Publicada a nova edição da NBR ISO 19011: as orientações para as auditorias de gestão

Esse é um guia que fornece orientação sobre a auditoria de sistemas de gestão, incluindo os princípios de auditoria, a gestão de um programa de auditoria e a condução de auditoria de sistemas de ges­tão, como também a orientação sobre a avaliação de competência de pessoas envolvidas no processo de auditoria.

auditoria2Uma auditoria pode ser realizada usando uma variedade de método que dependem dos objetivos, escopo e critérios estabelecidos, assim como da duração e localização. A disponibilidade do auditor com competência e qualquer incerteza que surja da aplicação dos métodos de auditoria sejam também consideradas. Aplicar uma variedade e combinação de diferentes métodos de auditoria pode otimizar a eficiência e a eficácia do processo de auditoria e do seu resultado.

O desempenho de uma auditoria envolve uma interação entre pessoas no sistema de gestão que está sendo auditado e a tecnologia usada para conduzir o processo. A tabela abaixo fornece os exemplos de métodos de auditoria que podem ser usados, individualmente ou em combinação, para alcançar os seus objetivos. Se uma auditoria envolver o uso de uma equipe de auditoria com múltiplos membros, os métodos presenciais ou remotos podem ser usados simultaneamente.

auditoria1

A nova edição da NBR ISO 19011 de 12/2018 – Diretrizes para auditoria de sistemas de gestão fornece a orientação sobre a auditoria de sistemas de gestão, incluindo os princípios de auditoria, a gestão de um programa de auditoria e a condução de auditoria de sistemas de gestão, como também orientação sobre a avaliação de competência de pessoas envolvidas no processo de auditoria. Estas atividades incluem as pessoa (s) que gerencia (m) o programa de auditoria, os auditores e a equipe de auditoria.

Ele é aplicável a todas as organizações que necessitam planejar e conduzir auditorias internas ou externas de sistemas de gestão ou gerenciar um programa de auditoria. A aplicação deste documento para outros tipos de auditorias é possível, desde que seja dada consideração especial para a necessidade de competência específica.

As principais diferenças em relação à segunda edição são as seguintes: inclusão da abordagem baseada em risco aos princípios de auditoria; ampliação da orientação sobre a gestão de um programa de auditoria, incluindo riscos do programa de auditoria; ampliação da orientação para conduzir uma auditoria, particularmente na Seção sobre planejamento de auditoria; ampliação dos requisitos genéricos de competência para auditores; ajuste da terminologia para refletir o processo e não o objeto (“coisa”); remoção do Anexo contendo requisitos de competência para auditar disciplinas específicas do sistema de gestão (devido ao grande número de normas particulares de sistemas de gestão, não seria prático incluir requisitos de competência para todas as disciplinas); ampliação do Anexo A para fornecer orientação sobre (novos) conceitos de auditoria, como contexto organizacional, liderança e comprometimento, auditorias virtuais, compliance e cadeia de suprimento.

Desde que a segunda edição deste documento foi publicada, em 2012, diversas normas novas de sistema de gestão foram publicadas, muitas das quais possuindo uma estrutura em comum, requisitos centrais idênticos e termos e definições centrais em comum. Como um resultado, há, agora, a necessidade de se considerar uma abordagem mais ampla para auditar o sistema de gestão, assim como para fornecer orientação que seja mais genérica.

Os resultados de auditoria podem fornecer entradas para o aspecto de análise de planejamento de negócio e podem contribuir para a identificação de necessidades de melhoria e atividades. Uma auditoria pode ser conduzida em relação a uma gama de critérios de auditoria, separadamente ou em combinação, incluindo, mas não limitados a: requisitos definidos em uma ou mais normas de sistema de gestão; políticas e requisitos especificados por partes interessadas pertinentes; requisitos estatutários e regulamentares; um ou mais processos de sistema de gestão definidos pela organização ou outras partes; plano (s) de sistema de gestão relacionado(s) à provisão de saídas específicas de um sistema de gestão (por exemplo, plano de qualidade, plano de projeto).

Este documento fornece orientação para todos os tamanhos e tipos de organizações e auditorias de variados escopos e dimensões, incluindo aquelas conduzidas por grandes equipes de auditoria, usualmente de organizações maiores, e aquelas conduzidas por auditores únicos, em organizações grandes ou pequenas. Esta orientação seja adaptada conforme apropriado ao escopo, complexidade e dimensão do programa de auditoria.

Este documento concentra-se em auditorias internas (primeira parte) e auditorias conduzidas por organizações em seus fornecedores externos e outras partes interessadas externas (segunda parte). Também pode ser útil para auditorias externas conduzidas para outros fins que não a certificação de terceira parte de sistemas de gestão. A NBR ISO/IEC 17021-1 fornece requisitos para auditoria de sistemas de gestão para certificação de terceira parte; este documento pode fornecer orientação adicional útil (ver tabela abaixo).

auditoria3

Para simplificar a legibilidade deste documento, a forma singular de “sistema de gestão” é preferida, mas o leitor pode adaptar a implementação da orientação para sua própria situação. Isso também é aplicável ao uso de “pessoa” e “pessoas”, “auditor” e “auditores”. Este documento é destinado a ser aplicado a uma ampla gama de potenciais usuários, incluindo auditores, organizações que implementam sistemas de gestão e organizações que necessitam conduzir auditorias de sistemas de gestão por razões contratuais ou regulamentares.

Os usuários deste documento podem, no entanto, aplicar esta orientação para desenvolver seus próprios requisitos relacionados à auditoria. A orientação contida neste documento pode também ser usada para o propósito de autodeclaração, e pode ser útil para organizações envolvidas em treinamento de auditores ou certificação de pessoal. A orientação contida neste documento é destinada a ser flexível. Conforme indicado em vários pontos no texto, o uso desta orientação pode variar, dependendo do tamanho e do nível de maturidade do sistema de gestão de uma organização.

Também devem ser consideradas a natureza e a complexidade da organização a ser auditada, assim como os objetivos e o escopo das auditorias a serem conduzidas. Este documento adota a abordagem de auditoria combinada, quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados em conjunto. Quando estes sistemas são integrados em um sistema de gestão único, os princípios e processos de auditoria são os mesmos que para uma auditoria combinada (às vezes conhecida como uma auditoria integrada).

Este documento fornece orientação para o gerenciamento de um programa de auditoria, sobre o planejamento e a condução de auditoria de sistemas de gestão, assim como sobre a competência e a avaliação de um auditor e de uma equipe de auditoria. A auditoria é caracterizada pela confiança em diversos princípios.

Convém que estes princípios ajudem a tornar a auditoria uma ferramenta eficaz e confiável, em apoio às políticas e controles de gestão, fornecendo informações sobre as quais uma organização pode agir para melhorar seu desempenho. A aderência a estes princípios é um pré-requisito para serem fornecidas as conclusões de auditoria que sejam pertinentes e suficientes, e para permitir que auditores trabalhando independentemente entre si cheguem a conclusões similares em circunstâncias similares. As orientações dadas nas Seções 5 a 7 são baseadas nos setes princípios apresentados abaixo.

– Integridade: o fundamento do profissionalismo

Convém que os auditores e a(s) pessoa(s) que gerenciam um programa de auditoria: desempenhem seu trabalho eticamente, com honestidade e responsabilidade; somente realizem atividades de auditoria se forem competentes para isso; realizem seu trabalho de uma maneira imparcial, isto é, mantenham-se justos e sem tendenciosidade em todas as suas interações; desempenhem sensíveis a quaisquer influências que possam ser exercidas sobre o seu julgamento enquanto estiverem realizando uma auditoria.

– Apresentação justa: a obrigação de reportar com veracidade e exatidão

Convém que as constatações de auditoria, conclusões de auditoria e relatórios de auditoria reflitam com veracidade e precisão as atividades de auditoria. Convém que os obstáculos significativos encontrados durante a auditoria e não resolvidos por divergência de opiniões entre a equipe de auditoria e o auditado sejam reportados. Convém que a comunicação seja verdadeira, precisa, objetiva, em tempo hábil, clara e completa.

– Devido cuidado profissional: a aplicação de diligência e julgamento em auditoria

Convém que os auditores exerçam o devido cuidado de acordo com a importância da tarefa que eles executam e com a confiança neles depositada pelo cliente de auditoria e por outras partes interessadas. Um fator importante na realização do seu trabalho com devido cuidado profissional é ter a capacidade de fazer julgamentos ponderados em todas as situações de auditoria.

– Confidencialidade: segurança de informação

Convém que os auditores tenham discrição no uso e proteção das informações obtidas no curso de suas obrigações. Convém que a informação de auditoria não seja usada de forma inapropriada para ganhos pessoais pelo auditor ou pelo cliente de auditoria, ou de uma maneira prejudicial para os legítimos interesses do auditado. Este conceito inclui o manuseio apropriado de informação sensível ou confidencial.

– Independência: a base para a imparcialidade da auditoria e objetividade das conclusões de auditoria

Convém que os auditores sejam independentes da atividade que está sendo auditada quando for praticável, e convém que ajam em todas as situações de uma tal modo que estejam livres de tendenciosidade e conflitos de interesse. Para auditorias internas, convém que os auditores sejam independentes da função que está sendo auditada, se praticável. Convém que os auditores mantenham objetividade ao longo do processo de auditoria para assegurar que as constatações e conclusões de auditoria sejam baseadas apenas nas evidências de auditoria. Para pequenas organizações, pode não ser possível que auditores internos tenham total independência da atividade que está sendo auditada, porém convém que seja feito todo o esforço para remover a tendenciosidade e encorajar a objetividade.

– Abordagem baseada em evidência: o método racional para alcançar conclusões de auditoria confiáveis e reprodutíveis em um processo sistemático de auditoria

Convém que a evidência de auditoria seja verificável. Convém que no geral ela seja baseada em amostras da informação disponíveis, uma vez que uma auditoria é conduzida durante um período de tempo finito e com recursos limitados. Convém que o uso apropriado de amostras seja aplicado, uma vez que esta situação está intimamente relacionada à confiança que pode ser depositada nas conclusões de auditoria.

– Abordagem baseada em risco: uma abordagem de auditoria que considera riscos e oportunidades

Convém que a abordagem baseada em risco influencie substancialmente o planejamento, a condução e o relato de auditorias, para assegurar que as auditorias sejam focadas em assuntos que sejam significativos para o cliente de auditoria e para alcançar os objetivos do programa de auditoria.

Um programa de auditoria deve ser estabelecido e ele pode incluir auditorias que abordem uma ou mais normas de sistema de gestão ou outros requisitos, conduzidas separadamente ou em combinação (auditoria combinada). Convém que a extensão de um programa de auditoria seja baseada no tamanho e natureza do auditado, assim como na natureza, funcionalidade, complexidade, tipo de riscos e oportunidades e nível de maturidade do(s) sistema(s) de gestão a ser(em) auditado(s).

A funcionalidade do sistema de gestão pode ser ainda mais complexa quando a maioria das funções importantes é terceirizada e gerenciada sob a liderança de outras organizações. É necessário prestar especial atenção ao local onde as decisões mais importantes são tomadas e ao que constitui a Alta Direção do sistema de gestão. No caso de múltiplos locais/sites (por exemplo, países diferentes), ou quando importantes funções forem terceirizadas e gerenciadas sob a liderança de uma outra organização, convém que seja dada especial atenção ao projeto, planejamento e validação do programa de auditoria.

No caso de organizações menores ou menos complexas, o programa de auditoria pode ser dimensionado apropriadamente. Para entender o contexto do auditado, convém que o programa de auditoria leve em conta: objetivos organizacionais; questões externas e internas pertinentes do auditado; necessidades e expectativas de partes interessadas pertinentes; requisitos de segurança e confidencialidade da informação. O planejamento de programas de auditorias internas e, em alguns casos de programas, para auditar fornecedores externos pode ser arranjado para contribuir com outros objetivos da organização.

Convém que a (s) pessoa (s) que gerencia (m) o programa de auditoria assegure (m) que a integridade da auditoria seja mantida e que não haja influência indevida exercida sobre a auditoria. Convém que seja dada prioridade de auditoria para alocar recursos e métodos a assuntos em um sistema de gestão com mais alto risco inerente e mais baixo nível de desempenho. Convém que pessoas competentes sejam designadas para gerenciar o programa de auditoria.

Convém que o programa de auditoria inclua informação e identifique recursos para permitir que as auditorias sejam conduzidas de forma eficaz e eficiente dentro dos prazos especificados. Convém que a informação inclua: objetivos para o programa de auditoria; os riscos e as oportunidades associados ao programa de auditoria e ações para abordá-los; escopo (extensão, limites, locais) de cada auditoria no programa de auditoria; agendamento (número/duração/frequência) das auditorias; tipos de auditoria, como interna ou externa; critérios de auditoria; métodos de auditoria a serem empregados; critérios para selecionar membros de equipe de auditoria; informação documentada pertinente.

Parte desta informação pode não estar disponível até que o planejamento mais detalhado de auditoria esteja completo. Convém que a implementação do programa de auditoria seja monitorada e medida em uma base contínua, para assegurar que seus objetivos tenham sido alcançados. Convém que o programa de auditoria seja analisado criticamente para identificar necessidades de mudanças e possíveis oportunidades para melhorias. A figura abaixo ilustra o fluxo de processos para o gerenciamento de um programa de auditoria.

auditoria4

Convém que o cliente da auditoria assegure que os objetivos do programa de auditoria sejam estabelecidos para direcionar o planejamento e a condução de auditorias, e convém que assegure que o programa de auditoria seja implementado eficazmente. Convém que os objetivos do programa de auditoria sejam coerentes com a direção estratégica do cliente da auditoria e apoiem a política e os objetivos do sistema de gestão.

Estes objetivos podem ser baseados na consideração do seguinte: necessidades e expectativas de partes interessadas pertinentes, externas e internas; características e requisitos de processos, produtos, serviços e projetos, e quaisquer mudanças neles; requisitos de sistema de gestão; necessidade para avaliação de fornecedores externos; nível de desempenho e nível de maturidade do(s) sistema(s) de gestão do auditado, como refletido nos indicadores de desempenho pertinentes (por exemplo, key performance indicators – KPI), a ocorrência de não conformidades ou incidentes ou reclamações de partes interessadas; riscos e oportunidades identificados para o auditado; resultados de auditorias anteriores.

Exemplos de objetivos de programa de auditoria podem incluir o seguinte: identificar oportunidades para a melhoria de um sistema de gestão e de seu desempenho; avaliar a capacidade do auditado de determinar seu contexto; avaliar a capacidade do auditado de determinar riscos e oportunidades e identificar e implementar ações eficazes para abordá-los; estar conforme com todos os requisitos pertinentes, por exemplo, requisitos estatutários e regulamentares, compromissos de compliance, requisitos para certificação em relação a uma norma de sistema de gestão; obter e manter confiança na capacidade de um fornecedor externo; determinar a contínua adequação, suficiência e eficácia do sistema de gestão do auditado; avaliar a compatibilidade e o alinhamento dos objetivos do sistemas de gestão com a direção estratégica da organização.

Existem riscos e oportunidades relacionados ao contexto do auditado que podem estar associados a um programa de auditoria e podem afetar o alcance de seus objetivos. Convém que a (s) pessoa (s) que gerencia (m) o programa de auditoria identifique (m) e apresente (m) ao cliente da auditoria os riscos e oportunidades considerados ao desenvolver o programa de auditoria e requisitos de recurso, de modo que eles possam ser abordados apropriadamente.

Podem existir riscos associados com o seguinte: planejamento, por exemplo, falha em estabelecer objetivos de auditoria pertinentes e em determinar a extensão, número, duração, locais e agenda das auditorias; recursos, por exemplo, dispor de tempo, equipamento e/ou treinamento insuficientes para desenvolver o programa de auditoria ou conduzir uma auditoria; seleção da equipe de auditoria, por exemplo, competência global insuficiente para conduzir auditorias eficazmente; comunicação, por exemplo, processos/canais de comunicação externa/interna ineficazes; implementação, por exemplo, coordenação ineficaz das auditorias no programa de auditoria ou não considerar segurança e confidencialidade da informação; controle de informação documentada, por exemplo, determinação ineficaz da informação documentada necessária requerida por auditores e partes interessadas pertinentes, falha em proteger suficientemente registros de auditoria para demonstrar a eficácia do programa de auditoria; monitoramento, análise crítica e melhoria do programa de auditoria, por exemplo, monitoramento ineficaz de resultados do programa de auditoria; disponibilidade e cooperação do auditado e disponibilidade de evidência para ser amostrada.

Oportunidades para melhorar o programa de auditoria podem incluir: permitir que múltiplas auditorias sejam conduzidas em uma visita única; minimizar tempo e distância de viagem ao local; conciliar o nível de competência da equipe de auditoria ao nível de competência necessário para alcançar os objetivos da auditoria; alinhar datas de auditoria com a disponibilidade de pessoal-chave do auditado.

Convém que a (s) pessoa(s) que gerencia (m) o programa de auditoria: estabeleça (m) a extensão do programa de auditoria de acordo com os objetivos pertinentes (ver 5.2) e quaisquer restrições conhecidas; determine (m) as questões internas e externas e riscos e oportunidades que possam afetar o programa de auditoria e implemente(m) ações para abordá-los, integrando estas ações em todas as atividades de auditoria pertinentes, conforme apropriado; assegure (m) a seleção de equipes de auditoria e a competência global para as atividades de auditoria, atribuindo papéis, responsabilidades e autoridades, e apoiando a liderança, conforme apropriado; estabeleça (m) todos os processos pertinentes, incluindo processos para: coordenação e agendamento de todas as auditorias no programa de auditoria; estabelecimento de objetivos de auditoria, escopo(s) e critérios das auditorias, determinação de métodos de auditoria e seleção da equipe de auditoria; avaliação de auditores; estabelecimento de processos de comunicação interna e externa, conforme apropriado; resoluções de disputas e tratamento de reclamações; acompanhamento de auditoria, se aplicável; relato ao cliente da auditoria e partes interessadas pertinentes, conforme apropriado; determine (m) e assegure (m) provisão de todos os recursos necessários; assegure (m) que a informação documentada apropriada seja preparada e mantida, incluindo registros do programa de auditoria; monitore (m), analise (m) criticamente e melhore (m) o programa de auditoria; comunique(m) o programa de auditoria ao cliente de auditoria e, conforme apropriado, às partes interessadas pertinentes.

Hayrton Rodrigues do Prado Filho

hayrton@hayrtonprado.jor.br



Categorias:Editorial, Normalização, Qualidade

Tags:, , , ,

Deixe uma resposta

%d blogueiros gostam disto: