fazer, estão presentes na equipa auditora.

Se os auditores da equipa auditora não reunirem todas as competências necessárias, deverão ser incluídos peritos técnicos com as competências adicionais. Os peritos técnicos deverão atuar sob a direção de um auditor, mas não deverão agir como auditores.

Auditores em formação poderão ser incluídos na equipa auditora, mas deverão participar sob a direção e a orientação de um auditor.

Ajustes à dimensão e à composição da equipa auditora poderão ser necessários durante a auditoria, isto é, se surgirem conflitos de interesse ou questões de competência. Se se verificarem tais situações, deverá ser discutido com as partes adequadas (p. ex. auditor coordenador, a pessoa responsável pela gestão do programa de auditorias, o cliente da auditoria ou o auditado) antes de se proceder a quaisquer ajustes.

5.4.5 Atribuição da responsabilidade por uma auditoria ao auditor coordenador

A pessoa responsável pela gestão do programa de auditorias deverá atribuir a um auditor coordenador a responsabilidade pela condução de cada auditoria.

A atribuição deverá ser feita com um prazo suficiente antes da data marcada para a auditoria, tendo em vista assegurar o planeamento eficaz da auditoria.

Para assegurar que cada uma das auditorias é conduzida com eficácia, a seguinte informação deverá ser fornecida ao auditor coordenador:

a) os objetivos da auditoria;

b) os critérios da auditoria e quaisquer documentos de referência;

c) o âmbito da auditoria, incluindo a identificação das unidades organizacionais e funcionais e dos processos a serem auditados;

d) métodos e procedimentos de auditoria; e) composição da equipa auditora;

f) detalhes dos contactos do auditado, os locais, as datas e a duração das atividades de auditoria a serem conduzidas;

g) a alocação de recursos adequados para a condução da auditoria;

h) a informação necessária para avaliar e abordar os riscos identificados para a consecução dos objetivos da auditoria.

Esta informação deverá também englobar o seguinte, conforme adequado:

− o idioma de trabalho e do relatório da auditoria, sempre que seja diferente do idioma do auditor, do auditado ou de ambos;

− o conteúdo e a distribuição do relatório de auditoria requeridos pelo programa de auditorias;

− questões relacionadas com confidencialidade e segurança da informação, se requerido pelo programa de auditorias;

(21)

NP

EN ISO 19011

2012

p. 21 de 55

− quaisquer requisitos de segurança e saúde do trabalho para os auditores;

− quaisquer requisitos de segurança pessoal*)e autorizações;

− quaisquer ações de seguimento, p. ex. de uma auditoria anterior, se aplicável;

− coordenação com outras atividades de auditoria, no caso de uma auditoria conjunta.

Quando se conduz uma auditoria conjunta, antes de a mesma começar, é importante obter o acordo entre as organizações que conduzem a auditoria, quanto às responsabilidades específicas de cada parte, particularmente no que se refere à autoridade do coordenador da equipa auditora que tenha sido nomeado.

5.4.6 Gestão dos resultados do programa de auditorias

A pessoa responsável pela gestão do programa de auditorias deverá assegurar-se de que as seguintes atividades são executadas:

− rever e aprovar os relatórios de auditoria, incluindo a avaliação da adequação das constatações da auditoria;

− rever as análises de causas na raiz e a eficácia das ações corretivas e preventivas;

− distribuir os relatórios de auditoria à gestão de topo e a outras partes relevantes;

− determinar a necessidade de uma auditoria de seguimento.

5.4.7 Gestão e manutenção dos registos do programa de auditorias

A pessoa responsável pela gestão do programa de auditorias deverá assegurar-se de que os registos das auditorias são criados, geridos e mantidos para demonstrar a implementação do programa de auditorias. Deverão ser estabelecidos processos para assegurar que são abordadas quaisquer necessidades de confidencialidade associadas com os registos das auditorias.

Os registos deverão incluir o seguinte:

a) registos relacionados com o programa de auditorias, tais como:

− objetivos e extensão documentados do programa de auditorias;

− os que abordem riscos do programa de auditorias;

− revisões da eficácia do programa de auditoria;

b) registos relacionados com cada uma das auditorias, tais como:

− planos e relatórios das auditorias;

− relatórios de não conformidades;

− relatórios de ações corretivas e preventivas;

− relatórios do seguimento das auditorias, se aplicável;

c) registos relacionados com o pessoal que audita, cobrindo questões como:

− competência e avaliação do desempenho dos membros da equipa auditora;

− seleção das equipas auditoras e dos membros das equipas;

*)

Corresponde ao termo “security” no original em inglês, que se pode entender fundamentalmente como “proteção e preservação das pessoas, bens e informação quer tangível, quer intangível” (nota nacional).

(22)

NP

EN ISO 19011

2012

p. 22 de 55

− manutenção e melhoria da competência.

A forma e o nível de detalhe dos registos deverão demonstrar a consecução dos objetivos do programa de auditorias.

5.5 Monitorização do programa de auditorias

A pessoa responsável pela gestão do programa de auditorias deverá monitorizar a sua implementação, tendo em consideração a necessidade de:

a) avaliar a conformidade com programas, calendários e objetivos das auditorias; b) avaliar o desempenho dos membros da equipa auditora;

c) avaliar a aptidão dos membros da equipa auditora para implementar o plano de auditoria;

d) avaliar o retorno de informação da gestão de topo, dos auditados, dos auditores e de outras partes interessadas.

Alguns fatores poderão determinar a necessidade de modificar o programa de auditorias, tais como:

− constatações da auditoria;

− nível de eficácia demonstrado pelo sistema de gestão;

− alterações no sistema de gestão do cliente ou do auditado;

− alterações em normas, exigências legais e contratuais e outros requisitos com os quais a organização se tenha comprometido;

− mudança de fornecedor.

5.6 Revisão e melhoria do programa de auditorias

A pessoa responsável pela gestão do programa de auditorias deverá rever o programa de auditorias para avaliar se os seus objetivos foram atingidos. As lições aprendidas com a revisão do programa de auditorias deverão ser usadas como entradas para o processo de melhoria contínua do programa.

A revisão do programa de auditorias deverá ter em consideração o seguinte: a) resultados e tendências da monitorização do programa de auditorias; b) conformidade com os procedimentos do programa de auditorias; c) evolução das necessidades e expectativas das partes interessadas; d) registos do programa de auditorias;

e) métodos de auditoria alternativos ou novos;

f) eficácia das medidas para abordar os riscos associados ao programa de auditorias;

g) questões de confidencialidade e de segurança da informação relacionadas com o programa de auditorias. A pessoa responsável pela gestão do programa de auditorias deverá rever a implementação global do programa de auditorias, identificar áreas de melhoria, emendar o programa se necessário, e deverá também:

− rever o desenvolvimento profissional continuado dos auditores, de acordo com 7.4, 7.5 e 7.6;

(23)

NP

EN ISO 19011

2012

p. 23 de 55

6 Realização de uma auditoria

6.1 Generalidades

Esta secção contém orientação sobre a preparação e a condução de atividades de auditoria, que façam parte de um programa de auditorias. A Figura 2 proporciona uma visão global das atividades típicas de uma auditoria. O grau de extensão da aplicação das disposições desta secção depende dos objetivos e do âmbito da auditoria em causa.

(24)

NP

EN ISO 19011

2012

p. 24 de 55

NOTA: A numeração de subsecções refere-se às correspondentes subsecções desta Norma Internacional.

Figura 2 – Atividades típicas de uma auditoria

6.2 Início da auditoria

6.2.1 Generalidades

6.2.2 Estabelecimento do contacto inicial com o auditado 6.2.3 Determinação da exequibilidade da auditoria

6.3 Preparação das atividades de auditoria

6.3.1 Revisão da documentação na preparação da auditoria 6.3.2 Preparação do plano da auditoria

6.3.3 Atribuição de tarefas à equipa auditora 6.3.4 Preparação dos documentos de trabalho

6.5 Preparação e distribuição do relatório da auditoria

6.5.1 Preparação do relatório da auditoria 6.5.2 Distribuição do relatório da auditoria

6.6 Encerramento da auditoria 6.7 Condução do seguimento da auditoria

(se especificado no plano de auditoria)

6.4 Condução das atividades de auditoria

6.4.1 Generalidades

6.4.2 Condução da reunião de abertura

6.4.3 Revisão da documentação enquanto se conduz a auditoria 6.4.4 Comunicação durante a auditoria

6.4.5 Atribuição de funções e responsabilidades a guias e observadores 6.4.6 Recolha e verificação da informação

6.4.7 Elaboração das constatações da auditoria 6.4.8 Preparação das conclusões da auditoria 6.4.9 Condução da reunião de encerramento

(25)

NP

EN ISO 19011

2012

p. 25 de 55 6.2 Início da auditoria 6.2.1 Generalidades

Quando se inicia uma auditoria, a responsabilidade pela sua condução até que a mesma seja encerrada (ver 6.6) é do auditor coordenador que tenha sido nomeado (ver 5.4.5).

Para iniciar uma auditoria, deverão ser tidos em consideração as etapas da Figura 2; contudo, dependendo do auditado, dos processos e de circunstâncias específicas, a sequência pode ser diferente.

6.2.2 Estabelecimento do contacto inicial com o auditado

O contacto inicial com o auditado para a realização da auditoria pode ser informal ou formal e deverá ser feito pelo auditor coordenador. Os propósitos do contacto inicial são os seguintes:

− estabelecer canais de comunicação com os representantes do auditado;

− confirmar que está autorizado a conduzir a auditoria;

− fornecer informação sobre objetivos, âmbito, métodos e composição da equipa auditora, incluindo peritos técnicos;

− solicitar acesso a documentos e registos relevantes para efeitos de planeamento;

− determinar os exigências legais e contratuais aplicáveis e quaisquer outros requisitos relevantes para as atividades e produtos do auditado;

− confirmar o acordado com o auditado no que se refere à extensão da divulgação e ao tratamento de informação confidencial;

− fazer os preparativos para a auditoria, incluindo a calendarização das datas;

− determinar quaisquer requisitos específicos do local quanto a acesso, segurança pessoal, segurança e saúde do trabalho ou outros aplicáveis;

− acordar sobre a participação de observadores e a necessidade de guias para a equipa auditora;

− determinar quaisquer áreas de interesse ou preocupação para o auditado em relação à auditoria específica.

6.2.3 Determinação da exequibilidade da auditoria

A exequibilidade da auditoria deverá ser determinada para proporcionar confiança razoável na consecução dos objetivos da auditoria.

A determinação da exequibilidade deverá ter em consideração fatores tais como a disponibilidade de:

− informação suficiente e adequada para planear e conduzir a auditoria;

− cooperação adequada por parte do auditado;

− tempo e recursos adequados para a condução da auditoria.

Quando a auditoria não for exequível, deverá ser proposta ao cliente da auditoria uma alternativa que tenha o acordo do auditado.

(26)

NP

EN ISO 19011

2012

p. 26 de 55

6.3 Preparação das atividades de auditoria

6.3.1 Revisão da documentação na preparação da auditoria

A documentação relevante do sistema de gestão do auditado deverá ser revista para:

− recolher informação para preparar as atividades de auditoria e os documentos de trabalho aplicáveis (ver 6.3.4), p. ex. relativos a processos, funções;

− obter uma visão global da extensão da documentação do sistema para detetar possíveis lacunas.

NOTA: Orientações quanto à forma de realizar uma revisão da documentação são dadas na secção B.2.

A documentação deverá incluir, conforme aplicável, documentos e registos do sistema de gestão, bem como relatórios de auditorias anteriores. A revisão da documentação deverá ter em consideração a dimensão, a natureza e a complexidade do sistema de gestão e da organização do auditado, bem como os objetivos e o âmbito da auditoria contaminação em instalações do tipo clean room*).

6.3.2 Preparação do plano da auditoria

6.3.2.1 O auditor coordenador deverá preparar um plano da auditoria com base na informação contida no

programa de auditorias e na documentação fornecida pelo auditado. O plano de auditoria deverá ter em consideração o efeito das atividades de auditoria nos processos do auditado e proporcionar a base para um acordo entre o cliente da auditoria, a equipa auditora e o auditado no que se refere à condução da auditoria. O plano deverá promover a eficiente calendarização e coordenação das atividades da auditoria para a consecução eficaz dos objetivos da auditoria.

O grau de detalhe fornecido no plano da auditoria deverá refletir o âmbito e a complexidade da auditoria, bem como o efeito da incerteza na consecução dos objetivos da auditoria. Ao preparar o plano da auditoria, o auditor coordenador deverá estar ciente do seguinte:

− técnicas de amostragem adequadas (ver secção B.3);

− composição da equipa auditora e a sua competência coletiva;

− riscos para a organização que resultem da auditoria.

Os riscos para a organização poderão, por exemplo, decorrer da influência da presença de membros da equipa auditora, sobre a segurança e a saúde do trabalho, o ambiente e a qualidade, e cuja presença represente ameaças para os produtos, serviços, pessoal ou infraestrutura do auditado (p. ex. contaminação em instalações do tipo*)).

Em auditorias combinadas deverá ser dada particular atenção às interações entre processos operacionais e os objetivos e prioridades conflituantes dos diferentes sistemas de gestão.

6.3.2.2 A extensão e os conteúdos do plano de auditoria poderão diferir, por exemplo, entre a auditoria

inicial e as auditorias seguintes, bem como entre auditorias internas e auditorias externas. O plano da auditoria deverá ser suficientemente flexível para permitir as alterações que se poderão tornar-se necessárias, à medida que as atividades de auditoria progridam.

*)

(27)

NP

EN ISO 19011

2012

p. 27 de 55

O plano de auditoria deverá cobrir ou referir o seguinte: a) os objetivos da auditoria;

b) o âmbito da auditoria, incluindo a identificação das unidades organizacionais e funcionais, bem como os processos a auditar;

c) os critérios da auditoria e quaisquer documentos de referência;

d) os locais, datas, horas e durações expectáveis das atividades de auditoria a conduzir, incluindo reuniões com a gestão do auditado;

e) os métodos de auditoria a utilizar, incluindo o nível de amostragem requerido pela auditoria para obter evidências de auditoria suficientes e o modelo do plano de amostragem, se aplicável;

f) as funções e as responsabilidades dos membros da equipa auditora, bem como dos guias e dos observadores;

g) a alocação de recursos adequados às áreas críticas da auditoria.

O plano de auditoria poderá também cobrir o seguinte, conforme adequado:

− identificação do representante do auditado para a auditoria;

− o idioma de trabalho e do relatório da auditoria quando seja diferente do idioma do auditor, do auditado ou de ambos;

− os tópicos do relatório de auditoria;

− preparativos quanto a logística e a comunicações, incluindo preparativos específicos para os locais a serem auditados;

− quaisquer medidas específicas a tomar para abordar o efeito da incerteza, no atingir dos objetivos da auditoria;

− questões relacionadas com a confidencialidade e segurança da informação;

− quaisquer ações de seguimento de uma auditoria anterior;

− quaisquer ações de seguimento para a auditoria planeada;

− coordenação com outras atividades de auditoria, no caso de ser uma auditoria conjunta.

O plano poderá ser revisto e aceite pelo cliente da auditoria e deverá ser apresentado ao auditado. Quaisquer objeções do auditado ao plano de auditoria deverão ser resolvidas entre o auditor coordenador, o auditado e o cliente da auditoria.

6.3.3 Atribuição de tarefas à equipa auditora

O auditor coordenador, tendo consultado a equipa auditora, deverá atribuir a cada membro da equipa responsabilidades para auditar processos, atividades, funções ou locais específicos. Tais atribuições deverão ter em consideração a independência e a competência dos auditores e a utilização eficaz dos recursos, bem como as diferentes funções e responsabilidades dos auditores, dos auditores em formação e dos peritos técnicos.

O auditor coordenador deverá fazer, conforme adequado, pontos de situação com a equipa auditora para distribuir tarefas e decidir possíveis alterações. As alterações às atribuições de tarefas podem ser efetuadas à medida que a auditoria progride, de modo a assegurar a consecução dos objetivos da auditoria.

(28)

NP

EN ISO 19011

2012

p. 28 de 55

6.3.4 Preparação dos documentos de trabalho

Os membros da equipa auditora deverão recolher e rever a informação relevante, para as suas atribuições na auditoria e preparar os documentos de trabalho, conforme necessário, para referência e para registo das evidências de auditoria. Tais documentos de trabalho poderão incluir:

− listas de verificação;

− planos de amostragem da auditoria;

− formulários para registo de informação, tais como evidências de suporte, constatações da auditoria e registos de reuniões.

A utilização de listas de verificação e formulários não deverá restringir a extensão das atividades de auditoria, que podem ser alteradas como resultado da informação recolhida durante a auditoria.

NOTA: Orientações relativas à preparação de documentos de trabalho são dadas na secção B.4.

Os documentos de trabalho, incluindo os registos decorrentes da sua utilização, deverão ser retidos pelo menos até à conclusão da auditoria, ou conforme especificado no plano de auditoria. A retenção de documentos após a conclusão da auditoria está descrita em 6.6. Os documentos que envolvam informação confidencial ou da propriedade da organização, deverão ser devidamente salvaguardados durante o tempo todo, pelos membros da equipa auditora.

6.4 Condução das atividades de auditoria 6.4.1 Generalidades

As atividades de auditoria são normalmente conduzidas numa sequência definida como a da Figura 2. Esta sequência poderá ser alterada para se adaptar às circunstâncias de auditorias específicas.

6.4.2 Condução da reunião de abertura

O propósito da reunião de abertura é:

a) confirmar o acordo de todas as partes (p. ex. auditado, equipa auditora) com o plano da auditoria; b) apresentar a equipa auditora;

c) assegurar que todas as atividades de auditoria planeadas podem ser executadas.

Deverá ser realizada uma reunião de abertura com a gestão do auditado e, onde adequado, com os responsáveis pelas funções ou processos a auditar. Durante a reunião deverá ser dada a oportunidade de serem colocadas questões.

O grau de detalhe deverá ser consistente com a familiaridade do auditado com o processo de auditoria. Em muitas situações, p. ex. no caso de auditorias internas numa pequena organização, a reunião de abertura poderá simplesmente, consistir em comunicar que vai ser conduzida uma auditoria e em explicar a sua natureza.

Noutras situações de auditoria, a reunião poderá ser formal e deverão ser mantidos registos das presenças. A reunião deverá ser dirigida pelo auditor coordenador e, conforme adequado, deverão ser tidos em consideração os seguintes pontos:

− apresentação dos participantes, incluindo observadores e guias, com uma breve descrição das respetivas funções;

Imagem

Referências

temas relacionados : Norma Portuguesa NP ISO 2631-1