Professional Documents
Culture Documents
EN ISO 19011
Portuguesa 2012
ICS HOMOLOGAÇÃO
03.120.10 Termo de Homologação n.º 193/2012, de 2012-07-13
A presente Norma substitui a NP EN ISO 19011:2003 (Ed. 1)
ELABORAÇÃO
CORRESPONDÊNCIA CT 80 (APQ)
Versão portuguesa da EN ISO 19011:2011
2ª EDIÇÃO
agosto de 2012
CÓDIGO DE PREÇO
X014
Esta segunda edição anula e substitui a primeira edição (EN ISO 19011:2002), que foi objeto de uma revisão
técnica.
As principais diferenças em relação à primeira edição são as seguintes:
− o objetivo e campo de aplicação foi alargado de auditorias a sistemas de gestão da qualidade e ambiental
para auditorias a quaisquer sistemas de gestão;
− as relações entre a ISO 19011 e a ISO/IEC 17021 foram clarificadas;
− foram introduzidos métodos de auditoria à distância e o conceito de risco;
− a confidencialidade foi introduzida como um novo princípio de auditoria;
− as Secções 5, 6 e 7 foram reorganizadas;
− foi introduzida informação adicional no novo Anexo B, de que resultou a remoção das caixas de ajuda
prática;
− o processo de determinação e avaliação da competência foi reforçado;
− exemplos esclarecedores de conhecimentos e de saber fazer específicos de disciplinas foram incluídos no
novo Anexo A;
− linhas de orientação adicionais estão disponíveis no endereço www.iso.org/19011auditing.
NORMA EUROPEIA EN ISO 19011
EUROPÄISCHE NORM
NORME EUROPÉENNE
EUROPEAN STANDARD novembro 2011
Versão portuguesa
Linhas de orientação para auditorias a sistemas de gestão
(ISO 19011:2011)
Leitfaden zur Auditierung von Lignes directrices pour l’audit Guidelines for auditing
Managementsystemen des systèmes de management management systems
(ISO 19011:2011) (ISO 19011:2011) (ISO 19011:2011)
A presente Norma é a versão portuguesa da Norma Europeia EN ISO 19011:2012, e tem o mesmo estatuto
que as versões oficiais. A tradução é da responsabilidade do Instituto Português da Qualidade.
Esta Norma Europeia foi ratificada pelo CENELEC em 2011-11-05.
Os membros do CENELEC são obrigados a submeter-se ao Regulamento Interno do CEN/CENELEC que
define as condições de adoção desta Norma Europeia, como norma nacional, sem qualquer modificação.
Podem ser obtidas listas atualizadas e referências bibliográficas relativas às normas nacionais
correspondentes junto do Secretariado Central ou de qualquer dos membros do CENELEC.
A presente Norma Europeia existe nas três versões oficiais (alemão, francês e inglês). Uma versão noutra
língua, obtida pela tradução, sob responsabilidade de um membro do CENELEC, para a sua língua
nacional, e notificada ao Secretariado Central, tem o mesmo estatuto que as versões oficiais.
Os membros do CENELEC são os organismos nacionais de normalização dos seguintes países: Alemanha,
Áustria, Bélgica, Bulgária, Chipre, Dinamarca, Eslováquia, Eslovénia, Espanha, Estónia, Finlândia, França,
Grécia, Hungria, Irlanda, Islândia, Itália, Letónia, Lituânia, Luxemburgo, Malta, Noruega, Países Baixos,
Polónia, Portugal, Reino Unido, República Checa, Roménia, Suécia e Suíça.
CEN
Comité Europeu de Normalização
Europäisches Komitee für Normung
Comité Européen de Normalisation
European Committee for Standardization
p. 4 de 55
Sumário Página
p. 5 de 55
Bibliografia ............................................................................................................................................... 55
NP
EN ISO 19011
2012
p. 6 de 55
Preâmbulo
A presente Norma (EN ISO 19011:2011) foi elaborada pelo Comité Técnico ISO/TC 176 “Quality
management and quality assurance”.
A esta Norma Europeia deve ser atribuído o estatuto de Norma Nacional, seja por publicação de um texto
idêntico, seja por adoção, o mais tardar em maio de 2012, e as normas nacionais divergentes devem ser
anuladas, o mais tardar em maio de 2012.
Pode acontecer que alguns dos elementos do presente documento sejam objeto de direitos de propriedade. O
CEN (e/ou o CENELEC) não deve ser responsabilizado pela identificação de alguns ou de todos esses
direitos.
A presente Norma Europeia substitui a EN ISO 19011:2002.
De acordo com o Regulamento Interno do CEN/CENELEC, a presente Norma deve ser implementada pelos
organismos nacionais de normalização dos seguintes países: Alemanha, Áustria, Bélgica, Bulgária, Chipre,
Dinamarca, Eslováquia, Eslovénia, Espanha, Estónia, Finlândia, França, Grécia, Hungria, Irlanda, Islândia,
Itália, Letónia, Lituânia, Luxemburgo, Malta, Noruega, Países Baixos, Polónia, Portugal, Reino Unido,
República Checa, Roménia, Suécia e Suíça.
Nota de endosso
O texto da presente Norma internacional ISO 19011:2011 foi aprovado pelo CEN como EN ISO 19011:2011
sem qualquer modificação.
NP
EN ISO 19011
2012
p. 7 de 55
Introdução
Desde que a primeira edição desta Norma foi publicada em 2002, várias normas novas de sistemas de gestão
foram entretanto publicadas. Daí resultou haver agora a necessidade de ter em consideração um âmbito mais
lato de auditoria a sistemas de gestão, bem como de proporcionar orientações que sejam mais genéricas.
Em 2006, o comité da ISO para a avaliação da conformidade (CASCO) desenvolveu a ISO/IEC 17021, que
estabelece requisitos para a certificação de sistemas de gestão por terceiras partes e que se baseou
parcialmente nas linhas de orientação contidas na primeira edição desta Norma.
A segunda edição da ISO/IEC 17021, publicada em 2011, foi alargada de forma a transformar as orientações
proporcionadas nesta Norma em requisitos para auditorias de certificação de sistemas de gestão. É neste
contexto que esta segunda edição desta Norma Internacional proporciona orientações a todos os utilizadores,
incluindo organizações de pequena e média dimensão, concentrando-se nas que são normalmente designadas
“auditorias internas” (de primeira parte) e “auditorias conduzidas pelos clientes aos seus fornecedores”
(segunda parte). Embora os envolvidos em auditorias de certificação a sistemas de gestão sigam os requisitos
da ISO/IEC 17021:2011, podem também considerar úteis as orientações contidas nesta Norma Internacional.
As relações entre esta segunda edição desta Norma Internacional e a ISO/IEC 17021:2011 são apresentadas
no Quadro 1.
Auditoria externa
Auditoria interna
Auditoria a fornecedores Auditoria de terceira parte
Esta Norma internacional não especifica requisitos, mas proporciona orientações para a gestão de um
programa de auditorias, para o planeamento e condução de uma auditoria a um sistema de gestão, bem como
quanto à competência e à avaliação de um auditor e de uma equipa auditora.
As organizações podem manter em funcionamento mais de um sistema de gestão formal. Para simplificar a
legibilidade desta Norma Internacional, considerou-se preferível usar “sistema de gestão” no singular,
podendo o leitor adaptar a implementação destas orientações à sua situação particular. Isto também se aplica
à utilização de “pessoa” e “pessoas”, “auditor” e “auditores”.
Pretende-se que esta Norma Internacional seja aplicável a um vasto leque de utilizadores potenciais,
incluindo auditores, organizações que implementam sistemas de gestão e organizações que necessitam de
conduzir auditorias a sistemas de gestão por razões contratuais ou regulamentares. Os utilizadores desta
Norma Internacional podem, contudo, aplicar estas orientações no desenvolvimento dos seus próprios
requisitos relativos a auditorias.
As orientações contidas nesta Norma internacional também podem ser utilizadas para efeitos de
autodeclaração e ser úteis para organizações envolvidas na formação de auditores ou em certificação de
pessoas.
NP
EN ISO 19011
2012
p. 8 de 55
Pretende-se que as orientações nesta Norma internacional sejam flexíveis. Tal como se indica em diversos
pontos no texto, a forma como se utilizam estas orientações pode diferir em função da dimensão e do grau de
maturidade do sistema de gestão da organização e da natureza e complexidade da organização a ser auditada,
bem como dos objetivos e do âmbito das auditorias a serem conduzidas.
Esta Norma internacional introduz o conceito de risco na auditoria a sistemas de gestão. A abordagem
adotada está relacionada, tanto com o risco de o processo de auditoria não atingir os seus objetivos, como
com o potencial de a auditoria interferir com as atividades e os processos do auditado. Não proporciona
orientações específicas quanto ao processo de gestão do risco da organização, mas reconhece que as
organizações podem focalizar o esforço de auditoria em temas significativos para o sistema de gestão.
Esta Norma internacional adota a abordagem em que se designa de “auditoria combinada”, quando dois ou
mais sistemas de gestão de diferentes disciplinas são auditados em conjunto. Onde estes sistemas estiverem
integrados num único sistema de gestão, os princípios e os processos de auditoria são os mesmos que são
usados numa auditoria combinada.
A secção 3 estabelece os termos e as definições chave usados nesta Norma Internacional. Foram feitos todos
os esforços para assegurar que estas definições não conflituam com definições utilizadas em outras normas.
A secção 4 descreve os princípios em que se baseia a auditoria. Estes princípios auxiliam o utilizador a
compreender a natureza essencial da auditoria e são importantes para compreender as orientações
estabelecidas nas secções 5 a 7.
A secção 5 proporciona orientações quanto ao estabelecimento e gestão de programas de auditoria, ao
estabelecimento de objetivos para o programa de auditorias e à coordenação das atividades de auditoria.
A secção 6 proporciona orientações quanto ao planeamento e à condução de uma auditoria a um sistema de
gestão.
A secção 7 proporciona orientações relativas à competência e à avaliação de auditores e de equipas auditoras
de sistemas de gestão.
O Anexo A esclarece a aplicação das orientações dadas na secção 7 a diferentes disciplinas.
O Anexo B proporciona aos auditores orientações adicionais para o planeamento e a condução de auditorias.
NP
EN ISO 19011
2012
p. 9 de 55
2 Referência normativa
Não são citadas referências normativas. Esta secção é incluída para manter a numeração de secções idêntica
à adotada em outras normas de sistemas de gestão.
3 Termos e definições
Para os fins da presente Norma, aplicam-se os seguintes termos e definições:
3.1 auditoria
Processo sistemático, independente e documentado para obter evidências de auditoria (3.3) e respetiva
avaliação objetiva, com vista a determinar em que medida os critérios da auditoria (3.2) são satisfeitos.
NOTA 1: As auditorias internas, por vezes denominadas auditorias de primeira parte, são conduzidas por ou em nome da própria
organização, para revisão pela gestão ou por outras razões internas (p. ex. para confirmar a eficácia do sistema de gestão ou para
obter informação para a melhoria do sistema de gestão). As auditorias internas podem constituir o suporte para uma
autodeclaração de conformidade pela organização. Em muitos casos, especialmente em pequenas organizações, a independência
pode ser demonstrada pela ausência de responsabilidade pela atividade auditada ou pela ausência de influências e de conflitos de
interesses.
NOTA 2: As auditorias externas incluem as auditorias de segunda e de terceira parte. As auditorias de segunda parte são
conduzidas por partes com interesse na organização, tais como clientes ou pessoas em seu nome. As auditorias de terceira parte são
conduzidas por organizações auditoras independentes, tais como reguladores ou as que proporcionam certificação.
NOTA 3: Sempre que dois ou mais sistemas de gestão de diferentes disciplinas (p. ex. qualidade, ambiente, segurança e saúde do
trabalho) sejam auditados conjuntamente, a auditoria é denominada auditoria combinada.
NOTA 4: Sempre que duas ou mais organizações auditoras cooperam para realizar uma auditoria a um único auditado (3.7), esta é
denominada auditoria conjunta.
NOTA 5: Adaptado da ISO 9000:2005, definição 3.9.1.
p. 10 de 55
3.7 auditado
Organização a ser auditada.
[ISO 9000:2005, definição 3.9.8]
3.8 auditor
Pessoa que conduz uma auditoria (3.1).
p. 11 de 55
NOTA 1: Conhecimentos específicos ou experiência qualificada no que diz respeito à organização, ao processo ou à atividade a
auditar, à língua ou à orientação cultural.
NOTA 2: Um perito técnico não atua como auditor (3.8) no âmbito da equipa auditora.
3.11 observador
Pessoa que acompanha a equipa auditora (3.9), mas que não audita.
NOTA 1: Um observador não faz parte da equipa auditora (3.9) e não influencia ou interfere na condução da auditoria (3.1).
NOTA 2: Um observador pode pertencer ao auditado (3.7), a um regulador ou a uma outra parte interessada que testemunha a
auditoria (3.1).
3.12 guia
Pessoa indicada pelo auditado (3.7) para dar apoio à equipa auditora (3.9).
3.16 risco
Efeito da incerteza nos objetivos.
NOTA: Adaptado do ISO Guide 73:2009, definição 1.11).
3.17 competência
Aptidão para aplicar conhecimentos e saber fazer para atingir os resultados pretendidos.
NOTA: A aptidão implica comportamento pessoal adequado durante o processo de auditoria.
3.18 conformidade
Satisfação de um requisito.
[ISO 9000:2005, definição 3.6.1]
1)
Versão portuguesa: DNP ISO Guia 73:2011 (nota nacional).
NP
EN ISO 19011
2012
p. 12 de 55
3.19 não-conformidade
Não satisfação de um requisito.
[ISO 9000:2005, definição 3.6.2]
4 Princípios de auditoria
A atividade de auditoria é caracterizada por se basear num conjunto de princípios. Estes princípios deverão
ajudar a fazer da auditoria uma ferramenta eficaz e fiável de suporte às políticas e ao controlo de gestão, ao
fornecer informação sobre a qual uma organização pode atuar para melhorar o seu desempenho. A adesão a
estes princípios é um pré-requisito para proporcionar conclusões da auditoria que sejam relevantes e
suficientes e para permitir que auditores, trabalhando independentemente uns dos outros, cheguem a
conclusões semelhantes em circunstâncias semelhantes.
As orientações dadas nas Secções 5 a 7 baseiam-se nos seis princípios que se esboçam a seguir:
a) Integridade: pilar do profissionalismo.
Os auditores e a pessoa responsável pela gestão do programa de auditorias deverão:
− realizar o seu trabalho com honestidade, diligência e responsabilidade;
− observar e cumprir quaisquer exigências legais aplicáveis;
− demonstrar a sua competência enquanto realizam o seu trabalho;
− realizar o seu trabalho de forma imparcial, isto é, permanecer justo e isento de influências em todas
as suas relações;
− estar cientes de quaisquer influências que poderão ser exercidas por outras partes interessadas sobre os
seus juízos de valor, enquanto realizam uma auditoria.
b) Apresentação justa: obrigação de relatar com verdade e rigor.
Constatações, conclusões e relatórios de auditoria deverão refletir com verdade e rigor as atividades da
auditoria. Deverão ser relatados os obstáculos significativos encontrados durante a auditoria, assim como
as opiniões divergentes, não resolvidas, entre a equipa auditora e o auditado. A comunicação deverá ser
verdadeira, rigorosa, objetiva, oportuna, clara e completa.
c) Devido cuidado profissional: aplicação de diligência e de discernimento ao auditar.
Os auditores deverão atuar com o cuidado adequado à importância da tarefa que executam e à confiança
neles depositada pelo cliente da auditoria e outras partes interessadas. Um fator importante para
executarem o seu trabalho com o devido cuidado profissional, é terem a aptidão para fazer juízos
fundamentados em todas as situações de auditoria.
d) Confidencialidade: segurança da informação.
Os auditores deverão ser prudentes na utilização e proteção da informação obtida no exercício das suas
tarefas. A informação da auditoria não deverá ser utilizada de forma inadequada para proveito pessoal do
NP
EN ISO 19011
2012
p. 13 de 55
5.1 Generalidades
Uma organização que necessita de conduzir auditorias deverá estabelecer um programa de auditorias que
contribua para a determinação da eficácia do sistema de gestão do auditado. O programa de auditorias pode
incluir auditorias que tenham em consideração um ou mais sistemas de gestão, conduzidas tanto
separadamente como em combinação.
A gestão de topo deverá assegurar que os objetivos do programa de auditorias são estabelecidos e nomear
uma ou mais pessoas com competências para gerir o programa de auditorias. A extensão de um programa de
auditorias deverá ter em conta a dimensão e a natureza da organização a ser auditada, bem como na natureza,
funcionalidade, complexidade e nível de maturidade do sistema de gestão a ser auditado. Na alocação dos
recursos do programa de auditorias deverá ser dada prioridade à auditoria aos aspetos significativos dentro
do sistema de gestão. Estes poderão incluir as características-chave da qualidade dos produtos, perigos
relativos a segurança e saúde do trabalho ou aspetos ambientais significativos e o seu controlo.
NOTA: Este conceito é geralmente conhecido como auditoria baseada no risco. Esta Norma não proporciona quaisquer outras
orientações sobre auditorias baseadas no risco.
O programa de auditorias deverá incluir a informação e os recursos necessários para organizar e conduzir as
suas auditorias de forma eficaz e eficiente dentro dos prazos especificados e também pode incluir o seguinte:
− objetivos do programa de auditorias e de cada uma das auditorias;
− extensão/número/tipos/duração/locais/calendarização das auditorias;
− procedimentos do programa de auditorias;
− critérios da auditoria;
− métodos de auditoria;
− seleção das equipas auditoras;
NP
EN ISO 19011
2012
p. 14 de 55
VERIFICAR
5.5 Monitorização do programa de auditoria
p. 15 de 55
p. 16 de 55
p. 17 de 55
− as preocupações de partes interessadas, tais como reclamações de clientes e a não conformidade com
exigências legais;
− alterações significativas no auditado ou nas suas operações;
− disponibilidade de tecnologias de informação e de comunicação que deem suporte às atividades de
auditoria, em particular a utilização de métodos de auditoria à distância (ver secção B.1);
− a ocorrência de acontecimentos internos ou externos, tais como falhas em produtos, quebras na segurança
da informação, incidentes no domínio da segurança e saúde do trabalho, atos criminosos ou incidentes
ambientais.
p. 18 de 55
5.4.1 Generalidades
Para implementar o programa de auditorias, a pessoa responsável pela gestão do programa de auditorias
deverá:
− comunicar as partes pertinentes do programa de auditorias às partes interessadas relevantes e informá-las
periodicamente sobre o seu progresso;
− definir objetivos, âmbito e critérios para cada uma das auditorias;
− coordenar e calendarizar as auditorias e outras atividades relevantes para o programa de auditorias;
− assegurar a seleção de equipas auditoras com a competência necessária;
− disponibilizar os recursos necessários às equipas auditoras;
− assegurar a condução das auditorias de acordo com o programa de auditorias e dentro dos prazos
acordados;
− assegurar que as atividades de auditoria são registadas e a correta gestão e manutenção desses registos.
p. 19 de 55
Quando duas ou mais organizações auditoras conduzem uma auditoria conjunta ao mesmo auditado, as
pessoas responsáveis pela gestão dos diferentes programas de auditoria, deverão acordar quanto ao método
de auditoria e ter em consideração as implicações na atribuição de recursos e no planeamento da auditoria.
Se um auditado mantém em funcionamento dois ou mais sistemas de gestão de diferentes disciplinas, o
programa de auditorias poderá incluir auditorias combinadas.
Ao decidir a dimensão e a composição da equipa auditora para uma dada auditoria, deverá ser tido em
consideração o seguinte:
a) competência global da equipa auditora, necessária para a consecução dos objetivos da auditoria, tendo em
consideração o âmbito e os critérios da auditoria;
b) a complexidade da auditoria e se a mesma é uma auditoria combinada ou conjunta;
c) os métodos de auditoria que foram selecionados;
d) exigências legais e contratuais e outros requisitos com os quais a organização se tenha comprometido;
e) a necessidade de assegurar a independência dos membros da equipa auditora, em relação às atividades a
auditar e de evitar quaisquer conflitos de interesses [ver o princípio e) na secção 4];
f) a aptidão dos membros da equipa auditora para interagir eficazmente com os representantes do auditado e
para trabalhar em conjunto;
NP
EN ISO 19011
2012
p. 20 de 55
g) o idioma da auditoria e as características sociais e culturais do auditado. Estas questões poderão ser
resolvidas, quer através das próprias competências do auditor, quer com o suporte de um perito técnico.
Para garantir as competências globais da equipa auditora, deverão ser dados as seguintes etapas:
− identificar os conhecimentos e saber fazer necessário, para a consecução dos objetivos da auditoria;
− selecionar os membros da equipa auditora de forma a garantir que todo o conhecimento e saber fazer,
estão presentes na equipa auditora.
Se os auditores da equipa auditora não reunirem todas as competências necessárias, deverão ser incluídos
peritos técnicos com as competências adicionais. Os peritos técnicos deverão atuar sob a direção de um
auditor, mas não deverão agir como auditores.
Auditores em formação poderão ser incluídos na equipa auditora, mas deverão participar sob a direção e a
orientação de um auditor.
Ajustes à dimensão e à composição da equipa auditora poderão ser necessários durante a auditoria, isto é, se
surgirem conflitos de interesse ou questões de competência. Se se verificarem tais situações, deverá ser
discutido com as partes adequadas (p. ex. auditor coordenador, a pessoa responsável pela gestão do programa
de auditorias, o cliente da auditoria ou o auditado) antes de se proceder a quaisquer ajustes.
p. 21 de 55
*)
Corresponde ao termo “security” no original em inglês, que se pode entender fundamentalmente como “proteção e preservação
das pessoas, bens e informação quer tangível, quer intangível” (nota nacional).
NP
EN ISO 19011
2012
p. 22 de 55
p. 23 de 55
6.1 Generalidades
Esta secção contém orientação sobre a preparação e a condução de atividades de auditoria, que façam parte
de um programa de auditorias. A Figura 2 proporciona uma visão global das atividades típicas de uma
auditoria. O grau de extensão da aplicação das disposições desta secção depende dos objetivos e do âmbito
da auditoria em causa.
NP
EN ISO 19011
2012
p. 24 de 55
p. 25 de 55
6.2.1 Generalidades
Quando se inicia uma auditoria, a responsabilidade pela sua condução até que a mesma seja encerrada
(ver 6.6) é do auditor coordenador que tenha sido nomeado (ver 5.4.5).
Para iniciar uma auditoria, deverão ser tidos em consideração as etapas da Figura 2; contudo, dependendo do
auditado, dos processos e de circunstâncias específicas, a sequência pode ser diferente.
p. 26 de 55
A documentação deverá incluir, conforme aplicável, documentos e registos do sistema de gestão, bem como
relatórios de auditorias anteriores. A revisão da documentação deverá ter em consideração a dimensão, a
natureza e a complexidade do sistema de gestão e da organização do auditado, bem como os objetivos e o
âmbito da auditoria contaminação em instalações do tipo clean room*).
6.3.2.1 O auditor coordenador deverá preparar um plano da auditoria com base na informação contida no
programa de auditorias e na documentação fornecida pelo auditado. O plano de auditoria deverá ter em
consideração o efeito das atividades de auditoria nos processos do auditado e proporcionar a base para um
acordo entre o cliente da auditoria, a equipa auditora e o auditado no que se refere à condução da auditoria. O
plano deverá promover a eficiente calendarização e coordenação das atividades da auditoria para a
consecução eficaz dos objetivos da auditoria.
O grau de detalhe fornecido no plano da auditoria deverá refletir o âmbito e a complexidade da auditoria,
bem como o efeito da incerteza na consecução dos objetivos da auditoria. Ao preparar o plano da auditoria, o
auditor coordenador deverá estar ciente do seguinte:
− técnicas de amostragem adequadas (ver secção B.3);
− composição da equipa auditora e a sua competência coletiva;
− riscos para a organização que resultem da auditoria.
Os riscos para a organização poderão, por exemplo, decorrer da influência da presença de membros da
equipa auditora, sobre a segurança e a saúde do trabalho, o ambiente e a qualidade, e cuja presença
represente ameaças para os produtos, serviços, pessoal ou infraestrutura do auditado (p. ex. contaminação em
instalações do tipo*)).
Em auditorias combinadas deverá ser dada particular atenção às interações entre processos operacionais e os
objetivos e prioridades conflituantes dos diferentes sistemas de gestão.
6.3.2.2 A extensão e os conteúdos do plano de auditoria poderão diferir, por exemplo, entre a auditoria
inicial e as auditorias seguintes, bem como entre auditorias internas e auditorias externas. O plano da
auditoria deverá ser suficientemente flexível para permitir as alterações que se poderão tornar-se necessárias,
à medida que as atividades de auditoria progridam.
*)
“sala limpa” (nota nacional).
NP
EN ISO 19011
2012
p. 27 de 55
p. 28 de 55
Os documentos de trabalho, incluindo os registos decorrentes da sua utilização, deverão ser retidos pelo
menos até à conclusão da auditoria, ou conforme especificado no plano de auditoria. A retenção de
documentos após a conclusão da auditoria está descrita em 6.6. Os documentos que envolvam informação
confidencial ou da propriedade da organização, deverão ser devidamente salvaguardados durante o tempo
todo, pelos membros da equipa auditora.
6.4.1 Generalidades
As atividades de auditoria são normalmente conduzidas numa sequência definida como a da Figura 2. Esta
sequência poderá ser alterada para se adaptar às circunstâncias de auditorias específicas.
p. 29 de 55
− confirmação, com o auditado, do plano da auditoria e de outros preparativos relevantes, tais como data e
hora da reunião de encerramento, de quaisquer reuniões intercalares entre a equipa auditora e a gestão do
auditado, bem como eventuais alterações de última hora;
− apresentação dos métodos a serem utilizados na condução da auditoria, incluindo informar o auditado de
que as evidências de auditoria serão apenas baseadas numa amostra da informação disponível;
− introdução de métodos para gerir os riscos para a organização, que poderão resultar da presença dos
membros da equipa auditora;
− confirmação dos canais de comunicação formais entre a equipa auditora e o auditado;
− confirmação do idioma a ser utilizado durante a auditoria;
− confirmação de que, durante a auditoria, o auditado será mantido ao corrente do progresso da mesma;
− confirmação da disponibilidade dos recursos e instalações necessários à equipa auditora;
− confirmação das questões relacionadas com confidencialidade e segurança da informação;
− confirmação dos procedimentos relevantes de segurança e saúde do trabalho, emergência e segurança
pessoal para a equipa auditora;
− informação sobre a metodologia para reporte das constatações da auditoria, incluindo a sua classificação
se aplicável;
− informação sobre circunstâncias que poderão pôr termo à auditoria;
− informação sobre a reunião de encerramento;
− informação sobre a forma de lidar com possíveis constatações durante a auditoria;
− informação sobre qualquer sistema para o auditado dar informação de retorno sobre as constatações ou as
conclusões da auditoria, incluindo reclamações ou recursos.
A revisão poderá ser combinada com outras atividades de auditoria e poderá continuar ao longo de toda a
auditoria, desde que isto não prejudique a eficácia da condução da auditoria.
Se não for possível disponibilizar a documentação adequada dentro do prazo dado no plano de auditoria, o
auditor coordenador deverá informar a pessoa responsável pela gestão do programa de auditorias e o
auditado. Dependendo dos objetivos e âmbito da auditoria, deverá ser tomada uma decisão, quanto à
continuação ou à suspensão da auditoria até que os problemas com a documentação sejam resolvidos.
p. 30 de 55
A equipa auditora deverá fazer pontos de situação periódicos para trocar informações, avaliar o progresso da
auditoria e, conforme necessário, redistribuir trabalho entre os membros da equipa auditora.
Durante a auditoria, o auditor coordenador deverá comunicar periodicamente, ao auditado e ao cliente da
auditoria, conforme adequado, o progresso da auditoria e quaisquer preocupações. A evidência recolhida no
decurso da auditoria que sugira um risco imediato e significativo para o auditado, deverá ser-lhe relatada sem
demora e, conforme adequado, ao cliente da auditoria. Qualquer preocupação com uma questão fora do
âmbito da auditoria deverá ser anotada e relatada ao auditor coordenador, para eventual comunicação ao
cliente da auditoria e ao auditado.
Quando as evidências de auditoria disponíveis indicarem que os objetivos da auditoria não são atingíveis, o
auditor coordenador deverá relatar as razões ao cliente da auditoria e ao auditado para determinar a ação
adequada. Tal ação poderá incluir a reconfirmação ou a modificação do plano da auditoria, alterações aos
objetivos ou ao âmbito da auditoria, ou que a mesma seja terminada.
Deverão ser revistas e aprovadas, tanto pela pessoa responsável pela gestão do programa de auditorias como
pelo auditado, conforme adequado, quaisquer necessidades de alterações ao plano da auditoria que se
revelem necessárias à medida que as atividades de auditoria no local progridam.
A Figura 3 dá uma visão global do processo, desde a recolha da informação até às conclusões da auditoria.
NP
EN ISO 19011
2012
p. 31 de 55
Fonte de informação
Evidências de auditoria
Constatações da auditoria
Revisão
Conclusões de auditoria
p. 32 de 55
tentativas para solucionar opiniões divergentes relativas a evidências ou a constatações de auditoria, devendo
ser registados os aspetos não resolvidos.
A equipa auditora deverá reunir-se, sempre que necessário, em momentos adequados da auditoria para rever
as constatações da auditoria.
NOTA: Orientações adicionais sobre identificação e avaliação das constatações da auditoria são dadas na secção B.8.
p. 33 de 55
p. 34 de 55
p. 35 de 55
7.1 Generalidades
A confiança no processo de auditoria e a aptidão para a consecução dos seus objetivos depende da
competência das pessoas envolvidas no planeamento e na condução de auditorias, incluindo auditores e
auditores coordenadores. A competência deverá ser avaliada através de um processo que tenha em
consideração o comportamento pessoal e a aptidão para aplicar os conhecimentos e saber fazer, obtidos
através de escolaridade, experiência profissional, formação como auditor e experiência de auditoria. Este
processo deverá ter em consideração as necessidades do programa de auditorias e os seus objetivos. Alguns
dos conhecimentos e saber fazer, descritos em 7.2.3, são comuns aos auditores de um sistema de gestão de
qualquer disciplina; outros são específicos das disciplinas de cada sistemasistemas de gestão. Não é
necessário que cada auditor na equipa auditora tenha as mesmas competências; contudo, é necessário que as
competências globais da equipa auditora sejam suficientes para a consecução dos objetivos da auditoria.
A avaliação da competência dos auditores deverá ser planeada, implementada e documentada de acordo com
o programa de auditorias, incluindo os procedimentos inerentes para proporcionar um resultado que seja
objetivo, consistente, justo e fiável. O processo de avaliação deverá incluir quatro etapas principais, que são:
a) determinar a competência das pessoas que auditam, para satisfazer as necessidades do programa de
auditorias;
b) estabelecer os critérios de avaliação;
c) selecionar o método de avaliação adequado;
d) conduzir a avaliação.
O resultado do processo de avaliação deverá poder servir de base para:
− selecionar os membros da equipa auditora tal como descrito em 5.4.4;
− determinar a necessidade de melhores competências (p. ex. formação adicional);
− avaliação continuada do desempenho dos auditores.
Os auditores deverão desenvolver, manter e melhorar as suas competências através de um desenvolvimento
profissional contínuo e da participação regular em auditorias (ver 7.6).
Um processo para a avaliação de auditores e de auditores coordenadores é descrito em 7.4 e 7.5.
Os auditores e os auditores coordenadores deverão ser avaliados de acordo com os critérios definidos em
7.2.2 e7.2.3.
A competência requerida ao responsável pela gestão do programa de auditorias é descrita em 5.3.2.
7.2 Determinação das competências dos auditores para satisfazer as necessidades do programa de
auditorias
7.2.1 Generalidades
Ao decidir quais os conhecimentos e saber fazer, adequados que são requeridos ao auditor, deverá ter-se em
consideração o seguinte:
− a dimensão, a natureza e a complexidade da organização a ser auditada;
− as disciplinas do sistema de gestão a ser auditado;
NP
EN ISO 19011
2012
p. 36 de 55
7.2.3.1 Generalidades
Os auditores deverão ter os conhecimentos e saber fazer necessários para a consecução dos resultados
pretendidos, para as auditorias que se espera, que venham a realizar. Todos os auditores deverão ter
conhecimentos e saber fazer genéricos e deverá ser também expectável, que tenha conhecimentos e saber
fazer específicos, de algumas disciplinas e setores. Os auditores coordenadores deverão ter os conhecimentos
e saber fazer, adicionais necessários para assegurar a coordenação da equipa auditora.
NP
EN ISO 19011
2012
p. 37 de 55
p. 38 de 55
− conceitos de processos gerais de negócio e de gestão, processos e terminologia com eles relacionada,
incluindo planeamento, orçamentação e gestão de pessoal;
− hábitos culturais e aspetos sociais do auditado.
d) Exigências legais e contratuais aplicáveis e outros requisitos relevantes que sejam aplicáveis ao
auditado: os conhecimentos e saber fazer nesta área possibilita ao auditor ter consciência das exigências
legais e contratuais da organização e trabalhar nesse contexto. Os conhecimentos e saber fazer
específicos da jurisdição ou das atividades e produtos do auditado deverão abranger:
− legislação e regulamentação e respetivas agências reguladoras;
− terminologia legal básica;
− contratos e obrigações.
7.2.3.3 Conhecimentos e saber fazer específicos de disciplinas e de setores para auditores de sistemas
de gestão
Os auditores deverão ter os conhecimentos e saber fazer específicos de disciplinas e de setores, que sejam
adequados a auditar o tipo particular de sistema de gestão e de setor.
Não é necessário que cada membro da equipa auditora tenha as mesmas competências; contudo, é necessário
que a competência global da equipa auditora seja suficiente para a consecução dos objetivos da auditoria.
Os conhecimentos e saber fazer específicos de disciplinas e de setores dos auditores, incluem:
− requisitos e princípios específicos de sistemas de gestão de uma dada disciplina e sua aplicação;
− exigências legais relevantes para disciplina e para o setor, de forma a que o auditor esteja consciente dos
requisitos específicos da jurisdição e das obrigações, das atividades e dos produtos do auditado;
− requisitos de partes interessadas relevantes para a disciplina específica;
− fundamentos da disciplina e da aplicação de métodos, técnicas, processos e práticas de negócio e técnicos
específicos da disciplina, que sejam suficientes para permitir ao auditor examinar o sistema de gestão e
produzir constatações e conclusões da auditoria adequadas;
− conhecimentos específicos da disciplina relativos ao setor particular, à natureza das operações ou ao local
a ser auditado, que sejam suficientes para o auditor avaliar as atividades, os processos e os produtos (bens
e serviços) do auditado;
− princípios da gestão do risco, métodos e técnicas relevantes para a disciplina e para o setor, tais que o
auditor possa avaliar e controlar os riscos associados ao programa de auditorias.
NOTA: Orientações e exemplos esclarecedores de conhecimentos e saber fazer, específicos de disciplinas e de setores para
auditores são dados no Anexo A.
p. 39 de 55
7.2.3.5 Conhecimentos e saber fazer específicos para auditar sistemas de gestão multidisciplinares
Os auditores que pretendam participar como membros de equipas auditoras na auditoria a sistemas de gestão
multidisciplinares, deverão ter as competências necessárias para auditar, pelo menos uma das disciplinas e
uma compreensão das interações e sinergias entre os diferentes sistemas de gestão.
Os auditores coordenadores que conduzam auditorias a sistemas de gestão multidisciplinares, deverão
compreender os requisitos das normas de gestão de cada um dos sistemas e reconhecer os limites dos seus
conhecimentos e saber fazer, em cada uma das disciplinas.
p. 40 de 55
p. 41 de 55
p. 42 de 55
Anexo A
(informativo)
A.1 Generalidades
Este Anexo fornece exemplos genéricos de conhecimentos e saber fazer específicos de disciplinas para
auditores de sistemas de gestão, que se pretende possam servir como orientações de apoio para a pessoa
responsável pela gestão do programa de auditorias na seleção e na avaliação dos auditores.
Também poderão ser desenvolvidos outros exemplos de conhecimentos e saber fazer, específicos de
disciplinas para auditores de sistemas de gestão. Sugere-se que, onde seja possível, esses exemplos sigam a
mesma estrutura básica para assegurar a comparabilidade.
p. 43 de 55
p. 44 de 55
− liderança – função da gestão de topo, gestão do sucesso sustentado de uma organização – a abordagem da
gestão pela qualidade, a obtenção de benefícios financeiros e económicos através da gestão da qualidade,
sistemas de gestão da qualidade e modelos de excelência;
− envolvimento das pessoas, fatores humanos, competência, formação e consciencialização;
− abordagem por processos, análise de processos, capacidade e técnicas de controlo, métodos de tratamento
do risco;
− abordagem sistémica à gestão (fundamento lógico dos sistemas de gestão da qualidade, focalização sobre
sistemas de gestão da qualidade e outros sistemas de gestão, documentação dos sistemas de gestão da
qualidade), tipos e valor, projetos, planos da qualidade, gestão da configuração;
− melhoria contínua, inovação e aprendizagem;
− abordagem à decisão baseada em factos, técnicas de apreciação do risco (identificação, análise e
avaliação do risco), avaliação da gestão da qualidade (auditoria, revisão e autoavaliação), técnicas de
medição e de monitorização, requisitos para os processos de medição e para os equipamentos de medida,
análise das causas na raiz, técnicas estatísticas;
− características de processos e de produtos, incluindo serviços;
− relações mutuamente benéficas com fornecedores, requisitos de sistemas de gestão da qualidade e
requisitos para os produtos, requisitos particulares para a gestão da qualidade em diferentes setores.
NOTA: Para informação adicional ver as normas sobre gestão da qualidade preparadas pelo ISO/TC 176.
p. 45 de 55
p. 46 de 55
p. 47 de 55
p. 48 de 55
Anexo B
(informativo)
Orientação adicional para os auditores quanto ao planeamento e à condução de
auditorias
p. 49 de 55
A responsabilidade pela aplicação eficaz de métodos de auditoria para qualquer auditoria na fase de
planeamento, pertence à pessoa responsável pela gestão do programa de auditorias ou ao auditor
coordenador. O auditor coordenador tem esta responsabilidade pelo facto de conduzir as atividades de
auditoria.
A exequibilidade de atividades de auditoria remota pode depender do nível de confiança entre o auditor e os
colaboradores do auditado.
Ao nível do programa de auditorias, deverá ser assegurado que a utilização de métodos de auditoria remotos
ou presenciais é adequada e equilibrada, tendo em vista assegurar a consecução satisfatória dos objetivos do
programa de auditorias.
B.3 Amostragem
B.3.1 Generalidades
Procede-se à amostragem em auditoria, quando não for possível ou eficaz do ponto de vista de custos,
examinar toda a informação disponível no decorrer da auditoria, p. ex. os registos são muito numerosos ou
estão geograficamente muito dispersos para justificar proceder ao exame de cada item na população. A
amostragem de uma grande população em auditoria é o processo de selecionar menos de 100 % dos itens,
dentro da totalidade de dados disponíveis (população) para obter e avaliar a evidência relativa a algumas
características dessa população, tendo em vista formular uma conclusão quanto a essa população.
O objetivo da amostragem de auditoria é fornecer a informação, para que o auditor tenha confiança em que
os objetivos da auditoria podem ser atingidos.
O risco associado à amostragem é que as amostras poderão não ser significativas da população de onde são
selecionadas e, assim, a conclusão do auditor poderá ser tendenciosa e diferir da que se obteria se fosse
examinada toda a população. Poderá haver outros riscos, dependendo da variabilidade dentro da população a
ser examinada e do método escolhido.
NP
EN ISO 19011
2012
p. 50 de 55
p. 51 de 55
− O plano de amostragem deverá ter em consideração se os resultados a examinar são suscetíveis de ser
baseados em atributos ou baseados em variáveis. Por exemplo, quando se avalia a conformidade do
preenchimento de formulários face ao estabelecido num procedimento, poder-se-á utilizar uma
abordagem baseada em atributos. Quando se avalia a ocorrência de incidentes na segurança alimentar ou
o número de falhas de segurança, afigura-se como mais adequada uma abordagem baseada em variáveis.
− Os elementos chave que irão afetar o plano de amostragens de auditoria são:
− a dimensão da organização;
− o número de auditores competentes;
− a frequência de auditorias durante o ano;
− a duração de cada uma das auditorias;
− qualquer nível de confiança requerido externamente.
− Quando se desenvolve um plano de amostragem estatística, o nível de risco de amostragem que o auditor
está disposto a aceitar, tem de ser devidamente considerado. Isto é, frequentemente referido como o nível
de confiança aceitável. Por exemplo, um risco de amostragem de 5 % corresponde a um nível de
confiança aceitável de 95 %. Um risco de amostragem de 5 % significa, que o auditor está disposto a
aceitar o risco de que 5 em cada 100 (ou 1 em cada 20) amostras examinadas não reflita os valores reais
que se obteriam se toda a população fosse examinada.
− Quando se utiliza amostragem estatística, os auditores deverão documentar de forma adequada o trabalho
realizado. Isto, deverá incluir uma descrição da população que se pretendia amostrar, os critérios de
amostragem utilizados, os parâmetros estatísticos e os métodos que foram utilizados para a avaliação
(p. ex. qual é a amostra aceitável), os parâmetros estatísticos e os métodos que foram utilizados, o número
de amostras avaliadas e os resultados obtidos.
p. 52 de 55
p. 53 de 55
− adaptar a dimensão da equipa auditora e o número de guias e observadores de acordo com o âmbito da
auditoria, de forma a evitar tanto quanto possível interferências com os processos operacionais;
− não tocar ou manipular qualquer equipamento, exceto se explicitamente autorizado, mesmo que tenha
competências ou esteja licenciado para o fazer;
− se ocorrer qualquer incidente durante a visita presencial (on-site), o auditor coordenador deverá rever a
situação com o auditado e, se necessário, com o cliente da auditoria e chegar a um acordo quanto a
auditoria ser interrompida, recalendarizada ou continuada;
− se se recolhem imagens fotográficas ou de vídeo, solicitar antecipadamente autorização à gestão e ter
em consideração questões de segurança e de confidencialidade, evitando tirar fotografias a pessoas
isoladas sem o seu consentimento;
− se se fizerem cópias de documentos de qualquer tipo, solicitar antecipadamente autorização para tal e
ter em consideração questões de confidencialidade e de segurança;
− ao tomar notas, evitar recolher informação pessoal exceto se requerido pelos objetivos ou pelos
critérios da auditoria.
p. 54 de 55
− dimensão da amostra;
− categorização (se aplicável) das constatações da auditoria.
p. 55 de 55
Bibliografia
[1] ISO 2859-4 Sampling procedures for inspection by attributes – Part 4: Procedures for
assessment of declared quality levels
[2] ISO 9000:2005 Quality management systems – Fundamentals and vocabulary
[3] ISO 9001 Quality management systems – Requirements
[4] ISO 14001 Environmental management systems – Requirements with guidance for use
[5] ISO 14050 Environmental management – Vocabulary
[6] ISO/IEC 17021:2011 Conformity assessment – Requirements for bodies providing audit and
certification of management systems
[7] ISO/IEC 20000-1 Information technology – Service management – Part 1: Service management
system requirements
[8] ISO 22000 Food safety management systems – Requirements for any organization in the food
chain
[9] ISO/IEC 27000 Information technology – Security techniques – Information security management
systems – Overview and vocabulary
[10] ISO/IEC 27001 Information technology – Security techniques – Information security management
systems – Requirements
[11] ISO/IEC 27002 Information technology – Security techniques – Code of practice for information
security management
[12] ISO/IEC 27003 Information technology – Security techniques – Information security management
system implementation guidance
[13] ISO/IEC 27004 Information technology – Security techniques – Information security management
– Measurement
[14] ISO/IEC 27005 Information technology – Security techniques – Information security risk
management
[15] ISO 28000 Specification for security management systems for the supply chain
[16] ISO 303011) Information and documentation – Management system for records – Requirements
[17] ISO 31000 Risk management – Principles and guidelines
2)
[18] ISO 39001 Road traffic safety (RTS) management systems – Requirements with guidance for
use
[19] ISO 50001 Energy management systems – Requirements with guidance for use
[20] ISO Guide 73:2009 Risk management – Vocabulary
[21] OHSAS 18001:2007 Occupational health and safety management systems – Requirements
[22] ISO 9001 Auditing Practices Group papers available at:
www.iso.org/tc176/ISO9001AuditingPractices Group
[23] ISO 19011 Additional guidelines2) available at: www.iso.org/19011auditing
1)
A publicar.
2)
Em preparação.