Livro Texto - Unidade I

Prévia do material em texto

Autora: Profa. Valdice Neves Pólvora
Colaboradores: Profa. Angela Maria Pizzo
 Prof. Mauro Kiehn
Auditoria e Formação 
de Auditores
Professora conteudista: Valdice Neves Pólvora
É mestre em Administração e Valores Humanos pela Unicapital (2001), graduada em Ciências Econômicas pelo 
Centro Universitário Capital (1994). Especialista em Administração Hospitalar pela UNIP (2018), Especialista em Saúde 
Pública pela Universidade Paulista (2020) e em Ética (Eticista). Também é coordenadora de cursos e docente universitária de 
graduação e pós-graduação. Atuou como docente das escolas de governo: Esaf, Enap, Fundap e Fazesp para os 
cursos de Educação Fiscal, Fundamentos de Licitação e Gestão de Contratos, Pregão Eletrônico, Formação de Preços, 
Técnicas de Negociação, entre outros. Integrou a equipe de docentes do Ibegesp (Instituto Brasileiro de Educação 
em Gestão Pública) ministrando vários cursos para servidores públicos e demais interessados em diversos temas, 
entre eles: Gestão da Qualidade no Serviço Público. Foi auditora interna do Sistema de Gestão da Qualidade – BEC/SP, 
avaliadora do IPEG (Instituto Paulista de Excelência da Gestão) – Ciclo 2011-2012 e do IPEG – Prêmio MPE – Ciclo 
2013, além de membro da Rede de Escritoras Brasileiras (Rebra), com livros de poesia publicados no Brasil e na Itália.
© Todos os direitos reservados. Nenhuma parte desta obra pode ser reproduzida ou transmitida por qualquer forma e/ou 
quaisquer meios (eletrônico, incluindo fotocópia e gravação) ou arquivada em qualquer sistema ou banco de dados sem 
permissão escrita da Universidade Paulista.
Dados Internacionais de Catalogação na Publicação (CIP)
P779a Pólvora, Valdice Neves.
Auditoria e Formação de Auditores / Valdice Neves Pólvora. – 
São Paulo: Editora Sol, 2022.
148 p., il.
Nota: este volume está publicado nos Cadernos de Estudos e 
Pesquisas da UNIP, Série Didática, ISSN 1517-9230.
1. Auditoria. 2. Normas. 3. Compliance. I. Título.
CDU 657.6
U515.22 – 22
Prof. Dr. João Carlos Di Genio
Reitor
Profa. Sandra Miessa
Reitora em Exercício
Profa. Dra. Marilia Ancona Lopez
Vice-Reitora de Graduação
Profa. Dra. Marina Ancona Lopez Soligo
Vice-Reitora de Pós-Graduação e Pesquisa
Profa. Dra. Claudia Meucci Andreatini
Vice-Reitora de Administração
Prof. Dr. Paschoal Laercio Armonia
Vice-Reitor de Extensão
Prof. Fábio Romeu de Carvalho
Vice-Reitor de Planejamento e Finanças
Profa. Melânia Dalla Torre
Vice-Reitora de Unidades do Interior
Unip Interativa
Profa. Elisabete Brihy
Prof. Marcelo Vannini
Prof. Dr. Luiz Felipe Scabar
Prof. Ivan Daliberto Frugoli
 Material Didático
 Comissão editorial: 
 Profa. Dra. Christiane Mazur Doi
 Profa. Dra. Angélica L. Carlini
 Profa. Dra. Ronilda Ribeiro
 Apoio:
 Profa. Cláudia Regina Baptista
 Profa. Deise Alcantara Carreiro
 Projeto gráfico:
 Prof. Alexandre Ponzetto
 Revisão:
 Bruna Orsi
 Talita Lo Ré
Sumário
Auditoria e Formação de Auditores
APRESENTAÇÃO ......................................................................................................................................................7
INTRODUÇÃO ...........................................................................................................................................................8
Unidade I
1 CONCEITO DE AUDITORIA ...............................................................................................................................9
1.1 Objetivos da auditoria ...........................................................................................................................9
1.2 O processo de certificação ................................................................................................................ 11
1.2.1 Estágios da certificação ...................................................................................................................... 12
1.3 Auditoria baseada em riscos ............................................................................................................ 17
1.4 Tipos de auditoria segundo sua natureza .................................................................................. 19
1.4.1 Auditoria de primeira parte ................................................................................................................ 20
1.4.2 Auditoria de segunda parte ................................................................................................................ 22
1.4.3 Auditoria de terceira parte .................................................................................................................. 25
1.5 Classificação das auditorias ............................................................................................................. 28
1.5.1 Auditoria operacional .......................................................................................................................... 29
1.5.2 Auditoria contábil ................................................................................................................................. 30
1.5.3 Auditoria especial .................................................................................................................................. 31
1.5.4 Auditoria de conformidade ................................................................................................................ 31
1.6 As normas de auditoria interna ...................................................................................................... 32
2 MÉTODOS E PROCEDIMENTOS ................................................................................................................... 33
2.1 Auditoria como terceira linha de defesa .................................................................................... 35
2.2 Entendendo os conceitos de processos, riscos e controles ................................................. 36
2.2.1 Processo operacional ............................................................................................................................. 37
2.2.2 Riscos ........................................................................................................................................................... 38
2.2.3 Controles .................................................................................................................................................... 40
2.3 Metodologia de auditoria ................................................................................................................. 42
2.4 Procedimentos de auditoria, testes e evidências .................................................................... 48
3 NORMAS 19011:2018 ................................................................................................................................... 51
3.1 Protocolos ................................................................................................................................................ 55
3.2 Etapas da auditoria ............................................................................................................................ 59
3.3 Classificação de não conformidades ........................................................................................... 62
3.4 Competências, habilidades e responsabilidades do auditor ............................................... 67
4 NORMAS ISO 37000 E 37301 ..................................................................................................................... 78
4.1 Conceitos e definições........................................................................................................................ 79
4.2 Alinhamento da governança com gestão de riscos, sustentabilidade e 
responsabilidade social .............................................................................................................................. 79
Unidade II
5 AUDITORIA – ESTRATÉGIA EMPRESARIAL .............................................................................................87
5.1 Exemplos .................................................................................................................................................. 89
6 TIPOS DE AUDITORIA ..................................................................................................................................... 90
6.1 Auditoria de processos ....................................................................................................................... 90
6.2 Auditoria de serviços .......................................................................................................................... 91
6.3 Auditoria fiscal/tributária ou contábil e financeira ................................................................ 92
6.4 Auditoria interna .................................................................................................................................. 95
6.5 Auditoria operacional ......................................................................................................................... 95
6.6 Auditoria de compliance ................................................................................................................... 98
6.7 Auditoria de sistemas e tecnologia da informação..............................................................100
6.8 Auditoria de recursos humanos ...................................................................................................101
6.9 Auditoria de qualidade .....................................................................................................................103
6.10 Auditoria ambiental ........................................................................................................................104
6.11 Auditoria externa .............................................................................................................................105
6.12 Auditoria governamental .............................................................................................................106
7 GOVERNANÇA CORPORATIVA ..................................................................................................................109
7.1 Conceitos ...............................................................................................................................................109
7.2 Existe relação entre qualidade e governança? .......................................................................119
8 COMPLIANCE E GESTÃO INTEGRADA ....................................................................................................119
8.1 Compliance e sua aplicabilidade ..................................................................................................121
8.2 Gestão integrada ................................................................................................................................131
8.3 Código de ética dos auditores .......................................................................................................132
8.3.1 Aplicabilidade e execução do código de ética ......................................................................... 133
7
APRESENTAÇÃO
Caro aluno,
Este livro-texto tem como objetivo apresentar os conceitos relacionados à auditoria, sua classificação, 
bem como as funções e as responsabilidades do auditor no planejamento e na execução de auditorias.
Na atualidade, as organizações buscam a excelência na sua gestão, e, para tanto, há a necessidade 
de se adequarem às normas vigentes. Consequentemente, as organizações passam por processos de 
auditagem para que os seus processos sejam certificados e possam obter o selo de qualidade.
Num primeiro momento, destacaremos os conceitos de auditoria, seus procedimentos e normas 
vigentes. Vamos destacar a importância da auditoria de sistemas de qualidade abordando a ISO 19011 e 
a ISO 37000, que tratam das diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental.
Serão discutidos os procedimentos para a certificação e os organismos certificadores, haja vista 
a importância da obtenção desses certificados pelas organizações que buscam excelência em seus 
processos e ampliação da sua participação no mercado globalizado e altamente competitivo.
Num segundo momento, vamos analisar a auditoria como uma estratégia empresarial e, para tanto, 
veremos os tipos de auditoria, ou seja: auditoria de processos, de serviços, de compliance, de recursos 
humanos e de qualidade, auditoria fiscal ou financeira, ambiental, interna, externa e governamental. 
Dessa forma, vamos compreender a importância da governança corporativa e sua relação com a 
qualidade. Discutiremos os conceitos de compliance e gestão integrada, temas fundamentais para que 
o futuro auditor possa desenvolver as suas atividades na realização de auditorias que agreguem valor à 
organização. Por fim, abordaremos o código de ética dos auditores independentes.
Nesse sentido, esperamos que, ao término desta disciplina, você possa adquirir as seguintes 
competências para o desenvolvimento de suas atividades no mercado de trabalho:
• Compreender a importância das auditorias como estruturas estratégicas empresariais.
• Estabelecer relações interpessoais para realizar o trabalho de modo isento, ético e eficaz.
• Identificar o perfil dos problemas empresariais que sugerem a necessidade de uma auditoria.
• Interpretar informações para obter indicadores que mensuram o nível de exatidão dos processos, 
dos serviços, dos dados contábeis e/ou financeiros.
• Concluir, de forma interdisciplinar, a relação entre conformidade, mercado e governança.
Assim, nosso principal objetivo é capacitá-lo para a compreensão do trabalho de auditoria e das 
vantagens obtidas por uma empresa creditada, bem como ampliar as informações sobre a carreira que 
8
escolheu, unindo conceitos de modo interdisciplinar para que você possa atuar como auditor interno ou 
externo de qualidade de sistemas de gestão.
INTRODUÇÃO
A busca pela competitividade tem contribuído para que as empresas almejem o aprimoramento de 
seus processos, visando à conquista de novos espaços no cenário mundial.
Nesse contexto, é importante que as empresas realizem auditorias em seus sistemas da qualidade 
a fim de verificar se as atividades estão sendo desenvolvidas conforme o planejado e também para 
determinar a eficácia do que está sendo realizado, levantando pontos a serem melhorados.
As séries de normas NBR ISO 9000 e NBR ISO 14000 enfatizam a importância das auditorias como 
uma ferramenta de gestão para monitorar e verificar a eficácia da política da qualidade e/ou ambiental 
de uma organização. 
Segundo Marshall Júnior (2012), um programa de auditoria deve ser planejado levando em 
consideração a situação e a importância dos processos, as áreas a serem auditadas, bem como os 
resultados de auditorias anteriores. 
As auditorias também são uma parte essencial das atividades de avaliação da conformidade, 
como certificação, registro externo, avaliação e acompanhamento da cadeia de fornecedores. Nesse 
sentido, os critérios de auditoria, escopo, frequência e métodos devem ser definidos e divulgados para 
o auditado, de forma a provocar melhorias antecipadas em seu sistema de gestão da qualidade. Outro 
ponto importante, destacado por Marshall Júnior (2012), refere-se à seleção dos auditores e à execução 
das auditorias, que devem assegurar objetividade e imparcialidade ao processo.
Por sua vez, Lobo e Silva (2015) destacam que uma auditoria independente ou externa é realizada 
por uma terceira parte neutra, como uma empresa profissional que se especializa no procedimento 
auditado. Em ambos os casos, todos os registros da empresa serão examinados. Durante a auditoria, 
esses registros são minuciosamente inspecionados a fim de verificar qualquer discrepância que, se 
descoberta, deve ser analisada e reparada. 
Conforme os mesmos autores destacam, uma auditoria pode revelar um erro simples, mas em certos 
casos pode evidenciarproblemas graves. As empresas que trabalham com deficiências em seus processos 
podem optar por tomar decisões financeiras inadequadas na tentativa de se salvar, as quais podem ser 
identificadas e reparadas por uma auditoria.
9
AUDITORIA E FORMAÇÃO DE AUDITORES
Unidade I
1 CONCEITO DE AUDITORIA
Silva (2020) afirma que as auditorias são utilizadas como uma ferramenta de avaliação. Existem 
vários tipos de auditorias, sendo as mais comuns: ambiental, da saúde, da segurança e da qualidade. 
As auditorias podem ocorrer de forma separada ou integrada, que é quando a verificação de todos os 
sistemas de gestão ocorre ao mesmo tempo.
Conforme Silva (2020), existem também outros tipos de auditorias, como financeiras, contábeis e 
jurídicas. Conceitualmente, pode-se dizer que uma auditoria é:
 
O processo sistemático, documentado e independente para obter evidências 
e avaliá-las objetivamente para determinar a extensão na qual os critérios 
da auditoria são atendidos. Trata-se de um processo de avaliação humana 
para determinar o grau de aderência a um padrão específico, resultando em 
um julgamento (OLIVEIRA apud SILVA, 2020).
Silva (2020) ainda menciona que as auditorias não podem ser vistas como um ato de punição e, ao 
tirar seu foco punitivo, devem ser tratadas como uma ferramenta de gestão de melhoria de performance. 
Ou seja, todos ganham, tendo como resultado a satisfação de todas as partes interessadas, especialmente 
o cliente final que será beneficiado.
Os gestores precisam tratar os pontos encontrados durante o processo de auditoria como 
oportunidades de melhorias, o que resultará em processos cada vez mais robustos. Nesse aspecto, um 
bom auditor contribui positivamente para identificar e reportar, de forma construtiva, os pontos que 
devem ser trabalhados.
Conforme Silva (2020), o processo de auditoria tem como referência sempre uma norma para 
confrontar. Os requisitos são verificados e, durante as entrevistas, servem para validar se a empresa vem 
executando o que se propõe a fazer.
1.1 Objetivos da auditoria
Silva (2020) destaca que a eficácia de um sistema de gestão passa por objetivos claros e mensuráveis, 
e, portanto, o papel da liderança é fundamental e requer o engajamento de todos na melhoria contínua. 
A validação desse esforço passa pela auditoria para a sua consolidação.
Os objetivos principais da auditoria, conforme Silva (2020), são apresentados na figura a seguir.
10
Unidade I
Buscar evidência da aplicação 
correta das normas
Verificar a robustez do sistema com base nos 
resultados dos objetivos traçados
Avaliar o sistema de gestão 
da qualiade e/ou SGI
Identificar não conformidades e 
oportunidades de melhoria
Figura 1 – Objetivos da auditoria
Adaptada de: Silva (2020, p. 64).
Um ponto importante a ser observado é que a auditoria deve ser um processo independente e 
imparcial, de forma que o auditor não pode agir com parcialidade em relação a qualquer lado durante 
o processo de auditoria.
Em contrapartida, Silva (2020) diz que a auditoria é um processo sistemático e documentado, ou 
seja, no desenvolvimento da auditoria não se buscam culpados, mas evidências objetivas, que são provas 
de que o que está documentado está sendo realizado.
Assim, a documentação dos processos é fundamental, tanto que muitas empresas criam seus 
manuais de qualidade, contendo os procedimentos e as instruções de trabalho. Mas a existência de 
um papel não significa que os procedimentos estão sendo efetivamente executados, razão pela qual a 
auditoria analisa as evidências.
Uma auditoria bem executada, de acordo com Silva (2020), entregará para a alta administração 
recomendações sobre os processos visitados e análises que podem ajudar na tomada de decisão e na 
alocação de recursos.
No entanto, como citamos anteriormente, para que o processo de auditoria tenha sucesso, 
é necessário que seja independente, ou seja, os auditores precisam ser empoderados e treinados 
corretamente para atuar.
Nesse sentido, continua Silva (2020), para o correto aconselhamento quanto à forma de ação no 
processo, recomenda-se a aplicação da norma ISO 19011, que traz diretrizes para auditorias de sistema 
de gestão. Essa norma será analisada mais adiante em nosso livro-texto.
Conforme o resultado das auditorias, a empresa, com base no material recebido dos auditores, poderá 
criar um plano de ação, com a contribuição de diversas áreas e de forma sistêmica. De acordo com os 
dados, poderá priorizar e disponibilizar recursos com o objetivo de melhorar os resultados e seus processos.
11
AUDITORIA E FORMAÇÃO DE AUDITORES
Vale destacar que o processo de auditoria não é algo barato para a empresa, e, para sua implementação, 
é importante ter um planejamento adequado. Por exemplo, se houver mais de um sistema de gestão, 
vale a pena integrá-los para utilizar os recursos e o tempo dos colaboradores da melhor forma.
Nesse contexto, antes de darmos continuidade ao tema auditoria, vamos conhecer um pouco mais 
sobre o processo de certificação.
1.2 O processo de certificação
Como falamos anteriormente, uma empresa precisa ser competitiva para permanecer no cenário 
global. Assim, muitas organizações investem em obter o selo de certificação, pois sabem que, para 
concorrer no mercado, precisam atender aos requisitos de qualidade e, sempre que possível, exceder as 
expectativas dos clientes.
Silva (2020) destaca que as certificações como a ISO 9000 estão no mercado desde a década de 
1980 e vêm passando por constantes revisões para se adequarem aos anseios tanto das empresas 
quanto dos gestores de qualidade, criando, assim, um sistema de gestão mais eficiente. Desde sua 
primeira versão, a norma mantém o requisito de auditoria interna, que é exigido para que as empresas 
mantenham seu certificado.
Marshall Júnior (2012), por sua vez, coloca que a necessidade de as organizações comunicarem 
aos seus clientes e ao mercado a adequação de seu sistema de gestão da qualidade às normas de 
referência originou a atividade de certificação de terceira parte. Ele acrescenta, ainda, que a certificação 
de terceira parte substitui, em grande escala, uma certificação de segunda parte, ainda existente 
em grandes organizações, que consiste na certificação dos fornecedores, por seus clientes, com base em 
requisitos especificados, sejam eles nacionais ou internacionais.
De acordo com Carpinetti (2016), a certificação de um sistema de gestão da qualidade é um 
processo de avaliação pelo qual uma empresa certificadora avalia o sistema de gestão de uma 
empresa interessada em obter um certificado. 
O processo de avaliação está dividido em:
Segunda 
parte
Primeira 
parte
Terceira 
parte
Figura 2 – Divisão do processo de avaliação
12
Unidade I
A primeira parte trata da avaliação realizada pela própria empresa; a segunda, consiste na avaliação 
realizada por um cliente da empresa, enquanto a terceira é realizada por um organismo independente.
De acordo com Carpinetti, o processo de certificação: 
 
a) Atesta que o sistema de gestão da empresa condiz com o modelo de 
sistema de gestão da qualidade (ISO 9001), do meio ambiente (ISO 14001) 
ou ambos. Em outras palavras, avalia se o sistema de gestão da empresa 
contempla todos os requisitos estabelecidos pelas normas. Esse aspecto do 
processo de certificação é bem descrito pela expressão “diga o que você 
faz para garantir a qualidade ou o meio ambiente”. O objetivo, portanto, 
é atestar a aderência do sistema de gestão projetado pela empresa como 
modelo de sistema estabelecido pelos requisitos da ISO 9001 ou ISO14001.
b) Atesta que foram encontradas evidências de que a empresa implementa as 
atividades de gestão tidas como necessárias para atender aos requisitos dos 
clientes e outras partes interessadas. Esse segundo aspecto da certificação é 
bem definido pelo dizer “demonstre que você faz o que você diz que faz para 
garantir a qualidade” (CARPINETTI, 2016, p. 68). 
1.2.1 Estágios da certificação 
Segundo Marshall Júnior (2012), com o objetivode avaliar a conformidade, a manutenção, a melhoria 
contínua e a eficácia do sistema de gestão como um todo e do produto (bens e serviços), as atividades 
de certificação podem envolver:
Análise da documentação
Auditorias e inspeções 
na organização
Coleta e ensaios de produtos, 
no mercado ou na fábrica 
Figura 3 – Estágios da certificação
Adaptada de: Marshall Júnior (2012, p. 112).
De acordo com Carpinetti (2016), os certificados ISO 9001 (Qualidade) e ISO 14001 (Ambiental) têm 
validade de três anos. No entanto, as empresas certificadas devem passar por auditorias de manutenção 
com periodicidade semestral ou anual. Nas auditorias de manutenção, a empresa certificada, para 
manter seu certificado, deve prover evidências de que o sistema continua a atender aos requisitos da 
13
AUDITORIA E FORMAÇÃO DE AUDITORES
norma e que não conformidades identificadas em auditorias anteriores receberam o devido tratamento. 
Após o período de três anos, a empresa passa por um processo de recertificação para renovação do 
documento por igual período. 
Silva (2020) destaca os elementos essenciais para uma certificação e afirma que o processo de 
certificação passa por várias etapas essenciais, que podem ajudar as empresas a se estruturarem e, 
assim, garantir uma implementação mais participativa, tanto por parte da liderança quanto por parte 
dos colaboradores de diversos níveis.
Vamos verificar quais são essas etapas, de acordo com Silva (2020):
• definição de um time de trabalho;
• diagnóstico inicial contra norma (ou verificação de atendimento de itens);
• planejamento das atividades e responsáveis;
• implantação das melhorias;
• preparação dos auditores e auditoria interna;
• auditoria de certificação.
Um ponto muito importante é a definição do time de trabalho, o que influenciará diretamente no 
sucesso das atividades de implementação. Nesse sentido, é fundamental o envolvimento de pessoas 
de diferentes áreas para que as partes se sintam representadas, além da exigência da participação de 
membros da liderança para dar credibilidade ao processo. 
No entanto, Silva (2020) aponta que ambicionar uma certificação, tal como a ISO, não significa 
necessariamente consegui-la. A empresa que decide por essa estratégia precisa ter consciência de que 
a jornada não é simples, pois requer planejamento e investimento de recursos.
O primeiro passo é definir um responsável, para que seja iniciado um projeto que permita estruturar 
a empresa para uma visão de longo prazo. Silva (2020) diz que cabe também incluir no planejamento a 
alocação de recursos, tanto humanos quanto financeiros.
O segundo passo para o sucesso do projeto, de acordo com Silva (2020), é o envolvimento de todos 
os níveis da organização, incluindo as lideranças, de modo que as ações saiam do papel e os objetivos 
sejam atingidos.
Entre os passos necessários para que ocorra a certificação, a preparação da empresa é o início de 
tudo, bem como aceitar o desafio e firmar compromisso com todos. 
14
Unidade I
Silva destaca algumas etapas necessárias:
 
– Definir claramente a participação da gerência, pois esse é considerado 
um fator de criticidade para o sucesso. Se isso não ocorrer, as chances 
de insucessos são enormes.
– Identificar quais são os principais requisitos, com foco no cliente, na 
legislação, entre outros.
– É de suma importância a definição do escopo do sistema de gestão. 
Esse parâmetro é o primeiro a delimitar a área de atuação ou de 
exclusão, se necessário.
– O próximo passo consiste em definir os processos e os procedimentos 
que vão auxiliar na execução. Alguns procedimentos são mandatórios, 
por isso precisam ser identificados no início do projeto.
– Treinar e capacitar os colaboradores é uma demanda essencial. Os 
procedimentos podem ser usados para facilitar essa tarefa.
– Escolher um órgão que certificará a empresa, o qual pode também ser 
usado para consultoria se for julgado necessário.
– Identificar e capacitar uma equipe de auditores internos para a realização 
de auditorias.
– As oportunidades de melhorias encontradas durante as auditorias 
internas precisam ser gerenciadas para que as ações corretivas sejam 
implementadas.
– O sistema de gestão precisa ser revisado com frequência para garantir a 
maturidade do sistema e sua melhoria contínua (SILVA, 2020, p. 19-20).
Após todos esses procedimentos, e se a empresa sentir que está preparada, poderá solicitar uma 
auditoria de certificação, a qual é denominada Etapa 1, em que a verificação é documental. 
Segundo Silva (2020), essa revisão já é realizada pelo órgão certificador, para verificação inicial 
do atendimento aos requisitos da norma. Nesse momento, é entregue um relatório com os pontos 
levantados durante o processo, e a empresa terá, assim, a oportunidade de implementar melhorias.
Já a etapa final passa pela certificação chamada Etapa 2, que consiste na auditoria final, com 
apresentação de evidências e entrevistas com os colaboradores. 
Conforme Silva (2020), em caso de atendimento aos requisitos da norma, a empresa é recomendada 
para receber o selo. 
15
AUDITORIA E FORMAÇÃO DE AUDITORES
Silva (2020) diz que, apesar da norma ISO 9001:2015 não requisitar que a empresa aponte um 
representante da direção, ter alguém do grupo diretivo é fundamental para demonstrar comprometimento, 
além de agilizar a implementação de atividades que requerem aporte de recursos.
De acordo com Moraes e Pugliessi (2014), no caso da norma ISO 14001:2015, quando se tratar da 
certificação ambiental, a etapa de certificação deverá ser proposta somente após a implantação do 
sistema de gestão ambiental (SGA).
Para exemplificar, vamos observar o fluxo apresentado por Moraes e Pugliessi (2014) sobre as etapas 
da certificação ambiental.
Contato com a certificadora 
Pré-auditoria
Auditoria – fase 1
Emissão de certificado
Auditoria – fase 2
Manutenção de certificação do SGA
Auditorias periódicas
Auditorias de recertificação
Atividades de 
acompanhamento
Recomendado
Sim
Não
Figura 4 – Etapas da certificação ambiental
Adaptada de: Moraes e Pugliessi (2014, p. 80).
Conforme destaca a ABNT (2022), a certificação é um processo no qual uma entidade de terceira 
parte avalia se determinado produto atende às normas técnicas com base em auditorias no processo 
produtivo, na coleta e em ensaios de amostras. Estando tudo em conformidade, a empresa recebe a 
certificação e passa a usar a Marca de Conformidade ABNT em seus produtos. 
Desde 1950, a ABNT atua na área de certificação, ganhando respeito e confiança de grandes e 
pequenas empresas, nacionais ou estrangeiras, que recebem os mais diversos tipos de certificados.
A ABNT certificadora realiza auditorias para certificação de produtos em mais de 30 países, tendo 
atuação marcante nas Américas, na Ásia e na Europa. Ainda segundo a ABNT, diferentemente dos 
16
Unidade I
laudos e relatórios de ensaios que servem para demonstrar que determinada amostra atende ou não a 
uma norma técnica, a certificação serve para garantir que a produção é controlada e que os produtos 
estão atendendo às normas técnicas continuamente. 
O processo não é complicado e qualquer empresa pode obter a certificação, bastando demonstrar 
e garantir, através de documentos, que seu processo produtivo é controlado e que seus produtos estão 
sendo fabricados em conformidade com as normas.
 Observação
Para que uma empresa possa obter a certificação, o primeiro passo é 
solicitá-la à ABNT através do e-mail: certificacao@abnt.org.br.
A instituição informará todos os documentos necessários para a 
organização que deseja obter o certificado. 
Na figura a seguir, destacamos as etapas do processo de acreditação de organismos de certificação.
Decisão da acreditação
Avaliação de desempenho
Avaliação do local
Análise de documentação
Solicitação
Figura 5 – Etapas do processo de acreditação de organismos de certificação
Adaptada de: Inmetro (2022).
Observe que o primeiro passo é a solicitação, seguida da análisede toda a documentação; na sequência, 
são realizadas a avaliação do local e a avaliação de desempenho e, por último, a decisão de acreditação.
Conforme relata a ABNT, não há dúvida de que sua certificação (certificação ABNT) destaca e 
diferencia a empresa, seus produtos e seus serviços em relação aos demais concorrentes, além de agregar 
valor à marca e facilitar a introdução de novos produtos no mercado. Também garante tecnicamente a 
conformidade, a qualidade e a segurança, elevando o nível de produtos e serviços, reduzindo perdas e 
melhorando a gestão do processo produtivo.
Mas quais são os organismos responsáveis por credenciar as empresas certificadoras? No Brasil, 
o credenciamento é feito pelo Instituto Nacional de Metrologia, Normalização e Qualidade Industrial 
17
AUDITORIA E FORMAÇÃO DE AUDITORES
(Inmetro), uma autarquia federal que tem entre as suas responsabilidades o credenciamento de 
laboratórios, organismos certificadores, inspeção de produtos etc. 
Segundo Carpinetti (2016), o Inmetro, que coordena o sistema nacional de certificação no Brasil, 
é reconhecido internacionalmente como o organismo de credenciamento brasileiro, seguindo a tendência 
internacional atual de haver apenas um credenciador por país ou economia. 
O credenciamento de organismos certificadores é voluntário e não obrigatório. No entanto, 
o credenciamento pelo Inmetro dá maior credibilidade ao organismo certificador, especialmente os 
nacionais, que não são credenciados em outros países.
 Saiba mais
Conheça mais sobre o processo de acreditação dos organismos de 
certificação.
INMETRO. Acreditação, 2022. Disponível em: https://bit.ly/3Ex7Rhq. 
Acesso em: 5 jul. 2021. 
Muito bem, após essa explanação sobre a certificação, tomemos a questão da auditoria, uma questão 
de grande importância, diga-se de passagem, uma vez que o resultado de uma auditoria da qualidade 
ou ambiental, por exemplo, pode levar ao descredenciamento da empresa, o que impactará em seus 
resultados. Diante de tal fato, é imprescindível que os gestores saibam quais os riscos de não atender aos 
requisitos exigidos pelas normas e não preparar os seus processos para a auditagem.
1.3 Auditoria baseada em riscos
De acordo com Pardini (2019), a auditoria baseada em riscos (ABR) não é outra modalidade de 
auditoria, tampouco uma nova forma de realizá-la. Em resumo, o auditor leva em consideração, para 
a definição e identificação dos projetos de auditoria dentro de um determinado período, a leitura dos 
riscos estratégicos e operacionais da organização. 
Imoniana (2019) afirma que o risco de auditoria é analisado em pormenor na fase de planejamento, 
avaliando-se, posteriormente, como o processo de auditoria vai continuar. Assim, ele permeia cada 
etapa do procedimento executado pelo auditor. Uma visão geral de alto nível resume esses riscos em:
Risco de 
detecção
Risco de 
controle
Risco 
inerente
Figura 6 – Classificação de riscos
Adaptada de: Imoniana (2019, p. 101).
18
Unidade I
De acordo com Imoniana (2019), o risco inerente tem a ver com a estrutura física do negócio, os 
fatores que afetam o processo de produção e, finalmente, a estrutura de governança.
Já o risco de controle interno é o risco de que os procedimentos de controle interno possam não ser 
efetivos para evitar a ocorrência de erros e desvios materiais.
Por último, o risco de detecção é o risco de que o auditor possa não ser capaz de detectar 
inconformidades no decurso da auditoria. É resultado de diversos fatores, tais como fraudes, abordagens 
limitadas e metodologias enviesadas, para mencionar apenas alguns exemplos. 
Segundo Imoniana (2019), na auditoria baseada em riscos, os recursos são alocados com prudência 
em contas que provavelmente apresentarão risco de desvios materiais. Entretanto, se os auditores não 
anteciparem essa estratégia e se a alta gestão tiver intenções de fraudar o balanço, conhecendo as 
estratégias de auditoria, tudo seria feito para frustrar o processo e, assim, aumentar o risco de detecção.
Por sua vez, De Cicco (2006) enfatiza que a avaliação de riscos em auditoria identifica, mede e 
prioriza os riscos para possibilitar a focalização nas áreas auditáveis mais significativas. Em cada 
ação de auditoria, a avaliação dos riscos é utilizada para identificar as áreas mais importantes 
dentro da organização. 
Para De Cicco (2006), a avaliação de riscos permite ao auditor delinear um programa de auditoria 
capaz de testar os controles mais importantes ou testar os controles mais minuciosamente.
Para Imoniana (2019), a premissa primordial da auditoria baseada em riscos é que os auditores 
devam dedicar mais recursos a contas que sejam suscetíveis a distorções materiais e menos recursos 
para aquelas que tenham menos probabilidade de serem incorretas.
Isso começa desde a compreensão do cliente em seus negócios, dos sistemas de controles internos e 
do balanço, além dos levantamentos dos primeiros testes analíticos.
Carvalho (2020) afirma que saber lidar com gestão de riscos é saber conciliar a ciência do direito e 
da administração, o que não é fácil e requer conhecimento de especialistas nessas áreas.
Os riscos, segundo Carvalho (2020), são decorrentes da inobservância de leis, regulamentos 
administrativos, código de conduta, assim como políticas de compliance (vamos abordar esse tema mais 
à frente) de uma organização, que podem ser identificados de várias formas. Uma delas é o estímulo à 
revelação de informações que não são facilmente detectadas.
Pardini (2019) destaca que, uma vez que o objeto da auditoria esteja definido segundo sua magnitude, 
a aplicação da metodologia da auditoria leva em conta a identificação e a avaliação dos riscos inerentes, 
tecnologia e fraudes dos objetos base da avaliação, bem como seu processo de mitigação, através ou 
não do sistema de controles internos. 
19
AUDITORIA E FORMAÇÃO DE AUDITORES
Carvalho (2020) cita o exemplo dos contratos com fornecedores, prestadores de serviços e clientes 
como uma rica e importante fonte de levantamento de riscos, principalmente aqueles de natureza 
operacional, pois, dependendo da política interna de cada organização, a decisão de assinar ou não 
novos contratos acima de determinados valores pode dar ensejo à instauração de um procedimento 
interno de revisão de riscos, considerando os limites e as exceções estipulados para cada tipo de situação. 
Pardini (2019) afirma que o conceito de auditoria baseada em riscos é universal e pode ser 
aplicado nas auditorias de empresas do setor privado como também nas empresas e/ou organizações 
do setor público. Não existe diferença alguma na aplicação da metodologia de auditoria em uma 
entidade pública ou em uma empresa privada; o que muda é a natureza do objeto avaliado, sua 
gestão e monitoramento. Em ambos os setores, a avaliação deve ser realizada com base em uma clara 
identificação dos riscos envolvidos. 
Dessa forma, Pardini (2019) afirma que a aplicação da metodologia de auditoria baseada em visão 
de riscos não requer que a organização tenha um processo estruturado de gerenciamento de riscos 
implementado.
Conforme De Cicco (2006), a auditoria baseada em riscos estende e melhora o modelo de avaliação 
dos riscos, alterando a perspectiva da auditoria interna. Em vez de olhar para os processos do negócio 
como algo que está dentro de um sistema de controle, o auditor os analisa numa envolvente de risco. 
É o paradigma de “olhar para a frente”: uma auditoria centrada nos riscos acrescenta mais valor a uma 
organização do que uma auditoria centrada apenas nos controles.
Figura 7 – Auditoria baseada em riscos
Disponível em: https://bit.ly/3rFO2PD. Acesso em: 31 jan. 2022.
1.4 Tipos de auditoria segundo sua natureza
Conforme Silva (2020), existem vários tipos de auditorias, como as financeiras, as contábeis e as 
jurídicas. No entanto, para o sistema de gestão, as auditorias são categorizadas em:
20
Unidade I
Primeira parte
Segunda parte
Terceira parte
Também conhecida como interna:os membros de uma 
organização auditam sua própria organização 
Um cliente audita um fornecedor em algum ponto na cadeia 
de suprimentos (isto é, seu cliente auditando você ou você 
auditando seu fornecedor)
Essa auditoria é feita geralmente com a finalidade de 
certificação por representantes de organizações independentes
Figura 8 – Tipos de auditoria
Adaptada de: Silva (2020, p. 64).
Vamos analisar esses três tipos de auditoria e identificar qual a diferença entre auditoria interna e 
auditoria externa. 
1.4.1 Auditoria de primeira parte
Vieira (2020) coloca que a auditoria de primeira parte, também conhecida como auditoria interna, 
é realizada pelas próprias empresas para auditar seus próprios sistemas, procedimentos e processos, 
assegurando que os parâmetros do sistema de gestão da qualidade estão sendo seguidos e os resultados 
sendo alcançados.
Segundo Ramos (apud SILVA, 2020), as auditorias de primeira parte se classificam em:
Examina a eficácia do sistema 
da qualidade
Avalia a proximidade entre 
métodos e procedimentos 
estabelecidos e a prática real
 Determina a conformidade 
de produtos e/ou serviços 
com as especificações 
técnicas
Auditoria de itens 
(produtos ou serviços)
Auditoria de 
processos
Auditoria de 
sistemas
Figura 9 – Classificação da auditoria de primeira parte
Adaptada de: Vieira (2020, p. 85).
Por meio da auditoria, segundo Vieira (2020), podemos obter informações importantes para colocar 
em prática uma melhoria contínua do sistema de gestão da qualidade, processo esse que se dá por meio 
de não conformidades, observações ou oportunidades de melhoria. 
21
AUDITORIA E FORMAÇÃO DE AUDITORES
Figura 10 – Auditoria de documentação
Disponível em: https://bit.ly/3MkHZYI. Acesso em: 31 jan. 2022.
Ratificando essa visão, Silva (2020) assinala que as auditorias internas servem para avaliar os 
processos e procedimentos desenvolvidos pela empresa em comparação com a norma que certifica 
a empresa – pode se tratar de uma norma de qualidade, ambiental, saúde e segurança do trabalho, 
entre outras. 
Já para Lobo e Silva (2015), a auditoria de primeira parte ou interna analisa as atividades, os 
processos e os procedimentos de uma empresa. O objetivo dessa auditoria, muitas vezes, é aumentar a 
produtividade, diminuir custos e melhorar a qualidade dos produtos e dos processos. 
Lobo e Silva (2015) dizem que, ao contrário de uma auditoria tradicional, conduzida por uma equipe 
de auditores externos que procuram apenas descobrir possíveis falhas nos processos, uma auditoria 
interna é realizada para fornecer à empresa uma melhoria da eficiência e garantir a conformidade com 
os procedimentos internos e externos estabelecidos.
Moraes e Pugliesi (2014) também afirmam que as auditorias de primeira parte são realizadas pela 
própria empresa e visam determinar se o sistema e os procedimentos estão possibilitando (e melhorando 
progressivamente) o desempenho ambiental da organização de acordo com seus objetivos. 
Assim, a auditoria de qualidade é um procedimento em que um auditor analisa e verifica vários 
registros e processos relativos ao programa de qualidade de uma empresa. Em geral, o propósito de um 
exame de qualidade é determinar se a empresa está́ cumprindo com o seu programa de qualidade ou se 
precisa fazer alterações em suas práticas de negócios. A empresa também pode realizar uma auditoria 
de qualidade a fim de verificar se está em conformidade com os padrões de qualidade determinados, 
como os estabelecidos pela Organização Internacional de Normalização (ISO).
Silva (2020) ressalta que essas auditorias são realizadas por colaboradores voluntários, os quais 
são preparados para a tarefa. Quando ocorre a seleção de participantes para desempenhar a função 
22
Unidade I
de auditor, vale a pena considerar uma equipe com indivíduos de vários departamentos, de modo a 
contar com competências diferenciadas. 
Os colaboradores que serão treinados para a função de auditor interno são os responsáveis por 
vários processos, por exemplo: treinamento e desenvolvimento, fornecedores e clientes, infraestrutura, 
comunicação etc.
Geralmente, todos os donos de processos são capacitados para exercer a função de auditor interno, 
no entanto, vale destacar que esse profissional não pode auditar o processo em que atua para não 
comprometer o resultado e a credibilidade do sistema. Por exemplo: um auditor interno responsável 
pelo processo de recursos humanos não pode auditar esse processo.
1.4.2 Auditoria de segunda parte
Vieira (2020) menciona que a auditoria de segunda parte também é conhecida como auditoria no 
fornecedor. Nesse tipo de auditoria, um cliente audita um fornecedor em algum ponto da cadeia de 
suprimento, ou seja, trata-se do seu cliente auditando você ou de você auditando seu fornecedor. 
Desse modo, Vieira (2020) destaca que a auditoria de segunda parte pode ser realizada pela empresa, 
ou por outras pessoas em seu nome, com o objetivo de avaliar a conformidade do sistema, além dos 
requisitos legais e/ou contratuais. 
Vejamos na figura a seguir o esquema da auditoria de segunda parte, com base em Vieira 
(2020, p. 87).
Fornecedor ClienteAuditoria
Figura 11 – Auditoria de segunda parte
Disponível em: https://bit.ly/3CQp9oN. Acesso em: 31 jan. 2022.
Silva (2020) coloca que as auditorias de segunda parte, por sua vez, são auditorias que a empresa 
realiza em seus fornecedores e/ou terceirizados. A auditoria de segunda parte é uma auditoria externa, 
que tem como principal objetivo verificar questões que foram definidas em contratos, principalmente 
no que se refere à qualidade e a questões legais. 
23
AUDITORIA E FORMAÇÃO DE AUDITORES
Contribuindo com o tema, Lobo e Silva (2015) destacam que as auditorias externas são auditorias 
dos registros realizados por uma empresa externa e completamente independente do cliente. Essa 
modalidade é realizada com todos os registros, sejam da empresa, de organização sem fins lucrativos, do 
governo ou qualquer outro tipo de pessoa jurídica. 
Já Moraes e Pugliese (2014) apontam que a auditoria de segunda parte é realizada nos fornecedores 
potenciais ou atuais, ou mesmo nos prestadores de serviços, como forma de pressão para melhorar o 
desempenho ambiental da cadeia produtiva, além de proporcionar a identificação e a estimativa dos 
efeitos de uma organização no ciclo de vida do produto. 
De acordo com as autoras, esse tipo de auditoria contribui com a padronização de produtos e 
processos de empresa contratada em relação aos requisitos ambientais da empresa contratante, no caso 
de uma auditoria do Sistema de Gestão Ambiental.
Auditorias de segunda parte podem ser encomendadas por uma agência reguladora ou conduzidas a 
pedido do envolvido, como um meio de garantir que as práticas-padrão estejam sendo seguidas. Assim, 
o valor de uma auditoria externa existe porque a realização da avaliação dos registros é executada sem 
que haja qualquer suspeição do executante. Em teoria, isso ajuda a garantir que a auditoria progrida 
sem qualquer chance de impropriedades e que seu resultado seja completo e totalmente preciso. 
Conforme Lobo e Silva (2015), uma auditoria externa é realizada pelo menos anualmente ou na 
periodicidade sugerida pelo Organismo de Certificação Credenciado (OCC), após os profissionais, que 
são funcionários da empresa ou da organização, terem realizado uma auditoria interna. Não é incomum 
que as empresas solicitem à auditoria externa documentos que ajudem na melhoria de sua organização.
 Observação
Os OCCs são as entidades que conduzem e concedem a certificação 
de conformidade.
Assim, Vieira (2020) menciona que, com a realização de auditorias de segunda parte, pode-se 
desenvolver uma relação de maior confiança entre cliente e fornecedor, além de potencializar os 
produtos com maior qualidade, reduzindo as não conformidades e diminuindo os riscos.
Vieira (2020) ainda aponta também que, quando as empresas brasileiras iniciaram as negociações 
com empresas da China paracomprar matérias-primas e componentes, foram enviados representantes 
para validar os processos de fabricação e verificar a qualidade dos produtos que seriam fornecidos, de 
modo a obter uma certa garantia no fornecimento.
Dessa forma, continua Vieira (2020), as auditorias de segunda parte são integrantes de qualquer 
sistema de gestão da qualidade e uma ferramenta essencial para o processo de qualificação de 
fornecedores. 
24
Unidade I
Acerca do que pode ser avaliado nesse tipo de auditoria, Vieira (2020) destaca os seguintes itens:
• gestão e controle da qualidade;
• condições dos ambientes de trabalho;
• tratamento de reclamações;
• concepção e desenvolvimento de produtos;
• localização e acesso às instalações;
• política ambiental;
• processo de produção e embalagem; 
• processo de compras e recebimento de matérias-primas.
Você pode observar que, pelos itens anteriormente citados, há necessidade do envolvimento de 
diferentes áreas; portanto, os gestores dos processos precisam conhecer os seus processos e os de seus 
fornecedores, objetivando atingir os resultados esperados.
De acordo com Silva (2020), as auditorias de segunda parte podem ser realizadas por funcionários da 
empresa previamente capacitados para essa finalidade ou por empresas especializadas nomeadas, para 
tal função, pela empresa contratante.
Ainda de acordo com Silva (2020), trata-se de uma auditoria muito aplicada, principalmente como 
parte do desenvolvimento de novos fornecedores, visando garantir os níveis de qualidade que a empresa 
contratante deseja receber.
Por essa razão, a auditoria de segunda parte, conforme Vieira (2020), contribui para a empresa 
conhecer melhor seus fornecedores, uma vez que, em algumas situações, o fornecedor pode declarar 
na documentação de homologação algumas informações que na prática não acontecem, cabendo à 
auditoria complementar a prática com a documentação apresentada.
Por outro lado, Vieira (2020) afirma que as empresas devem buscar uma relação de ganha-ganha 
com seus fornecedores, devendo-se, assim, fomentar a contribuição mútua entre as partes, criando uma 
rede de parcerias que trazem apenas benefícios para os dois lados, principalmente para o cliente.
25
AUDITORIA E FORMAÇÃO DE AUDITORES
Figura 12 – Processos de auditoria
Disponível em: https://bit.ly/3rDWgYC. Acesso em: 31 jan. 2022.
1.4.3 Auditoria de terceira parte
A auditoria de terceira parte, segundo Vieira (2020), é realizada por um auditor independente para 
fins de certificação do sistema de gestão desejado pela empresa. Por exemplo, uma empresa deseja 
certificar seus sistemas de gestão da qualidade na norma ISO 9001-2015; para isso, deve buscar alguma 
certificadora que possua credenciamento no Inmetro.
Esse credenciamento, ainda de acordo com Vieira (2020), é uma acreditação, isto é, uma ferramenta 
estabelecida em escala internacional para gerar confiança na atuação de organizações que executam 
atividades de avaliação da conformidade – falaremos sobre o processo de certificação posteriormente.
Conforme Vieira (2020), o objetivo da auditoria de terceira parte é a verificação do sistema de gestão 
de uma organização, auditando se foi estabelecido, documentado, implementando e mantido de acordo 
com uma norma específica, sendo a última fase do processo de certificação em alguma norma. Vejamos 
como é o fluxo de uma auditoria de terceira parte, segundo o autor.
Cliente
Aud
itor
ia
Empresa de auditoria 
acreditada
Figura 13 – Auditoria de terceira parte
Adaptada de: https://bit.ly/3xIEjvU. Acesso em: 31 jan. 2022.
26
Unidade I
Finalizado o processo de auditoria de terceira parte, o auditor responsável pode recomendar a 
empresa ou não para a certificação na norma desejada. Vieira (2020) destaca que não é o auditor que 
certifica a empresa, podendo apenas recomendá-la para obter a certificação. 
Essa recomendação contém o uso de um certificado da norma auditada, como o modelo de certificado 
ISO 9001:2015 da empresa Mar-Girius, citado por Vieira (2020).
Figura 14 – Modelo de certificado ISO 9001:2015
Adaptada de: Vieira (2020, p. 89).
Assim, a auditoria de terceira parte, que também é uma auditoria externa, é realizada por uma 
organização de auditoria independente, como institutos e/ou empresas certificadoras, conforme 
citamos anteriormente.
Moraes e Pugliesi (2014) corroboram a afirmação de que a auditoria de terceira parte é realizada 
por organizações independentes em relação à empresa auditada, como uma empresa de auditoria ou 
um auditor especialista, por exemplo, na avaliação de uma organização acerca de uma norma de gestão 
ambiental, como a NBR ISO 14001. 
Nesse caso, a unidade auditada contrata os serviços de uma certificadora para que essa realize o 
processo em suas instalações e recomende sua certificação pelo órgão responsável. 
Outro exemplo de certificado de sistema de gestão da qualidade, na área pública, é o da Bolsa 
Eletrônica de Compras do Governo do Estado de São Paulo (BECSP), que pode ser acessado online.
27
AUDITORIA E FORMAÇÃO DE AUDITORES
Figura 15 – Certificado BECSP
Disponível em: https://bit.ly/3jV3kvF. Acesso em: 23 ago. 2021.
 Saiba mais
A Bolsa Eletrônica de Compras (BEC) estabelece e melhora continuamente 
o seu sistema de gestão da qualidade visando prover os meios adequados 
à otimização do gasto público e à garantia do cumprimento da legislação 
vigente. Por meio do endereço a seguir, você pode observar um exemplo disso. 
SÃO PAULO (Estado). Secretaria da Fazenda e Planejamento. Certificado 
de sistema de gestão da qualidade. São Paulo, [s.d.]. 
Disponível em: https://bit.ly/3jVdsob. Acesso em: 23 ago. 2021.
28
Unidade I
Vieira (2020) menciona que, após a recomendação do auditor externo, a empresa recebe o certificado 
da norma ISO 9001:2015. Notem que a empresa foi certificada no escopo em que desenvolveu seu 
sistema de gestão da qualidade.
Portanto, independentemente do tipo de auditoria realizada, nota-se que todas são fundamentadas 
para o processo de melhoria contínua do sistema de qualidade das organizações.
 Lembrete
As empresas certificadoras precisam ser habilitadas; no caso do Brasil, o 
órgão responsável é o Inmetro.
Como exemplo, podemos citar a Fundação Vanzolini, que é um organismo certificador e tem se 
aprimorado constantemente para contribuir com o desenvolvimento socioeconômico do país formando 
profissionais, promovendo palestras, treinamentos e cursos na área de gestão da qualidade. Também 
concede certificados no âmbito das normas ISO 9001 para sistemas de gestão da qualidade; Sassmaq, 
Transqualit e ISO/TS 16949 para certificação de sistemas de gestão da qualidade para a indústria 
automotiva; ISO 14001 para sistemas de gestão ambiental; OHSAS 18001 (substituída pela ISO 45001) para 
sistemas de saúde e segurança ocupacional; e normas ONA para acreditação de organizações de saúde. 
 Saiba mais
Acesse o site a seguir e conheça a Fundação Vanzolini. 
Disponível em: https://vanzolini.org.br/. Acesso em: 5 jul. 2021.
Esse tipo de auditoria é solicitado por empresas que estão pleiteando a certificação ou recertificação.
Vimos anteriormente como funciona o processo de certificação, e o gestor precisa ficar atento, pois, 
após a empresa conseguir a certificação, um dos grandes desafios é manter o sistema de gestão em 
constante melhoria para que os níveis atingidos não regridam. Segundo Silva (2020), é nesse contexto 
que as auditorias são de grande auxílio.
1.5 Classificação das auditorias
De acordo com Santos e Ribeiro Filho (2014), a auditoria de gestão tem como objetivo emitir opinião 
com vistas a certificar a regularidade das contas, verificar a execução de contratos, convênios, acordos 
(ou ajustes), governança de tecnologia da informação (TI), riscos, resultados, bem como a probidade na 
aplicação dos recursos públicos e na guarda ou administração de valores e outros bens do Conselho ou 
a ele confiado, compreendendo os seguintes aspectos a serem observados: 
29
AUDITORIA E FORMAÇÃODE AUDITORES
• Documentação comprobatória dos atos e fatos administrativos. 
• Existência física de bens e outros valores. 
• Eficiência dos sistemas de controles internos administrativo e contábil.
• Cumprimento da legislação e das normas. 
Já segundo Pardini (2019), as auditorias se classificam em:
Auditoria
Conformidade
Resultado
Operacional
Contábil
Gestão
Especial
Figura 16 – Classificação das auditorias quanto a sua natureza
Vejamos o que significam essas classificações.
1.5.1 Auditoria operacional 
Pardini (2019) destaca que a auditoria operacional corresponde à avaliação dos processos 
operacionais, do gerenciamento de riscos e do sistema de controles internos quanto a desempenho, 
eficiência, eficácia, economia e efetividade.
Já Santos e Ribeiro Filho (2014) apontam que o objetivo dessa auditoria é avaliar as ações gerenciais 
e os procedimentos relacionados ao processo operacional ou parte dele, com a finalidade de certificar 
a efetividade e a oportunidade dos controles internos, além de apontar soluções alternativas para a 
melhoria do desempenho operacional. Sua abordagem é de apoio e procura auxiliar a administração na 
gerência e nos resultados por meio de recomendações que visem aprimorar procedimentos e controles. 
Para Pardini (2019), essa auditoria será melhor executada quando aplicada aos ciclos de negócios 
segmentados por processos operacionais, o que permitirá à auditoria contribuir com a gestão em sua 
responsabilidade na aplicação das melhores práticas de gerenciamento, aumentando a possibilidade de 
a organização alcançar seus objetivos, sejam eles operacionais ou estratégicos.
30
Unidade I
Uma auditoria operacional atua no staff da administração, assessorando o desempenho das funções 
e as responsabilidades dela na gestão, de maneira que o planejamento e o programa de trabalho 
sejam seguidos.
Além disso, avalia as metas e os objetivos que são atingidos, seus diferentes departamentos, 
atividades, sistemas de ERP, controles, funções e operações, com o intuito de obter os chamados três Es: 
eficiência, economicidade e eficácia. No entanto, para isso, as metas são desmembradas com o objetivo 
de verificar:
• Falhas e irregularidades existentes no ciclo operacional.
• Compatibilidade entre as ações operacionais administrativas, de políticas internas, de planos 
e diretrizes.
• Motivos das ineficiências ou de desperdícios.
• Desempenho do setor auditado e de seu ciclo operacional.
• Adequação e eficácia dos controles gerenciais internos.
Logo, a auditoria operacional proporcionará aos membros da administração subsídios para a melhoria 
da gestão, com eficiência, atuando com economicidade para obter a eficácia.
1.5.2 Auditoria contábil 
Para Santos e Ribeiro Filho (2014), o objetivo da auditoria contábil é garantir que os registros 
contábeis tenham sido efetuados de acordo com os princípios fundamentais de contabilidade, com 
a legislação, conferindo ainda se as demonstrações originárias refletem adequadamente a situação 
econômico-financeira do patrimônio, os resultados do período administrativo examinado e as demais 
situações apresentadas. 
Figura 17 – Auditoria contábil
Disponível em: https://bit.ly/3Euu4wy. Acesso em: 31 jan. 2022.
31
AUDITORIA E FORMAÇÃO DE AUDITORES
1.5.3 Auditoria especial 
O objetivo da auditoria especial é examinar fatos ou situações consideradas relevantes, de natureza 
incomum ou extraordinária, sendo realizada para atender a uma solicitação expressa de autoridade 
competente. 
Vamos citar o exemplo na área de governo quando as auditorias especiais abrangem a fiscalização 
de fatos ou situações relevantes ou extraordinárias, sendo realizada por solicitação do chefe do Poder 
Executivo, de secretário de Estado, do auditor-geral do Estado ou de outros agentes políticos com 
idênticas prerrogativas.
 Saiba mais
Conheça alguns tipos de auditorias especiais disponíveis no endereço 
eletrônico da auditoria-geral do Estado do Rio de Janeiro. 
RIO DE JANEIRO (Estado). Secretaria de Estado de Fazenda. Auditoria-geral 
do Estado do Rio de Janeiro. Rio de Janeiro, 2021. 
Disponível em: https://bit.ly/37Bc33z. Acesso em: 31 ago. 2021.
1.5.4 Auditoria de conformidade
O objetivo da auditoria de conformidade, para Santos e Ribeiro Filho (2014), está relacionado ao exame 
dos atos e fatos da gestão com vistas a certificar, exclusivamente, a observância às normas em vigor.
Para Pardini (2019), a auditoria de conformidade tem como objetivo avaliar se as transações estão 
sendo realizadas em conformidade com as políticas e os procedimentos da organização, bem como em 
conformidade com as leis, as normas e os regulamentos de União, Estado, Município e/ou do órgão 
regulador. O objetivo é verificar os resultados da ação governamental com ênfase: 
• na visão dos programas enquanto fator básico de organização da função e da gestão pública 
como mobilização organizacional para alcance dos resultados;
• no planejamento estratégico.
É importante mencionar que, em setores altamente regulamentados, a auditoria de conformidade 
e/ou regularidade se faz mais presente, tendo padrões fixos para os objetivos de auditoria e para os 
resultados da avaliação. 
Pardini (2019) afirma que, em uma organização que atua em um setor regulamentado – seja uma 
instituição financeira, de seguros, farmacêutica ou de outros tipos, incluindo as instituições governamentais, 
seja da administração direta ou indireta –, devido ao alto grau de leis, normas e regulamentos existentes 
32
Unidade I
(os quais devem ser observados para a correta condução de sua operacionalidade), existe uma tendência 
de concentração dos trabalhos de auditoria na avaliação de regularidade e/ou conformidade.
Segundo Pardini (2019), nesse tipo de auditoria o objetivo do auditor é verificar se a transação foi 
realizada em conformidade com a norma, com o regulamento e com as leis. Por exemplo: em uma 
auditoria de contratos, o auditor verificará se o documento foi elaborado em consonância com os 
requisitos legais e com os procedimentos definidos pela empresa. Qualquer discrepância será anotada e 
será solicitada sua remediação.
Figura 18 – Análises da auditoria
Disponível em: https://bit.ly/3L5sFzc. Acesso em: 31 jan. 2022.
1.6 As normas de auditoria interna
Segundo Pardini (2019), a auditoria interna desempenha um importante papel no processo 
de governança, e, para iniciarmos o estudo sobre ela, precisamos inicialmente compreender sua 
exata dimensão.
O autor destaca que existem diversos conjuntos de normas para a atividade de auditoria interna. 
Há as normas de auditoria do Conselho Federal de Contabilidade, da Organização Internacional de 
Entidades Fiscalizadoras Superiores (Intosai), da Controladoria Geral da União (CGU), do Government 
Accountability Office (GAO-US), entre outros. Apesar de diversas fontes, todas acabam tratando e 
falando de temas semelhantes, não havendo grandes diferenças entre elas, a não ser na semântica. 
Segundo Pardini (2019), as normas de auditoria fornecem um direcionamento para a execução do 
trabalho de forma disciplinada, independentemente da natureza e da complexidade da avaliação. São 
um conjunto de princípios e diretrizes básicas que devem ser observados para a realização de trabalhos 
de alto desempenho.
O conjunto de regras que norteia as atividades da profissão é estabelecido pelos órgãos reguladores 
das diferentes atividades que compõem as auditorias, funcionando como um guia de orientação geral 
para o desenvolvimento das atividades requeridas. 
33
AUDITORIA E FORMAÇÃO DE AUDITORES
Temos o exemplo da norma brasileira de contabilidade (NBC), que, no seu subitem 12.1.1.1, afirma 
que a auditoria interna constitui o conjunto de procedimentos técnicos que têm por objetivo examinar 
a integridade, a adequação e a eficácia dos controles internos e das informações físicas, contábeis, 
financeiras e operacionais da entidade.
2 MÉTODOS E PROCEDIMENTOS
Uma auditoria pode ser realizada usando uma variedade de métodos.A seguir, o anexo da norma 
NBR 19011:2018 especifica os mais comumente usados. 
 
O Anexo A.1 – Aplicando os métodos de auditoria, por exemplo, destaca que: 
[...] Os métodos escolhidos para uma auditoria dependem dos objetivos, escopo 
e critérios de auditoria estabelecidos, assim como da duração e localização. 
[...] Convém que a disponibilidade do auditor com competência e qualquer 
incerteza que surja da aplicação dos métodos de auditoria sejam também 
consideradas. 
Aplicar uma variedade e combinação de diferentes métodos de auditoria pode 
otimizar a eficiência e a eficácia do processo de auditoria e do seu resultado.
O desempenho de uma auditoria envolve uma interação entre pessoas 
no sistema de gestão que está sendo auditado e a tecnologia usada para 
concluir conduzir a auditoria (ABNT, 2018, p. 41).
 
Conforme a ABNT (2018), a responsabilidade pela aplicação eficaz dos métodos de auditoria para 
qualquer estágio de planejamento permanece com a(s) pessoa(s) que gerencia(m) o programa ou com o 
líder da equipe, que tem a responsabilidade de conduzir as atividades do grupo.
A norma contempla que a viabilidade das atividades de auditoria remota, por exemplo, pode depender 
de diversos fatores, como o nível de risco em alcançar os objetivos de auditoria, o nível de confiança 
entre o auditor e o pessoal do auditado e os requisitos regulamentares.
No quadro a seguir, é possível observar exemplos de métodos de auditoria que podem ser usados 
individualmente ou em combinação para alcançar os objetivos do processo. Se uma auditoria envolver 
o uso de uma equipe com múltiplos membros, métodos presenciais ou remotos podem ser usados 
simultaneamente.
34
Unidade I
Quadro 1 – Métodos de auditoria
Extensão do envolvimento 
entre o auditor e o auditado
Localização do auditor
No local Remoto
Com interação humana
Conduzir entrevistas
Preencher listas de verificação e questionários 
com a participação do auditado
Amostrar
Por meios de comunicação interativa:
Conduzir entrevistas
Observar trabalho realizado com guia remoto
Preencher listas de verificação e questionários
Conduzir análise crítica documentada com a 
participação do auditado
Sem interação humana
Conduzir análise crítica documental (por 
exemplo, registros e análise de dados)
Observar trabalho realizado
Conduzir visita no local
Preencher listas de verificação
Amostrar (por exemplo, produtos)
Conduzir análise crítica documental (por 
exemplo, registros, análise de dados)
Observar o trabalho realizado por meio de 
monitoramento, considerando requisitos 
sociais estatutários e regulamentares
Analisar dados
Adaptado de: ABNT (2018, p. 41).
Ainda segundo ABNT (2018, p. 41), a auditoria também apresenta as seguintes características:
• Atividades presenciais de auditoria são realizadas no local do auditado.
• Atividades de auditoria remota são realizadas em qualquer local que não o local do auditado, 
independentemente da distância.
• Atividades de auditoria interativa envolvem a interação entre o pessoal do auditado e a equipe 
de auditoria.
• Atividades de auditoria não interativa não envolvem interação humana com pessoas que 
representam o auditado, mas interação com equipamento, facilities e documentação.
 Observação
Facilities: em tradução literal, o termo significa “facilidades” e diz respeito 
aos serviços de infraestrutura, como limpeza, segurança e manutenção 
predial, por exemplo. 
Segundo a ABNT (2018), convém que seja assegurado o uso adequado e equilibrado de aplicação 
remota ou presencial de métodos de auditoria, visando garantir um alcance satisfatório dos objetivos 
do programa.
35
AUDITORIA E FORMAÇÃO DE AUDITORES
2.1 Auditoria como terceira linha de defesa
De acordo com Pardini (2019), o modelo das três linhas de defesa surgiu com a publicação do Guidance 
on the 8th EU Company Law Directive, em setembro de 2010, como recomendação da implementação 
dos requisitos da lei para o monitoramento da efetividade do sistema de controles internos, auditoria 
interna e gerenciamento de riscos. Como salienta a declaração de posicionamento do Instituto dos 
Auditores Internos (IIA) sobre o tema: “O modelo de Três Linhas de Defesa é uma forma simples e eficaz 
de melhorar a comunicação do gerenciamento de riscos e controle por meio do esclarecimento dos 
papéis e responsabilidades essenciais” (PARDINI, 2019, p. 13).
Para Vieira e Barreto (2019), esse modelo das três linhas de defesa foi difundido a partir da obra 
Declaração de posicionamento do IIA (2013), publicada pelo IIA, sobre a qual o autor discorre no 
excerto a seguir:
 
Não se trata de um modelo referencial de gestão de riscos, como o Coso 
(ERM-GRC) e o ISO (31000:2009), mas uma forma de estabelecer os papéis 
e responsabilidades essenciais de cada gestor dentro da organização para 
protegê-la dos riscos por meio de uma estrutura adequada de governança. 
De acordo com esse modelo, a primeira linha de defesa é a execução, a 
segunda linha de defesa é a supervisão e o monitoramento e a terceira é 
a avaliação (VIEIRA; BARRETO, 2019, p. 125).
Conforme Pardini (2019), o ponto significativo nesse modelo é a transparência sobre quais são as 
responsabilidades de cada uma das partes interessadas na condução dos negócios e na operação da 
organização, de forma a estruturar o processo para que não existam lacunas devido à incompreensão 
das reais responsabilidades de cada um nesse processo de governança.
Órgão de governança/conselho/comitê de auditoria
Alta administração
1ª linha de defesa 2ª linha de defesa 3ª linha de defesa
Regulador
Auditoria externa
Controles da gerência
Medidas de controle interno
Controle financeiro
Segurança
Gerenciamento de riscos
Qualidade
Inspeção
Conformidade
Auditoria interna
Figura 19 – Modelo de três linhas de defesa
Adaptada de: Pardini (2019, p. 13).
36
Unidade I
De acordo com Pardini (2019), a primeira linha de defesa são os gestores, que têm como 
responsabilidade o gerenciamento de riscos de seus processos, a supervisão e o alinhamento do sistema 
de controle interno com os riscos inerentes relacionados a tecnologia e fraude. 
Como segunda linha de defesa, Pardini (2019) aponta as áreas de apoio ou staff, que auxiliam os 
gestores na execução de suas responsabilidades. São as áreas de controle interno, compliance, gestão 
de riscos, entre outras.
Na segunda linha, de acordo com Vieira e Barreto (2019), ocorre a supervisão dos riscos pela alta 
administração, observando as tradicionais funções de gestão de riscos, conformidade e controladoria. 
As funções específicas variam muito entre agências e setores, mas, basicamente, seu papel é coordenar 
as atividades de gestão de riscos, orientar e monitorar a implementação de suas práticas por parte da 
gestão operacional, apoiar a definição de metas de exposição a risco e monitorar riscos específicos, bem 
como ajudar a definir e monitorar riscos e controles da primeira linha de defesa.
Já como terceira linha de defesa, Pardini (2019) destaca que temos a auditoria interna, a qual tem 
a responsabilidade de realizar um monitoramento periódico através de uma avaliação independente do 
processo de governança, bem como a gestão de riscos e o sistema de controles internos, pelos quais os 
gestores da primeira linha de defesa são responsáveis. 
Segundo Vieira e Barreto (2019), na terceira linha ocorre a avaliação (assurance) por meio do 
processo de auditoria independente vinculada ao órgão superior de governança. O papel fundamental 
da auditoria interna na gestão de riscos é fornecer uma garantia aos órgãos de governança e à alta 
administração de que os processos de gestão de riscos operam de maneira eficaz e os maiores riscos do 
negócio são gerenciados adequadamente em todos os níveis.
Para Vieira e Barreto (2019), o modelo de três linhas de defesa é relevante porque comunica 
claramente os papéis e as responsabilidades na estruturação da governança. As responsabilidades devem 
ser claramente definidas para que cada unidade compreendaos limites de suas responsabilidades e 
como seus cargos se encaixam na estrutura geral de gestão de riscos.
Conforme Vieira e Barreto(2019), a fim de habilitar a auditoria interna a identificar os riscos mais 
significativos para o alcance dos objetivos da organização, os seus trabalhos devem utilizar uma 
abordagem de auditoria baseada em riscos, permitindo que planos de ação para o tratamento dos riscos 
identificados sejam efetivamente formulados e monitorados.
2.2 Entendendo os conceitos de processos, riscos e controles
De acordo com Pardini (2019), um dos requisitos para uma auditoria interna de alta performance é 
contar com profissionais proficientes na aplicação da metodologia, dos procedimentos e das técnicas 
de auditoria. Ele também deve conhecer os paradigmas considerados boas práticas de gestão, em sua 
concepção e em sua aplicabilidade. 
37
AUDITORIA E FORMAÇÃO DE AUDITORES
Assim, vamos abordar alguns conceitos de gestão que estão presentes na dinâmica operacional, 
compondo o contexto corporativo da organização e baseando a avaliação da auditoria. O seu 
entendimento é imprescindível para uma correta avaliação; observe-os na figura a seguir.
Riscos e 
gestão de 
riscos
Sistema de 
controle 
interno
Processo 
operacional
Figura 20 – Conceitos de gestão
2.2.1 Processo operacional
Segundo Pardini (2019), um processo operacional apenas tem razão de existir se for relevante para 
que a organização atinja seus objetivos estratégicos. Todo processo operacional tem como entrega: 
documentos, informações e dados. Suas tarefas são organizadas, planejadas e alinhadas aos seus objetivos 
e em conformidade com suas entregas. Um processo tem o início, o processamento das transações e seu 
ponto final, como demonstrado na figura seguinte.
Início (input) Processamento Final (output)
Figura 21 – Fluxo do processo operacional
Adaptada de: Pardini (2019, p. 15).
Em um trabalho de auditoria, Pardini (2019) entende como necessário que os auditores conheçam os 
limites do processo, ou seja, identifiquem seu início e seu final, reconheçam o produto que ele entrega 
e como é monitorado seu desempenho. Essas informações serão a base para a definição clara dos 
objetivos e do escopo de auditoria. Mas como obtê-las?
Pardini (2019) menciona que, durante a fase de mapeamento, realizado através de entrevistas, o 
auditor terá a oportunidade de conhecer em detalhes os insumos do processo, suas tarefas ou transações 
existentes e necessárias para que o processo possa, ao alcançar seus objetivos, entregar seus produtos 
com a qualidade requerida pelo cliente interno ou externo.
 Lembrete
O mapeamento de processos é essencial para o resultado esperado.
38
Unidade I
2.2.2 Riscos
Em relação aos riscos, vejamos o que diz Pardini (2019, p. 16): “risco é todo evento que pode impactar 
negativamente a capacidade de alcançar os objetivos”.
O conceito usado pela Fundação Nacional da Qualidade (FNQ) para risco é: “Risco é o efeito 
(positivo ou negativo) da incerteza nos processos, sistemas e decisões, causando variações (esperadas 
ou inesperadas) em seu desempenho frente aos objetivos das partes interessadas em relação àquela 
organização” (FNQ, 2014, p. 4).
De acordo com os padrões internacionais sobre o tema, determinados pela NBR 31000 – Gestão de 
Riscos (ABNT, 2007) e pelo Enterprise Risks Management – Integrated Framework (IIA, 2004), risco é o 
efeito da incerteza sobre os objetivos de uma organização. Sendo assim, a essência da gestão de risco é 
apoiar a organização a conviver com a incerteza, e não necessariamente eliminá-la, até porque o efeito, 
como dito anteriormente, pode ser positivo (FNQ, 2014)
Dessa forma, a classificação correta facilita a integração e a consolidação da gestão de riscos, além 
de auxiliar na comunicação com auditores, reguladores, agências de risco e outras partes interessadas. 
Vejamos alguns tipos de riscos na figura seguinte:
Risco
Reputacional
Operacional
De mercado
De compliance
Estratégico
Figura 22 – Tipos de riscos
Os riscos estratégicos são aqueles que estão estreitamente relacionados aos objetivos estratégicos 
de uma organização. A possibilidade de ocorrerem perdas devido à flutuação nos valores de mercado, 
como variação cambial e taxas de juros, é entendida como risco de mercado.
O risco de compliance é o risco das sanções legais ou regulatórias que a organização pode sofrer 
devido ao não cumprimento de leis, normas e procedimentos. 
O risco operacional é a possibilidade de ocorrência de perdas provenientes de falha, deficiência ou 
inadequação de processos internos, pessoas e sistemas ou de eventos externos.
39
AUDITORIA E FORMAÇÃO DE AUDITORES
Os riscos reputacionais estão relacionados à associação da imagem da organização com atividades 
de terceiros. Porém, as instituições consideram danos à reputação consequência, e não risco.
No quadro a seguir, podemos observar exemplos de tipos de riscos.
Quadro 2 – Tipologia de riscos
Tipos de riscos Exemplos
Estratégicos
Aceitação de produto 
Comportamento do mercado 
Estrutura de preço e margens na indústria 
Entrada de novos players 
Retenção de know how
Absorção de tecnologia
De mercado
Juros
Câmbio 
Crédito 
Volatilidade de ativos 
Mudanças macroeconômicas 
Mudanças políticas 
Mudanças sociais 
Preço de commodities
De compliance
Legais 
Regulatórios 
Éticos 
Contratuais 
Demonstrações financeiras 
Confiabilidade das informações
Operacionais
Estrutura de custo 
Continuidade do negócio 
Liquidez e capital de giro 
Segurança e informação 
Qualidade do produto 
Segurança do produto 
Variabilidade do projeto 
Segurança e saúde no trabalho 
Impacto ambiental 
Qualidade dos fornecedores 
Qualificação do pessoal 
Sucessão de líderes 
Infraestrutura logística
Reputacionais
Marca 
Responsabilidade social 
Parcerias 
Compromissos voluntários 
Comunicação com as mídias
Adaptado de: FNQ (2014).
40
Unidade I
Dessa forma, Pardini (2019) aponta que a organização, para que haja uma efetiva governança, 
precisa gerenciar os riscos de forma consistente, integrada e estruturada a fim de mantê-los alinhados. 
A auditoria interna, por sua vez, avalia se a organização está gerenciando os seus riscos dentro dos 
padrões predefinidos, mesmo quando a organização não conta com um processo de gerenciamento 
de riscos estabelecido.
2.2.3 Controles
Segundo a instituição Coso, citada por Pardini (2019), o sistema de controle interno pode ser definido 
da seguinte forma:
 
Controle interno é um processo conduzido pela estrutura de governança, 
administração e outros profissionais da entidade, desenvolvidos para 
proporcionar segurança razoável com respeito à realização dos objetivos 
relacionados à operação, divulgação e conformidade (COSO apud PARDINI, 
2019, p. 18).
Ainda de acordo com o autor:
 
[...] o sistema de controle interno é o conjunto de políticas, procedimentos, 
diretrizes, plano de organização e toda a ação executada pela gestão para 
garantir a eficácia dos processos, a salvaguarda dos ativos, a consistência 
e integridade dos dados e informações e a conformidade legal. O controle 
tem como objetivo minimizar a probabilidade de ocorrência do risco 
(PARDINI, 2019, p. 18).
O controle interno é um sistema com três níveis hierárquicos: ambiente de controle, controle de 
processo e controle de transação.
Ambiente de controle
Controle de processo
Controle de transação
Figura 23 – Níveis hierárquicos de controle
Adaptada de: Pardini (2019, p. 18).
41
AUDITORIA E FORMAÇÃO DE AUDITORES
De acordo com Pardini (2019), o ambiente de controle é composto por políticas, alçadas de 
responsabilidade, segregação de responsabilidade, padrões de desempenho, processo de prestação 
de contas, programa de integridade etc. A responsabilidade por esse nível é da alta gestão e dos 
colaboradores diretos.
Por sua vez, no controle de processo, como mencionado por Pardini (2019), são definidos os 
procedimentos para o atendimento das políticas e os padrões de desempenho do processooperacional. 
Também incluímos a supervisão das atividades do processo e os controles executados pelo gestor 
responsável para aprovação do produto objeto do processo. O responsável por esses controles é a gerência 
média. 
Pardini (2019) ainda afirma que o controle de transação é o nível mais analítico do sistema de 
controle e onde se encontram a maioria dos controles internos. É a fase de execução do controle 
definido no procedimento no nível de tarefa e/ou transações. Os responsáveis são os componentes 
do staff que executam as tarefas.
Segundo Pardini (2019), o sistema de controle não oferece absoluta certeza, somente uma razoável 
segurança quanto à mitigação do risco, pois ele pode não funcionar devido a falhas, omissão ou fraude. 
Assim, o controle interno é toda a ação de revisão, verificação, conferência, aprovação, autorização 
etc., baseada em políticas e procedimentos, executada em todos os níveis da organização. Pode ser manual, 
eletrônica (interação humana com o sistema eletrônico) ou automatizada (sem interação humana). 
Um ponto importante a ser destacado é a segregação de função adequada, pois fortalece o sistema 
de controle. Contudo, o oposto também é verdade, a falta de segregação de função enfraquece todo 
o sistema de controle. 
Pardini (2019) menciona que o auditor, em seu processo de avaliação, deve aplicar procedimentos 
e técnicas de auditoria para validar a eficácia dos controles internos com intuito de certificar que eles 
alcançam satisfatoriamente o objetivo para o qual foram criados. O especialista em controles internos 
também avalia os controles, entretanto, avalia o desempenho, isto é, sua eficiência.
De acordo com Pardini (2019), o conceito de controle-chave, que faz parte do processo de auditoria, 
é ainda muito mal compreendido. Vamos abordá-lo analisando cada um dos tipos de auditoria, ainda 
segundo o mesmo autor: 
• Em uma auditoria de conformidade (compliance), o controle-chave é todo o controle que mitiga 
um risco de não conformidade legal. Quanto maior a magnitude do risco, mais importante é o 
controle que mitiga.
• Na auditoria contábil, os controles contábeis são considerados chaves, pois reduzem o risco de 
uma transação ou de o saldo contábil não estar em conformidade com os princípios fundamentais 
de contabilidade. Pardini (2019) menciona que, nesse caso, o controle é mais crucial quanto maior 
for a magnitude do risco. 
42
Unidade I
• Na auditoria operacional ou de desempenho, Pardini (2019) destaca que não se trabalha com o 
conceito de controle-chave, pois, em um primeiro momento, todos os controles que compõem 
o sistema são importantes para o processo de mitigação dos riscos envolvidos e necessitam ser 
avaliados; entretanto, controles relacionados com riscos de maior magnitude são mais importantes 
no processo como um todo.
 Observação
Entende-se por mitigação de riscos a política e a estratégia adotadas 
por empresas e em projetos específicos para identificar os riscos e agir de 
maneira preventiva, minimizando seus impactos e efeitos nas operações. 
2.3 Metodologia de auditoria
De acordo com Imoniana (2019), a metodologia de auditoria compreende um grupo de procedimentos 
documentados, desenhados para fomentar o alcance de objetivos.
A metodologia sumariza guias práticos de implementação dos procedimentos de auditoria com 
enfoque global, que podem ser ajustados às necessidades e aos contextos locais. Consiste em:
• declaração de escopos de auditoria ou concordância com os termos (engagement charter, em 
uma tradução livre, “carta de comprometimento”);
• objetivos a alcançar;
• programas de auditoria.
No que se refere aos programas de auditoria, esses devem ser sistematicamente desenvolvidos e 
aprovados pelos gestores, além de divulgados a toda a equipe de auditoria.
Por sua vez, Pardini (2019) coloca que a atividade de auditoria utiliza um processo sistemático e 
disciplinado para a avaliação de riscos, controles internos e governança. 
A metodologia que vamos demonstrar é baseada nas normas internacionais de auditoria e está 
dividida em dois grupos básicos, como mostra a figura a seguir: 
43
AUDITORIA E FORMAÇÃO DE AUDITORES
Metodologia 
de auditoria
Plano de 
auditoria
Processo de 
avaliação
Figura 24 – Metodologia de auditoria
Adaptada de: Pardini (2019, p. 21).
Vejamos a representação da metodologia, de acordo com Pardini (2019).
Metodologia
Planejamento do trabalho
Plano anual de 
auditoria interna Memorando
Levantamento do 
processo
Execução e aplicação 
do programa de 
auditoria
Estratégia
Riscos
Processos
Objetivo
Escopo
Equipe etc.
Objetivos
Riscos
 A. controle
Programa de auditoria
Definição dos procedimentos de auditoria:
- Testes de controle
- Testes substantivos
Relatório de auditoria
Follow up das 
recomendações
Papéis de trabalho
Figura 25 – Representação da metodologia de auditoria
Adaptada de: Pardini (2019, p. 21).
Pardini (2019) afirma que o plano anual de auditoria define, com base nos recursos da auditoria, 
quais processos, programas ou atividades serão alvo de avaliação realizada pela equipe de auditoria. No 
plano, são definidos: o objeto da avaliação, a natureza da auditoria, as horas necessárias para auditoria 
e um cronograma de trabalho.
A segunda fase do trabalho, de acordo com Pardini (2019), é a aplicação da metodologia de 
auditoria, para que de uma forma disciplinada e sistemática possamos posicionar nossa atenção quanto 
à eficiência, à eficácia, à economia e à conformidade do objeto avaliado.
44
Unidade I
Pardini (2019) também destaca a fase de planejamento, pois se trata de uma das etapas mais 
importantes do trabalho de auditoria. É o momento da definição dos quesitos básicos do trabalho, como 
o objetivo e o escopo da auditoria, os quais irão nortear todo o trabalho até a sua conclusão.
Outro ponto importante citado pelo autor é o mapeamento do processo, pois, para realizar qualquer 
avaliação, faz-se necessário conhecer o objeto avaliado quanto ao seu desempenho, seus riscos e seus 
controles internos. Nesse caso, o objeto de avaliação é um processo operacional, cujos limites (início e 
término) já foram definidos na etapa do memorando.
É nesse momento que são coletadas informações com os profissionais que executam a atividade 
ou tarefa, e, para tanto, são necessárias algumas atividades como: agendamento de um horário, 
planejamento da entrevista e coleta das informações in loco, isto é, com os executores de cada uma das 
transações, atividade ou tarefa que compõem o processo.
De acordo com Pardini (2019), o programa de auditoria é onde são definidos os procedimentos e 
as técnicas de auditoria que devem ser aplicados para a coleta de evidências que serão suporte para a 
avaliação e para a opinião do auditor. Vejamos a definição do autor sobre programa de trabalho:
 
O estabelecimento sequencial e ordenado de passos, de forma estruturada e 
lógica, o qual tem como finalidade auxiliar e orientar o auditor a direcionar 
suas atividades na fase de execução do trabalho de auditoria, definindo o 
melhor procedimento e a melhor técnica de auditoria a serem aplicados no 
processo de coleta de evidências, as quais serão base para nossa conclusão 
(PARDINI, 2019, p. 25).
Por outro lado, Vieira (2020) menciona que, para a realização de um programa de auditoria, é 
necessário compreender como funcionam o seu desenvolvimento, a sua implantação e a sua realização, 
que devem ser documentados e ter a designação dos responsáveis pelo processo de auditoria – 
principalmente, a empresa deverá ter ciência de quando e como será executado.
De acordo com Vieira (2020), o programa pode incluir auditorias que abordem uma ou mais normas 
de sistema de gestão ou outros requisitos, podendo ser conduzidas separadamente ou em combinação 
(auditoria combinada). 
Na figura a seguir, apresentamos uma sequência lógica de atividades de auditoria da qualidade, 
conforme Vieira (2020).
45
AUDITORIA E FORMAÇÃO DE AUDITORES
Atividades de 
pré-auditoriaProgramação da auditoria
Definição da equipe auditora
Análise crítica preliminar da 
descrição do sistema da 
qualidade do auditado
Plano de auditoria
Reunião preliminar
Notificação da auditoria
Atividades de 
execução da auditoria
Reunião de abertura
Breve visita
Desenvolvimento da auditoria
Reunião de avaliação diária
Reunião da equipe de auditoria
Reunião de encerramento 
com o auditado
Atividades de 
pós-auditoria
Elaboração do relatório de auditoria
Acompanhamento das 
disposições e ações corretivas 
(follow up)
Auditorias periódicas
Figura 26 – Sequência de atividades para auditoria
Adaptada de: Vieira (2020, p. 92).
Vamos analisar essas etapas de acordo com Vieira (2020), assim você poderá entender melhor essas 
sequências. Para o autor, ao realizar as atividades de pré-auditoria, é importante que sejam consideradas 
as etapas apresentadas no quadro a seguir.
Quadro 3 – Atividades de pré-auditoria
Etapa Atividades
Programação das auditorias
As auditorias devem ser programadas o mais cedo possível no desenvolvimento das 
atividades envolvidas, para que exista a possibilidade de verificar em tempo hábil a 
conformidade e a eficácia do sistema da qualidade. Devem ser programadas com 
a frequência adequada de acordo com a importância da atividade
Definição da equipe de auditoria
As auditorias podem ser executadas por uma equipe pertencente à própria 
organização, uma equipe mista ou uma equipe independente contratada para essa 
finalidade. Somente devem ser incluídos nas equipes de auditoria profissionais 
treinados, qualificados e com experiência específica no que será auditado
Análise crítica preliminar da descrição 
do sistema da qualidade do auditado
Com base no planejamento de uma auditoria, o auditor deve analisar criticamente 
a adequação dos métodos descritos e registrados pelo auditado para entender os 
requisitos do sistema da qualidade
Plano de auditoria
Para cada auditoria, interna ou externa, deve ser elaborado um plano específico 
visando o seu bom desenvolvimento. O plano deve ser elaborado pelo auditor 
líder e desenvolvido com critério, de forma a abranger os detalhes necessários 
e propiciar ganhos na produtividade dos trabalhos posteriores. O plano deve ser 
concebido de maneira flexível, de modo a permitir mudanças de enfoques baseadas 
nas informações obtidas durante a auditoria e no uso eficaz dos recursos. É muito 
importante que o plano de auditoria seja aprovado pelo auditado e comunicado a 
todos os envolvidos no processo
46
Unidade I
Etapa Atividades
Preparação da auditoria
Uma vez consideradas satisfatórias as atividades anteriores, o auditor líder 
deve reunir a equipe que participará da auditoria com o objetivo de estudar a 
documentação aplicável, dividir as tarefas da equipe auditora, definir os documentos 
de trabalho, estabelecer métodos e técnicas a serem utilizadas e tomar providências 
administrativas
Reunião preliminar
Atividade realizada entre auditor e auditados para apresentação da metodologia e 
o plano previsto para a auditoria. É importante esclarecer os objetivos da auditoria, 
procurando conscientizar os auditados da importância do trabalho a ser realizado e 
da participação de todos para o total sucesso do trabalho
Notificação da auditoria
A empresa e os processos que serão auditados devem ser notificados sobre a 
auditoria com antecedência, informando: o objeto da auditoria, data e duração 
prevista, nome dos participantes e documentação de referência a ser utilizada
Adaptado de: Vieira (2020, p. 93-94).
Observe que há uma sequência lógica que deve ser respeitada, portanto, o planejamento é essencial 
para que todas essas etapas sejam concluídas com sucesso.
No quadro a seguir, apresentamos um exemplo de plano de auditoria – o qual, como já abordamos 
anteriormente, deve ser encaminhado para o auditado com antecedência.
Quadro 4 – Exemplo de plano de auditoria
Plano de auditoria Empresa XYZ
Local: Empresa XYZ – Curitiba-PR
Data: 07/11/2019
Equipe de auditoria: Fulano de Tal – Auditor líder; Ciclano de Tal – Auditor
Escopo da auditoria: avaliação da conformidade do sistema de gestão da qualidade 
da empresa XYZ em relação aos requisitos da norma NBR ISO 9001:2015.
Objetivo da auditoria: auditoria periódica visando a manutenção da certificação de 
conformidade do sistema de gestão da qualidade.
Documento de referência: NBR ISO 9001:2015
Tempo e duração para cada atividade principal
Data: 07/11/2019
Descrição da atividade Hora
Reunião de abertura 08:00 – 08:30
Breve visita pela empresa 08:30 – 09:00
Análise de documentação 09:00 – 10:00
Auditoria de responsabilidade da 
administração 10:00 – 12:00
Almoço 12:00 – 13:00
Adaptado de: Vieira (2020, p. 95).
47
AUDITORIA E FORMAÇÃO DE AUDITORES
Vale salientar que a extensão e o conteúdo do plano de auditoria podem ser diferentes, por exemplo, 
entre auditorias iniciais e subsequentes, bem como entre auditorias internas e externas. O plano de 
auditoria deverá ser suficientemente flexível para permitir alterações que possam surgir no decorrer 
do processo. 
 Observação
Qualquer objeção pelo auditado ao plano de auditoria deverá ser resolvida 
entre o líder da equipe de auditoria, o auditado e o cliente da auditoria.
Continuando com a análise das atividades de auditoria, segundo Vieira (2020), a sua execução deve 
ser conforme o planejamento previamente elaborado, seguindo basicamente as seguintes etapas:
Quadro 5 – Atividades de execução da auditoria
Etapa Atividades
Reunião de abertura
Uma breve reunião inicial deve ser realizada no dia e local da auditoria para: estabelecer 
um clima propício entre auditor e auditados, apresentar as pessoas envolvidas, ratificar 
o escopo e os objetivos da auditoria, demonstrar procedimentos e métodos que serão 
usados, definir meios de comunicação entre os envolvidos e elucidar e esclarecer detalhes 
do plano de auditoria
Breve visita Realizar uma rápida visita às instalações da empresa para conhecer o fluxo dos processos antes de iniciar a auditoria
Desenvolvimento da auditoria
A auditoria deve ser conduzida utilizando-se a lista de verificação previamente elaborada 
na fase de preparação, que servirá como um guia para o auditor no momento da auditoria. 
Durante a auditoria, são analisados registros, procedimentos, manual da qualidade, 
instruções de trabalho, entrevistas com os colaboradores dos processos, a fim de obter 
evidências sobre a execução das atividades conforme estão descritas na documentação. 
O auditor deve ser totalmente imparcial nesse momento
Reuniões de avaliação diária
Reservar, quando necessário, um tempo para realizar ao fim do dia uma reunião de 
avaliação com os envolvidos na auditoria para sanar assuntos abordados durante os 
processos, avaliar as não conformidades, resolver questões ou problemas, acompanhar o 
progresso e esclarecer qualquer mal-entendido
Reunião da equipe auditoria
Após concluída a auditoria, deve ser realizada uma reunião entre os auditores para troca 
de ideias e opiniões, bem como análise e discussão dos dados obtidos e das observações 
feitas pela equipe. Um dos objetivos dessa reunião é a elaboração de uma minuta da 
auditoria para apresentar aos auditados
Reunião de encerramento 
com o auditado
Terminada a auditoria e antes da emissão final do relatório, a equipe auditora deve realizar 
a reunião com a direção e com os responsáveis pelos processos auditados. 
O principal objetivo da reunião é apresentar os achados da auditoria, com destaque para 
as não conformidades detectadas, de modo que os auditados entendam claramente os 
resultados obtidos. O auditor líder deverá apresentar as conclusões da equipe auditora 
com relação à eficácia do sistema de gestão da qualidade do auditado e recomendar ou 
não a empresa para certificação ou manutenção do certificado
Adaptado de: Vieira (2020, p. 96).
Até o momento, vimos as atividades de pré-auditoria e execução da auditoria, no entanto, há as 
atividades pós-auditoria. De acordo com Vieira(2020), o processo de auditoria somente está completo 
após a realização das etapas apresentadas no quadro a seguir.
48
Unidade I
Quadro 6 – Atividades pós-auditoria
Etapa Atividades
Elaboração do relatório de 
auditoria
A responsabilidade da elaboração do relatório de auditoria é do auditor líder, que deve 
elaborá-lo e encaminhá-lo formalmente para a organização auditada, contendo todas as 
informações levantadas durante a auditoria
Acompanhamento das 
disposições e ações corretivas 
(follow up)
O auditado é responsável pela definição e implementação das disposições e ações corretivas 
referentes às não conformidades detectadas, dentro do período acordado entre as partes
Auditorias periódicas
É importante que a preparação para as próximas auditorias inclua, adicionalmente ao que já 
foi visto, os seguintes elementos: utilização de relatórios de auditorias anteriores, verificação 
de todas as alterações em processos, verificação para comprovar se todos os envolvidos 
estão informados das alterações e as compreendem plenamente, utilização de sucessivas 
auditorias como ferramenta de otimização e melhoria contínua dos processos, produtos e 
serviços da organização
Adaptado de: Vieira (2020, p. 96).
Exemplo de aplicação
Com base nas informações anteriores, faça um plano de auditoria para a empresa em que você 
trabalha ou escolha uma empresa da sua região para elaborar o plano.
2.4 Procedimentos de auditoria, testes e evidências
Para Pardini (2019), procedimentos de auditoria consistem no detalhamento, passo a passo, das atividades 
necessárias para a obtenção e o tratamento de informações. Já as técnicas servem de base aos procedimentos. 
Segundo Sawyer, citado por Pardini (2019, p. 30), existem seis categorias de procedimentos que os 
auditores podem utilizar em seu trabalho para examinar, mensurar e avaliar documentos, transações 
e processos. 
Categorias de 
procedimentos
Investigação
Avaliação
Indagação
Análise
Observação
Verificação
Figura 27 – Categorias de procedimentos
Adaptada de: Pardini (2019, p. 30-31).
49
AUDITORIA E FORMAÇÃO DE AUDITORES
Vamos analisar essas categorias, segundo Pardini (2019, p. 30-31): 
• A categoria observação é o exame visual, preliminar à confirmação por outros procedimentos. 
Pode ser realizada para a verificação das características físicas do fluxo do trabalho, do ambiente 
de controle, do local etc.
• A categoria indagação pode ser conduzida de forma oral ou escrita, através de uma entrevista ou 
questionário. 
• A categoria análise consiste na compreensão do todo através do estudo de suas partes e do 
relacionamento de cada parte com o todo. Ela é realizada para identificar qualidades, causas, 
efeitos e motivos, que serão base para um julgamento ou verificações adicionais. 
• Por sua vez, a categoria verificação é o processo de corroboração e comparação, por exemplo, de: 
um documento com uma declaração verbal, uma aprovação gerencial com a política de alçada ou 
da documentação de um processo de compras com as políticas de suprimento. 
• Temos ainda a categoria avaliação, que consiste na emissão de um julgamento logo após a 
análise e verificação. É a conclusão do auditor sobre os fatos encontrados. 
• Por fim, a categoria investigação é a busca sistemática por fatos ocultos quando existe um 
desvio de conduta ou outras condições suspeitas. É distinta dos métodos análise e verificação, 
pois estes são aplicados sobre informações não suspeitas. É utilizada em casos de fraude.
De acordo com Pardini (2019), com base nos procedimentos e nas técnicas de auditoria, aplicamos 
os testes, que genericamente chamamos de:
Testes 
substantivos
Testes de controle 
ou de observância
São utilizados, em sua maioria, para o trabalho de auditoria contábil, 
pois são procedimentos de validação de saldos e transações 
contábeis. Inclui-se nessa categoria a revisão analítica
São os testes para avaliarmos a qualidade do sistema de controles 
internos de um processo operacional, programa e/ou projeto
Figura 28 – Tipos de testes
Adaptada de: Pardini (2019, p. 31).
 Observação
Esses testes podem ser utilizados na auditoria operacional ou na 
auditoria de conformidade. 
50
Unidade I
Em relação aos testes, vejamos o que diz Imoniana (2019):
No tocante à determinação de extensões de testes, com base nos riscos 
identificados, por sua vez, define-se a extensão de testes orientados 
pelas materialidades. Quanto maior o risco, menor a materialidade e 
consequentemente mais significativa seria a extensão de testes. Ou seja, 
define-se o volume dos serviços que os auditores irão executar. Se a expectativa 
se encontrar dentro do esperado, em termos de efetividade de procedimentos 
de controle interno, mais testes de controle serão realizados, de forma que 
se possa aliviar a equipe de auditoria de um extenso teste substantivo (em 
outras palavras, queima do orçamento com esses detalhes). Se as expectativas 
são elevadas, a fim de corroborar os saldos e confirmar as assertivas, há 
necessidade de realizar maior número de testes substantivos e detalhados.
Ademais, a direção de alguns testes deve ser a favor das estratégias para 
suportar as expectativas, questionando se os planos de evidência são 
suficientemente adaptáveis às mudanças nos riscos do cliente.
Enfim, a extensão parece ser o principal mecanismo utilizado para abordar 
as diferenças de risco. Embora o teste de auditoria tenha mudado pouco ao 
longo do tempo, as diferenças na extensão são naturalmente relacionadas a 
transformações em um número limitado de riscos, assertivas e procedimentos 
atenuantes (IMONIANA, 2019, p. 69).
Conforme Pardini (2019), as técnicas de auditoria são as formas ou maneiras utilizadas na aplicação 
dos procedimentos com vistas à obtenção de diferentes tipos de evidências. 
Pardini (2019) define evidência, em auditoria, como o conjunto de fatos comprovados, suficientes, 
competentes e pertinentes, obtidos durante os trabalhos de auditoria, por meio de observações, inspeções, 
entrevistas e exames de registros e documentação, que sustentam as conclusões do auditor. Podemos 
classificar as técnicas de auditoria de acordo com o tipo de evidência que será obtida com sua aplicação. 
Vejamos quais são:
Física
Obtida através de uma inspeção física ou observação direta de pessoas, 
bens ou transações. Normalmente é apresentada sob a forma de 
fotografias, gráficos, memorandos descritivos, mapas, amostras físicas etc.
Documental É aquela obtida através dos exames de documentos, ofícios, contratos, notas fiscais, recibos etc.
Testemunhal É aquela decorrente da aplicação de entrevistas e questionários
Analítica É aquela obtida através da conferência de cálculos, comparações, correlações e análises feitas pelo auditor
Figura 29 – Tipos de evidências
Adaptada de: Pardini (2019, p. 31-32).
51
AUDITORIA E FORMAÇÃO DE AUDITORES
Esses procedimentos e técnicas de auditoria são aplicados para que possamos confirmar que o 
controle em que se quer depositar confiança tem evidência, disciplina e supervisão.
Lu (2020) destaca que as evidências de auditoria consistem em documentos que evidenciam os 
fatos nos processos. Podem ser positivas, afirmando a aderência dos procedimentos, ou negativas, 
comprovando desvios que deverão ser objeto de planos de ações para eliminação.
A NBR ISO 9001:2015, segundo Lu (2020), define evidência de auditoria como os registros, a 
apresentação de fatos ou outras informações, pertinentes aos critérios de auditoria e verificáveis. 
A evidência da auditoria, portanto, pode ser qualitativa ou quantitativa.
Segundo Lu (2020), as constatações de auditoria são as comparações entre as evidências das 
auditorias coletadas e os critérios de auditorias previamente planejados. Menciona, ainda, que as 
constatações de auditoria podem indicar conformidade ou não conformidade com os critérios de 
auditoria ou oportunidades para melhoria.
Já Imoniana (2019) coloca que as três decisões cruciais do auditor para obtenção das evidênciasdizem respeito à definição da natureza de testes, época e extensão dos exames. Essas decisões atraem 
a presença de toda a equipe da auditoria para que estejam cientes das expectativas do cliente e dos 
usuários como um todo.
Para Imoniana (2019), essas decisões e as consequentes interpelações dos auditores irão caracterizar 
sua qualidade percebida de trabalho e, portanto, seu desempenho. As demonstrações do âmbito dos 
trabalhos efetuados irão caracterizar as competências do auditor aplicado num serviço.
Moraes e Pugliesi (2014) colocam que cabe à organização assegurar que as auditorias do Sistema 
de Gestão Ambiental (SGA), por exemplo, sejam conduzidas em intervalos planejados para determinar 
se tal sistema está em conformidade com os arranjos planejados para a gestão ambiental, incluindo os 
requisitos da norma NBR ISO 14001.
Em relação aos procedimentos de auditoria, Moraes e Pugliesi (2014) apontam que devem ser 
estabelecidos, implementados e mantidos para tratar de responsabilidades e requisitos. É necessário 
relatar os resultados e manter os registros associados para determinar os critérios de auditoria, escopo, 
frequência e métodos. 
3 Normas 19011:2018 
Silva (2020) afirma que, quando a empresa estabelece um sistema de gestão de qualidade robusto, o 
próximo passo é buscar a certificação de seu processo. As auditorias fazem parte dessa jornada, e, para 
tanto, a norma ISO 19011:2018 é de suma importância, pois estabelece diretrizes que podem ajudar na 
realização das auditorias.
Segundo Silva (2020), as auditorias são importantes para a garantia dos resultados estabelecidos pela 
organização, obtendo a certeza de que esses preceitos estão sendo seguidos e executados dentro do previsto.
52
Unidade I
Para Vieira (2020), a norma ISO 19011:2018 fornece orientações para o gerenciamento de um 
programa de auditoria, sobre o planejamento e a condução de auditoria de sistema de gestão, assim 
como sobre a competência e a avaliação de um auditor e de uma equipe de auditoria. 
Vieira (2020) coloca que as orientações podem ser utilizadas para todos os tamanhos e tipos de 
organizações, sendo de variados escopos e dimensões, incluindo aquelas conduzidas por grandes equipes 
de auditoria ou por auditores únicos, em organizações grandes ou pequenas. 
Oliveira (2014) aponta que a ISO 19011:2018 é a norma que orienta as auditorias dos sistemas de 
gestão, prevendo quais são os requisitos necessários para uma auditoria eficiente, de acordo com a 
seguinte estrutura:
ISO 
19011:2018
Competência 
e avaliação de 
auditores
Executando 
uma auditoria
Gerenciando 
um programa de 
auditoria 
Referências 
normativas
Termos e 
definições
Princípios de 
auditoria
Escopo
Figura 30 – Estrutura da norma ISO 19011:2018
Adaptada de: Oliveira (2014, p. 107).
Vejamos no quadro seguinte o que significam esses sete itens, segundo Vieira (2020).
Quadro 7 – Estrutura da norma ISO 19011:2018
Item Significado
Escopo
A norma fornece orientações sobre a auditoria de sistemas de gestão, incluindo os princípios de auditoria, 
a gestão de um programa de auditoria e a condução de auditoria de sistemas de gestão, como também 
orientações sobre a avaliação de competência de pessoas envolvidas no processo de auditoria
Referências normativas Nessa norma, não há referências normativas
Termos e definições Nesse item, são citados os termos que ajudarão no processo de auditoria, para que seja uma ferramenta eficaz e confiável
Princípios de auditoria São detalhados os princípios que ajudarão no processo de auditoria, para que seja uma ferramenta eficaz e confiável
Gerenciando um programa 
de auditoria Esse item descreve a gestão e o estabelecimento de um programa de auditoria
Conduzindo uma auditoria Orientação para preparar e conduzir uma auditoria específica como parte de um programa de auditoria
Competência e avaliação 
de auditoria
Trata da avaliação de competência de auditores para fornecer um resultado objetivo, coerente, 
justo e confiável
Adaptado de: Vieira (2020, p. 97).
53
AUDITORIA E FORMAÇÃO DE AUDITORES
Segundo Oliveira (2014), a NBR ISO 19011 ajuda a tornar o processo de auditoria mais justo, 
funcionando como o manual do auditor, a ferramenta necessária para auditar de forma clara, eficiente 
e ética
Por outro lado, Silva (2020) afirma que a norma ISO 19001, além de servir de diretriz para a execução 
de uma auditoria, não limita sua aplicação somente aos sistemas de gestão, pois pode ser usada para 
diferentes tipos de auditorias.
Oliveira (2014) nos diz que a auditoria deve ser uma atividade planejada e documentada, executada 
para determinar a efetividade da implementação, da adequação e da conformidade a procedimentos, 
instruções, desenhos ou outros documentos pertinentes. É feita por investigação, exame ou avaliação de 
evidência objetiva e não deve ser confundida com atividades de inspeção ou de fiscalização puramente, 
que, em geral, são executadas com o objetivo único de controle ou de aceitação de produto ou processo. 
De acordo com a Anvisa, citada por Oliveira (2014), o ciclo de vida de uma auditoria pode ser 
associado ao ciclo PDCA, conforme visto na figura a seguir.
Preparar e planejar a 
auditoria
Conduzir a auditoria 
e redigir as 
constatações
Agir corretivamente e 
preventivamente no 
sistema
Fazer análise crítica 
sobre o resultado da 
auditoria
AuditorGerência
A
(act)
C
(check)
P
(plan)
D
(do)
Figura 31 – Ciclo de vida da auditoria
Adaptada de: Oliveira (2014, p. 108).
Para Oliveira (2014), na etapa de planejamento (plan), é importante definir exatamente o escopo 
da auditoria, de forma que se possam estabelecer as datas para sua realização, a abrangência dos 
documentos, elaborar o plano de auditoria e preparar as listas de verificação. 
Por outro lado, na etapa de condução da auditoria (do), deve-se realizar uma reunião de abertura, 
uma visita inicial às áreas a serem auditadas, seguir o plano traçado a partir da realização de entrevistas, 
verificações in loco e análise de registros. 
Oliveira (2014) coloca que os diversos auditores devem discutir as observações e chegar a um 
consenso sobre os fatos. Por fim, deve-se realizar uma reunião de fechamento dos trabalhos na empresa. 
54
Unidade I
De acordo com Oliveira (2014), a auditoria deve ser conduzida segundo os elementos constantes na 
figura a seguir.
Pergunte
Observe Verifique
Anote
Figura 32 – Triângulo da auditoria
Adaptada de: Oliveira (2014, p. 108).
Dando continuidade, Oliveira (2014) nos diz que, ainda na etapa relativa ao do, destaca-se o processo 
de relatar a auditoria. Nele devem constar as seguintes atividades: 
• Análise crítica das informações conseguidas por toda a equipe de auditores. 
• Registro de não conformidades. 
• Anexação de registros de não conformidades. 
• Elaboração do relatório. 
Oliveira (2014) menciona que as etapas plan e do são inerentes aos consultores; já as fases check e act 
são relativas à empresa que está sendo auditada. 
Na fase check, devem ser realizadas as seguintes atividades: 
• Análise do relatório geral de auditoria.
• Análise específica das não conformidades apontadas e definição de soluções a partir da utilização 
das ferramentas da qualidade para as não conformidades relatadas, gerando planos de ação.
Por fim, na fase act, deve-se implementar efetivamente as soluções propostas na fase anterior. Em 
geral, implantam-se as ações imediatas previstas nos planos de ação. Após isso, é verificado se a não 
conformidade foi solucionada. Em caso negativo, repete-se o processo. 
55
AUDITORIA E FORMAÇÃO DE AUDITORES
Seguindo o que mencionamos anteriormente, e reforçado por Oliveira (2014), as auditorias podem 
ser internas ou externas. As internas são executadas com o pessoal da própria empresa, que deve ser 
treinado e conscientizado quanto à importância da imparcialidade e da isenção no processo.
A auditoria interna tem a vantagem de ter custos menores, pois é realizada com mão de obra 
já́ disponível na organização,entretanto possui menor confiabilidade e diminui a força de trabalho 
disponível em função da saída dos profissionais de suas atividades rotineiras. 
Por outro lado, as auditorias externas são realizadas, em geral, por empresas especializadas, 
consultorias ou organismos credenciados de certificação (OCCs), o que gera custos maiores, mas têm 
maior confiabilidade. Nesse caso, não há diminuição da capacidade da empresa por usar pessoal externo.
 Lembrete
O ciclo PDCA diz respeito aos conceitos de: plan (planejar), do (fazer), 
check (verificar) e act (agir).
3.1 Protocolos
De acordo com a ABNT, a NBR ISO 19011:2018 fornece orientação sobre a auditoria de sistemas 
de gestão, incluindo os princípios de auditoria, a gestão de um programa de auditoria e a condução de 
auditoria de sistemas de gestão, além de orientação sobre a avaliação de competência de pessoas 
envolvidas no processo de auditoria. Essas atividades incluem as pessoas que gerenciam o programa de 
auditoria, os auditores e a equipe de auditoria (ABNT, 2018).
O item 4 da norma ISO 19011:2018 trata dos princípios de auditoria e diz o seguinte:
 
A auditoria é caracterizada pela confiança em diversos princípios. Convém 
que estes princípios ajudem a tornar a auditoria uma ferramenta eficaz 
e confiável, em apoio às políticas e controles de gestão, fornecendo 
informações sobre as quais uma organização pode agir para melhorar seu 
desempenho. Aderência a estes princípios é um pré-requisito para serem 
fornecidas conclusões de auditoria que sejam pertinentes e suficientes, e 
para permitir que auditores trabalhando independentemente entre si cheguem 
a conclusões similares em circunstâncias similares (ABNT, 2018, p. 7). 
As orientações dadas nas seções 5 a 7 são baseadas nos sete princípios apresentados a seguir:
56
Unidade I
Princípios
Mentalidade 
de risco
Abordagem 
baseada em 
evidência
Independência
Apresentação 
justa
Devido 
atendimento 
profissional
Confidencialidade
Integridade
Figura 33 – Princípios de auditoria
Os princípios são um tópico relevante da NBR ISO 19011:2018, pois constituem pilares para se ter uma 
auditoria confiável e eficaz, de tal modo que vários auditores, ao repetirem os mesmos procedimentos 
de auditoria, cheguem a conclusões similares.
Abordando esses princípios, Vieira (2020) aponta que o elemento integridade diz respeito ao 
fundamento do profissionalismo, pois convém que os auditores e as pessoas que gerenciam um programa 
de auditoria possam desempenhar seu trabalho eticamente, com honestidade e responsabilidade. 
Também devem realizar o seu trabalho de maneira imparcial, isto é, atendo-se sem tendenciosidade e 
com justiça a todas as suas interações.
No princípio integridade, que fala sobre o fundamento do profissionalismo, a norma destaca: 
 
a) Convém que os auditores e a(s) pessoa(s) que gerenciam um programa 
de auditoria: 
- desempenhem seu trabalho eticamente, com honestidade e 
responsabilidade; 
- somente realizem atividades de auditoria se forem competentes 
para isso; 
- realizem seu trabalho de uma maneira imparcial, isto é, mantenham-se 
justos e sem tendenciosidade em todas as suas interações; 
- sejam sensíveis a quaisquer influências que possam ser exercidas 
sobre o seu julgamento enquanto estiverem realizando uma auditoria 
(ABNT, 2018, p. 6). 
57
AUDITORIA E FORMAÇÃO DE AUDITORES
O princípio apresentação justa, segundo Vieira (2020), diz respeito à obrigação de reportar com 
veracidade e exatidão as constatações de auditoria, conclusões de auditoria e relatórios de auditoria, 
para que reflitam com veracidade e precisão as atividades de auditoria. 
Com relação ao princípio apresentação justa, a norma fala sobre a obrigação de reportar com 
veracidade e exatidão, conforme segue: 
 
b) Convém que as constatações de auditoria, conclusões de auditoria e 
relatórios de auditoria reflitam com veracidade e precisão as atividades 
de auditoria. 
Convém que os obstáculos significativos encontrados durante a auditoria e 
não resolvidos por divergência de opiniões entre a equipe de auditoria e o 
auditado sejam reportados. 
Convém que a comunicação seja verdadeira, precisa, objetiva, em tempo 
hábil, clara e completa (ABNT, 2018, p. 6).
O conceito do princípio devido atendimento profissional fala sobre a aplicação de diligência e o 
julgamento na auditoria: 
 
c) Convém que os auditores exerçam o devido cuidado de acordo com a 
importância da tarefa que eles executam e com a confiança neles depositada 
pelo cliente de auditoria e por outras partes interessadas. Um fator 
importante na realização do seu trabalho com devido cuidado profissional 
é ter a capacidade de fazer julgamentos ponderados em todas as situações 
de auditoria (ABNT, 2018, p. 6). 
Vieira (2020) afirma que o devido cuidado profissional se refere ao fato de que o auditor deve aplicar 
a auditoria e a responsabilidade envolvida em fazer os seus julgamentos. Um fator importante que deve 
ser considerado com o devido cuidado profissional é ter a capacidade de fazer julgamentos ponderados 
em todas as situações de auditoria, agindo com diplomacia.
Prosseguindo, vamos verificar o que diz o princípio confidencialidade, que trata da segurança 
da informação: 
 
d) Convém que os auditores tenham discrição no uso e proteção das 
informações obtidas no curso de suas obrigações. Convém que a informação 
de auditoria não seja usada de forma inapropriada para ganhos pessoais 
pelo auditor ou pelo cliente de auditoria, ou de uma maneira prejudicial 
para os legítimos interesses do auditado. Este conceito inclui o manuseio 
apropriado de informação sensível ou confidencial (ABNT, 2018, p. 7). 
58
Unidade I
O princípio confidencialidade, conforme destaca Vieira (2020), aborda a segurança da informação, 
pois os auditores devem ter discrição no uso e proteção das informações obtidas durante o processo de 
auditoria. Essas informações não devem ser usadas de maneira inapropriada para ganhos pessoais do auditor 
ou pelo cliente da auditoria, ou seja, não pode haver vazamento de informações por nenhuma das partes.
 
d) Convém que os auditores tenham discrição no uso e proteção das 
informações obtidas no curso de suas obrigações. 
Convém que a informação de auditoria não seja usada de forma inapropriada 
para ganhos pessoais pelo auditor ou pelo cliente de auditoria, ou de uma 
maneira prejudicial para os legítimos interesses do auditado. Este conceito 
inclui o manuseio apropriado de informação sensível ou confidencial 
(ABNT, 2018, p. 7). 
Em relação ao princípio independência, Vieira (2020) afirma que ele corresponde à base para a 
imparcialidade e a objetividade das conclusões de auditoria, de modo que possam realizar as 
atividades de forma livre e não tendenciosa. A objetividade deve ser o norte dos auditores ao longo 
do processo de auditoria para assegurar que as constatações e conclusões sejam baseadas apenas 
nas evidências de auditoria.
O princípio independência aborda a imparcialidade de auditoria e a objetividade das conclusões 
de auditoria: 
 
e) Convém que os auditores sejam independentes da atividade que está sendo 
auditada quando for praticável, e convém que ajam em todas as situações de 
um tal modo que estejam livres de tendenciosidade e conflitos de interesse. 
Para auditorias internas, convém que os auditores sejam independentes da 
função que está sendo auditada, se praticável. Convém que os auditores 
mantenham objetividade ao longo do processo de auditoria para assegurar 
que as constatações e conclusões de auditoria sejam baseadas apenas nas 
evidências de auditoria. Para pequenas organizações, pode não ser possível 
que auditores internos tenham total independência da atividade que está 
sendo auditada, porém convém que seja feito todo o esforço para remover a 
tendenciosidade e encorajar a objetividade (ABNT, 2018, p. 7). 
O princípio abordagem baseada em evidência consiste no método racional para alcançar conclusões 
de auditoria confiáveis e reproduzíveis emum processo sistemático de auditoria: 
 
f) Convém que a evidência de auditoria seja verificável. Convém que no geral 
ela seja baseada em amostras da informação disponíveis, uma vez que uma 
auditoria é conduzida durante um período finito e com recursos limitados. 
Convém que o uso apropriado de amostras seja aplicado, uma vez que esta 
situação está intimamente relacionada à confiança que pode ser depositada 
nas conclusões de auditoria (ABNT, 2018, p. 7). 
59
AUDITORIA E FORMAÇÃO DE AUDITORES
Segundo Vieira (2020), a abordagem baseada em evidências se traduz na forma para alcançar 
um processo de auditoria sistematizado, de modo que todas as auditorias sejam confiáveis e com 
reprodutibilidade. Assim, torna-se essencial que seja baseada em um método planejado e racional.
Por último, temos o conceito da abordagem baseada em riscos, que considera riscos e oportunidades: 
 
g) Convém que a abordagem baseada em risco influencie substancialmente 
o planejamento, a condução e o relato de auditorias, para assegurar que 
as auditorias sejam focadas em assuntos que sejam significativos para o 
cliente de auditoria e para alcançar os objetivos do programa de auditoria 
(ABNT, 2018, p. 7). 
Como vimos, a importância da auditoria é fundamental para que a organização mantenha a sua 
certificação ou recertificação. A não observância dos requisitos das normas ISO 9001 e ISO 14001 pode 
impactar na competitividade da organização, pois o selo de certificação é uma garantia de que adota 
procedimentos de qualidade nos seus processos, tanto de produtos quanto de serviços.
Vieira (2020) aponta que a ISO 19011:2018 estabelece diretrizes para execução das auditorias e seus 
princípios relacionados com a parte comportamental da equipe envolvida no processo. É de extrema 
importância que todos os auditores tenham conhecimento da norma e de seus princípios para que 
possam obter ótimos resultados com o processo de auditoria.
3.2 Etapas da auditoria 
Vamos analisar as etapas da auditoria no que tange aos aspectos documentais, à conformidade e ao 
follow up que deve ser gerenciado pelo auditado, visando cumprir com os apontamentos efetuados pela 
equipe de auditoria. Vamos abordar também a identificação de não conformidades, como evidenciá-las 
de forma objetiva e com informações suficientes para o esclarecimento das partes interessadas. 
De acordo com O’Hanlon (2009), entender o escopo e os objetivos de auditoria é um aspecto 
importante da compilação de dados do planejamento. Como uma auditoria é um processo que envolve 
a interação entre auditores e auditados, a equipe auditora necessita saber quem são as pessoas-chave 
na organização. 
As listas dos nomes e dos cargos nem sempre são úteis, porque os cargos frequentemente não 
dão qualquer indicação das responsabilidades do indivíduo envolvido. Geralmente, a empresa que irá 
fazer a auditoria encaminha correspondência para a empresa a ser auditada, solicitando as informações 
necessárias para realizá-la. 
Conforme destaca O’Hanlon (2009), embora a auditoria não seja apenas sobre documentos, o auditor 
precisa, de fato, compreender os documentos necessários para executá-la, que podem incluir: 
60
Unidade I
• normas;
• manual da qualidade; 
• procedimentos, documentos de processo e instruções de trabalho;
• listas-mestras; 
• folhetos e catálogos; 
• contratos; 
• especificações. 
Toda essa documentação deve estar disponível para a consulta dos auditores. 
Como vimos anteriormente, para a elaboração do plano de auditoria, os requisitos básicos que 
devem ser observados são:
• data; 
• hora; 
• duração; 
• número de auditores; 
• locais; 
• arranjos dos turnos de trabalho; 
• segurança e arranjos para estacionamento.
No quadro a seguir, destacamos a documentação necessária para a auditoria.
Quadro 8 – Documentação necessária para auditoria
Contrato Norma Manual Procedimentos/ documentos de processo Instruções Outros
Auditoria de 
primeira parte Sim Sim Sim Sim Sim Sim
Auditoria de 
segunda parte Sim Possivelmente Sim Sim Às vezes Sim
Auditoria de 
terceira parte Sim Sim Sim Sim Sim Sim
Adaptado de: O’Hanlon (2009, p. 47).
61
AUDITORIA E FORMAÇÃO DE AUDITORES
 Lembrete
A auditoria de primeira parte é interna, enquanto a auditoria de segunda 
parte é externa, tendo como foco os fornecedores, e a de terceira parte é 
externa, possuindo como objetivo a certificação.
Segundo O’Hanlon (2009), esses documentos não podem servir como base da auditoria isoladamente; 
devem ser postos no contexto dos objetivos do negócio, das entradas e das saídas dos processos e da 
natureza do negócio. 
Vamos destacar alguns pontos que devem ser observados na preparação para a auditoria da qualidade, 
segundo Lobo (2010).
Quadro 9 – Preparação da auditoria de qualidade
Item Descrição
Foco
Os procedimentos devem cobrir todos os aspectos do trabalho em conformidade e padrões 
necessários para alcançar os níveis desejados de qualidade. Por exemplo, pode-se decidir testes 
de programas de controle final, mas deixar os testes preliminares de um protótipo para o 
programador executar
Procedimentos
Qualquer aspecto recorrente de trabalho pode merecer regulamentação. O estilo e a 
profundidade da descrição variam de acordo com as necessidades e preferências, desde que seja 
suficientemente clara para ser seguida
Definição
Um princípio importante é que os procedimentos definidos sejam bons e levem a empresa aos 
níveis desejados de qualidade. Consideráveis análises, consultas e testes devem ser aplicados a 
fim de definir os procedimentos adequados, o que muitas vezes exige também formas definidas 
ou ferramentas de software
Controle
Como acontece com qualquer gestão de boa qualidade, os procedimentos devem ser 
devidamente controlados em termos de acessibilidade, controle de versão, atualização de 
autoridades etc.
Comunicação
Todos os participantes precisam conhecer os procedimentos definidos, saber que existem, onde 
encontrá-los e o que cobrem. Multiplicadores da qualidade são responsáveis por verificar o que 
os membros da equipe entenderam sobre os procedimentos
Uso Os procedimentos definidos devem ser seguidos. Os checklists serão usados para garantir, se for o caso. Um procedimento de ação corretiva será́aplicado para lidar com deficiências
Adaptado de: Lobo (2010).
Embora o impacto da auditoria da qualidade atinja todas as partes e todos os departamentos 
da empresa, as atividades especificas dessa auditoria tendem a ser atribuídas como comentários aos 
procedimentos definidos. 
Esses comentários são aplicados em fase final e na conclusão do projeto de auditoria, sendo o 
objetivo da revisão incentivar a conformidade dos processos não eficazes.
62
Unidade I
3.3 Classificação de não conformidades 
A classificação de não conformidades pode ser “maior” ou “menor”, e depende da análise e avaliação 
do grau de impacto sobre os critérios correspondentes ou similares dos outros sistemas de gestão.
É importante destacar que as constatações da auditoria podem indicar tanto conformidade quanto 
não conformidade com o critério de auditoria. 
Conforme relata O’Hanlon (2009), antes de obter o consenso da equipe auditora com uma não 
conformidade, o auditor líder deve considerar as seguintes questões: 
• Esse é um fato isolado? 
• Acontece frequentemente? 
• Essas observações são consistentes com o escopo e os objetivos?
• Há evidências objetivas? 
• Temos a concordância do auditado? 
• Essa é uma quebra de sistema ou um lapso menor?
Observe o que diz o item 6.4.8 da referida norma sobre o assunto:
6.4.8 Gerando constatações de auditoria
Convém que a evidência de auditoria seja avaliada em relação aos critérios 
de auditoria para determinar as constatações de auditoria. As constatações de 
auditoria podem indicar conformidade ou não conformidade com os seus 
critérios. Quando especificado pelo plano de auditoria, convém que as 
constatações de auditoria individual incluam conformidade e boas práticas 
junto com suas evidências deapoio, oportunidades para melhoria e 
quaisquer recomendações para o auditado.
Convém que não conformidades e evidências de auditoria que as apoiam 
sejam registradas. 
Não conformidades podem ser classificadas dependendo do contexto da 
organização e de seus riscos. Esta classificação pode ser quantitativa (por 
exemplo, de 1 a 5) e qualitativa (por exemplo, menor e maior). Convém que elas 
sejam analisadas criticamente com o auditado para obter reconhecimento 
de que a evidência de auditoria é exata, e que as não conformidades são 
entendidas. Convém que todo o empenho seja feito para resolver quaisquer 
63
AUDITORIA E FORMAÇÃO DE AUDITORES
opiniões divergentes relativas às evidências ou constatações de auditoria. 
Convém que questões não resolvidas sejam registradas no relatório de 
auditoria. (ABNT, 2018, p. 29).
 Observação
Uma não conformidade é uma instância em que alguns requisitos 
específicos não foram atendidos.
De acordo com O’Hanlon (2009), não conformidades podem ser categorizadas como indicado no 
quadro a seguir.
Quadro 10 – Categorização de não conformidades
Categoria Interpretação
Maior
A organização não atende aos requisitos da norma e/ou do contrato 
A organização não faz o que diz fazer 
Há uma lacuna significativa no sistema
Menor
Lapsos insignificantes e ocasionais são verificados 
A organização está fazendo mais do que é requerido fazer (isso acontece sempre?) 
A não conformidade não tem impacto no produto
Adaptado de: O’Hanlon (2009, p. 102).
Vamos exemplificar essas categorias para um melhor entendimento. Uma não conformidade maior 
significa a ausência ou total interrupção do sistema no cumprimento de um requisito da ISO 9001:2015. 
Exemplo: uma empresa declara que mantém equipamentos de backup e gerador para atender aos 
clientes em caso de queda de energia. 
Figura 34 – Geradores de energia
Disponível em: https://bit.ly/3OpFW7F. Acesso em: 2 fev. 2022.
64
Unidade I
Na auditoria, entretanto, foi constatada a não existência desses equipamentos em número suficiente 
para atender à demanda dos clientes. Nesse caso, será considerada uma não conformidade maior. 
Por outro lado, uma não conformidade menor consiste em um não cumprimento da ISO 9001:2015 
que não tenha a probabilidade de resultar em uma falha do sistema de gestão da qualidade, nem de 
reduzir sua capacidade de assegurar processos ou produtos controlados.
Ainda de acordo com O’Hanlon (2009), se algo é um requisito obrigatório e a organização não o 
atende, então isso constitui uma não conformidade maior. 
Assim, por exemplo, se um registro não puder ser recuperado, teremos uma não conformidade maior. 
Em algumas indústrias (por exemplo, a nuclear), isso pode ser justificável, mas na maioria dos casos tal 
categorização pareceria severa. 
Da mesma forma, uma não conformidade menor é registrada quando se descobre que uma atividade 
de valor agregado não consta nos documentos de processo ou procedimentos. Uma falha dessa natureza 
pode fazer com que novas práticas nunca sejam incorporadas nos documentos e com que os novos 
funcionários utilizem os métodos prescritos, ignorando, assim, os métodos aperfeiçoados. 
Nesse sentido, as consequências da categorização de não conformidades são as seguintes:
Impede a recomendação 
para certificação
Normalmente não impede 
a recomendação para 
certificação
Maior Menor
Figura 35 – Consequências da categorização de não conformidades
Adaptada de: O’Hanlon (2009, p. 102).
Quando se tratar de observação/comentário, isso também não impede a recomendação para 
certificação. 
De acordo com O’Hanlon (2009), para abrir uma não conformidade, o auditor líder e os membros da 
equipe auditora devem assegurar que os seguintes critérios sejam atendidos: 
• Definição clara do problema.
• Evidência objetiva, explícita e inequívoca.
• Capacidade de esclarecer a não conformidade e seu impacto no negócio e no contexto do processo 
de auditoria.
• Planos de contingência que abordem desafios e questões potenciais.
65
AUDITORIA E FORMAÇÃO DE AUDITORES
• Informação de suporte clara (por exemplo, local, nome do auditado e/ou do guia, documentos de 
referência, registros, produtos, equipamentos e/ou materiais).
• Indicação explícita de quais requisitos na norma, contrato e/ou sistema documentados foram 
violados. 
Os erros típicos cometidos nos relatórios de auditoria são: 
• Múltiplas não conformidades relacionadas a diferentes requisitos da norma no mesmo relatório 
de não conformidade.
• Repetição do mesmo tipo de problema registrado em diferentes relatórios de não conformidade, 
em vez da abertura de um relatório com múltiplas evidências objetivas. 
Após a auditoria, o auditor líder fará a reunião de encerramento com a alta direção da organização e 
a equipe que participou do processo. Nesse momento, serão expostos os pontos fortes, os pontos fracos 
e as oportunidades de melhoria. 
As conclusões da auditoria podem indicar a necessidade de ações corretivas, preventivas ou de 
melhoria, se aplicável. Normalmente, o auditado terá um prazo para responder tais ações, o que não é 
considerado parte da auditoria.
 Lembrete
Uma ação corretiva é responder a uma não conformidade identificada 
no processo de auditoria.
Vejamos um exemplo prático de registro de não conformidade.
Vamos supor que o instrumento GT 110, um paquímetro digital, foi encontrado sem calibração no 
departamento de manutenção da empresa Alfa.
Figura 36 – Paquímetro digital
Disponível em: https://bit.ly/3L1CeiT. Acesso em: 2 fev. 2022.
66
Unidade I
Muitas vezes, a declaração de não conformidade é confundida com a evidência objetiva, portanto, a 
declaração de não conformidade deve ser expressa como um problema com o sistema. Se uma declaração 
de não conformidade é feita em termos de pessoa ou incidente, então, na realidade, trata-se de uma 
evidência objetiva.
Assim sendo, é importante registrar uma não conformidade como um problema com o sistema, caso 
contrário, a solução de problema adotada pela organização pode não ser efetiva.
Observe no quadro 11 como ficaria o registro da não conformidade citada no exemplo anterior. 
Quadro 11 – Registro de não conformidade
Descrição A sistemática de controle das datas de calibração de dispositivos de medição não é eficaz
Critério ISO 9001, 7.1.5.2 Rastreabilidade de medição
Evidência O instrumento GT 110, um paquímetro digital, foi encontrado sem calibração no departamento de manutenção da empresa Alfa
Carpinetti (2016) aponta que, de um modo geral, especialmente nas pequenas empresas, as 
calibrações são feitas por serviços de terceiros. Deve-se tomar cuidado para que esses fornecedores 
de serviços de calibração sejam pertencentes à Rede Brasileira de Calibração (RBC), credenciados pelo 
Instituto Nacional de Metrologia e Qualidade Industrial (Inmetro). 
De acordo com Carpinetti (2016), para possibilitar que a situação da calibração seja determinada, 
os equipamentos devem ser identificados com etiqueta contendo as seguintes informações: código, 
número do certificado, data da última calibração, data da próxima calibração. Os instrumentos também 
devem ser protegidos contra ajustes que possam invalidar o resultado da medição e protegidos de danos 
e deterioração durante manuseio, manutenção e armazenamento.
 Saiba mais
Entenda mais sobre esse tema lendo o capítulo 7, item 7.1.5 – Recursos 
de monitoramento e medição, do livro indicado a seguir.
CARPINETTI, L. C. R.; GEROLAMO, M. C. Gestão da qualidade ISO 
9001:2015. São Paulo: Atlas, 2016.
Segundo Carpinetti (2016), adicionalmente, a ISO 9001:2015 estabelece que, quando se constatar 
que o equipamento não está em conformidade com os requisitos, a organização deve avaliar a validade 
dos resultados de medições anteriores e tomar uma ação apropriada quanto ao dispositivo e ao 
produto afetado.
67
AUDITORIA E FORMAÇÃO DE AUDITORES
Exemplo de aplicação
Durante uma auditoria na empresa Gama, você encontra uma declaração que estabelece que “Todos 
os nossos colaboradoressão instrumentais para o fornecimento de experiências positivas excelentes 
para nossos clientes e outros beneficiários dos nossos serviços e produtos”. Após entrevistar oito pessoas 
aleatoriamente, você constata que cinco das oito não conhecem quaisquer objetivos da qualidade pelos 
quais sejam, de qualquer forma, responsáveis, e sete delas não fazem ideia do quanto seu trabalho é 
importante para o cliente.
Considerando o exposto no exemplo anterior, verifique nas normas ISO 9001:2015 e NBR ISO 
19011:2018 como você registraria essa constatação e qual seria a graduação de não conformidade 
desse caso.
3.4 Competências, habilidades e responsabilidades do auditor 
A partir daqui, vamos abordar as competências e as responsabilidades do auditor líder e do auditor 
membro de equipe, destacando as competências genéricas e as habilidades específicas, de acordo com 
o tipo de auditoria a ser realizada. 
Os custos para a realização de auditorias são dispendiosos, tanto em termos de tempo quanto de 
recursos humanos, que englobam também os custos de viagens e hospedagens, quando necessário. No 
entanto, o custo de uma auditoria realizada sem planejamento e com auditores sem a competência 
necessária para atender aos requisitos exigidos para a função é bem maior.
Lu (2020) aponta que a competência consiste no conjunto de conhecimento e habilidades pessoais 
no exercício das atividades. De acordo com a autora, a NBR ISO 9001:2015 define competência como 
atributos pessoais e capacidade demonstrados para aplicar conhecimento e habilidades. 
De acordo com o previsto no item 7 – Competências e avaliação de auditores da ISO 19011:2018, 
destacamos o que diz o item 7.1 – Generalidades: 
 
Convém que a competência seja avaliada regularmente por meio de um processo que 
considere o comportamento pessoal e a capacidade para aplicar conhecimento e habilidades 
obtidos por meio de educação, experiência de trabalho, treinamento de auditor e experiência 
de auditoria. Convém que este processo leve em consideração as necessidades do programa de 
auditoria e seus objetivos. 
Alguns dos conhecimentos e habilidades descritos em 7.2.3 são comuns para auditores de 
qualquer disciplina de sistema de gestão; outros são específicos para disciplinas particulares 
de sistemas de gestão. 
68
Unidade I
Não é necessário que cada auditor na equipe de auditoria tenha a mesma competência. 
Entretanto, a competência global da equipe de auditoria necessita ser suficiente para 
alcançar os objetivos da auditoria. 
Convém que a avaliação da competência do auditor seja planejada, implementada e 
documentada para fornecer um resultado que seja objetivo, coerente, justo e confiável. 
Convém que o processo de avaliação inclua quatro passos principais, como a seguir:
a) determinar a competência necessária para atender às necessidades do programa 
de auditoria; 
b) estabelecer os critérios de avaliação; 
c) selecionar o método apropriado de avaliação;
d) conduzir a avaliação. 
Convém que o resultado do processo de avaliação forneça uma base para o seguinte: 
• seleção dos membros da equipe de auditoria (como descrito em 5.5.4); 
• determinação da necessidade para competência melhorada (por exemplo, 
treinamento adicional); 
• avaliação continuada do desempenho de auditores. 
Convém que os auditores desenvolvam, mantenham e melhorem suas competências 
por meio de um desenvolvimento profissional contínuo e participação regular em 
auditorias (ver 7.6). 
Um processo para avaliação dos auditores e líderes de equipes de auditoria está descrito 
em 7.3, 7.4 e 7.5. 
Convém que auditores e líderes de equipes de auditoria sejam avaliados em relação aos 
critérios estabelecidos em 7.2.2 e 7.2.3, assim como aos critérios estabelecidos em 7.1. 
A competência requerida da(s) pessoa(s) que gerencia(m) o programa de auditoria está 
descrita em 5.4.2. 
Fonte: ABNT, 2018, p. 33-34.
Em relação ao conhecimento e às habilidades necessárias de um auditor, a norma diz o seguinte, no 
item 7.2.1 – Generalidades: 
 
69
AUDITORIA E FORMAÇÃO DE AUDITORES
Ao decidir a competência necessária para uma auditoria, convém que o 
conhecimento e as habilidades de um auditor relacionados ao seguinte 
sejam considerados: 
a) tamanho, natureza, complexidade, produtos, serviços e processos de 
auditados; 
b) métodos para auditar; 
c) disciplinas do sistema de gestão a serem auditadas;
d) complexidade e processos do sistema de gestão a serem auditados; 
e) tipos e níveis de riscos e oportunidades abordados pelo sistema de gestão; 
f) objetivos e extensão do programa de auditoria; 
g) incerteza de alcançar os objetivos de auditoria; 
h) outros requisitos, como aqueles impostos pelo cliente de auditoria ou outras 
partes interessadas pertinentes, onde apropriado (ABNT, 2018, p. 34-35). 
Agora, vamos apresentar os atributos necessários para que o auditor exerça a sua função, conforme 
destaca o item 7.2.2 – Comportamento pessoal: 
 
Convém que os auditores possuam os atributos necessários para possibilitá-los 
a agir de acordo com os princípios de auditoria, como descrito na Seção 4. 
Convém que aos auditores demonstrem comportamento profissional durante 
o desempenho das atividades de auditoria. Comportamento profissional 
desejado inclui ser: 
a) ético, isto é, ser justo, verdadeiro, sincero, honesto e discreto; 
b) mente aberta, isto é, estar disposto a considerar ideias ou pontos de 
vista alternativos; 
c) diplomático, isto é, ser sensível ao lidar com pessoas; 
d) observador, isto é, observar ativamente o ambiente físico e as atividades; 
e) perceptivo, isto é, estar consciente e ser capaz de entender situações; 
f) versátil, isto é, ser capaz de prontamente se adaptar a diferentes situações; 
g) tenaz, isto é, ser persistente e focado em alcançar objetivos; 
70
Unidade I
h) decisivo, isto é, ser capaz de alcançar conclusões em tempo hábil com 
base em raciocínio lógico e análise; 
i) autoconfiante, isto é, ser capaz de agir e funcionar independentemente 
enquanto interage eficazmente com outros; 
j) capaz de agir com firmeza, isto é, ser capaz de atuar responsavelmente 
e eticamente, mesmo que estas ações possam não ser sempre populares e 
possam algumas vezes resultar em desacordo ou confrontação;
k) aberto a melhorias, isto é, ser disposto a aprender com situações;
l) culturalmente sensível, isto é, ser observador e respeitoso com a cultura 
do auditado; 
m) colaborativo, isto é, interagir eficazmente com outros, incluindo os 
membros da equipe de auditoria e o pessoal do auditado (ABNT, 2018, p. 35). 
A confiança no processo de auditoria e a capacidade de alcançar seus objetivos dependem da 
competência dos indivíduos que estão envolvidos no processo, desde o planejamento e a realização das 
auditorias, incluindo os auditores e os líderes da equipe de auditores.
Cabe salientar que, ao decidir o conhecimento adequado e as habilidades necessárias do auditor, 
deve-se considerar:
• a natureza, a dimensão e a complexidade da organização a ser auditada;
• as disciplinas do sistema de gestão a serem auditadas;
• os objetivos e a abrangência do programa de auditoria;
• outros requisitos, por exemplo: os impostos por organismos externos, quando apropriado;
• o papel do processo de auditoria no sistema de gestão auditado;
• a complexidade do sistema de gestão a ser auditado; 
• a incerteza em alcançar os objetivos da auditoria.
Como vimos, os conhecimentos e as habilidades relacionados à disciplina, bem como a aplicação de 
métodos, técnicas, processos e práticas da disciplina específica devem ser suficientes para permitir ao 
auditor verificar o sistema de gestão, podendo gerar constatações e conclusões de auditoria apropriadas.
71
AUDITORIA E FORMAÇÃO DE AUDITORES
A seguir, elencamos alguns exemplos de conhecimento e habilidades dos auditores para uma 
auditoria específica de gestão da qualidade:
• Terminologia caraterística relativa a qualidade, gestão, organização, processo e produto, 
conformidade,documentação, exame, auditoria e processos de medição.
• Foco no cliente, processos relacionados ao cliente, monitoramento e medição da satisfação do 
cliente; tratamento de reclamações, código de conduta, resolução de conflitos.
• Liderança, papel da alta direção, gestão para o sucesso sustentado de uma organização, abordagem 
de gestão da qualidade, obtenção de benefícios financeiros e econômicos através da gestão da 
qualidade, sistemas de gestão da qualidade e modelos de excelência.
• Envolvimento das pessoas, fatores humanos, competência, treinamento e conscientização.
• Abordagem de processo, análise de processo, capabilidade e técnicas de controle, métodos de 
tratamento de riscos.
Há vários outros exemplos, como abordagem de sistema para gestão, melhoria contínua, inovação e 
aprendizagem, relacionamento com fornecedores etc.
Dessa forma, a capacitação e a formação dos auditores devem ser constantes, a fim de obter o 
conhecimento necessário para a execução de sua função.
Exemplo de aplicação
Com base nas definições que vimos até o momento sobre as competências e habilidades necessárias 
para um auditor, defina quais seriam esses itens em relação a:
• educação;
• treinamento específico;
• experiência profissional;
• experiência em auditoria;
• habilidades;
• comportamento pessoal.
72
Unidade I
Resumindo, vamos relacionar as atividades típicas de auditoria, conforme a ISO 19011:2018 – seção 6 
(ABNT, 2018):
Iniciando a auditoria
(6.2)
6.2.1 Generalidades 
6.2.2 Estabelecendo contato com o auditado 
6.2.3 Determinando a viabilidade da auditoria
Preparando as atividades da auditoria
(6.3)
6.3.1 Realizando análise crítica de informação 
documentada 
6.3.2 Planejando a auditoria 
6.3.2.1 Abordagem baseada em risco para planejamento 
6.3.2.2 Detalhes do planejamento de auditoria 
6.3.3 Atribuindo trabalho para a equipe de auditoria 
6.3.4 Preparando informação documentada para a auditoria
Conduzindo atividades de auditoria
(6.4)
6.4.1 Generalidades 
6.4.2 Atribuindo papéis e responsabilidades para guias e 
observadores
6.4.3 Conduzindo a reunião de abertura
6.4.4 Comunicação durante a auditoria 
6.4.5 Disponibilidade e acesso de informação de auditoria 
6.4.6 Analisando criticamente a informação documentada 
ao conduzir a auditoria 
6.4.7 Coletando e verificando informação 
6.4.8 Gerando constatações de auditoria 
6.4.9 Determinando conclusões de auditoria
6.4.9.1 Preparação para a reunião de encerramento
6.4.9.2 Conteúdo de conclusões de auditoria 
6.4.10 Conduzindo a reunião de encerramento
Preparando e distribuindo o relatório de auditoria
(6.5)
6.5.1 Preparando o relatório de auditoria 
6.5.2 Distribuindo o relatório da auditoria
Concluindo a auditoria
(6.6)
Conduzindo o acompanhamento da auditoria
(6.7)
Figura 37 – Atividades de auditoria
Adaptada de: ABNT (2018, p. 21-33).
Observe que os itens 6.2 e 6.3 fazem parte do planejamento da auditoria, enquanto o item 6.4 
destaca as atividades que deverão ser realizadas pela auditoria. 
O item 6.4 destaca as atividades para conduzir o processo de auditoria, enquanto os itens 6.5 e 6.6 
abordam as atividades finais da auditoria. É importante observar ainda o item 6.7, que trata do 
acompanhamento da conclusão da auditoria.
A seguir, apresentamos o fluxo do processo para a gestão de um programa de auditoria. Observe que 
o fluxo segue o ciclo PDCA, já citado anteriormente.
73
AUDITORIA E FORMAÇÃO DE AUDITORES
5.2 Estabelecendo objetivos 
do programa de auditoria
5.3 Determinando e avaliando 
riscos e oportunidades do 
programa de auditoria
6.2 Iniciando a auditoria
6.4 Conduzindo atividades da 
auditoria
6.7 Conduzindo o 
acompanhamento 
da auditoria
5.7 Analisando criticamente 
e melhorando o programa de 
auditoria
5.4 Estabelecendo o programa 
de auditoria
6.3 Preparando as atividades 
da auditoria
6.5 Preparando e distribuindo 
o relatório de auditoria 6.6 Concluindo a auditoria
5.5 Implementando o 
programa de auditoria
5.6 Monitorando o programa 
de auditoria
Seção 5
Seção 6
Figura 38 – Fluxo de processos para o gerenciamento de um programa de auditoria
Adaptada de: ABNT (2018, p. 9).
Podemos observar que, de acordo com o ciclo PDCA, as etapas 5.2, 5.3 e 5.4 da seção 5 e as 
etapas 6.2 e 6.3 da seção 6 fazem parte do planejar (plan); a etapa 5.5 da seção 5 e as etapas 6.4 e 6.5 
da seção 6 fazem parte do fazer (do); encontramos a etapa 5.6 da seção 5 e a etapa 6.6 da seção 6, na 
parte do checar (check); e a etapa 5.7 da seção 5 faz parte do agir (act). 
Na seção 6, encontramos a etapa 6.7 (Conduzindo o acompanhamento da auditoria), que está 
pontilhada, pois significa que o acompanhamento vai até a pós-auditoria. 
Em um processo de auditoria, as informações coletadas são muito importantes para o resultado da 
apuração das informações; portanto, essa é uma etapa que requer atenção por parte dos auditores.
No fluxo a seguir, demonstramos a visão geral de um processo usual para coletar e verificar 
informação, conforme consta na ABNT (2018, p. 29).
74
Unidade I
Conclusões de auditoria
Analisando criticamente
Constatações de auditoria
Avaliando em relação aos critérios de auditoria
Evidência de auditoria
Coletando por meio de amostragem apropriada
Fonte de informação
Figura 39 – Visão geral de um processo usual para coletar e verificar informação
Adaptada de: ABNT (2018, p. 29).
Os métodos para coletar informações podem ser por meio de entrevistas, observações, análise crítica 
de informação documentada, entre outros. Ademais, destacamos os métodos para avaliação de 
auditor, de acordo com o proposto pela norma no item 7.4, conforme a seguir:
 
Convém que a avaliação seja conduzida usando dois ou mais dos métodos 
dados na Tabela 2. Ao usar a Tabela 2, convém que seja notado o seguinte: 
a) os métodos delineados representam uma gama de opções e podem não 
ser aplicáveis a todas situações; 
b) os vários métodos delineados podem variar quanto à sua confiabilidade; 
 c) convém que uma combinação de métodos seja usada para assegurar um 
resultado que seja objetivo, coerente, justo e confiável (ABNT, 2018, p. 39).
Para melhor compreensão, apresentamos os métodos de avaliação de auditores, conforme citados 
na norma ABNT 19011:2018 – item 7.4, no quadro a seguir.
75
AUDITORIA E FORMAÇÃO DE AUDITORES
Quadro 12 – Métodos de avaliação de auditores
Métodos de avaliação Objetivos Exemplos
Análise crítica dos 
registros Verificar a formação profissional do auditor
Análise de registros de educação, 
treinamento, emprego, credenciais 
profissionais e experiência em auditar
Realimentação Fornecer informação sobre como o desempenho do auditor é percebido 
Pesquisas, questionários, referências pessoais, 
testemunhos, reclamações, avaliação de 
desempenho, análise crítica por pares
Entrevista
Avaliar o comportamento profissional e a 
habilidade de comunicação desejados para verificar 
informação e testar conhecimento e para adquirir 
informação adicional 
Entrevista pessoal
Observação Avaliar o comportamento profissional desejado e a capacidade de aplicar conhecimento e habilidades 
Desempenho de funções, auditorias de 
testemunho e desempenho no trabalho
Teste Avaliar o comportamento, o conhecimento e as habilidades desejados e suas aplicações Exames orais e escritos, testes psicométricos
Análise crítica 
pós-auditoria
Fornecer informações sobre o desempenho 
do auditor durante as atividades de auditoria, 
identificar forças e oportunidades para melhoria 
Análise crítica do relatório de auditoria, 
entrevistas com o líder e com a equipe 
de auditoria e, se apropriado, apresentar 
feedback do auditado
Adaptado de: ABNT (2018, p. 40).
A escolha dos métodos a serem utilizados deverá levar em consideração o tipo de organização e os 
objetivos a serem alcançados, conforme avaliação do líder da equipe de auditoria. 
No Anexo A da norma ISO 19011 (ABNT, 2018) você poderá encontrar orientação adicional para 
auditores planejarem e conduzirem auditorias. Destacamosos itens abordados, conforme o quadro a seguir.
Quadro 13 – Tópicos do anexo A
Item Descrição
A.1 Aplicando os métodos de auditoria
A.2 Abordagem de processo para auditar
A.3 Julgamento profissional
A.4 Resultados de desempenho
A.5 Verificando a informação
A.6 Amostragem
A.6.1 Generalidades
A.6.2 Amostragem com base em julgamento
A.6.3 Amostragem estatística
A.7 Auditoria de compliance em um sistema de gestão
A.8 Contexto de auditoria
A.9 Auditoria de liderança e comprometimento
A.10 Auditoria de riscos e oportunidades
A.11 Ciclo de vida
76
Unidade I
Item Descrição
A.12 Auditoria da cadeia de suprimento
A.13 Preparando documentos de trabalho de auditoria
A.14 Selecionando fontes de informação
A.15 Visitando a localização do auditado
A.16 Auditoria de atividades e locais virtuais
A.17 Conduzindo entrevistas
A.18 Constatações de auditoria
A.18.1 Determinando as constatações de auditoria
A.18.2 Registrando as conformidades
A.18.3 Registrando não conformidades
A.18.4 Tratando de constatações relacionadas aos múltiplos critérios
Adaptado de: ABNT (2018, p. 41-52).
Você pode observar que são várias as orientações que estão disponíveis no anexo A. Para melhor 
entendimento, vamos verificar o exemplo a seguir.
O item A.16 considera que, com o uso da tecnologia, atividades de vários segmentos do mercado 
são desenvolvidas de forma online. Para tanto, o item trata da auditoria de atividades e locais virtuais, 
nele constando:
Auditorias virtuais são conduzidas quando uma organização realiza trabalho 
ou fornece um serviço usando um ambiente online que permita que pessoas 
executem processos independentemente de locais físicos (por exemplo, 
intranet da organização, uma “nuvem computacional”). Auditoria de um local 
virtual é algumas vezes referida como auditoria virtual. Auditorias remotas 
se referem ao uso de tecnologia para coletar informação, entrevistar um 
auditado etc., quando métodos “cara a cara” não são possíveis ou desejáveis. 
Uma auditoria virtual segue o processo-padrão de auditoria ao usar 
tecnologia para verificar evidência objetiva. Convém que o auditado e a 
equipe de auditoria assegurem requisitos apropriados de tecnologia para 
auditorias virtuais, podendo incluir:
- assegurar que a equipe de auditoria esteja usando protocolos de acesso 
remoto acordados, incluindo dispositivos requeridos, software etc.;
- conduzir verificações técnicas antes da auditoria para resolver questões 
técnicas;
- assegurar que planos de contingência estejam disponíveis e sejam 
comunicados (por exemplo, interrupção de acesso, uso de tecnologia 
alternativa), incluindo provisão para tempo extra de auditoria, 
se necessário. 
77
AUDITORIA E FORMAÇÃO DE AUDITORES
Convém que a competência de auditor inclua: 
- habilidades técnicas para usar equipamento eletrônico apropriado e 
outra tecnologia ao auditar;
- experiência em facilitar reuniões virtuais para conduzir a auditoria 
remotamente. 
Ao conduzir a reunião de abertura ou auditar virtualmente, convém que o 
auditor considere os seguintes itens: 
- riscos associados com auditorias virtuais ou remotas;
- uso de plantas baixas/diagramas de locais remotos para referência ou 
mapeamento de informação eletrônica;
- facilitação para a prevenção de perturbações e interrupções de ruído 
de fundo;
- pedido de permissão com antecedência para fazer cópias de captura 
de tela de documentos ou qualquer tipo de gravações, considerando 
assuntos de confidencialidade e segurança;
- asseguramento de confidencialidade e privacidade durante os intervalos 
de auditoria, por exemplo, silenciando microfones, pausando câmeras 
(ABNT, 2018, p. 50-51).
 Saiba mais
Segundo o artigo “O auditor do futuro é digital”, esse profissional pensa 
criticamente, é inovador e trabalha com tecnologias de ponta; sabe ouvir, 
explicar e construir relacionamentos. E, o mais importante, está pronto para 
lidar com os desafios de negócios do presente. Você pode ler mais sobre o 
assunto acessando o link indicado a seguir. 
O AUDITOR do futuro é digital. Deloitte, 2021. 
Disponível em: https://bit.ly/3HqDObN. Acesso em: 26 ago. 2021.
78
Unidade I
4 Normas ISO 37000 e 37301
Epelbaum (2019) aponta que a ISO 37000 procura consolidar os conceitos, os princípios e as práticas 
de governança, buscando esclarecer as diferenças e complementaridades entre a disciplina e a gestão, e 
o alinhamento com os diversos assuntos que determinam uma boa governança corporativa. 
Para tanto, está baseada em melhores práticas internacionais da Organização das Nações Unidas (ONU) 
e da Organização para a Cooperação e Desenvolvimento Econômico (OECD), de instituições como 
Global Reporting Initiative (GRI), The Australian Stock Exchange Limited (ASX) e Instituto Brasileiro de 
Governança Corporativa (IBGC), e normas como ISO 26000, AA 1000, BS 13500, Corporate Governance 
Code (Reino Unido) e King Report on Corporate Governance (África do Sul). 
De acordo com Epelbaum (2019), essa norma apoia-se ainda na teoria dos stakeholders (partes 
interessadas), que prega a consideração de necessidades e expectativas das partes nos objetivos 
organizacionais e sua razão de ser (chamado, no Brasil, de “razão social”), contrapondo-se à teoria 
clássica da firma, que buscava unicamente a maximização dos lucros do seu shareholder (acionista).
Carvalho (2020) afirma que a ISO 37301 propõe um conjunto de requisitos sobre como estabelecer, 
desenvolver, executar, avaliar, manter e melhorar um sistema eficaz de compliance dentro da organização, 
sofisticando a boa governança por meio de proporcionalidade, transparência e sustentabilidade, 
e simplificando a sinergia com outros sistemas de gestão já existentes nas organizações, como a 
ISO 9001:2015, de Gestão da Qualidade
França (2021), em seu artigo intitulado “As diferenças entre ISO 37001 e ISO 37301”, coloca que a 
ISO 37001 visa implementar nas organizações um sistema de gestão antissuborno. Ou seja, um sistema 
que contenha dispositivos que atuem para evitar que esse mal ocorra. Na própria norma, consta que 
o objetivo da ISO 37001 é “Implementar medidas razoáveis e proporcionais concebidas para prevenir, 
detectar e responder ao suborno” (ABNT, 2017, p. 8).
Podemos considerar que prevenir seria antecipar a ocorrência, enquanto detectar seria encontrar 
possíveis incidências e responder estaria relacionado a atuar contra as ocorrências já detectadas.
Com isso, continua França (2021), a ISO 37001 busca ajudar “uma organização a evitar ou mitigar os 
custos, riscos e danos de envolvimento com suborno, promover a confiança nos negócios e melhorar a 
sua reputação”. Portanto, nela, encontraremos boas práticas (aplicáveis a pequenas, médias ou grandes 
empresas) que deverão ser colocadas em execução, além de precisarem ser seguidas por toda a instituição 
e seus colaboradores.
De acordo com a ABNT (2017), um sistema de gestão antissuborno é desenvolvido para instaurar 
uma cultura antissuborno dentro de uma organização e implementar controles apropriados, o que, por 
sua vez, aumenta a chance de detectar subornos e reduz sua incidência em primeiro lugar. 
Para tanto, a ISO 37001 fornece os requisitos e as orientações para estabelecer, implementar, manter 
e aperfeiçoar um sistema de gestão antissuborno, que pode ser independente ou integrado a um sistema 
79
AUDITORIA E FORMAÇÃO DE AUDITORES
de gestão geral. Ele abrange suborno nos setores público, privado e sem fins lucrativos, incluindo suborno 
praticado em favor de e contra uma organização ou seus funcionários efetivos, além de subornos pagos 
por ou recebidos de terceiros. O suborno pode ocorrer em qualquer local, ser de qualquer valor e pode 
envolver vantagens ou benefícios financeiros ou não financeiros.
4.1 Conceitos e definições
Segundo a ABNT (2017), os requisitos da ISO 37001 são genéricos e aplicáveis a todas as organizações 
(ou departamentos de uma organização), independentemente do tipo, porte e natureza da atividade, seja 
nos setores público,privado ou sem fins lucrativos. Isso inclui empresas estaduais, grandes organizações, 
pequenas e médias empresas (PME) e organizações não governamentais. 
As medidas exigidas pela ISO 37001 são destinadas a serem integradas nos processos e controles de 
gestão existentes. A ISO 37001 é fundamentada na Estrutura de Alto Nível da ISO para normas de gestão 
de sistemas. Isso significa que ela pode ser facilmente integrada a outros sistemas de gestão existentes 
(como da qualidade, do ambiente e da segurança).
Segundo a ABNT (2017), a ISO 37001 é desenvolvida para ajudar a organização a implementar um 
sistema de gestão antissuborno ou reforçar os controles que já dispõe. Ela requer a implementação 
de uma série de medidas, como adoção de uma política antissuborno, designação de alguém para 
supervisionar a conformidade com essa política, fiscalização e treinamento dos empregados, realização 
de avaliações de riscos em projetos e parceiros da empresa, implementação de controles financeiros e 
comerciais, e, ainda, instituição de procedimentos de relatório e investigação. 
Por sua vez, a implementação de um sistema de gestão antissuborno requer liderança e contribuição 
da alta gerência, sendo a política e o programa comunicados a todo o quadro operacional interno e 
externo (terceirizado), como contratados, fornecedores e parceiros de empreendimentos conjuntos.
Desse modo, o sistema auxilia na redução do risco de ocorrências de suborno e possibilita demonstrar 
aos seus gerentes, empregados, proprietários, financiadores, clientes e outros membros de negócios 
que você estabeleceu controles antissuborno de boas práticas internacionalmente reconhecidos e pode 
fornecer evidências, no caso de uma investigação criminal, de que adotou medidas razoáveis para 
prevenir subornos
4.2 Alinhamento da governança com gestão de riscos, sustentabilidade e 
responsabilidade social
A governança, segundo Vieira e Barreto (2019), é a estrutura que inclui os processos de direção e 
controle. A estrutura de governança (corporativa ou das sociedades) estabelece os modos de interação 
entre os gestores (agentes), os proprietários (shareholders) e as partes interessadas (stakeholders) visando 
garantir o respeito dos agentes aos interesses dos proprietários e das partes interessadas (alinhando 
desempenho e conformidade).
80
Unidade I
Ainda segundo o autor, a gestão de riscos é o conjunto de procedimentos por meio dos quais 
as organizações identificam, analisam, avaliam, tratam e monitoram os riscos que podem afetar 
negativamente o alcance dos objetivos. Internacionalmente, os principais modelos de referência em 
gestão de riscos, aplicáveis às agências públicas e corporativas, são:
 
O ISO 31000:2009 e o COSO-ERM/GRC (ISO; IEC, 2009; COSO, 2007a; 2007b). 
Outros padrões, de gestão de riscos e qualidade, como o OCEG Red book, o 
The Orange book e o OGC/M(Reino Unido), o AS/NZS 4360:2004 (Austrália e 
Nova Zelândia), o The EFQM excellence model e a Norma de gestão de riscos 
do Ferma (União Europeia) perderam relevância ou foram gradualmente 
sendo absorvidos pelo padrão ISO 31000:2009 (HMT, 2004; OCEG, 2015; 
EFQM, 2012; AUSTRALIAN; NEW ZEALAND, 1995; FERMA, 2003). 
A norma ISO 31000:2009 é utilizada no Brasil (Associação Brasileira de Normas 
Técnicas – ABNT), nos Estados Unidos (The American National Standards 
Institute – ANSI), no Canadá (The Canadian Standards Association – CSA), na 
Austrália (The Australian Standards – AS), na Nova Zelândia (New Zealand 
Standards – NZS), entre outros países (VIEIRA; BARRETO, 2019, p. 115).
Vieira e Barreto (2019) afirmam que a gestão de riscos é um instrumento que contribui para 
melhorar o desempenho por meio da identificação de oportunidades e da redução da probabilidade e/ou 
impacto dos riscos, além de apoiar os esforços de garantia da conformidade dos agentes aos princípios 
éticos e às normas legais.
Bittencourt (2020) menciona que, no mundo corporativo, os temas sustentabilidade e governança 
corporativa vêm sendo debatidos profundamente. A sustentabilidade contempla as dimensões ambiental, 
econômica e social. 
De acordo com Bittencourt (2020), a dimensão ambiental é voltada à preservação do planeta, 
considerando os recursos extraídos, que são escassos. 
Figura 40 – Sustentabilidade corporativa
Disponível em: https://bit.ly/3IWTeVO. Acesso em: 2 fev. 2022.
81
AUDITORIA E FORMAÇÃO DE AUDITORES
A dimensão econômica está relacionada à perenidade e à busca por condições para sobrevivência. 
Já a social, segundo Bittencourt (2020), preocupa-se com questões relacionadas à justiça na distribuição 
de renda e quanto a oportunidades, tratamento e prestação de serviços sociais aos indivíduos.
As organizações precisam adotar uma boa governança, pois trata-se de uma ferramenta que estimula 
o processo de criação de valor agregado e a sustentabilidade organizacional no longo prazo, afastando, 
dessa forma, o perigo de eventuais escândalos corporativos.
Nesse sentido, Bittencourt (2020) coloca a necessidade de mensurar o desempenho de empresas que 
adotam práticas diferenciadas de gestão, ou seja, práticas de sustentabilidade e governança.
Para Carvalho (2020), no que tange à gestão de riscos, e em relação a sua tipificação, temos tanto a 
gestão de riscos financeiros quanto a de riscos não financeiros. 
Carvalho (2020) cita que um dos exemplos de riscos não financeiros constitui justamente os riscos 
operacionais. Entre eles, temos os riscos de compliance, cuja identificação é fundamental para se 
promover uma gestão de compliance efetiva, sob medida para aquela pessoa jurídica ou organização. 
Vamos abordar melhor os conceitos de compliance mais adiante.
 Saiba mais
Leia a pesquisa da Deloitte, em parceria com o Instituto dos Auditores 
Internos do Brasil (IIA), que examina os pontos de vista individuais de 
membros de comitês de auditoria interna sobre as necessidades e as 
expectativas da função em tempos de turbulência nos negócios. 
AUDITORIA interna no Brasil. Deloitte, 2020. 
Disponível em: https://bit.ly/3J43Qlz. Acesso em: 25 ago. 2021.
82
Unidade I
 Resumo
Vimos nesta unidade a importância do processo de certificação para 
as organizações que querem ampliar a sua competitividade no mercado 
nacional e, principalmente, no mercado internacional. 
A exigência de certificação para que haja trocas comerciais entre 
diversos parceiros levou as organizações a buscarem essa qualificação, 
o que denota que os processos da organização estão de acordo com os 
requisitos e especificações exigidos pelas normas ISO 9001 e 14001. 
Apresentamos os organismos acreditadores, que certificam os organismos 
certificadores com base em critérios de qualificação rigorosos. 
Destacamos, ainda, o processo de auditoria dos sistemas de gestão 
da qualidade, com ênfase na norma ISO 19011:2018, apresentando a 
importância do planejamento das auditorias e as competências exigidas 
dos auditores. 
Falamos sobre auditoria interna e externa, lembrando que a auditoria 
interna é realizada pela equipe de auditores internos, que devem ser 
capacitados para realizar tal atividade, enquanto a externa é realizada por 
um organismo independente. 
Destacamos os métodos de auditoria utilizados e os métodos de 
avaliação que podem ser adotados. A auditoria possibilita ao auditado uma 
visão sistêmica dos seus processos, e as conclusões da auditoria podem 
indicar a necessidade de ações corretivas e preventivas para a mitigação 
dos riscos e o aumento das oportunidades de melhoria.
Abordamos, finalmente, a necessidade do alinhamento da governança 
com a sustentabilidade da organização e com a gestão de riscos.
83
AUDITORIA E FORMAÇÃO DE AUDITORES
 Exercícios
Questão 1. Leia o texto de David Mc Namee a seguir, em adaptação de Francesco De Cicco:
Auditoria baseada em riscos: mudando o paradigma das auditorias internas
A auditoria baseada em riscos (ABR) estende e melhora o modelo de avaliação dos riscos, alterando 
a perspectiva da auditoria interna. Em vez de olharpara os processos do negócio como algo que está 
dentro de um sistema de controle, o auditor os analisa numa envolvente de risco. É o paradigma de 
“olhar para a frente”: uma auditoria centrada nos riscos acrescenta mais valor a uma organização do 
que uma auditoria centrada apenas nos controles.
Adaptado de: De Cicco (2006). 
Considerando o exposto e seus conhecimentos sobre auditoria baseada em riscos, avalie 
as afirmativas:
I – O risco de controle interno relaciona-se com possíveis ocorrências de erros e de desvios de materiais.
II – O risco de detecção considera que o auditor consiga verificar possíveis riscos relacionados com a 
estrutura física do negócio e com fatores que possam afetar o processo de produção.
III – O risco inerente é resultado de determinados fatores, tais como fraudes ou falhas na apuração 
nas demonstrações financeiras.
É correto o que se afirma em:
A) I, apenas.
B) III, apenas.
C) I e II, apenas.
D) II e III, apenas.
E) I, II e III.
Resposta correta: alternativa A.
84
Unidade I
Análise das afirmativas
I – Afirmativa correta.
Justificativa: o controle interno representa o conjunto de procedimentos adotados pela empresa; 
logo, o risco de controle interno trata do risco de que esses procedimentos não consigam impedir falhas, 
erros ou desvios.
II – Afirmativa incorreta.
Justificativa: o risco de detecção relaciona-se com o risco de que a auditoria não consiga revelar ou 
constatar falhas ou erros importantes, bem como suas provas, no transcorrer de uma auditoria.
III – Afirmativa incorreta.
Justificativa: o risco inerente refere-se às características da empresa, isto é, relaciona-se 
com a estrutura física da organização, o processo de produção e as deficiências na estrutura de 
governança corporativa.
Questão 2. Leia o texto e observe a figura a seguir.
Quando se fala em processo de auditoria, faz-se referência às etapas destinadas a examinar a 
regularidade e a eficiência da gestão administrativa, bem como a auxiliar nos aperfeiçoamentos dos 
processos e controles internos da empresa. Para alcançar esse objetivo, o auditor deve planejar seu 
trabalho adequadamente. Basicamente, a auditoria interna é dividida em cinco etapas, conforme 
mostrado na figura a seguir.
Planejamento e 
levantamento do 
processo
Programa 
de trabalho
Monitoramento 
das recomendações
Execução
Relatório e 
conclusão
Figura 41 – Processo de auditoria
Adaptada de: Moreira e Pauline (2018).
Na etapa chamada execução, realizamos uma série de atividades conforme o plano ou o planejamento 
de auditoria. Com base no exposto e nos seus conhecimentos, avalie as afirmativas:
85
AUDITORIA E FORMAÇÃO DE AUDITORES
I – Na atividade denominada desenvolvimento da auditoria, devem ser analisados os procedimentos, 
os registros e as instruções de trabalho, assim como também devem ser conduzidas entrevistas 
com os funcionários envolvidos, de modo a constatar se as tarefas estão sendo realizadas conforme 
a documentação.
II – Para a realização da auditoria, deve ser elaborado um plano específico que leve em conta os 
detalhes necessários para identificar os possíveis problemas da organização e garantir a uniformidade 
dos levantamentos, das análises e das avaliações dos auditores envolvidos.
III – Antes da reunião de encerramento com os auditados, deve ser realizada uma reunião com a 
participação da equipe de auditores, que tem por objetivo analisar os dados obtidos e as observações 
efetuadas, para, então, seguir com a elaboração de uma minuta para apresentar aos auditados. 
IV – O acompanhamento das disposições e a realização das ações corretivas são de responsabilidade 
do auditado. Essas ações são decorrentes das não conformidades identificadas e devem assegurar a 
prevenção de irregularidades. 
Identifique as afirmativas que se referem exclusivamente à etapa da auditoria chamada execução:
A) I e II, apenas.
B) I e III, apenas.
C) II e IV, apenas.
D) I, III e IV, apenas.
E) II, III e IV, apenas.
Resposta correta: alternativa B.
Análise das afirmativas
I – Afirmativa correta.
Justificativa: o desenvolvimento da auditoria é uma atividade que se refere à etapa de execução, uma 
vez que, nessa atividade, os documentos, os procedimentos e os registros são analisados pelos auditores 
e comparados com a execução real das tarefas. Nesse momento, os auditores devem se comportar de 
modo imparcial.
II – Afirmativa incorreta.
Justificativa: a elaboração de um plano específico de auditoria refere-se à etapa chamada planejamento. 
Essa etapa é fundamental para que o trabalho transcorra da melhor forma possível e para que os objetivos 
86
Unidade I
da auditoria sejam alcançados. O planejamento deve ser elaborado pelo auditor líder, que deve levar em 
conta o uso eficaz dos recursos. É de suma importância a aprovação do plano de auditoria pelo auditado, 
assim como a sua comunicação aos funcionários que serão engajados no processo. 
III – Afirmativa correta.
Justificativa: a reunião da equipe de auditoria é uma atividade que se refere à etapa chamada 
execução, realizada após a conclusão da auditoria. Nessa reunião, os auditores discutem os resultados 
obtidos, com base nos levantamentos, nas análises e nas observações. Outro objetivo dessa reunião é a 
produção da minuta de auditoria, que deve abordar as não conformidades identificadas (caso existam), 
as quais são apresentadas na reunião de encerramento, com a participação do auditado.
IV – Afirmativa incorreta.
Justificativa: o acompanhamento das disposições e a realização das ações corretivas são atividades 
que se referem à etapa pós-auditoria, uma vez que o auditado já recebeu o relatório de auditoria com 
as não conformidades detectadas e deve implementar as recomendações para as suas correções no 
período pactuado.