‘Documenta impresso em 25/02/2019 18:45:01, de uso exclusive de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASIL LT NORMA ABNT NBR BRASILEIRA ISO 19011 Terceira edigéo 20.12.2018 Diretrizes para auditoria de sistemas de gestao Guidelines for auditing management systems Para uso exclusivo de Treinamento DNV GL| reso Box ICS 03.120.20; 03.100.70 ISBN 978-85-07-07872-2 associngko Numero de referéncia Git BRASILEIRA ABNT NBR ISO 19011:2018 TECNICAS 53 paginas ©1SO 2018- @ABNT 20183 DDocurnanto mpresso em 2502/2019 18:45:01, de uso exchseia de DNV GL BUSINESS ASSURANCE AVAL, E CER Documenta impresso em 25/02/2019 18:45:01, de use exclusive de DNV GL BUSINESS ASSURANCE AVAL E CERTIF.BRASILLT ABNT NBR ISO 19011:2018 ©180 2018 Todos 0s direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicage pode ser reproduzida ou utiizada por qualquer meio, eletronico ou mecénico, incluindo fotocépia e microfime, sem permisso por escrito da ABNT, (nico representante da ISO no terrtério brasileiro. @ABNT 2018 ‘Todos 0s direitos reservados. A menos que especficado de outro modo, nenhuma parte desta publicagso pode ser reproduzida ou utiizada por qualquer meio, eletrénico ou mectnice, incluindo fotocépia e microfime, sem permissao por escrito da ABNT. ABNT ‘Av.Treze de Malo, 13 - 28° andar 2031-901 - Rio de Janeiro - RJ Tels #8521 3974-2300 Fax: + 55.21 3974-2346 abnt@abnt org br wwwabnt.org.br a Para uso exclusivo de Treinamento DNV GL (© 180 2018 -© ABNT 2018 - Todos 08 dretios reservados12019 19:45:01, de uso exchisivo de DNV GL BUSINESS ASSURANCE AVAL. E CERTIF.GRASILLT 02 Docurrentsimpreeso em Documento impresso em 25/02/2019 18:45:01, de uso exclusive de DNV GL BUSINESS ASSURANCE AVAL. E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 Sumario Pagina Prefacio Nacional Introdugao...... 1 ESCOPO soerernsreee 2 Referéncias normativa: 3 Termos e defini 4 Principios de auditoria.. 5 Gerenciando um programa de auditoria 5A Generalidade: 52 Estabelecendo objetivos do programa de auditoria.. 53 Determinando e avaliando riscos e oportunidades do programa de auditoria. 54 Estabelecendo o programa de auditoria. oe 5.4.1 Papéis e responsabilidades da(s) pessoa(s) que gerencia(m) o programa de auditoria... Competéncia da(s) pessoa(s) que gerencia(m) o programa de auditoria Estabelecendo a extensao do programa de audi Determinando recursos do programa de auditoria... Implementando o programa de auditori Generalidades. = Definindo os objetivos, escopo e critérios para uma auditoria individual Selecionando e determinando os métodos de auditoria.. Selecionando os membros da equipe de auditor Atribuindo responsabilidade para uma audit aud 5.5.6 Gerenciando os resultados do programa de auditoria. 5.5.7 Gerenciando e mantendo os registros do programa de auditor Monitorando o programa de auditoria 62 624 6.2.2 Estabelecendo contato com o auditado 62.3 Determinando a viabilidade da auditoria 63 Preparando as atividades da auditoria 6.3.1 Realizando anélise critica de informagao documentad: 63.2 Planejando a audi 63.3 Atribuindo trabalho para a equipe de auditoria 6.3.4 Preparando informacao documentada para a auditoria. 64 Conduzindo atividades da auditori 641 — Generalidades. 6.4.2 Atribuindo papéis e responsat jades para guias e observadores. eisoame-enowr zie Taneoramtmanast — Loarauap oxvo de teinamentoDavGt] fiDDocumentoimpresso em 25/02!2019 19:45:01, de uso excusivo de ONV GL BUSINESS ASSURANCE Documenta impreszo em 251022019 19:45:01, de uso exclusive de DNV GL BUSINESS ASSURANCE AVAL, € CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 6.4.3 6.4.4 64.5 6.4.6 647 6.4.8 6.4.9 6.4.10 65 654 6.5.2 66 67 7 TA 72 724 722 72.3 724 725 73 TA 75 76 Anexo A (informativo) Orientagao adi AA A2 AS A AS AG AGA AG62 A63 AT Ag Ag AO AM AMZ An3 AM Conduzindo a reuniao de abertura. Comunicagao durante a auditoria .. Disponibilidade e acesso de informacao de auditoria Analisando criticamente a informagao documentada ao conduzir a auditori Coletando e verificando informacao Gerando constatagées de auditor Determinando conclusées de auditoria Conduzindo a reuniao de encerramento. Preparando e distribuindo o relatério de audi Preparando 0 relatorio de auditori Distribuindo 0 relatério da audit Concluindo a auditoria Conduzindo 0 acompanhamento da audito Competéncia e avaliagao de auditores. Generalidades. Determinando a competéncia de auditor.. Generalidades. Comportamento pessoal Conhecimento e habilidades. Alcangando a competéncia de auditor... Alcancando a competéncia do lider da equipe de audi Estabelecendo os critérios de avaliacao de auditor. Selecionando 0 método apropriado de avaliagao de au Conduzindo a avaliagao de auditor. Mantendo e methorando a competéncia de auditor 40 ional para auditores planejarem e conduzirem auditorias... 41 Aplicando os métodos de auditoria .. Abordagem de processo para auditar Julgamento profissional.... Resultados de desempenh Verificando a informacao. Amostragem Generalidades.. Amostragem com base em julgamento Amostragem estatistica Auditoria de compliance em um Contexto de auditoria .. Auditoria de lideranga e comprometimento Auditoria de riscos e oportunidades.. Ciclo de vida... Auditoria da cadeia de suprimento Preparando documentos de trabalho de auditoria Selecionando fontes de informagao. para uso exclusivo de Treinamento DNV GL| ©180 2018 - @ABNT 2018. Todos os sreltos reservados 8 9 0 0 2 2 3 3 3 3 3 4 34 5 5 8 88sDocurnentampresso om 25/02/2019 19:45:01, de uso exclusive de ONV GL. BUSINESS ASSURANCE AVAL. E CERTIF.SRASILLT Documento impresse em 25/02/2018 19:46:01, de uso excusivo de DNV GL BUSINESS ASSURANCE AVAL. € CERTIF.BRASILLT ABNT NBR ISO 19011:2018 A415 Visitando a localizagao do auditado. A16 ——_Auditoria de atividades e locais virtuai AAT —_ Conduzindo entrevistas. A418 —_Constatagées de auditoria A181 Determinando as constatagées de auditoria, 18.2 Registrando as conformidades. A183. Registrando nao conformidades 18.4 Tratando de constatagées relacionadas aos miltiplos critérios. liografia. Figura 1 — Fluxo do processo para gerenciamento de um programa de auditoria Figura 2 - Visdo geral de um processo usual para coletar e verificar informacao, Tabelas Tabela 1 — Diferentes tipos de auditorias. Tabela 2 Métodos de avaliagao de auditores.. Tabela A.1 — Métodos de auditori de Treinamento DNV GL V (©150 2018 -©ABNT 2018 - Todos 0s dito reservadosDocumenta impresso em 25/02/2019 19:48:01, de uso exclusive de DNV GL BUSINESS ASSURANCE AVAL. E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 Prefacio Nacional A Associagao Brasileira de Normas Técnicas (ABNT) € 0 Foro Nacional de Normalizagao. As Normas Brasileiras, cujo contetido é de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizagao Setorial (ABNT/ONS) e das Comissées de Estudo Especiais (ABNTICEE), sao elaboradas por Comissdes de Estudo (CE), formadas pelas partes interessadas no tema objeto da normalizagao. Os Documentos Técnicos Internacionais séo adotados conforme as regras da ABNT Diretiva 3 ‘A ABNT chama a ateng&o para que, apesar de ter sido solicitada manifestagao sobre eventuais, direitos de patentes durante a Consulta Nacional, estes podem ocorrer e devem ser comunicados AABNT a qualquer momento (Lei n® 9.279, de 14 de maio de 1996). Ressalta-se que Normas Brasileiras podem ser objeto de citagdo em Regulamentos Técnicos. Nestes casos, os érgdos responsaveis pelos Regulamentos Técnicos podem determinar outras datas para exigéncia dos requisitos desta Norma. SSURANCE AVAL. E CERTIF.A A ABNT NBR ISO 19011 foi elaborada no Comité Brasileiro da Qualidade (ABNT/CB-025), pela Comissao de Estudo de Tecnologias de suporte (CE-025:000.003). O Projeto circulou em Consulta Nacional conforme Edital n° 11, de 14.11.2018 a 13.12.2018. Esta Norma & uma adogdo idéntica, em contetido técnico, estrutura e redagdo, a ISO 19011:2018, que foi elaborada pelo Project Committee Guidelines for auditing management systems {ISO/PC 302), conforme ISO/IEC Guide 21-1:2008. Esta terceira edigo cancela e substitui a ediodo anterior (ABNT NBR ISO 19011:2012), a qual foi tecnicamente revisada. As principais diferengas em relagao a segunda edicdo so as seguintes: —— inclusao da abordagem baseada em risco aos principios de auditoria; — ampliagao da orientagdo sobre a gestéo de um programa de auditoria, incluindo riscos do programa de auditoria; — _ampliagdo da orientagao para conduzir uma auditoria, particularmente na Segdo sobre planej mento de auditoria; — _ampliagao dos requisitos genéricos de competéncia para auditores; — _ajuste da terminologia para refletir 0 processo e n&o 0 objeto (‘coisa’); — remogao do Anexo contendo requisitos de competéncia para auditar disciplinas especificas do sistema de gestéo (devido ao grande numero de normas particulares de sistemas de gestéo, ‘nao seria pratico incluir requisitos de competéncia para todas as disciplinas); — ampliagéo do Anexo A para forecer orientagéo sobre (novos) conceitos de auditoria, como contexto organizacional, lideranga e comprometimento, auditorias virtuais, compliance e cadeia de suprimento. NOTA BRASILEIRA _O termo "compliance" no é traduzido, por ser um conceit muito amplo. vl Para uso exclusivo de Treinamento DNV GL (© 180 2018- © ABNT 2018 - Todos 0s dietos reservadosDDocumentoimpresso em 25/02/2019 19:45:01, de uso excuslvo de NV GL BUSINESS ASSURANCE AVAL, E CERTIFBRASILLT Document impresso em 25/02/2018 18:45 01, de uso exclusivo de DNV GL BUSINESS ASSURANCE AVAL. E CERTIF-BRASILLT ABNT NBR ISO 19011:2018 © Escopo em inglés desta Norma Brasileira é 0 seguinte: Scope This document provides guidance on auditing management systems, including the principles of auditing, ‘managing an audit programme and conducting management system audits, as well as guidance on the evaluation of competence of individuals involved in the audit process. These activities include the individual(s) managing the audit programme, auditors and audit teams. it is applicable to all organizations that need to plan and conduct internal or external audits of management systems or manage an audit programme. The application of this document to other types of audits is possible, provided that special consideration is given to the specific competence needed. (©1S0 2018 - @ABNT 2018 - Todos os dretos reservados Para uso exclusive de Treinamento DNV GL vii Ll excuse ereDocumenta improsso om 2510272019 19:45:01, de use exclusiva de ONV GL BUSINESS ASSURANCE AVAL. E CERTIFBRASILLT Documento impresso em 2502/2019 18:45:01, de uso exclusivo de DNV GL BUSINESS ASSURANCE AVAL E CERTIFSRASIL LT ABNT NBR ISO 19011:2018 Introdugao Desde que a segunda edigéo deste documento foi publicada, em 2012, diversas normas novas de sistema de gesto foram publicadas, muitas das quais possuindo uma estrutura em comum, requisitos centrais idénticos e termos e definigdes centrais em comum. Como um resultado, ha, agora, a neces- sidade de se considerar uma abordagem mais ampla para auditar o sistema de gestdo, assim como para fornecer orientagao que seja mais genérica. Resultados de auditoria podem fornecer entradas para 0 aspecto de analise de planejamento de negécio e podem contribuir para a identificago de necessidades de melhoria e atividades. Uma auditoria pode ser conduzida em relagdo a uma gama de critérios de auditoria, separadamente ‘ou em combinago, incluindo, mas ndo limitados a: — _ requisitos definidos em uma ou mais normas de sistema de gestao; — politicas e requisitos especificados por partes interessadas pertinentes; —_ requisitos estatutarios e regulamentares; — _um ou mais processos de sistema de gestéo definidos pela organizago ou outras partes; — _ plano(s) de sistema de gestao relacionados) & provisdo de saidas especificas de um sistema de gestdo (por exemplo, plano de qualidade, plano de projeto). Este documento fornece orientago para todos os tamanhos ¢ tipos de organizagées e auditorias de variados escopos e dimensées, incluindo aquelas conduzidas por grandes equipes de auditoria, usualmente de organizagdes maiores, e aquelas conduzidas por auditores tnicos, em organizagdes grandes ou pequenas. Convém que esta orientacao seja adaptada conforme apropriado ao escopo, complexidade e dimensao do programa de auditoria, Este documento concentra-se em auditorias internas (primeira parte) e auditorias conduzidas por organizagées em seus fornecedores externos e outras partes interessadas externas (segunda parte). Este documento pode também ser util para auditorias externas conduzidas para outros fins que nao a certificagao de terceira parte de sistemas de gestéo. AABNT NBR ISO/IEC 17021-1 fornece requi- sitos para auditoria de sistemas de gestao para certificagao de terceira parte; este documento pode fornecer orientagao adicional util (ver Tabela 1). Tabela 1 — Diferentes tipos de auditorias Auditoria de 1° parte Auditoria de 2° parte Auditoria de 3° parte ; Auditoria de certificagao e/ou Auditoria interna Auditoria de fornecedor externo acreditagao Outra auditoria de parte Auditoria estatutaria, teressada externa regulamentar e similar Para simplificar a legibilidade deste documento, a forma singular de “sistema de gestdo” é preferida, mas 0 leitor pode adaptar a implementaco da orientag&o para sua propria situagao. Isso também & aplicdvel ao uso de "pessoa" ¢ “pessoas”, “auditor” e “auditores’. - — — vill Para uso exclusive de Treinamento DNV GL| ©1S0 2018 - @ABNT 2018 - Todos os dreos reservados5:01, de use exchuso do CNV GL BUSINESS ASSURANCE AVAL. € GERTIF.SRASKL LT § 5 § ‘ocurmanto i Documento inpresso em 25/02/2079 19-4501, de uso exclusiva de DNV GL BUSINESS ASSURANCE AVAL. E CERTIF BRASIL LT ABNT NBR ISO 19011:2018 Este documento ¢ destinado a ser aplicado a uma ampla gama de potenciais usuérios, incluindo auditores, organizagdes que implementam sistemas de gestéo e organizagSes que necessitam conduzir auditorias de sistemas de gestéo por raz6es contratuais ou regulamentares. Usuarios deste documento podem, no entanto, aplicar esta orientagao para desenvolver seus proprios requisitos relacionados a auditoria. A orientagdo contida neste documento pode também ser usada para o propésito de autodeclaracdo, € pode ser util para organizagdes envolvidas em treinamento de auditores ou certificagao de pessoal. Aorientagao contida neste documento ¢ destinado a ser flexivel. Conforme indicado em varios pontos no texto, 0 uso desta orientag&o pode variar, dependendo do tamanho e do nivel de maturidade do sistema de gestéo de uma organizacao. Convém também que sejam consideradas a natureza e a complexidade da organizago a ser auditada, assim como os objetivos e 0 escopo das auditori a serem conduzidas. Este documento adota a abordagem de auditoria combinada, quando dois ou mais sistemas de gestéo de diferentes disciplinas s4o auditados em conjunto. Quando estes sistemas so integrados em um sistema de gestao tinico, os principios e processos de auditoria séo os mesmos que para uma auditoria combinada (as vezes conhecida como uma auditoria integrada). Este documento fornece orientagao para o gerenciamento de um programa de auditoria, sobre o planejamento e a condugao de auditoria de sistemas de gestdo, assim como sobre a competéncia e a avaliagdo de um auditor e de uma equipe de auditoria (© 1S0 2018 -@ABNT 2018 - Todos 08 direitos reservados Para uso exclusive de Treinamento DNV GL ixDDocumento impresso em 25/02/2019 19:45:01, de uso exclusive de ONV GL. BUSINESS ASSURANCE AVAL. E CERTIF.BRASIL LT to impresso em 26/02/2619 19:45:01, de usa exctusiveide ONY GL BUSINESS ASSURANCE AVAL. & CERTIF.BRASILLT | Para uso exclusive de Treinamento Dnv Gt elCCERTIF.BRASILLT Documenta impresso emt 2502/2019 19:45:01, de uso exchisivo ce DNV GL BUSINESS ASSURANCE AVAL. | Documento impresso em 25/02/2019 19:48:01, de uso exclusive de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASILLT NORMA BRASILEIRA ABNT NBR ISO 19011:2018 Diretrizes para auditoria de sistemas de gestao 1 Escopo Este documento fornece orientacao sobre a a autitoria de sistemas de gestdo, incluindo os principios de auditoria, a gestéo de um programa de auditoria e a conducéo de auditoria de sistemas de ges- to, como também orientagao sobre a avaliagao de competéncia de pessoas envolvidas no processo de auditoria. Estas atividades incluem as pessoa(s) que gerencia(m) o programa de auditoria, os audi- tores @ a equipe de auditoria. Ele é aplicdvel a todas as organizagdes que necessitam planejar e conduzir auditorias internas ou externas de sistemas de gestdo ou gerenciar um programa de auditoria. A aplicagao deste documento para outros tipos de auditorias & possivel, desde que seja dada consi- deracdo especail para a necessidade de competncia especifica, 2 Referéncias normativas Nao ha referéncas normativas neste documento. 3. Termos e definigées Para os efeitos deste documento, aplicam-se os seguintes termos e definigdes. A ISO e a IEC mantém bases de dados terminolégicas para uso em normalizagdo nos seguintes enderecos: —_ ISO Online Browsing Platform: disponivel em https://www.is0.org/obp — IEC Electropedia: disponivel em http:/Avmw.electropedia.org/ 34 auditoria proceso sistematico, independente e documentado para obter evidéncia objetiva (3.8) e avaliéta objetivamente, para determinar a extens4o na qual os critérios de auditoria (3.7) so atendidos Nota 1 de entrada: Auditorias internas, algumas vezes chamadas de auditorias de primeira parte, so conduzidas pela propria, ou em nome da prépria, organizagao. Nota 2 de entrada: Auditorias externas incluem aquelas geralmente chamadas de auditorias de segunda e terceira partes. Auditorias de segunda parte so conduzidas por partes que tém um interesse na organizacao, como clientes, ou por outras pessoas em seu nome. Auditorias de terceira parte so conduzidas por orga~ nizagées de auditoria independentes, como aquelas que fornecerem certificagaolregistro de conformidade, ou por agéncias governamentais. [ABNT NBR ISO 9000:2015, 3.13.1, modificada — Notas de entrada foram modificadas} a uso exclusive de Treinamento DNV GL. (©180 2018 -@ ASNT 2018 -Todos os datos reservados Para uso exclusive de Treinai 1lsivo de DNV GL. BUSINESS ASSURANCE AVAL. E CERTIF.BRASI ocumentompresso em 2502/2018 19:45:01, do uso Documento impresso em 25/02/2019 18:45:07, de uso exclusive de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF BRASIL LT ABNT NBR ISO 19011:2018 32 auditoria combinada auditoria (3.1) realizada em um Unico auditado (3.13), em dois ou mais sistemas de gesto (3.18) NOTA 1 de entrada: Quando sistemas de gest&o de duas ou mais disciplinas especificas sao integrados ‘em um Unico sistema de gesto, isso ¢ conhecido como um sistema de gestao integrado. [ABNT NBR ISO 9000:2015, 3.13.2, modificada] conjunta auditoria (3.1) realizada em um Gnico auditado (3.13), por duas ou mais organizagSes de auditoria [ABNT NBR ISO 9000:2015, 3.13.3] 3.4 programa de auditoria arranjos para um conjunto de uma ou mais auditorias (3.1), planejado para um periodo de tempo especifico e direcionado a um propésito especifico [ABNT NBR ISO 9000:2015, 3.13.4, modificada ~ texto foi inserido a definico] 35 escopo da auditoria abrangéncia e limites de uma auditoria (3.1) NOTA 1 de entrada: O escopo da auditoria geralmente inclui uma descricao dos locais fisicos e virtuais, fungées, unidades organizacionais, atividades e processos, assim como o periodo de tempo coberto. NOTA2 de entrada: Um local virtual é onde uma organizagao realiza trabalho ou fornece um servico usando um ambiente on-line, permitindo que pessoas executem processos independentemente de locais fisicos. [ABNT NBR ISO 9000:2015, 3.13.5, modificada— Nota 1 de entrada foi modificada e Nota 2 de entrada foi inserida] 3.6 plano de auditoria descrigo das atividades e arranjos para uma auditoria (3.1) [ABNT NBR ISO 9000:2015, 3.13.6] 37 critérios de auditoria Conjunto de requisitos (3.23) usados como uma referéncia com a qual a evidéncia objetiva (3.8) comparada NOTA 1 de entrada: Se os critérios de auditoria forem requisitos legais (incluindo estatutarios ou regulamentares), as expressdes “compliance” ou “n8o compliance” so frequentemente usadas em uma constatag&o de auditoria (3.10), NOTA 2 de entrada: Requisitos podem incluir politicas, procedimentos, instrugées de trabalho, requisitos legais, obrigag6es contratuais etc. IABNT NBR ISO 9000:2015, 3.13.7, modificada — a definig&o foi modificada e as Notas 1 e 2 de entrada foram inseridas} 2 Para uso exclusivo de Treinamento DNV GL © 1SO 2018 - @ABNT 2018 - Todos os direitos reservados:‘Documento impresea om 25/02/2019 19:45:01, de uso oxcusivo de ONV GL BUSINESS ASSURANGE AVAL, € CERTIFARASIL LT Document impresso em 25102/2019 19:48:01, de uso exclusive de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASILLT ABNT NBR ISO 19011:2018 38 evidéncia objetiva dados que apoiam a existéncia ou a veracidade de alguma coisa NOTA 1 de entrada: Evidéncia objetiva pode ser obtida por observagao, medic¢ao, ensaio ou outros meios. NOTA 2 de entrada: Evidéncia objetiva para o propésito de auditor (3.1) geralmente consiste em registros, declaracdes de um fato ou outra informagao que seja pertinente para os critérios de auditoria (3.7) € verificavel [ABNT NBR ISO 9000:2015, 3.8.3] 39 evidéncia de auditoria registros, apresentacdo de fatos ou outras informagSes pertinentes aos critérios de auditoria (3.7) e verificaveis [ABNT NBR ISO 9000:2015, 3.13.8] 3.10 constatagdes de auditoria resultados da avaliago de evidéncia de auditoria (3.9) coletada, comparada com os critérios de auditoria (3.7) NOTA 1 de entrada: Constatacées de auditoria indicam conformidade (3.20) ou néo conformidade (3.21). NOTA 2 de entrada: Constatagées de auditoria podem conduzir a identificagao de riscos, oportunidades para melhoria ou registro de boas praticas. NOTA 3 de entrada: Em ingles, se os critérios de auditoria forem selecionados de requisitos estatutarios ou requisitos regulamentares, a constataco de auditoria pode ser denominada “compliance” ou “no compliance” IABNT NBR ISO 9000:2016, 3.13.9, modificada — as Notas 2 e 3 de entrada foram modificadas] 341 conclusdo de auditoria resultado de uma auditoria (3.1), apés levar em consideragdo os objetivos de auditoria e todas as constatagdes de auditoria (3.10) [ABNT NBR ISO 9000:2015, 3.13.10] 3.12 cliente de auditoria organizagdo ou pessoa que solicita uma auditoria (3.1) Nota 1 de entrada: No caso de auditoriaintema, o cliente de auditoria pode também ser 0 auditado (3.13) ou a(s) pessoa(s) que gerencia(m) 0 programa de auditoria. Solicitagées para auditoria externa podem vir de fontes como reguladores, partes contratantes ou clientes potenciais ou existentes. [ABNT NBR ISO 9000:2015, 3.13.11, modificada — Nota 1 de entrada foi inserida] 3.13 auditado organizagao como um todo ou suas partes, que esta sendo auditada [ABNT NBR ISO 9000:2015, 3.13.12, modificada] — © 1S0 2018 ©ABNT 2018 - Todos 08 cites reservados | para uso exclusivo de Treinamento DNV GL 3DBocumenio impresso em 25102/2019 19:45:01, de uso exclusiva de ONV GL BUSINESS ASSURANCE AVAL. E CERTIBRASILLT Documerto impresso em 25/02/2018 16:45:01, de uso exclusiva de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASIL.LT ABNT NBR ISO 19011:2018 3.14 equipe de auditoria uma ou mais pessoas que realizam uma auditoria (3.1), apoiadas, se necessario, por especialistas (3.16) Nota 1 de entrada: Um auditor (3.15) da equipe de auditoria (3.14) é indicado como o lider da equipe de auditor, Nota 2 de entrada: A equipe de auditoria pode incluir auditores em treinamento, [ABNT NBR ISO 9000:2015, 3.13.14] 3.15 auditor pessoa que realiza uma auditoria (3.1) [ABNT NBR ISO 9000:2016, 3.13.15] 3.16 especialista pessoa que prové conhecimento ou experiéncia especificos para a equipe de auditoria (3.14) Nota 1 de entrada: Conhecimento ou experiéncia especificos sao relatives a organizago, atividade, processo, produto, servico, disciplina a ser auditada ou idioma ou cultura. Nota 2 de entrada: Um especialista para a equipe de auditoria (3.14) néo atua como um auditor (3.18). IABNT NBR ISO 9000:2015, 3.13.16 — Nolas 1 @ 2 de entrada foram modificadas] 3.17 observador pessoa que acompanha a equipe de auditoria (3.14), mas nao atua como auditor (3.15) IABNT NBR ISO 9000:2015, 3.13.17, modificada] 3.18 sistema de gestao Conjunto de elementos inter-relacionados ou interativos de uma organizagao, para estabelecer poli- ticas, objetivos e processos (3.24) para alcangar estes objetivos. Nota 1 de entrada: Um sistema de gestéo pode abordar uma unica disciplina ou varias disciplinas, por exemplo, gestao da qualidade, gestdo financeira ou gestao ambiental Nota 2 de entrada: Os elementos do sistema de gestdo estabelecem a estrutura, papéis e responsabilidades, planejamento, operago, politicas, praticas, regras, crencas, objetivos da organizagao e processos para aleancar estes objetivos, Nota 3 de entrada: © escopo de um sistema de gestéo pode incluir a totalidade da organizag&o, fungées especificas e identiicadas da organizagao, segbes especificas e identificadas da organizagdo, ou uma ou mais fungbes executadas por mais de uma organizagao, [ABNT NBR ISO 9000:2015, 3.5.3, modificada~ Nota 4 de entrada foi excluida] 3.19 risco efeito de incerteza Nota 1 de entrada: Um efeito 6 um desvio do esperado — positivo ou negativo. 4 | Para uso exclusivo de Treinamento DNV GL © 10 2018- ©ABNT 2018 - Todos os direitos reservadosefusivo 08 DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.80Y 580 orn 2502/2019 19:45:05, de Docu ny Decumento impresso em 25102/2019 19:48:01, de uso exclusiva de DNV GL. BUSINESS ASSURANCE AVAL, € CERTIF.SRASIL LT ABNT NBR ISO 19011:2018 Nota 2 de entrada: Incetteza é o estado, ainda que parcial, de deficiéncia de informagao, de compreensdo ‘ou de conhecimento relacionado a um evento, sua consequéncia ou sua probabilidade. Nota 3 de entrada: Risco ¢ frequentemente caracterizado pela referéncia a ‘eventos’ potenciais (como definido no ABNT ISO Guia 73:2009, 3.5.1.3) e “consequéncias” (como definido no ABNT ISO Guia 73:2009, 3.6.1.3), ou uma combinacao destes. Nota 4 de entrada: Risco ¢ frequentemente expresso em termos de uma combinagao das consequéncias de um evento (incluindo mudangas em circunstancias) e da “probabilidade” associada (como definido no ABNT ISO Guia 73:2009, 3.6.1.1) de ocorréncias. [ABNT NBR ISO 9000:2016, 3.7.9, modificada — Notas 5 e 6 de entrada foram excluidas] 3.20 conformidade atendimento de um requisito (3.23) IABNT NBR ISO 9000:2015, 3.6.11, modificada — Nota 1 de entrada foi excluida] 3.21 no conformidade nao atendimento de um requisito (3.23) [ABNT NBR ISO 9000:2015, 3.6.9, modificada — Nota 1 de entrada foi excluida} 3.22 competéncia capacidade de aplicar conhecimento e habilidades para alcangar resultados pretendidos [ABNT NBR ISO 9000:2016, 3.10.4, modificada — Notas de entrada foram excluidas} 3.23 requisito necessidade ou expectativa que é declarada, geralmente implicita ou obrigatoria Nota 1 de entrada: “Geralmente implicita’ significa que é costume ou pratica comum para a organizagao e partes interessadas que a necessidade ou expectativa sob consideracao esteja implicita, Nota 2 de entrada: Um requisito especificado aquele que ¢ declarado, por exemplo, em informagao documentada, IABNT NBR ISO 9000:2015 3.6.4 —Notas 3, 4, 5 e 6 de entrada foram excluidas} 3.24 processo conjunto de atividades inter-relacionadas ou interativas que utilizam entradas para entregar um resultado pretendido [ABNT NBR ISO 9000:2015, 3.4.1, modificada — Notas de entrada foram excluidas] 3.25 desempenho resultado mensurdvel Nota 1 de entrada: Desempenho pode se relacionar tanto as constatagdes quantitativas como as qualitativas. (© 1S0 2018 -©ABNT 2018 - Todos 0s dritos reservados Para uso exclusivo de Treinamento DNV GL| 5lo de DNV GL BUSINESS ASSURANCE AVAL, E CERTIFARASILLT DDocumento impresso em 25/02/2019 19:45:07, de uso excl Document impresso em 2510272019 18:48:01, de uso exclusivo de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASIL ABNT NBR ISO 19011:2018 Nota 2 de entrada: Desempenho pode se relacionar @ gestdo de atividades, processos (3.24), produtos, servicos, sistemas ou organizagées. [ABNT NBR ISO 9000:2016, 3.7.8 — Nota 3 de entrada foi excluida] 3.26 eficacia extensdo na qual atividades planejadas sao realizadas e resultados planejados sao alcangados [ABNT NBR ISO 9000:2015, 3.7.11 — Nota 1 de entrada foi excluida] 4 Principios de auditoria Aauditoria é caracterizada pela confianca em diversos principios. Convém que estes principios ajudem a tornar a auditoria uma ferramenta eficaz e confidvel, em apoio as pollticas e controles de gestao, fornecemdbo informagées sobre as quais uma organizagao pode agir para melhorar seu desempenho. Aderéncia a estes principios ¢ um pré-requisito para serem fornecedias conclusdes de auditoria que sejam pertinentes e suficientes, e para permitir que auditores trabalhando independentemente entre si cheguem a conclusées similares em circunstancias similares. As orientagGes dadas nas SegGes 5 a 7 s4o baseadas nos setes principios apresentados abaixo. a) Integridade: o fundamento do profissionalismo Convém que os auditores e a(s) pessoa(s) que gerenciam um programa de auditoria: — desempenhem seu trabalho eticamente, com honestidade e responsabilidade; — somente realizem atividades de auditoria se forem competentes para isso; — realizem seu trabalho de uma maneira imparcial, isto 6, mantenham-se justos e sem tendenciosidade em todas as suas interacSes; — desempenhem sensiveis a quaisquer influéncias que possam ser exercidas sobre 0 seu julgamento enquanto estiverem realizando uma auditoria. b) Apresentacao justa: a obrigacao de reportar com veracidade e exatidao Convém que as constatagdes de auditoria, conclusdes de auditoria e relatorios de auditoria refitam com veracidade e precisdo as atividades de auditoria. Convém que os obstaculos significativos encontrados durante a auditoria e nao resolvidos por divergéncia de opiniées entre a equipe de auditoria e 0 auditado sejam reportados. Convém que a comunicagao seja verdadeira, precisa, objetiva, em tempo hébil, clara e completa ©) Devido cuidado profissional: a aplicagao de diligéncia e julgamento em auditoria Convém que os auditores exergam 0 devido cuidado de acordo com a importancia da tarefa que eles executam e com a confianga neles depositada pelo cliente de auditoria e por outras partes interessadas. Um fator importante na realizagao do seu trabalho com devido cuidado profissional 6 ter a capacidade de fazer julgamentos ponderados em todas as situagdes de auditoria. sivo mento DNV GL 6 | Para uso exclusivo de Treinamento 1802018 -@ABNT 2018- Todos os dros reservadosVAL. CERTIF.B 194 Dccumento inpresso ern 25/02/201 Documento impresso em 25/02/2019 19:45:01, de uso exchusivo de DNV GL BUSINESS ASSURANCE AVAL. E CERTIF.BRASILLT ABNT NBR ISO 19011:2018 d) Confidencialidade: seguranga de informagao Convém que os auditores tenham discri¢ao no uso e protegao das informagées obtidas no curso de suas obrigagées. Convém que a informagao de auditoria nao seja usada de forma inapropriada para ganhos pessoais pelo auditor ou pelo cliente de auditoria, ou de uma maneira prejudicial para 08 legitimos interesses do auditado. Este conceito inclui o manuseio apropriado de informaco sensivel ou confidencial. ®) Independéncia: a base para a imparcialidade da auditoria e objetividade das conclusées de auditoria Convém que os auditores sejam independentes da atividade que esta sendo auditada quando for praticavel, e convém que ajam em todas as situagdes de uma tal modo que estejam livres de tendenciosidade e conflitos de interesse. Para auditorias intemas, convém que os auditores ‘sejam independentes da fungo que esta sendo auditada, se praticavel. Convém que os auditores. mantenham objetividade ao longo do processo de auditoria para assegurar que as constatagdes e conclusées de auditoria sejam baseadas apenas nas evidéncias de auditoria, Para pequenas organizagbes, pode nao ser possivel que auditores internos tenham total independéncia da atividade que esta sendo auditada, porém convém que seja feito todo o esforgo para remover a tendenciosidade e encorajar a objetividade. f) Abordagem baseada em evidéncia: o método racional para aleangar conclusdes de auditoria con- fiaveis e reprodutiveis em um processo sistemético de auditoria. Convém que a evidéncia de auditoria seja verificavel. Convém que no geral ela seja baseada ‘em amostras da informacao disponiveis, uma vez que uma auditoria é conduzida durante um periodo de tempo finito e com recursos limitados. Convém que 0 uso apropriado de amostras seja aplicado, uma vez que esta situacao estd intimamente relacionada a confianga que pode ser depositada nas conclusées de auditoria 9) Abordagem baseada em risco: uma abordagem de auditoria que considera riscos e oportunidades Convém que a abordagem baseada em risco influencie substancialmente o planejamento, a condugéo € 0 relato de auditorias, para assegurar que as auditorias sejam focadas em assuntos que sejam significativos para o cliente de auditoria e para alcangar os objetivos do programa de auditoria, 5 Gerenciando um programa de auditoria 5.1. Generalidades Convém que um programa de auditoria seja estabelecido, o qual pode incluir auditorias que abordem uma ou mais normas de sistema de gestdo ou outros requisites, conduzidas separadamente ou em combinag&o (auditoria combinada). Convém que a extensdo de um programa de auditoria seja baseada no tamanho e natureza do auditado, assim como na natureza, funcionalidade, complexidade, tipo de riscos e oportunidades € nivel de maturidade do(s) sistema(s) de gestéo a ser(em) auditado(s). ‘A funcionalidade do sistema de gestéo pode ser ainda mais complexa quando a maioria das fungdes importantes é terceirizada e gerenciada sob a lideranga de outras organizag6es. & necessario prestar especial atengao ao local onde as decis6es mais importantes so tomadas e ao que constitui a Alta Diregao do sistema de gestéo. ©1S0 2018 -©ABNT 2018 - Todos 08 diitos reservados _ Para uso exclusivo de Treinamento DNV GL 7Documenta improsso om 25/02/2019 19:45:01, de uso exclusivo de ONV GL BUSINESS ASSURANCE AVAL. € CERTIF.SRASIL LT Document imesso em 26/02/2019 10:46:01, de uso exclusiva de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 No caso de mutiplos locaisisites (por exemplo, paises diferentes), ou quando importantes fungdes forem terceirizadas e gerenciadas sob a lideranga de uma outra organizagao, convém que seja dada especial atengdo ao projeto, planejamento e validacao do programa de auditoria. No caso de organizagdes menores ou menos complexas, o programa de auditoria pode ser dimen- sionado apropriadamente. Para entender 0 contexto do auditado, convém que o programa de auditoria leve em conta: — objetivos organizacionais; — questées externas e internas pertinentes do auditado; —_ necessidades e expectativas de partes interessadas pertinentes; — _requisitos de seguranga e confidencialidade da informago. O planejamento de programas de auditorias internas e, em alguns casos de programas, para auditar fornecedores externos pode ser arranjado para contribuir com outros objetivos da organizacao. Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria assegure(m) que a integridade da auditoria seja mantida e que nao haja influéncia indevida exercida sobre a audit Convém que seja dada prioridade de auditoria para alocar recursos e métodos a assuntos em um sistema de gestao com mais alto risco inerente e mais baixo nivel de desempenho. Convém que pessoas competentes sejam designadas para gerenciar 0 programa de auditoria, Convém que o programa de auditoria inclua informagéo e identifique recursos para permitir que as auditorias sejam conduzidas de forma eficaz e eficiente dentro dos prazos especificados. Convém que a informagao inclua a) objetivos para o programa de auditoria; b)__riscos e oportunidades associados ao programa de auditoria (ver 5.3) e agdes para abordé-los; ©) _escopo (extensao, limites, locais) de cada auditoria no programa de auditoria; d)_agendamento (ntimero/duragao/frequéncia) das auditorias; €) tipos de auditoria, como interna ou externa; f)critérios de auditoria; 9) métodos de auditoria a serem empregados; fh) oritérios para selecionar membros de equipe de auditoria; ) _ informacao documentada pertinente. Parte desta informagao pode nao estar disponivel até que o planejamento mais detalhado de auditoria esteja completo. Convém que a implementagao do programa de auditoria seja monitorada e medida em uma base con- tinua (ver 5.6), para assegurar que seus objetivos tenham sido aleangados. Convém que o programa de auditoria seja analisado criticamente para identificar necessidades de mudancas e possiveis opor- tunidades para melhorias (ver 5.7) 8 Para uso exclusivo de Treinamento DNV GL (© 150 2018 -©ABNT 2018 - Todos 08 direitos reservadosDocumenta impresso em 25/02/2019 19:45:01, de uso exclusive de DNV GL BUSINESS ASSURANCE AVAL. E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 A Figura 1 ilustra 0 fluxo de processo para 0 gerenciamento de um programa de auditoria. mavennruon sano —=somcanneo aC Se } vomremane samen sore ero cae sees Sess | a ; t ae sseemerer eee |e programa de autitora| > |programa de auciora| sapet set t 2 2 nicandoa ! =z ‘auditoria 1 > I eo 1 1 é i somone renin | stage tseral —P certs ae | eg | ! 1 sarepemnion 6.6 Conciuindo & sommes | _ ‘relatirio da auditors icra uaa nao ——somcanneon sate NOTA1 Esta figura ilustra a aplicagdo do ciclo Plan-Do-Check-Act (Planejar-Fazer-Checar-Agir) neste see NOTA2 Anumeragao da segSo/subsegao se refere as secdes/subsegées pertinentes deste documento. Figura 1 — Fluxo do processo para gerenciamento de um programa de au ©1S0 2018 -CABNT-2018- Todos os dretos reservados [Para uso exclusivo de Treinamento ONV GL 919 19:45:01, de uso exclusiva de DNV GL. BUSINESS ASSURANCE AVAL. E CERTIFBRASIL LT SS ASSURANCE AVAL. E CERTIF.ERASIL LT DDooumento impresso em 25/02/2019 18:45:01, de uso exclusive de DNV GL BUSI ABNT NBR ISO 19011:2018 5.2 Estabelecendo objetivos do programa de auditoria Convém que 0 cliente da auditoria assegure que os objetivos do programa de auditoria sejam estabelecidos para direcionar 0 planejamento e a condugao de auditorias, e convém que assegure que 0 programa de auditoria seja implementado eficazmente. Convém que os objetivos do programa de auditoria sejam coerentes com a diregao estratégica do cliente da auditoria e apoiem a politica € 08 objetivos do sistema de gestéo. Estes objetivos podem ser baseados na consideragdo do seguinte: a) _necessidades e expectativas de partes interessadas pertinentes, externas e intemas; b) _caracteristicas e requisitos de processos, produtos, servigos e projetos, ¢ quaisquer mudangas neles; ©) requisitos de sistema de gestao; 4d) _necessidade para avaliagao de fornecedores extemos; €) nivel de desempenho e nivel de maturidade do(s) sistema(s) de gestdo do auditado, como refle- tido nos indicadores de desempenho pertinentes (por exemplo, KPI), a acorréncia de no confor- midades ou incidentes ou reclamagées de partes interessadas; NOTA BRASILEIRA Por falta de termo correspondente em portugués, foi mantida a abreviatura KPI (key performance indicators’) do texto original. )_riscos e oportunidades identificados para o auditado; 9) resultados de auditorias anteriores. Exemplos de objetivos de programa de auditoria podem incluir o seguinte: —_ identificar oportunidades para a melhoria de um sistema de gestdo e de seu desempenho; — avaliar a capacidade do auditado de determinar seu contexto; —_avaliara capacidade do auditado de determinar riscos e oportunidades e identificar e implementar aces eficazes para abordé-los. — estar conforme com todos os requisitos pertinentes, por exemplo, requisitos estatutérios e regu- lamentares, compromissos de compliance, requisitos para certificagéo em relacao a uma norma de sistema de gestao; —_ obter e manter confianga na capacidade de um forecedor externo; — determinar a continua adequagdo, suficiéncia e eficécia do sistema de gestéo do auditado; — avaliar a compatibilidade e 0 alinhamento dos objetivos do sistemas de gestéo com a dirego estratégica da organizagao. 5.3. Determinando e avaliando riscos e oportunidades do programa de auditoria Existem riscos e oportunidades relacionados ao contexto do auditado que podem estar associados a um programa de auditoria e podem afetar o alcance de seus objetivos. Convém que a(s) pessoa(s) que gerencia(m) 0 programa de auditoria identifique(m) e apresente(m) ao cliente da auditoria os riscos e oportunidades considerados ao desenvolver o programa de auditoria e requisitos de recurso, de modo que eles possam ser abordados apropriadamente. 10 [- © 1S0 2018 - © ABNT 2018 - Todos os iretos reservados |Para uso exclusivo de Treinamento DNV GLDBocumento impresso em 25'02/2019 19:48:01, ce uso excuslo de DNV GL BUSINESS ASSURANCE AVAL, E CERTIEBRASILL DDocumento impresso em 2502/2018 19:46:01, de uso exclsiva de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 Podem existir riscos associados com 0 seguinte: a) planejamento, por exemplo, falha em estabelecer objetivos de auditoria pertinentes e em deter- minar a extensao, numero, durago, locais e agenda das auditorias; b) recursos, por exemplo, dispor de tempo, equipamento e/ou treinamento insuficientes para desen- volver o programa de auditoria ou conduzir uma auditoria; ©) selego da equipe de auditoria, por exemplo, competéncia global insuficiente para conduzir auditorias eficazmente; 4) comunicagdo, por exemplo, processos/canais de comunicagao extema/interna ineficazes; ) implementagao, por exemplo, coordenagao ineficaz das auditorias no programa de auditoria ou nao considerar seguranca e confidencialidade da informacao; ) controle de informagao documentada, por exemplo, determinacao ineficaz da informagao docu- mentada necessaria requerida por auditores e partes interessadas pertinentes, falna em proteger suficientemente registros de auditoria para demonstrar a eficacia do programa de auditoria; 9) monitoramento, andlise critica e melhoria do programa de auditoria, por exemplo, monitoramento ineficaz de resultados do programa de aucitoria; h) disponibilidade e cooperagao do auditado e disponibilidade de evidencia para ser amostrada Oportunidades para melhorar o programa de auditoria podem incluir: — permitir que multiplas auditorias sejam conduzidas em uma visita Unica; — minimizar tempo e distancia de viagem ao local; — conciliar o nivel de competéncia da equipe de auditoria ao nivel de competéncia necessério para alcangar os objetivos da auditoria; — alinhar datas de auditoria com a disponibilidade de pessoal-chave do auditado. 5.4 Estabelecendo o programa de auditoria 5.4.1 Papéis e responsabilidades da(s) pessoa(s) que gerencia(m) o programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria: a) estabeleca(m) a extensdo do programa de auditoria de acordo com os objetivos pertinentes (ver 5.2) e quaisquer restrigbes conhecidas; b) determine(m) as questdes internas e externas e riscos e oportunidades que possam afetar © programa de auditoria e implemente(m) ag5es para abordé-los, integrando estas acées em todas as atividades de auditoria pertinentes, conforme apropriado; ©) assegure(m) a selegao de equipes de auditoria e a competéncia global para as atividades de auditoria, atribuindo papéis, responsabilidades e autoridades, e apoiando a lideranga, conforme apropriado; ©180 2018 -@ABNT 2016-- Todos os direitos reservados Para uso exclusivo de Treinamento DNV GL| "AVAL, E CERTIFBRASILLT Ivo de DNV GL BUSINESS ASSURANC: DDocummento impresso am 25102/2018 19:45:01, de uso exck de uso exclusivo de DNV GL BUSINESS ASSURANCE AVAL. E CERTIF.BRASILLT Documenta impresso om 2510272018 19:48:0 ABNT NBR ISO 19011:2018 4d) estabelega(m) todos os processos pertinentes, incluindo processos para — coordenagao e agendamento de todas as auditorias no programa de auditoria; — estabelecimento de objetivos de auditoria, escopo(s) e critérios das auditorias, determinagao de métodos de auditoria e selegdo da equipe de auditoria; — avaliagdo de auditores; — estabelecimento de processos de comunicagao intema e externa, conforme apropriado; — tesolugées de disputas ¢ tratamento de reclamagées; — acompanhamento de auditoria, se aplicavel; — relato ao cliente da auditoria e partes interessadas pertinentes, conforme apropriado. €) determine(m) e assegure(m) provisao de todos os recursos necessérios; #)_assegure(m) que a informacéo documentada apropriada seja preparada e mantida, incluindo regis- tros do programa de auditoria: @) monitore(m), analise(m) criticamente e melhore(m) 0 programa de auditoria; fh) comunique(m) 0 programa de auditoria ao cliente de auditoria e, conforme apropriado, as partes interessadas pertinentes. Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria solicite(m) sua aprovagao pelo cliente de auditoria. 5.4.2 Competéncia da(s) pessoa(s) que gerencia(m) o programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) 0 programa de auditoria tenha(m) a competéncia neces- séria para gerenciar 0 programa e seus riscos e oportunidades associados e questées externas e internas eficaz e eficientemente, incluindo 0 conhecimento de: a) principios de auditoria (ver Segao 4), métodos e processos (ver A.1 €A.2); b)_normas de sistema de gestéo, outras normas pertinentes e documentos de referéncia/orientagao; ©) _informagao relativa ao auditado e seu contexto (por exemplo, questdes externas/internas, partes interessadas pertinentes e suas necessidades e expectativas, atividades de negécios, produtos, servigos e processos do auditado); d) requisites estatutarios e regulamentares aplicdveis, e outros requisitos pertinentes as atividades de negocios do auditado. Conforme apropriado, conhecimentos de gesto de risco. gestéo de projeto e processo e tecnologia da informagao e comunicagao (TIC) podem ser considerados. Convém que a(s) pessoa(s) que gerencia(m) 0 programa de auditoria se engaje(m) em atividades de desenvolvimento continuo apropriadas para manter a competéncia necessaria para gerenciar © programa de auditoria. 2 |Para uso exclusivo de Treinamento DNV GL ©1S0 2018-©ABNT 2018 - Todos os dios roseradosAVAL. ASSUI de is exclusive de Documenta impresie om 25/02/2019 19:45 0 Documenta impresso em 25/02/2019 19:46:01, de uso exclusive de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF BRASIL LT ABNT NBR ISO 19011:2018 5.4.3. Estabelecendo a extensao do programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) 0 programa de auditoria determine(m) a extensdo do programa de auditoria. Isso pode variar dependendo da informacao fornecida pelo auditado relativa a seu contexto (ver 5.3). NOTA — Emcertos casos, dependendo da estrutura do auditado ou suas atividades, o programa de auditoria ode consistir somente em uma Unica auditoria (por exemplo, um pequeno projeto ou pequena organiza¢ao). Outros fatores que impactam a extenséo de um programa de auditoria podem incluir 0 seguinte a) objetivo, escopo e duracéo de cada auditoria e numero de auditorias a serem conduzidas, método de relatar e, se aplicavel, acompanhamento da auditoria; b) _normas de sistema de gesto ou outros critérios aplicaveis; ©) ndimero, importancia, complexidade, similaridade e locais das atividades a serem auditadas; d) aqueles fatores que influenciam a eficdcia do sistema de gestdo; e) critérios de auditoria aplicéveis, como arranjos planejados para normas pertinentes do sistema de gestéo, requisitos estatutarios e regulamentares e outros requisitos com os quais a organi- zaco esteja comprometida; f) resultados de auditorias internas ou externas e andlises criticas gerenciais anteriores, se apropriado; 9) resultados de analise critica de um programa de auditoria anterior; h) questées de idioma, culturais e sociais; i) preocupagdes das partes interessadas, como reclamagdes de clientes, nao conformidade com requisitos estatutarios e regulamentares, e outros requisitos com os quais a organizagao esteja comprometida, ou questées de cadeia de suprimentos; i) mudangas significativas para o contexto do auditado ou suas operagées e riscos e oportunidades relacionadas; k) _disponibilidade de tecnologias da informacao e comunicagao para apoiar atividades de auditoria, ‘em particular 0 uso de métodos de auditoria remota (ver A. 16): 1) ocorréncia de eventos intemos e exteros, como nao conformidades de produtos ou servico, brechas de seguranga da informagao, incidentes de saiide e seguranca, atos criminosos ou inci- dentes ambientais; m) tiscos e oportunidades do negécio, inciuindo ages para aborda-los. 5.4.4 Determinando recursos do programa de auditoria Ao determinar recursos para o programa de auditoria, convém que a(s) pessoa(s) que gerencia(m) © programa de auditoria considere(m): a) recursos financeiros e tempo necessarios para desenvolver, implementar, gerenciar e melhorar atividades de auditoria; b)_métodos de auditoria (ver A.1); —_ © 180 2018 -©ABNT 2018. Todos os dots reservados Para uso exclusivo de Treinamento DNV GL. B19 18:45:01, €@ uso excluswo de ONV GL. BUSINESS ASSURANCE AVAL, E CERTIF-BRASIL LT Docurnento impressa em 25102 DDocumento impresso em 251022019 19:45:01, de uso exclsivo de DNV GL BUSINESS ASSURANCE AVAL E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 ©) disponibilidade individual e global de auditores e especialistas que tenham competéncia apro- priada para os objetivos particulares do programa de auditoria; d) _extensao do programa de auditoria (ver 5.4.3) e riscos e oportunidades do programa de auditoria (ver 5.3); ) custo e tempo de viagem, acomodacdo e outras necessidades de auditoria; ) impacto de diferentes fusos horarios; 9) a disponibilidade de tecnologias de informagao e comunicacao (por exemplo, recursos técnicos requetidos para instituir uma auditoria remota usando tecnologias que apoiam a colaboragao remota); h) disponibilidade de quaisquer ferramentas, tecnologia e equipamento requeridos; i) disponibilidade de informagao documentada necessaria, como determinada durante o estabe- lecimento de um programa de auditoria (ver A.5); )_requisitos relacionados a instalacdo, incluindo quaisquer liberagdes e equipamento de seguranca (por exemplo, verificagées de histérico, equipamento de protecao pessoal, capacidade de usar trajes para salas limpas). 5.5. Implementando o programa de auditoria 5.5.1 Generalidades Uma vez que o programa de auditoria tenha sido estabelecido (ver 5.4.3) e os recursos relacionados tenham sido determinados (ver 5.4.4), € necessario implementar o planejamento operacional e a coordenagao de todas as atividades no programa. Convém que a(s) pessoa(s) que gerencia(m) 0 programa de auditoria’ a) comunique(m)-se com as partes pertinentes do programa de auditoria, incluindo os riscos e oportunidades envolvidos, e com as partes interessadas pertinentes e informe(m) periodicamente de seu progresso, usando canais de comunicagao externos e internos estabelecidos; b) especifique(m) objetivos, escopo e critérios para cada auditoria individual; ©) selecione(m) métodos de auditoria (ver A.1); d) coordene(m) e agende(m) auditorias e outras atividades pertinentes ao programa de auditoria; e) assegure(m) que as equipes de auditoria tenham a competéncia necesséria (ver 5.5.4); 1) fornega(m) recursos individuais e globais necessarios para as equipes de auditoria (ver 5.4.4); 9) assegure(m) a conduc&o de auditorias de acordo com o programa de auditoria, gerenciando todos os riscos operacionais, oportunidades e questées (isto é, eventos inesperados), conforme eles surjam durante a implantagao do programa; fh) assegure(m) que a informago documentada pertinente relativa as atividades de auditoria seja gerenciada e mantida apropriadamente (ver 5.5.7); | Para uso exclusivo de Treinamento DNV GL 140 et! © 150.2018 -@ABNT 2018 - Todos os direitos reservadosT DDocurnento inpresso emt 25/02/2019 19:48:01, 06 uso excsivo de DNV GL BUSINESS ASSURANCE AVAL, € CERTIFSRASI Documenta impresso em 2510212018 19:45:01, de Uso exclusive de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 i) defina(m) e implemente(m) os controles operacionais (ver 5.6) necessarios para o monitoramento do programa de auditoria; }) analise(m) criticamente o programa de auditoria para identificar oportunidades para sua melhoria (ver 5.7), 5.5.2 Definindo os objetivos, escopo e critérios para uma auditoria individual Convém que cada auditoria individual seja baseada em objetivos, escopo e critérios de auditoria especificados. Convém que esses sejam coerentes com os objetivos globais do programa de auditoria, Os objetivos da auditoria determinam 0 que é para ser realizado pela auditoria individual e podem incluir 0 seguinte: a) determinagao da extensao da conformidade do sistema de gesto a ser auditado, ou partes dele, com critérios de auditoria; b) avaliagao da capacidade do sistema de gestdo de auxiliar a organizagao a atender os requisitos regulamentares e estatutarios pertinentes, e outros requisitos com os quais a organizagdo esteja comprometida; ¢) avaliagao da eficacia do sistema de gestéo em alcangar seus resultados pretendidos; 4) identificagao de oportunidades para potencial melhoria do sistema de gestéo; ©) avaliagao da adequacdo e suficiéncia do sistema de gestdo em relaco ao contexto e diregdo estratégica do auditado; 1) avaliagao da capacidade do sistema de gestéo para estabelecer e alcancar objetivos e abordar riscos e oportunidades eficazmente, em um contexto em mudanga, incluindo a implementagao das agées relacionadas. Convém que o escopo de auditoria seja coerente com o programa e os objetivos da auditoria. Ele inclui fatores como locais, fungées, atividades e processos a serem auditados, assim como 0 periodo de tempo coberto pela auditoria. Os critérios de auditoria so usados como uma referéncia em relagao qual a conformidade deter- minada. Estes podem incluir um ou mais dos seguintes: politicas aplicaveis, processos, procedi- mentos, critrios de desempenho, incluindo objetivos, requisitos estatutarios e regulamentares, requisitos do sistema de gesto, informag&o relativa ao contexto e aos riscos e oportunidades como determinado pelo auditado (incluindo requisitos de partes interessadas pertinentes externas/intemas). cédigos de conduta setoriais ou outros arranjos planejados. Convém que, na eventualidade de quaisquer mudangas nos objetivos de auditoria, escopo ou critérios, © programa de auditoria seja modificado, se necessario, e comunicado as partes interessadas para aprovagdo, se apropriado. ‘Quando mais de uma disciplina esté sendo auditada ao mesmo tempo, é importante que os objetivos, © escopa e os critérios de auditoria sejam coerentes com os programas de auditorias pertinentes para cada disciplina, Algumas disciplinas podem ter um escopo que reflita a organizacéo inteira, e outras podem ter um escopo que reflita um subconjunto da organizacao inteira. |pora uso exclusvo de Treinamento DNV G (© 150 2018 © ABNT 2018 - Todos os dros reservados —— 15Documenta inpresso om 25/02/2019 18:45:01, de uso excusio de DNV GL BUSINESS ASSURANCE AVAL. E CERTIF.BRASIL LT Documenta impresso em 25/02/2019 18:45 01, de uso exclusiva de DNV GL BUSINESS ASSURANCE AVAL. € CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 5.5.3 Selecionando e determinando os métodos de auditoria Convém que a(s) pessoa(s) que gerencia(m) 0 programa de auditoria selecione(m) e determine(m) os métodos para conduzir uma auditoria eficaz e eficientemente, dependendo dos objetivos, escopo © critérios de auditoria estabelecidos. Auditorias podem ser realizadas no local, remotamente ou como uma combinagao. Convém que 0 uso destes métodos seja adequadamente equilibrado, baseado em, entre outras, consideragao de riscos e oportunidades associadas. Quando duas ou mais organizagdes de auditoria conduzem uma auditoria conjunta do mesmo auditado, convém que as pessoas que gerenciam os diferentes programas de auditorias estejam de acordo sobre os métodos de auditoria e considerem implicagées para alocar recursos e planejat a auditoria. ‘Se um auditado operar dois ou mais sistemas de gestdo de diferentes disciplinas, auditorias combi- nadas podem ser incluidas no programa de auditoria. 5.5.4 Selecionando os membros da equipe de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria indique(m) os membros da equipe de auditoria, incluindo o lider da equipe e quaisquer especialistas necessarios para a auditoria especffica. Convém que uma equipe de auditoria seja selecionada levando em conta a competéncia necesséria para alcangar os objetivos da auditoria individual no escopo determinado. Se houver somente um auditor, convém que o auditor realize todas as obrigagées aplicaveis de um lider de equipe de auditoria. NOTA _ A Seg&o 7 contém orientagées para determinar a competéncia necesséria para os membros da equipe de auditoria e descreve os processos para avaliar os auditores. Para assegurar a competéncia global da equipe de auditoria, convém realizar os seguintes passos: —_ identificagao da competéncia necesséria para alcancar os objetivos da auditoria; —_selego dos membros da equipe de auditoria, de modo que a competéncia necesséria esteja presente na equipe de auditoria, Ao decidir o tamanho e a composigao da equipe de auditoria para a auditoria especifica, convém que seja considerado o seguinte: a) competéncia global necessdria da equipe de auditoria para alcangar os objetivos de auditoria, levando em conta o escopo e os critérios de auditoria; b) complexidade da auditoria; ©) sea auditoria ¢ uma auditoria combinada ou conjunta; d) 08 métodos de auditoria selecionados; ) asseguramento da objetividade e imparcialidade para evitar qualquer conflito de interesse do processo de auditori )_capacidade dos membros da equipe de auditoria para trabalhar e interagir eficazmente com os representantes do auditado e partes interessadas pertinentes; Para uso exclusivo de Treinamento DNV Gt| 16 (©1S02018-©ABNT 2018 - Todos os direitos reservados“BRASIL DDocumento impresto em 25/02/2019 19:45:07, de uso exclusivo de DNV GL BUSINESS ASSURANCE AVAL. CERT DDocumento impresso em 25/02/2019 18:46:01, de uso exclusiv de DNV GL BUSINESS ASSURANCE AVAL. E CERTIF.ERASIL LT ABNT NBR ISO 1901 018 9) questées externas/internas pertinentes, como 0 idioma da auditoria e as caracteristicas culturais € sociais do auditado. Estas questées podem ser abordadas pelas proprias habilidades do auditor ‘ou por meio do apoio de um especialista, também considerando a necessidade de intérpretes; fh) tipo e complexidade dos processos a serem auditados. Quando apropriado, convém que a(s) pessoa(s) que gerencia(m) 0 programa de auditoria consulte(m) © lider da equipe sobre a composigao da equipe de auditoria. Se a competéncia necessaria no for coberta pelos auditores na equipe de auditoria, convém que especialistas com competéncia adicional sejam colocados disposigao para apoiar a equipe. Auditores em treinamento podem ser inclufdos na equipe de auditoria, mas convém que participem sob a diregao e orientagao de um auditor. Mudangas na composigéo da equipe de auditoria podem ser necessarias durante a auditoria, por exemplo, se um conflto de interesse ou questo de competéncia surgir. Se tal situacao surgir, convém que ela seja resolvida com as partes apropriadas (por exemplo, lider da equipe de auditoria, pessoa(s) que gerencia(m) o programa de auditoria, cliente da auditoria ou auditado) antes que quais- quer mudancas sejam feitas. 5.5.5. Atribuindo responsabilidade para uma auditoria individual ao lider da equipe de auditoria Convém que (s) pessoa(s) que gerencia(m) 0 programa de auditoria designe(m) a responsabilidade por conduzir a auditoria individual a um lider de equipe de auditoria. Convém que a atribuigao seja feita em tempo suficiente antes da data agendada da auditoria, para assegurar 0 planejamento eficaz da auditoria. Para assegurar a condugéo eficaz das auditorias individuais, convém que a seguinte informagao seja fornecida ao lider da equipe de auditoria: a) objetives da auditoria; b) _critérios de auditoria e qualquer informagao documentada pertinente; ©) escopo da auditoria, incluindo identificagao da organizagao e suas fungdes e processos a serem auditados; 4d) processos de auditoria e métodos associados; ) composigao da equipe de auditoria; f) detalhes de contato do auditado, e locais, periodo de tempo e duragéo das atividades de auditoria a serem conduzidas; 9) recursos necessérios para conduzir a auditoria; h) _informagao necessaria para avaliar e abordar riscos e oportunidades identificados para o alcance dos objetivos de auditoria; ’)_informagao que apoie o(s) Iider(es) da equipe de auditoria em suas interagbes com o auditado para a eficdcia do programa de auditoria. Para uso exclusive jento DNV Gi (© 1S0 2018 -@ABNT 2018-- Todos os dretoe reservados 7JRANCE AVAL, CERTIF.BRASILLT 19 18:85:01, do uso axchsivo de DNV GL BUSINESS A Dowumenta mpresso em2 Documento impresso em 25/02/2018 19:45:01, de uso exclusive de DNV GL. BUSINESS ASSURANCE AVAL, E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 Convém que a informagao de atribuigéo também abranja o seguinte, conforme apropriado: — idioma de trabalho e de relato da auditoria quando este for diferente do idioma do auditor ou do auditado, ou de ambos; — _ saida de relato de auditoria como requerido e a quem sera distribuida; — _assuntos relacionados a confidencialidade e seguranga da informago, se requerido pelo pro- grama de auditoria; — quaisquer arranjos de satide, seguranga e meio ambiente para os auditores; — _requisitos para viagem ou acesso a locais remotos; — quaisquer requisitos de seguranga e autorizagao; — quaisquer agdes a serem analisadas criticamente, por exemplo, agdes de acompanhamento de uma auditoria anterior; — coordenagao com outras atividades de auditoria, por exemplo, quando equipes diferentes estéio auditando processos similares ou relacionados a diferentes locais ou no caso de auditoria conjunta. Quando uma auditoria conjunta for conduzida, & importante alcangar acordo entre as organizagdes que conduzem auditorias, antes que a auditoria comece, sobre as responsabilidades especificas de cada parte, particularmente em relacao a autoridade do lider de equipe indicado para a auditoria 5.5.6 Gerenciando os resultados do programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria assegure(m) que as seguintes atividades sejam realizadas: a) avaliagao do alcance dos objetivos para cada auditoria no programa de aucitoria; b) anélise critica e aprovagéo de relatérios de auditoria relativos ao atendimento do escopo e objetivos de auditoria; ©) anélise critica da eficécia de agbes tomadas para abordar constatagbes de auditor d) distribuigao de relatérios de auditoria as partes interessadas pertinentes; ) determinagao da necessidade de qualquer auditoria de acompanhamento. Convém que a pessoa que gerencia o programa de auditoria considere, quando apropriado: — _comunicagaio dos resultados de auditoria e as melhores praticas a outras reas da organizagao, e — implicagbes para outros processos. 5.5.7 Gerenciando e mantendo os registros do programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria assegure(m) que os registros de auditoria sejam gerados, gerenciados e mantidos para demonstrar a implementac&o do programa de auditoria. Convém que os processos sejam estabelecidos para assegurar que quaisquer necessidades de seguranca e confidencialidade de informagao associadas aos registros de auditoria sejam abordadas,Documenta impresso em 25/02/2019 19:45:01, de uso exclusiva de DNV GL BUSINESS ASSURANCE AVAL, € CERTIF.BRASIL LT DDocuimento impresso em 25/02%2019 18:45:01, de uso exclisivo de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASILLT ABNT NBR ISO 19011:2018 Os registros podem incluir 0 seguinte: a) Registros relacionados ao programa de auditoria, como: — agenda de auditoria; — bjetivos e extenséo do programa de auditoria; — aqueles que abordam riscos e oportunidades do programa de auditoria e questées externas e interas pertinentes; — anilise critica da eficdcia do programa de auditoria. b) Registros relacionados a cada auditoria, como: — planos de auditoria e relatérios de auditori — evidéncia objetiva e constatagdes de auditoria; — elatorios de nao conformidades; — relatorios de corregSes e agdes corretivas; — elatérios de acompanhamento de auditoria, ©) Registros relacionados equipe de auditoria, abrangendo tépicos como’ — avaliagto de competéncia e desempenho dos membros da equipe de auditoria; — critérios para a selegaio de equipes de auditoria e membros da equipe, e formagao de equipes de auditoria; — manutengdo e methoria da competéncia. Convém que a forma e ao nivel de detalhe dos registros demonstrem que os objetivos do programa de auditoria foram alcangados. 5.6 Monitorando o programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria assegure(m) a avaliagao de: a) se 0s agendamentos estéo sendo cumpridos e se os objetivos do programa de auditoria esto sendo alcangados; b) desempenho dos membros da equipe de auditoria, incluindo o lider da equipe de auditoria e os especialistas; ©) capacidade das equipes de auditoria de implementar o plano de auditoria; d) feedback para clientes de auditoria, auditados, auditores, especialistas e outras partes interes- sadas pertinentes; ) suficiéncia e adequagdo de informagao documentada em todo o processo de auditoria Para uso exclusivo de Treinamento DNV GL (©1S0 2018 -@ABNT 2018 - Todos 08 diets reservados mes 19Documenta impresso em 25/02/2019 18:45:01, de uso exclusivo de DNV GL BUSINESS ASSURANCE AVAL. € CERTIF BRASILLT ABNT NBR ISO 19011:2018 Alguns fatores podem indicar a necessidade de modificar 0 programa de auditoria. Estes podem incluir mudangas para’ —_ constatages de auditoria; — nivel demonstrado de eficdcia e maturidade do sistema de gestdo do auditado; — eficéicia do programa de auditoria; — _escopo de auditoria ou escopo do programa de auditoria; — sistema de gestéo do auditado; —_normas e outros requisitos com os quais a organizagao esté comprometida; — _fornecedores externos; — conflitos de interesse identificados; — requisitos do cliente da auditoria 5.7 Analisando criticamente e melhorando o programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria e o cliente de auditoria analisem criticamente 0 programa de auditoria para avaliar se os seus objetivos foram alcangados. Convém que as ligdes apreendidas a partir da andlise critica do programa de auditoria sejam usadas como entradas para a melhoria do programa Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria assegure(m) o seguinte: —_anélise critica da implementagao global do programa de auditori — identificagao das areas e oportunidades para melhoria; — operagao de mudangas no programa de auditoria, se necessério; — _anilise critica do desenvolvimento profissional continuo de auditores, de acordo com 7.6; — relatos dos resultados do programa de auditoria e anélise critica com o cliente de auditoria e partes interessadas pertinentes, conforme apropriado. Convém que a andlise critica do programa de auditoria considere o seguinte: a) resultados e tendéncias do monitoramento do programa de auditoria; b) conformidade com os processos do programa de auditoria e informagao documentada pertinente; ©) necessidades e expectativas em evolucéo de partes interessadas pertinentes; 4) registros do programa de auditoria; ) _métodos novos ou altemativos de auditoria; f) _ métodos novos ou alternativos para avaliar auditores, 20 _|Para uso exclusivo de Treinamento ONV GL 6160 2018-@ABNT2018- Tos odie asarvedos ——EEee——INES ASSURANCE AVAL, E CERTIE.BRASILUT NY GL OU 19:45:01, do uso excl Documenta impressa em Documenta impresse em 25/02/2019 18:45:01, de uso exclusivo de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 9) eficacia de agdes para abordar os riscos e oportunidades e questées internas ¢ externas asso- ciadas ao programa de auditoria; h) questdes de confidencialidade e seguranga de informagao relativas ao programa de auditoria. 6 Conduzindo uma auditoria 6.1 Generalidades Esta Segao contém orientagao para preparar e conduzir uma auditoria especifica como parte de um programa de auditoria. A Figura 2 fornece uma visao geral das atividades executadas em uma audi- toria tipica. A extens&o na qual as disposigdes desta Segao sao aplicdveis depende dos objetivos do escopo da auditoria especifica. 6.2. Iniciando a auditoria 6.2.1 Generalidades Convém que a responsabilidade por conduzir a auditoria mantenha-se com o auditor-lider da equipe de auditoria designado (ver 5.5.5) até que a auditoria seja concluida (ver 6.6). Para iniciar uma auditoria, convém que os passos da Figura 1 sejam considerados; entretanto, ‘a sequéncia pode variar, dependendo do auditado, do processos e das circunstancias especificas da auditoria. 6.2.2 Estabelecendo contato com 0 auditado ‘Convém que o lider da equipe de auditoria assegure que seja feito contato com o auditado para: a) _confirmar canais de comunicagao com os representantes do auditado; b) _confirmar a autoridade para conduzir a auditoria; ©) fomecer informago pertinente sobre os objetivos, escopo, critérios, métodos de auditoria e compo- sigéo da equipe de auditoria, incluindo quaisquer especialistas; d)_solicitar acesso a informacao pertinente para propésitos de planejamento, incluindo informagao sobre os riscos e oportunidades que a organizacao tenha identificado e como eles serao abordados; ) determinar requisitos estatutarios e regulamentares aplicaveis e outros requisitos pertinentes as atividades, processos, produtos e servigos do auditado; )_confirmar o acordo com 0 auditado relativo a extenséo da divulgago e ao tratamento de infor- magéo confidencial; 9) fazer arranjos para a auditoria, incluindo o agendamento; h) determinar quaisquer arranjos especificos ao local para acesso, salide e seguranca, seguranga, confidencialidade ou outro; NOTABRASILEIRA Por convengdo, os termos “safety” e “security’ foram traduzidos como seguranca, ] Consequentemente, neste documento, o texto ‘sade e seguranga, seguranga” foi usado como traducao do texto original ‘health and safety, security” ©180 2018 -©ABNT 2018 Todos os etesreseradcs | Parg uso exclusivo de Treinamento DNV GL 2g 3 Documonte impresso em 2510212018 19:45:07, de uso exctusivo de ON Documerto impresso em 25/02/2018 16:45:01, de uso exclusivo de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 ji) acordar sobre a presenga de observadores e a necessidade de guias ou intérpretes para a equipe de auditoria; J) determinar quaisquer areas de interesse, preocupago ou riscos para 0 auditado em relagao a auditoria especifica; k)_ resolver questées relativas a composicéio da equipe de auditoria com o auditado ou o cliente de auditoria, 6.2.3 Determinando a viabilidade da auditoria Convém que a viabilidade da auditoria seja determinada para fornecer confianga razoavel de que os objetivos da auditoria podem ser alcangados. Convém que a determinagao da viabilidade leve em consideragao fatores como a disponibilidade do seguinte: a) _informagao apropriada e suficiente para planejar e conduzir a auditoria; b) cooperagao adequada do auditado; ©) tempo e recursos adequados para conduzir a auditoria. NOTA Recursos incluem acesso & tecnologia da informac&o e comunicagéo adequados e apropriados. Quando a auditoria no for vidvel, convém que seja proposta uma alternativa ao cliente de auditoria, ‘em comum acordo com 0 auditado. 6.3. Preparando as atividades da auditoria 6.3.1 Realizando anilise critica de informagao documentada Convém que a informagao documentada pertinente do sistema de gestao do auditado seja analisada criticamente para: — _reunir informacao para entender as operagses do auditado e preparar as atividades da auditoria ‘e documentos de trabalho de auditoria aplicaveis (ver 6.3.4), por exemplo, sobre pracessos e fungées: — _estabelecer uma visdo geral da extensdo da informagao documentada para determinar possivel conformidade com os critérios de auditoria e detectar possiveis areas de preocupacao, como deficiéncias, omissdes ou confittos. Convém que a informagao documentada inclua, mas nao se limite a: documentos e registros de sistema de gestdo, assim como relatorios de auditorias anteriores. Convém que a andlise critica leve em conta 0 contexto da organizagao do auditado, incluindo seu tamanho, natureza e complexidade, @ seus riscos e oportunidades relacionados. Convém que ela também leve em conta 0 escopo, critérios e objetivos da auditoria. NOTA —Orientagéio sobre como verificar informagao 6 fornecida em A.S. 22 Para uso exclusivo de Treinamento DNV Gt (© 1S0 2018 -©ABNT 2018 - Todos 08 direitos reservados72018 19:45:01, de uso exchsivo de DNV GL. BUSINESS ASSURANCE AVAL. E CERTIF BRASILLT DBocumento inpresso em 250 Documenta impresso em 25/02/2019 18:46:01, de uso exclusiva de DNV GL. BUSINESS ASSURANCE AVAL, E CERTIF.BRASILLT ABNT NBR ISO 19011:2018 6.3.2 Planejando a auditoria 6.3.2.1 Abordagem baseada em risco para planejamento Convém que 0 lider da equipe de auditoria adote uma abordagem baseada em risco para planejar a auditoria, com base na informagao no programa de auditoria e na informagao documentada forne- cida pelo auditado, Convém que o planejamento de auditoria considere os riscos das atividades de auditoria nos processos do auditado e forneca a base para o acordo entre o cliente de auditoria, a equipe de auditoria eo autitado, relativo 4 condugo da auditoria. Convém que 0 planejamento facilite 0 agendamento e a coordenagao eficientes das atividades de auditoria para alcancar os objetivos eficazmente. Convém que a quantidade de detalhe forecida no plano de auditoria reflita o escopo e a comple- xidade da auditoria, assim como 0 risco de no alcangar os objetivos da auditoria, Ao planejar a auditoria, convém que 0 lider da equipe de auditoria considere o seguinte: ) composigao da equipe de auditoria e sua competéncia global; b) técnicas de amostragem apropriadas (ver A.6); ©) oportunidades para melhorar a eficacia e a eficiéncia das atividades de auditoria; d) _riscos para alcangar os objetivos da auditoria criados por um planejamento de auditoria ineficaz; e) riscos para o auditado criados pela realizagao da auditoria. Riscos para o auditado podem resultar da presenga dos membros da equipe de auditoria influen- ciando adversamente os arranjos do auditado para sade e seguranca, meio ambiente e qualidade e seus produtos, servigos, pessoal ou infraestrutura (por exemplo, contaminagao em instalagbes de sala limpa) Para auditorias combinadas, convém que particular atengo seja dada as interagdes entre os processos operacionais ¢ quaisquer objetivos e prioridades concorrentes dos diferentes sistemas de gestao. 6.3.2.2 Detalhes do planejamento de auditoria A dimensdo e 0 contetido do planejamento de auditoria podem variar, por exemplo, entre auditorias iniciais e subsequentes, assim como entre auditorias internas e externas. Convém que o planejamento de auditoria seja suficientemente flexivel para permitir mudangas que possam se tornar necessarias, conforme as atividades de auditoria progridam. Convém que o planejamento da auditoria aborde ou referencie o seguinte: a) objetivos de auditoria; b) escopo da auditoria, incluindo identificagado da organizagdo e suas fungdes, assim como os processos a serem auditados; ©) critérios de auditoria e qualquer informagao documentada de referénoia; @) locais (fisicos e virtuais), datas, tempo e duragao estimados das atividades de auditoria a serem conduzidas, incluindo reuniées com a direao do auditado; (© 180 2018 -@ ABNT 2018 - Todos 0s dreios reservados | para uso exclusive de Treinamento ONV GL 23jvo de DNV GL BUSINESS ASSURANCE AVAL. £ CERTIF.BRASIL LT Documento impresso em 25/02/2019 19:45:01, de uso e Documenta impresso em 25/02/2019 19:45:01, de uso exclusiva de DNV GL. BUSINESS ASSURANCE AVAL, E CERTIF.BRASIL LT ABNT NBR ISO 19011:2018 ©) _necessidade de a equipe de auditoria se familiarizar com as instalag6es e processos do auditado (por exemplo, conduzindo uma visita a0(s) local(is)fisico(s) ou analisando criticamente tecnologia de informagao e comunicagao); f)_métodos de auditoria a serem usados, incluindo a extensao na qual a amostragem de auditoria seja necesséria para obter evidéncias suficientes de auditoria; 9) papéis e responsabilidades dos membros da equipe de auditoria, assim como dos guias e obser- vadores ou intérpretes; h)_alocago de recursos apropriados, baseada na consideragao dos riscos e oportunidades relacio- nados as atividades que sero auditadas; ‘Convém que o planejamento da auditoria leve em conta, conforme apropriado’ —_Identificagao do(s) representante(s) do auditado para a auditoria; — idioma de trabalho e do relatério da auditoria, quando for diferente do idioma do auditor ou do auditado, ou de ambos; — topicos do relatério de auditoria; — _arranjos de logistica e comunicagées, incluindo arranjos especificos para os locais a serem auditados; — quaisquer agdes especificas a serem tomadas para abordar riscos para se alcangarem os obje- tivos de auditoria e oportunidades que surjam; — _ assuntos relacionados a confidencialidade e seguranca da informacao; — quaisquer agdes de acompanhamento de uma auditoria anterior ou outra(s) fonte(s), por exemplo, ligdes apreendidas, andlises criticas de projeto; — quaisquer atividades de acompanhamento para a auditoria planejada; — coordenagao com outras atividades de auditoria, no caso de uma auditoria conjunta. Convém que os planos de auditoria sejam apresentados ao auditado. Convém que quaisquer questdes em relagéo ao plano de auditoria sejam solucionadas entre o lider da equipe de auditoria, © auditado e, se necessario, a(s) pessoa(s) que gerencia(m) o programa de auditoria 6.3.3. Atribuindo trabalho para a equipe de auditoria Convém que 0 lider da equipe de auditoria, em consulta a equipe de auditoria, atribua responsabilidade a cada membro da equipe para auditar processos, atividades, fungSes ou locais especificos e, conforme apropriado, autoridade para tomar decisao. Convém que as atribuigdes levem em conta a imparcialidade, objetividade e competéncia dos auditores, e o uso eficaz de recursos, assim como diferentes fungées e responsabilidades dos auditores, auditores em treinamento e especialistas. Convém que reunides da equipe de auditoria sejam realizadas, conforme apropriado, pelo lider da equipe de auditoria, para alocar as atribuigoes de trabalho ¢ decidir as possiveis mudangas. ‘As mudangas nas atribuigées de trabalho podem ser feitas conforme a auditoria progrida, para assegurar o alcance dos objetivos de auditoria. 24 | Parauso exclusivo de Treinamento DNV GL ©180 2018 - ©ABNT 2018 - Todos odio reservadosjvo de DNV GL Eh 2010 19:46: Ducumente impresso em 251 Documerto impresso em 2510212019 19:48:01, de uso exclusivo de DNV GL BUSINESS ASSURANCE AVAL, E CERTIF.BRASILLT ABNT NBR ISO 19011:2018 6.3.4 Preparando informagao documentada para a auditoria Convém que os membros da equipe de auditoria coletem e analisem criticamente a informagso pertinente as suas atribuigdes de auditoria e preparem informagao documentada para a auditoria, usando qualquer meio apropriado. A informag8o documentada para a auditoria pode incluir, mas nao esta limitada a: a) _listas de verificagdo fisicas ou digitais; b) detalhes de amostragem de auditoria; ©) informagao audiovisual. Convém que 0 uso destes meios néo restrinja a extensao das atividades de auditoria, que podem mudar como resultado da informagao coletada durante a auditoria. NOTA — Orientagao para preparar documentos de trabalho de auditoria é dada em A.13. Convém que informagao documentada preparada para a, e resultante da, auditoria seja retida no minimo até a concluséo da auditoria ou como especificado no programa de auditoria. Retengdo de informagéo documentada apés a conclusdo da auditoria esté descrita em 6.6. Convém que informagao documentada, criada durante 0 processo de auditoria envolvendo informagao confidencial ou proprietéria, seja sempre salvaguardada adequadamente pelos membros da equipe de auditoria. 6.4 Conduzindo atividades da auditoria 6.4.1 Generalidades Atividades de auditoria séo normalmente conduzidas em uma sequéncia estabelecida como indicado nna Figura 1. Esta sequéncia pode ser alterada para se adequar as circunstancias das auditorias especificas. 6.4.2 Atribuindo papéis e responsabilidades para guias e observadores Guias e observadores podem acompanhar a equipe de auditoria com aprovag6es do lider da equipe de auditoria, cliente da auditoria efou auditado, se requerido, N&o convém que eles influenciem ou interfiram na condugdo da auditoria, Se isso no puder ser assegurado, convém que o lider da equipe de auditoria tenha 0 direito de negar que os observadores estejam presentes durante certas atividades de auditoria, Para os observadores, convém que quaisquer arranjos para acesso, satide e seguranga, meio ambiente, seguranga e confidencialidade sejam gerenciados entre o cliente de auditoria e 0 auditado. Convém que 0s guias designados pelo auditado auxiliem a equipe de auditoria e ajam por solicitagao do lider da equipe de auditoria ou auditor ao qual eles tiverem sido atribuidos. Convém que suas responsabilidades incluam o seguinte: @) auxiliar os auditores na identificagao de pessoas para patticipar de entrevistas e na confirmagao de horarios e locais; b) _arranjar acesso aos locais especificos do auditado; ©) assegurar que as regras relativas aos arranjos para acesso especificos do local, satide e seguranca, meio ambiente, seguranga, confidencialidade e outras questdes sejam conhecidas e respeitadas pelos membros da equipe de auditoria e observadores, e que quaisquer riscos sejam abordados; (©1S0 2018 -©ABNT 2018- Todos 08 direitos reservados [ Para uso exclusive de Treinamento DNV GL| 25