NBR 19011 - 2012

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012
Diretrizes para auditoria de sistemas de gesto

1) Este Projeto de Reviso foi elaborado pela Comisso de Estudo de Tecnologia de Suporte (CE-25:000.03) do Comit Brasileiro da Qualidade (ABNT/CB-25), nas reunies de:
09.09.2011
03.01.2012
17.01.2012
2) Este Projeto de Reviso/Emenda previsto para cancelar e substituir a edio anterior (ABNT NBR 19011:2002), quando aprovado, sendo que nesse nterim a referida norma continua em vigor; 3) Previsto para ser equivalente ISO 19011:2011; 4) No tem valor normativo; 5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informao em seus comentrios, com documentao comprobatria; 6) Este Projeto de Norma ser diagramado conforme as regras de editorao da ABNT quando de sua publicao como Norma Brasileira. 7) Tomaram parte na elaborao deste Projeto: Participante Representante
CQSI
Ariosto Farias Jr.
ELETROBRAS
Roberto Gomes de Almeida
INMETRO
Ana Julia Ramos
INMETRO
Ana Carolina Faria
IFRJ
Fernando Sepulveda
Particular
Baslio Vasconcellos Dagnino
Particular
Soyla Oleika Moraes
NO TEM VALOR NORMATIVO
1/62
PETROBRAS
Carlos Leonam Mendes dos Reis
PETROBRAS
Renato Pedroso Lee
PETROBRAS
Sergio Pinto Amaral
2/62
Diretrizes para auditoria de sistemas de gesto

Guidelines for auditing management systems
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros). Os Documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2. A ISO 19011 foi preparada pelo Comit Tcnico ISO/TC 176, Quality Management and quality assurance, Subcommittee SC3, Suporting Technologies. Esta segunda edio cancela e substitui a primeira edio ABNT NBR ISO 19011:2002, que foi tecnicamente revisada. As principais diferenas comparadas com a primeira edio so as seguintes: o escopo foi ampliado de auditoria de sistemas de gesto da qualidade e meio ambiente para auditoria de sistemas de gesto de qualquer natureza; a relao entre a ISO 19011 e a ISO/IEC 17021 foi esclarecida; mtodos de auditoria remota e o conceito de risco foram introduzidos; confidencialidade foi acrescentada como um novo princpio de auditoria; as sees 5,6 e 7 foram reorganizadas; informaes adicionais foram includas em um novo anexo B, resultando na remoo das caixas de textos o processo de avaliao e de determinao de competncia tornou-se mais rgido; exemplos ilustrativos de habilidades e conhecimentos de disciplina especficos foram includos em um novo Anexo A; diretrizes adicionais esto disponveis no seguinte site:www.iso.org/19011auditing.
3/62
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope
This Standard provides provides guidance on auditing management systems, including the principles of auditing, managing an audit programme and conducting management system audits, as well as guidance on the evaluation of competence of individuals involved in the audit process, including the person managing the audit programme, auditors and audit teams. It is applicable to all organizations that need to conduct internal or external audits of management systems or manage an audit programme. The application of this Satandard to other types of audits is possible, provided that special consideration is given to the specific competence needed.
Introduo
Desde que a primeira edio desta Norma foi publicada em 2002, um nmero de novas normas de sistemas de gesto foi publicado. Como resultado, h, agora, a necessidade de se considerar um escopo mais abrangente de auditoria de sistema de gestao, como tambm fornecer diretrizes que sejam mais genricas. Em 2006, o comit ISO para avaliao de conformidade (CASCO) desenvolveu a ISO/IEC 17021, que estabelece requisitos para sistemas de gestao de certificao de terceira parte e que se baseou parcialmente nas diretrizes contidas na primeira edio desta Norma. A segunda edio da ISO/IEC 17021 publicada em 2011, foi ampliada para transformar as diretrizes descritas na norma de 2006 em requisitos para auditorias de certificao de sistemas de gesto. , neste contexto, que a segunda edio desta Norma fornece diretrizes para todos os usurios, incluindo pequenas e medias organizaes, e concentra-se naquilo que comumente denominado de auditorias internas (primeira parte) e auditorias conduzidas por clientes em seus fornecedores (segunda parte). Enquanto aqueles os envolvidos com em auditorias de certificao de sistemas de gesto seguem os requisitos da ISO/IEC 17021:2011, eles podem, tambm, considerar teis as diretrizes contidas nesta Norma. A relao entre esta segunda edio da Norma e a ABNT NBR ISO/IEC 17021:2011 mostrada na Tabela 1. Tabela 1 Escopo desta Norma e sua relao com a ABNT NBR ISO/IEC 17021:2011 Auditoria interna Auditoria externa Auditoria no fornecedor Algumas vezes chamada de auditoria de primeira parte Algumas vezes chamada auditoria de segunda parte Auditoria de terceira parte Para propsitos legais, regulatrios e similares Para fins de certificao (ver tambm os requisitos da ABNT NBR ISSO/IEC 17021)
4/62
Esta Norma no estabelece requisitos, mas fornece diretrizes sobre a gesto de um programa de auditoria, sobre o planejamento e a realizao de uma auditoria de sistema de gesto, bem como sobre a competncia e avaliao de um auditor e de uma equipe auditora. Organizaes podem operar mais de um sistema de gesto formal. Para simplificar a leitura desta Norma o termo sistema de gesto o preferido, porm o leitor pode adaptar a implementao das diretrizes para sua prpria situao em particular. Isto tambm se aplica ao uso de pessoa e pessoas, auditor e auditores. Pretende-se que esta Norma seja aplicada a uma ampla gama de potencial usurios, incluindo auditores, organizaes que implementam sistemas de gesto e organizaes que necessitam realizar auditorias de sistemas de gesto por razes contratuais ou regulatrios. Os usurios desta norma podem, entretanto, utilizar estas diretrizes no desenvolvimento dos seus prprios requisitos relacionados auditoria. As diretrizes desta Norma podem, tambm, ser usadas com a finalidade de auto-declarao, e podem ser teis s organizaes envolvidas no treinamento de auditor ou certificao pessoal. As diretrizes desta Norma procuram ser flexveis. Conforme indicado em vrios pontos no texto, o uso destas diretrizes pode variar dependendo do tamanho e do nvel de maturidade do sistema de gesto de uma organizao e da natureza e complexidade da organizao a ser auditada, como tambm com os objetivos e escopo das auditorias a serem executadas. Esta Norma introduz o conceito de risco para auditoria de sistemas de gesto. O enfoque adotado se relaciona com o risco do processo de auditoria em no atingir seus objetivos e com a possibilidade da auditoria interferir com os processos e atividades da organizao auditada. Ela no fornece diretrizes especficas sobre o processo de gesto de risco da organizao, mas reconhece que as organizaes podem focar o esforo da auditoria em assuntos de importancia para o sistema de gesto. Esta Norma adota o enfoque que quando dois ou mais sistemas de gesto de diferentes disciplinas so auditados em conjunto, isto chamado de uma auditoria combinada. Quando esses sistemas so integrados em um sistema de gesto nico, os princpios e processos de auditoria so os mesmos que para uma auditoria combinada. A Seo 3 estabelece os termos chave e definies usados nesta Norma.Todo um esforo foi feito para assegurar que estas definies no conflitem com as definies usadas em outras normas. A Seo 4 descreve os princpios nos quais a auditoria est baseada. Estes princpios ajudam o usurio a entender a natureza essencial da auditoria e so importantes no entendimento das diretrizes estabelecidas nas Sees 5 a 7. A Seo 5 fornece orientao sobre como estabelecer e gerenciar um programa de auditoria, estabelecer os objetivos do programa de auditoria e coordenar as atividades de auditoria. A Seo 6 fornece orientao sobre como planejar e realizar uma auditoria de um sistema de gesto. A Seo 7 fornece orientao relacionadas com a competncia e avaliao de auditores de sistemas de gesto e das equipes de auditoria. O Anexo A ilustra a aplicao das diretrizes na Seo 7 para diferentes disciplinas.
5/62
O Anexo B fornece orientao adicional auditorias.
para auditores sobre o planejamento e realizao de
1 Escopo
Esta Norma fornece orientao sobre auditoria de sistemas de gesto, incluindo os princpios de auditoria, a gesto de um programa de auditoria e a realizao de auditorias de sistema de gesto, como tambm orientao sobre a avaliao da competncia de pessoas envolvidas no processo da auditoria, incluindo a pessoa que gerencia o programa de auditoria, os auditores e a equipes auditora. Ela aplicvel a todas as organizaes que necessitam realizar auditorias internas ou externas de sistemas de gesto ou gerenciar um programa de auditoria. A aplicao desta Norma para outros tipos de auditorias possvel, desde que seja dada considerao especial para a necessidade de competncia especfica.
2 Referncias normativas
No so citadas referncias normativas. Esta seo includa a fim de que se mantenha a numerao idntica da seo com outras normas da ISO de sistema de gesto.
3 Termos e definies
Para os efeitos desta norma aplicam-se os seguintes termos e definies 3.1 auditoria processo sistemtico, documentado e independente para obter evidncia de auditoria (3.3) e avalilas, objetivamente, para determinar a extenso na qual os critrios da auditoria (3.2) so atendidos.
NOTA 1 Auditorias internas, algumas vezes chamadas de auditorias de primeira parte, so conduzidas pela prpria organizao, ou em seu nome, para anlise crtica pela direo e outros propsitos internos (por exemplo, para confirmar a eficcia do sistema de gesto ou para obter informaes para a melhoria do sistema de gesto). Auditorias internas podem formar a base para uma autodeclaraao de conformidade da organizao. Em muitos casos, particularmente em pequenas organizaes, a independncia pode ser demonstrada atravs da iseno de responsabilidade pela atividade sendo auditada ou iseno de tendenciosidade e conflito de interesse por parte do auditor. NOTA 2 Auditorias externas incluem auditorias de segunda e terceira parte. Auditorias de segunda parte so realizadas por partes que tm um interesse na organizao, tais como clientes, ou por outras pessoas em seu nome. Auditorias de terceira parte so realizadas por organizaes de auditoria independentes, tais como organismos de regulamentao ou organismos de certificao. NOTA 3 Quando dois ou mais sistemas de gesto de disciplinas diferentes ( por exemplo, qualidade, meio ambiente, segurana e sade ocupacional) so auditados juntos, isto chamado de auditoria combinada. NOTA 4 Quando duas ou mais organizaes de auditoria cooperam para auditar um nico auditado (3.7), isto chamado de auditoria conjunta. NOTA 5 Adaptado da ABNT NBR ISO 9000:2005, definio 3.9.1
6/62
3.2 critrio de auditoria conjunto de polticas, procedimentos ou requisitos usados como uma referncia na qual a evidncia de auditoria (3.3) comparada.
NOTA 1 Adaptada da NBR ISO 9000:2005, definio 3.9.3
NOTA 2 Se os critrios de auditoria so requisitos legais (incluindo estatutrio ou regulatrio), os termos conformidade ou no conformidade so sempre usados nas constataes de auditoria (3.4).
3.3 evidncia de auditoria registros, apresentao de fatos ou outras informaes, pertinentes aos critrios de auditoria (3.2) e verificveis.
NOTA Evidncia de auditoria pode ser qualitativa ou quantitativa.
[ABNT NBR ISO 9000:2005, definio 3.9.4]
3.4 constataes de auditoria resultados da avaliao da evidncia de auditoria (3.3) coletada, comparada com os critrios de auditoria (3.2)
NOTA 1 Constataes de auditoria indicam conformidade ou no-conformidade.
NOTA 2 Constataes de auditoria podem conduzir identificao de oportunidades para melhoria ou registros de boas prticas. NOTA 3 Se os critrios de auditoria forem selecionados de requisitos legais ou outros requisitos, a constatao da auditoria denominada de conformidade ou no conformidade. NOTA 4 Adaptado da ABNT NBR ISO 9000:2005, definio 3.9.5
3.5 concluso de auditoria Resultado de uma auditoria (3.1), aps levar em considerao os objetivos da auditoria e todas as constataes de auditoria (3.4)
NOTA Adaptado da ABNT NBR ISO 9000:2005, definio 3.9.6
3.6 cliente de auditoria organizao ou pessoa que solicita uma auditoria (3.1)
NOTA 1 No caso de auditoria interna o cliente da auditoria pode tambm ser o auditado (3.7) ou o gestor do programa de auditoria. Solicitaes para auditorias externas podem ser oriundas de fontes tais como, organismos de regulamentao, partes contratantes ou clientes potenciais. NOTA 2 Adaptado da ABNT NBR ISO 9000:2005, definio 3.9.7
7/62
3.7 auditado organizao que est sendo auditada

3.8 auditor pessoa que realiza uma auditoria (3.1) 3.9 equipe de auditoria um ou mais auditores (3.8) que realizam uma auditoria (3.1), apoiados, se necessrio, por especialistas (3.10)
NOTA 1 NOTA 2 Um auditor da equipe de auditoria indicado como o lder da equipe. A equipe de auditoria pode incluir auditores em treinamento.
3.10 especialista pessoa que prov conhecimento ou experincia especficos para a equipe de auditoria (3.9)
NOTA 1 Conhecimento ou experincia especficos so relativos ao processo ou atividade auditada ou idioma ou cultura para a organizao. NOTA 2 Um especialista no atua como um auditor (3.8) na equipe de auditoria.
3.11 observador pessoa que acompanha a equipe de auditoria (3.9), mais no audita.
NOTA 1 Um observador no faz parte da equipe de auditoria (3.9) e no influencia ou interfere com a realizao da auditoria (3.1). NOTA 2 Um observador pode ser do auditado (3.7), de um organismo regulatrio ou outra parte interessada que testemunhe a auditoria (3.1).
3.12 guia pessoa indicada pelo auditado (3.7) para apoiar a equipe de auditoria (3.9). 3.13 programa de auditoria conjunto de uma ou mais auditorias (3.1) planejado para um perodo de tempo especifico e direcionado a propsito especifico.
NOTA Adaptado da ABNT NBR ISO 9000:2005, definio 3.9.2
8/62
3.14 escopo de auditoria abrangncia e limites de uma auditoria (3.1)

NOTA O escopo de auditoria geralmente inclui uma descrio das localizaes fsicas, unidades organizacionais, atividades e processos, bem como o perodo de tempo coberto. [ABNT NBR ISO 9000:2005, definio 3.9.13]
3.15 plano de auditoria descrio das atividades e arranjos para uma auditoria (3.1).
3.16 risco efeito da incerteza nos objetivos

NOTA Adaptado da ABNT NBR ISO Guia 73:2009, definio 1.1
3.17 competncia capacidade para aplicar conhecimentos e habilidades para atingir resultados pretendidos.
NOTA Capacidade implica na aplicao apropriada do comportamento pessoal durante o processo de auditoria
3.18 conformidade atendimento a um requisito

3.19 no-conformidade no atendimento a um requisito. [ABNT NBR ISO 9000:2005, definio 3.6.2] 3.20 sistema de gesto sistema para estabelecer poltica e objetivos, e para atingir estes objetivos.
NOTA Um sistema de gesto de uma organizao pode incluir diferentes sistemas de gesto, tais como um sistema de gesto da qualidade, um sistema de gesto financeira ou um sistema de gesto ambiental. [ABNT NBR ISO 9000:2005, definio 3.2.2].
4 Princpios de auditoria
A auditoria caracterizada pela confiana em alguns princpios. Convm que estes princpios ajudem a tornar a auditoria uma ferramenta eficaz e confivel em apoio s polticas de gesto e controles, fornecendo informaes sobre as quais uma organizao pode agir para melhorar seu desempenho. A
NO TEM VALOR NORMATIVO 9/62
aderncia a estes princpios um pr-requisito para se fornecer concluses de auditoria que so pertinentes e suficientes, e para permitir que auditores que trabalhem independentemente entre si, cheguem a concluses semelhantes em circunstncias semelhantes. As orientaes dadas nas Sees 5 a 7 esto baseadas nos seis princpios apresentados abaixo: a) Integridade: o fundamento do profissionalismo. Convm que os auditores e a pessoa que gerencia um programa de auditoria: realize o seu trabalho com honestidade, diligncia e responsabilidade; observe e esteja em conformidade com quaisquer requisitos legais aplicveis; demonstre sua competncia enquanto realiza o seu trabalho; desempenhe o seu trabalho de forma imparcial, isto , mantendose justo e sem tendenciosidade em todas as situaes; esteja sensvel a quaisquer influncias que possam ser exercidas sobre seu julgamento enquanto realizando uma auditoria.
b) Apresentao justa: a obrigao de reportar com veracidade e exatido. Convm que as constataes de auditoria, concluses de auditoria e relatrios de auditoria reflitam com veracidade e com preciso as atividades de auditoria. Convm que os problemas significativos encontrados durante a auditoria e no resolvidos por divergncia de opinies entre a equipe de auditoria e o auditado, sejam relatados. Convm que a comunicao seja verdadeira precisa objetiva, (em tempo oportuno), clara e completa. c) Devido cuidado profissional: a aplicao de diligncia e julgamento na auditoria. Convm que os auditores exeram com o devido cuidado de acordo com a importncia da tarefa que eles executam e a confiana neles depositada pelo cliente da auditoria e por outras partes interessadas. Um fator importante na realizao do seu trabalho com o devido cuidado profissional ter a capacidade de fazer julgamentos ponderados em todas as situaes da auditoria. d) Confidencialidade: segurana da informao Convm que os auditores tenham discrio no uso e proteo das informaes obtidas no curso das suas obrigaes. Convm que as informaes da auditoria no sejam usadas de forma inapropriada para ganhos pessoais pelo auditor ou pelo cliente da auditoria, ou de maneira prejudicial para o legtimo interesse do auditado. Este conceito inclui o manuseio apropriado de informaes confidenciais ou sensveis. e) Independncia: a base para imparcialidade da auditoria e objetividade das concluses da auditoria. Convm que os auditores sejam independentes da atividade que est sendo auditada, quando for possvel, e convm que em todas as situaes hajam de tal modo que estejam livres de tendenciosidade e conflitos de interesse. Para auditorias internas, convm que os auditores sejam independentes das operaes gerenciais da funo que est sendo auditada. Convm que os auditores
mantenham objetividade ao longo de todo o processo de auditoria para assegurar que as concluses e constataes da auditoria estejam baseadas somente nas evidncias de auditoria. Para pequenas organizaes, pode no ser possvel para os auditores internos terem total independncia da atividade que est sendo auditada, porm convm que seja feito todo esforo para remover a tendenciosidade e encorajar a objetividade. f) Abordagem baseada em evidncia: o mtodo racional para alcanar concluses de auditoria confiveis e reproduzveis em um processo sistemtico de auditoria.
Convm que a evidncia da auditoria seja verificvel. Ela geralmente baseada em amostras das informaes disponveis, uma vez que uma auditoria realizada durante um perodo de tempo finito e com recursos limitados. Convm que o uso apropriado de amostras seja aplicado, uma vez que esta situao esta intimamente relacionada com a confiana que pode ser depositada nas concluses da auditoria.
5 Gerenciando um programa de auditoria

5.1 Geral
Convm que uma organizao que necessita realizar auditorias estabelea um programa de auditoria que contribua para a determinao da eficcia do sistema de gesto do auditado. O programa de auditoria pode incluir consideraes de auditorias de uma ou mais normas de sistema de gesto, conduzidas de forma separada ou em conjunto. Convm que a alta direo assegure que os objetivos do programa de auditoria sejam estabelecidos e atribudos a uma ou mais pessoas competentes para gerenciar o programa da auditoria. Convm que a abrangncia de um programa de auditoria esteja baseada na natureza e tamanho da organizao que esta sendo auditada, como tambm na natureza, funcionalidade, complexidade e nvel de maturidade do sistema de gesto a ser auditado. Convm que seja dada prioridade para alocar recursos ao programa de auditoria, para auditar aquelas questes de grande importncia dentro do sistema de gesto. Isto pode incluir caractersticas chave da qualidade do produto ou dos perigos relativos sade e segurana, ou aspectos ambientais significativos e seus controles.
NOTA Este conceito normalmente conhecido como auditoria baseada em risco. Esta Norma no fornece diretrizes adicionais de auditorias baseada em risco.
Convm que o programa da auditoria inclua informaes e recursos necessrios para organizar e realizar suas auditorias de forma eficaz e eficiente dentro de um perodo de tempo especfico e que pode tambm incluir o seguinte: objetivos para o programa de auditoria e auditorias individuais; abrangncia/ nmero/ tipos/ durao/ localizaes/ programao de auditorias; procedimentos do programa de auditoria; critrios de auditoria; mtodos de auditoria; seleo da equipe de auditoria;
recursos necessrios, incluindo viagem e acomodao; processos para tratamento da confidencialidade, segurana da informao, sade e segurana, e outros assuntos similares.
Convm que a implementao do programa de auditoria seja monitorada e medida para assegurar que seus objetivos foram alcanados. Convm que o programa de auditoria seja analisado criticamente para identificar possveis melhorias. A Figura 1 Ilustra o fluxo do processo para a gesto de um programa de auditoria.
12/62
5.2 Estabelecendo os objetivos do programa de auditoria
5.3 Estabelecendo o programa de auditoria 5.3.1 Papeis e responsabilidades da pessoa que gerencia o programa de auditoria 5.3.2 Competncia da pessoa que gerencia o programa de auditoria 5.3.3 Determinando a abrangncia de um programa de auditoria 5.3.4 Identificando e avaliando os riscos do programa de auditoria 5.3.5 Estabelecendo procedimentos para o programa de auditoria 5.3.6 Identificando recursos para o programa de auditoria
PLANEJAR
5.4 Implementando o programa de auditoria 5.4.1 Geral 5.4.2 Definindo os objetivos, escopo e critrios para uma auditoria individual 5.4.3 Selecionando os mtodos da auditoria 5.4.4 Selecionando os membros da equipe da auditoria 5.4.5 Atribuindo responsabilidades para uma auditoria individual ao lder da equipe da auditoria 5.4.6 Gerenciando os resultados do programa da auditoria 5.4.7 Gerenciando e mantendo registros do programa de auditoria
Competncia e avaliao de auditores (Seo 7)
FAZER
Realizando uma auditoria (Seo 6))
5.5
Monitoramento do programa de auditoria
CHECAR
5.6
Anlise crtica e melhoria do programa de auditoria
AGIR
NOTA 1 Esta figura ilustra a aplicao do ciclo PDCA a esta norma. NOTA 2 Numerao de Sees/ Subsees refere-se as Sees/Subsees pertinentes desta norma.
Figura 1 Fluxograma do processo para gerenciamento de um programa de auditoria
5.2 Estabelecendo os objetivos do programa de auditoria

Convm que a alta direo assegure que os objetivos do programa de auditoria sejam estabelecidos para direcionar o planejamento e a realizao de auditorias e assegurar que o programa de auditoria
13/62
seja implementado eficazmente. Convm que os objetivos do programa de auditoria sejam consistentes com, e apiem, os objetivos e a poltica do sistema de gesto. Estes objetivos podem ser baseados nos seguintes pontos: a) prioridades da direo; b) intenes comerciais e outros negcios; c) caractersticas de processos, produtos e projetos e quaisquer mudanas a estes; d) requisitos do sistema de gesto; e) requisitos legais e contratuais e outros requisitos com os quais a organizao esteja comprometida; f) necessidade para avaliao de fornecedor;
g) necessidades e expectativas das partes interessadas, incluindo os clientes; h) nvel de desempenho do auditado, como mostrado na ocorrncia de falhas, incidentes ou reclamaes de clientes; i) j) riscos para o auditado; resultados de auditorias anteriores;
k) nvel de maturidade do sistema de gesto que est sendo auditado. Exemplos de objetivos do programa de auditoria incluem: contribuir para melhoria de um sistema de gesto e o seu desempenho; atender a requisitos externos, por exemplo, certificao de acordo com uma norma de sistema de gesto; verificar a conformidade com requisitos contratuais; obter e manter confiana na capacidade de um fornecedor; determinar a eficcia do sistema de gesto; avaliar a compatibilidade e o alinhamento dos objetivos do sistema de gesto com a poltica do sistema de gesto e os objetivos gerais da organizao.
5.3 Estabelecendo programa de auditoria

5.3.1 Papeis e responsabilidades da pessoa que gerencia o programa de auditoria Convm que a pessoa que gerencia o programa de auditoria: estabelea a abrangncia do programa de auditoria;
14/62
identifique e avalie os riscos para o programa de auditoria; estabelea as responsabilidades de auditoria; estabelea os procedimentos para os programas de auditoria; determine os recursos necessrios; assegure a implementao do programa de auditoria, incluindo o estabelecimento dos objetivos da auditoria, escopo e critrios das auditorias individuais, determinando os mtodos da auditoria, selecionando a equipe auditora e avaliando os auditores; assegurar que os registros apropriados do programa de auditoria sejam gerenciados e mantidos; monitorar, analisar criticamente e melhorar o programa de auditoria.
Convm que a pessoa que gerencia um programa de auditoria informe alta direo sobre o contedo do programa de auditoria e, se necessrio, solicite sua aprovao. 5.3.2 Competncia da pessoa que gerencia o programa de auditoria Convm que a pessoa que gerencia o programa de auditoria tenha a necessria competncia para gerenciar o programa e seus riscos associados, de forma eficiente e eficaz, como tambm conhecimento e habilidades nas seguintes reas: princpios da auditoria, procedimentos e mtodos; normas de sistema de gesto e documentos de referncia; atividades, produtos e processos do auditado; requisitos legais aplicveis e outros requisitos pertinentes para as atividades e produtos do auditado; clientes, fornecedores e outras partes interessadas do auditado, quando aplicvel.
Convm que a pessoa que gerencia o programa de auditoria esteja envolvida em atividades apropriadas de desenvolvimento profissional continuo, para manter o necessrio conhecimento e habilidades para gerenciar o programa de auditoria. 5.3.3 Determinando a abrangncia de um programa de auditoria Convm que a pessoa que gerencia um programa de auditoria determine a abrangncia do programa de auditoria o qual pode variar dependendo do tamanho e natureza da organizao auditada, como tambm da natureza, funcionalidade, complexidade e nvel de maturidade do sistema de gesto, e temas de importncia para o sistema de gesto a ser auditado.
NOTA Em certos casos, dependendo da estrutura da organizao auditada ou das suas atividades, o programa de auditoria pode consistir apenas de uma nica auditoria (p.ex. atividade de um pequeno projeto)
Outros fatores que impactam a abrangncia de um programa de auditoria incluem o seguinte:
15/62
o objetivo, escopo e durao de cada auditoria e o nmero de auditorias a serem realizadas incluindo auditorias de acompanhamento, quando pertinente; o nmero, importncia, complexidade, similaridade e localizaes das atividades a serem auditadas; fatores que influenciam a eficcia do sistema de gesto; critrios de auditoria aplicveis, tais como preparativos planejados para as normas de gesto pertinentes, requisitos legais e contratuais outros requisitos com os quais a organizao esteja comprometida; concluses de auditorias anteriores, internas ou externas; resultados de anlise crtica de programas de auditorias anteriores; questes social, cultural e de idioma; questes relativas s partes interessadas, tais como reclamaes de clientes ou noconformidades com requisitos legais; mudanas significativas para o auditado ou suas operaes; disponibilidade da tecnologia da informao e comunicao para apoiar as atividades da auditoria, em particular o uso de mtodos de auditoria remota (ver Seo B.1); a ocorrncia de eventos internos e externos, tais como falhas de produtos, vazamento de segurana da informao, incidentes com sade e segurana ocupacional, atos criminosos ou incidentes ambientais.
5.3.4 Identificando e avaliando os riscos do programa de auditoria Existem muitos riscos diferentes associados com o estabelecimento, implementao, monitoramento, anlise crtica e melhoria de um programa de auditoria que pode afetar o alcance dos seus objetivos. Convm que a pessoa que gerencia o programa de auditoria considere esses riscos no seu desenvolvimento. Esses riscos podem estar associados com o seguinte: planejamento, por exemplo, falha para estabelecer os objetivos pertinentes da auditoria e determinar a abrangncia do programa de auditoria; recursos, por exemplo, permitindo tempo insuficiente para desenvolver o programa da auditoria ou realizar uma auditoria; seleo da equipe de auditoria, por exemplo, a equipe no tem a competncia coletiva para realizar auditorias de forma eficaz; implementao, por exemplo, comunicao ineficaz do programa de auditoria; registros e seus controles, por exemplo, falha para proteger de forma adequada os registros de auditoria para demonstrar a eficcia do programa de auditoria;
16/62
monitoramento, anlise crtica e melhoria do programa de auditoria, por exemplo, monitoramento ineficaz dos resultados do programa de auditoria.
5.3.5 Estabelecendo procedimentos para o programa de auditoria Convm que a pessoa que gerencia um programa de auditoria estabelea um ou mais procedimentos contemplando os seguintes pontos, quando aplicveis: planejamento e programao das auditorias considerando os riscos do programa da auditoria; assegurar a confidencialidade e segurana da informao; garantia da competncia dos auditores e dos lderes da equipe de auditoria; seleo apropriada das equipes de auditoria e atribuies de seus papis e responsabilidades; realizao de auditorias, incluindo o uso apropriado de mtodos de amostragem; realizao de auditoria de acompanhamento, se aplicvel; relato para a alta direo sobre os resultados globais do programa de auditoria; manuteno dos registros do programa de auditoria; monitoramento e anlise crtica do desempenho e riscos, e das melhorias da eficcia do programa de auditoria.
5.3.6 Identificando recursos para o programa de auditoria Quando da identificao dos recursos para o programa de auditoria, convm que a pessoa que gerencia o programa de auditoria considere: os recursos financeiros necessrios para desenvolver, implementar, gerenciar e melhorar as atividades de auditoria; mtodos de auditoria; a disponibilidade de auditores e especialistas que tenham a competncia apropriada para os objetivos do programa de auditoria em particular; abrangncia do programa de auditoria e dos riscos do programa de auditoria; tempo de viagem e custos, acomodaes e outras necessidades de auditoria; a disponibilidade das tecnologias da informao e comunicao.
5.4 Implementando o programa de auditoria

5.4.1 Geral Convm que a pessoa que gerencia o programa de auditoria implemente o este programa atravs dos seguintes meios:
comunicao s partes pertinentes do programa de auditoria e as informe periodicamente do seu progresso; definio dos objetivos, escopo e critrios para cada auditoria individual; coordenar e programar as auditorias e outras atividades pertinentes ao programa de auditoria; assegurar a seleo de equipes de auditoria com a necessria competncia; fornecer os recursos necessrios para as equipes de auditoria; assegurar a realizao de auditorias de acordo com o programa de auditoria e dentro do perodo de tempo acordado; assegurar que as atividades de auditoria so registradas e estes registros so adequadamente gerenciados e mantidos.
5.4.2 Definindo os objetivos, escopo e critrios para uma auditoria individual Convm que cada auditoria individual seja baseada nos objetivos, escopos e critrios de auditoria documentados. Convm que estes sejam definidos pela pessoa que gerencia o programa de auditoria e seja consistente com os objetivos globais do programa de auditoria. Os objetivos de auditoria definem o que deve ser acompanhado por uma auditoria individual e pode ainda incluir o seguinte: determinao da abrangncia de conformidade do sistema de gesto a ser auditado, ou parte dele, com os critrios de auditoria; determinao da abrangncia de conformidade das atividades, processos e produtos com os requisitos e procedimentos do sistema de gesto; avaliao da capacidade do sistema de gesto para assegurar a conformidade com requisitos legais e contratuais e outros requisitos com os quais a organizao esteja comprometida; avaliao da eficcia do sistema de gesto para atender aos seus objetivos especificados; identificao de reas para potencial de melhoria do sistema de gesto.
Convm que o escopo da auditoria seja consistente com o programa e os objetivos da auditoria. Isto inclui fatores tais como localizao fsica, unidades organizacionais, atividades e processos a serem auditados, bem como o perodo de tempo coberto pela auditoria. Os critrios de auditoria so usados como uma referncia contra a qual a conformidade determinada e pode incluir polticas, procedimentos, normas, requisitos legais, requisitos de sistema de gesto, requisitos contratuais, cdigos de conduta setoriais ou outros arranjos planejados aplicveis. No caso de quaisquer mudanas nos objetivos de auditoria, no escopo ou nos critrios convm que o programa de auditoria seja modificado, se necessrio.
18/62
Quando dois ou mais sistemas de gesto de diferentes disciplinas so auditados juntos (uma auditoria combinada), importante que os objetivos, escopo e critrios da auditoria sejam consistentes com os objetivos dos programas de auditoria pertinentes. 5.4.3 Selecionando os mtodos da auditoria Convm que a pessoa que gerencia o programa de auditoria selecione e determine os mtodos para realizar de forma eficaz uma auditoria, dependendo dos objetivos, escopo e critrios definidos da auditoria.
NOTA Diretrizes sobre como determinar os mtodos de auditoria, so dadas no anexo B.
Quando duas ou mais organizaes auditoras realizam uma auditoria conjunta do mesmo auditado, convm que as pessoas que gerenciam os diferentes programas de auditoria, concordem com o mtodo de auditoria e considerem as implicaes dos recursos e planejamento de auditoria. Se uma organizao auditada opera dois ou mais sistemas de gesto de diferentes disciplinas, auditorias combinadas podem ser includas no programa da auditoria. 5.4.4 Selecionando os membros da equipe da auditoria Convm que a pessoa que gerencia o programa de auditoria indique os membros da equipe de auditoria incluindo o auditor lder e quaisquer especialistas necessrios para a auditoria especfica. Convm que uma equipe de auditoria seja selecionada levando em considerao a competncia necessria para atingir os objetivos de uma auditoria individual dentro do escopo definido. Se existe apenas um nico auditor, convm que o auditor desempenhe todas as responsabilidades de um auditor lder aplicveis.
NOTA A Seo 7 contm diretrizes sobre a determinao da competncia requerida para os membros da equipe de auditoria e descreve os processos para avaliao de auditores.
Ao decidir o tamanho e composio da equipe de auditoria para uma auditoria especifica, convm que sejam considerado o seguinte: a) a competncia global da equipe de auditoria necessria para atingir os objetivos de auditoria, levando em considerao o critrio e escopo de auditoria; b) complexidade da auditoria e se ela uma auditoria combinada ou conjunta; c) os mtodos da auditoria que foram selecionados; d) requisitos legais e contratuais e outros requisitos com os quais a organizao esteja comprometida; e) a necessidade de assegurar a independncia dos membros da equipe de auditoria das atividades a serem auditadas e evitar qualquer conflito de interesse [ver princpio e) da Seo 4]; f) capacidade dos membros da equipe de auditoria para interagir de forma eficaz com os representantes do auditado e para trabalharem em conjunto;
g) o idioma da auditoria, e as caractersticas culturais e sociais do auditado. Estes tpicos podem ser considerados ou pelas habilidades prprias do auditor ou atravs do apoio de um especialista.
19/62
Para assegurar uma competncia global da equipe de auditoria, convm que os seguintes passos sejam realizados: identificao do conhecimento e habilidades necessrios para atingir os objetivos da auditoria; seleo dos membros da equipe de auditoria de tal modo que a equipe de auditora tenha todo o conhecimento e habilidades necessrios.
Caso toda a competncia necessria no seja coberta pelos auditores da equipe de auditoria, convm que os especialistas com competncias individuais sejam includos na equipe. Convm que os especialistas operem sob a orientao de um auditor, porm no podem atuar como auditores. Auditores em treinamento podem ser includos na equipe de auditoria, porm convm que ele participe sob a orientao e diretrizes de um auditor. Ajustes ao tamanho e composio da equipe de auditoria podem ser necessrios durante a auditoria, por exemplo, se surgir conflito de interesses ou questes de competncias Em tal situao surgir, convm que ela seja discutida com as partes apropriadas (por exemplo, o lder da equipe de auditoria, a pessoa que gerencia o programa de auditoria, o cliente da auditoria ou o auditado) antes que quaisquer ajustes sejam feitos. 5.4.5 Atribuindo responsabilidades para uma auditoria individual ao lder da equipe da auditoria Convm que a pessoa que gerencia o programa de auditoria atribua a responsabilidade para conduzir a auditoria individual, a um auditor lder. Convm que esta atribuio seja feita com uma antecedncia suficiente da data programada para a auditoria a fim de assegurar um planejamento eficaz da auditoria. Para assegurar a realizao eficaz de auditorias individuais, convm que as seguintes informaes sejam fornecidas ao auditor lder: a) objetivos da auditoria;
b) critrios da auditoria e quaisquer documentos de referencia; c) escopo da auditoria incluindo identificao das unidades organizacionais e funcionais e dos processos a serem auditados; d) procedimentos e mtodos de auditoria;
e) composio da equipe auditora; f) detalhes dos contatos do auditado, as localizaes, as datas e a durao das atividades da auditoria a ser realizada;
g) alocao de recursos apropriados para realizar a auditoria; h) informaes necessrias para a avaliao e considerao dos riscos identificados para atingir os objetivos de auditoria. Convm que as informaes de atribuio tambm considerem o seguinte, conforme apropriado:
idioma do relatrio e do trabalho da auditoria, quando existir diferena do idioma do auditor ou do auditado, ou ambos; contedo do relatrio da auditoria e a sua distribuio requerida pelo programa de auditoria; assuntos relativos a confidencialidade e segurana da informao, quando requeridos pelo programa de auditoria; quaisquer requisitos de sade e segurana pessoal para os auditores; quaisquer requisitos de autorizao e segurana; quaisquer aes de acompanhamento, por exemplo, de auditorias anteriores, se aplicvel; coordenao com outras atividades de auditoria, no caso de auditoria conjunta.
Quando uma auditoria conjunta realizada, importante obter um acordo, antes da auditoria iniciar, entre as organizaes que vo realizar a auditoria, sobre as responsabilidades especificas de cada parte, especialmente com relao autoridade do auditor lder indicado para auditoria. 5.4.6 Gerenciando os resultados do programa da auditoria Convm que a pessoa que gerencia o programa de auditoria assegure que as seguintes atividades so desempenhadas: anlise critica e aprovao dos relatrios de auditoria, incluindo avaliao da adequao e pertinncia das constataes da auditoria; anlise critica da causa raiz e a eficcia de aes corretivas e aes preventivas; distribuio dos relatrios de auditoria para alta direo e outras partes pertinentes; determinao da necessidade para qualquer auditoria de acompanhamento.
5.4.7 Gerenciando e mantendo registros do programa de auditoria Convm que a pessoa que gerencia o programa de auditoria assegure que os registros de auditoria so criados, gerenciados, e mantidos para demonstrar a implementao do programa de auditoria. Convm que os processos sejam estabelecidos para assegurar que quaisquer necessidades de confidencialidade associadas com os registros de auditoria, sejam consideradas. Convm que os registros incluam o seguinte: a) registros relacionados com ao programa de auditoria, tais como: abrangncia e objetivos do programa de auditoria documentados; aqueles voltados para os riscos do programa de auditoria; analises criticas da eficcia do programa de auditoria;
b) registros relativos a cada auditoria individual, tais como:

planos de auditoria e relatrios de auditoria; relatrios de no-conformidade; relatrios de aes corretivas e preventivas; relatrios de auditoria de acompanhamento, se aplicvel;
c) registros relativos ao pessoal da auditoria cobrindo tpicos, tais como: avaliao da competncia e desempenho dos membros da equipe auditora; seleo das equipes auditoras e dos membros da equipe; manuteno e melhoria da competncia.
Convm que a forma e o nvel de detalhes dos registros demonstrem que os objetivos do programa de auditoria foram atingidos.
5.5
Monitorando o programa de auditoria
Convm que a pessoa que gerencia o programa de auditoria monitore a sua implementao considerando a necessidade de: a) avaliar a conformidade com programas de auditoria, planejamentos e objetivos da auditoria; b) avaliar o desempenho dos membros da equipe auditora; c) avaliar a capacidade das equipes auditoras para implementar o plano de auditoria; d) avaliar a retroalimentao da alta direo, auditados, auditores e outras partes interessadas. Alguns fatores podem determinar a necessidade de modificar o programa de auditoria, tais como constataes da auditoria; nvel demonstrado de eficcia do sistema de gesto; mudanas do sistema de gesto do auditado ou do cliente; mudanas com relao aos requisitos das normas, requisitos legais e contratuais e outros requisitos aos com os quais a organizao esteja comprometida; mudana de fornecedor.
5.6 Analisando criticamente e melhorando o programa de auditoria

Convm que a pessoa que gerencia um programa de auditoria analise criticamente o programa de auditoria para verificar se seus objetivos foram atendidos. Convm que lies aprendidas da analise critica do programa de auditoria sejam usadas como dados de entrada para o processo de melhoria continua do programa.
Convm que a analise critica do programa de auditoria considere o seguinte: a) resultados e tendncias do monitoramento do programa de auditoria; b) conformidade com os procedimentos do programa de auditoria; c) evoluo de necessidades e expectativas de partes interessadas; d) registros do programa de auditoria; e) alternativas ou novos mtodos de auditoria; f) eficcia de medidas para considerar os riscos associados com o programa de auditoria;
g) questes de confidencialidade e segurana da informao relativos ao programa de auditoria Convm que a pessoa que gerencia o programa de auditoria analise criticamente a implementao global do programa de auditoria, identifique reas de melhorias, altere o programa se necessrio e tambm considere: anlise crtica do contnuo desenvolvimento profissional dos auditores,de acordo com 7.4, 7.5 e 7.6; relato da anlise crtica dos resultados do programa de auditoria para a alta direo.
6 Executando uma auditoria

6.1 Geral
Esta seo contm orientaes sobre como planejar e realizar as atividades de auditoria como parte de um programa de auditoria. A figura 2 fornece uma viso geral das atividades tpicas de auditoria. A abrangncia na qual as disposies desta seo so aplicveis depende dos objetivos e escopo da auditoria especfica.
23/62
6.2 Iniciando a auditoria

6.2.1 6.2.2 Geral
6.2.3
Estabelecendo contato inicial com o auditado Determinando a viabilidade da auditoria
6.3.1 6.3.2 6.3.3 6.3.4
6.3 Preparando as atividades da auditoria Realizando a anlise crtica documental na preparao para a auditoria Preparando o plano de auditoria Atribuindo trabalho equipe auditora Preparando os documentos de trabalho
6.4 Conduzindo atividades de auditoria 6.4.1 6.4.2 6.4.3 6.4.4 6.4.5 6.4.6 6.4.7 6.4.8 6.4.9 Geral Conduzindo a reunio de abertura Realizando anlise critica documental quando da execuo da auditoria Comunicao durante a auditoria Atribuio de papis e responsabilidades dos guias e observadores Coletando e verificando informaes Gerando constataes da auditoria Preparando as concluses da auditoria Conduzindo a reunio de encerramento
6.5.1 6.5.2
6.5 Preparando e distribuindo o relatrio de auditoria Preparando o relatrio de auditoria Distribuindo o relatrio de auditoria
6.6 Concluindo a auditoria
6.7 Conduzindo a auditoria de acompanhamento (se especificado no plano de auditoria) NOTA: A numerao dos subsees refere-se s subsees pertinentes desta norma.
Figura 2 Atividades tpicas de auditoria
6.2 Iniciando a auditoria

6.2.1 Geral Quando uma auditoria iniciada, a responsabilidade para conduzir a auditoria do auditor lder da equipe designado (ver 5.4.5), at que auditoria esteja concluda (ver 6.6). Para iniciar uma auditoria convm que os passos da figura 2 sejam considerados; entretanto, a seqncia pode variar dependendo do auditado, do processos e das circunstncias especificas da auditoria.
24/62
6.2.2 Estabelecendo contato inicial com o auditado O contato inicial com o auditado para a realizao da auditoria pode ser formal ou informal e convm que seja feito pelo auditor lder. So os seguintes os propsitos do contato inicial: estabelecer a comunicao com os representantes do auditado; confirmar a autoridade que vai conduzir a auditoria; prover informaes sobre os objetivos da auditoria, escopo, mtodos e composio da equipe auditora, incluindo os especialistas; solicitar acesso a registros e documentos pertinentes para fins de planejamento; determinar os requisitos contratuais e legais aplicveis e outros requisitos pertinentes s atividades e produtos do auditado; confirmar o acordo com o auditado quanto abrangncia da divulgao e tratamento das informaes confidenciais; fazer arranjos para a auditoria incluindo a programao de datas; determinar quaisquer requisitos especficos para acesso aos locais, segurana, sade, segurana pessoal ou outros; acordar sobre a participao de observadores e a necessidade de guias para a equipe de auditoria; determinar quaisquer reas de interesse ou preocupao para o auditado em relao auditoria especifica.
6.2.3 Determinando a viabilidade da auditoria Convm que a viabilidade da auditoria seja determinada para fornecer confiana razovel de que os objetivos da auditoria podem ser atingidos. Convm que a determinao da viabilidade leve em considerao a disponibilidade dos seguintes fatores: informaes suficientes e apropriadas para o planejamento e realizao da auditoria; cooperao adequada do auditado; tempo e recursos adequados para a realizao da auditoria.
Quando a auditoria no vivel, convm que seja proposta uma alternativa ao cliente da auditoria, em acordo com o auditado.
25/62
6.3 Preparando as atividades da auditoria

6.3.1 Realizando a anlise crtica documental na preparao para a auditoria Convm que a documentao pertinente do sistema de gesto do auditado seja analisada criticamente para: obter informaes para preparar as atividades da auditoria e os documentos de trabalho aplicveis (ver 6.3.4), por exemplo, sobre processos, funes; estabelecer uma viso da abrangncia da documentao do sistema para detectar possveis lacunas.
Diretriz sobre como realizar uma anlise crtica documental fornecida na Seo B.2
NOTA
Convm que a documentao inclua, quando aplicvel, registros e documentos do sistema de gesto, bem como relatrios de auditorias anteriores. Convm que a anlise crtica documental leve em conta o tamanho, natureza e complexidade da organizao e do sistema de gesto do auditado, bem como o escopo e objetivos da auditoria. 6.3.2 Preparando o plano de auditoria 6.3.2.1 Convm que o lder de equipe da auditoria prepare um plano de auditoria baseado nas informaes contidas no programa da auditoria e na documentao fornecida pelo auditado. Convm que o plano de auditoria considere o efeito das atividades da auditoria sobre os processos do auditado e fornea a base para um acordo entre o cliente da auditoria, a equipe da auditoria e o auditado com relao conduo da auditoria. Convm que o plano facilite a coordenao e a programao eficientes das atividades da auditoria de modo a atingir os objetivos de forma eficaz. Convm que a quantidade de detalhes fornecida no plano de auditoria reflita o escopo e a complexidade da auditoria, bem como o efeito da incerteza em atingir os objetivos da auditoria. Na preparao do plano da auditoria, convm que o auditor lder esteja consciente dos seguintes pontos: as tcnicas apropriadas de amostragem (ver Seo B.3); a composio da equipe auditora e sua competncia coletiva; os riscos para a organizao gerados pela auditoria.
Por exemplo, os riscos para a organizao podem resultar da presena de membros de equipe auditora influenciando a sade e segurana, a qualidade e o meio ambiente, e suas presenas podem representar ameaas aos produtos do auditado, servios, pessoal ou infra-estrutura (por exemplo, contaminao em instalaes que requerem salas limpas). Para auditorias combinadas, convm que ateno particular seja dada s interaes entre os processos operacionais e os objetivos e prioridades concorrentes dos diferentes sistemas de gesto.
26/62
6.3.2.2 A escala e contedo do plano de auditoria podem divergir, por exemplo, entre as auditorias iniciais e subseqentes, bem como entre as auditorias internas e externas. Convm que o plano de auditoria seja suficientemente flexvel para permitir mudanas que podem se tornar necessrias na medida em que as atividades da auditoria progridam. Convm que o plano de auditoria inclua ou referencie o seguinte: a) os objetivos da auditoria; b) o escopo da auditoria, incluindo identificao das unidades organizacionais e funcionais, bem como os processos a serem auditados; c) os critrios de auditoria e quaisquer documentos de referncia; d) as localizaes, datas, tempos estimados e durao das atividades da auditoria a serem realizadas, incluindo as reunies com a direo do auditado; e) os mtodos de auditoria a serem usados, incluindo a abrangncia na qual a amostragem da auditoria necessria para obter suficiente evidencia da auditoria e propsito do plano de amostragem, se aplicvel; f) os papis e responsabilidades dos membros da equipe da auditoria, bem como dos guias e observadores;
g) a alocao de recursos apropriados para reas crticas da auditoria. Convm que o plano de auditoria tambm inclua o seguinte, se apropriado: identificao do representante do auditado na auditoria; o idioma de trabalho e do relatrio da auditoria, se ele for diferente do idioma do auditor ou do auditado ou ambos; os tpicos do relatrio de auditoria; preparativos de logstica e de comunicao, incluindo preparativos especficos para os locais a serem auditados; quaisquer medidas especficas a serem tomadas para considerar o efeito da incerteza em atingir os objetivos da auditoria; assuntos relacionados confidencialidade e segurana da informao; quaisquer aes de acompanhamento de auditorias anteriores; quaisquer atividades de acompanhamento para a auditoria planejada; coordenao com outras atividades de auditoria, no caso de auditoria conjunta.
O plano de auditoria pode ser analisado criticamente e aceito pelo cliente da auditoria e convm que seja apresentado para o auditado. Convm que quaisquer objees pelo auditado sobre o plano da auditoria sejam solucionadas entre o lder da equipe da auditoria, o auditado e o cliente da auditoria.
6.3.3 Designando o trabalho para a equipe da auditoria Convm que o lder de equipe de auditoria, em consulta com a equipe de auditoria, atribua responsabilidade a cada membro da equipe para auditar processos especficos, atividades, funes ou localidades. Convm que tais tarefas levem em conta a independncia e competncia de auditores e o uso eficaz de recursos, como tambm funes e responsabilidades diferentes de auditores, auditores em treinamento e especialistas. Convm que as instrues equipe de auditoria sejam mantidas, conforme apropriado, pelo lder da equipe de modo a alocar atribuies de trabalho e decidir sobre possveis mudanas. As mudanas das atribuies do trabalho podem ser feitas a medida em que a auditoria progride para assegurar o cumprimento dos objetivos da auditoria. 6.3.4 Preparando documentos de trabalho Convm que os membros da equipe de auditoria coletem e analisem criticamente as informaes pertinentes s suas tarefas de auditoria e preparem documentos de trabalho, se necessrio, para referncia e registro de evidencia da auditoria. Tais documentos de trabalho podem incluir o seguinte: listas de verificao; planos de amostragem de auditoria; formulrios para registro de informao, tais como evidncias de suporte, constataes da auditoria e registros de reunies.
Convm que o uso de listas de verificao e formulrios no se restrinjam abrangncia das atividades da auditoria, os quais podem mudar como um resultado das informaes coletadas durante a auditoria.
NOTA Diretriz sobre preparao de documentos de trabalho apresentada na Seo B.4.
Convm que documentos de trabalho, incluindo registros resultantes de seu uso, sejam retidos no mnimo at a concluso da auditoria ou como especificados no plano de auditoria. A reteno de documentos, depois da concluso da auditoria, descrita em 6.6. Convm que esses documentos que envolvam informaes confidenciais ou proprietria, sejam salvaguardados adequadamente, a todo o momento, pelos membros da equipe de auditoria.
6.4 Conduzindo as atividades de auditoria

6.4.1 Geral As atividades de auditoria so normalmente realizadas em uma seqncia definida conforme indicado na Figura 2. Esta seqncia pode ser variada para atender a circunstancias de auditorias especificas. 6.4.2 Conduzindo a reunio de abertura O propsito de uma reunio de abertura para: a) confirmar o acordo de todas as partes ( por exemplo, auditado, equipe auditora) quanto ao plano de auditoria; b) apresentar a equipe auditora,
c) assegurar que todas as atividades planejadas da auditoria podem ser realizadas. Convm que uma reunio de abertura seja realizada com a direo do auditado e, onde apropriado, com os responsveis pelas funes ou processos a serem auditados. Durante a reunio convm que uma oportunidade para realizar perguntas seja dada. Convm que o grau de detalhe seja consistente com a familiaridade do auditado com o processo de auditoria. Em muitas situaes, por exemplo, em auditorias internas em uma pequena organizao, a reunio de abertura pode simplesmente consistir em comunicar que uma auditoria est sendo realizada e explicar a natureza da auditoria. Para outras situaes de auditoria, a reunio pode ser formal e convm que os registros de presena sejam mantidos. Convm que a reunio seja presidida pelo lder da equipe de auditoria e que os seguintes pontos sejam considerados, se apropriado: apresentao dos participantes, incluindo observadores e guias e um resumo de suas funes; confirmao dos objetivos, escopo e critrios da auditoria; confirmao do plano de auditoria e outros ajustes pertinentes com o auditado, tais como o dia e hora da reunio de encerramento, e quaisquer reunies intermediarias entre a equipe auditora e a direo do auditado, bem como quaisquer mudanas de ltima hora; apresentao dos mtodos a serem usados para realizar auditoria, incluindo a informao ao auditado de que a evidencia da auditoria ser baseada na amostragem da informao disponvel; apresentao dos mtodos para gerenciar os riscos para a organizao, que podem resultar da presena dos membros da equipe auditora; confirmao dos canais formais de comunicao entre a equipe da auditoria e o auditado; confirmao do idioma a ser usado durante a auditoria; confirmao de que, durante a auditoria, o auditado ser mantido informado do progresso da auditoria; confirmao de que os recursos e instalaes necessrios equipe da auditoria esto disponveis; confirmao de assuntos relativos confidencialidade e segurana da informao; confirmao de procedimentos pertinentes de sade, segurana no trabalho, emergncia e segurana fsica para a equipe da auditoria; informao sobre o mtodo de relatar as constataes de auditoria incluindo as classificaes, se existirem; informaes sobre condies nas quais a auditoria pode ser encerrada; informaes sobre a reunio de encerramento; informaes sobre como tratar as possveis constataes encontradas durante a auditoria;
informaes sobre qualquer sistema para retroalimentao do auditado sobre as constataes ou concluses da auditoria, incluindo reclamaes ou apelaes.
6.4.3 Executando a anlise crtica da documentao durante a realizao da auditoria Convm que a documentao pertinente do auditado seja analisada criticamente para: determinar conformidade do sistema, tanto quanto documentado, com os critrios da auditoria; obter informaes para apoiar as atividades da auditoria.
Orientao sobre como realizar anlise crtica documental so fornecidas na Seo B.2
NOTA
A anlise crtica pode ser combinada com outras atividades da auditoria e pode continuar ao longo da auditoria, desde que isto no seja prejudicial para a eficcia da realizao da auditoria. Se a documentao adequada no puder ser fornecida dentro do tempo dado no plano de auditoria, convm que o lder da equipe auditora informe tanto a pessoa que gerencia o programa de auditoria quanto o auditado. Dependendo dos objetivos e escopo da auditoria, convm que uma deciso seja tomada sobre se a auditoria deve ser continuada ou suspensa, at que a documentao pertinente seja resolvida. 6.4.4 Comunicao durante a auditoria Durante a auditoria, pode ser necessrio fazer acordos formais para comunicao com a equipe da auditoria, como tambm com o auditado, o cliente da auditoria e, potencialmente, com entidades externas (por exemplo, rgos regulatrios) especialmente onde requisitos legais exijam relatrios mandatrios de no conformidades. Convm que a equipe de auditoria se comunique periodicamente para trocar informaes, avaliar o progresso da auditoria, e redistribuir o trabalho entre os membros da equipe da auditoria, conforme necessrio. Durante a auditoria, convm que o lder da equipe de auditoria periodicamente comunique o progresso da auditoria e quaisquer questes ao auditado e ao cliente da auditoria, como apropriado. Convm que a evidncia coletada durante a auditoria que indique um risco imediato e significativo para o auditado, seja relatada sem demora ao auditado e, como apropriado, ao cliente da auditoria. Convm que qualquer considerao sobre um assunto fora do escopo da auditoria seja anotada e seja relatada ao lder da equipe da auditoria, para possvel comunicao ao cliente da auditoria e o auditado. Quando a evidncia da auditoria disponvel indica que os objetivos da auditoria so inatingveis, convm que o lder da equipe da auditoria relate as razes ao cliente da auditoria e ao auditado para definir a ao apropriada. Tal ao pode incluir a reconfirmao ou a modificao do plano de auditoria, mudanas nos objetivos da auditoria ou o seu escopo ou o seu encerramento Qualquer necessidade de mudanas no plano da auditoria que possam se tornar aparente medida em que a auditoria progride, convm que seja analisada criticamente e aprovada e, quando apropriado, pela pessoa que gerencia o programa de auditoria e pelo auditado.
30/62
6.4.5 Atribuindo papis e responsabilidades dos guias e observadores Guias e observadores (por exemplo, rgo regulatrio ou outras partes interessadas) podem acompanhar a equipe de auditoria. Convm que eles no influenciem ou interfiram na realizao da auditoria. Se isto no puder ser assegurado, convm que o lder da equipe da auditoria tenha o direito de negar aos observadores, a sua participao em certas atividades da auditoria. Para os observadores, convm que quaisquer obrigaes em relao sade e segurana pessoal, segurana e confidencialidade, sejam gerenciadas entre o cliente da auditoria e o auditado. Convm que os guias designados pelo auditado prestem ajuda equipe da auditoria e ajam por solicitao do lder da equipe da auditoria. Convm que suas responsabilidades incluam o seguinte: a) apoiar os auditores na identificao de pessoas para participar das entrevistas e confirmar os horrios; b) providenciar acesso a locais especficos do auditado; c) assegurar que regras relativas a segurana no local e procedimentos de segurana, sejam conhecidos e respeitados pelos membros da equipe auditora e observadores. O papel do guia pode tambm incluir o seguinte: testemunhar a auditoria em nome do auditado; fornecer esclarecimento ou ajuda na coleta de informaes.
6.4.6 Coletando e verificando informaes Convm que durante a auditoria, as informaes pertinentes aos objetivos, escopo e critrios da auditoria, incluindo informaes relativas s interfaces entre funes, atividades e processos, sejam coletadas por meio de amostragem apropriada e sejam verificadas. Convm que somente informao que seja verificvel seja aceita como evidncia de auditoria. Convm que as evidncias de auditoria que levam s constataes da auditoria, sejam registradas. Se durante a coleta de evidncias, a equipe de auditoria ficar ciente de riscos ou circunstncias novos ou modificados convm que estas constataes sejam consideradas apropriadamente pela equipe
NOTA 1 Diretrizes sobre amostragem so apresentadas na Seo B.3
A Figura 3 fornece uma viso geral do processo de uma auditoria desde a coleta de informaes at as concluses da auditoria.
31/62
Fontes de informao
Coletando por meio de amostragem apropriada
Evidncia da auditoria
Avaliando com base nos critrios da auditoria
Constataes da auditoria
Analisando criticamente
Concluses da auditoria Figura 3 Viso geral do processo de coleta e verificao de informaes Mtodos para coletar informaes incluem o seguinte: entrevistas; observaes; anlise crtica de documentos, incluindo registros.
NOTA 2 Diretrizes sobre fontes de informao so apresentadas na Seo B.5. NOTA 3 Diretrizes sobre visita aos locais do auditado so apresentadas na Seo B.6. NOTA 4 Diretrizes sobre como conduzir entrevistas so apresentadas na Seo B.7.
6.4.7 Gerando constataes de auditoria Convm que as evidncias de auditoria sejam avaliadas de acordo com os critrios de auditoria a fim de determinar as constataes da auditoria. Constataes da auditoria podem indicar tanto conformidade quanto no conformidade com os critrios de auditoria. Quando especificado pelo plano de auditoria, convm que as constataes de auditoria individual incluam a conformidade e boas prticas ao longo
das suas evidncias de apoio, oportunidades para melhoria e quaisquer recomendaes para o auditado. Convm que sejam registradas as no conformidades e as evidncias de auditoria que as suportam. No conformidades podem ser classificadas. Convm que elas sejam analisadas criticamente com o auditado para obter o reconhecimento de que a evidncia de auditoria precisa e que as no conformidades so entendidas. Convm que todo empenho seja feito para solucionar qualquer opinio divergente relativa s evidncias ou constataes da auditoria, e convm que sejam registrados os pontos no resolvidos. Convm que a equipe auditora atenda s necessidades para analisar criticamente as constataes de auditoria, em estgios apropriados durante a auditoria.
NOTA Diretrizes adicionais sobre a identificao e avaliao das constataes de auditoria so apresentadas na Seo B.8
6.4.8 Preparando as concluses da auditoria Convm que a equipe da auditoria se comunique anteriormente reunio de encerramento, para: a) analisar criticamente as constataes da auditoria e quaisquer outras informaes apropriadas coletadas durante a auditoria, de acordo com os seus objetivos; b) acordar quanto s concluses da auditoria, levando em conta a incerteza inerente ao processo de auditoria; c) preparar recomendaes, se especificado pelo plano de auditoria; d) discutir sobre a auditoria de acompanhamento, se aplicvel.
Concluses da auditoria podem apontar assuntos tais como: a abrangncia da conformidade com os critrios da auditoria e a robustez do sistema de gesto, incluindo a eficcia do sistema de gesto para atender os objetivos declarados; a implementao eficaz, manuteno e melhoria do sistema de gesto; a capacidade do processo de anlise crtica pela direo para assegurar a contnua pertinncia, adequao, eficcia e melhoria do sistema de gesto; o atingimento dos objetivos de auditoria, cobrindo o escopo de auditoria e atendendo o critrio de auditoria; causas raiz das constataes, se includo no plano da auditoria; constataes similares feitas em diferentes reas que foram auditadas com o propsito de identificar tendncias.
Se especificado pelo plano de auditoria, as concluses da auditoria podem conduzir a recomendaes para melhoria ou atividades futuras de auditoria.
33/62
6.4.9 Conduzindo a reunio de encerramento Convm que seja realizada uma reunio de encerramento pelo lder da equipe da auditoria, para apresentar as constataes e concluses da auditoria. Convm que a direo do auditado seja includa como participante na reunio de encerramento e, onde apropriado os responsveis pelas funes ou processos que foram auditados, podendo incluir o cliente da auditoria e outras partes. Se aplicvel, convm que o lder da equipe da auditoria alerte o auditado sobre situaes encontradas durante a auditoria, que podem diminuir a confiana colocada nas concluses da auditoria. Se for definido no sistema de gesto ou pelo acordo com o cliente da auditoria, convm que os participantes concordem com o prazo do plano de ao relativo s constataes da auditoria. Convm que o grau de detalhe seja consistente com a familiaridade do auditado com o processo da auditoria. Para algumas situaes da auditoria, a reunio pode ser formal e com atas, e convm que as listas de presena sejam guardadas. Em outras circunstncias, por exemplo, auditorias internas, a reunio de encerramento menos formal e pode consistir apenas da comunicao das constataes e das concluses da auditoria. Se apropriado, convm que os seguintes pontos sejam explicados ao auditado na reunio de encerramento: advertir que a evidncia da auditoria coletada foi baseada na amostragem das informaes disponveis; o mtodo de relato; o processo de manuseio das constataes da auditoria e possveis conseqncias; apresentao das concluses e constataes da auditoria de tal modo que elas sejam conhecidas e entendidas pela direo do auditado; quaisquer atividades relativas ps-auditoria (por exemplo, implementao de aes corretivas, tratamento de reclamaes de auditoria, processo de apelao)
Convm que quaisquer opinies divergentes relativas s concluses ou constataes da auditoria entre a equipe da auditoria e o auditado sejam discutidas e, se possvel, resolvidas. Se no forem resolvidas, convm que sejam registradas. Se especificado pelos objetivos da auditoria, podem ser apresentadas recomendaes para melhorias. Convm que seja enfatizado que as recomendaes no so obrigatrias.
6.5 Preparando e distribuindo o relatrio de auditoria

6.5.1 Preparando o relatrio de auditoria Convm que o lder de equipe da auditoria relate os resultados da auditoria de acordo com os procedimentos do programa de auditoria. Convm que o relatrio da auditoria fornea um registro completo, preciso, conciso e claro da auditoria, e que inclua ou se refira ao seguinte: a) os objetivos da auditoria;
34/62
b) o escopo da auditoria, particularmente a identificao das unidades organizacionais e funcionais ou os processos auditados; c) identificao do cliente da auditoria; d) identificao da equipe da auditoria e dos participantes do auditado na auditoria; e) as datas e locais onde as atividades da auditoria foram realizadas; f) os critrios da auditoria;
g) as constataes da auditoria e as evidncias relacionadas; h) as concluses da auditoria; i) uma declarao sobre o grau no qual os critrios de auditoria foram atendidos.
O relatrio da auditoria tambm pode incluir ou pode se referir ao seguinte, se apropriado: o plano de auditoria incluindo a programao; um resumo do processo de auditoria incluindo obstculos encontrados que possam diminuir a confiabilidade das concluses da auditoria; a confirmao de que os objetivos da auditoria foram atendidos dentro do escopo da auditoria e de acordo com o plano de auditoria; quaisquer reas dentro do escopo da auditoria no cobertas; um resumo cobrindo as concluses da auditoria e as principais constataes da auditoria que os suportam; quaisquer opinies divergentes e no resolvidas entre a equipe da auditoria e o auditado; oportunidades para melhoria, se especificado do plano de auditoria; boas prticas identificadas; o plano de ao de acompanhamento negociado, se existir; uma declarao da natureza confidencial dos contedos; quaisquer implicaes para o programa da auditoria ou auditorias subseqentes; a lista de distribuio do relatrio de auditoria.
O relatrio de auditoria pode ser desenvolvido antes da reunio de encerramento.
NOTA
35/62
6.5.2 Distribuindo o relatrio da auditoria Convm que o relatrio da auditoria seja emitido dentro de um perodo de tempo acordado. Se ele estiver atrasado, convm que as razes sejam comunicadas ao auditado e a pessoa que gerencia o programa de auditoria. Convm que o relatrio da auditoria seja datado, analisado criticamente e aprovado conforme apropriado, de acordo com os procedimentos do programa de auditoria. Convm que o relatrio de auditoria seja, ento, distribudo s pessoas conforme definido nos procedimentos de auditoria ou no plano de auditoria.
6.6 Concluindo a auditoria

A auditoria est concluda quando todas as atividades planejadas da auditoria forem realizadas, ou de outra forma acordadas com o cliente da auditoria (por exemplo, pode haver uma situao no esperada que impea a auditoria de ser concluda de acordo com o plano). Convm que os documentos pertencentes auditoria sejam retidos ou destrudos, conforme acordo entre as partes participantes e de acordo com os procedimentos do programa de auditoria e requisitos aplicveis. A menos que requerido por lei, convm que a equipe de auditoria e a pessoa que gerencia o programa de auditoria no revelem o contedo de documentos, quaisquer outras informaes obtidas durante a auditoria, ou o relatrio da auditoria, para qualquer outra parte, sem a aprovao explcita do cliente da auditoria e, onde apropriado, a aprovao do auditado. Se a revelao do contedo de um documento de auditoria for solicitada, convm que o cliente da auditoria e o auditado sejam informados o mais cedo possvel. Convm que lies aprendidas da auditoria sejam usadas no processo de melhoria continua do sistema de gesto das organizaes auditadas.
6.7 Conduzindo aes de acompanhamento da auditoria

As concluses da auditoria podem, dependendo dos objetivos da auditoria, indicar a necessidade para as correes ou aes corretivas, preventivas ou de melhoria. Tais aes so normalmente decididas e realizadas pelo auditado dentro de um perodo de tempo acordado. Se apropriado, convm que o auditado mantenha a pessoa que gerencia o programa de auditoria e a equipe auditora informada da situao dessas aes. Convm que sejam verificadas a completeza e a eficcia das aes. Esta verificao pode ser parte de uma auditoria subseqente.
7 Competncia e avaliao de auditores

7.1 Geral
A confiana no processo de auditoria e a capacidade para atender seus objetivos dependem da competncia dos indivduos que esto envolvidos no planejamento e na realizao das auditorias, incluindo os auditores e os lderes da equipe auditora. Convm que a competncia seja avaliada por meio de um processo que considere o comportamento pessoal e a capacidade para aplicar conhecimento e habilidades, obtidas por meio da educao, experincia no trabalho, treinamento de
auditor e experincia de auditoria. Convm que este processo leve em considerao as necessidades do programa de auditoria e seus objetivos. Alguns dos conhecimentos e habilidades descritos em 7.2.3 so comuns para auditores de quaisquer disciplinas de sistema de gesto; outros so especficos de disciplinas de sistema de gesto individual. No necessrio para cada auditor na equipe auditora ter a mesma competncia; entretanto, a competncia global da equipe da auditoria precisa ser suficiente para atingir os objetivos da auditoria. Convm que a avaliao da competncia do auditor seja planejada, implementada e documentada de acordo com o programa da auditoria, incluindo seus procedimentos para fornecer um resultado que seja objetivo, consistente, justo e confivel. Convm que o processo de avaliao inclua quatro passos mostrados a seguir: a) determinar a competncia do pessoal da auditoria para atender as necessidades do programa da auditoria; b) b) estabelecer o critrio de avaliao; c) c) selecionar o mtodo apropriado de avaliao; d) d) realizar a avaliao. Convm que o resultado do processo de avaliao fornea uma base para o seguinte: seleo dos membros da equipe auditora, conforme descrito em 5.4.4; determinao da necessidade para melhoria da competncia (por exemplo, treinamento adicional); avaliao contnua do desempenho dos auditores.
Convm que os auditores desenvolvam, mantenham e melhorem suas competncias atravs de um desenvolvimento profissional continuo e participao regular em auditorias (ver 7.6). Um processo para avaliao dos auditores e lderes da equipe auditora est descrito em 7.4 e 7.5. Convm que os auditores e os lderes da equipe auditora sejam avaliados com base nos critrios definidos em 7.2.2 e 7.2.3. A competncia requerida da pessoa que gerencia o programa de auditoria est descrita em 5.3.2.
7.2 Determinando competncia do auditor para atender s necessidades do programa da auditoria

7.2.1 Geral Ao decidir o conhecimento e habilidades apropriados requeridos do auditor, convm que sejam considerados o seguinte: o tamanho, natureza, e complexidade da organizao a ser auditada; as disciplinas do sistema de gesto a ser auditado;
37/62
os objetivos e a abrangncia do programa de auditoria; outros requisitos tais como aqueles impostos por entidades externas, onde apropriados; o papel do processo da auditoria no sistema de gesto do auditado; a complexidade do sistema de gesto a ser auditado; a incerteza em atingir os objetivos de auditoria.
Convm que esta informao seja alinhada com aquelas listadas em 7.2.3.2, 7.2.3.3 e 7.2.3.4 7.2.2 Comportamento pessoal Convm que os auditores possuam as qualidades necessrias para habilit-los a agir de acordo com os princpios de auditoria conforme descrito na Seo 4. Convm que os auditores demonstrem comportamento profissional durante o desempenho das atividades de auditoria, incluindo os seguintes: tico, isto , justo, verdadeiro, sincero, honesto e discreto; mente aberta, isto , disposto a considerar idias ou pontos de vista alternativos; diplomtico, isto , com tato para lidar com as pessoas; observador, isto , estar atento circunvizinhana e s atividades fsicas; perceptivo, isto , estar consciente e ser capaz de entender situaes; verstil, isto , ser capaz de prontamente se adaptar a diferentes situaes; tenaz, isto , persistente, focado em alcanar objetivos; decisivo, isto , ser capaz de chegar a concluses em tempo hbil, baseado em razes lgicas e anlise; autoconfiante, isto , ser capaz de agir e atuar independentemente, enquanto interage de forma eficaz com outros; agir com firmeza, isto , ser capaz de atuar de forma tica e responsvel, mesmo quando essas aes possam no ser sempre populares e possam algumas vezes resultar em desacordo ou confronto; aberto a melhorias, isto , aprender a partir das situaes e esforar-se para obter melhores resultados da auditoria; sensibilidade cultural, isto , observar e respeitar a cultura do auditado; colaborativo, isto , interagir de forma eficaz com outros, incluindo, os membros da equipe auditora e o pessoal do auditado.
38/62
7.2.3 Conhecimentos e habilidades 7.2.3.1 Geral Convm que os auditores possuam o conhecimento e habilidades necessrios para atender aos resultados pretendidos das auditorias que eles iro realizar. Convm que todos os auditores possuam conhecimentos e habilidades genricas e convm tambm que eles possuam conhecimentos e habilidades de disciplinas e setores especficos. Convm que os lderes da equipe auditora tenham conhecimento e habilidades adicionais necessrias para fornecer liderana equipe auditora. 7.2.3.2 Conhecimento e habilidades genricas de auditores de sistema de gesto Convm que os auditores tenham conhecimento e habilidades nas reas descritas abaixo: a) Princpios de auditoria, procedimentos e mtodos: conhecimento e habilidades nessa rea permite ao auditor aplicar os princpios apropriados, procedimentos e mtodos para diferentes auditorias, e para assegurar que as auditorias so realizadas de maneira consistente e sistemtica. Convm que um auditor seja capaz de fazer o seguinte: aplicar princpios, procedimentos e mtodos de auditoria; planejar e organizar o trabalho com eficcia; realizar a auditoria dentro da programao acordada; priorizar e enfocar os assuntos de importncia; coletar informaes atravs de entrevistas eficazes, escuta, observao e anlise crtica de documentos, registros e dados; entender e considerar opinies de especialistas; entender a convenincia e conseqncias de usar tcnicas de amostragem para auditar; verificar a relevncia e a preciso das informaes coletadas; confirmar a suficincia e convenincia da evidncia de auditoria para apoiar as constataes e concluses da auditoria; avaliar aqueles fatores que possam afetar a confiabilidade das constataes e concluses da auditoria; usar documentos de trabalho para registrar atividades de auditoria; documentar as constataes de auditoria e preparar os relatrios de auditoria apropriados; manter a confidencialidade e a segurana da informao, dados, documentos e registros; comunicar-se com eficcia, de forma oral e por escrito (tanto pessoalmente quanto pelo uso de interpretes e tradutores); entender os tipos de riscos associados com auditoria;
b) Sistema de gesto e documentos de referncia: conhecimento e habilidades nessa rea permite ao auditor compreender o escopo da auditoria e aplicar os critrios da auditoria, e convm que abranja o seguinte: normas do sistema de gesto ou outros documentos usados como critrio de auditoria; a aplicao de normas do sistema de gesto pelo auditado e outras organizaes, conforme apropriado; interao entre os componentes do sistema de gesto; reconhecimento da hierarquia dos documentos de referncia; aplicao de documentos de referncia a diferentes situaes de auditoria.
c) Contexto organizacional: conhecimentos e habilidades nesta rea permitem ao auditor compreender a estrutura do auditado, prticas de gesto e do negcio e convm que abranja o seguinte: tipos organizacionais, governana, tamanho, estrutura, funes e relacionamentos; conceitos de gesto e negcios em geral, processos e terminologia relacionada, incluindo planejamento, oramento e gesto de pessoal; aspectos culturais e sociais do auditado.
d) Requisitos legais e contratuais aplicveis e outros requisitos que se aplicam ao auditado: conhecimento e habilidades nessa rea permite ao auditor estar consciente de, e trabalhar de acordo com os requisitos legais e contratuais da organizao. Conhecimentos e habilidades especficas para a jurisdio ou para os produtos e atividades do auditado, convm que abranja o seguinte: leis e regulamentaes e as agncias que governam; terminologia legal bsica; responsabilidade civil pelo fato do produto e contratao.
7.2.3.3 Conhecimento e habilidades de setores especficos e de disciplinas de auditores de sistema de gesto Convm que os auditores tenham conhecimento e habilidades da disciplina e do setor especfico que sejam apropriados para auditar o tipo particular do sistema de gesto e setor. No necessrio, para cada auditor na equipe auditora, ter a mesma competncia; entretanto a competncia global da equipe auditora precisa ser suficiente para atender os objetivos da auditoria. Conhecimento e habilidades dos auditores na disciplina e setor especfico inclui o seguinte: requisitos e princpios do sistema de gesto da disciplina especfica e suas aplicaes;
40/62
requisitos legais pertinentes para a disciplina e o setor, de tal modo que o auditor esteja consciente dos requisitos especficos para a jurisdio e as obrigaes do auditado, suas atividades e produtos; requisitos de partes interessadas pertinentes para a disciplina especfica; fundamentos da disciplina e a aplicao de negcios e mtodos tcnicos especfico da disciplina, tcnicas, processos e prticas suficientes para permitir ao auditor examinar o sistema de gesto e gerar concluses e constataes da auditoria apropriada; conhecimento especfico de disciplina relativo ao setor em particular, natureza de operaes ou local de trabalho que est sendo auditado, suficiente para o auditor avaliar as atividades do auditado, processos, produtos, bens e servios; princpios de gesto de risco, mtodos e tcnicas pertinentes para a disciplina e setor de tal modo que o auditor possa avaliar e controlar os riscos associados ao programa de auditoria.
NOTA Diretrizes e exemplos ilustrativos de conhecimentos e habilidades de disciplina especfica dos auditores so fornecidos no Anexo A.
7.2.3.4 Conhecimento e habilidades genricas de um lder da equipe da auditoria Convm que os lderes da equipe de auditoria tenham habilidades e conhecimentos adicionais para gerenciar e prover liderana a equipe auditora, a fim de facilitar a eficcia e eficincia na realizao da auditoria. Convm que o lder de uma equipe auditora tenha conhecimento e habilidades necessrios para fazer o seguinte: a) balano das foras e fraquezas dos membros individuais da equipe auditora; b) desenvolver um trabalho harmonioso de relacionamento entre os membros da equipe auditora; c) gerenciar o processo de auditoria, incluindo: planejamento da auditoria fazendo uso eficaz dos recursos durante a auditoria; gerenciamento das incertezas em atingir os objetivos da auditoria; proteo da sade e segurana dos membros da equipe auditora durante a auditoria, incluindo a garantia da conformidade dos auditores com os requisitos de sade, segurana do trabalho e segurana fsica pertinentes; organizao e orientao aos membros da equipe auditora; fornecimento de diretrizes e orientao para os auditores em treinamento; preveno e resoluo de conflitos, se necessrio.
a) Representar a equipe auditora nas comunicaes com a pessoa que gerencia o programa de auditoria, o cliente da auditoria e o auditado; b) e) Conduzir a equipe auditora para alcanar as concluses da auditoria;
41/62
c) f) preparar e concluir o relatrio da auditoria. 7.2.3.5 Conhecimento e habilidades para auditoria de sistemas de gesto considerando mltiplas disciplinas Os auditores que pretendem participar como um membro da equipe auditora em auditoria de sistemas de gesto que considere mltiplas disciplinas, convm que eles tenham a competncia necessria para auditar pelo menos uma das disciplinas do sistema de gesto e tenham um entendimento da interao e sinergia entre os diferentes sistemas de gesto. Convm que os lderes da equipe auditora que realizam auditorias de sistemas de gesto contendo mltiplas disciplinas, entendam os requisitos de cada uma das normas do sistema de gesto e reconheam os limites de seus conhecimentos e habilidades em cada uma das disciplinas. 7.2.4 Atingindo a competncia do auditor Os conhecimentos e habilidades do auditor podem ser adquiridos usando uma combinao dos seguintes itens: experincia e treinamento/educao formal que contribua para o desenvolvimento do conhecimento e habilidades no setor e na disciplina do sistema de gesto que o auditor pretende auditar; programas de treinamento que cubram habilidades e conhecimentos genricos do auditor; experincia em uma posio tcnica, profissional ou gerencial pertinente que envolva o exerccio de julgamento, tomada de deciso, soluo de problemas e comunicao com gerentes, profissionais, pares, clientes e outras partes interessadas; experincia de auditoria adquirida sob a superviso de um auditor na mesma disciplina.
7.2.5 Lderes de equipe de auditoria Convm que um lder de equipe de auditoria tenha adquirido experincia adicional em auditoria para desenvolver o conhecimento e habilidades descritos em 7.2.3. Convm que essa experincia adicional tenha sido adquirida pelo trabalho sob a direo e orientao de um lder da equipe auditora diferente.
7.3 Estabelecendo critrios para avaliao do auditor

Convm que o critrio seja qualitativo (tais como ter demonstrado comportamento pessoal, conhecimento ou desempenho de habilidades, seja em treinamento ou em local de trabalho) e quantitativo (tais como anos de experincia de trabalho e educao, nmero de auditorias realizadas, horas de treinamento de auditoria).
7.4 Selecionando o mtodo apropriado de avaliao do auditor

Convm que a avaliao seja conduzida usando dois ou mais dos mtodos selecionados, daqueles contidos na tabela 2. Ao usar a tabela 2, convm que seja observado o seguinte: os mtodos descritos representam uma gama de opes e podem no ser aplicados em todas as situaes; os vrios mtodos descritos podem diferenciar quanto a sua confiabilidade;
convm que uma combinao de mtodos seja usada para assegurar um resultado que seja objetivo, consistente, justo e confivel. Tabela 2 Possveis mtodos de avaliao Mtodo de avaliao Objetivos Verificar a formao profissional do auditor Exemplos Anlises de registros de educao, treinamento, emprego, credenciais e experincia em auditoria Pesquisas, questionrios, referencias pessoais, testemunhos, reclamaes, avaliao de Desempenho,anlise crtica pelos pares Entrevista pessoal
Anlise crtica dos registros
Realimentao
Fornecer informaes sobre como o desempenho do auditor percebido
Entrevista
Avaliar o comportamento pessoal e a habilidade em comunicao para verificar informaes e testar conhecimentos e para adquirir informaes adicionais Avaliar o comportamento pessoal e a capacidade para aplicar conhecimento e habilidade Avaliar o comportamento pessoal, conhecimentos e habilidades, e a sua aplicao Fornecer informaes sobre o desempenho do auditor durante a atividade de auditoria, identificar foras e fraquezas
Observao
Desempenho de papel, auditorias de testemunho e desempenho no trabalho Testes orais e escritos, testes psicomtricos ou psicotestes Anlise crtica do relatrio da auditoria entrevista com o auditor lder, a equipe auditora e, se apropriado, realimentao do auditado
Exames
Anlise crtica ps auditoria
7.5 Conduzindo a avaliao do auditor

Convm que a informao coletada sobre a pessoa seja comparada com base no critrio estabelecido em 7.2.3. Quando uma pessoa tem a expectativa de participar em um programa de auditoria, mas no preenche os critrios, convm que treinamento adicional, trabalho ou experincia em auditoria seja realizado e uma subseqente reavaliao seja desempenhada.
7.6 Mantendo e melhorando a competncia do auditor

Convm que os auditores e lderes da equipe auditora melhorem continuamente suas competncias. Convm que os auditores mantenham suas competncias em auditoria por meio de uma participao regular nas auditorias dos sistemas de gesto e no desenvolvimento profissional contnuo. Desenvolvimento profissional contnuo envolve a manuteno e a melhoria de competncia. Isto pode ser atingido por vrias maneiras, como por exemplo, experincia adicional de trabalho, treinamento,
estudos particulares, liderana, participao em reunies, seminrios e conferncias ou outras atividades pertinentes. Convm que a pessoa que gerencia o programa de auditoria estabelea mecanismos adequados para a avaliao contnua do desempenho dos auditores e dos lderes da equipe auditora. Convm que as atividades de desenvolvimento profissional contnuo levem em considerao o seguinte: mudanas nas necessidades do indivduo e da organizao responsvel por realizar a auditoria; a prtica de auditoria; normas pertinentes e outros requisitos.
44/62
Anexo A (Informativo)
Diretrizes e exemplos ilustrativos de conhecimentos e habilidades de auditores de disciplinas especficas

A.1 Geral
Este anexo fornece exemplos genricos de conhecimento e habilidades de auditores de disciplinas especficas de sistemas de gesto, os quais so usados como orientao para apoiar a pessoa que gerencia o programa de auditoria para selecionar ou avaliar os auditores. Outros exemplos de conhecimento e habilidades de auditores de disciplinas especficas podem tambm ser desenvolvidos para sistemas de gesto. recomendado que, onde possvel, tais exemplos sigam a mesma estrutura geral para assegurar a compatibilidade.
A.2 Exemplo ilustrativo de conhecimento e habilidades de auditores de disciplina especfica em gesto na segurana de transporte
Convm que conhecimento e habilidades relacionados gesto na segurana de transportes e a aplicao de prticas, processos, tcnicas e mtodos de gesto da segurana do transporte sejam suficientes para permitir o auditor examinar o sistema de gesto e gerar concluses e constataes de auditoria apropriada. So exemplos de conhecimento e habilidades: terminologia sobre gesto de segurana; entendimento sobre abordagem de sistema de segurana; avaliao de risco e sua mitigao; anlise de fatores humanos relacionados gesto da segurana no transporte; interao e comportamento humano; interao de processos, mquinas, pessoas e do ambiente do trabalho; danos potenciais e outros fatores no local de trabalho que afetem a segurana; mtodos e prticas para investigao de incidentes e monitoramento do desempenho de segurana; avaliao de incidentes e acidentes operacionais; desenvolvimento proativo e reativo sobre o desempenho de mtricas e medidas.
45/62
NOTA Para informaes adicionais, ver a futura norma ISO 39001 desenvolvida pelo Comit ISO/PC 241 sobre sistemas de gesto de segurana no trfego rodovirio.
A.3 Exemplo ilustrativo de conhecimento e habilidades de auditores de disciplina especfica em gesto do meio ambiente
Convm que conhecimento e habilidades relacionados disciplina e a aplicao de prticas, processos, tcnicas e mtodos de disciplinas especficas sejam suficientes para permitir ao auditor examinar o sistema de gesto e gerar concluses e constataes de auditoria apropriada. So exemplos de conhecimento e habilidades: terminologia sobre meio ambiente; estatsticas e mtricas sobre meio ambiente; tcnicas de monitoramento e cincia de medies; interao de ecossistemas e biodiversidade; mdia ambiental (por exemplo, ar, gua, terra, fauna e flora); tcnicas para determinao do risco (por exemplo, avaliao de aspectos/impactos ambientais, incluindo mtodos para a avaliao de significncia) avaliao do ciclo de vida; avaliao do desempenho ambiental; controle e preveno de poluio (por exemplo, melhores tcnicas disponveis para o controle da poluio ou eficincia energtica); reduo na fonte, minimizao de resduos, reuso, reciclagem e prticas e processos de tratamento; uso de substncias perigosas; quantificao e gesto de emisses de gases de efeito estufa; gesto de recursos naturais (por exemplo, combustveis fsseis, gua, flora, fauna e terra); projetos ambientais; divulgao e relatos ambientais; gesto cuidadosa de produtos; tecnologias renovveis e de baixo carbono.
NOTA Para informaes adicionais ver normas desenvolvidas pelo Comit ISO/TC 207 sobre gesto ambiental
46/62
A.4 Exemplo ilustrativo de conhecimento e habilidades de auditores de disciplinas especficas em gesto da qualidade
Convm que conhecimento e habilidades relacionados disciplina e a aplicao de prticas, processos, tcnicas e mtodos de disciplinas especficas sejam suficientes para permitir ao auditor examinar o sistema de gesto e gerar concluses e constataes de auditoria apropriada. So exemplos de conhecimento e habilidades: terminologia relativa qualidade, gesto, organizao, processo e produto, caractersticas, conformidade, documentao, processos de medio e auditoria; foco no cliente, processos relacionado ao cliente, monitoramento e medio da satisfao do cliente, tratamento de reclamaes, cdigo de conduta e resoluo de divergncias; liderana papel da alta direo, gerenciamento para o sucesso sustentvel de uma organizao; enfoque da gesto da qualidade, gerao de benefcios financeiros e econmicos por meio da gesto da qualidade, sistemas de gesto da qualidade e modelos de excelncia; envolvimento de pessoas, fatores humanos, competncia, treinamento e conscientizao; abordagem por processos, anlise de processo, tcnicas de controle e capabilidade, mtodos de tratamento de riscos; abordagem de sistemas para gesto (justificativa de sistema de gesto da qualidade e outros sistemas de gesto, documentao de sistema de gesto da qualidade), tipos e valores, projetos, planos de qualidade e gesto de configurao; melhoria contnua, inovao e aprendizado; enfoque baseado em fatos para tomada de deciso, tcnicas de avaliao de riscos (identificao de risco, anlise e avaliao), avaliao da gesto da qualidade (auditoria, anlise critica e autoavaliao), tcnicas de medio e monitoramento, requisitos para processo de medio e equipamentos de medio, anlise da causa raiz, tcnicas estatsticas; caractersticas de processos e produtos, incluindo servios; benefcios mtuos na relao com fornecedores, requisitos de sistema de gesto da qualidade e requisitos para produtos, requisitos particulares para gesto da qualidade de diferentes setores.
NOTA Para informaes adicionais ver normas relacionadas desenvolvidas pelo Comit ISO/TC 176 sobre gesto da qualidade.
A.5 Exemplo ilustrativo de conhecimento e habilidades de auditores de disciplinas especficas em gesto de registros
Convm que conhecimento e habilidades relacionados disciplina e a aplicao de prticas, processos, tcnicas e mtodos de disciplinas especficas sejam suficientes para permitir ao auditor examinar o sistema de gesto e gerar concluses e constataes de auditoria apropriada. So exemplos de conhecimento e habilidades:
registros, processos de gesto de registros e sistemas de gesto para terminologia de registros; desenvolvimento do desempenho de mtricas e medies; investigao e avaliao de prticas de registros por meio de entrevistas, observao e validao; anlise de amostras de registros criados nos processos de negcios. Caractersticas chave de registros, sistemas de registros, controles e processos de registros; avaliao de risco (por exemplo, avaliao de riscos decorrentes de falha para criar, manter e controlar os registros de forma adequada dos processos de negcios da organizao); o desempenho e adequao dos processos de registros para criar, capturar e controlar os registros; avaliao da adequao e desempenho de sistemas de registros (incluindo sistemas de negcios para criar e controlar os registros), a pertinncia de ferramentas tecnolgicas usadas, instalaes e equipamentos estabelecidos; avaliao dos diferentes nveis de competncia na gesto de registros requeridos em toda a organizao e a avaliao desta competncia; importncia do contedo, contexto, estrutura, representao e informao de controle (metadados) requerido para definir e gerenciar os registros e os sistemas de registros; mtodos para desenvolver instrumentos especficos de registros; tecnologias usadas para criao, captura, converso e migrao na preservao de longo tempo dos registros eletrnicos e digitais; identificao e importncia da documentao de autorizao para os processos de registros.
NOTA Para informaes adicionais ver normas relacionadas desenvolvidas pelo Comit ISO/TC 46/SC 11 sobre gesto de registros
A.6 Exemplo ilustrativo de conhecimento e habilidades de auditores de disciplinas especficas em resiliencia, segurana, prontido e gesto da continuidade
Convm que conhecimento e habilidades relacionados disciplina e a aplicao de prticas, processos, tcnicas e mtodos de disciplinas especficas sejam suficientes para permitir ao auditor examinar o sistema de gesto e gerar concluses e constataes de auditoria apropriada. So exemplos de conhecimento e habilidades: processos, cincia e tecnologia baseados na gesto da resiliencia, segurana fsica, prontido, resposta, continuidade e recuperao; mtodos para o monitoramento e uso da inteligncia; gerenciamento de riscos de eventos que causam transtornos (antecipar, evitar, prevenir, proteger, mitigar, responder e recuperar a partir de um evento que causa transtorno);
avaliao de risco (valorao e identificao do ativo; avaliao, anlise e identificao de risco) e anlise de impacto (relativo a pessoas, ativos fsicos e intangveis, bem como ao meio ambiente); tratamento do risco (medidas adaptativas, proativas e reativas); mtodos e prticas relativas sensibilidade e integridade da informao; mtodos para segurana pessoal e a proteo das pessoas; mtodos e prticas para proteo de ativos e segurana fsica; mtodos e prticas para a gesto da preveno, intimidao e segurana fsica; mtodos e prticas para mitigao de incidentes, respostas e gesto de crise; mtodos e prticas para a gesto da continuidade, emergncia e recuperao; mtodos e prticas para monitoramento, medio e relato do desempenho (incluindo metodologias de teste e exerccio).
NOTA Para informaes adicionais ver normas relacionadas desenvolvidas pelos comits ISO/TC 8, ISO/TC 223 e ISO/ TC 247 sobre gesto da resiliencia, segurana, prontido e da continuidade.
A.7 Exemplo ilustrativo de conhecimento e habilidades de auditores de disciplinas especficas em gesto da segurana da informao
Convm que conhecimento e habilidades relacionados disciplina e a aplicao de prticas, processos, tcnicas e mtodos de disciplinas especficas sejam suficientes para permitir ao auditor examinar o sistema de gesto e gerar concluses e constataes de auditoria apropriada. So exemplos de conhecimento e habilidades: diretrizes sobre normas tais como ISO IEC 27000, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005; identificao e avaliao de requisitos dos clientes e partes interessadas; leis e regulamentaes que tratam da segurana da informao (por exemplo, propriedade intelectual, contedo, proteo e reteno de registros da organizao, proteo e privacidade de dados, regulamentao de controles criptogrficos, anti-terrorismo, comercio eletrnico, assinaturas digital e eletrnicas, avaliao do ambiente de trabalho, ergonomia no ambiente de trabalho, interceptao da telecomunicao e monitoramento de dados (por exemplo, email, uso abusivo do computador, coleta de evidncia eletrnica, teste de penetrao, etc); processos, tecnologia e cincia baseada na gesto da segurana da informao; avaliao de risco (identificao, analise e avaliao) e tendncias na tecnologia, ameaas e vulnerabilidades; gesto de risco de segurana da informao; mtodos e praticas para controles da segurana da informao (eletrnico e fsico);
mtodos e prticas para a sensibilidade e integridade da informao; mtodos e prticas para medio e avaliao da eficcia do sistema de gesto da segurana da informao e dos controles associados; mtodos e prticas para medio, monitoramento e registros de desempenho (incluindo testes, auditorias e anlises crticas).
NOTA Para informaes adicionais ver normas relacionadas desenvolvidas pelo comit ISO/IEC JTC1 SC27 sobre gesto da segurana da informao.
A.8 Exemplo ilustrativo de conhecimento e habilidades de auditores de disciplinas especficas em gesto da segurana e sade ocupacional
A.8.1 Habilidades e conhecimentos gerais
Convm que conhecimento e habilidades relacionados disciplina e a aplicao de prticas, processos, tcnicas e mtodos de disciplinas especficas sejam suficientes para permitir ao auditor examinar o sistema de gesto e gerar concluses e constataes de auditoria apropriada. So exemplos de conhecimento e habilidades: identificao de danos, incluindo aqueles fatores que afetam o desempenho humano no ambiente de trabalho (tais como fatores fsicos, qumicos e biolgicos, bem como gnero, idade, deficincia ou outros fatores de sade ou psicolgicos); avaliao de risco, determinao de controles e comunicao do risco [convm que a determinao de controles seja baseada na hierarquia de controles (ver OHSAS 18001:2007, 4.3.1)]; avaliao de fatores humanos e de sade (incluindo fatores psicolgicos e fisiolgicos) e os princpios para avali-los; mtodos para monitoramento de exposio e avaliao dos riscos da sade e segurana ocupacional (incluindo aqueles oriundos de fatores humanos mencionados acima ou relativos a higiene ocupacional) e relativos a estratgias para eliminar ou minimizar tais exposies; comportamento humano, interaes pessoa a pessoa e interao de pessoas com equipamentos, processos e ambiente de trabalho (incluindo local de trabalho, princpios ergonmicos e de projeto seguro, tecnologia da informao e comunicao) avaliao de diferentes tipos e nveis da competncia da segurana e sade ocupacional requerida em toda a organizao e avaliao desta competncia; mtodos para encorajar o envolvimento e a participao dos integrantes da fora de trabalho; mtodos para encorajar a sade dos integrantes da fora de trabalho, o bem estar e a autoresponsabilidade (em relao ao fumo, drogas, lcool, questes relativas ao peso, exerccio fsico, estresse, comportamento agressivo, etc.), tanto durante ao trabalho quanto na sua vida privada; o desenvolvimento, uso e avaliao do desempenho de mtricas e medies proativas e reativas;
50/62
princpios e prticas para identificar situaes potenciais de emergncia e para o planejamento, preveno, resposta e recuperao depois da emergncia; mtodos para avaliao e investigao de incidentes (incluindo acidentes e doenas relativas ao trabalho); determinao e uso de informaes relacionadas sade (incluindo exposio relacionada ao trabalho e monitoramento de dados de doenas), dando especial ateno a confidencialidade de aspectos particulares destas informaes; entendimento de informaes mdicas (incluindo terminologia mdica suficiente para entender dados relativos preveno de danos e doenas); sistemas de valores de limite de exposio ocupacional; mtodos para monitoramento e relato sobre desempenho de sade ocupacional e segurana; entendimento de requisitos legais e outros requisitos pertinentes para a segurana e sade ocupacional para permitir ao auditor avaliar o sistema de gesto de segurana e sade ocupacional;
A.8.2 Conhecimento e habilidades relacionadas ao setor que est sendo auditado

Convm que conhecimento e habilidades relativas ao setor que esta sendo auditado seja suficiente para permitir o auditor examinar o sistema de gesto dentro do contexto do setor e gerar concluses e constataes da auditoria apropriadas. So exemplos de conhecimento e habilidades: processos, equipamentos, matrias-primas, substancias perigosas, ciclos de processos, manuteno, logstica, fluxograma organizacional, praticas de trabalho, programao de turno, cultura organizacional, liderana, comportamento e outros aspectos especficos da operao ou do setor; riscos e perigos tpicos incluindo fatores humanos e de sade para o setor;
NOTA 1:Para informaes adicionais ver normas relacionadas desenvolvidas pelo grupo de projeto da OHSAS, sobre gesto de segurana e sade ocupacional. NOTA 2 DA ABNT:Para informaes adicionais ver a norma ABNT NBR 18801 referente a sistema de gesto da segurana e sade no trabalho.
51/62
Anexo B
(Informativo)
Diretrizes adicionais para auditores para planejamento e realizao de auditorias B.1 Aplicando mtodos de auditoria
Uma auditoria pode ser realizada usando uma variedade de mtodos de auditoria. Uma explicao dos mtodos mais comuns usados em auditoria pode ser encontrada neste anexo. Os mtodos de auditoria escolhidos para uma auditoria dependem dos objetivos da auditoria definidos, do escopo e critrios, bem como da durao e localizao. Convm que a disponibilidade de auditor com competncia e qualquer incerteza que surja da aplicao dos mtodos de auditoria sejam considerados. Aplicando uma variedade e combinao de diferentes mtodos de auditoria, pode otimizar a eficincia e eficcia do processo de auditoria e do seu resultado. O desempenho de uma auditoria envolve uma interao entre indivduos com o sistema de gesto que esta sendo auditado e a tecnologia usada para realizar a auditoria. A tabela B.1 fornece exemplos de mtodos de auditoria que podem ser usados, de maneira nica ou combinados, para atingir os objetivos da auditoria. Se uma auditoria envolve o uso de uma equipe de auditoria com mltiplos membros, tanto mtodos, no local e remoto, podem ser usados simultaneamente.
NOTA Informaes adicionais sobre visitas no local dada na Seo B.6.
52/62
Tabela B.1 Mtodos de auditoria aplicveis Abrangncia do envolvimento entre o auditor e o auditado Interao humana Localizao do auditor No local Realizando entrevistas. Completando lista de verificaes e questionrios com a participao do auditado. Realizando anlise crtica dos documentos com a participao do auditado. Amostragem - Realizando anlise crtica dos documentos com a participao do auditado (ex: registros, anlise de dados) - Observando o trabalho realizado - Realizando a visita no local - Completando listas de verificao - Amostragem (p. ex: produtos) Remota Por meio de comunicao interativa: - Realizando entrevistas. - Completando lista de verificao e questionrios. - Realizando anlise crtica documental com a participao do auditado.
Sem interao humana
Realizando anlise crtica documental (ex: registros, anlise de dados) - Observando o trabalho realizado por meio de monitoramento, levando-se em conta requisitos sociais e legais. - Analisando dados
Atividades de auditoria no local so realizadas na localidade do auditado. Atividades de auditoria remota so realizadas em qualquer local que no o local do auditado, independentemente da distncia. Atividade de auditoria interativa envolve a interao entre as pessoas da organizao auditada e a equipe auditora. Atividades de auditoria no interativa no envolvem interao humana com pessoas que representam o auditado, mas envolve interao com equipamento, instalaes e documentao.
A responsabilidade da aplicao efetiva dos mtodos de auditoria para quaisquer auditorias no estgio do planejamento, permanece ou com a pessoa que gerencia o programa de auditoria ou com o lder da equipe auditora. O lder da equipe auditora tem esta responsabilidade para realizar as atividades de auditoria. A viabilidade das atividades de auditoria remota pode depender do nvel de confiana entre o auditor e o pessoal auditado. No nvel do programa de auditoria, convm que seja assegurado que o uso de mtodos de auditoria remota ou no local seja adequado e balanceado, para assegurar um atingimento satisfatrio dos objetivos do programa de auditoria.
B.2 Realizando anlise critica da documentao

Convm que os auditores considerem se: a informao contida nos documentos disponibilizados :
completa (todo contedo esperado est contido no documento); correta (o contedo est em conformidade com outras fontes confiveis, tais como normas e regulamentaes); consistente (o documento consistente em si e com documentos relacionados); atual (o contedo est atualizado); o documento que est sendo analisado criticamente cobre o escopo da auditoria e prov informao suficiente para apoiar os objetivos de auditoria; o uso de tecnologias de comunicao e informao, dependendo dos mtodos de auditoria, promove uma eficiente realizao da auditoria: cuidado especfico necessrio para a segurana da informao devido a regulamentaes aplicveis sobre proteo de dados (em particular para informaes que permanecem fora do escopo da auditoria, mas que esto tambm contidas no documento).
NOTA Anlise critica do documento pode dar uma indicao da eficcia do controle de documento no sistema de gesto do auditado.
B.3 Amostragem
B.3.1 Geral
Amostragem de auditoria realizada quando no prtico ou oneroso examinar todas as informaes disponveis durante uma auditoria, por exemplo, registros so muitos numerosos ou muito dispersos geograficamente para justificar o exame de cada item na populao. Amostragem de auditoria de uma grande populao o processo de selecionar menos de 100% de itens dentro do conjunto total de dados disponveis (populao) para obter e avaliar a evidncia sobre alguma caracterstica daquela populao a fim de formar uma concluso com relao populao. O objetivo da amostragem de auditoria prover informao para o auditor ter confiana de que os objetivos de auditoria podem ou sero atingidos. O risco associado com amostragem que as amostras podem no ser representativas da populao das quais elas so selecionadas, e ento as concluses do auditor podem ser tendenciosas e diferentes daquelas que seriam alcanadas se a populao inteira fosse examinada. Podem existir outros riscos dependendo da variabilidade dentro da populao a ser amostrada e do mtodo escolhido. Amostragens de auditoria tipicamente consideram os seguintes passos: estabelecendo os objetivos do plano de amostragem; selecionando a abrangncia e composio da populao a ser amostrada; selecionando um mtodo de amostragem; determinando o tamanho da amostra a ser realizada; conduzindo atividade de amostragem;
54/62
compilando, avaliando, reportando e documentando os resultados.
Quando da amostragem, convm que considerao seja dada a qualidade dos dados disponveis, uma vez que amostragem insuficiente e dados imprecisos no fornecero resultado til. Convm que a seleo de uma amostra apropriada seja baseada tanto no mtodo de amostragem como no tipo de dados requeridos, por exemplo, para inferir um comportamento particular modelo ou obter inferncias ao longo de uma populao. Um relato sobre a amostra selecionada pode levar em considerao o tamanho da amostra, mtodo de seleo e estimativas feitas em base na amostra e no nvel de confiana. Auditorias podem tanto ser usadas em amostragem baseada no julgamento (ver B 5.2) ou em amostragem estatstica (ver B.5.3).
B.3.2 Amostragem baseada no julgamento

Amostragem baseada no julgamento depende de conhecimento, habilidade e experincia da equipe auditora (ver Seo 7). Para amostragem baseada em julgamento, convm que seja considerado o seguinte: experincia anterior de auditoria dentro do escopo da auditoria; complexidade de requisitos (incluindo requisitos legais) para atingir os objetivos de auditoria; complexidade e interao dos processos da organizao e dos elementos do sistema de gesto; grau de mudana na tecnologia, fator humano ou sistema de gesto; identificao previa, de reas de risco crticas e de reas para melhoria; resultado de monitoramento de sistemas de gesto.
Um obstculo para a amostragem baseada em julgamento que pode no existir uma estimativa estatstica do efeito da incerteza nas constataes da auditoria ou nas concluses alcanadas.
B.3.3 Amostragem estatstica

Se a deciso fazer uso de amostragem estatstica, convm que o plano de amostragem seja baseado nos objetivos da auditoria e no que conhecido sobre as caractersticas da populao global, das quais as amostras sero tomadas. O projeto de amostragem estatstica utiliza um processo de seleo de amostras baseado na teoria da probabilidade. Amostragem baseada em atributo usada quando existem apenas dois possveis resultados para cada amostra (por exemplo, certo/errado ou aprovado/reprovado). Amostragem baseada em varivel usada quando o resultado da amostra ocorre em um intervalo contnuo. Convm que o plano de amostragem leve em considerao se o resultado que est sendo examinado tem possibilidade de ser baseado em um atributo ou baseado em uma varivel. Por exemplo, quando avaliando a conformidade dos formulrios preenchidos com os requisitos estabelecidos em um procedimento,pode ser usada uma abordagem baseada em atributo. Quando
55/62
examinando a ocorrncia de incidentes de segurana de alimentos ou do nmero de violaes da segurana da informao, uma abordagem baseada em varivel provavelmente mais apropriada. os elementos chave que iro afetar o plano de amostragem de auditoria so: o tamanho da organizao; o nmero de auditores qualificados; a freqncia de auditorias durante o ano; o tempo da auditoria em particular; quaisquer nveis de confiana requerido externamente. Quando um plano de amostragem estatstico desenvolvido, o nvel de risco da amostra que o auditor est disposto a aceitar, uma considerao importante a ser avaliada. Isto sempre referido como nvel de confiana aceitvel. Por exemplo, um risco de amostragem de 5% corresponde a um nvel de confiana aceitvel de 95%. Um risco de amostragem de 5% significa que o auditor est disposto a aceitar o risco de 5 em um total de 100 (ou 1 em 20) de amostras examinadas que no afetaro os valores reais que seriam vistos caso a populao inteira fosse examinada. Quando uma amostra estatstica usada, convm que os auditores documentem apropriadamente o trabalho realizado. Convm que isto inclua uma descrio da populao que est sendo amostrada, o critrio de amostragem usado para a avaliao (por exemplo, o que uma amostra aceitvel), mtodos e parmetros estatsticos que foram usados, o nmero de amostras avaliadas e resultados obtidos.
B.4 Preparando documentos de trabalho

Quando da preparao de documentos de trabalho, convm que a equipe auditora considere as seguintes questes para cada documento: a) Quais registros da auditoria sero criados pelo uso deste documento de trabalho? b) Quais atividades da auditoria so afetadas por esse documento de trabalho em particular? c) Quem ser o usurio deste documento de trabalho? d) Quais informaes so necessrias para preparar este documento de trabalho? Para auditorias combinadas, convm que os documentos de trabalho sejam desenvolvidos para evitar duplicao de atividade de auditoria devido a: agrupamento de requisitos similares oriundos de critrios diferentes; coordenao do contedo de listas de verificao e questionrios relacionados.
Convm que os documentos de trabalho sejam adequados para contemplar todos aqueles elementos do sistema de gesto dentro do escopo da auditoria e pode ser fornecido em qualquer meio.
B.5 Selecionando fontes de informao

As fontes de informao selecionadas podem variar de acordo com o escopo e complexidade da auditoria e podem incluir o seguinte: entrevistas com o empregado e outras pessoas; observaes de atividades e ambiente de trabalho ao redor, incluindo condies; documentos, tais como polticas, objetivos, planos, procedimentos, normas, instrues, licenas e permisses, especificaes, desenhos, contratos e ordens de compra; registros, tais como registros de inspeo, atas de reunies, relatrios de auditoria, registros de programas de monitoramento e os resultados de medies; dados sumarizados, anlises e indicadores de desempenho; informaes sobre os planos de amostragem do auditado e sobre os procedimentos para controle de amostragem e processos de medio; relatrios de outras fontes, por exemplo, realimentao dos clientes (feedback), medies e pesquisas externas, outras informaes pertinentes de partes externas e classificao de fornecedores; base de dados e sites; simulao e modelagem.
B.6 Diretrizes sobre a visita no local do auditado

Para minimizar a interferncia entre as atividades de auditoria e os processos de trabalho do auditado, e para assegurar a segurana e sade ocupacional da equipe auditora durante a visita, convm que seja considerado o seguinte: a) Planejamento da visita: assegurar permisso e acesso aquelas partes da localidade do auditado a serem visitadas, de acordo com o escopo da auditoria; prover informaes adequadas (por exemplo, apresentao da empresa) aos auditores sobre segurana, sade (por exemplo, quarentena), assuntos de segurana fsica e sade no trabalho e normas culturais para visita incluindo solicitao e recomendao para vacinao e permisses, se aplicado; confirmar com o auditado que quaisquer requisitos de equipamento de proteo individual (EPI) estar disponvel para equipe auditora, se aplicvel; exceto para as auditorias ad hoc no planejadas, assegurar que o pessoal que est sendo visitado ser informado sobre o escopo e objetivos da auditoria; Atividades no local da auditoria:
b)
evitar quaisquer distrbios desnecessrios aos processos operacionais; assegurar que a equipe auditora esta usando o EPI apropriadamente; assegurar que os procedimentos de emergncia sejam comunicados (por exemplo, sada de emergncia, ponto de encontro); programar comunicao para minimizar interrupes; adaptar o tamanho da equipe auditora e o nmero de guias e observadores de acordo com o escopo da auditoria para evitar interferncia com os processos operacionais, to prtico quanto possvel; no tocar ou manipular quaisquer equipamentos, a menos que explicitamente permitido, mesmo sendo competente ou licenciado; Se um incidente ocorre durante a visita no local, convm que o lder da equipe auditora analise criticamente a situao com a organizao auditada e, se necessrio, com o cliente da auditoria para chegar a um acordo sobre se convm que a auditoria seja interrompida, reprogramada ou continuada; no caso de tirar fotos ou gravar imagens, pedir autorizao da direo antecipadamente e considerar as questes de confidencialidade e segurana da informao, evitando tirar fotos de pessoas sem a sua permisso; caso tire cpias de documentos de quaisquer tipos, solicitar permisso antecipadamente e considerar as questes de confidencialidade e segurana da informao; ao fazer anotaes, evitar coletar informaes pessoais, a menos que sejam requeridas pelos objetivos de auditoria ou pelo critrio de auditoria.
B.7 Realizando entrevistas

Entrevistas representam uma das mais importantes formas de coletar informaes e convm que seja realizada de tal maneira a adaptar a situao a pessoa a ser entrevistada, seja pessoalmente ou por outros meios de comunicao. Entretanto, convm que o auditor considere o seguinte: convm que entrevistas sejam realizadas com pessoas de funes e nveis apropriados que realizam as atividades ou tarefas dentro do escopo da auditoria; convm que entrevistas sejam normalmente conduzidas durante o horrio normal de trabalho e, sempre que possvel, no local de trabalho da pessoa que est sendo entrevistada; sempre que possvel, deixar a pessoa que est sendo entrevistada vontade antes e durante a entrevista; a razo para a entrevista e quaisquer anotaes convm que sejam explicadas; entrevistas podem ser iniciadas pedindo s pessoas para descrever o seu trabalho;
seleo cuidadosa do tipo de questo usada (por exemplo, usar questes abertas, fechadas); convm que os resultados de entrevistas sejam sumarizados e analisados criticamente com a pessoa entrevistada; convm agradecer s pessoas entrevistadas pela sua participao e cooperao.
B.8 Constataes de auditoria

B.8.1 Determinando as constataes de auditoria
Quando determinando as constataes de auditoria, convm que seja considerado o seguinte: acompanhamento de concluses e registros de auditorias anteriores; requisitos do cliente de auditoria; constataes que excedam a prtica normal ou oportunidades para melhoria; tamanho da amostra; categorizao (se existir) das constataes da auditoria.
B.8.2 Registrando as conformidades

Para os registros de conformidade, convm que seja considerado o seguinte: identificao dos critrios de auditoria, com base no qual a conformidade apresentada; evidencia da auditoria para apoiar a conformidade; declarao de conformidade, se aplicvel.
B.8.3 Registrando no-conformidades

Para os registros de no-conformidade, convm que seja considerado o seguinte: descrio de ou referencia ao critrio de auditoria; declarao da no-conformidade; evidncia da auditoria; constataes relatadas na auditoria, se aplicvel.
B.8.4 Tratando com constataes relacionadas a mltiplos critrios

Durante uma auditoria possvel identificar constataes relativas a mltiplos critrios. Quando um auditor identifica uma constatao relacionada a um critrio de uma auditoria combinada, convm que o auditor considere o possvel impacto sobre o critrio similar ou correspondente de outros sistemas de gesto.
Dependendo dos arranjos com o cliente da auditoria, o auditor pode considerar: separar as constataes para cada critrio; ou uma simples constatao, combinando as referncias a mltiplos critrios.
Dependendo dos arranjos com cliente da auditoria o auditor pode orientar o auditado sobre como responder a estas constataes.
60/62
Bibliografia
[1]
ISO 2859-4, Sampling procedures for inspection by attributes Part 4: Procedures for assessment of declared quality levels ABNT NBR ISO 9000:2005, Sistemas de Gesto da Qualidade-Fundamentos e Vocabulrio ABNT NBR ISO 9001, Sistemas de Gesto da Qualidade-Requisitos ABNT NBR ISO 14001, Sistemas de Gesto Ambiental-Requisitos com diretrizes para uso ISO 14050, Environmental management Vocabulary ISO/IEC 17021:2011, Conformity assessment Requirements for bodies providing audit and certification of management systems ABNT NBR ISO/IEC 20000-1, Tecnologia da informao-Gesto de services-Parte 1:Requisitos de sistema de gesto em servios ABNT NBR ISO 22000, Sistemas de gesto da segurana em alimentos-Requisitos para qualquer organizao na cadeia ISO/IEC 27000, Information technology Security techniques Information security management systems Overview and vocabulary
[2] [3] [4] [5] [6]
[7]
[8]
[9]
[10] ABNT NBR ISO/IEC 27001, Tecnologia da Informao-Tcnicas de Segurana-Sistemas de
Gesto da Segurana da Informao-Requisitos

[11] ABNT NBR ISO/IEC 27002, Tecnologia da informao-Tcnicas de Segurana Cdigo de prtica
para gesto da segurana da informao

[12] ABNT NBR ISO/IEC 27003,Tecnologia da Informao-Tcnicas de Segurana-Diretrizes para
implementao de um sistema de gesto da segurana da informao

[13] ABNT NBR ISO/IEC 27004, Tecnologia da Informao-Tcnicas de Segurana-Gesto de
Segurana da Informao-Medies
[14] ABNT NBR ISO/IEC 27005, Tecnologia da Informao-Tcnicas de Segurana-Gesto de riscos de
seguranada informao
[15] ISO 28000, Specification for security management systems for the supply chain [16] ISO 30301 , Information and documentation Management system for records Requirements [17] ABNT NBR ISO 31000, Gesto de riscos- Princpios e diretrizes
1
To be published. NO TEM VALOR NORMATIVO 61/62
[18] ISO 39001 , Road traffic safety (RTS) management systems Requirements with guidance for use [19] ABNT NBR ISO 50001, Sistemas de gesto de energia-Requisitos com diretrizes para uso [20] ABNT NBR ISO Guide 73:2009, Gesto de riscos-Vocabulrio [21] OHSAS 18001:2007, Occupational health and safety management systems Requirements [22] ISO 9001 Auditing Practices Group papers available at:
www.iso.org/tc176/ISO9001AuditingPracticesGroup
[23] ISO 19011 additional guidelines available at:
2
www.iso.org/19011auditing
[24] ABNT NBR 18801:2010 Sistema de gesto da segurana e sade no trabalho. Requisitos
Under preparation. NO TEM VALOR NORMATIVO 62/62

NBR 19011 - 2012

Uploaded by

Document Information

Original Description:

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

NBR 19011 - 2012

Uploaded by

Copyright:

Available Formats

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

Diretrizes para auditoria de sistemas de gesto

Ariosto Farias Jr.

Roberto Gomes de Almeida

Ana Julia Ramos

Ana Carolina Faria

Baslio Vasconcellos Dagnino

Soyla Oleika Moraes

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

Carlos Leonam Mendes dos Reis

Renato Pedroso Lee

Sergio Pinto Amaral

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

Diretrizes para auditoria de sistemas de gesto

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

O Escopo desta Norma Brasileira em ingls o seguinte:

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

O Anexo B fornece orientao adicional auditorias.

para auditores sobre o planejamento e realizao de

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

[ABNT NBR ISO 9000:2005, definio 3.9.4]

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

3.7 auditado organizao que est sendo auditada

[ABNT NBR ISO 9000:2005, definio 3.9.10]

[ABNT NBR ISO 9000:2005, definio 3.9.11]

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

3.14 escopo de auditoria abrangncia e limites de uma auditoria (3.1)

3.16 risco efeito da incerteza nos objetivos

3.18 conformidade atendimento a um requisito

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

5 Gerenciando um programa de auditoria

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

5.2 Estabelecendo os objetivos do programa de auditoria

Competncia e avaliao de auditores (Seo 7)

Monitoramento do programa de auditoria

Anlise crtica e melhoria do programa de auditoria

Figura 1 Fluxograma do processo para gerenciamento de um programa de auditoria

5.2 Estabelecendo os objetivos do programa de auditoria

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

5.3 Estabelecendo programa de auditoria

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

Outros fatores que impactam a abrangncia de um programa de auditoria incluem o seguinte:

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

NO TEM VALOR NORMATIVO

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012

5.4 Implementando o programa de auditoria

ABNT/CB-25 PROJETO ABNT NBR ISO 19011 FEV 2012