Professional Documents
Culture Documents
[B~~aJ,,~o~rr
[BrralS~~
Solues em Treinamento e Certificao
19011 .
'
,'"
:'f~
t ..
,-., .; i .
~ .
.,"...\ ....:-
Behaviour Brasil
Treinamcntoc
(
Consultoria
._.~t
.
NORMA
BRASILEIRA
ABNTNBR
ISO
19011
Segunda edio
16.04.2012
Vlida a partir de
16.05.2012
ASSOCIAAO
BRASILEIRA
DE NORMAS
TCNICAS
ISBN 978-85-07-03370-7
Nmero de referncia
ABNT NBR ISO 19011:2012
53 pginas
t
L
@IS02011
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desla publicao pode ser
reproduzida ou utilizada por qualquer melo, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por
escrito da ABNT, nico representante da ISO no territrio brasileiro.
@ABNT2012
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser
reproduzida ou utilizada por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por
escrito da ABNT.
.,:>
><
"o
ABNT
Av.Treze de Maio, 13 - 28. andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 3974-2346
abnt@abnt.org.br
www.abnt.org.br
'":>
I!!
~
~
o.
E
":l
ii
Sumrio
Pgina
Escopo .................................................................................................................
Princpios
Gerenciando
5.1
Generalidades .............................................................................................. 6
5.2
Estabelecendo
5.3
Estabelecendo
5.3.1
Papis e responsabilidades
Competncia
~
o
~
,...
5.3.3
Determinando
12
5.3.4
Identificando
'"'(";
5.3.5
Estabelecendo
5.3.6
Identificando
'"'"E
a.
de auditoria ........................................................................................ .4
5.3.2
,:;-
vi
5.4
Implementando
()
5.4.1
Generalidades ............................................................................................. 11
'"'"...
5.4.2
5.4.3
Selecionando
5.4.4
Selecionando
5.4.5
Atribuindo
.2
e.
responsabilidades
.............. 12
ao lder da equipe
de auditoria .............................................................................................................
14
5.4.6
Gerenciando
os resultados
5.4.7
Gerenciando
5.5
Monitorando
5.6
Analisando
Executando
6.1
Generalidades ............................................................................................... 17
6.2
<ri
6.2.1
Generalidades .................................................................................18
::>
:>
6.2.2
Estabelecendo
6.2.3
Determinando
6.3
6.3.1
::I
'"
6.3.2
6.3.3
Designando
6.3.4
l!!
6.4
Conduzindo
6.4.1
Generalidades ............................................................................................. 21
6.4.2
Conduzindo
"
ci,
O>
...:
'"~
~
...J
;
~
.x
:;;
."
"o
'"
::I
co
a.
.!1l
a.
o programa da auditoria
criticamente
e melhorando
16
o programa da auditoria ...............
16
17
da auditoria ......................................................... 18
19
da auditoria ........................................................................
21
"II
o ISO 2011
iii
6.4.3
6.4.4
6.4.5
6.4.6
6.4.7
6.4.8
6.4.9
6.5
Preparando e distribuindo
6.5.1
6.5.2
6.6
6.7
7
7.1
7.2
da auditoria ................................................ 28
7.2.1
7.2.2
Comportamento
7.2.3
7.2.4
7.2.5
7.3
7.4
7.5
7.6
pessoal ............................................................................................30
Bibliografia ...........................................................................................
52
Anexos
Anexo A (informativo) Diretrizes e exemplos Ilustrativos de conhecimentos
e habilidades
Generalidades ............................................................................................
37
A.2
.
~
U>
:>
A.3
A.4
11
"o
U>
:>
:;;
A.5
l'!
A.6
.
E
40
-ri"
iv
A.7
Exemplo ilustrativo
especificas
A.8
de conhecimento
e habilidades
de auditores de disciplinas
Exemplo ilustrativo
de conhecimento
e habilidades
de auditores de disciplinas
especificas
A.8.1
Habilidades
e conhecimentos
A.8.2
Conhecimento
e habilidades
................................ 42
gerais ........................................................... 42
relacionadas
e realizao
de auditorias ...........................................................................
44
B.1
Aplicando
B.2
B.3
B.3.1
B.3.2
Amostragem
baseada no julgamento
B.3.3
Amostragem
estatfsti ca ...................................................................47
B.4
B.5
B.6
B.7
B.8
B.8.1
Determinando
........................................................47
as constataes
da auditoria ...............................................................
50
B.8.2
B.8.3
B.8.4
relacionadas
a mltiplos
critrios ...................51
/
'"
Figuras
Figura 1 - Fluxograma
Figura 2 - Atividades
_
do processo para gerenciamento
de um programa de auditoria
de Informaes
7
17
......................... 24
Tabelas
Tabela 1- Escopo desta Norma e sua relao com a ABNT NBR ISOIIEC 17021:2011
vlli
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNn o Foro Nacional de Normalizao. As Normas
Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so
elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos,
delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
Os Documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.
A Associao Brasileira de Normas Tcnicas (ABNn chama ateno para a possibilidade de que
alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser
considerada responsvel pela identificao
de quaisquer direitos de patentes.
.
,
A ABNT NBR ISO 19011 foi elaborada no Comit Brasileiro da Qualidade (ABNT/CB-25), pela Comisso de Estudo de Tecnologia de Suporte (CE-25:000.03). O Projeto circulou em Consulta Nacional
conforme Edital nO02, de 23.02.2012 a 26.03.2012, com o nmero de Projeto ABNT NBR ISO 19011.
Esta Norma uma adoo idntica, em contedo tcnico, estrutura e redao, ISO 19011 :2011 , que
foi elaborada pelo Technical Committee Quality Management and Quality Assurance (SOITC 176),
Subcommittee Supporting Technologies (SC 3), conforme ISOIIEC Guide 21-1 :2005.
Esta segunda edio cancela e substitui a edio anterior (ABNT NBR ISO 19011:2002), a qual foi
tecnicamente revisada
As principais diferenas comparadas com a primeira edio so as seguintes:
o escopo foi ampliado de auditoria de sistemas de gesto da qualidade e meio ambiente para
auditoria de sistemas de gesto de qualquer natureza;
.
a relao entre a ABNT NBR ISO 19011 e a ABNT NBR ISO/IEC 17021 foi esclarecida;
-
vi
o Escopo
Scope
This Intemational Standard provides guidance on auditing management systems, including lhe
principies of auditing, managing an audit programme and conducting management system audits, as
well as guidance on the evaluation of competence of individuais involved in the audit process, including
lhe person managing the audit programme, auditors and audit teams.
li is applicable to ali organizations that need to conduct internai
systems ar manage an audit programme.
The application of this International S/andam to other types of audits is possible, provided Ihat special
consideration is given to the specific competence needed.
vii
Introduo
Desde que a primeira edio desta Norma foi publicada, em 2002, um nmero de novas normas de
sistemas de gesto foi publicado. Como resultado, h, agora, a necessidade de se considerar um
escopo mais abrangente de auditoria de sistema de gesto, como tambm fornecer diretrizes que
sejam mais genricas.
Em 2006, o comit ISO para avaliao da conformidade (CASCO) desenvolveu a I50/1 EC 17021
(ABNT NBR ISO 17021), que estabelece requisitos para sistemas de gesto de certificao de terceira
parte e que se baseou parcialmente nas diretrizes contidas na primeira edio desta Norma.
"
I:!
"
~
.'l
I
Co
A segunda edio da ISO/lEC 17021 (ABNT NBR ISO 17021), publicada em 2011, foi ampliada para
transformar as diretrizes em requisitos para auditorias de certificao de sistemas de gesto. , neste
contexto, que a segunda edio desta Norma fornece diretrizes para todos os usurios, incluindo micro,
pequenas e mdias organizaes, e concentra-se naquilo que comumente denominado de auditorias
internas (primeira parte) e auditorias conduzidas por clientes em seus fornecedores (segunda parte).
Enquanto os envoMdos nas auditorias de certificao de sistemas de gesto seguem os requisitos da
ISO/lEC 17021 :2011 (ABNT NBR ISO 17021), eles podem tambm considerar teis as diretrizes contidas nesta Norma .
A relao entre esta segunda edio desta Norma e a ABNT NBR ISO/lEC 17021 :2011 mostrada
na Tabela 1.
cO
Tabela 1 - Escopo desta Norma e sua relao com a ABNT NBR 150nEC 17021 :2011
,.,
:j
o
Auditoria externa
Auditoria
interna
Auditoria no fornecedor
~
~
<;j
~
~
...:'"
~
,
Esta Norma no estabelece requisitos, mas fornece diretrizes sobre a gesto de um programa de
auditoria, sobre o planejamento e a realizao de uma auditoria de sistema de gesto, bem como
sobre a competncia e a avaliao de um auditor e de uma equipe de auditoria.
Organizaes podem operar mais de um sistema de gesto formal. Para simplificar a leitura desta
Norma, o termo "sistema de gesto" o preferido. porm o leitor pode adaptar a implementao das
diretrizes para sua prpria situao em particular. Isto tambm se aplica ao uso de "pessoa" e "pessoas", "auditor" e "auditores".
Pretende-se que esta Norma seja aplicada a uma ampla gama de potenciais usurios, incluindo
auditores, organizaes que implementam sistemas de gesto e organizaes que necessitam
realizar auditorias de sistemas de gesto por razes contratuais ou regulamentares. Os usurios desta
Norma podem, entretanto, utilizar estas diretrizes no desenvolvimento dos seus prprios requisitos
relacionados auditoria.
viii
co ISO 2011
-QABNT
'\
As diretrizes desta Norma podem tambm ser usadas com a finalidade de autodeclarao e podem
ser teis s organizaes envolvidas no treinamento de auditor ou certificao pessoal.
As diretrizes desta Norma procuram ser ftexlveis. Conforme indicado em vrios pontos no texto, o uso
destas diretrizes pode variar dependendo do tamanho e do nfvel de maturidade do sistema de gesto
de uma organizao e da natureza e complexidade da organizao a ser auditada, como tambm com
os objetivos e escopo das auditorias a serem executadas.
Esta Norma introduz o conceito de risco para auditoria de sistemas de gesto. O enfoque adotado se
relaciona com o risco do processo de auditoria em no atingir seus objetivos e com a possibilidade
de a auditoria interferir com os processos e atividades da organizao auditada. Esta Norma no
fornece diretrizes especificas sobre o processo de gesto de risco da organizao, mas reconhece
que as organizaes podem focar o esforo de auditoria em assuntos de importncia para o sistema
de gesto.
Esta Norma adota o enfoque de que quando dois ou mais sistemas de gesto de diferentes disciplinas
so auditados em conjunto, isto chamado de "auditoria combinada". Quando esses sistemas so
integrados em um sistema de gesto nico, os princlpios e processos de auditoria so os mesmos que
para uma auditoria combinada.
A Seo 3 estabelece os termos-chave e definies usados nesta Norma. Todo um esforo foi feito
para assegurar que estas definies no conflitem com as definies usadas em outras normas.
A Seo 4 descreve os princfpios nos quais a auditoria est baseada. Estes princfpios ajudam o usurio a entender a natureza essencial de auditoria e so importantes no entendimento das diretrizes
estabelecidas nas Sees 5 a 7.
A Seo 5 fornece orientao sobre como estabelecer e gerenciar um programa de auditoria, estabelecer os objetivos do programa de auditoria e coordenar as atividades de auditoria.
A Seo 6 fornece orientao sobre como planejar e realizar uma auditoria de um sistema de gesto.
A Seo 7 fornece orientao relacionada com a competnCia e a avaliao de auditores de sistemas
de gesto e das equipes de auditoria.
o Anexo B fornece orientao adicional para auditores sobre o planejamento e a realizao de auditorias.
ix
NORMA BRASILEIRA
1 Escopo
Esta Norma fornece orientao sobre auditoria de sistemas de gesto, incluindo os princfpios de audi.
toria, a gesto de um programa de auditoria e a realizao de auditorias de sistema de gesto, como
tambm orientao sobre a avaliao da competncia de pessoas envoMdas no processo de audi.
toria, incluindo a pessoa que gerencia o programa de auditoria, os auditores e a equipe de auditoria.
Ela aplicvel a todas as organizaes que necessitam realizar auditorias internas ou externas
de sistemas de gesto ou gerenciar um programa de auditoria.
A aplicao desta Norma para outros tipos de auditorias possfvel, desde que seja dada considerao especial para a necessidade de competncia especffica.
2 Referncias normativas
No so citadas referncias normativas. Esta seo includa a fim de que se mantenha a numerao idntica da seo com outras normas da ISO de sistema de gesto.
3 Termos e definies
Para os efeitos deste documento, aplicam-se os seguintes termos e definies.
3.1
auditoria
processo sistemtico, documentado e independente para obter evidncia de auditoria (3.3) e avali-Ia,
objetivamente, para determinar a extenso na qual os critrios de auditoria (3.2) so atendidos
NOTA 1 Auditorias Internas, algumas vezes chamadas de auditorias de primeira parte, so conduzidas
pela prpria organizao, ou em seu nome, para anlise critica pela direo e outros propsitos internos
(por exemplo, para confirmar a eficcia do sistema de gesto ou para obter informaes para a melhoria do
sistema de gesto). Auditorias internas podem formar a base para uma autodeclarao de conformidade
da organizao. Em muitos casos, particularmente em pequenas organizaes, a independncia pode ser
demonstrada por meio da iseno de responsabilidade pela atividade que est sendo auditada ou iseno de
tendncias e conflito de interesse por parte do auditor.
NOTA2 Auditorias externas incluem auditorias de segunda e terceira partes. Auditorias de segunda parte
so realizadas por partes que tm um interesse na organizao, como clientes, ou por outras pessoas em
seu nome. Auditorias de terceira parte so realizadas por organizaes de auditoria independentes, como
organismos de regulamentao ou organismos de certificao.
NOTA3 Quando dois ou mais sistemas de gesto de disciplinas diferentes (por exemplo, qualidade, meio
ambiente, segurana e sade ocupacional) so auditados juntos, isto chamado de auditoria combinada.
NOTA4 Quando duas ou mais organizaes de auditoria cooperam para auditar um nico auditado (3.7),
isto chamado de auditoria conjunta.
lo
'.
E
NOTA5
."ri
@IS02011
- CABNT
3.2
critrio de auditoria
conjunto de poifticas, procedimentos ou requisitos usados como uma referncia na qual a evidncia
de auditoria (3.3) comparada
NOTA 1
NOTA2 Se os critrios de auditoria forem requisitos legais (incluindo estatutrio ou regulamentar), os termos .conformidade" ou "no conformidade" so sempre usados nas constataes de auditoria (3.4l.
3.3
evidncia de auditoria
registros, apresentao de fatos ou outras informaes, pertinentes aos critrios
e verificveis
NOTA
de auditoria
(3.2)
3.4
constataes de auditoria
resultados da avaliao da evidncia de auditoria
auditoria (3.2)
NOTA 1
de
NOTA2 Constataes de auditoria podem conduzir identificaode oportunidades para melhoria ou registros de boas prticas.
NOTA3 Se os critrios de auditoria forem selecionados de requisitos legais ou ou1rosrequisitos, a constatao de auditoria denominada de conformidade ou no conformidade.
NOTA4
3.5
concluso de auditoria
resultado de uma auditoria (3.1), aps levar em considerao os objetivos de auditoria e todas
as constataes de auditoria (3.4)
NOTA
3.6
cliente de auditoria
organizao ou pessoa que solicita uma auditoria (3.1)
NOTA 1 No caso de auditoria interna, o cliente de auditoria pode tambm ser o audltado (3.7) ou o gestor
do programa de auditoria. Solicitaes para auditorias externas podem ser oriundas de fontes como organismos de regulamentao, partes contratantes ou clientes potenciais.
NOTA 2
3.7
audltado
organizao que est sendo auditada
[ABNT NBR ISO 9000:2005, definio 3.9.8]
t ~{'4\.:t~
~i
..~)}-
...--"7 ~ ~~~J\
tI I>.
3.8
auditor
/
pessoa que realiza uma auditoria (3.1)
}.'N
\S)
-->-r
~
(Q \ ~
..
l\~. VSffuJ:J
3.9
equipe de auditoria
um ou mais auditores
listas (3.10)
(3.8) que realizam uma auditoria (3.1). apoiados. se necessrio. por especia-
NOTA 1
NOTA 2
NOTA 1 Um observador no faz parte da equipe de auditoria (3.9) e no influencia ou interfere com
a realizao de auditoria (3.1l.
NOTA2 Um observador pode ser do auditado (3.7). de um organismo regulamentador ou outra parte interessada que testemunhe a auditoria (3.1).
3.12
guia
pessoa indicada pelo auditado (3.7) para apoiar a equipe de auditoria (3.9)
3.13
programa de auditoria
conjunto de uma ou mais auditorias
nado a um propsito especfico
NOTA
3.14
escopo de auditoria
abrangncia e limites de uma auditoria (3.1)
NOTA
O escopo de auditoria geralmente inclui uma descrio das localizaes fsicas, unidades organizacionais, atividades e processos. bem como o perodo de tempo coberto.
[ABNT NBR ISO 9000:2005. definio 3.9.13]
C ISO 2011 ~CA8NT
3.15
plano de auditoria
descrio das atividades e arranjos para uma auditoria (3.1)
[ABNT NBR ISO 9000:2005, definio 3.9.12]
3.16
risco
efeito da incerteza nos objetivos
NOTA
3.17
competncia
capacidade de aplicar conhecimentos
habilidades
NOTA
Capacidade implica.a aplicao apropriada do comportamento pessoal durante o processo
de auditoria.
3.18
conformidade
atendimento a um requisito
[ABNT NBR ISO 9000:2005, definio 3.6.1]
3.19
no conformidade
no atendimento a um requisito
[ABNT NBR ISO 9000:2005, definio 3.6.2]
3.20
sistema de gesto
sistema para estabelecer polftica e objetivos, e para tingir estes objetivos
NOTA
Um sistema de gesto de uma organizao pode incluir diferentes sistemas de gesto, como um
sistema de gesto da qualidade. um sistema de gesto financeira ou um sistema de gesto ambiental.
[ABNT NBR ISO 9000:2005, definio 3.2.2]
4 Princpios de auditoria
A auditoria caracterizada pela confiana em alguns principios. Convm que estes princpios ajudem
a tornar a auditoria uma ferramenta eficaz e confivel em apoio s politicas de gesto e controles,
fornecendo informaes sobre as quais uma organizao pode agir para melhorar seu desempenho.
A aderncia a estes princpios um pr-requisito para se fornecerem concluses de auditoria que
sejam pertinentes e suficientes, e para permitir que auditores que trabalhem independentemente entre
si cheguem a concluses semelhantes em circunstncias semelhantes.
As orientaes dadas nas Sees 5 a 7 esto baseadas nos seis princpios apresentados abaixo:
a)
b)
Apresentao
Convm que as constataes de auditoria, concluses de auditoria e relatrios de auditoria reflitam com veracidade e preciso as atividades de auditoria. Convm que os problemas significativos encontrados durante a auditoria e no resolvidos por divergncia de opinies entre a equipe
de auditoria e o auditado sejam relatados. Convm que a comunicao seja verdadeira, precisa,
objetiva, em tempo hbil, clara e completa
c)
Convm que os auditores exeram o devido cuidado de acordo com a importncia da tarefa que
eles executam e a confiana neles depositada pelo cliente de auditoria e por outras partes interessadas. Um fator importante na realizao do seu trabalho com o devido cuidado profissional,
ter a capacidade de fazer julgamentos ponderados em todas as situaes de auditoria
d)
Confidenclalidade:
segurana da informao
Convm que os auditores tenham discrio no uso e proteo das informaes obtidas no curso
das suas obrigaes. Convm que as informaes de auditoria no sejam usadas de forma inapropriada para ganhos pessoais pelo auditor ou pelo cliente de auditoria, ou de maneira prejudicial para o legtimo interesse do auditado. Este conceito inclui o manuseio apropriado de informaes confidenciais ou sensveis.
e)
f)
de auditorias;
Convm que a implementao do programa de auditoria seja monitorada e medida para assegurar que
seus objetivos foram alcanados. Convm que o programa de auditoria seja analisado criticamente
para identificar possveis melhorias.
A Figura 1 ilustra o fluxo do processo
de auditoria.
5.5
5.6
PLANEJAR
Competncia e
avaliao de
auditores (Seo 7)
FAZER
Realizando uma
auditoria (Seo 6)
CHECAR
NOTA 1
NOTA 2
A numerao de Sees/Subsees
Figura
1 - Fluxograma
do processo
AGr
refere-se as Sees/Subsees
para gerenciamento
de um programa
de auditoria
5.2
Convm que a Alta Direo assegure que os objetivos do programa de auditoria sejam estabelecidos
para direcionar o planejamento e a realizao de aud~orias e para assegurar que o programa de auditoria seja implementado eficazmente. Convm que os objetivos do programa de aud~oria sejam consistentes com e apoiem os objetivos e a poltica do sistema de gesto.
Estes objetivos podem ser baseados nos seguintes pontos:
a)
prioridades da direo;
b)
c)
d)
e)
requisitos legais e contratuais e outros requisitos com os quais a organizao esteja comprometida;
f)
g)
h)
nvel de desempenho do auditado, como mostrado na ocorrncia de falhas, incidentes ou reclamaes de clientes;
i)
j)
k)
5.3
5.3.1
OISO 2011
-o
Competncia
Convm que a pessoa que gerencia o programa de auditoria tenha a competncia necessria para
gerenciar o programa e seus riscos associados, de forma eficiente e eficaz, como tambm conhecimento
e habilidades nas seguintes reas:
principios de auditoria, procedimentos e mtodos;
normas de sistema de gesto e dOCumentos de referncia;
atividades, produtos e processos do auditado;
requisitos legais aplicveis e outros requisitos pertinentes para as atividades e produtos do auditado;
clientes, fornecedores e outras partes interessadas do auditado, quando aplicvel.
Convm que a pessoa que gerencia o programa de auditoria esteja envolvida em atividades apropriadas de desenvolvimento profissional contnuo, para manter o conhecimento necessrio e as habilidades para gerenciar o programa de auditoria.
5.3.3
Determinando
a abrangncia
de um programa de auditoria
Convm que a pessoa que gerencia um programa de auditoria determine a abrangncia do programa
de auditoria, o qual pode variar dependendo do tamanho e da natureza da organizao auditada,
como tambm da natureza, funcionalidade, complexidade e nvel de maturidade do sistema de gesto,
e temas de importncia para o sistema de gesto a ser auditado.
NOTA
Em certos casos, dependendoda estruturada organizaoauditadaou das suas atividades,o programa de auditoria pode consistir apenas em uma nica auditoria (por exemplo,atividade de um pequeno projeto).
Outros fatores que impactam a abrangncia de um programa de auditoria incluem o seguinte:
o objetivo, escopo e durao de cade auditoria e o nmero de auditorias a serem realizadas,
incluindo auditorias de acompanhamento, quando pertinente;
o nmero, importncia, complexidade, similaridade e localizaes das atividades a serem auditadas;
fatores que influenciam a eficcia do sistema de gesto;
ti) ISO 2011 - tl)ABNT 2012 - Todos os dlrenos reservados
critrios de aud~oria aplicveis, como preparativos planejados para as normas de gesto pertinentes,
requisitos legais, contratuais e outros requis~os com os quais a organizao esteja comprometida;
concluses de auditorias anteriores, internas ou externas;
resultados de anlise crtica de programas de auditorias anteriores;
questes social, cultural e de idioma;
questes relativas s partes interessadas, como reclamaes de clientes ou no conformidades
com requisitos legais;
mudanas significativas para o auditado ou suas operaes;
disponibilidade da tecnologia da informao e comunicao para apoiar as atividades de auditoria, em particular o uso de mtodos de auditoria remota (ver Seo 8.1);
a ocorrncia de eventos internos e externos, como falhas de produtos, vazamento de segurana da
informao, incidentes com sade e segurana ocupacional, atos criminosos ou incidentes ambientais.
5.3.4
Identificando
Estabelecendo
procedimentos
Convm que a pessoa que gerencia um programa de auditoria estabelea um ou mais procedimentos
que contemplem os seguintes pontos, quando aplicveis:
planejamento e programao das auditorias considerando os riscos do programa de auditoria;
asseguramento da confidencial idade e segurana da informao;
10
Identificando
-'
.,
.
recursos para o programa de auditoria
Quando da identificao' dos recursos para o programa de auditoria, convm que a pessoa que gerencia o programa de auditoria Cnsidere:
.
os recursos financeiros necessrios para desenvolver, implementar, gerenciar e melhorar as atividades de auditoria;
os mtodos de auditoria;
a disponibilidade de auditores e especialistas que tenham a competncia apropriada para os objetivos do programa de auditoria em particular
a abrangncia do programa de auditoria e dos riscos do programa de auditoria;
o tempo de viagem e custos, acomodaes e outras necessidades de auditoria;
a disponibilidade das tec.nologias da informao e comunicao.
Generalidades
Convm que a pessoa que gerencia o programa de auditoria implemente este programa por meio de:
comunicao s partes pertinentes do programa de auditoria e informao peridica do seu
progresso;
definio dos objetivos, escopo e critrios para cada auditoria individual;
coordenao e programao das auditorias e outras atMdades pertinentes ao programa de auditoria;
asseguramento da seleo de equipes de auditoria com a necessria competncia;
fornecimento dos recursos necessrios para as equipes de auditoria;
asseguramento da realizao de auditorias de acordo com o programa de auditoria e dentro
do periodo de tempo acordado;
asseguramento de que as atividades de auditoria sejam registradas e que estes registros sejam
adequadamente gerenciados e mantidos.
lO ISO 2011 - IOABNT 2012 - Todos os direnos reservados
11
5.4.2
Convm que cada auditoria individual seja baseada nos objetivos, escopos e critrios de auditoria
documentados. Convm que estes sejam definidos pela pessoa que gerencia o programa de auditoria
e consistentes com os objetivos globais do programa de auditoria.
Os objetivos de auditoria definem o que deve ser acompanhado por uma auditoria individual e podem
ainda incluir o seguinte:
determinao da abrangncia de conformidade do sistema de gesto a ser auditado, ou parte
dele, com os critrios de auditoria;
determinao da abrangncia de conformidade das atMdades, processos e produtos com os requisitos e procedimentos do sistema de gesto;
avaliao da capacidade do sistema de gesto para assegurar a conformidade com requisitos
legais e contratuais e outrs requisitos com os quais a organizao esteja comprometida;
avaliao da eficcia do sistema de gesto para atender aos seus objetivos especificados;
identificao de reas para potencial de melhoria do sistema de gesto.
Convm que o escopo de auditoria seja consistente com o programa e os objetivos de auditoria.
Isto inclui fatores como localizao IIsica, unidades organizacionais, atividades e processos a serem
auditados, bem como o perodo de tempo coberto pela auditoria.
Os critrios de auditoria so usados como uma referncia contra a qual a conformidade determinada, e podem incluir polticas, procedimentos, normas, requisitos legais, requisitos de sistema de
gesto, requisitos contratuais, cdigos de conduta setoriais ou outros arranjos planejados, aplicveis.
No caso de quaisquer mudanas nos objetivos de auditoria, no escopo ou nos critrios, convm que
o programa de auditoria seja modifiCado, se necessrio.
Quando dois ou mais sistemas de gesto de diferentes disCiplinas so auditados juntos (uma auditoria
combinada), importante que os objetivos, escopo e critrios de auditoria sejam consistentes com
os objetivos dos programas de auditoria pertinentes.
5.4.3
selecionando
os mtodos de auditoria
Convm que a pessoa que gerencia o programa de auditoria selecione e determine os mtodos
para realizar de forma eficaz uma auditoria, dependendo dos objetivos, escopo e critrios definidos
de auditoria.
NOTA
Quando duas ou mais organizaes auditoras realizam uma auditoria conjunta do mesmo auditado,
convm que as pessoas que gerenciam os diferentes programas de auditoria concordem com o mtodo de auditoria e considerem as implicaes dos recursos e planejamento de auditoria. Se uma
organizao auditada operar dois ou mais sistemas de gesto de diferentes disciplinas, auditorias
combinadas podem ser inclurdas no programa de auditoria.
12
C ISO 2011 -
o ABNT
5.4.4
Selecionando
Convm que a pessoa que gerencia o programa de auditoria indique os membros da equipe de auditoria, incluindo o auditor-lder e quaisquer especialistas necessrios para a auditoria especfica.
Convm que uma equipe de auditoria seja selecionada levando em considerao a competncia
necessria para atingir os objetivos de uma auditoria individual dentro do escopo definido. Se existir
apenas um nico auditor, convm que o auditor desempenhe todas as responsabilidades aplicveis
de um auditor-lder.
NOTA
A Seo 7 contm diretrizes sobre a determinao da competncia requerida para os membros
da equipe de auditoria e descreve os processos para avaliao de auditores.
Ao decidir o tamanho e a composio da equipe de auditoria para uma auditoria especfica, convm
que seja considerado o seguinte:
a)
b)
c)
d)
e)
a necessidade de assegurar a independncia dos membros da equipe de auditoria das atividades a serem auditadas e evitar qualquer conflito de interesse [ver princpio e) da Seo 4];
f)
a capacidade dos membros da equipe de auditoria para interagir de forma eficaz com os representantes do auditado e para trabalharem em conjunto;
g)
esteja
Para assegurar uma competncia global da equipe de auditoria, convm que os seguintes passos
sejam realizados:
identificao do conhecimento e habilidades necessrios para atingir os objetivos de auditoria;
seleo dos membros da equipe de auditoria de tal modo que essa equipe tenha todo o conhecimento e habilidades necessrios.
Caso toda a competncia necessria no seja coberta pelos auditores da equipe de auditoria, convm
que os especialistas com competncias individuais sejam incluidos na equipe. Convm que os especialistas operem sob a orientao de um auditor, porm no atuem como auditores.
Auditores em treinamento podem ser includos na equipe de auditoria, porm convm que eles participem sob a orientao e diretrizes de um auditor.
Ajustes ao tamanho e composio da equipe de auditoria podem ser necessrios durante a auditoria,
por exemplo, se surgir conflito de interesses ou questes de competncias. Se tal situao ocorrer,
convm que ela seja discutida com as partes apropriadas (por exemplo, o lider da equipe de auditoria,
a pessoa que gerencia o programa de auditoria, o cliente da auditoria ou o auditado) antes que quaisquer ajustes sejam feitos.
<!lISO 2011 - CAeNT
13
5.4.5
Atribuindo responsabilidades
Convm que a pessoa que gerencia o programa de auditoria atribua a responsabilidade para conduzir a auditoria individual a um auditor-Ifder.
Convm que esta atribuio seja feita com antecedncia suficiente da data programada para a auditoria, a fim de assegurar um planejamento eficaz de auditoria.
Para assegurar a realizao eficaz de auditorias individuais, convm que as seguintes informaes
sejam fornecidas ao auditor-lder:
a)
objetivos da auditoria;
b)
c)
escopo da auditoria, incluindo idntificao das unidades organizacionais e funcionais e dos processos a serem auditados;
d)
e)
f)
detalhes dos contatos do auditado, localizaes, datas e durao das atividades de auditoria
a ser realizada;
g)
h)
informaes necessrias para a avaliao e considerao dos riscos identificados para atingir
os objetivos da auditoria.
14
5.4.6
Gerenciando
os resultados
do programa da auditoria
Convm que a pessoa que gerencia o programa da auditoria assegure que as seguintes atividades
so desempenhadas:
anlise critica e aprovao dos relatrios da auditoria, incluindo avaliao da adequao e pertinncia das constataes da auditoria;
anlise crtica da causa-raiz e eficcia das aes corretivas e preventivas;
distribuio dos relatrios da auditoria para a Alta Direo e outras partes pertinentes;
determinao da necessidade para qualquer auditoria de acompanhamento.
5.4.7
Gerenciando
Convm que a pessoa que gerencia o programa de auditoria assegure que os registros da auditoria
so criados, gerenciados e mantidos para demonstrar a implementao do programa de auditoria.
Convm que os processos sejam estabelecidos para assegurar que quaisquer necessidades de confidencialidade associadas com os registros da auditoria sejam consideradas.
Convm que os registros incluam o seguinte:
a)
b)
c)
Convm que a forma e o nivel de detalhes dos registros demonstrem que os objetivos do programa
da auditoria foram atingidos.
15
b)
c)
d)
Alguns fatores podem determinar a necessidade de modificar o programa da auditoria, como os seguintes:
constataes da auditoria;
nfvel demonstrado de eficcia do sistema de gesto;
mudanas do sistema de gesto do auditado ou do cliente;
mudanas com relao aos requisitos das normas, requisitos legais e contratuais e outros requisitos com os quais a organizao esteja comprometida;
mudana de fornecedor.
b)
c)
d)
e)
f)
g)
Convm que a pessoa que gerencia o programa da auditoria analise criticamente a implementao
global desse programa, identifique reas de melhorias, altere o programa, se necessrio, e tambm
considere:
anlise crftica do contfnuo desenvolvimento profissional dos auditores, de acordo com 7.4,
7.5 e 7.6;
relato da anlise crftica dos resultados do programa da auditoria para a Alta Direo.
16
6.2.1
6.2.2
6.2.3
-l L
6.3.1
6.3.2
6.3.3
6.3.4
--.=r L
6.4.1
6.4.2
6.4.3
6.4.4
6.4.5
6.4.6
6.4.7
6.4.8
6.4.9
.-J
6.5 Preparando e distribuindo
6.5.1
6.5.2
L
o relatrio da auditoria
.J
6.6 Concluindo
L
a auditoria
--f L
6.7 Conduzindo
(se especiticado no plano da auditoria)
NOTA
a auditoria
de acompanhamento
Figura 2 - Atividades
tpicas da auditoria
17
6.2
Iniciando
6.2.1
a auditoria
Generalidades
6.2.2
Estabelecendo
o contato
inicial com o auditado para a realizao da auditoria pode ser formal ou informal, e convm
que seja feito pelo auditor-Ilder. Os propsitos do contato inicial so os seguintes:
estabelecer a comunicao com os representantes do auditado;
confirmar a autoridade que vai conduzir a auditoria;
prover informaes sobre os objetivos da auditoria, escopo, mtodos e composio da equipe
de auditoria, incluindo os especialistas;
solicitar acesso a registros e documentos pertinentes para fins de planejamento;
determinar os requisitos contratuais e legais aplicveis e outros requisitos pertinentes s atividades e produtos do auditado;
confirmar o acordo com o auditado quanto abrangnci da divulgao e tratamento das informaes confidenciais;
fazer arranjos para a auditoria, incluindo a programao de datas;
determinar quaisquer requisitos especlficos para acesso aos loeais, segurana, sade, segurana
pessoal ou outros;
acordar sobre a participao de observadores e a necessidade de guias para a equipe de auditoria;
determinar quaisquer reas de interesse ou preocupao para o auditado em relao auditoria especfica.
6.2.3
Determinando
a viabilidade
da auditoria
Convm que a viabilidade da auditoria seja determinada para fornecer confiana razovel de que
os objetivos da auditoria podem ser atingidos.
Convm que a determinao da viabilidade leve em considerao a disponibilidade dos seguintes fatores:
informaes suficientes e apropriadas para o planejamento e a realizao da auditoria;
cooperao adequada do auditado;
tempo e recursos adequados para a realizao da auditoria.
Quando a auditoria no vivel, convm que seja proposta uma alternativa ao cliente da auditoria,
em comum acordo com o auditado.
18
-------------------------------------"
Convm que a documentao pertinente do sistema de gesto do auditado seja analisada criticamente para:
obter informaes para preparar as atividades da auditoria e os documentos de trabalho aplicveis (ver 6.3.4), por exemplo, sobre processos e funes;
estabelecer uma viso da abrangncia da documentao do sistema para detectar possfveis
lacunas.
NOTA
Convm que a documentao inclua, quando aplicvel, registros e documentos do sistema de gesto,
bem como relatrios de auditorias anteriores. Convm que a anlise critica documental leve em conta
o tamanho, a natureza e a complexidade da organizao e do sistema de gesto do auditado, bem
como o escopo e os objetivos da auditoria.
6.3.2
6.3.2.1
Convm que o Ifder de equipe de auditoria prepare um plano da auditoria com base nas
informaes contidas no programa da auditoria e na documentao fornecida pelo auditado. Convm
que o plano da auditoria considere o efeito das atividades da auditoria sobre os processos do auditado
e fornea a base para um acordo entre o cliente da auditoria, a equipe de auditoria e o auditado, com
relao conduo da auditoria. Convm que o plano facilite a coordenao e a programao eficientes das atividades da auditoria, de modo a atingir os objetivos de forma eficaz.
,
Convm que a quantidade de detalhes fornecida no plano da auditoria reflita o escopo e a complexi.
dade da auditoria, bem como o efeito da incerteza em atingir os objetivos da auditoria. Na preparao
do plano da auditoria, convm que o auditor-Ifder esteja consciente dos seguintes pontos:
as tcnicas apropriadas de amostragem (ver Seo 6.3);
,
~
...J
~
di
Por exemplo, os riscos para a organizao podem resultar da presena de membros da equipe de auditoria influenciando a sade e segurana, a qualidade e o meio ambiente, bem como suas presenas
podem representar ameaas aos produtos do auditado, servios, pessoal ou infraestrutura (por exemplo, contaminao em instalaes que requeiram salas limpas).
Para auditorias combinadas, convm que ateno particular seja dada s interaes entre os processos operacionais e os objetivos e prioridades concorrentes dos diferentes sistemas de gesto.
6.3.2.2 A escala e o contedo do plano da auditoria podem divergir, por exemplo, entre as auditorias
iniciais e subsequentes, bem como entre as auditorias internas e externas. Convm que o plano da
auditoria seja suficientemente f1exfvel para permitir mudanas que possam se tornar necessrias na
medida em que as atividades da auditoria progridam.
-c ABNT
19
os objetivos da auditoria;
b)
o escopo da auditoria, incluindo iden@cao das unidades organizacionais e funcionais, bem como
os processos a serem auditados;
c)
d)
as localizaes, datas, tempos estimados e durao das atividades da auditoria a serem realizadas, incluindo as reunies com a direo do auditado;
e)
f)
os papis e responsabilidades
e observadores;
g)
-;;-
'!
.~
l2
.~
"
l!!
a.
.
n
.,~.~
..,.l!
<O
"o
,
preparativos de logfstica e de comunicao, incluindo preparativos especfficos para os locais
a serem auditados;
quaisquer medidas especfficas a serem tomadas para considerar o efeito da incerteza em atingir
os objetivos da auditoria;
assuntos relacionados confidencialidade e segurana da informao;
quaisquer aes de acompanhamento de auditorias anteriores;
quaisquer atividades de acompanhamento para a auditoria planejada;
coordenao com outras atividades da auditoria, no caso de auditoria conjunta.
O plano da auditoria pode ser analisado criticamente e aceito pelo cliente da auditoria, e convm que
seja apresentado para o auditado. Convm que quaisquer objees do auditado sobre o plano da
auditoria sejam solucionadas entre o lider da equipe de auditoria, o auditado e o cliente da auditoria.
6.3.3
Convm que o lider da equipe de auditoria, em consulta com a equipe de auditoria, atribua responsabilidade a cada membro da equipe para auditar processos especificos, atividades, funes ou localidades. Convm que tais tarefas levem em conta a independncia e a competncia dos auditores e o
uso eficaz de recursos, como tambm diferentes funes e responsabilidades dos auditores, auditores
em treinamento e especialistas.
20
lI
I
Convm que as instrues equipe de auditoria sejam mantidas, conforme apropriado, pelo Ilder da
equipe, de modo a alocar atribuies de trabalho e decidir sobre posslveis mudanas. As mudanas
das atribuies do trabalho podem ser feitas medida que a auditoria progrida para assegurar o cumprimento dos objetivos da auditoria.
6.3.4
Preparando documentos
de trabalho
Convm que documentos de trabalho. incluindo registros resultantes de seu uso, sejam retidos no mlnimo at a concluso da auditoria ou como especificados no plano da auditoria. A reteno de documentos, depois da concluso da auditoria, descrita em 6.6. Convm que esses documentos que envolvam
informaes confidenciais ou proprietrias sejam salvaguardados adequadamente, a todo o momento,
pelos membros da equipe de auditoria.
I
,
6.4.1
Generalidades
Conduzindo
o propsito
a reunIo de abertura
a)
confirmar o acordo de todas as partes (por exemplo, auditado, equipe de auditoria) quanto ao
plano da auditoria;
b)
c)
Convm que uma reunio de abertura seja realizada com a direo do auditado e, onde apropriado,
com os responsveis pelas funes ou processos a serem auditados. Durante a reunio convm que
seja dada uma oportunidade para realizar perguntas.
Convm que o grau de detalhe seja consistente com a familiaridade do auditado com o processo da
auditoria. Em muitas situaes, por exemplo, em auditorias internas em uma pequena organizao,
a reunio de abertura pode simplesmente consistir em comunicar que uma auditoria est sendo realizada e explicar a natureza da auditoria.
~ ISO 2011
-c ABNT
21
Para outras situaes de auditoria, a reunio pode ser formal e convm que os registros de presena
sejam mantidos. Convm que a reunio seja presidida pelo lder da equipe de auditoria e que os seguintes pontos sejam considerados, se apropriado:
apresentao dos participantes, incluindo observadores e guias e um resumo de suas funes;
confirmao dos objetivos, escopo e critrios da auditoria;
confirmao do plano da auditoria e outros ajustes pertinentes com o auditado, como dia e hora
da reunio de encerramento e de quaisquer reunies intermedirias entre a equipe de auditoria
e a direo do auditado, bem como quaisquer mudanas de ltima hora;
apresentao dos mtodos a serem usados para realizar a auditoria, incluindo a informao ao
auditado de que a evidncia da auditoria ser baseada na amostragem da informao disponvel;
apresentao dos mtodos para gerenciar os riscos para a organizao, que podem resultar
da presena dos membros da equipe de auditoria;
confirmao dos canais formais de comunicao entre a equipe de auditoria e o auditado;
confirmao do idioma a ser usado durante a auditoria;
confirmao de que, durante a auditoria, o auditado ser mantido informado do progresso
da auditoria;
confirmao de que os recursos e instalaes necessrios equipe de auditoria esto disponveis;
confirmao de assuntos relativos confidencial idade e segurana da informao;
confirmao de procedimentos pertinentes de sade, segurana no trabalho, emergncia e segurana fsica para a equipe de auditoria;
informao sobre o mtodo de relatr as constataes da auditoria, incluindo as classificaes,
se existirem;
informaes sobre condies nas quais a auditoria pode ser encerrada;
informaes sobre a reunio de encerramento;
informaes sobre como tratar as possveis constataes encontradas durante a auditoria;
informaes sobre qualquer sistema para retroalimentao do auditado sobre as constataes
ou concluses da auditoria, incluindo reclamaes ou apelaes.
6.4.3
Executando
22
Orientaes sobre como realizar a anlise critica da documentao so fornecidas na Seo 6.2.
A anlise crItica pode ser combinada com outras atividades da auditoria e pode continuar ao longo
da auditoria, desde que isto no seja prejudicial para a eficcia da realizao da auditoria.
Se a documentao adequada no puder ser fornecida dentro do tempo dado no plano da auditoria, convm que o Ilder da equipe de auditoria informe tanto a pessoa que gerencia o programa da
auditoria quanto o auditado. Dependendo dos objetivos e do escopo da auditoria, convm que uma
deciso seja tomada sobre se a auditoria deve ser continuada ou suspensa, at que a documentao
pertinente seja resolvida.
6.4.4
Comunicao
durante a auditoria
Durante a auditoria, pode ser necessrio fazer acordos formais para comunicao com a equipe de
auditoria, como tambm com o auditado, o cliente da auditoria e, potencialmente, com entidades externas (por exemplo, rgos regulamentadores), especialmente onde requisitos legais exigirem relatrios
mandatrios de no conformidades.
Convm que a equipe de auditoria se comunique periodicamente para trocar informaes, avaliar
o progresso da auditoria e redistribuir o trabalho entre os membros da equipe de auditoria, conforme
necessrio.
Durante a auditoria, convm que o Ifder da equipe de auditoria comunique periodicamente o progresso
da auditoria e quaisquer questes ao auditado e ao cliente da auditoria, como apropriado. Convm
que a evidncia coletada durante a auditoria, que indique um risco imediato e significativo para o auditado, seja relatada sem demora ao auditado e, como apropriado, ao cliente da auditoria. Convm que
qualquer considerao sobre um assunto fora do escopo da auditoria seja anotada e relatada ao Ifder
da equipe de auditoria, para posslvel comunicao ao cliente da auditoria e ao auditado.
Quando a evidncia da auditoria disponvel indica que os objetivos da auditoria so inatinglveis, convm que o llder da equipe de auditoria relate as razes ao cliente da auditoria e ao auditado para definir a ao apropriada. Tal ao pode incluir a reconfirmao ou a modificao do plano da auditoria,
mudanas nos objetivos da auditoria, no escopo da auditoria ou no seu encerramento.
Convm que qualquer necessidade de mudanas no plano da auditoria que possa se tornar aparente
medida que a auditoria progrida seja analisada criticamente e aprovada, quando apropriado, pela
pessoa que gerencia o programa da auditoria e pelo auditado.
6.4.5
Atribuindo
papis e responsabilidades
Guias e observadores (por exemplo, rgo regulamentador ou outras partes interessadas) podem
acompanhar a equipe de auditoria. Convm que eles no influenciem ou interfiram na realizao da
auditoria. Se isto no puder ser assegurado, convm que o Ifder da equipe de auditoria tenha o direito
de negar aos observadores a sua participao em certas atividades da auditoria.
Para os observadores, convm que quaisquer obrigaes em relao sade e segurana pessoal,
segurana ffsica e confidencialidade sejam gerenciadas entre o cliente da auditoria e o auditado.
Convm que os guias designados pelo auditado prestem ajuda equipe de auditoria e ajam por solicitao do Ilder da equipe de auditoria. Convm que suas responsabilidades incluam o seguinte:
a)
b)
c)
23
incluir o seguinte:
Coletando e verificando
Informaes
Convm que, durante a auditoria, as informaes pertinentes aos objetivos, escopo e critrios da
auditoria, incluindo informaes relativas s interfaces entre funes, atividades e processos, sejam
coletadas por meio de amostragem apropriada e verificadas. Convm que somente informao verificvel seja aceita como evidncia da auditoria. Convm que as evidncias da auditoria que levem s
constataes sejam registradas. Se, durante a coleta de evidncias, a equipe de auditoria ficar ciente
de riscos ou circunstncias novas ou modificadas, convm que estas constataes sejam consideradas apropriadamente pela equipe. .'
NOTA 1
A Figura 3 fornece uma viso geral do processo de uma auditoria desde a coleta de informaes
at as concluses da auditoria.
Fonte de informao
1---
Evidncia da auditoria
Constataes da auditoria
Analisando criticamente
Concluses da auditoria
Figura 3 - Viso geral dei processo de coleta e verificao
24
de informaes
'
NOTA3
NOTA4
6.4.7
Convm que as evidncias da auditoria sejam avaliadas de acordo com os critrios da auditoria, a fim
de determinar as constataes da auditoria. Constataes da auditoria podem indicar tanto conformidade quanto no conformidade com os critrios da auditoria. Quando especificado pelo plano da
auditoria, convm que as constataes da auditoria individual incluam a conformidade e boas prticas
ao longo das suas evidncias de apoio, oportunidades para melhoria e quaisquer recomendaes
para o auditado.
Convm que sejam registradas as no conformidades e as evidncias da auditoria que as suportam.
No conformidades podem ser classificadas. Convm que elas sejam analisadas criticamente com
o auditado para obter o reconhecimento de que a evidncia da auditoria precisa e que as no
conformidades so entendidas. Convm que todo empenho seja feito para solucionar qualquer opinio divergente relativa s evidncias ou constataes da auditoria, e convm que sejam registrados
os pontos no resolvidos.
Convm que a equipe de auditoria atenda s necessidades para analisar criticamente as constataes da auditoria, em estgios apropriados durante a auditoria.
NOTA
Diretrizes adicionais sobre a identificao e avaliao das constataes da auditoria so apresentadas na Seo B.8.
.
6.4.8
b)
Cl.
f
da auditoria;
c)
d)
25
..
a capacidade do processo de anlise crftica pela direo para assegurar a contrnua pertinncia,
adequao, eficcia e melhoria do sistema de gesto;
o atingimentodos
da auditoria;
Conduzindo
a reunio de encerrmento
Convm que seja realizada uma reunio de encerramento pelo Ifder da equipe de auditoria, para apresentar as constataes e concluses da auditoria. Convm que a direo do auditado seja includa
como participante na reunio de encerramento e, onde apropriado, os responsveis pelas funes ou
processos que foram auditados, podendo incluir o cliente da auditoria e outras partes. Se aplicvel,
convm que o lder da equipe de auditoria alerte o auditado sobre as situaes encontradas durante
a auditoria que possam diminuir a confiana colocada nas concluses da auditoria. Se for definido no
sistema de gesto ou pelo acordo com o cliente da auditoria, convm que os participantes concordem
com o prazo do plano de ao relativo s constataes da auditoria.
Convm que o grau de detalhe seja consistente com a familiaridade do auditado com o processo da
auditoria. Para algumas situaes da auditoria, a reunio pode ser formal e com atas, e convm que
as listas de presena sejam guardadas. Em outras circunstncias, por exemplo, auditorias internas,
a reunio de encerramento menos formal e pode consistir apenas na comunicao das constataes
e nas concluses da auditoria.
Se apropriado, convm que os seguintes pontos sejam explicados ao auditado na reunio de encerramento:
advertir que a evidncia da auditoria coletada foi baseada na amostragem das informaes
disponveis;
o mtodo de relatar;
o processo de manusear as constataes da auditoria e pOSSveisconsequncias;
apresentao das concluses e constataes da auditoria de tal modo que elas sejam conhecidas e entendidas pela direo do auditado;
,
quaisquer atividades relativas ps-auditoria (por exemplo, implementao de aes corretivas,
tratamento de reclamaes da auditoria, processo de apelao).
Convm que quaisquer opinies divergentes relativas s concluses ou constataes da auditoria
entre a equipe de auditoria e o auditado sejam discutidas e, se possvel, resolvidas. Se no forem
resolvidas, convm que sejam registradas.
Se especificado pelos objetivos da auditoria, podem ser apresentadas recomendat:!s para melhorias. Convm que seja enfatizado que as recomendaes no so obrigatrias.
26
Convm que o lder da equipe de auditoria relate os resultados da auditoria de acordo com os procedimentos do programa da auditoria.
Convm que o relatrio da auditoria fornea um registro completo, preciso, conciso e claro da auditoria, e que inclua ou se refira ao seguinte:
a)
os objetivos da auditoria;
b)
c)
d)
e)
f)
os critrios da auditoria;
g)
h)
as concluses da auditoria;
i)
.'
cc
:>
"
C ISO 2011 - C ABNT 2012 - Todos os direttos reservados
27
6.5.2
Convm que o relatrio da auditoria seja emitido dentro de um perodo de tempo acordado. Se ele
estiver atrasado, convm que as razes sejam comunicadas ao auditado e pessoa que gerencia
o programa da auditoria.
Convm que o relatrio da auditoria seja datado, analisado criticamente e aprovado conforme apropriado, de acordo com os procedimentos do programa da auditoria.
Convm que o relatrio da auditoria s~ja ento distribudo s pessoas conforme definido nos procedimentos da auditoria ou no plano da auditoria.
28
incluindo os auditores e os lideres da equipe de auditoria. Convm que a competncia seja avaliada
por meio de um processo que considere o comportamento pessoal e a capacidade para aplicar
conhecimento e habilidades, obtidas por meio da educao, experincia no trabalho, treinamento de
auditor e experincia de auditoria. Convm que este processo leve em considerao as necessidades
do programa da auditoria e seus objetivos. Alguns dos conhecimentos e habilidades descritos em 7.2.3
so comuns para auditores de quaisquer disciplinas de sistema de gesto; outros so especficos
de disciplinas de sistema de gesto individual. No necessrio para cada auditor na equipe de
auditora ter a mesma competncia; entretanto, a competncia global da equipe de auditoria precisa
ser suficiente para atingir os objetivos da auditoria.
Convm que a avaliao da competncia do auditor seja planejada, implementada e documentada de
acordo com o programa da auditoria, incluindo seus procedimentos, para fornecer um resultado que
seja objetivo, consistente, justo e confivel. Convm que o processo de avaliao inclua quatro passos
mostrados a seguir:
a)
"
b)
"-,
"r
u.
,
c)
d)
realizar a avaliao.
c;~
o
Si?
c
<r
,
Convm que o resultado do processo de avaliao fornea uma base para o seguinte:
\r,
s..
,
:I..
...,
'.,
~
~
r
~
,
I
co
I
Um processo para avaliao dos auditores e lderes da equipe de auditoria est descrito em 7.4 e 7.5.
Convm que os auditores e os lideres da equipe de auditoria sejam avaliados com base nos critrios
definidos em 7.2.2 e 7.2.3.
A competncia requerida da pessoa que gerencia o programa de auditoria est descrita em 5.3.2.
7.2
de auditoria
7.2.1
Generalidades
Ao definir o conhecimento e habilidades apropriados requeridos do auditor, convm que seja considerado o seguinte:
o tamanho, a natureza e a complexidade da organizao a ser auditada;
as disciplinas do sistema de gesto a serem auditadas;
"
C ISO 2011 C ABNT 2012 - Tcdcs os direttos reservados
29
Comportamento
pessoal
Convm que os auditores possuam as qualidades necessrias para habilit-los a agir de acordo com
os princpios de auditoria, conforme descrito na Seo 4. Convm que os auditores demonstrem
comportamento profissional durante o desempenho das atividades de auditoria, incluindo o seguinte:
tico, isto , justo, verdadeiro, sincero, honesto e discreto;
mente aberta, isto , disposto a considerar ideias ou pontos de vista alternativos;
diplomtico, isto , com tato para lidar com as pessoas;
observador, isto , estar atento circunvizinhana e s atividades fsicas;
perceptivo, isto , estar consciente e ser capaz de entender situaes;
verstil, isto , ser capaz de prontamente se adaptar a diferentes situaes;
~
,
,..
decisivo, isto , ser capaz de chegr a conluses em tmpo hbil, com base em razes lgicas
e anlise;
autoconfiante, isto , ser capaz de agir e atuar independentemente, enquanto interage de forma
eficaz com outros;
I~
agir com firmeza, isto , ser capaz de atuar de forma tica e responsvel, mesmo quando essas
aes possam no ser sempre populares e possam algumas vezes resultar em desacordo
ou confronto;
'(L
aberto a melhorias, isto , aprender a partir das situaes e esforar-se para obter melhores
resultados da auditoria;
,j:";
30
,
,
,
,
----------------------------------
Conhecimentos
7.2.3
7.2.3.1
e habilidades
Generalidades
Convm que os auditores possuam conhecimento e habilidades necessrios para atender aos
resultados pretendidos das auditorias que eles iro realizar. Convm que todos os auditores possuam
conhecimentos e habilidades genricas, e convm tambm que eles possuam conhecimentos e
habilidades de disciplinas e setores especficos. Convm que os lderes da equipe de auditoria tenham
conhecimento e habilidades adicionais necessrios para fornecer liderana equipe de auditoria
7.2.3.2
Conhecimento
e habilidades
Convm que os auditores tenham conhecimento e habilidades nas reas descritas abaixo.
a)
!?
c
<
..,
!:
,.
,
,"
P'
cr
,
"
!:...
*
.,:..
,,
,o.
t;,
,
\
uI
...-
confirmar a suficincia e convenincia da evidncia de auditoria para apoiar as constataes e concluses da auditoria;
no
avaliar aqueles fatores que possam afetar a confiabilidade das constataes e concluses
da auditoria;
'"
...
'"
'"
~
lO
31
b)
Sistema de gesto e documentos de referncia: conhecimento e habilidades nessa rea permitem que o auditor compreenda o escopo de auditoria e aplique os critrios de auditoria, e convm que abranjam o seguinte:
normas do sistema de gesto ou outros documentos usados como critrio de auditoria;
a aplicao de normas do sistema de gesto pelo auditado e outras organizaes, conforme
apropriado;
interao entre os componentes do sistema de gesto;
reconhecimento da hierarquia dos documentos de referncia;
aplicao de documentos de referncia a diferentes situaes de auditoria.
/"
c)
.-
Contexto organizacional:
conhecimentos e habilidades nesta rea permitem que o auditor
compreenda a estrutura do auditado, prticas de gesto e do negcio, e convm que abranjam o
seguinte:
~
c
<
;"
conceitos de gesto e negcios em geral, processos e terminologia relacionada, incluindo planejamento, oramento e gesto de pessoal;
p
, I
I
I~
I;;.
I'
';"
d)
.,.,,
,,.,
Conhecimento
e habilidades
de setores
especlficos
e de disciplinas
de auditores
de sistema de gesto
Convm que os auditores tenham conhecimento e habilidades da disciplina e do setor especfico que
sejam apropriados para auditar o tipo particular do sistema de gesto e setor.
No necessrio, para cada auditor na equipe de auditoria, ter a mesma competncia; entretanto a
competncia global da equipe de auditoria precisa ser suficiente para atender aos objetivos de auditoria.
Conhecimento e habilidades dos auditores na disciplina e setor especfico incluem o seguinte:
requisitos e principios do sistema de gesto da disciplina especfica e suas aplicaes;
requisitos legais pertinentes para a disciplina e o setor, de tal modo que o auditor esteja consciente dos requisitos especficos para a jurisdio e as obrigaes do auditado. suas atividades
e produtos;
32
!?
Convm que os lderes da equipe de auditoria tenham habilidades e conhecimentos adicionais para
gerenciar e prover liderana equipe de auditoria, a fim de facilitar a eficcia e eficincia na realizao da auditoria. Convm que o lder de uma equipe de auditoria tenha conhecimento e habilidades
o
f
(
..
,"
P'
1:
,
,,
v
fazer balano das foras e fraquezas dos membros individuais da equipe de auditoria;
b)
c)
representar a equipe de auditoria nas comunicaes com a pessoa que gerencia o programa
da auditoria, o cliente da auditoria e o auditado;
e)
f)
33
7.2.3.5 Conhecimento
mltiplas disciplinas
e habilidades
para auditoria
de sistemas
de gesto
considerando
Convm que os auditores que pretendem participar como um membro da equipe de auditoria em
auditoria de sistemas de gesto que considere mltiplas disciplinas tenham a competncia necessria
para auditar pelo menos uma das disciplinas do sistema de gesto e tenham um entendimento da
interao e sinergia entre os diferentes sistemas de gesto
Convm que os lderes da equipe de auditoria que realizam auditorias de sistemas de gesto
contendo mltiplas disciplinas entendam os requisitos de cada uma das normas do sistema de gesto
e reconheam os limites de seus conhecimentos e habilidades em cada uma das disciplinas.
7.2.4
Atingindo
a competncia
do auditor
Os conhecimentos e habilidades d' auditor podem ser adquiridos usando uma combinao dos
seguintes itens:
c;-
experincia e treinamento/educao formal que contribua para o desenvolvimento do conhecimento e habilidades no setor e na disciplina do sistema de gesto que o auditor pretende auditar;
~
...
1f
"-(',
.
u
~
experincia em uma posio tcnica, profissional ou gerencial pertinente que envolva o exercfcio
de julgamento, tomada de deciso, soluo de problemas e comunicao com gerentes, profissionais, pares, clientes e outras partes interessadas;
"~
<D
:l..
.~
,o,
7.2.5
Convm que um IIder da equipe de auditoria tenha adquirido experincia adicional em auditoria para
desenvolver o conhecimento e habilidades descritos em 7.2.3. Convm que essa experincia adicional
tenha sido adquirida pelo trabalho sob a direo e orientao de um lder da equipe de auditoria diferente.
.c
:~
,
,
;
....
I'
'--
I;"c'
!ao
7.3
Estabelecendo
',
t.-
I=-
Convm que o critrio seja qualitativo (como ter demonstrado comportamento pessoal adequado e
conhecimento ou desempenho de habilidades, seja em treinamento ou em local de trabalho) e quantitativo (como anos de experincia de trabalho e educao, nmero de auditorias realizadas, horas
de treinamento em auditoria).
7.4
Selecionando
5-
'"
I
Convm que a avaliao seja conduzida usando dois ou mais dos mtodos selecionados, daqueles
contidos na Tabela 2. Ao usar a Tabela 2, convm que seja observado o seguinte:
os mtodos descritos representam uma gama de opes e podem no ser aplicados em todas
as situaes;
os vrios mtodos descritos podem diferenciar quanto
sua confiabilidade;
convm que seja usada uma combinao de mtodos para assegurar um resultado que seja objetivo, consistente, justo e confivel.
Exemplos
Objetivos
Anlises de registros de
educao, treinamento,
emprego, credenciais e
experincia em auditoria
Realimentao
Pesquisas, questionrios,
referncias pessoais,
testemunhos, reclamaes,
avaliao de desempenho,
anlise crtica pelos pares
Entrevista
Entrevista pessoal
Observao
Desempenho de papel,
auditorias de testemunho
e desempenho no trabalho
.F
Exames
.0
m
cc
.,,
.L
Convm que os auditores e lderes da equipe de auditoria melhorem continuamente suas competncias. Convm que os auditores mantenham suas competncias em auditoria por meio de uma
participao regular nas auditorias de sistemas de gesto e no desenvolvimento profissional contnuo.
Desenvolvimento profissional contrnuo envolve a manuteno e a melhoria de competncia. Isto pode
ser atingido por vrias maneiras, como, por exemplo, experincia adicional de trabalho, treinamento,
estudos particulares, liderana, participao em reunies, seminrios e conferncias, ou outras atividades pertinentes.
Convm que a pessoa que gerencia o programa de auditoria estabelea mecanismos adequados
para a avaliao contrnua do desempenho dos auditores e dos lideres da equipe de auditoria.
~ ISO 2011 - C ABNT 2012 - Todos os direnos reservados
35
..... ~..
seguinte:
mudanas nas necessidades do indivduo e da organizao responsvel por realizar a auditoria;
prtica de auditoria;
normas pertinentes e outros requisitos.
;;:
~
o
~
to!?
a
'"C,'"
s"
~
<r
"-..
I~
',c..
:
",
~
(
,a>
,
co
,
I
L..
;'
r'
!'-
,...
,..
'"
"
"
Oi
-'"
o;
>
36
.....~.
Anexo A
(informativo)
Diretrizes e exemplos ilustrativos de conhecimentos e habilidades
de auditores de disciplinas especficas
A.1
Generalidades
f
~
~
..",
Outros exemplos de conhecimento e habilidades de auditores de disciplinas especfficas podem tambm ser desenvolvidos para sistemas de gesto. recomendado que, onde possvel, tais exemplos
sigam a mesma estrutura geral para assegurar a compatibilidade.
P'
c
c
'"
".
!:
,,
~,
..,
r
do desempenho de
segurana;
avaliao de incidentes e acidentes operacionais;
desenvolvimento pr6-ativo e reativo sobre o desempenho de mtricas e medidas.
NOTA
Para informaes adicionais, ver a futura ISO 39001, desenvolvida pelo Comit ISOIPC 241, sobre
sistemas de gesto de segurana no trfego rodovirio.
C ISO 2011 - C ABNT 2012 - Todos os direitos reservados
37
.'
,...
.>.
Lo
~
,
!?
o.
Para informaes adicionais, ver normas sobre gesto ambiental desenvolvidas pelo
38
liderana - papel da Alta Direo, gerenciamento para o sucesso sustentvel de uma organizao;
r
~
cn
<D
enfoque baseado em fatos para tomada de deciso, tcnicas de avaliao de riscos (identificao de risco, anlise e avaliao), avaliao da gestO da qualidade (auditoria, anlise crtica
e autoavaliao), tcnicas de medio e monitoramento, requisitos para processo de medio
e equipamentos de medio, anlise da causa-raiz, tcnicas estatsticas;
caractersticas de processos e produtos, incluindo servios;
benefcios mtuos na relao com fornecedores, requisitos de sistema de gesto da qualidade,
requisitos para produtos e requisitos particulares para gesto da qualidade de diferentes setores.
NOTA
Para informaes adicionais, ver normas sobre gesto da qualidade desenvolvidas pelo
39
L,
,
.!=
,
o
r
..
v.,
tecnologias usadas para criao, captura, converso e migrao na preservao de longo tempo
dos registros eletrnicos e digitais;
identificao e importncia da documentao de autorizao para os processos de registros.
NOTA
Para informaes adicionais, ver normas _sobre gesto de registros desenvolvidas pelo
A.6
Exemplo ilustrativo de conhecimento e habilidades de auditores de disciplinas
especficas em resiJIncia, segurana, prontido e gesto da continuidade
Convm que conhecimento e habilidades relacionados disciplina e aplicao de prticas, processos, tcnicas e mtodos de disciplinas especificas sejam suficientes para permitir que o auditor examine o sistema de gesto e gere concluses e constataes da auditoria apropriadas.
So exemplos de conhecimento e habilidades:
processos, cincia e tecnologia baseados na gesto da resilincia, segurana fisica, prontido,
resposta, continuidade e recuperao;
mtodos para o monitoramento e uso da inteligncia;
gerenciamento de riscos de eventos que causem transtornos (antecipar, evitar, prevenir, proteger,
mitigar, responder e recuperar a partir de um evento que cause transtorno);
40
'l.~:--'
't..
"
"
I .F
Ir.:
I~
Convm que conhecimento e habilidades relacionados disciplina e aplicao de prticas, processos, tcnicas e mtodos de disciplinas especficas sejam suficientes para permitir que o auditor examine o sistema de gesto e gere concluses e constataes da auditoria apropriadas.
-,
m
in
,J
leis e regulamentaes que tratem da segurana da informao (por exemplo, propriedade intelectual, contedo, proteo e reteno de registros da organizao, proteo e privacidade de
dados, regulamentao de controles criptogrficos, antiterrorismo, comrcio eletrnico, assinaturas digital e eletrnicas, avaliao do ambiente de trabalho, ergonomia no ambiente de trabalho,
interceptaO da telecomunicao e monitoramento de dados (por exemplo, e-mail), uso abusivo
do computador, coleta de evidncia eletrnica, teste de invaso etc.);
processos, tecnologia e cincia baseada na gesto da segurana da informao;
avaliao de risco (identificao, anlise e avaliao) e tendncias na tecnologia, ameaas
e vulnerabilidades;
gesto de risco de segurana da informao;
mtodos e prticas para controles da segurana da informao (eletrnico e fsico);
41
:> ISO 2011 - C ABNT 2012 Todos os direnos reservados
,
Convm que conhecimento e habilidades relacionados disciplina e aplicao de prticas, processos, tcnicas e mtodos de disciplinas especficas sejam suficientes para permitir que o auditor examine o sistema de gesto e gere concluses e constataes da auditoria apropriadas.
...,.
,
.
i:
,
~
,Ir,
identificao de danos, incluindo aqueles fatores que afetem o desempenho humano no ambiente
de trabalho (como fatores trsicos, qulmicos e biolgicos, bem como gnero, idade, deficincia
ou outros fatores de sade ou psicolgicos);
avaliao de risco, determinao de controles e comunicao do risco [convm que a determinao de controles seja baseada na hierarquia de controles (ver OHSAS 18001 :2007, 4.3.1)];
~
,
!?
mtodos para monitoramento de exposio e avaliao dos riscos da sade e segurana ocupacional (incluindo aqueles oriundos de fatores humanos mencionados acima ou relativos a higiene
ocupacional) e relativos a estratgias para eliminar ou minimizar tais exposies;
comportamento humano, interaes pessoa a pessoa e interao de pessoas com equipamentos,
processos e ambiente de trabalho (incluindo local de trabalho, princlpios ergonmicos e de projeto
seguro, tecnologia da informao e comunicao);
=
ao
avaliao de diferentes tipos e nveis da competncia da segurana e sade ocupacional requerida em toda a organizao e avaliao desta competncia;
mtodos para encorajar o envolvimento e a participao dos integrantes da fora de trabalho;
mtodos para encorajar a sade dos integrantes da fora de trabalho, o bem-estar e a autorresponsabilidade (em relao ao fumo, drogas, lcool, questes relativas ao peso, exerclcio flsico,
estresse, comportamento agressivo etc.), tanto durante o trabalho quanto na sua vida privada;
desenvolvimento, uso e avaliao do desempenho de mtricas e medies pr-ativas e reativas;
42
.
'1'
-~
.,
"
A.8.2
.F
Convm que conhecimento e habilidades relativas ao setor que est sendo auditado sejam suficientes
para permitir que o auditor examine o sistem de gesto dentro do contexto do setor e gere conclu-
i-
NOTA
Para informaes adicionais, ver normas sobre gesto da segurana e sade ocupacional, desen-
Para informaes adicionais, ver ABNT NBR 18801, referente ao sistema de ges-
43
C ISO 2011 - C ABNT 2012 - Todos os dlre~os reservados
Anexo B
(informativo)
8.1
Uma auditoria pode ser realizada usando uma variedade de mtodos de auditoria. Uma explicao dos
mtodos mais comuns usados em auditoria pode ser encontrada neste anexo. Os mtodos de auditoria
escolhidos para uma auditoria dependem dos objetivos de auditoria definidos, do escopo e critrios,
bem como da durao e localizao. Convm que a disponibilidade de auditor com competncia e
qualquer incerteza que su~a da aplicao dos mtodos de auditoria sejam consideradas. Aplicando
uma variedade e combinao de diferentes mtodos de auditoria, pde-se otimizar a eficincia
I
I
I
I
I
cf
"-f"'
,
"
de uma auditoria envolve uma interao entre indivfduos com o sistema de gesto que
est sendo auditado e a tecnologia usada para realizar a auditoria. A Tabela 8.1 fornece exemplos de
mtodos de auditoria que podem ser usados, de maneira nica ou combinados, para atingir os objetivos de auditoria. Se uma auditoria envolver o uso de uma equipe ~e auditoria com mltiplos membros,
o desempenho
..J
44
de auditoria
Localizao
Abrangncia do
envolvimento entre
o auditor e o audilado
aplicveis
do auditor
Remota
No local
Realizando entrevistas.
realizando entrevistas;
do aud~ado.
interao humana
do aud~ado.
Amostragem.
,
f
....
,F
anlise de dados).
dados)
Analisando dados
Il--..
,
I.F
iI~
Atividade de auditoria interativa envolve a Interao entre as pessoas da organizao auditada e a equipe de
auditoria. AtMdades de auditoria no Interativa no envolvem interao humana com pessoas que representam
o auditado, mas envolvem interao com equipamento, instalaes e documntao .
.-
o
m
A responsabilidade
da aplicao efetiva dos mtodos de auditoria para quaisquer auditorias no estgio
do planejamento permanece
com a pessoa que gerencia o programa de auditoria ou com o lder da
equipe de auditoria. O lder da equipe de aud~oria tem esta responsabilidade
para realizar as atividades de auditoria.
A viabilidade
das atividades
de auditoria
do nvel de confiana
entre o auditor
e o pessoal auditado.
No nvel do programa de auditoria, convm que seja assegurado que o uso de mtodos de auditoria
remota ou no local seja adequado e balanceado, para assegurar um atingimento satisfatrio dos objetivos do programa
.t.
j
,
8.2
de auditoria .
considerem
se:
esperado
disponibilizados
est em conformidade
com outras
fontes
confiveis,
como
normas
e regulamentaes);
45
~ ISO 2011 - CABNT
Anlise critica do documento pode dar uma indicao da eficcia do controle de documento no
8.3
8.3.1
".
Amostragem
Generalidades
c,
Amostragem de auditoria realizada quando no prtico ou oneroso examinar todas as informaes disponveis durante uma auditoria, por exemplo, registros so muito numerosos ou muito dispersos geograficamente para justificar o exame de cada item na populao. Amostragem de auditoria de
uma grande populao o processo de selecionar menos de 100 % de itens dentro do conjunto total
de dados disponfveis (populao) para obter e avaliar a evidncia sobre alguma caracterlstica daquela
populao, a fim de formar uma concluso com relao populao.
I lI
,~
.-,
O objetivo da amostragem de auditoria prover informao para que o auditor tenha confiana de que
os objetivos da auditoria podem ser ou sero atingidos.
O risco associado com amostragem que as amostras podem no ser representativas da populao
da qual elas so selecionadas, e ento as concluses do auditor podem ser tendenciosas e diferentes
daquelas que seriam alcanadas se a populao inteira fosse examinada. Podem existir outros riscos,
dependendo da variabilidade dentro da populao a ser amostrada e do mtodo escolhido.
.0
co
.,
.t.
46
Um relato sobre a amostra selecionada pode levar em considerao o tamanho da amostra, mtodo
de seleo e estimativas feitas com base na amostra e no nvel de confiana.
Auditorias podem ser usadas tanto em amostragem baseada no julgamento (ver B 5.2) como em
amostragem esta!fstica (ver B.5.3).
8.3.2
C"
"
,'
'-
I
I
!
Um obstculo para a amostragem baseada em julgamento que pode no existir uma estimativa esta!fstica do efeito da incerteza nas constataes da auditoria ou nas concluses alcanadas.
.,
"
.-
8.3.3
Amostragem estatstica
Se a deciso for fazer uso de amostragem esta!fstica, convm que o plano de amostragem seja baseado nos objetivos da auditoria e no que conhecido sobre as caractersticas da populao global, das
quais as amostras so tomadas.
<:>
~
" .
Convm que o plano de amostragem leve em considerao se o resultado que est sendo examinado
tem possibilidade de ser baseado em um atributo ou baseado em uma varivel. Por exemplo, quando
avaliando a conformidade dos formulrios preenchidos com os requisitos estabelecidos em um procedimento, pode ser usada uma abordagem baseada em atributo. Quando examinando a ocorrncia de
incidentes de segurana de alimentos ou do nmero de violaes da segurana da informao, uma
abordagem baseada em varivel provavelmente mais apropriada .
..:
""J
o tamanho da organizao;
o nmero de auditores qualificados;
a frequncia de auditorias durante o ano;
o tempo de auditoria em particular;
quaisquer nrveis de confiana requerido externamente.
47
C ISO 2011 CABNT
Quando um plano de amostragem estatstico desenvolvido, o nrvel de risco da amostra que o auditor
est disposto a aceitar uma considerao importante a ser avaliada. Isto sempre referido como
nrvel de confiana aceitvel. Por exemplo, um risco de amostragem de 5 % corresponde a um nfvel de
confiana aceitvel de 95 %. Um risco de amostragem de 5 % significa que o auditor est disposto a
aceitar o risco de 5 em um total de 100 (ou 1 em 20) amostras examinadas que no afetaro os valores
reais que seriam vistos caso a populao inteira fosse examinada.
Quando uma amostra estatstica usada, convm que os auditores documentem apropriadamente
o trabalho realizado. Convm que isto inclua uma descrio da populao que est sendo amostrada,
o critrio de amostragem usado para a avaliao (por exemplo, o que uma amostra aceitvel), mtodos e parmetros estatrsticos que foram usados, nmero de amostras avaliadas e resultados obtidos.
8.4
Quais registros da auditoria sero criados pelo uso deste documento de trabalho?
b)
c)
d)
Para auditorias combinadas, convm que os documentos de trabalho sejam desenvolvidos para evitar duplicao de atividade de auditoria devido a:
agrupamento de requisitos similares oriundos de critrios diferentes;
coordenao do contedo de listas de verificao e questionrios relacionados.
,~
Convm que os documentos de trabalho sejam adequados para contemplar todos aqueles elementos
do sistema de gesto dentro do escopo da auditoria e que possam ser fornecidos em qualquer meio .
...
8.5
-!
.t.
,
l
documentos, como polfticas, objetivos, planos, procedimentos, normas, instrues, licenas e permisses, especificaes, desenhos, contratos e ordens de compra;
registros, como registros de inspeo, atas de reunies, relatrios de auditoria, registros de programas de monitoramento e os resultados de medies;
dados sumarizados, anlises e indicadores de desempenho;
C ISO 2011 CABNT
48
.1
informaes sobre os planos de amostragem do auditado e sobre os procedimentos para controle de amostragem e processos de medio;
relatrios de outras fontes, por exemplo, realimentao dos clientes (feedback), medies e pesquisas extemas, outras informaes pertinentes de partes externas e classificao de fornecedores;
base de dados e sites;
simulao e modelagem.
8.6
planejamento da visita:
P
,
."'
,~
."
e permisses, se aplicado;
confirmar com o auditado que quaisquer requisitos de equipamento de proteo individual
(EPI) estaro disponveis para a equipe de auditoria, se aplicvel;
exceto para as auditorias ad hoc no planejadas, assegurar que o pessoal que est sendo
visitado ser informado sobre o escopo e objetivos da auditoria;
b)
u,
,I
"'J
49
C ISO 2011 - CABNT
GJ
Realizando entrevistas
Entrevistas representam uma das mais importantes formas de coletar informaes, e convm que
sejam realizadas de tal maneira a adptar a situao pessoa a ser entrevistada, seja pessoalmente
ou por outros meios de comunicao. Entretanto, convm que o auditor considere:
que entrevistas sejam realizadas com pessoas de funes e niveis apropriados que realizem
Co
1"0-
I?
que entrevistas sejam normalmente conduzidas durante o horrio normal de trabalho e, sempre
que possvel, no local de trabalho da pessoa que est sendo entrevistada;
<.
.~
sempre que possivel, deixar a pessoa que est sendo entrevistada vontade antes e durante
a entrevista;
que a razo para a entrevista e quaisquer anotaes sejam explicadas;
que as entrevistas possam ser iniciadas pedindo s pessoas que descrevam os seus trabalhos;
selecionar cuidadosamente o tipo de questo usada (por exemplo, usar questes abertas, fechadas);
que os resultados das entrevistas sejam sumarizados e analisados criticamente com a pessoa
m
entrevistada;
lO
B.8
Constataes da auditoria
8.8.1
,
'=;
.,
,I
1
50
._-------------
.;
B.8.2
Registrando as conformidades
8.8.3
Registrando no conformidades
evidncia da auditoria;
~
,
,-
8.8.4
.,-
Durante uma auditoria possvel identificar constataes relativas a mltiplos critrios. Quando um
auditor identifica uma constatao relacionada a um critrio de uma auditoria combinada, convm que
o auditor considere o possvel impacto sobre o critrio similar ou correspondente de outros sistemas
de gesto.
Dependendo dos arranjos com o cliente da auditoria, o auditor pode considerar:
separar as constataes para cada critrio; ou
uma simples constatao, combinando as referncias a mltiplos critrios.
'"
Dependendo dos arranjos com o cliente da auditoria, o auditor pode orientar o auditado sobre como
responder a estas constataes .
.f.
-'J
I
51
lISO 2011 lABNT
Bibliografia
[1]
Part 4: Procedures
for
[3]
[4]
[5]
[6]
Fundamentos e vocabulrio
Requisitos
Requisitos com diretrizes para uso
Vocabulary
Requirements for bodies providing audit and
C"
!
t-
[7]
<.
[8]
11-
Requisitos para
i..:
[9]
ISO/IEC
27000,
Information
management systems -
C>
technology
Security
techniques
Information
security
[10] ABNT NBR ISO/lEC 27001, Tecnologia da informao de gesto da segurana da informao - Requisitos
Tcnicas de segurana
Sistemas
'"
[12] ABNT NBR ISO/IEC 27003, Tecnologia da informao - Tcnicas de segurana para implementao de um sistema de gesto da segurana da informao
[13] ABNT NBR ISOIIEC 27004, Tecnologia da informao segurana da informao -
Diretrizes
Tcnicas de segurana -
Gesto de
Tcnicas de segurana -
Gesto de
Medies
.t:,
".i.
"
Princ{pios e diretrizes
A ser publicado,
IQ ISO 2011 .IQABNT
52
for use
[19] ABNT NBR ISO 50001, Sistemas de gesto de energia [20] ABNT ISO Guia 73:2009, Gesto de riscos -
Vocabulrio
[21] OHSAS 18001 :2007, Occupational health and safety management systems -
Requirements
NOTA BRASILEIRA
o
m
..
,
..:
\
I
Sob preparao.
53