Diretrizes para Auditoria de Sistemas de Gestão - ABNT NBR ISO 19011:2018

edição ABNT NBR ISO NORMA BRASILEIRA ICS ISBN 9788507 Número de referência 53 páginas 19011 Terceira 20122018 Diretrizes para auditoria de sistemas de gestão Guidelines for auditing management systems 0312020 0310070 078722 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI ISO 2018 ABNT 2018 Todos os direitos reservados ii ABNT NBR ISO 190112018 ISO 2018 Todos os direitos reservados A menos que especificado de outro modo nenhuma parte desta publicação pode ser reproduzida ou utilizada por qualquer meio eletrônico ou mecânico incluindo fotocópia e microfilme sem permissão por escrito da ABNT único representante da ISO no território brasileiro ABNT 2018 Todos os direitos reservados A menos que especificado de outro modo nenhuma parte desta publicação pode ser reproduzida ou utilizada por qualquer meio eletrônico ou mecânico incluindo fotocópia e microfilme sem permissão por escrito da ABNT ABNT AvTreze de Maio 13 28º andar 20031901 Rio de Janeiro RJ Tel 55 21 39742300 Fax 55 21 39742346 abntabntorgbr wwwabntorgbr Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Prefácio Nacional vi Introdução viii 1 Escopo 1 2 Referências normativas 1 3 Termos e definições 1 4 Princípios de auditoria 6 5 Gerenciando um programa de auditoria 7 51 Generalidades 7 52 Estabelecendo objetivos do programa de auditoria 10 53 Determinando e avaliando riscos e oportunidades do programa de auditoria 10 54 Estabelecendo o programa de auditoria 11 541 Papéis e responsabilidades das pessoas que gerenciam o programa de auditoria 11 542 Competência das pessoas que gerenciam o programa de auditoria 12 543 Estabelecendo a extensão do programa de auditoria 13 544 Determinando recursos do programa de auditoria 13 55 Implementando o programa de auditoria 14 551 Generalidades 14 552 Definindo os objetivos escopo e critérios para uma auditoria individual 15 553 Selecionando e determinando os métodos de auditoria 16 554 Selecionando os membros da equipe de auditoria 16 555 Atribuindo responsabilidade para uma auditoria individual ao líder da equipe de auditoria 17 556 Gerenciando os resultados do programa de auditoria 18 557 Gerenciando e mantendo os registros do programa de auditoria 18 56 Monitorando o programa de auditoria 19 57 Analisando criticamente e melhorando o programa de auditoria 20 6 Conduzindo uma auditoria 21 61 Generalidades 21 62 Iniciando a auditoria 21 621 Generalidades 21 622 Estabelecendo contato com o auditado 21 623 Determinando a viabilidade da auditoria 22 63 Preparando as atividades da auditoria 22 631 Realizando análise crítica de informação documentada 22 632 Planejando a auditoria 23 633 Atribuindo trabalho para a equipe de auditoria 24 634 Preparando informação documentada para a auditoria 25 64 Conduzindo atividades da auditoria 25 641 Generalidades 25 642 Atribuindo papéis e responsabilidades para guias e observadores 25 ISO 2018 ABNT 2018 Todos os direitos reservados iii ABNT NBR ISO 190112018 Sumário Página Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 643 Conduzindo a reunião de abertura 26 644 Comunicação durante a auditoria 27 645 Disponibilidade e acesso de informação de auditoria 27 646 Analisando criticamente a informação documentada ao conduzir a auditoria 28 647 Coletando e verificando informação 28 648 Gerando constatações de auditoria 29 649 Determinando conclusões de auditoria 30 6410 Conduzindo a reunião de encerramento 30 65 Preparando e distribuindo o relatório de auditoria 32 651 Preparando o relatório de auditoria 32 652 Distribuindo o relatório da auditoria 33 66 Concluindo a auditoria 33 67 Conduzindo o acompanhamento da auditoria 33 7 Competência e avaliação de auditores 33 71 Generalidades 33 72 Determinando a competência de auditor 34 721 Generalidades 34 722 Comportamento pessoal 35 723 Conhecimento e habilidades 35 724 Alcançando a competência de auditor 38 725 Alcançando a competência do líder da equipe de auditoria 39 73 Estabelecendo os critérios de avaliação de auditor 39 74 Selecionando o método apropriado de avaliação de auditor 39 75 Conduzindo a avaliação de auditor 40 76 Mantendo e melhorando a competência de auditor 40 Anexo A informativo Orientação adicional para auditores planejarem e conduzirem auditorias 41 A1 Aplicando os métodos de auditoria 41 A2 Abordagem de processo para auditar 42 A3 Julgamento profissional 42 A4 Resultados de desempenho 42 A5 Verificando a informação 42 A6 Amostragem 43 A61 Generalidades 43 A62 Amostragem com base em julgamento 44 A63 Amostragem estatística 44 A7 Auditoria de compliance em um sistema de gestão 45 A8 Contexto de auditoria 46 A9 Auditoria de liderança e comprometimento 46 A10 Auditoria de riscos e oportunidades 46 A11 Ciclo de vida 47 A12 Auditoria da cadeia de suprimento 48 A13 Preparando documentos de trabalho de auditoria 48 A14 Selecionando fontes de informação 48 ISO 2018 ABNT 2018 Todos os direitos reservados iv ABNT NBR ISO 190112018 Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI A15 Visitando a localização do auditado 49 A16 Auditoria de atividades e locais virtuais 50 A17 Conduzindo entrevistas 51 A18 Constatações de auditoria 51 A181 Determinando as constatações de auditoria 51 A182 Registrando as conformidades 52 A183 Registrando não conformidades 52 A184 Tratando de constatações relacionadas aos múltiplos critérios 52 Bibliografia 53 Figuras Figura 1 Fluxo do processo para gerenciamento de um programa de auditoria 9 Figura 2 Visão geral de um processo usual para coletar e verificar informação 29 Tabelas Tabela 1 Diferentes tipos de auditorias viii Tabela 2 Métodos de avaliação de auditores 40 Tabela A1 Métodos de auditoria 41 ISO 2018 ABNT 2018 Todos os direitos reservados v ABNT NBR ISO 190112018 Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Prefácio Nacional A Associação Brasileira de Normas Técnicas ABNT é o Foro Nacional de Normalização As Normas Brasileiras cujo conteúdo é de responsabilidade dos Comitês Brasileiros ABNTCB dos Organismos de Normalização Setorial ABNTONS e das Comissões de Estudo Especiais ABNTCEE são elaboradas por Comissões de Estudo CE formadas pelas partes interessadas no tema objeto da normalização Os Documentos Técnicos Internacionais são adotados conforme as regras da ABNT Diretiva 3 A ABNT chama a atenção para que apesar de ter sido solicitada manifestação sobre eventuais direitos de patentes durante a Consulta Nacional estes podem ocorrer e devem ser comunicados à ABNT a qualquer momento Lei nº 9279 de 14 de maio de 1996 Ressaltase que Normas Brasileiras podem ser objeto de citação em Regulamentos Técnicos Nestes casos os órgãos responsáveis pelos Regulamentos Técnicos podem determinar outras datas para exigência dos requisitos desta Norma A ABNT NBR ISO 19011 foi elaborada no Comitê Brasileiro da Qualidade ABNTCB025 pela Comissão de Estudo de Tecnologias de suporte CE025000003 O Projeto circulou em Consulta Nacional conforme Edital nº 11 de 14112018 a 13122018 Esta Norma é uma adoção idêntica em conteúdo técnico estrutura e redação à ISO 190112018 que foi elaborada pelo Project Committee Guidelines for auditing management systems ISOPC 302 conforme ISOIEC Guide 2112005 Esta terceira edição cancela e substitui a edição anterior ABNT NBR ISO 190112012 a qual foi tecnicamente revisada As principais diferenças em relação à segunda edição são as seguintes inclusão da abordagem baseada em risco aos princípios de auditoria ampliação da orientação sobre a gestão de um programa de auditoria incluindo riscos do programa de auditoria ampliação da orientação para conduzir uma auditoria particularmente na Seção sobre planeja mento de auditoria ampliação dos requisitos genéricos de competência para auditores ajuste da terminologia para refletir o processo e não o objeto coisa remoção do Anexo contendo requisitos de competência para auditar disciplinas específicas do sistema de gestão devido ao grande número de normas particulares de sistemas de gestão não seria prático incluir requisitos de competência para todas as disciplinas ampliação do Anexo A para fornecer orientação sobre novos conceitos de auditoria como contexto organizacional liderança e comprometimento auditorias virtuais compliance e cadeia de suprimento NOTA BRASILEIRA O termo compliance não é traduzido por ser um conceito muito amplo ISO 2018 ABNT 2018 Todos os direitos reservados vi ABNT NBR ISO 190112018 Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI O Escopo em inglês desta Norma Brasileira é o seguinte Scope This document provides guidance on auditing management systems including the principles of auditing managing an audit programme and conducting management system audits as well as guidance on the evaluation of competence of individuals involved in the audit process These activities include the individuals managing the audit programme auditors and audit teams It is applicable to all organizations that need to plan and conduct internal or external audits of management systems or manage an audit programme The application of this document to other types of audits is possible provided that special consideration is given to the specific competence needed ISO 2018 ABNT 2018 Todos os direitos reservados vii ABNT NBR ISO 190112018 Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Introdução Desde que a segunda edição deste documento foi publicada em 2012 diversas normas novas de sistema de gestão foram publicadas muitas das quais possuindo uma estrutura em comum requisitos centrais idênticos e termos e definições centrais em comum Como um resultado há agora a neces sidade de se considerar uma abordagem mais ampla para auditar o sistema de gestão assim como para fornecer orientação que seja mais genérica Resultados de auditoria podem fornecer entradas para o aspecto de análise de planejamento de negócio e podem contribuir para a identificação de necessidades de melhoria e atividades Uma auditoria pode ser conduzida em relação a uma gama de critérios de auditoria separadamente ou em combinação incluindo mas não limitados a requisitos definidos em uma ou mais normas de sistema de gestão políticas e requisitos especificados por partes interessadas pertinentes requisitos estatutários e regulamentares um ou mais processos de sistema de gestão definidos pela organização ou outras partes planos de sistema de gestão relacionados à provisão de saídas específicas de um sistema de gestão por exemplo plano de qualidade plano de projeto Este documento fornece orientação para todos os tamanhos e tipos de organizações e auditorias de variados escopos e dimensões incluindo aquelas conduzidas por grandes equipes de auditoria usualmente de organizações maiores e aquelas conduzidas por auditores únicos em organizações grandes ou pequenas Convém que esta orientação seja adaptada conforme apropriado ao escopo complexidade e dimensão do programa de auditoria Este documento concentrase em auditorias internas primeira parte e auditorias conduzidas por organizações em seus fornecedores externos e outras partes interessadas externas segunda parte Este documento pode também ser útil para auditorias externas conduzidas para outros fins que não a certificação de terceira parte de sistemas de gestão A ABNT NBR ISOIEC 170211 fornece requi sitos para auditoria de sistemas de gestão para certificação de terceira parte este documento pode fornecer orientação adicional útil ver Tabela 1 Tabela 1 Diferentes tipos de auditorias Auditoria de 1ª parte Auditoria de 2ª parte Auditoria de 3ª parte Auditoria interna Auditoria de fornecedor externo Auditoria de certificação eou acreditação Outra auditoria de parte interessada externa Auditoria estatutária regulamentar e similar Para simplificar a legibilidade deste documento a forma singular de sistema de gestão é preferida mas o leitor pode adaptar a implementação da orientação para sua própria situação Isso também é aplicável ao uso de pessoa e pessoas auditor e auditores ISO 2018 ABNT 2018 Todos os direitos reservados viii ABNT NBR ISO 190112018 Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Este documento é destinado a ser aplicado a uma ampla gama de potenciais usuários incluindo auditores organizações que implementam sistemas de gestão e organizações que necessitam conduzir auditorias de sistemas de gestão por razões contratuais ou regulamentares Usuários deste documento podem no entanto aplicar esta orientação para desenvolver seus próprios requisitos relacionados à auditoria A orientação contida neste documento pode também ser usada para o propósito de autodeclaração e pode ser útil para organizações envolvidas em treinamento de auditores ou certificação de pessoal A orientação contida neste documento é destinado a ser flexível Conforme indicado em vários pontos no texto o uso desta orientação pode variar dependendo do tamanho e do nível de maturidade do sistema de gestão de uma organização Convém também que sejam consideradas a natureza e a complexidade da organização a ser auditada assim como os objetivos e o escopo das auditorias a serem conduzidas Este documento adota a abordagem de auditoria combinada quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados em conjunto Quando estes sistemas são integrados em um sistema de gestão único os princípios e processos de auditoria são os mesmos que para uma auditoria combinada às vezes conhecida como uma auditoria integrada Este documento fornece orientação para o gerenciamento de um programa de auditoria sobre o planejamento e a condução de auditoria de sistemas de gestão assim como sobre a competência e a avaliação de um auditor e de uma equipe de auditoria ISO 2018 ABNT 2018 Todos os direitos reservados ix ABNT NBR ISO 190112018 Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Diretrizes para auditoria de sistemas de gestão 1 Escopo Este documento fornece orientação sobre a a auditoria de sistemas de gestão incluindo os princípios de auditoria a gestão de um programa de auditoria e a condução de auditoria de sistemas de ges tão como também orientação sobre a avaliação de competência de pessoas envolvidas no processo de auditoria Estas atividades incluem as pessoas que gerenciam o programa de auditoria os audi tores e a equipe de auditoria Ele é aplicável a todas as organizações que necessitam planejar e conduzir auditorias internas ou externas de sistemas de gestão ou gerenciar um programa de auditoria A aplicação deste documento para outros tipos de auditorias é possível desde que seja dada consi deração especail para a necessidade de competência específica 2 Referências normativas Não há referêncas normativas neste documento 3 Termos e definições Para os efeitos deste documento aplicamse os seguintes termos e definições A ISO e a IEC mantêm bases de dados terminológicas para uso em normalização nos seguintes endereços ISO Online Browsing Platform disponível em httpswwwisoorgobp IEC Electropedia disponível em httpwwwelectropediaorg 31 auditoria processo sistemático independente e documentado para obter evidência objetiva 38 e avaliála objetivamente para determinar a extensão na qual os critérios de auditoria 37 são atendidos Nota 1 de entrada Auditorias internas algumas vezes chamadas de auditorias de primeira parte são conduzidas pela própria ou em nome da própria organização Nota 2 de entrada Auditorias externas incluem aquelas geralmente chamadas de auditorias de segunda e terceira partes Auditorias de segunda parte são conduzidas por partes que têm um interesse na organização como clientes ou por outras pessoas em seu nome Auditorias de terceira parte são conduzidas por orga nizações de auditoria independentes como aquelas que fornecerem certificaçãoregistro de conformidade ou por agências governamentais ABNT NBR ISO 90002015 3131 modificada Notas de entrada foram modificadas 1 NORMA BRASILEIRA ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 32 auditoria combinada auditoria 31 realizada em um único auditado 313 em dois ou mais sistemas de gestão 318 NOTA 1 de entrada Quando sistemas de gestão de duas ou mais disciplinas específicas são integrados em um único sistema de gestão isso é conhecido como um sistema de gestão integrado ABNT NBR ISO 90002015 3132 modificada 33 auditoria conjunta auditoria 31 realizada em um único auditado 313 por duas ou mais organizações de auditoria ABNT NBR ISO 90002015 3133 34 programa de auditoria arranjos para um conjunto de uma ou mais auditorias 31 planejado para um período de tempo específico e direcionado a um propósito específico ABNT NBR ISO 90002015 3134 modificada texto foi inserido à definição 35 escopo da auditoria abrangência e limites de uma auditoria 31 NOTA 1 de entrada O escopo da auditoria geralmente inclui uma descrição dos locais físicos e virtuais funções unidades organizacionais atividades e processos assim como o período de tempo coberto NOTA 2 de entrada Um local virtual é onde uma organização realiza trabalho ou fornece um serviço usando um ambiente online permitindo que pessoas executem processos independentemente de locais físicos ABNT NBR ISO 90002015 3135 modificada Nota 1 de entrada foi modificada e Nota 2 de entrada foi inserida 36 plano de auditoria descrição das atividades e arranjos para uma auditoria 31 ABNT NBR ISO 90002015 3136 37 critérios de auditoria conjunto de requisitos 323 usados como uma referência com a qual a evidência objetiva 38 é comparada NOTA 1 de entrada Se os critérios de auditoria forem requisitos legais incluindo estatutários ou regulamentares as expressões compliance ou não compliance são frequentemente usadas em uma constatação de auditoria 310 NOTA 2 de entrada Requisitos podem incluir políticas procedimentos instruções de trabalho requisitos legais obrigações contratuais etc ABNT NBR ISO 90002015 3137 modificada a definição foi modificada e as Notas 1 e 2 de entrada foram inseridas 2 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 38 evidência objetiva dados que apoiam a existência ou a veracidade de alguma coisa NOTA 1 de entrada Evidência objetiva pode ser obtida por observação medição ensaio ou outros meios NOTA 2 de entrada Evidência objetiva para o propósito de auditoria 31 geralmente consiste em registros declarações de um fato ou outra informação que seja pertinente para os critérios de auditoria 37 e verificável ABNT NBR ISO 90002015 383 39 evidência de auditoria registros apresentação de fatos ou outras informações pertinentes aos critérios de auditoria 37 e verificáveis ABNT NBR ISO 90002015 3138 310 constatações de auditoria resultados da avaliação de evidência de auditoria 39 coletada comparada com os critérios de auditoria 37 NOTA 1 de entrada Constatações de auditoria indicam conformidade 320 ou não conformidade 321 NOTA 2 de entrada Constatações de auditoria podem conduzir à identificação de riscos oportunidades para melhoria ou registro de boas práticas NOTA 3 de entrada Em inglês se os critérios de auditoria forem selecionados de requisitos estatutários ou requisitos regulamentares a constatação de auditoria pode ser denominada compliance ou não compliance ABNT NBR ISO 90002015 3139 modificada as Notas 2 e 3 de entrada foram modificadas 311 conclusão de auditoria resultado de uma auditoria 31 após levar em consideração os objetivos de auditoria e todas as constatações de auditoria 310 ABNT NBR ISO 90002015 31310 312 cliente de auditoria organização ou pessoa que solicita uma auditoria 31 Nota 1 de entrada No caso de auditoria interna o cliente de auditoria pode também ser o auditado 313 ou as pessoas que gerenciam o programa de auditoria Solicitações para auditoria externa podem vir de fontes como reguladores partes contratantes ou clientes potenciais ou existentes ABNT NBR ISO 90002015 31311 modificada Nota 1 de entrada foi inserida 313 auditado organização como um todo ou suas partes que está sendo auditada ABNT NBR ISO 90002015 31312 modificada 3 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 314 equipe de auditoria uma ou mais pessoas que realizam uma auditoria 31 apoiadas se necessário por especialistas 316 Nota 1 de entrada Um auditor 315 da equipe de auditoria 314 é indicado como o líder da equipe de auditoria Nota 2 de entrada A equipe de auditoria pode incluir auditores em treinamento ABNT NBR ISO 90002015 31314 315 auditor pessoa que realiza uma auditoria 31 ABNT NBR ISO 90002015 31315 316 especialista auditoria pessoa que provê conhecimento ou experiência específicos para a equipe de auditoria 314 Nota 1 de entrada Conhecimento ou experiência específicos são relativos à organização atividade processo produto serviço disciplina a ser auditada ou idioma ou cultura Nota 2 de entrada Um especialista para a equipe de auditoria 314 não atua como um auditor 315 ABNT NBR ISO 90002015 31316 Notas 1 e 2 de entrada foram modificadas 317 observador pessoa que acompanha a equipe de auditoria 314 mas não atua como auditor 315 ABNT NBR ISO 90002015 31317 modificada 318 sistema de gestão conjunto de elementos interrelacionados ou interativos de uma organização para estabelecer polí ticas objetivos e processos 324 para alcançar estes objetivos Nota 1 de entrada Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas por exemplo gestão da qualidade gestão financeira ou gestão ambiental Nota 2 de entrada Os elementos do sistema de gestão estabelecem a estrutura papéis e responsabilidades planejamento operação políticas práticas regras crenças objetivos da organização e processos para alcançar estes objetivos Nota 3 de entrada O escopo de um sistema de gestão pode incluir a totalidade da organização funções específicas e identificadas da organização seções específicas e identificadas da organização ou uma ou mais funções executadas por mais de uma organização ABNT NBR ISO 90002015 353 modificada Nota 4 de entrada foi excluída 319 risco efeito de incerteza Nota 1 de entrada Um efeito é um desvio do esperado positivo ou negativo 4 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Nota 2 de entrada Incerteza é o estado ainda que parcial de deficiência de informação de compreensão ou de conhecimento relacionado a um evento sua consequência ou sua probabilidade Nota 3 de entrada Risco é frequentemente caracterizado pela referência a eventos potenciais como definido no ABNT ISO Guia 732009 3513 e consequências como definido no ABNT ISO Guia 732009 3613 ou uma combinação destes Nota 4 de entrada Risco é frequentemente expresso em termos de uma combinação das consequências de um evento incluindo mudanças em circunstâncias e da probabilidade associada como definido no ABNT ISO Guia 732009 3611 de ocorrências ABNT NBR ISO 90002015 379 modificada Notas 5 e 6 de entrada foram excluídas 320 conformidade atendimento de um requisito 323 ABNT NBR ISO 90002015 3611 modificada Nota 1 de entrada foi excluída 321 não conformidade não atendimento de um requisito 323 ABNT NBR ISO 90002015 369 modificada Nota 1 de entrada foi excluída 322 competência capacidade de aplicar conhecimento e habilidades para alcançar resultados pretendidos ABNT NBR ISO 90002015 3104 modificada Notas de entrada foram excluídas 323 requisito necessidade ou expectativa que é declarada geralmente implícita ou obrigatória Nota 1 de entrada Geralmente implícita significa que é costume ou prática comum para a organização e partes interessadas que a necessidade ou expectativa sob consideração esteja implícita Nota 2 de entrada Um requisito especificado é aquele que é declarado por exemplo em informação documentada ABNT NBR ISO 90002015 364 Notas 3 4 5 e 6 de entrada foram excluídas 324 processo conjunto de atividades interrelacionadas ou interativas que utilizam entradas para entregar um resultado pretendido ABNT NBR ISO 90002015 341 modificada Notas de entrada foram excluídas 325 desempenho resultado mensurável Nota 1 de entrada Desempenho pode se relacionar tanto às constatações quantitativas como às qualitativas 5 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Nota 2 de entrada Desempenho pode se relacionar à gestão de atividades processos 324 produtos serviços sistemas ou organizações ABNT NBR ISO 90002015 378 Nota 3 de entrada foi excluída 326 eficácia extensão na qual atividades planejadas são realizadas e resultados planejados são alcançados ABNT NBR ISO 90002015 3711 Nota 1 de entrada foi excluída 4 Princípios de auditoria A auditoria é caracterizada pela confiança em diversos princípios Convém que estes princípios ajudem a tornar a auditoria uma ferramenta eficaz e confiável em apoio às políticas e controles de gestão fornecerndo informações sobre as quais uma organização pode agir para melhorar seu desempenho Aderência a estes princípios é um prérequisito para serem fornecedias conclusões de auditoria que sejam pertinentes e suficientes e para permitir que auditores trabalhando independentemente entre si cheguem a conclusões similares em circunstâncias similares As orientações dadas nas Seções 5 a 7 são baseadas nos setes princípios apresentados abaixo a Integridade o fundamento do profissionalismo Convém que os auditores e as pessoas que gerenciam um programa de auditoria desempenhem seu trabalho eticamente com honestidade e responsabilidade somente realizem atividades de auditoria se forem competentes para isso realizem seu trabalho de uma maneira imparcial isto é mantenhamse justos e sem tendenciosidade em todas as suas interações desempenhem sensíveis a quaisquer influências que possam ser exercidas sobre o seu julgamento enquanto estiverem realizando uma auditoria b Apresentação justa a obrigação de reportar com veracidade e exatidão Convém que as constatações de auditoria conclusões de auditoria e relatórios de auditoria reflitam com veracidade e precisão as atividades de auditoria Convém que os obstáculos significativos encontrados durante a auditoria e não resolvidos por divergência de opiniões entre a equipe de auditoria e o auditado sejam reportados Convém que a comunicação seja verdadeira precisa objetiva em tempo hábil clara e completa c Devido cuidado profissional a aplicação de diligência e julgamento em auditoria Convém que os auditores exerçam o devido cuidado de acordo com a importância da tarefa que eles executam e com a confiança neles depositada pelo cliente de auditoria e por outras partes interessadas Um fator importante na realização do seu trabalho com devido cuidado profissional é ter a capacidade de fazer julgamentos ponderados em todas as situações de auditoria 6 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI d Confidencialidade segurança de informação Convém que os auditores tenham discrição no uso e proteção das informações obtidas no curso de suas obrigações Convém que a informação de auditoria não seja usada de forma inapropriada para ganhos pessoais pelo auditor ou pelo cliente de auditoria ou de uma maneira prejudicial para os legítimos interesses do auditado Este conceito inclui o manuseio apropriado de informação sensível ou confidencial e Independência a base para a imparcialidade da auditoria e objetividade das conclusões de auditoria Convém que os auditores sejam independentes da atividade que está sendo auditada quando for praticável e convém que ajam em todas as situações de uma tal modo que estejam livres de tendenciosidade e conflitos de interesse Para auditorias internas convém que os auditores sejam independentes da função que está sendo auditada se praticável Convém que os auditores mantenham objetividade ao longo do processo de auditoria para assegurar que as constatações e conclusões de auditoria sejam baseadas apenas nas evidências de auditoria Para pequenas organizações pode não ser possível que auditores internos tenham total independência da atividade que está sendo auditada porém convém que seja feito todo o esforço para remover a tendenciosidade e encorajar a objetividade f Abordagem baseada em evidência o método racional para alcançar conclusões de auditoria con fiáveis e reprodutíveis em um processo sistemático de auditoria Convém que a evidência de auditoria seja verificável Convém que no geral ela seja baseada em amostras da informação disponíveis uma vez que uma auditoria é conduzida durante um período de tempo finito e com recursos limitados Convém que o uso apropriado de amostras seja aplicado uma vez que esta situação está intimamente relacionada à confiança que pode ser depositada nas conclusões de auditoria g Abordagem baseada em risco uma abordagem de auditoria que considera riscos e oportunidades Convém que a abordagem baseada em risco influencie substancialmente o planejamento a condução e o relato de auditorias para assegurar que as auditorias sejam focadas em assuntos que sejam significativos para o cliente de auditoria e para alcançar os objetivos do programa de auditoria 5 Gerenciando um programa de auditoria 51 Generalidades Convém que um programa de auditoria seja estabelecido o qual pode incluir auditorias que abordem uma ou mais normas de sistema de gestão ou outros requisitos conduzidas separadamente ou em combinação auditoria combinada Convém que a extensão de um programa de auditoria seja baseada no tamanho e natureza do auditado assim como na natureza funcionalidade complexidade tipo de riscos e oportunidades e nível de maturidade dos sistemas de gestão a serem auditados A funcionalidade do sistema de gestão pode ser ainda mais complexa quando a maioria das funções importantes é terceirizada e gerenciada sob a liderança de outras organizações É necessário prestar especial atenção ao local onde as decisões mais importantes são tomadas e ao que constitui a Alta Direção do sistema de gestão 7 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI No caso de múltiplos locaissites por exemplo países diferentes ou quando importantes funções forem terceirizadas e gerenciadas sob a liderança de uma outra organização convém que seja dada especial atenção ao projeto planejamento e validação do programa de auditoria No caso de organizações menores ou menos complexas o programa de auditoria pode ser dimen sionado apropriadamente Para entender o contexto do auditado convém que o programa de auditoria leve em conta objetivos organizacionais questões externas e internas pertinentes do auditado necessidades e expectativas de partes interessadas pertinentes requisitos de segurança e confidencialidade da informação O planejamento de programas de auditorias internas e em alguns casos de programas para auditar fornecedores externos pode ser arranjado para contribuir com outros objetivos da organização Convém que as pessoas que gerenciam o programa de auditoria assegurem que a integridade da auditoria seja mantida e que não haja influência indevida exercida sobre a auditoria Convém que seja dada prioridade de auditoria para alocar recursos e métodos a assuntos em um sistema de gestão com mais alto risco inerente e mais baixo nível de desempenho Convém que pessoas competentes sejam designadas para gerenciar o programa de auditoria Convém que o programa de auditoria inclua informação e identifique recursos para permitir que as auditorias sejam conduzidas de forma eficaz e eficiente dentro dos prazos especificados Convém que a informação inclua a objetivos para o programa de auditoria b riscos e oportunidades associados ao programa de auditoria ver 53 e ações para abordálos c escopo extensão limites locais de cada auditoria no programa de auditoria d agendamento númeroduraçãofrequência das auditorias e tipos de auditoria como interna ou externa f critérios de auditoria g métodos de auditoria a serem empregados h critérios para selecionar membros de equipe de auditoria i informação documentada pertinente Parte desta informação pode não estar disponível até que o planejamento mais detalhado de auditoria esteja completo Convém que a implementação do programa de auditoria seja monitorada e medida em uma base con tínua ver 56 para assegurar que seus objetivos tenham sido alcançados Convém que o programa de auditoria seja analisado criticamente para identificar necessidades de mudanças e possíveis opor tunidades para melhorias ver 57 8 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI A Figura 1 ilustra o fluxo de processo para o gerenciamento de um programa de auditoria PLANEJAR PLAN 52 Estabelecendo objetivos do programa de auditoria 53 Determinando e avaliando riscos e oportunidades do programa de auditoria 54 Estabelecendo o programa de auditoria 55 Implementando o programa de auditoria 62 Iniciando a auditoria 63 Preparando atividades da auditoria 64 Conduzindo as atividades da auditoria 65 Preparando e distribuindo o relatório da auditoria 66 Concluindo a auditoria 67 Conduzindo acompanhamento da auditoria 56 Monitorando o programa de auditoria Seção 5 Seção 6 57 Analisando criticamente e melhorando o programa de auditoria FAZER DO CHECAR CHECK AGIR ACT PLANEJAR PLAN FAZER DO CHECAR CHECK AGIR ACT NOTA 1 Esta figura ilustra a aplicação do ciclo PlanDoCheckAct PlanejarFazerChecarAgir neste documento NOTA 2 A numeração da seçãosubseção se refere às seçõessubseções pertinentes deste documento Figura 1 Fluxo do processo para gerenciamento de um programa de auditoria 9 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 52 Estabelecendo objetivos do programa de auditoria Convém que o cliente da auditoria assegure que os objetivos do programa de auditoria sejam estabelecidos para direcionar o planejamento e a condução de auditorias e convém que assegure que o programa de auditoria seja implementado eficazmente Convém que os objetivos do programa de auditoria sejam coerentes com a direção estratégica do cliente da auditoria e apoiem a política e os objetivos do sistema de gestão Estes objetivos podem ser baseados na consideração do seguinte a necessidades e expectativas de partes interessadas pertinentes externas e internas b características e requisitos de processos produtos serviços e projetos e quaisquer mudanças neles c requisitos de sistema de gestão d necessidade para avaliação de fornecedores externos e nível de desempenho e nível de maturidade dos sistemas de gestão do auditado como refle tido nos indicadores de desempenho pertinentes por exemplo KPI a ocorrência de não confor midades ou incidentes ou reclamações de partes interessadas NOTA BRASILEIRA Por falta de termo correspondente em português foi mantida a abreviatura KPI key performance indicators do texto original f riscos e oportunidades identificados para o auditado g resultados de auditorias anteriores Exemplos de objetivos de programa de auditoria podem incluir o seguinte identificar oportunidades para a melhoria de um sistema de gestão e de seu desempenho avaliar a capacidade do auditado de determinar seu contexto avaliar a capacidade do auditado de determinar riscos e oportunidades e identificar e implementar ações eficazes para abordálos estar conforme com todos os requisitos pertinentes por exemplo requisitos estatutários e regu lamentares compromissos de compliance requisitos para certificação em relação a uma norma de sistema de gestão obter e manter confiança na capacidade de um fornecedor externo determinar a contínua adequação suficiência e eficácia do sistema de gestão do auditado avaliar a compatibilidade e o alinhamento dos objetivos do sistemas de gestão com a direção estratégica da organização 53 Determinando e avaliando riscos e oportunidades do programa de auditoria Existem riscos e oportunidades relacionados ao contexto do auditado que podem estar associados a um programa de auditoria e podem afetar o alcance de seus objetivos Convém que as pessoas que gerenciam o programa de auditoria identifiquem e apresentem ao cliente da auditoria os riscos e oportunidades considerados ao desenvolver o programa de auditoria e requisitos de recurso de modo que eles possam ser abordados apropriadamente 10 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Podem existir riscos associados com o seguinte a planejamento por exemplo falha em estabelecer objetivos de auditoria pertinentes e em deter minar a extensão número duração locais e agenda das auditorias b recursos por exemplo dispor de tempo equipamento eou treinamento insuficientes para desen volver o programa de auditoria ou conduzir uma auditoria c seleção da equipe de auditoria por exemplo competência global insuficiente para conduzir auditorias eficazmente d comunicação por exemplo processoscanais de comunicação externainterna ineficazes e implementação por exemplo coordenação ineficaz das auditorias no programa de auditoria ou não considerar segurança e confidencialidade da informação f controle de informação documentada por exemplo determinação ineficaz da informação docu mentada necessária requerida por auditores e partes interessadas pertinentes falha em proteger suficientemente registros de auditoria para demonstrar a eficácia do programa de auditoria g monitoramento análise crítica e melhoria do programa de auditoria por exemplo monitoramento ineficaz de resultados do programa de auditoria h disponibilidade e cooperação do auditado e disponibilidade de evidência para ser amostrada Oportunidades para melhorar o programa de auditoria podem incluir permitir que múltiplas auditorias sejam conduzidas em uma visita única minimizar tempo e distância de viagem ao local conciliar o nível de competência da equipe de auditoria ao nível de competência necessário para alcançar os objetivos da auditoria alinhar datas de auditoria com a disponibilidade de pessoalchave do auditado 54 Estabelecendo o programa de auditoria 541 Papéis e responsabilidades das pessoas que gerenciam o programa de auditoria Convém que as pessoas que gerenciam o programa de auditoria a estabeleçam a extensão do programa de auditoria de acordo com os objetivos pertinentes ver 52 e quaisquer restrições conhecidas b determinem as questões internas e externas e riscos e oportunidades que possam afetar o programa de auditoria e implementem ações para abordálos integrando estas ações em todas as atividades de auditoria pertinentes conforme apropriado c assegurem a seleção de equipes de auditoria e a competência global para as atividades de auditoria atribuindo papéis responsabilidades e autoridades e apoiando a liderança conforme apropriado 11 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI d estabeleçam todos os processos pertinentes incluindo processos para coordenação e agendamento de todas as auditorias no programa de auditoria estabelecimento de objetivos de auditoria escopos e critérios das auditorias determinação de métodos de auditoria e seleção da equipe de auditoria avaliação de auditores estabelecimento de processos de comunicação interna e externa conforme apropriado resoluções de disputas e tratamento de reclamações acompanhamento de auditoria se aplicável relato ao cliente da auditoria e partes interessadas pertinentes conforme apropriado e determinem e assegurem provisão de todos os recursos necessários f assegurem que a informação documentada apropriada seja preparada e mantida incluindo regis tros do programa de auditoria g monitorem analisem criticamente e melhorem o programa de auditoria h comuniquem o programa de auditoria ao cliente de auditoria e conforme apropriado às partes interessadas pertinentes Convém que as pessoas que gerenciam o programa de auditoria solicitem sua aprovação pelo cliente de auditoria 542 Competência das pessoas que gerenciam o programa de auditoria Convém que as pessoas que gerenciam o programa de auditoria tenham a competência neces sária para gerenciar o programa e seus riscos e oportunidades associados e questões externas e internas eficaz e eficientemente incluindo o conhecimento de a princípios de auditoria ver Seção 4 métodos e processos ver A1 e A2 b normas de sistema de gestão outras normas pertinentes e documentos de referênciaorientação c informação relativa ao auditado e seu contexto por exemplo questões externasinternas partes interessadas pertinentes e suas necessidades e expectativas atividades de negócios produtos serviços e processos do auditado d requisitos estatutários e regulamentares aplicáveis e outros requisitos pertinentes às atividades de negócios do auditado Conforme apropriado conhecimentos de gestão de risco gestão de projeto e processo e tecnologia da informação e comunicação TIC podem ser considerados Convém que as pessoas que gerenciam o programa de auditoria se engajem em atividades de desenvolvimento contínuo apropriadas para manter a competência necessária para gerenciar o programa de auditoria 12 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 543 Estabelecendo a extensão do programa de auditoria Convém que as pessoas que gerenciam o programa de auditoria determinem a extensão do programa de auditoria Isso pode variar dependendo da informação fornecida pelo auditado relativa a seu contexto ver 53 NOTA Em certos casos dependendo da estrutura do auditado ou suas atividades o programa de auditoria pode consistir somente em uma única auditoria por exemplo um pequeno projeto ou pequena organização Outros fatores que impactam a extensão de um programa de auditoria podem incluir o seguinte a objetivo escopo e duração de cada auditoria e número de auditorias a serem conduzidas método de relatar e se aplicável acompanhamento da auditoria b normas de sistema de gestão ou outros critérios aplicáveis c número importância complexidade similaridade e locais das atividades a serem auditadas d aqueles fatores que influenciam a eficácia do sistema de gestão e critérios de auditoria aplicáveis como arranjos planejados para normas pertinentes do sistema de gestão requisitos estatutários e regulamentares e outros requisitos com os quais a organi zação esteja comprometida f resultados de auditorias internas ou externas e análises críticas gerenciais anteriores se apropriado g resultados de análise crítica de um programa de auditoria anterior h questões de idioma culturais e sociais i preocupações das partes interessadas como reclamações de clientes não conformidade com requisitos estatutários e regulamentares e outros requisitos com os quais a organização esteja comprometida ou questões de cadeia de suprimentos j mudanças significativas para o contexto do auditado ou suas operações e riscos e oportunidades relacionadas k disponibilidade de tecnologias da informação e comunicação para apoiar atividades de auditoria em particular o uso de métodos de auditoria remota ver A16 l ocorrência de eventos internos e externos como não conformidades de produtos ou serviço brechas de segurança da informação incidentes de saúde e segurança atos criminosos ou inci dentes ambientais m riscos e oportunidades do negócio incluindo ações para abordálos 544 Determinando recursos do programa de auditoria Ao determinar recursos para o programa de auditoria convém que as pessoas que gerenciam o programa de auditoria considerem a recursos financeiros e tempo necessários para desenvolver implementar gerenciar e melhorar atividades de auditoria b métodos de auditoria ver A1 13 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI c disponibilidade individual e global de auditores e especialistas que tenham competência apro priada para os objetivos particulares do programa de auditoria d extensão do programa de auditoria ver 543 e riscos e oportunidades do programa de auditoria ver 53 e custo e tempo de viagem acomodação e outras necessidades de auditoria f impacto de diferentes fusos horários g a disponibilidade de tecnologias de informação e comunicação por exemplo recursos técnicos requeridos para instituir uma auditoria remota usando tecnologias que apoiam a colaboração remota h disponibilidade de quaisquer ferramentas tecnologia e equipamento requeridos i disponibilidade de informação documentada necessária como determinada durante o estabe lecimento de um programa de auditoria ver A5 j requisitos relacionados à instalação incluindo quaisquer liberações e equipamento de segurança por exemplo verificações de histórico equipamento de proteção pessoal capacidade de usar trajes para salas limpas 55 Implementando o programa de auditoria 551 Generalidades Uma vez que o programa de auditoria tenha sido estabelecido ver 543 e os recursos relacionados tenham sido determinados ver 544 é necessário implementar o planejamento operacional e a coordenação de todas as atividades no programa Convém que as pessoas que gerenciam o programa de auditoria a comuniquemse com as partes pertinentes do programa de auditoria incluindo os riscos e oportunidades envolvidos e com as partes interessadas pertinentes e informem periodicamente de seu progresso usando canais de comunicação externos e internos estabelecidos b especifiquem objetivos escopo e critérios para cada auditoria individual c selecionem métodos de auditoria ver A1 d coordenem e agendem auditorias e outras atividades pertinentes ao programa de auditoria e assegurem que as equipes de auditoria tenham a competência necessária ver 554 f forneçam recursos individuais e globais necessários para as equipes de auditoria ver 544 g assegurem a condução de auditorias de acordo com o programa de auditoria gerenciando todos os riscos operacionais oportunidades e questões isto é eventos inesperados conforme eles surjam durante a implantação do programa h assegurem que a informação documentada pertinente relativa às atividades de auditoria seja gerenciada e mantida apropriadamente ver 557 14 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI i definam e implementem os controles operacionais ver 56 necessários para o monitoramento do programa de auditoria j analisem criticamente o programa de auditoria para identificar oportunidades para sua melhoria ver 57 552 Definindo os objetivos escopo e critérios para uma auditoria individual Convém que cada auditoria individual seja baseada em objetivos escopo e critérios de auditoria especificados Convém que esses sejam coerentes com os objetivos globais do programa de auditoria Os objetivos da auditoria determinam o que é para ser realizado pela auditoria individual e podem incluir o seguinte a determinação da extensão da conformidade do sistema de gestão a ser auditado ou partes dele com critérios de auditoria b avaliação da capacidade do sistema de gestão de auxiliar a organização a atender os requisitos regulamentares e estatutários pertinentes e outros requisitos com os quais a organização esteja comprometida c avaliação da eficácia do sistema de gestão em alcançar seus resultados pretendidos d identificação de oportunidades para potencial melhoria do sistema de gestão e avaliação da adequação e suficiência do sistema de gestão em relação ao contexto e direção estratégica do auditado f avaliação da capacidade do sistema de gestão para estabelecer e alcançar objetivos e abordar riscos e oportunidades eficazmente em um contexto em mudança incluindo a implementação das ações relacionadas Convém que o escopo de auditoria seja coerente com o programa e os objetivos da auditoria Ele inclui fatores como locais funções atividades e processos a serem auditados assim como o período de tempo coberto pela auditoria Os critérios de auditoria são usados como uma referência em relação à qual a conformidade é deter minada Estes podem incluir um ou mais dos seguintes políticas aplicáveis processos procedi mentos critérios de desempenho incluindo objetivos requisitos estatutários e regulamentares requisitos do sistema de gestão informação relativa ao contexto e aos riscos e oportunidades como determinado pelo auditado incluindo requisitos de partes interessadas pertinentes externasinternas códigos de conduta setoriais ou outros arranjos planejados Convém que na eventualidade de quaisquer mudanças nos objetivos de auditoria escopo ou critérios o programa de auditoria seja modificado se necessário e comunicado as partes interessadas para aprovação se apropriado Quando mais de uma disciplina está sendo auditada ao mesmo tempo é importante que os objetivos o escopo e os critérios de auditoria sejam coerentes com os programas de auditorias pertinentes para cada disciplina Algumas disciplinas podem ter um escopo que reflita a organização inteira e outras podem ter um escopo que reflita um subconjunto da organização inteira 15 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 553 Selecionando e determinando os métodos de auditoria Convém que as pessoas que gerenciam o programa de auditoria selecionem e determinem os métodos para conduzir uma auditoria eficaz e eficientemente dependendo dos objetivos escopo e critérios de auditoria estabelecidos Auditorias podem ser realizadas no local remotamente ou como uma combinação Convém que o uso destes métodos seja adequadamente equilibrado baseado em entre outras consideração de riscos e oportunidades associadas Quando duas ou mais organizações de auditoria conduzem uma auditoria conjunta do mesmo auditado convém que as pessoas que gerenciam os diferentes programas de auditorias estejam de acordo sobre os métodos de auditoria e considerem implicações para alocar recursos e planejar a auditoria Se um auditado operar dois ou mais sistemas de gestão de diferentes disciplinas auditorias combi nadas podem ser incluídas no programa de auditoria 554 Selecionando os membros da equipe de auditoria Convém que as pessoas que gerenciam o programa de auditoria indiquem os membros da equipe de auditoria incluindo o líder da equipe e quaisquer especialistas necessários para a auditoria específica Convém que uma equipe de auditoria seja selecionada levando em conta a competência necessária para alcançar os objetivos da auditoria individual no escopo determinado Se houver somente um auditor convém que o auditor realize todas as obrigações aplicáveis de um líder de equipe de auditoria NOTA A Seção 7 contém orientações para determinar a competência necessária para os membros da equipe de auditoria e descreve os processos para avaliar os auditores Para assegurar a competência global da equipe de auditoria convém realizar os seguintes passos identificação da competência necessária para alcançar os objetivos da auditoria seleção dos membros da equipe de auditoria de modo que a competência necessária esteja presente na equipe de auditoria Ao decidir o tamanho e a composição da equipe de auditoria para a auditoria específica convém que seja considerado o seguinte a competência global necessária da equipe de auditoria para alcançar os objetivos de auditoria levando em conta o escopo e os critérios de auditoria b complexidade da auditoria c se a auditoria é uma auditoria combinada ou conjunta d os métodos de auditoria selecionados e asseguramento da objetividade e imparcialidade para evitar qualquer conflito de interesse do processo de auditoria f capacidade dos membros da equipe de auditoria para trabalhar e interagir eficazmente com os representantes do auditado e partes interessadas pertinentes 16 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI g questões externasinternas pertinentes como o idioma da auditoria e as características culturais e sociais do auditado Estas questões podem ser abordadas pelas próprias habilidades do auditor ou por meio do apoio de um especialista também considerando a necessidade de intérpretes h tipo e complexidade dos processos a serem auditados Quando apropriado convém que as pessoas que gerenciam o programa de auditoria consultem o líder da equipe sobre a composição da equipe de auditoria Se a competência necessária não for coberta pelos auditores na equipe de auditoria convém que especialistas com competência adicional sejam colocados à disposição para apoiar a equipe Auditores em treinamento podem ser incluídos na equipe de auditoria mas convém que participem sob a direção e orientação de um auditor Mudanças na composição da equipe de auditoria podem ser necessárias durante a auditoria por exemplo se um conflito de interesse ou questão de competência surgir Se tal situação surgir convém que ela seja resolvida com as partes apropriadas por exemplo líder da equipe de auditoria pessoas que gerenciam o programa de auditoria cliente da auditoria ou auditado antes que quais quer mudanças sejam feitas 555 Atribuindo responsabilidade para uma auditoria individual ao líder da equipe de auditoria Convém que as pessoas que gerenciam o programa de auditoria designem a responsabilidade por conduzir a auditoria individual a um líder de equipe de auditoria Convém que a atribuição seja feita em tempo suficiente antes da data agendada da auditoria para assegurar o planejamento eficaz da auditoria Para assegurar a condução eficaz das auditorias individuais convém que a seguinte informação seja fornecida ao líder da equipe de auditoria a objetivos da auditoria b critérios de auditoria e qualquer informação documentada pertinente c escopo da auditoria incluindo identificação da organização e suas funções e processos a serem auditados d processos de auditoria e métodos associados e composição da equipe de auditoria f detalhes de contato do auditado e locais período de tempo e duração das atividades de auditoria a serem conduzidas g recursos necessários para conduzir a auditoria h informação necessária para avaliar e abordar riscos e oportunidades identificados para o alcance dos objetivos de auditoria i informação que apoie os líderes da equipe de auditoria em suas interações com o auditado para a eficácia do programa de auditoria 17 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Convém que a informação de atribuição também abranja o seguinte conforme apropriado idioma de trabalho e de relato da auditoria quando este for diferente do idioma do auditor ou do auditado ou de ambos saída de relato de auditoria como requerido e a quem será distribuída assuntos relacionados à confidencialidade e segurança da informação se requerido pelo pro grama de auditoria quaisquer arranjos de saúde segurança e meio ambiente para os auditores requisitos para viagem ou acesso a locais remotos quaisquer requisitos de segurança e autorização quaisquer ações a serem analisadas criticamente por exemplo ações de acompanhamento de uma auditoria anterior coordenação com outras atividades de auditoria por exemplo quando equipes diferentes estão auditando processos similares ou relacionados a diferentes locais ou no caso de auditoria conjunta Quando uma auditoria conjunta for conduzida é importante alcançar acordo entre as organizações que conduzem auditorias antes que a auditoria comece sobre as responsabilidades específicas de cada parte particularmente em relação à autoridade do líder de equipe indicado para a auditoria 556 Gerenciando os resultados do programa de auditoria Convém que as pessoas que gerenciam o programa de auditoria assegurem que as seguintes atividades sejam realizadas a avaliação do alcance dos objetivos para cada auditoria no programa de auditoria b análise crítica e aprovação de relatórios de auditoria relativos ao atendimento do escopo e objetivos de auditoria c análise crítica da eficácia de ações tomadas para abordar constatações de auditoria d distribuição de relatórios de auditoria às partes interessadas pertinentes e determinação da necessidade de qualquer auditoria de acompanhamento Convém que a pessoa que gerencia o programa de auditoria considere quando apropriado comunicação dos resultados de auditoria e as melhores práticas a outras áreas da organização e implicações para outros processos 557 Gerenciando e mantendo os registros do programa de auditoria Convém que as pessoas que gerenciam o programa de auditoria assegurem que os registros de auditoria sejam gerados gerenciados e mantidos para demonstrar a implementação do programa de auditoria Convém que os processos sejam estabelecidos para assegurar que quaisquer necessidades de segurança e confidencialidade de informação associadas aos registros de auditoria sejam abordadas 18 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Os registros podem incluir o seguinte a Registros relacionados ao programa de auditoria como agenda de auditoria objetivos e extensão do programa de auditoria aqueles que abordam riscos e oportunidades do programa de auditoria e questões externas e internas pertinentes análise crítica da eficácia do programa de auditoria b Registros relacionados a cada auditoria como planos de auditoria e relatórios de auditoria evidência objetiva e constatações de auditoria relatórios de não conformidades relatórios de correções e ações corretivas relatórios de acompanhamento de auditoria c Registros relacionados à equipe de auditoria abrangendo tópicos como avaliação de competência e desempenho dos membros da equipe de auditoria critérios para a seleção de equipes de auditoria e membros da equipe e formação de equipes de auditoria manutenção e melhoria da competência Convém que a forma e ao nível de detalhe dos registros demonstrem que os objetivos do programa de auditoria foram alcançados 56 Monitorando o programa de auditoria Convém que as pessoas que gerenciam o programa de auditoria assegurem a avaliação de a se os agendamentos estão sendo cumpridos e se os objetivos do programa de auditoria estão sendo alcançados b desempenho dos membros da equipe de auditoria incluindo o líder da equipe de auditoria e os especialistas c capacidade das equipes de auditoria de implementar o plano de auditoria d feedback para clientes de auditoria auditados auditores especialistas e outras partes interes sadas pertinentes e suficiência e adequação de informação documentada em todo o processo de auditoria 19 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Alguns fatores podem indicar a necessidade de modificar o programa de auditoria Estes podem incluir mudanças para constatações de auditoria nível demonstrado de eficácia e maturidade do sistema de gestão do auditado eficácia do programa de auditoria escopo de auditoria ou escopo do programa de auditoria sistema de gestão do auditado normas e outros requisitos com os quais a organização está comprometida fornecedores externos conflitos de interesse identificados requisitos do cliente da auditoria 57 Analisando criticamente e melhorando o programa de auditoria Convém que as pessoas que gerenciam o programa de auditoria e o cliente de auditoria analisem criticamente o programa de auditoria para avaliar se os seus objetivos foram alcançados Convém que as lições apreendidas a partir da análise crítica do programa de auditoria sejam usadas como entradas para a melhoria do programa Convém que as pessoas que gerenciam o programa de auditoria assegurem o seguinte análise crítica da implementação global do programa de auditoria identificação das áreas e oportunidades para melhoria operação de mudanças no programa de auditoria se necessário análise crítica do desenvolvimento profissional contínuo de auditores de acordo com 76 relatos dos resultados do programa de auditoria e análise crítica com o cliente de auditoria e partes interessadas pertinentes conforme apropriado Convém que a análise crítica do programa de auditoria considere o seguinte a resultados e tendências do monitoramento do programa de auditoria b conformidade com os processos do programa de auditoria e informação documentada pertinente c necessidades e expectativas em evolução de partes interessadas pertinentes d registros do programa de auditoria e métodos novos ou alternativos de auditoria f métodos novos ou alternativos para avaliar auditores 20 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI g eficácia de ações para abordar os riscos e oportunidades e questões internas e externas asso ciadas ao programa de auditoria h questões de confidencialidade e segurança de informação relativas ao programa de auditoria 6 Conduzindo uma auditoria 61 Generalidades Esta Seção contém orientação para preparar e conduzir uma auditoria específica como parte de um programa de auditoria A Figura 2 fornece uma visão geral das atividades executadas em uma audi toria típica A extensão na qual as disposições desta Seção são aplicáveis depende dos objetivos e do escopo da auditoria específica 62 Iniciando a auditoria 621 Generalidades Convém que a responsabilidade por conduzir a auditoria mantenhase com o auditorlíder da equipe de auditoria designado ver 555 até que a auditoria seja concluída ver 66 Para iniciar uma auditoria convém que os passos da Figura 1 sejam considerados entretanto a sequência pode variar dependendo do auditado do processos e das circunstâncias específicas da auditoria 622 Estabelecendo contato com o auditado Convém que o líder da equipe de auditoria assegure que seja feito contato com o auditado para a confirmar canais de comunicação com os representantes do auditado b confirmar a autoridade para conduzir a auditoria c fornecer informação pertinente sobre os objetivos escopo critérios métodos de auditoria e compo sição da equipe de auditoria incluindo quaisquer especialistas d solicitar acesso à informação pertinente para propósitos de planejamento incluindo informação sobre os riscos e oportunidades que a organização tenha identificado e como eles serão abordados e determinar requisitos estatutários e regulamentares aplicáveis e outros requisitos pertinentes às atividades processos produtos e serviços do auditado f confirmar o acordo com o auditado relativo à extensão da divulgação e ao tratamento de infor mação confidencial g fazer arranjos para a auditoria incluindo o agendamento h determinar quaisquer arranjos específicos ao local para acesso saúde e segurança segurança confidencialidade ou outro NOTA BRASILEIRA Por convenção os termos safety e security foram traduzidos como segurança Consequentemente neste documento o texto saúde e segurança segurança foi usado como tradução do texto original health and safety security 21 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI i acordar sobre a presença de observadores e a necessidade de guias ou intérpretes para a equipe de auditoria j determinar quaisquer áreas de interesse preocupação ou riscos para o auditado em relação à auditoria específica k resolver questões relativas à composição da equipe de auditoria com o auditado ou o cliente de auditoria 623 Determinando a viabilidade da auditoria Convém que a viabilidade da auditoria seja determinada para fornecer confiança razoável de que os objetivos da auditoria podem ser alcançados Convém que a determinação da viabilidade leve em consideração fatores como a disponibilidade do seguinte a informação apropriada e suficiente para planejar e conduzir a auditoria b cooperação adequada do auditado c tempo e recursos adequados para conduzir a auditoria NOTA Recursos incluem acesso à tecnologia da informação e comunicação adequados e apropriados Quando a auditoria não for viável convém que seja proposta uma alternativa ao cliente de auditoria em comum acordo com o auditado 63 Preparando as atividades da auditoria 631 Realizando análise crítica de informação documentada Convém que a informação documentada pertinente do sistema de gestão do auditado seja analisada criticamente para reunir informação para entender as operações do auditado e preparar as atividades da auditoria e documentos de trabalho de auditoria aplicáveis ver 634 por exemplo sobre processos e funções estabelecer uma visão geral da extensão da informação documentada para determinar possível conformidade com os critérios de auditoria e detectar possíveis áreas de preocupação como deficiências omissões ou conflitos Convém que a informação documentada inclua mas não se limite a documentos e registros de sistema de gestão assim como relatórios de auditorias anteriores Convém que a análise crítica leve em conta o contexto da organização do auditado incluindo seu tamanho natureza e complexidade e seus riscos e oportunidades relacionados Convém que ela também leve em conta o escopo critérios e objetivos da auditoria NOTA Orientação sobre como verificar informação é fornecida em A5 22 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 632 Planejando a auditoria 6321 Abordagem baseada em risco para planejamento Convém que o líder da equipe de auditoria adote uma abordagem baseada em risco para planejar a auditoria com base na informação no programa de auditoria e na informação documentada forne cida pelo auditado Convém que o planejamento de auditoria considere os riscos das atividades de auditoria nos processos do auditado e forneça a base para o acordo entre o cliente de auditoria a equipe de auditoria e o auditado relativo à condução da auditoria Convém que o planejamento facilite o agendamento e a coordenação eficientes das atividades de auditoria para alcançar os objetivos eficazmente Convém que a quantidade de detalhe fornecida no plano de auditoria reflita o escopo e a comple xidade da auditoria assim como o risco de não alcançar os objetivos da auditoria Ao planejar a auditoria convém que o líder da equipe de auditoria considere o seguinte a composição da equipe de auditoria e sua competência global b técnicas de amostragem apropriadas ver A6 c oportunidades para melhorar a eficácia e a eficiência das atividades de auditoria d riscos para alcançar os objetivos da auditoria criados por um planejamento de auditoria ineficaz e riscos para o auditado criados pela realização da auditoria Riscos para o auditado podem resultar da presença dos membros da equipe de auditoria influen ciando adversamente os arranjos do auditado para saúde e segurança meio ambiente e qualidade e seus produtos serviços pessoal ou infraestrutura por exemplo contaminação em instalações de sala limpa Para auditorias combinadas convém que particular atenção seja dada às interações entre os processos operacionais e quaisquer objetivos e prioridades concorrentes dos diferentes sistemas de gestão 6322 Detalhes do planejamento de auditoria A dimensão e o conteúdo do planejamento de auditoria podem variar por exemplo entre auditorias iniciais e subsequentes assim como entre auditorias internas e externas Convém que o planejamento de auditoria seja suficientemente flexível para permitir mudanças que possam se tornar necessárias conforme as atividades de auditoria progridam Convém que o planejamento da auditoria aborde ou referencie o seguinte a objetivos de auditoria b escopo da auditoria incluindo identificação da organização e suas funções assim como os processos a serem auditados c critérios de auditoria e qualquer informação documentada de referência d locais físicos e virtuais datas tempo e duração estimados das atividades de auditoria a serem conduzidas incluindo reuniões com a direção do auditado 23 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI e necessidade de a equipe de auditoria se familiarizar com as instalações e processos do auditado por exemplo conduzindo uma visita aos localis físicos ou analisando criticamente tecnologia de informação e comunicação f métodos de auditoria a serem usados incluindo a extensão na qual a amostragem de auditoria seja necessária para obter evidências suficientes de auditoria g papéis e responsabilidades dos membros da equipe de auditoria assim como dos guias e obser vadores ou intérpretes h alocação de recursos apropriados baseada na consideração dos riscos e oportunidades relacio nados às atividades que serão auditadas Convém que o planejamento da auditoria leve em conta conforme apropriado identificação dos representantes do auditado para a auditoria idioma de trabalho e do relatório da auditoria quando for diferente do idioma do auditor ou do auditado ou de ambos tópicos do relatório de auditoria arranjos de logística e comunicações incluindo arranjos específicos para os locais a serem auditados quaisquer ações específicas a serem tomadas para abordar riscos para se alcançarem os obje tivos de auditoria e oportunidades que surjam assuntos relacionados à confidencialidade e segurança da informação quaisquer ações de acompanhamento de uma auditoria anterior ou outras fontes por exemplo lições apreendidas análises críticas de projeto quaisquer atividades de acompanhamento para a auditoria planejada coordenação com outras atividades de auditoria no caso de uma auditoria conjunta Convém que os planos de auditoria sejam apresentados ao auditado Convém que quaisquer questões em relação ao plano de auditoria sejam solucionadas entre o líder da equipe de auditoria o auditado e se necessário as pessoas que gerenciam o programa de auditoria 633 Atribuindo trabalho para a equipe de auditoria Convém que o líder da equipe de auditoria em consulta à equipe de auditoria atribua responsabilidade a cada membro da equipe para auditar processos atividades funções ou locais específicos e conforme apropriado autoridade para tomar decisão Convém que as atribuições levem em conta a imparcialidade objetividade e competência dos auditores e o uso eficaz de recursos assim como diferentes funções e responsabilidades dos auditores auditores em treinamento e especialistas Convém que reuniões da equipe de auditoria sejam realizadas conforme apropriado pelo líder da equipe de auditoria para alocar as atribuições de trabalho e decidir as possíveis mudanças As mudanças nas atribuições de trabalho podem ser feitas conforme a auditoria progrida para assegurar o alcance dos objetivos de auditoria 24 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 634 Preparando informação documentada para a auditoria Convém que os membros da equipe de auditoria coletem e analisem criticamente a informação pertinente às suas atribuições de auditoria e preparem informação documentada para a auditoria usando qualquer meio apropriado A informação documentada para a auditoria pode incluir mas não está limitada a a listas de verificação físicas ou digitais b detalhes de amostragem de auditoria c informação audiovisual Convém que o uso destes meios não restrinja a extensão das atividades de auditoria que podem mudar como resultado da informação coletada durante a auditoria NOTA Orientação para preparar documentos de trabalho de auditoria é dada em A13 Convém que informação documentada preparada para a e resultante da auditoria seja retida no mínimo até a conclusão da auditoria ou como especificado no programa de auditoria Retenção de informação documentada após a conclusão da auditoria está descrita em 66 Convém que informação documentada criada durante o processo de auditoria envolvendo informação confidencial ou proprietária seja sempre salvaguardada adequadamente pelos membros da equipe de auditoria 64 Conduzindo atividades da auditoria 641 Generalidades Atividades de auditoria são normalmente conduzidas em uma sequência estabelecida como indicado na Figura 1 Esta sequência pode ser alterada para se adequar às circunstâncias das auditorias específicas 642 Atribuindo papéis e responsabilidades para guias e observadores Guias e observadores podem acompanhar a equipe de auditoria com aprovações do líder da equipe de auditoria cliente da auditoria eou auditado se requerido Não convém que eles influenciem ou interfiram na condução da auditoria Se isso não puder ser assegurado convém que o líder da equipe de auditoria tenha o direito de negar que os observadores estejam presentes durante certas atividades de auditoria Para os observadores convém que quaisquer arranjos para acesso saúde e segurança meio ambiente segurança e confidencialidade sejam gerenciados entre o cliente de auditoria e o auditado Convém que os guias designados pelo auditado auxiliem a equipe de auditoria e ajam por solicitação do líder da equipe de auditoria ou auditor ao qual eles tiverem sido atribuídos Convém que suas responsabilidades incluam o seguinte a auxiliar os auditores na identificação de pessoas para participar de entrevistas e na confirmação de horários e locais b arranjar acesso aos locais específicos do auditado c assegurar que as regras relativas aos arranjos para acesso específicos do local saúde e segurança meio ambiente segurança confidencialidade e outras questões sejam conhecidas e respeitadas pelos membros da equipe de auditoria e observadores e que quaisquer riscos sejam abordados 25 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI d testemunhar a auditoria em nome do auditado quando apropriado e fornecer esclarecimento ou auxiliar na coleta de informação quando necessário 643 Conduzindo a reunião de abertura O propósito da reunião de abertura é a confirmar o acordo de todas os participantes por exemplo auditado equipe de auditoria com o plano de auditoria b apresentar a equipe de auditoria e suas funções c assegurar que todas as atividades planejadas de auditoria possam ser realizadas Convém que uma reunião de abertura seja realizada com a direção do auditado e onde apropriado aqueles responsáveis pelas funções ou processos a serem auditados Durante a reunião convém que seja dada uma oportunidade para perguntas Convém que o grau de detalhe seja coerente com a familiaridade do auditado com o processo da auditoria Em muitas situações por exemplo em auditorias internas em uma pequena organização a reunião de abertura pode simplesmente consistir em comunicar que uma auditoria está sendo conduzida e explicar a natureza da auditoria Para outras situações de auditoria a reunião pode ser formal e convém que registros de presença sejam mantidos Convém que a reunião seja presidida pelo líder da equipe de auditoria Convém considerar introduzir o seguinte conforme apropriado outros participantes incluindo observadores e guias intérpretes e um delineamento de suas funções métodos de auditoria para gerenciar riscos para a organização que podem resultar da presença dos membros da equipe de auditoria Convém que seja considerada a confirmação dos seguintes itens conforme apropriado objetivos escopo e critérios de auditoria plano de auditoria e outros arranjos pertinentes com o auditado como data e horário da reunião de encerramento e de quaisquer reuniões intermediárias entre a equipe de auditoria e a direção do auditado e qualquerquaisquer mudanças necessárias canais formais de comunicação entre a equipe de auditoria e o auditado idioma a ser usado durante a auditoria que o auditado será mantido informado do progresso da auditoria durante a auditoria disponibilidade dos recursos e instalações necessárias pela equipe de auditoria assuntos relacionados à confidencialidade e segurança da informação arranjos pertinentes de acesso saúde e segurança segurança emergência e outros arranjos para a equipe de auditoria atividades no local que possam impactar a condução da auditoria 26 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Convém que seja considerado apresentar informação sobre os seguintes itens conforme apropriado método de relatar constatações da auditoria incluindo critérios de classificação se houver condições sob as quais a auditoria pode ser encerrada como lidar com possíveis constatações encontradas durante a auditoria qualquer sistema para feedback do auditado sobre as constatações ou conclusões da auditoria incluindo reclamações ou apelações 644 Comunicação durante a auditoria Durante a auditoria pode ser necessário fazer arranjos formais para comunicação entre a equipe de auditoria assim como com o auditado o cliente de auditoria e com partes potencialmente inte ressadas externas por exemplo regulamentadores especialmente onde os requisitos estatutários e regulamentares requerem mandatoriamente relatar não conformidades Convém que a equipe de auditoria se comunique periodicamente para trocar informação avaliar o progresso da auditoria e reatribuir trabalho entre os membros da equipe de auditoria se necessário Durante a auditoria convém que o líder da equipe de auditoria comunique periodicamente o progresso da auditoria quaisquer constatações significativas e quaisquer preocupações ao auditado e ao cliente da auditoria conforme apropriado Convém que a evidência coletada durante a auditoria que sugira um risco imediato e significativo seja relatada sem demora ao auditado e conforme apropriado ao cliente da auditoria Convém que qualquer preocupação sobre um assunto fora do escopo da auditoria seja notada e relatada ao líder da equipe de auditoria para possível comunicação ao cliente da auditoria e ao auditado Quando a evidência de auditoria disponível indicar que os objetivos de auditoria são inatingíveis convém que o líder da equipe de auditoria relate as razões ao cliente da auditoria e ao auditado para determinação da ação apropriada Tal ação pode incluir mudanças no planejamento da auditoria objetivos ou escopo da auditoria ou encerramento da auditoria Convém que qualquer necessidade de mudanças no plano da auditoria que possa se tornar aparente conforme as atividades de auditoria progridam seja analisada criticamente e aceita conforme apropriado pelas pessoas que gerenciam o programa de auditoria e pelo cliente de auditoria e seja apresentada ao auditado 645 Disponibilidade e acesso de informação de auditoria Os métodos de auditoria escolhidos para uma auditoria dependem dos objetivos escopo e critérios de auditoria estabelecidos assim como duração e local O local é onde a informação necessária para a atividade específica de auditoria está disponível para a equipe de auditoria Isso pode incluir locais físicos e virtuais Onde quando e como acessar a informação de auditoria é crucial para a auditoria Isso é independente de onde a informação é criada usada eou armazenada Com base nestas questões os métodos de auditoria necessitam ser determinados ver Tabela A1 A auditoria pode usar uma mistura de métodos Além disso circunstâncias de auditoria podem significar que os métodos necessitam ser modificados durante a auditoria 27 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 646 Analisando criticamente a informação documentada ao conduzir a auditoria Convém que a informação documentada pertinente do auditado seja analisada criticamente para determinar a conformidade do sistema até onde documentada com os critérios de auditoria reunir informação para apoiar as atividades de auditoria NOTA Orientação sobre como verificar a informação é fornecida em A5 A análise crítica pode ser combinada com as outras atividades de auditoria e pode continuar ao longo da auditoria desde que isso não seja prejudicial à eficácia da condução da auditoria Se informação documentada adequada não puder ser fornecida no período de tempo dado no plano de auditoria convém que o líder da equipe de auditoria informe às pessoas que gerenciam o programa de auditoria e ao auditado Dependendo dos objetivos e do escopo da auditoria convém que uma decisão seja tomada sobre se convém continuar ou suspender a auditoria até que preocu pações com informação documentada sejam resolvidas 647 Coletando e verificando informação Convém que durante a auditoria informação pertinente aos objetivos escopo e critérios de auditoria incluindo informação relativa às interfaces entre funções atividades e processos seja coletada por meio de amostragem apropriada e convém que seja verificada até onde praticável NOTA 1 Para verificar informação ver A5 NOTA 2 Orientação sobre amostragem é dada em A6 Convém que somente informação que possa estar sujeita a algum grau de verificação seja aceita como evidência de auditoria Onde o grau de verificação for baixo convém que o auditor use seu julgamento profissional para determinar o grau de confiança que pode ser depositado nela como evidência Convém que a evidência de auditoria que leve a constatações de auditoria seja registrada Se durante a coleta de evidência objetiva a equipe de auditoria tomar ciência de quaisquer circunstâncias novas ou modificadas ou riscos ou oportunidades convém que eles sejam convenientemente abordados pela equipe A Figura 2 fornece uma visão geral de um processo típico desde coletar informação até alcançar as conclusões da auditoria 28 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Fonte de informação Coletando por meio de amostragem apropriada Avaliando em relação aos critérios de auditoria Constatações de auditoria Analisando criticamente Conclusões de auditoria Evidência de auditoria Figura 2 Visão geral de um processo usual para coletar e verificar informação Métodos para coletar informação incluem o mas não estão limitados ao seguinte entrevistas observações análise crítica de informação documentada NOTA 3 Orientação sobre a seleção de fontes de informação e de observação é dada em A14 NOTA 4 Orientação sobre visitas à localização do auditado é dada em A15 NOTA 5 Orientação sobre a condução de entrevistas é dada em A17 648 Gerando constatações de auditoria Convém que a evidência de auditoria seja avaliada em relação aos critérios de auditoria para determinar as constatações de auditoria As constatações de auditoria podem indicar conformidade ou não conformidade com os critérios de auditoria Quando especificado pelo plano de auditoria convém que as constatações de auditoria individual incluam conformidade e boas práticas junto com suas evidências de apoio oportunidades para melhoria e quaisquer recomendações para o auditado Convém que não conformidades e evidências de auditoria que as apoiam sejam registradas Não conformidades podem ser classificadas dependendo do contexto da organização e de seus riscos Esta classificação pode ser quantitativa por exemplo de 1 a 5 e qualitativa por exemplo menor e maior Convém que elas sejam analisadas criticamente com o auditado para obter reconhecimento de que a evidência de auditoria é exata e que as não conformidades são entendidas Convém que todo o empenho seja feito para resolver quaisquer opiniões divergentes relativas às evidências ou constatações de auditoria Convém que questões não resolvidas sejam registradas no relatório de auditoria 29 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Convém que a equipe de auditoria se reúna como necessário para analisar criticamente as consta tações de auditoria em estágios apropriados durante a auditoria NOTA 1 Orientação adicional sobre a identificação e avaliação de constatações de auditoria é dada em A18 NOTA 2 Conformidade ou não conformidade com critérios de auditoria relacionados aos requisitos estatu tários ou regulamentares ou outros requisitos é algumas vezes referida como compliance ou não compliance 649 Determinando conclusões de auditoria 6491 Preparação para a reunião de encerramento Convém que a equipe de auditoria conferencie antes da reunião de encerramento para a analisar criticamente as constatações da auditoria e qualquer outra informação apropriada cole tada durante a auditoria em relação aos objetivos de auditoria b acordar sobre as conclusões de auditoria levando em conta a incerteza inerente ao processo de auditoria c preparar recomendações se especificado pelo plano de auditoria d discutir o acompanhamento de auditoria como aplicável 6492 Conteúdo de conclusões de auditoria Convém que as conclusões de auditoria abordem questões como as seguintes a extensão da conformidade com os critérios de auditoria e robustez do sistema de gestão incluindo a eficácia do sistema de gestão em alcançar os resultados pretendidos a identificação de riscos e eficácia das ações tomadas pelo auditado para abordar riscos b implementação a eficaz manutenção e melhoria do sistema de gestão c alcance dos objetivos de auditoria cobertura do escopo de auditoria e atendimento de critérios de auditoria d constatações similares feitas em diferentes áreas que foram auditadas ou de uma auditoria conjunta ou prévia com o propósito de identificar tendências Se especificado pelo plano de auditoria conclusões de auditoria podem levar a recomendações para melhoria ou a futuras atividades de auditoria 6410 Conduzindo a reunião de encerramento Convém que seja realizada uma reunião de encerramento para apresentar as constatações e conclu sões de auditoria Convém que a reunião de encerramento seja presidida pelo líder da equipe de auditoria com a parti cipação da direção do auditado e inclua como aplicável aqueles responsáveis pelas funções ou processos que foram auditados cliente de auditoria 30 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI outros membros da equipe de auditoria outras partes interessadas pertinentes como determinado pelo cliente da auditoria eou pelo auditado Se aplicável convém que o líder da equipe de auditoria alerte ao auditado sobre situações encon tradas durante a auditoria que possam diminuir a confiança que pode ser depositada nas conclusões de auditoria Se for especificado no sistema de gestão ou por acordo com o cliente de auditoria con vém que os participantes acordem o período de tempo para um plano de ação abordar consta tações de auditoria Convém que o grau de detalhe leve em conta a eficácia do sistema de gestão em alcançar os objetivos do auditado incluindo consideração de seu contexto e riscos e oportunidades Convém que também seja levada em consideração durante a reunião de encerramento a familiaridade do auditado com o processo de auditoria para assegurar que o nível correto de detalhe seja fornecido aos participantes Para algumas situações de auditoria a reunião pode ser formal e convém que atas incluindo registros de presença sejam conservadas Em outras situações por exemplo auditorias internas a reunião de encerramento pode ser menos formal e consistir apenas em comunicar as constatações de auditoria e as conclusões de auditoria Conforme apropriado convém que o seguinte seja explicado ao auditado na reunião de encerramento a aviso de que a evidência de auditoria coletada foi baseada em uma amostragem da informação disponível e que não é necessariamente totalmente representativa da eficácia global dos pro cessos do auditado b método de relatar c como convém que a constatação de auditoria seja abordada no processo acordado d possíveis consequências de não abordar suficientemente as constatações de auditoria e apresentação das constatações e conclusões de auditoria de uma maneira que elas sejam entendidas e reconhecidas pela direção do auditado f quaisquer atividades pósauditoria relacionadas por exemplo implementação e análise crítica de ações corretivas abordagem de reclamações de auditoria processo de apelação Convém que quaisquer opiniões divergentes relativas às constatações ou conclusões de auditoria entre a equipe de auditoria e o auditado sejam discutidas e se possível resolvidas Se não resolvidas convém que isso seja registrado Se especificado pelos objetivos da auditoria recomendações de oportunidades para melhorias podem ser apresentadas Convém que seja enfatizado que as recomendações não são restritivas 31 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 65 Preparando e distribuindo o relatório de auditoria 651 Preparando o relatório de auditoria Convém que o líder da equipe de auditoria relate as conclusões de auditoria de acordo com o programa de auditoria Convém que o relatório de auditoria forneça um registro completo exato conciso e claro da auditoria e convém que inclua ou se refira ao seguinte a objetivos de auditoria b escopo de auditoria particularmente a identificação da organização o auditado e as funções ou processos auditados c identificação do cliente de auditoria d identificação da equipe de auditoria e de participantes do auditado na auditoria e datas e locais onde as atividades de auditoria foram conduzidas f critérios de auditoria g constatações de auditoria e evidências relacionadas h conclusões de auditoria i uma declaração sobre o grau no qual os critérios de auditoria foram atendidos j quaisquer opiniões divergentes não resolvidas entre a equipe de auditoria e o auditado k auditorias por natureza são um exercício de amostragem como tal há um risco de que a evidência de auditoria examinada não seja representativa O relatório de auditoria pode também incluir ou se referir ao seguinte conforme apropriado plano de auditoria incluindo agenda um resumo do processo de auditoria incluindo quaisquer obstáculos encontrados que possam reduzir a confiabilidade das conclusões de auditoria confirmação de que os objetivos de auditoria foram alcançados no escopo de auditoria de acordo com o plano de auditoria quaisquer áreas no escopo da auditoria não cobertas incluindo quaisquer questões de disponibi lidade de evidência recursos ou confidencialidade com justificativas relacionadas um resumo cobrindo as conclusões de auditoria e as principais constatações de auditoria que a apoiam boas práticas identificadas acompanhamento de plano de ação acordado se houver uma declaração da natureza confidencial dos conteúdos quaisquer implicações para o programa de auditoria ou auditorias subsequentes 32 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 652 Distribuindo o relatório da auditoria Convém que o relatório de auditoria seja emitido em um período de tempo acordado Se ele estiver atrasado convém que as razões sejam comunicadas ao auditado e às pessoas que gerenciam o programa de auditoria Convém que o relatório de auditoria seja datado analisado criticamente e aceito conforme apropriado de acordo com o programa de auditoria Convém que o relatório de auditoria seja então distribuído às partes interessadas pertinentes especi ficadas no programa de auditoria ou plano de auditoria Ao distribuir o relatório de auditoria convém que medidas apropriadas para assegurar a confidencia lidade sejam consideradas 66 Concluindo a auditoria A auditoria é concluída quando todas as atividades de auditoria planejadas tiverem sido realizadas ou de outro modo tiver sido acordado com o cliente de auditoria por exemplo pode haver uma situação inesperada que impeça a auditoria ser concluída de acordo com o plano de auditoria Convém que informação documentada pertencente à auditoria seja retida ou descartada por acordo entre as partes participantes e de acordo com o programa de auditoria e com os requisitos aplicáveis A menos que requerido por lei não convém que a equipe de auditoria e as pessoas que gerenciam o programa de auditoria divulguem qualquer informação obtida durante a auditoria ou o relatório de auditoria para qualquer outra parte sem a aprovação explícita do cliente da auditoria e onde apropriado a aprovação do auditado Se a divulgação do conteúdo de um documento de auditoria for requerida convém que o cliente da auditoria e o auditado sejam informados assim que possível Lições apreendidas da auditoria podem identificar riscos e oportunidades para o programa de auditoria e o auditado 67 Conduzindo o acompanhamento da auditoria O resultado da auditoria pode dependendo dos objetivos da auditoria indicar a necessidade para correções ou para ações corretivas ou oportunidades para melhoria Tais ações são usualmente decididas e realizadas pelo auditado em um período de tempo acordado Conforme apropriado convém que o auditado mantenha as pessoas que gerenciam o programa de auditoria eou a equipe de auditoria informadas da situação destas ações Convém que a conclusão e a eficácia destas ações sejam verificadas Esta verificação pode ser parte de uma auditoria subsequente Convém que os resultados sejam relatados à pessoa que gerencia o programa de auditoria e relatados ao cliente de auditoria para análise crítica pela direção 7 Competência e avaliação de auditores 71 Generalidades Confiança no processo de auditoria e na capacidade para alcançar seus objetivos depende da competência daquelas pessoas que estão envolvidas na realização de auditorias incluindo auditores e líderes da equipe de auditoria Convém que a competência seja avaliada regularmente por meio de 33 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI um processo que considere o comportamento pessoal e a capacidade para aplicar conhecimento e habilidades obtidos por meio de educação experiência de trabalho treinamento de auditor e experiência de auditoria Convém que este processo leve em consideração as necessidades do programa de auditoria e seus objetivos Alguns dos conhecimentos e habilidades descritos em 723 são comuns para auditores de qualquer disciplina de sistema de gestão outros são específicos para disciplinas particulares de sistemas de gestão Não é necessário que cada auditor na equipe de auditoria tenha a mesma competência Entretanto a competência global da equipe de auditoria necessita ser suficiente para alcançar os objetivos da auditoria Convém que a avaliação da competência do auditor seja planejada implementada e documentada para fornecer um resultado que seja objetivo coerente justo e confiável Convém que o processo de avaliação inclua quatro passos principais como a seguir a determinar a competência necessária para atender às necessidades do programa de auditoria b estabelecer os critérios de avaliação c selecionar o método apropriado de avaliação d conduzir a avaliação Convém que o resultado do processo de avaliação forneça uma base para o seguinte seleção dos membros da equipe de auditoria como descrito em 554 determinação da necessidade para competência melhorada por exemplo treinamento adicional avaliação continuada do desempenho de auditores Convém que os auditores desenvolvam mantenham e melhorem suas competências por meio de um desenvolvimento profissional contínuo e participação regular em auditorias ver 76 Um processo para avaliação dos auditores e líderes de equipes de auditoria está descrito em 73 74 e 75 Convém que auditores e líderes de equipes de auditoria sejam avaliados em relação aos critérios estabelecidos em 722 e 723 assim como aos critérios estabelecidos em 71 A competência requerida das pessoas que gerenciam o programa de auditoria está descrita em 542 72 Determinando a competência de auditor 721 Generalidades Ao decidir a competência necessária para uma auditoria convém que o conhecimento e as habili dades de um auditor relacionados ao seguinte sejam considerados a tamanho natureza complexidade produtos serviços e processos de auditados b métodos para auditar c disciplinas do sistema de gestão a serem auditadas d complexidade e processos do sistema de gestão a serem auditados e tipos e níveis de riscos e oportunidades abordados pelo sistema de gestão 34 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI f objetivos e extensão do programa de auditoria g incerteza de alcançar os objetivos de auditoria h outros requisitos como aqueles impostos pelo cliente de auditoria ou outras partes interessadas pertinentes onde apropriado Convém que esta informação seja conciliada com aquela listada em 723 722 Comportamento pessoal Convém que os auditores possuam os atributos necessários para possibilitálos a agir de acordo com os princípios de auditoria como descrito na Seção 4 Convém que aos auditores demonstrem compor tamento profissional durante o desempenho das atividades de auditoria Comportamento profissional desejado inclui ser a ético isto é ser justo verdadeiro sincero honesto e discreto b mente aberta isto é estar disposto a considerar ideias ou pontos de vista alternativos c diplomático isto é ser sensível ao lidar com pessoas d observador isto é observar ativamente o ambiente físico e as atividades e perceptivo isto é estar consciente e ser capaz de entender situações f versátil isto é ser capaz de prontamente se adaptar a diferentes situações g tenaz isto é ser persistente focado em alcançar objetivos h decisivo isto é ser capaz de alcançar conclusões em tempo hábil com base em raciocínio lógico e análise i autoconfiante isto é ser capaz de agir e funcionar independentemente enquanto interage eficaz mente com outros j capaz de agir com firmeza isto é ser capaz de atuar responsavelmente e eticamente mesmo que estas ações possam não ser sempre populares e possam algumas vezes resultar em desacordo ou confrontação k aberto a melhorias isto é ser disposto a aprender com situações l culturalmente sensível isto é ser observador e respeitoso com a cultura do auditado m colaborativo isto é interagir eficazmente com outros incluindo os membros da equipe de audi toria e o pessoal do auditado 723 Conhecimento e habilidades 7231 Generalidades Convém que os auditores possuam a conhecimento e habilidades necessários para alcançar os resultados pretendidos das auditorias que se espera que eles desempenhem b competência genérica e um nível de conhecimento e habilidades de disciplinas e setores específicos 35 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Convém que os líderes das equipes de auditoria tenham conhecimento e habilidades adicionais necessários para fornecer liderança à equipe de auditoria 7232 Conhecimento e habilidades genéricos de auditores do sistema de gestão Convém que os auditores tenham conhecimento e habilidades nas áreas delineadas abaixo a Princípios processos e métodos de auditoria conhecimento e habilidades nesta área possibilitam o auditor a assegurar que as auditorias sejam desempenhadas de maneira coerente e sistemática Convém que um auditor seja capaz de entender os tipos de riscos e oportunidades associados à auditoria e os princípios da abor dagem baseada em risco para auditar planejar e organizar o trabalho eficazmente desempenhar a auditoria dentro do calendário acordado priorizar e focar assuntos de significância comunicarse eficazmente oralmente e por escrito pessoalmente ou com o uso de intérpretes coletar informação por meio de entrevistas escuta observação e análise crítica de informação documentada eficazes incluindo registros e dados entender a propriedade e consequências de usar técnicas de amostragem para auditar entender e considerar opiniões de especialistas auditar um processo do início ao fim incluindo as interrelações com outros processos e diferentes funções onde apropriado verificar a relevância e a exatidão da informação coletada confirmar a suficiência e a propriedade da evidência de auditoria para apoiar constatações e conclusões de auditoria avaliar aqueles fatores que possam afetar a confiabilidade das constatações e conclusões de auditoria documentar atividades de auditoria e constatações de auditoria e preparar relatórios manter a confidencialidade e a segurança da informação b Normas de sistema de gestão e outras referências conhecimento e habilidades nesta área possibilitam o auditor a entender o escopo da auditoria e aplicar critérios de auditoria e convém que abranjam o seguinte normas de sistema de gestão ou outros documentos normativos ou de orientaçãoapoio usados para estabelecer critérios ou métodos de auditoria aplicação de normas de sistema de gestão pelo auditado e outras organizações 36 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI relacionamentos e interações entre os processos dos sistemas de gestão entendimento da importância e prioridade de normas ou referências múltiplas aplicação de normas ou referências a diferentes situações de auditoria c A organização e seu contexto conhecimento e habilidades nesta área possibilitam o auditor a entender a estrutura propósito e práticas de gestão do auditado e convém que abranjam o seguinte necessidades e expectativas de partes interessadas pertinentes que impactam o sistema de gestão tipo de organização governança tamanho estrutura funções e relacionamentos conceitos gerais de gestão e negócios processos e terminologia relacionada incluindo plane jamento orçamento e gestão de pessoas aspectos culturais e sociais do auditado d Requisitos regulamentares e estatutários aplicáveis e outros requisitos conhecimento e habili dades nesta área possibilitam o auditor a estar consciente de e trabalhar de acordo com os requisitos da organização Convém que conhecimento e habilidades específicos para a juris dição ou para as atividades processos produtos e serviços do auditado abranjam o seguinte requisitos estatutários e regulamentares e suas agências governamentais terminologia legal básica contratação e responsabilidade NOTA Consciência dos requisitos estatutários e regulamentares não implica especialização em leis e não convém que uma auditoria de sistema de gestão seja tratada como uma auditoria de compliance 7233 Competência de auditores em disciplina e setor específicos Convém que as equipes de auditoria tenham competência coletiva apropriada da disciplina e do setor específicos para auditar os tipos particulares de sistemas de gestão e setores A competência de auditores na disciplina e setor específicos inclui o seguinte a requisitos e princípios de sistema de gestão e suas aplicações b fundamentos das disciplinas e setores relacionados às normas de sistema de gestão como aplicados pelo auditado c aplicação de métodos técnicas processos e práticas de disciplina e de setor específicos para possibilitar a equipe de auditoria a avaliar a conformidade no escopo de auditoria estabelecido e gerar constatações e conclusões de auditoria apropriadas d princípios métodos e técnicas pertinentes à disciplina e setor tais que o auditor possa deter minar e avaliar os riscos e oportunidades associados aos objetivos da auditoria 37 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI 7234 Competência genérica de líder de equipe de auditoria Para facilitar a condução eficiente e eficaz da auditoria convém que um líder de equipe de auditoria tenha competência para a planejar a auditoria e atribuir tarefas de auditoria de acordo com a competência específica dos membros individuais da equipe de auditoria b discutir questões estratégicas com a Alta Direção do auditado para determinar se ela considerou estas questões ao avaliar seus riscos e oportunidades c desenvolver e manter um relacionamento de trabalho colaborativo entre os membros da equipe de auditoria d gerenciar o processo de auditoria incluindo fazer uso eficaz dos recursos durante a auditoria gerenciar a incerteza de alcançar objetivos de auditoria proteger a saúde e segurança dos membros da equipe de auditoria durante a auditoria incluindo assegurar compliance dos auditores com os arranjos pertinentes de saúde e segu rança e segurança orientar os membros da equipe de auditoria fornecer direção e orientação para auditores em treinamento prevenir e resolver conflitos e problemas que possam ocorrer durante a auditoria incluindo aqueles na equipe de auditoria se necessário e representar a equipe de auditoria nas comunicações com as pessoas que gerenciam o programa de auditoria o cliente de auditoria e o auditado f liderar a equipe de auditoria para alcançar as conclusões de auditoria g preparar e concluir o relatório de auditoria 7235 Conhecimento e habilidades para auditar múltiplas disciplinas Ao auditar sistemas de gestão de múltiplas disciplinas convém que o membro da equipe de auditoria tenha um entendimento das interações e sinergia entre os diferentes sistemas de gestão Convém que líderes da equipe de auditoria entendam os requisitos de cada uma das normas de sistema de gestão que estão sendo auditadas e reconheçam os limites de sua competência em cada uma das disciplinas NOTA Auditorias de múltiplas disciplinas feitas simultaneamente podem ser feitas como uma auditoria combinada ou como uma auditoria de sistema de gestão integrada que abranja múltiplas disciplinas 724 Alcançando a competência de auditor A competência de auditor pode ser adquirida usando uma combinação do seguinte a conclusões com sucesso de programas de treinamento que abranjam conhecimento e habili dades genéricos de auditor 38 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI b experiência em uma posição técnica gerencial ou profissional pertinente envolvendo o exercício de julgamento tomada de decisão solução de problema e comunicação com gerentes profis sionais pares clientes e outras partes interessadas pertinentes c educaçãotreinamento e experiência em uma disciplina e setor específicos de sistema de gestão que contribuam para o desenvolvimento da competência global d experiência de auditoria adquirida sob supervisão de um auditor competente na mesma disciplina NOTA A conclusão com sucesso de um curso de treinamento dependerá do tipo do curso Para cursos com componente de exame isso pode significar ser aprovado no exame Para outros cursos isso pode significar participar no curso e concluílo 725 Alcançando a competência do líder da equipe de auditoria Convém que um líder da equipe de auditoria tenha adquirido experiência adicional em auditoria para desenvolver a competência descrita em 7234 Convém que esta experiência adicional tenha sido adquirida trabalhando sob a direção e orientação de um líder de equipe de auditoria diferente 73 Estabelecendo os critérios de avaliação de auditor Convém que os critérios sejam qualitativos como ter demonstrado comportamento conhecimento ou desempenho desejável das habilidades em treinamento ou em local de trabalho e quantitativos como os anos de experiência de trabalho e educação número de auditorias conduzidas horas de treinamento em auditoria 74 Selecionando o método apropriado de avaliação de auditor Convém que a avaliação seja conduzida usando dois ou mais dos métodos dados na Tabela 2 Ao usar a Tabela 2 convém que seja notado o seguinte a os métodos delineados representam uma gama de opções e podem não ser aplicáveis a todas situações b os vários métodos delineados podem variar quanto à sua confiabilidade c convém que uma combinação de métodos seja usada para assegurar um resultado que seja objetivo coerente justo e confiável 39 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Tabela 2 Métodos de avaliação de auditores Métodos de avaliação Objetivos Exemplos Análise crítica dos registros Verificar a formação profissional do auditor Análise de registros de educação treinamento emprego credenciais profissionais e experiência em auditar Realimentação Fornecer informação sobre como o desempenho do auditor é percebido Pesquisas questionários referências pessoais testemunhos reclamações avaliação de desempenho análise crítica por pares Entrevista Avaliar o comportamento profissional e a habilidade de comunicação desejados para verificar informação e testar conhecimento e para adquirir informação adicional Entrevista pessoal Observação Avaliar o comportamento profissional desejado e a capacidade para aplicar conhecimento e habilidades Desempenho de funções auditorias de testemunho e desempenho no trabalho Teste Avaliar o comportamento e conhecimento e habilidades desejados e sua aplicação Exames orais e escritos testes psicométricos Análise crítica pósauditoria Fornecer informações sobre o desempenho do auditor durante as atividades de auditoria identificar forças e oportunidades para melhoria Análise crítica do relatório de auditoria entrevistas com o líder da equipe de auditoria e com a equipe de auditoria e se apropriado feedback do auditado 75 Conduzindo a avaliação de auditor Convém que a informação coletada sobre o auditor em avaliação seja comparada em relação aos critérios estabelecidos em 723 Quando um auditor em avaliação do qual se espera participação no programa de auditoria não preenche os critérios convém que então sejam realizados treinamentos trabalhos ou experiências em auditoria adicionais e que seja realizada uma reavaliação subsequente 76 Mantendo e melhorando a competência de auditor Convém que os auditores e líderes da equipe de auditoria melhorem continuamente sua compe tência Convém que os auditores mantenham sua competência em auditar por meio de participação regular em auditorias de sistemas de gestão e desenvolvimento profissional contínuo Isso pode ser alcançado por meios como experiência adicional de trabalho treinamento estudo privado instrução participação em reuniões seminários e conferências ou outras atividades pertinentes Convém que as pessoas que gerenciam o programa de auditoria estabeleçam mecanismos adequados para a avaliação contínua do desempenho dos auditores e líderes da equipe de auditoria Convém que as atividades de desenvolvimento profissional contínuo levem em conta o seguinte a mudanças nas necessidades das pessoas e da organização responsável pela condução da auditoria b desenvolvimentos na prática de auditar incluindo o uso de tecnologia c normas pertinentes incluindo documentos de orientaçãoapoio e outros requisitos d mudanças no setor ou disciplinas 40 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Anexo A informativo Orientação adicional para auditores planejarem e conduzirem auditorias A1 Aplicando os métodos de auditoria Uma auditoria pode ser realizada usando uma variedade de métodos de auditoria Uma explicação sobre os métodos mais comuns usados em auditoria pode ser encontrada neste Anexo Os métodos de auditoria escolhidos para uma auditoria dependem dos objetivos escopo e critérios de auditoria estabelecidos assim como da duração e localização Convém que a disponibilidade do auditor com competência e qualquer incerteza que surja da aplicação dos métodos de auditoria sejam também consideradas Aplicar uma variedade e combinação de diferentes métodos de auditoria pode otimizar a eficiência e a eficácia do processo de auditoria e do seu resultado O desempenho de uma auditoria envolve uma interação entre pessoas no sistema de gestão que está sendo auditado e a tecnologia usada para conduzir a auditoria A Tabela A1 fornece exemplos de métodos de auditoria que podem ser usados individualmente ou em combinação para alcançar os objetivos de auditoria Se uma auditoria envolver o uso de uma equipe de auditoria com múltiplos membros métodos presenciais ou remotos podem ser usados simultaneamente NOTA Informação adicional para visitar locais físicos é dada em A15 Tabela A1 Métodos de auditoria Extensão do envolvimento entre o auditor e o auditado Localização do auditor No local Remoto Interação humana Conduzir entrevistas Preencher listas de verificação e questionários com a participação do auditado Conduzir análise crítica documental com a participação do auditado Amostrar Por meios de comunicação interativa conduzir entrevistas observar trabalho realizado com guia remoto preencher listas de verificação e questionários conduzir análise crítica documental com a participação do auditado Sem interação humana Conduzir análise crítica documental por exemplo registros análise de dados Observar trabalho realizado Conduzir visita no local Preencher listas de verificação Amostrar por exemplo produtos Conduzir análise crítica documental por exemplo registros análise de dados Observar o trabalho realizado por meios de monitoramento considerando requisitos sociais estatutários e regulamentares Analisar dados Atividades presenciais de auditoria são realizadas no local do auditado Atividades de auditoria remota são realizadas em qualquer local que não o local do auditado independentemente da distância Atividades de auditoria interativa envolvem a interação entre o pessoal do auditado e a equipe de auditoria Atividades de auditoria não interativa não envolvem interação humana com pessoas que representam o auditado mas envolvem interação com o equipamento facilities e documentação 41 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI A responsabilidade pela aplicação eficaz dos métodos de auditoria para qualquer auditoria no estágio de planejamento permanece com as pessoas que gerenciam o programa de auditoria ou com o líder da equipe de auditoria O líder da equipe de auditoria tem esta responsabilidade de conduzir as atividades de auditoria A viabilidade das atividades de auditoria remota pode depender de vários fatores por exemplo o nível de risco em alcançar os objetivos de auditoria o nível de confiança entre o auditor e o pessoal do auditado e os requisitos regulamentares No nível do programa de auditoria convém que seja assegurado que o uso de aplicação remota ou presencial de métodos de auditoria seja adequado e equilibrado para assegurar um alcance satis fatório dos objetivos do programa de auditoria A2 Abordagem de processo para auditar O uso de uma abordagem de processo é um requisito para todas normas de sistema de gestão da ISO de acordo com a ISOIEC Directives Part 1 Annex SL Convém que os auditores entendam que auditar um sistema de gestão é auditar processos de uma organização e suas interações em relação a uma ou mais normas de sistema de gestão Resultados coerentes e previsíveis são alcançados mais eficaz e eficientemente quando atividades são entendidas e gerenciadas como processos interrelacionados que funcionam como um sistema coerente A3 Julgamento profissional Convém que os auditores apliquem julgamento profissional durante o processo de auditoria e evitem se concentrar em requisitos específicos de cada Seção da norma às expensas de alcançar o resultado pretendido do sistema de gestão Algumas Seções de normas de sistema de gestão da ISO não se prestam prontamente à auditoria em termos de comparação entre um conjunto de critérios e o conteúdo de um procedimento ou instrução de trabalho Nestas situações convém que os auditores usem seu julgamento profissional para determinar se a intenção da Seção foi atendida A4 Resultados de desempenho Convém que os auditores estejam focados no resultado pretendido do sistema de gestão ao longo do processo de auditoria Enquanto processos e o que eles alcançam são importantes o resultado do sistema de gestão e o seu desempenho são o que conta Também é importante considerar o nível da integração de diferentes sistemas de gestão e seus resultados pretendidos A ausência de um processo ou documentação pode ser importante em uma organização de alto risco ou complexa mas não tão significativa em outras organizações A5 Verificando a informação Até onde praticável convém que os auditores considerem se a informação fornece evidência objetiva suficiente para demonstrar que os requisitos estão sendo atendidos assim como se a informação é a completa todo o conteúdo esperado está contido na informação documentada b correta o conteúdo está conforme com outras fontes confiáveis como normas e regulamentações 42 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI c coerente a informação documentada é coerente em si e coerente com documentos relacionados d atual o conteúdo está atualizado Convém que seja também considerado se a informação que está sendo verificada fornece evidência objetiva suficiente para demonstrar que requisitos estão sendo atendidos Se informação for fornecida de uma maneira diferente da esperada por exemplo por pessoas diferentes meios alternativos convém que a integridade da evidência seja avaliada Cuidado específico é necessário para a segurança da informação devido a regulamentações apli cáveis à proteção de dados em particular para informação que esteja fora do escopo da auditoria mas que também está contida neste documento A6 Amostragem A61 Generalidades Amostragem de auditoria é realizada quando não é prático ou oneroso examinar todas as informações disponíveis durante uma auditoria por exemplo registros são muito numerosos ou muito dispersos geograficamente para justificar o exame de cada item na população Amostragem de auditoria de uma grande população é o processo de selecionar menos de 100 dos itens no conjunto total de dados disponíveis população para obter e avaliar evidências sobre alguma característica daquela população para formar uma conclusão relativa à população O objetivo da amostragem de auditoria é fornecer informação para que o auditor tenha confiança de que os objetivos de auditoria podem ser ou serão alcançados O risco associado à amostragem é que as amostras podem não ser representativas da população da qual elas são selecionadas Portanto a conclusão do auditor pode ser tendenciosa e diferente daquela que seria alcançada se a população inteira fosse examinada Pode haver outros riscos dependendo da variabilidade na população a ser amostrada e do método escolhido A amostragem de auditoria usualmente envolve os seguintes passos a estabelecer os objetivos da amostragem b selecionar a extensão e a composição da população a ser amostrada c selecionar um método de amostragem d determinar o tamanho da amostra a ser tomada e conduzir a atividade de amostragem f compilar avaliar relatar e documentar resultados Quando da amostragem convém que seja dada consideração à qualidade dos dados disponíveis uma vez que amostragem insuficiente e dados imprecisos não fornecerão um resultado útil Convém que a seleção de uma amostra apropriada seja baseada no método de amostragem e no tipo de dados requeridos por exemplo para inferir um padrão particular de comportamento ou extrair inferências sobre uma população 43 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Relatar a amostra selecionada pode levar em conta o tamanho da amostra método de seleção e estimativas feitas com base na amostra e no nível de confiança Auditorias podem usar amostragem com base em julgamento ver A62 ou amostragem estatística ver A63 A62 Amostragem com base em julgamento Amostragem com base em julgamento depende da competência e experiência da equipe de auditoria ver Seção 7 Para amostrar com base em julgamento pode ser considerado o seguinte a experiência anterior de auditoria no escopo de auditoria b complexidade de requisitos incluindo requisitos estatutários e regulamentares para alcançar os objetivos de auditoria c complexidade e interação dos processos da organização e elementos do sistema de gestão d grau de mudança em tecnologia fator humano ou sistema de gestão e riscos significativos e oportunidades para melhoria identificados previamente f saída de monitoramento de sistemas de gestão Um obstáculo para a amostragem com base em julgamento é que pode não existir estimativa esta tística do efeito da incerteza nas constatações da auditoria e nas conclusões alcançadas A63 Amostragem estatística Se for decidido usar amostragem estatística convém que o plano de amostragem seja baseado nos objetivos de auditoria e no que é conhecido sobre as características da população global da qual é para as amostras devem serem coletadas O projeto de amostragem estatística usa um processo de seleção de amostra baseado na teoria da probabilidade Amostragem com base em atributo é usada quando há apenas dois possíveis resul tados para cada amostra por exemplo corretaincorreta ou aprovadareprovada Amostragem com base em variável é usada quando os resultados da amostra ocorrem em um intervalo contínuo Convém que o plano de amostragem leve em conta se os resultados que estão sendo examinados têm probabilidade de serem baseados em atributo ou baseados em variável Por exemplo ao avaliar conformidade de formulários preenchidos em relação aos requisitos estabelecidos em um procedi mento pode ser usada uma abordagem com base em atributo Ao examinar a ocorrência de inci dentes de segurança de alimentos ou o número de violações de segurança uma abordagem com base em variável seria provavelmente mais apropriada Elementos que podem afetar o plano de amostragem de auditoria são a contexto tamanho natureza e complexidade da organização b número de auditores competentes c frequência de auditorias 44 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI d tempo de auditoria individual e qualquer nível de confiança externamente requerido f ocorrência de eventos indesejáveis eou inesperados Quando um plano de amostragem estatística é desenvolvido o nível de risco de amostragem que o auditor está disposto a aceitar é uma consideração importante Isto é sempre referido como o nível de confiança aceitável Por exemplo um risco de amostragem de 5 corresponde a um nível de confiança aceitável de 95 Um risco de amostragem de 5 significa que o auditor está disposto a aceitar o risco que 5 em um total de 100 ou 1 em 20 das amostras examinadas não refletirão os valores reais que seriam vistos se a população inteira fosse examinada Quando amostragem estatística é usada convém que os auditores documentem apropriadamente o trabalho realizado Convém que isso inclua uma descrição da população que se destina a ser amostrada os critérios de amostragem usados para a avaliação por exemplo o que é uma amostra aceitável os parâmetros e métodos estatísticos que foram utilizados o número de amostras ava liadas e os resultados obtidos A7 Auditoria de compliance em um sistema de gestão Convém que a equipe de auditoria considere se o auditado possui processos eficazes para a identificar seus requisitos estatutários e regulamentares e outros requisitos com os quais esteja comprometido b gerenciar suas atividades produtos e serviços para alcançar compliance com estes requisitos c avaliar sua situação de compliance Adicionalmente à orientação genérica dada neste documento ao avaliar os processos que o auditado implementou para assegurar compliance com requisitos pertinentes convém que a equipe de audi toria considere se o auditado 1 tem um processo eficaz para identificar mudanças em requisitos de compliance e para considerálas parte do gerenciamento de mudança 2 tem pessoas competentes para gerenciar seus processos de compliance 3 mantém e fornece informação documentada apropriada sobre sua situação de compliance como requerido por reguladores ou outras partes interessadas 4 inclui requisitos de compliance em seu programa de auditoria internas 5 aborda quaisquer situações de não compliance 6 considera desempenho de compliance em suas análises críticas pela direção 45 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI A8 Contexto de auditoria Muitas normas de sistemas de gestão requerem que uma organização determine seu contexto incluindo as necessidades e expectativas de partes interessadas pertinentes e questões externas e internas Para fazer isto uma organização pode usar várias técnicas para análise e planejamento estratégicos Convém que os auditores confirmem que processos adequados foram desenvolvidos para isto e são usados eficazmente de modo que seus resultados forneçam uma base confiável para determinar o escopo e o desenvolvimento do sistema de gestão Para fazer isso convém que os auditores considerem evidência objetiva relacionada ao seguinte a processos ou métodos usados b adequação e competência das pessoas que contribuem para os processos c resultados dos processos d aplicação dos resultados para determinar o escopo e o desenvolvimento do sistema de gestão e análise crítica periódica de contexto conforme apropriado Convém que os auditores tenham conhecimento de setor específico pertinente e entendimento das ferramentas de gestão que organizações podem usar para fazer um julgamento relativo à eficácia dos processos usados para determinar o contexto A9 Auditoria de liderança e comprometimento Muitas normas de sistema de gestão aumentaram os requisitos para a Alta Direção Estes requisitos incluem demonstrar comprometimento e liderança assumindo a responsabilidade por prestar contas pela eficácia do sistema de gestão e cumprir diversas responsabilidades Convém que isto inclua tarefas que a Alta Direção assuma e outras que podem ser delegadas Convém que os auditores obtenham evidência objetiva sobre o grau de envolvimento da Alta Direção na tomada de decisão relacionada ao sistema de gestão e como ela demonstra comprometimento para assegurar sua eficácia Isto pode ser alcançado analisando criticamente os resultados de processos pertinentes por exemplo políticas objetivos recursos disponíveis comunicações da Alta Direção e entrevistando pessoal para determinar o grau de engajamento da Alta Direção Convém que os auditores também visem entrevistar a Alta Direção para confirmar se ela tem um entendimento suficiente das questões da disciplina específica pertinentes para seu sistema de gestão junto com o contexto em que sua organização opera para que ela possa assegurar que o sistema de gestão alcance os seus resultados pretendidos Não convém que os auditores apenas foquem na liderança no nível da Alta Direção mas convém também auditar liderança e comprometimento em outros níveis de gestão conforme apropriado A10 Auditoria de riscos e oportunidades Como parte da atribuição de uma auditoria individual podem ser incluídas a determinação e a gestão dos riscos e oportunidades da organização Os objetivos centrais para tal atribuição de auditora são para assegurar a credibilidade dos processos de identificação de riscos e oportunidades 46 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI assegurar que riscos e oportunidades sejam corretamente determinados e gerenciados analisar criticamente como a organização aborda seus riscos e oportunidades determinados Não convém que uma auditoria da abordagem de uma organização para a determinação de riscos e oportunidades seja realizada como uma atividade independente Convém que esteja implícita durante toda a auditoria de um sistema de gestão inclusive ao entrevistar a Alta Direção Convém que um auditor aja de acordo com os seguintes passos e colete evidência objetiva como a seguir a entradas usadas pela organização para determinar seus riscos e oportunidades os quais podem incluir análise de questões internas e externas direção estratégica da organização partes interessadas relacionadas ao seu sistema de gestão de disciplina específica e aos seus requisitos também fontes potenciais de risco como aspectos ambientais e perigos de segurança etc b método pelo qual riscos e oportunidades são avaliados que pode variar entre disciplinas e setores O tratamento da organização de seus riscos e oportunidades incluindo o nível do risco que ela deseja aceitar e como ele é controlado requererá a aplicação de julgamento profissional pelo auditor A11 Ciclo de vida Alguns sistemas de gestão de disciplinas específicas requerem a aplicação de uma perspectiva de ciclo de vida para seus produtos e serviços Não convém que os auditores considerem isto um requisito para adotar uma abordagem de ciclo de vida Uma perspectiva de ciclo de vida envolve consideração do controle e influência que a organização tem sobre os estágios do ciclo de vida de seu produto e serviço Estágios em um ciclo de vida incluem a aquisição de matériasprimas projeto produção transporteentrega uso tratamento de fim de vida e descarte final Esta abordagem possibilita que a organização identifique aquelas áreas onde considerando seu escopo ela pode minimizar seu impacto no ambiente enquanto adiciona valor à organização Convém que os auditores usem seu julgamento profissional sobre como a organização aplicou uma perspectiva de ciclo de vida em termos de sua estratégia e a vida do produto ou serviço b influência da organização na cadeia de suprimentos c comprimento da cadeia de suprimentos d complexidade tecnológica do produto Se uma organização tiver combinado vários sistemas de gestão em um único sistema de gestão para atender as suas próprias necessidades convém que o auditor olhe cuidadosamente para qualquer sobreposição relativa à consideração do ciclo de vida 47 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI A12 Auditoria da cadeia de suprimento A auditoria da cadeia de suprimentos em relação aos requisitos específicos pode ser requerida Convém que o programa de auditoria do fornecedor seja desenvolvido com critérios de auditoria aplicáveis para o tipo de fornecedores e fornecedores externos O escopo da auditoria da cadeia de suprimentos pode variar por exemplo auditoria completa do sistema de gestão auditoria de processo único auditoria de produto auditoria de configuração A13 Preparando documentos de trabalho de auditoria Ao preparar documentos de trabalho de auditoria convém que a equipe de auditoria considere as questões abaixo para cada documento a Qual registro de auditoria será criado usando este documento de trabalho b Qual atividade de auditoria está ligada a este documento de trabalho específico c Quem será o usuário deste documento de trabalho d Qual informação é necessária para preparar este documento de trabalho Para auditorias combinadas convém que documentos de trabalho sejam desenvolvidos para evitar a duplicação de atividades de auditoria por agrupamento de requisitos similares de diferentes critérios coordenação do conteúdo de listas de verificação e questionários relacionados Convém que os documentos de trabalho de auditoria sejam suficientes para abordar todos aqueles elementos do sistema de gestão no escopo de auditoria e que possam ser fornecidos em qualquer mídia A14 Selecionando fontes de informação As fontes de informação selecionadas podem variar de acordo com o escopo e a complexidade da auditoria e podem incluir o seguinte a entrevistas com empregados e outras pessoas b observações de atividades e do ambiente de trabalho e condições ao redor c informação documentada como políticas objetivos planos procedimentos normas instruções licenças e permissões especificações desenhos contratos e ordens de compra d registros como registros de inspeção atas de reuniões relatórios de auditoria registros de pro grama de monitoramento e os resultados de medições e sumários de dados análises e indicadores de desempenho f informação sobre os planos de amostragem do auditado e sobre quaisquer procedimentos para o controle de amostragem e processos de medição g relatórios de outras fontes por exemplo feedback de clientes medições e pesquisas externas outra informação pertinente de partes externas e classificações de fornecedores externos 48 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI h base de dados e sites i simulação e modelagem A15 Visitando a localização do auditado Para minimizar a interferência entre atividades de auditoria e os processos de trabalho do auditado e para assegurar a saúde e segurança da equipe de auditoria durante uma visita convém que seja considerado o seguinte a Planejamento da visita assegurar permissão e acesso àquelas partes da localidade do auditado a serem visitadas de acordo com o escopo de auditoria fornecer informação suficiente aos auditores sobre segurança saúde por exemplo quaren tena assuntos de saúde ocupacional e segurança e normas culturais e horário de trabalho para a visita incluindo vacinação e liberações requeridas e recomendadas se aplicável confirmar com o auditado que qualquer equipamento de proteção individual EPI requerido estará disponível para a equipe de auditoria se aplicável confirmar os arranjos com o auditado relativos ao uso de dispositivos celulares e câmeras incluindo gravar informação como fotografias de locais e equipamento cópias de captura de tela ou fotocópias de documentos vídeos de atividades e entrevistas levando em consi deração assuntos de segurança e confidencialidade assegurar que o pessoal que está sendo visitado será informado sobre o escopo e objetivos de auditoria exceto para auditorias ad hoc não planejadas b Atividades presenciais evitar qualquer distúrbio desnecessário dos processos operacionais assegurar que a equipe de auditoria esteja usando EPI apropriadamente se aplicável assegurar que procedimentos de emergência sejam comunicados por exemplo saídas de emergência pontos de encontro agendar comunicação para minimizar perturbações adaptar o tamanho da equipe de auditoria e o número de guias e observadores de acordo com o escopo da auditoria para evitar interferência com os processos operacionais até onde praticável não tocar ou manipular qualquer equipamento a menos que seja explicitamente permitido mesmo quando competente ou licenciado se um incidente ocorrer durante a visita no local convém que o líder da equipe de auditoria analise criticamente a situação com o auditado e se necessário com o cliente da auditoria para chegar a um acordo sobre se convém que a auditoria seja interrompida reagendada ou continuada no caso de fazer cópias de documentos em qualquer meio solicitar permissão com antece dência e considerar assuntos de confidencialidade e segurança ao fazer anotações evitar coletar informação pessoal a menos que requerido pelos objetivos de auditoria ou pelos critérios de auditoria 49 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI c Atividades de auditoria virtual assegurar que a equipe de auditoria esteja usando protocolos de acesso remoto incluindo dispositivos requeridos software etc se fizer cópias de captura de tela de documentos de qualquer tipo solicitar permissão com antecedência e considerar assuntos de confidencialidade e segurança e evitar gravar pessoas sem sua permissão se um incidente ocorrer durante o acesso remoto convém que o líder da equipe de auditoria verifique a situação com o auditado e se necessário com o cliente de auditoria e chegue a um acordo sobre se convém que a auditoria seja interrompida reagendada ou continuada usar plantas baixasdiagramas do local remoto para referência manter respeito à privacidade durante os intervalos de auditoria É necessário considerar a disposição de informação e a evidência de auditoria independentemente do tipo de mídia em data posterior uma vez que a necessidade de sua retenção tenha cessado A16 Auditoria de atividades e locais virtuais Auditorias virtuais são conduzidas quando uma organização realiza trabalho ou fornece um serviço usando um ambiente online que permita que pessoas executem processos independentemente de locais físicos por exemplo intranet da organização uma nuvem computacional Auditoria de um local virtual é algumas vezes referida como auditoria virtual Auditorias remotas se referem ao uso de tecnologia para coletar informação entrevistar um auditado etc quando métodos cara a cara não são possíveis ou desejáveis Uma auditoria virtual segue o processopadrão de auditoria ao usar tecnologia para verificar evidência objetiva Convém que o auditado e a equipe de auditoria assegurem requisitos apropriados de tecnologia para auditorias virtuais podendo incluir assegurar que a equipe de auditoria esteja usando protocolos de acesso remoto acordados incluindo dispositivos requeridos software etc conduzir verificações técnicas antes da auditoria para resolver questões técnicas assegurar que planos de contingência estejam disponíveis e sejam comunicados por exemplo interrupção de acesso uso de tecnologia alternativa incluindo provisão para tempo extra de auditoria se necessário Convém que a competência de auditor inclua habilidades técnicas para usar equipamento eletrônico apropriado e outra tecnologia ao auditar experiência em facilitar reuniões virtuais para conduzir a auditoria remotamente Ao conduzir a reunião de abertura ou auditar virtualmente convém que o auditor considere os seguintes itens riscos associados com auditorias virtuais ou remotas 50 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI uso de plantas baixasdiagramas de locais remotos para referência ou mapeamento de informação eletrônica facilitação para a prevenção de perturbações e interrupções de ruído de fundo pedido de permissão com antecedência para fazer cópias de captura de tela de documentos ou qualquer tipo de gravações considerando assuntos de confidencialidade e segurança asseguramento de confidencialidade e privacidade durante os intervalos de auditoria por exemplo silenciando microfones pausando câmeras A17 Conduzindo entrevistas Entrevistas são um meio importante de coletar informação e convém que sejam realizadas de maneira adaptada à situação e à pessoa entrevistada presencialmente ou por outros meios de comunicação Entretanto convém que o auditor considere o seguinte a convém que entrevistas sejam realizadas com pessoas de níveis e funções apropriadas que realizam atividades ou tarefas no escopo de auditoria b convém que entrevistas sejam normalmente conduzidas durante o horário normal de trabalho e quando praticável no local de trabalho da pessoa que está sendo entrevistada c convém que sejam feitas tentativas para colocar a pessoa que está sendo entrevistada à vontade antes e durante a entrevista d convém que seja explicada a razão para a entrevista e qualquer anotação e entrevistas podem ser iniciadas pedindo às pessoas que descrevam seu trabalho f convém que o tipo de questão usado seja cuidadosamente selecionado por exemplo questões abertas fechadas perguntas importantes investigação apreciativa NOTA BRASILEIRA A expressão investigação apreciativa foi usada como tradução do termo original appreciative inquiry g conscientizarse da limitação da comunicação não verbal em ambientes virtuais ao invés convém que o foco seja no tipo de questões a serem usadas para encontrar evidência objetiva h convém que os resultados de entrevistas sejam resumidos e analisados criticamente com a pessoa entrevistada i convém agradecer às pessoas entrevistadas por sua participação e cooperação A18 Constatações de auditoria A181 Determinando as constatações de auditoria Ao determinar as constatações da auditoria convém que seja considerado o seguinte a acompanhamento de registros e conclusões de auditoria anterior 51 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI b requisitos do cliente de auditoria c exatidão suficiência e adequação de evidência objetiva para apoiar as constatações de auditoria d extensão na qual as atividades de auditoria planejadas são realizadas e os resultados planejados são alcançados e constatações que excedam a prática normal ou oportunidades para melhoria f tamanho da amostra g classificação se houver das constatações de auditoria A182 Registrando as conformidades Para registros de conformidade convém que seja considerado o seguinte a descrição dos critérios de auditoria em relação aos quais a conformidade for apresentada ou referência a eles b evidência de auditoria para apoiar conformidade e eficácia se aplicável c declaração de conformidade se aplicável A183 Registrando não conformidades Para registros de não conformidades convém que seja considerado o seguinte a descrição dos critérios de auditoria ou referência a eles b evidência de auditoria c declaração de não conformidades d constatações de auditoria relacionadas se aplicável A184 Tratando de constatações relacionadas aos múltiplos critérios Durante uma auditoria é possível identificar constatações relacionadas aos múltiplos critérios Quando um auditor identifica uma constatação relacionada a um critério em uma auditoria combinada convém que o auditor considere o possível impacto sobre os critérios correspondentes ou similares dos outros sistemas de gestão Dependendo dos arranjos com o cliente de auditoria o auditor pode considerar a separar as constatações para cada critério ou b uma simples constatação combinando as referências aos múltiplos critérios Dependendo dos arranjos com o cliente de auditoria o auditor pode orientar o auditado sobre como responder a estas constatações 52 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI Bibliografia 1 ABNT NBR ISO 90002015 Sistemas de gestão de qualidade Fundamentos e vocabulário 2 ABNT NBR ISO 9001 Sistemas de gestão da qualidade Requisitos 3 ABNT ISO Guia 732009 Gestão de risco Vocabulário 4 ABNT NBR ISOIEC 170211 Avaliação da conformidade Requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão Parte 1 Requisitos 53 ABNT NBR ISO 190112018 ISO 2018 ABNT 2018 Todos os direitos reservados Exemplar para uso exclusivo COMISSÃO NACIONAL DE ENERGIA NUCLEAR IPENCNENSP 00402552000550 Impresso por TEREZA C SALVETTI