Auditoria Interna de Sistemas de Gestão

Prévia do material em texto

AUDITOR INTERNO DE SISTEMA 
DE GESTÃO INTEGRADO
Conforme Normas:
NBR ISO 9001:2015
NBR ISO 14001:2015
NBR ISO 45001:2018
NBR ISO 19011:2018
Objetivos do Curso
• Formar Auditores Internos para realização periódica 
de auditorias e acompanhamento das ações para 
tratamento das não conformidades relativas ao 
sistema de gestão.
• Demonstrar que a Auditoria é uma importante
ferramenta de melhoria contínua.
• Proporcionar aos participantes os conhecimentos
necessários para executar ou receber auditorias,
sejam internas ou externas.
REVISÃO DAS NORMAS DE 
REFERÊNCIA:
NBR ISO 9001:2015
NBR ISO 14001:2015
NBR ISO 45001:2018
NORMALIZAÇÃO
O que é Normalização?
É a maneira de organizar as atividades 
pela criação e utilização de regras ou 
normas, visando contribuir para o 
desenvolvimento econômico e social.
Níveis de Normalização
EMPRESARIAL
NACIONAL
REGIONALREGIONAL
INTERNACIONALINTERNACIONAL
ISO IEC
AMN CEN COPANT
ABNT DIN BSI
PETROBRAS
O que é a ISO ?
ISO
International Organization for Standardization
(Organização Internacional para Normalização)
É o fórum mundial onde se busca o consenso na elaboração de normas internacionais,
através da conciliação dos interesses dos fornecedores, consumidores, governo, comunidade
científica e demais representantes da sociedade civil organizada.
• FUNDADA APÓS A 2ª GUERRA, 1947
• ORGANIZAÇÃO NÃO GOVERNAMENTAL
• MAIS DE 15.600 NORMAS PUBLICADAS
• APROXIMADAMENTE 150 PAÍSES
SISTEMA DE GESTÃO DA 
QUALIDADE – ISO 9001
Princípios da Gestão da Qualidade
PRINCÍPIOS DA GESTÃO DA QUALIDADE - ISO 9001:2015
1 Foco no cliente
2 Liderança
3 Engajamento das pessoas
4 Abordagem de processos
5 Melhoria
6 Tomada de decisão baseada em evidência
7 Gestão de relacionamento
ABORDAGEM DE PROCESSO – ISO 
9001:2015
CICLO PDCA – ISO 9001:2015
ISO 9001:2015
0. Introdução
1. Escopo
2. Referências Normativas
3. Termos e Definições
4. Contexto da organização
5. Liderança
6. Planejamento
7. Apoio
8. Operação
9. Avaliação de Desempenho
10. Melhoria
Estrutura de Requisitos
SISTEMA DE GESTÃO 
AMBIENTAL – ISO 14001
CICLO PDCA – ISO 14001:2015
ISO 14001:2015
0. Introdução
1. Escopo
2. Referências Normativas
3. Termos e Definições
4. Contexto da organização
5. Liderança
6. Planejamento
7. Apoio
8. Operação
9. Avaliação de Desempenho
10. Melhoria
Estrutura de Requisitos
SISTEMA DE GESTÃO 
SAÚDE E SEGURANÇA 
OCUPACIONAL 
ISO 45001
CICLO PDCA – ISO 45001:2018
ISO 45001:2018
0. Introdução
1. Escopo
2. Referências Normativas
3. Termos e Definições
4. Contexto da organização
5. Liderança e Participação dos Trabalhadores
6. Planejamento
7. Suporte
8. Operação
9. Avaliação de Desempenho
10. Melhoria
Estrutura de Requisitos
Abordagem de Processo
• Entender e gerenciar processos inter-relacionados como um
sistema contribui para a eficácia e eficiência da organização
em atingir seus resultados pretendidos.
• A abordagem de processo envolve a definição e a gestão
sistemáticas de processos e suas interações para alcançar os
resultados pretendidos de acordo com a política de qualidade
e com o direcionamento estratégico da organização. A gestão
dos processos e do sistema como um todo pode ser
conseguida usando o ciclo PDCA com um foco geral na
mentalidade de risco, visando tirar proveito das
oportunidades e prevenir resultados indesejáveis
MENTALIDADE DE 
RISCOS
Efeito da 
incerteza nos 
objetivos. 
(ISO 31000:2018).
RISCO
• As organizações enfrentam influências 
e fatores externos e internos que 
podem afetar o alcance de seus 
objetivos.
• Gerenciar riscos é iterativo e auxilia as 
organizações no estabelecimento de 
estratégias, no alcance de objetivos e 
na tomada de decisões fundamentais.
• Gerenciar riscos considera os fatores 
externos e internos da organização, 
incluindo o comportamento humano 
e os fatores culturais.
Gestão de Riscos – ISO 31000:2018
Mentalidade de Risco – ISO 9001:2015
• Um dos propósitos-chave de um sistema de gestão da 
qualidade é atuar como uma ferramenta preventiva. 
• O conceito de ação preventiva é expresso por meio de 
uso de mentalidade de risco na formulação de 
requisitos de sistema de gestão da qualidade.
• Não há requisito pra métodos formais para gestão de 
riscos ou um processo de gestão de risco 
documentado. As organizações podem decidir 
desenvolver ou não uma metodologia de gestão de 
risco mais extensiva que o requerido por esta Norma.
Exemplo – Mapeamento de Risco
IDENTIFICAÇÃO, ANÁLISE E AVALIAÇÃO DE RISCOS
EMPRESA: AREA/SETOR RESPONSÁVEL:
ÁREA PROCESSO 
TAREFA 
EVENTO CAUSA CONSEQUÊNCIA
S / 
G
P/ 
F
RISCO SIGNIFICÂNCIA AÇÃO
MEDIDA DE 
CONTROLE
COMERCIAL 
(APRESENTAÇÃO 
DE PROPOSTA)
Falha no 
dimensiona
mento / 
definição do 
produto
Falta de 
conhecimen
to / falha 
técnica
Prejuízo 
financeiro
2 1 2
SUPRIMENTOS
Falta de 
itens críticos
Recebiment
o fora de 
especificaçã
o
Atraso na 
produção
0
SAC
Reclamação 
do cliente 
não tratada
Falha do 
Cumpriment
o do 
procediment
o
Insatisfação do 
cliente
0
0
Sistema de Gestão Integrada
ISO 9001 – Gestão 
da Qualidade
ISO 45001 –
Gestão de 
Saúde e 
Segurança 
Ocupacional
ISO 14001 –
Gestão 
Ambiental
Requisitos ISO 
9001:2015
A estrutura da ISO 9001:2015
• Introdução
• 1. Escopo
• 2. Referências Normativas
• 3. Termos e Definições
• 4. Contexto da organização
– 1. Entendendo a organização e seu contexto
– 2. Entendendo as necessidades e expectativas das partes interessadas
– 3. Determinando o escopo do sistema de gestão da qualidade
– 4. Sistema de gestão da qualidade
• 1. Generalidades
• 2. Abordagem de processos
• 5. Liderança
– 1. Liderança e comprometimento
• 1. Liderança e comprometimento com respeito ao sistema de gestão da qualidade
• 2. Liderança e comprometimento com respeito às necessidades e expectativas dos clientes
– 2. Política da qualidade
– 3. Funções organizacionais, responsabilidades e autoridades
A estrutura da ISO 9001:2015
• 6. Planejamento
– 1. Ações para lidar com riscos e oportunidades
– 2. Objetivos da qualidade e planos para alcançá-los
– 3. Planejamento de mudanças
• 7. Apoio
– 1. Recursos
• 1. Generalidades
• 2. Infraestrutura
• 3. Ambiente de processo
• 4. Dispositivos de monitoramento e medição
• 5. Conhecimento
– 2. Competência
– 3. Conscientização
– 4. Comunicação
– 5. Informação documentada
• 1. Generalidades
• 2. Criação e atualização
• 3. Controle de informação documentada
A estrutura da ISO 9001:2015
• 8. Operação
– 1. Planejamento e controle operacional
– 2. Determinação das necessidades do mercado e interações com os clientes
• 1. Generalidades
• 2. Determinação dos requisitos relacionados aos bens e serviços
• 3. Análise crítica dos requisitos relacionados aos bens e serviços
• 4. Comunicação com o cliente
– 3. Planejamento operacional
– 4. Controle de provisão externa de bens e serviços
• 1. Generalidades
• 2. Tipo e extensão do controle de provisão externa
• 3. Informação documentada para provedores externos
– 5. Desenvolvimento de bens e serviços
• 1. Processos de desenvolvimento
• 2. Controles de desenvolvimento
• 3. Transferência de desenvolvimento
– 6. Realização de bens e serviços
• 1. Controle de produção de bens e prestação de serviços
• 2. Identificação e rastreabilidade
• 3. Propriedade dos clientes e provedores externos
• 4. Preservação de bens e serviços
• 5. Atividades pós-entrega
• 6. Controle de mudanças
• 7. Liberação de bens e serviços
• 8. Bens e serviços não conformes
A estrutura da ISO 9001:2015
• 9. Avaliação de desempenho
– 1. Monitoramento, medição, análise e avaliação
• 1. Generalidades
• 2. Satisfação do cliente
• 3. Análise e avaliação de dados
– 2. Auditoria interna
– 3. Análise crítica pela direção
• 10. Melhoria
– 1. Não conformidade e ação corretiva
– 2. Melhoria
4.1 Entendendo a organização e seu 
contexto
• Determinar questões externas e internas 
(propósito organizacional e direcionamento 
estratégico)e que afetem a capacidade de 
alcançar os resultados do SGQ
• Monitorar e analisar criticamente informação 
sobre essas questões externas e internas
4.2 Entendendo as necessidades e 
expectativas de partes interessadas
• Determinar, devido ao seu efeito ou potencial 
efeito:
a. As partes interessadas que sejam pertinentes para o 
SGQ
b. Os requisitos dessas partes interessadas que sejam 
pertinentes para o SGQ
• Monitorar e analisar criticamente informação 
sobre essas partes interessadas e seus requisitos 
pertinentes.
4.3 Determinando o escopo do SGQ
• Determinar os limites e a aplicabilidade do SGQ para 
estabelecer o seu escopo 
• Aplicar todos os requisitos desta Norma, se eles forem 
aplicáveis no escopo determinado do seu SGQ.
• O escopo do sistema de gestão da qualidade deve:
– Estar disponível e ser mantido como informação 
documentada
– Declarar os tipos de produtos e serviços cobertos e prover 
justificativa para qualquer requisito desta Norma não 
aplicável 
4.4 Sistema de Gestão da Qualidade e 
seus processos
• 4.4.1 Estabelecer, implementar, manter e melhorar continuamente o SGQ, incluindo os processos 
necessários e suas interações, de acordo com os requisitos desta Norma.
Determinar os processos necessários para o SGQ e sua aplicação na organização, e deve:
a. Determinar as entradas requeridas e as saídas esperadas desses processos;
b. Determinar a sequência e a interação desses processos;
c. Determinar e aplicar os critérios e métodos (incluindo monitoramento, medições e indicadores de 
desempenho relacionados) necessários para assegurar a operação e o controle eficazes desses processos;
d. Determinar os recursos necessários para esses processos e assegurar a sua disponibilidade;
e. Atribuir as responsabilidades e autoridades para esses processos;
f. Abordar os riscos e oportunidades conforme determinados de acordo com os requisitos de 6.1;
g. Avaliar esses processos e implementar quaisquer mudanças necessárias para assegurar que esses 
processos alcancem seus resultados pretendidos;
h. Melhorar os processos e o SGQ.
• 4.4.2 Na extensão necessária, a organização deve:
Manter informação documentada para apoiar a operação de seus processos;
Reter informação documentada para ter confiança em que os processos sejam realizados conforme 
planejado.
5. Liderança
5.1 Liderança e comprometimento
5.1.1 Generalidades
A Alta Direção deve demonstrar liderança e comprometimento:
a. Prestar contas pela eficácia do SGQ;
b. Assegurando que a política da qualidade e os objetivos da qualidade sejam compatíveis com o contexto e a direção 
estratégica da organização;
c. Assegurando a integração dos requisitos do sistema de gestão da qualidade nos processos de negócio da organização;
d. Promovendo o uso da abordagem de processos e da mentalidade de risco;
e. Recursos necessários para o sistema de gestão da qualidade estejam disponíveis;
f. Comunicando a importância de uma gestão da qualidade eficaz e de estar conforme com os requisitos do sistema de 
gestão da qualidade;
g. Assegurando que o sistema de gestão da qualidade alcance seus resultados pretendidos;
h. Engajando, dirigindo e apoiando pessoas a contribuir para a eficácia do sistema de gestão da qualidade;
i. Promovendo melhoria;
j. Apoiando outros papéis pertinentes de gestão a demonstrar como sua liderança se aplica às áreas sob sua 
responsabilidade.
5.1.2 Foco no cliente
A Alta Direção deve demonstrar liderança e comprometimento com relação ao foco no cliente, assegurando que:
a. Os requisitos do cliente e os requisitos estatutários e regulamentares pertinentes sejam determinados, entendidos e 
atendidos consistentemente;
b. Os riscos e oportunidades que possam afetar a conformidade de produtos e serviços e a capacidade de aumentar a 
satisfação do cliente sejam determinados e abordados;
c. O foco no aumento de satisfação do cliente seja mantido.
5. Liderança
5.2 Política
5.2.1 Desenvolvendo a política da qualidade
A Alta Direção deve estabelecer, implementar e manter uma política da qualidade que:
a. Seja apropriada ao propósito e ao contexto da organização e apoie seu direcionamento estratégico;
b. Proveja uma estrutura para o estabelecimento dos objetivos da qualidade;
c. Inclua um comprometimento em satisfazer requisitos aplicáveis;
d. Inclua um comprometimento com a melhoria contínua do sistema de gestão da qualidade.
5.2.2 Comunicando a política da qualidade
A política da qualidade deve:
a. Estar disponível e ser mantida como informação documentada;
b. Ser comunicada, entendida e aplicada na organização;
c. Estar disponível para partes interessadas pertinentes, como apropriado.
5.3 Papéis, responsabilidades e autoridades organizacionais. 
A Alta Direção deve atribuir à responsabilidade em autoridades para:
a. Assegurar que o sistema de gestão da qualidade esteja conforme com os requisitos desta Norma;
b. Assegurar que os processos entreguem suas saídas pretendidas;
c. Relatar o desempenho do sistema de gestão da qualidade e as oportunidades para melhoria (ver 10.1), 
em particular para a Alta Direção;
d. Assegurar a promoção do foco no cliente na organização;
e. Assegurar que a integridade do sistema de gestão da qualidade seja mantida quando forem 
planejadas e implementadas mudanças no sistema de gestão da qualidade.
6. Planejamento
6.1 Ações para abordar riscos e oportunidades
6.1.1 Ao planejar o sistema de gestão da qualidade, a organização deve 
considerar as questões referidas em 4.1 e os requisitos referidos em 4.2, e 
determinar os riscos e oportunidades que precisam ser abordados para:
a. Assegurar que o sistema de questão da qualidade possa alcançar seus 
resultados pretendidos;
b. Aumentar efeitos desejáveis;
c. Prevenir, ou reduzir, efeitos indesejáveis;
d. Alcançar melhoria.
6.1.2 A organização deve planejar:
a. Ações para abordar esses riscos e oportunidades;
b. Integrar e implementar as ações nos processos do seu sistema de gestão da 
qualidade (ver 4.4);
c. Avaliar a eficácia dessas ações.
6. Planejamento
6.2 Objetivos da qualidade e planejamento para alcançá-los
6.2.1 A organização deve estabelecer objetivos da qualidade nas funções, níveis e 
processos pertinentes necessários para o SGQ.
Os objetivos da qualidade devem:
a. Ser coerentes com a política da qualidade;
b. Ser mensuráveis;
c. Levar em conta requisitos aplicáveis;
d. Ser pertinentes para a conformidade de produtos e serviços e para aumentar a satisfação do 
cliente;
e. Ser monitorados;
f. Ser comunicados;
g. Ser atualizados como apropriado.
Informação documentada sobre os objetivos da qualidade.
6.2.2 Ao planejar como alcançar seus objetivos da qualidade, a organização deve 
determinar:
a. O que será feito;
b. Quais recursos serão requeridos;
c. Quem será responsável;
d. Quando isso será concluído;
e. Como os resultados serão avaliados.
6. Planejamento
6.3 Planejamento de mudanças
Quando a organização determina a necessidade de mudanças 
no SGQ, as mudanças devem ser realizadas de uma maneira 
planejada e sistemática (ver 4.4).
Considerar:
a. O propósito das mudanças e suas potenciais consequências;
b. A integridade do sistema de gestão da qualidade;
c. A disponibilidade de recursos;
d. A alocação ou realocação de responsabilidade e autoridades.
7. Apoio
7.1 Recursos
7.1.1 Generalidades
A organização deve determinar e prover os recursos necessários 
para estabelecimentos, implementação, manutenção e melhoria 
contínua do SGQ.
A organização deve considerar:
a. As capacidades e restrições de recursos internos existentes;
b. O que precisa ser obtido de provedores externos.
7.1.2 Pessoas
A organização deve determinar e prover as pessoas necessárias 
para a implementação eficaz do seu sistema de gestão da qualidade 
e para a operação e controle de seus processos.
7. Apoio
7.1.3 Infraestrutura
A organização deve determinar, prover e manter a 
infraestrutura necessária para a operação dos seus 
processos e para alcançar conformidade de produtos e 
serviços.
NOTA Infraestruturapode incluir:
a. Edifícios e utilidades associadas;
b. Equipamento, incluindo materiais, máquinas, ferramentas, etc. 
e software.
c. Recursos para transporte;
d. Tecnologia da informação e de comunicação.
7. Apoio
7.1.4 Ambiente para a operação dos processos
A organização deve determinar, prover e manter um 
ambiente necessário para a operação de seus processos 
e para alcançar a conformidade de produtos e serviços.
NOTA Um ambiente adequado pode ser a combinação de 
fatores humanos e físicos, como:
a. Social (por exemplo, não discriminatório, calmo, não 
confrontante);
b. Psicológico (por exemplo, redutor de estresse, preventivo 
quanto à exaustão, emocionalmente protetor);
c. Físico (por exemplo, temperatura, calor, umidade, luz, fluxo 
de ar, higiene, ruído).
7. Apoio
7.1.5 Recursos de monitoramento e medição
7.1.5.1 Generalidades
A organização deve determinar e prover os recursos necessários para assegurar 
resultados válidos e confiáveis quando monitoramento ou medição for usado para 
verificar a conformidade de produtos e serviços com requisitos.
A organização deve reter informação documentada 
7.1.5.2 Rastreabilidade de medição
Quando a rastreamento de medição for um requisito, ou for considerada pela 
organização uma parte essencial da provisão de confiança na validade de resultados 
de medição, os equipamentos de medição devem ser:
a. Verificados ou calibrados, ou ambos;
b. Identificados para determinar sua situação;
c. Salvaguardados contra ajustes, danos ou deterioração que invalidariam a situação 
de calibração e resultados de medições subsequentes.
d. A organização deve determinar se a validade de resultados de medição anteriores 
foi adversamente afetada quando o equipamento de medição for constatado 
inapropriado para seu propósito, e deve tomar ação apropriada, como necessário.
7. Apoio
7.1.6 Conhecimento organizacional
A organização deve determinar o conhecimento necessário 
para a operação de seus processos e para alcançar a 
conformidade de produtos e serviços.
Esse conhecimento deve ser mantido e estar disponível na 
extensão necessária.
Ao abordar necessidades e tendências de mudanças, a 
organização deve considerar seu conhecimento no 
momento e determinar como adquirir ou acessar 
qualquer conhecimento adicional necessário e 
atualizações requeridas.
7. Apoio
7.2 Competência
A organização deve:
a. Determinar a competência necessária de pessoa(s) 
que realize(m) trabalho sob o seu controle que afete 
o desempenho e a eficácia do sistema de gestão da 
qualidade;
b. Assegurar que essas pessoas sejam competentes, 
com base em educação, treinamento ou experiência 
apropriados;
c. Onde aplicável, tomar ações para adquirir a 
competência necessária e avaliar a eficácia das ações 
tomadas;
d. Reter informação documentada, apropriada como 
evidência de competência.
7. Apoio
7.3. Conscientização
A organização deve assegurar que pessoas que realizam trabalho sob o 
controle da organização estejam conscientes:
a. Da política da qualidade;
b. Dos objetivos da qualidade pertinentes;
c. Da sua contribuição para a eficácia do sistema de gestão da qualidade, incluindo os 
benefícios de desempenho melhorado;
d. Das implicações de não estar conforme com os requisitos do sistema de gestão da 
qualidade.
7.4 Comunicação
A organização deve determinar as comunicações internas e externas 
pertinentes para o sistema de gestão da qualidade, incluindo:
a. Sobre o que comunicar;
b. Quando comunicar;
c. Com quem se comunicar;
d. Como comunicar;
e. Quem comunica.
7. Apoio
7.5 Informação documentada
7.5.1 Generalidades
O sistema de gestão da qualidade da organização deve incluir:
a. Informação documentada requerida por esta Norma;
b. Informação documentada determinada pela organização como sendo necessária para a 
eficácia do sistema de gestão da qualidade.
• NOTA A extensão da informação documentada para um sistema de gestão da 
qualidade pode diferir de uma organização para outra devido:
– Ao porte da organização e seu tipo de atividades, processos, produtos e serviços:
– À complexidade de processos e suas interações;
– À competência de pessoas.
7.5.2 Criando e atualizando
Ao criar e atualizar informação documentada, a organização deve assegurar 
apropriados (as):
a. Identificação e descrição (por exemplo, um título, data, autor ou número de referência);
b. Formato (por exemplo, linguagem, versão de software, gráficos) e meio (por exemplo, 
papel, eletrônico);
c. Análise crítica e aprovação quanto à adequação e suficiência.
7. Apoio
7.5.3 Controle de informação documentada
7.5.3.1 A informação documentada requerida pelo sistema de gestão da 
qualidade e por esta Norma deve ser controlada para assegurar que:
a. Ela esteja disponível e adequada para uso, onde e quando ela for necessária;
b. Ela esteja protegida suficientemente (por exemplo, contra perda de 
confidencialidade, uso impróprio ou perda de integridade).
7.5.3.2 Para o controle de informação documentada, a organização deve 
abordar as seguintes atividades, como aplicável: 
a. Distribuição, acesso, recuperação e uso;
b. Armazenamento e preservação, incluindo preservação de legibilidade;
c. Controle de alterações (por exemplo, controle de versão);
d. Retenção e disposição.
A informação documentada de origem externa determinada pela organização 
como necessária para o planejamento e operação do sistema de gestão da 
qualidade deve ser identificada, como apropriado, e controlada. 
Informação documentada retida como evidência de conformidade deve ser 
protegida contra alterações não intencionais.
8. Operação
8.1 Planejamento e Controle Operacionais
A organização deve planejar, implementar e controlar os processos para provisionar e 
implementar:
a. Determinar os requisitos para produtos e serviços;
b. Estabelecer critérios para:
1) Os processos;
2) A aceitação de produtos e serviços
c. Determinar os recursos necessários para alcançar conformidade 
d. Implementar controle de processos de acordo com critérios;
e. Determinar e conservar informação documentada na extensão necessária para:
1) ter confiança em que os processos foram conduzidos como planejado;
2) demonstrar conformidade de produtos e serviços com seus requisitos.
A saída desse planejamento deve ser adequada para as operações da organização.
A organização deve controlar mudanças planejadas e analisar criticamente as 
consequências de mudanças não intencionais, tomando ações para mitigar 
quaisquer efeitos adversos, como necessário. 
A organização deve assegurar que os processos terceirizados sejam controlados
8. Operação
8.2 Requisitos para produtos e serviços
8.2.1 Comunicação com o cliente
A comunicação com clientes deve incluir:
a. Prover informação relativa a produtos e serviços;
b. Lidar com consultas, contratos ou pedidos, incluindo mudanças;
c. Obter retroalimentação do cliente relativa a produtos e serviços, incluindo 
reclamações do cliente;
d. Lidar ou controlar propriedade do cliente;
e. Estabelecer requisitos específicos para ações de contingência, quando 
pertinente.
8.2.2 Determinação de requisitos relativos a produtos e serviços
a. Os requisitos para os produtos e serviços sejam definidos, incluindo: 
1) Quaisquer requisitos estatutários e regulamentares aplicáveis;
2) Aqueles considerados necessários pela organização.
b. A organização possa atender aos pleitos para os produtos e serviços que ela 
oferece.
8. Operação
8.2.3 Análise crítica de requisitos relativos a produtos e serviços
8.2.3.1 A organização deve assegurar que ela tenha a capacidade de atender aos 
requisitos para produtos e serviços a serem oferecidos a clientes. A organização 
deve conduzir uma análise crítica antes de se comprometer a fornecer produtos e 
serviços a um cliente, para incluir:
a. Requisitos especificados pelo cliente, incluindo os requisitos para atividades de 
entrega e pós-entrega;
b. Requisitos não declarados pelo cliente, mas necessários para o uso especificado 
ou pretendido, quando conhecido;
c.Requisitos especificados pela organização;
d. Requisitos estatutários e regulamentares aplicáveis a produtos e serviços;
e. Requisitos de contrato ou pedido diferentes daqueles previamente expressos.
8.2.3.2 A organização deve reter informação documentada, como aplicável, sobre:
a. Os resultados da análise crítica;
b. Quaisquer novos requisitos para os produtos e serviços.
8. Operação
8.2.4 Mudanças nos requisitos para produtos 
e serviços
A organização deve assegurar que informação 
documentada pertinente seja emendada, e 
que pessoas pertinentes sejam alertadas dos 
requisitos mudados, quando os requisitos 
para produtos e serviços.
8. Operação
8.3 Projeto e desenvolvimento de produtos e serviços
8.3.1 Generalidades
A organização deve estabelecer, implementar e manter um processo de projeto e desenvolvimento 
que seja apropriado para assegurar a subsequente provisão de produtos e serviços.
8.3.2 Planejamento de projeto e desenvolvimento
Na determinação dos estágios e controles para o projeto e desenvolvimento, a organização deve 
considerar:
a. A natureza, duração e complexidade das atividades de projeto e desenvolvimento;
b. Os estágios de processo requeridos, incluindo análises críticas de projeto e desenvolvimento;
c. As atividades de verificação e validação de produto e desenvolvimento requeridos;
d. As responsabilidades e autoridades envolvidas no processo de projeto e desenvolvimento;
e. Os recursos internos e externos necessários para o projeto e desenvolvimento de produtos e 
serviços;
f. A necessidade de controlar interfaces entre pessoas envolvidas no processo de projeto e 
desenvolvimento;
g. A necessidade de envolvimento de clientes e usuários no processo de projeto e 
desenvolvimento;
h. Os requisitos para a provisão subsequente de produtos e serviços;
i. O nível de controle esperado para o processo de projeto e desenvolvimento por clientes e outras 
partes interessadas pertinentes;
j. A informação documentada necessária para demonstrar que os requisitos de projeto e 
desenvolvimento foram atendidos.
8. Operação
8.3.3 Entradas do projeto e desenvolvimento
A organização deve determinar os requisitos essenciais para os tipos específicos de produtos e 
serviços a serem projetados e desenvolvidos. A organização deve considerar:
a. Requisitos funcionais e de desempenho;
b. Informação derivada de atividades similares de projeto e desenvolvimento anteriores;
c. Requisitos estatutários e regulamentares;
d. Normas ou códigos de prática que a organização tenha se comprometido a implementar;
e. Consequências potenciais de falhas devidas à natureza de produtos e serviços.
A organização deve reter informação documentada de entradas de projeto e desenvolvimento.
8.3.4 Controles de projeto e desenvolvimento
A organização deve aplicar controles para o processo de projeto e desenvolvimento para assegurar 
que:
a. Os resultados a serem alcançados estejam definidos;
b. Análises críticas sejam conduzidas para avaliar a capacidade de os resultados de projeto e 
desenvolvimento atenderem a requisitos;
c. Atividades de verificação sejam conduzidas para assegurar que as saídas de projeto e 
desenvolvimento atendam aos requisitos de entrada;
d. Atividades de validação sejam conduzidas para assegurar que os produtos e serviços resultantes 
atendam aos requisitos para a aplicação especificada ou uso pretendido;
e. Quaisquer ações necessárias sejam tomadas sobre os problemas determinados durante as 
análises críticas ou atividades de verificação e validação;
f. Informação documentada sobre essas atividades seja retida.
8. Operação
8.3.5 Saídas do projeto e desenvolvimento
A organização deve assegurar que saídas de projeto e desenvolvimento:
a. Atendam aos requisitos de entrada;
b. Sejam adequadas para os processos subsequentes para a provisão de produtos e serviços;
c. Incluam ou referenciem requisitos de monitoramento e medição, como apropriado, e critérios de 
aceitação;
d. Especifiquem as características dos produtos e serviços que sejam essenciais para propósito 
pretendido e sua provisão segura e apropriada.
A organização deve reter informação documentada sobre as saídas de projeto e desenvolvimento.
8.3.6 Mudanças de projeto e desenvolvimento
A organização deve identificar, analisar criticamente e controlar mudanças feitas durante, ou 
subsequentemente a, o projeto e desenvolvimento de produtos e serviços, na extensão necessária 
para assegurar que não haja impacto sobre a conformidade com requisitos.
A organização deve reter informação documentada sobre:
a. As mudanças de projeto e desenvolvimento;
b. Os resultados de análises críticas;
c. A autorização das mudanças;
d. As ações tomadas para prevenir impactos adversos.
8. Operação
• 8.4 Controle de processos, produtos e serviços providos externamente
8.4.1 Generalidades
A organização deve assegurar que processos, produtos e serviços providos 
externamente estejam conforme com requisitos.
A organização deve determinar os controles a serem aplicados para os processos, 
produtos e serviços providos externamente quando:
a. Produtos e serviços de provedores externos forem destinados a incorporação 
nos produtos e serviços da própria organização;
b. Produtos e serviços forem providos diretamente para o(s) cliente(s) por 
provedores externos em nome da organização;
c. Um processo, ou parte de um processo, for provido por um provedor externo 
como um resultado de uma decisão da organização.
A organização deve determinar e aplicar critérios para a avaliação, seleção, 
monitoramento de desempenho e reavaliação de provedores externos, baseados 
na sua capacitação de prover processos ou produtos e serviços de acordo com 
requisitos. A organização deve reter informação documentada dessas atividades e 
de quaisquer ações necessárias decorrentes das avaliações.
8. Operação
8.4.2 Tipo e extensão do controle
A organização deve assegurar que processos, produtos e serviços providos 
externamente não afetem adversamente a capacidade da organização de entregar 
consistentemente produtos e serviços conformes para seus clientes.
a. Assegurar que processos providos externamente permaneçam sob o controle do 
seu sistema de gestão da qualidade;
b. Definir tanto os controles que ela pretende aplicar a um provedor externo como 
aqueles que ela pretende aplicar às saídas resultantes;
c. Levar em consideração:
1) O impacto potencial dos processos, produtos e serviços providos externamente 
sobre a capacidade da organização de atender consistentemente aos requisitos do 
cliente e aos requisitos estatutários e regulamentares;
2) A eficácia dos controles aplicados pelo provedor externo;
d. Determinar a verificação, ou outra atividade, necessária para assegurar que os 
processos, produtos e serviços providos externamente atendam a requisitos.
8. Operação
8.4.3 Informação para provedores externos
A organização deve assegurar a suficiência de requisitos antes de sua 
comunicação para o provedor externo.
A organização deve comunicar para provedores externos seus requisitos 
para:
a. Os processos, produtos e serviços a serem providos;
b. A aprovação de:
1) Produtos e serviços;
2) Métodos, processos e equipamentos;
3) Liberação de produtos e serviços;
e. Competência, incluindo qualquer qualificação de pessoas requerida;
f. As interações do provedor externo com a organização;
g. Controle e monitoramento do desempenho do provedor externo a ser 
aplicado pela organização;
h. Atividades de verificação ou validação que a organização, ou seus 
clientes, pretendam desempenhar nas instalações do provedor externo.
8. Operação
• 8.5 Produção e provisão de serviço
8.5.1 Controle de produção e de provisão de serviço
Condições controladas devem incluir, como aplicável:
a. A disponibilidade de informação documentada que defina:
1) As características dos produtos a serem produzidos, dos serviços a serem 
providos ou das atividades a serem desempenhadas;
2) Os resultados a serem alcançados;
b. A disponibilidade e uso de recursos de monitoramentoe medição adequados;
c. A implementação de atividades de monitoramento e medição em estágios 
apropriados para verificar que critérios para controle de processos ou saídas e 
critérios de aceitação para produtos e serviços foram atendidos;
d. O uso de infraestrutura e ambiente adequados para a operação dos processos;
e. A designação de pessoas competentes, incluindo qualquer qualificação 
requerida;
f. A validação e revalidação periódica da capacidade de alcançar resultados 
planejados dos processos para produção e provisão de serviço, onde não for 
possível verificar a saída resultante por monitoramento ou medição 
subsequentes;
g. A implementação de ações para prevenir erro humano;
h. A implementação de atividades de liberação, entrega e pós-entrega.
8. Operação
8.5.2 Identificação e rastreabilidade
A organização deve usar meios adequados para identificar saídas quando isso for necessário 
assegurar a conformidade de produtos e serviços.
A organização deve identificar a situação das saídas com relação aos requisitos de monitoramento e 
medição ao longo da produção e provisão de serviço.
A organização deve controlar a identificação única das saídas quando a rastreabilidade for um 
requisito, e deve reter a informação documentada necessária para possibilitar rastreabilidade.
8.5.3 Propriedade pertencente a clientes ou provedores externos
A organização deve tomar cuidado com propriedade pertencente a clientes ou provedores 
externos, enquanto estiver sob o controle da organização ou sendo usada pela organização. 
A organização deve identificar, verificar, proteger e salvaguardar propriedade de clientes ou 
provedores externos provida para uso ou incorporação nos produtos e serviços.
Quando a propriedade de um cliente ou provedor externo for perdida, danificada ou de outra 
maneira constatada inadequada para uso, a organização deve relatar isto para o cliente ou provedor 
externo e reter informação documentada sobre o que ocorreu.
8. Operação
8.5.4 Preservação
A organização deve preservar as saídas durante produção e provisão de serviço na 
extensão necessária, para assegurar conformidade com requisitos.
NOTA Preservação pode incluir identificação, manuseio, controle de contaminação, 
embalagem, armazenamento, transmissão ou transporte e proteção.
8.5.5 Atividades pós-entrega
Na determinação da extensão das atividades pós-entrega requeridas, a 
organização deve considerar:
a. Os requisitos estatutários e regulamentares;
b. As consequências indesejáveis potenciais associados com seus produtos e 
serviços;
c. A natureza, uso e o tempo de vida pretendido de seus produtos e serviços;
d. Requisitos do cliente;
e. Retroalimentação de cliente.
NOTA Atividades pós-entrega podem incluir ações sob provisões de garantia, 
obrigações contratuais como serviço de manutenção e serviços suplementares 
como reciclagem ou disposição final.
8. Operação
8.5.6 Controle de mudanças
A organização deve analisar criticamente e 
controlar mudanças para produção ou provisão 
de serviços na extensão necessária para 
assegurar continuamente conformidade com 
requisitos.
A organização deve reter informação 
documentada, que descreva os resultados das 
análises críticas de mudanças, as pessoas que 
autorizam a mudança e quaisquer ações 
necessárias decorrentes da análise crítica.
8. Operação
8.6 Liberação de produtos e serviços
A organização deve implementar arranjos planejados, em estágios 
apropriados, para verificar se os requisitos do produto e do serviço 
foram atendidos.
A liberação de produtos e serviços para o cliente não pode proceder 
até que os arranjos planejados forem satisfatoriamente concluídos, 
a menos que de outra forma tenham sido aprovados por autoridade 
pertinente e, como aplicável, pelo cliente.
A informação documentada deve incluir:
a. Evidência de conformidade com os critérios de aceitação;
b. Rastreabilidade à(s) pessoa(s) que autoriza(m) a liberação.
8. Operação
8.7 Controle de saídas não conformes
8.7.1 A organização deve assegurar que saídas que não estejam conformes com seus requisitos sejam 
identificadas e controladas para prevenir seu uso ou entrega não pretendido.
A organização deve tomar ações apropriadas baseadas na natureza da não conformidade e em seus 
efeitos sobre a conformidade de produtos e serviços. Isso deve também se aplicar aos produtos e 
serviços não conformes detectadas após a entrega de produtos, durante ou depois da provisão de 
serviços.
A organização deve lidar com saídas não conformes de um ou mais dos seguintes modos:
a. Correção;
b. Segregação, contenção, retorno ou suspensão de provisão de produtos e serviços;
c. Informação do cliente;
d. Obtenção de autorização para aceitação sob concessão.
A conformidade com os requisitos deve ser verificada quando saídas não conformes forem 
corrigidas.
8.7.2 A organização deve reter informação documentada que:
a. Descreva a não conformidade;
b. Descreva as ações tomadas;
c. Descreva as concessões obtidas;
d. Identifique a autoridade que decide a ação com relação à não conformidade.
9. Avaliação de Desempenho
9.1 Monitoramento, medição, análise e avaliação 
9.1.1 Generalidades
A organização deve determinar:
a. O que precisa ser monitorado e medido;
b. Os métodos para monitoramento, medição, análise e avaliação 
necessários para assegurar resultados válidos;
c. Quando o monitoramento e a medição devem ser realizados;
d. Quando os resultados de monitoramento e medição devem ser 
analisados e avaliados.
A organização deve reter informação documentada apropriada 
como evidência dos resultados.
9.1.2 Satisfação do cliente
A organização deve monitorar a percepção de cliente do grau em 
que suas necessidades e expectativas foram atendidas. A 
organização deve determinar os métodos para obter, monitorar e 
analisar criticamente essa informação.
9. Avaliação de Desempenho
9.1.3 Análise e avaliação
A organização deve analisar e avaliar dados e informações 
apropriadas provenientes de monitoramento e medição.
Os resultados de análises devem ser usados para avaliar:
a. Conformidade de produtos e serviços;
b. O grau de satisfação de cliente;
c. O desempenho e a eficácia do sistema de gestão da qualidade;
d. Se o planejamento foi implementado eficazmente;
e. A eficácia das ações tomadas para abordar riscos e oportunidades;
f. O desempenho de provedores externos;
g. A necessidade de melhorias do sistema de gestão da qualidade.
NOTA Métodos para analisar dados podem incluir técnicas estatísticas.
9. Avaliação de Desempenho
9.2 Auditoria interna
9.2.1 A organização deve conduzir auditorias internas a intervalos planejados para prover 
informação sobre se o sistema de gestão da qualidade:
a. Está conforme com:
1) Os requisitos da própria organização para o seu sistema de gestão da qualidade;
2) Os requisitos desta Norma;
b. Está implementado e mantido eficazmente.
9.2.2 A organização deve:
a. Planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a 
frequência, métodos, responsabilidades, requisitos para planejar e para relatar, o que deve 
levar em consideração a importância dos processos concernentes, mudanças que afetam a 
organização e os resultados de auditorias anteriores;
b. Definir os critérios de auditoria e o escopo para cada auditoria;
c. Selecionar auditorias e conduzir auditorias para assegurar a objetividade e a imparcialidade 
do processo de auditoria;
d. Assegurar que os resultados das auditorias sejam relatados para a gerência pertinente;
e. Executar correção e ações corretivas apropriadas sem demora indevida;
f. Reter informação documentada como evidência da implementação do programa de 
auditoria e dos resultados de auditoria.
9. Avaliação de Desempenho
9.3 Análise crítica pela direção
9.3.1 Generalidades
A Alta Direção deve analisar criticamente o sistema de gestão da qualidade da organização, a 
intervalor planejados, para assegurar sua contínua adequação, suficiência, eficácia e alinhamento 
com o direcionamento estratégico da organização.9.3.2 Entradas de análise crítica pela direção
A análise crítica pela direção deve ser planejada e realizada levando em consideração:
a. A situação de ações provenientes de análises críticas anteriores pela direção;
b. Mudanças em questões externas e internas que sejam pertinentes para o sistema de gestão da 
qualidade;
c. Informação sobre o desempenho e a eficácia do sistema de gestão da qualidade, incluindo 
tendências relativas a:
1) Satisfação do cliente e retroalimentação de partes interessadas pertinentes;
2) Extensão na qual os objetivos da qualidade foram alcançados;
3) Desempenho de processos e conformidade de produtos e serviços;
4) Não conformidades e ações corretivas;
5) Resultados do monitoramento e medição;
6) Resultados de auditoria;
7) Desempenho de provedores externos;
d. A suficiência de recursos;
e. A eficácia de ações tomadas para abordar riscos e oportunidades (ver 6.1);
f. Oportunidades para melhoria.
9. Avaliação de Desempenho
9.3.3 Saídas de análise crítica pela direção
As saídas da análise crítica pela direção devem 
incluir decisões e ações relacionadas com:
a. Oportunidades para melhoria;
b. Qualquer necessidade de mudanças no sistema 
de gestão da qualidade;
c. Necessidades de recurso.
A organização deve reter informação 
documentada como evidência dos resultados de 
análises críticas.
10. Melhoria
10.1 Generalidades
A organização deve determinar e selecionar oportunidades para 
melhoria e implementar quaisquer ações necessárias para atender 
a requisitos do cliente e aumentar a satisfação do cliente.
a. Melhorar produtos e serviços para atender a requisitos assim 
como para abordar futuras necessidades e expectativas;
b. Corrigir, prevenir ou reduzir efeitos indesejados;
c. Melhorar o desempenho e a eficácia do sistema de gestão da 
qualidade.
NOTA Exemplos de melhoria podem incluir correção, ação corretiva, 
melhoria contínua, mudanças revolucionárias, inovação e 
reorganização.
10. Melhoria
10.2 Não conformidade e ação corretiva
10.2.1 Ao ocorrer uma não conformidade, incluindo as provenientes de reclamações, a organização 
deve:
a. Reagir à não conformidade e, como aplicável:
1) Tomar ação para controlá-la e corrigi-la;
2)Lidar com as consequências;
b. Avaliar a necessidade de ação para eliminar a(s) causa(s) da não conformidade, a fim de que ela 
não se repita ou ocorra em outro lugar:
1) Analisando criticamente e analisando a não conformidade;
2) Determinando as causas das não conformidades;
3) Determinado se não conformidades similares existem, ou se poderiam potencialmente ocorrer.
c. Implementar qualquer ação necessária;
d. Analisar criticamente a eficácia de qualquer ação corretiva tomada;
e. Atualizar riscos e oportunidades determinados durante o planejamento, se necessário;
f. Realizar mudanças no sistema de gestão da qualidade, se necessário.
Ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas.
10.2.2 A organização deve reter informação documentada como evidência:
a. Da natureza das não conformidades e quaisquer ações subsequentes tomadas;
b. Dos resultados de qualquer ação corretiva.
10. Melhoria
10.3 Melhoria contínua
A organização deve melhorar continuamente a 
adequação, suficiência e eficácia do sistema de 
gestão da qualidade.
A organização deve considerar os resultados de 
análise e avaliação e as saídas de análise crítica 
pela direção para determinar se existem 
necessidades ou oportunidades que devem ser 
abordadas como parte de melhoria contínua.
Auditoria de Sistema de 
Gestão da Qualidade
ISO 19011:2018
O QUE É AUDITORIA?
“Processo sistemático, independente 
e documentado para obter evidência 
objetiva (3.8) e avaliá-la objetivamente, 
para determinar a extensão na qual os 
critérios de auditoria (3.7) são atendidos.”
(NBR ISO 19011:2018)
ISO 19011:2018
0. Introdução
1. Escopo
2. Referências Normativas
3. Termos e Definições
4. Princípios de auditoria
5. Gerenciando um programa de auditoria
6. Conduzindo uma auditoria
7. Competência e avaliação de auditores
Estrutura de Requisitos
TIPOS DE AUDITORIA
Programa de auditoria: arranjos para um conjunto de uma ou mais auditorias, 
planejado para um período de tempo específico e direcionado a um propósito 
específico
Escopo da auditoria: abrangência e limites de uma auditoria
Plano de auditoria: descrição das atividades e arranjos para uma auditoria
Critérios de auditoria: conjunto de requisitos usados como uma referência 
com a qual a evidência objetiva é comparada
Evidência objetiva: dados que apoiam a existência ou a veracidade de alguma 
coisa
Evidência de auditoria: registros, apresentação de fatos ou outras 
informações pertinentes aos critérios de auditoria
e verificáveis. 
DEFINIÇÕES (NBR ISO 19011:2018) 
Constatações de auditoria: resultados da avaliação de evidência de 
auditoria coletada, comparada com os critérios de auditoria
Conclusão de auditoria: resultado de uma auditoria, após levar em 
consideração os objetivos de auditoria e todas as
constatações de auditoria
Cliente de auditoria: organização ou pessoa que solicita uma 
auditoria
Auditado: organização como um todo ou suas partes, que está 
sendo auditada
DEFINIÇÕES (NBR ISO 19011:2018) 
Equipe de auditoria: uma ou mais pessoas que realizam uma 
auditoria, apoiadas, se necessário, por especialistas
Auditor: pessoa que realiza uma auditoria
Especialista: pessoa que provê conhecimento ou experiência 
específicos para a equipe de auditoria
Observador: pessoa que acompanha a equipe de auditoria, mas 
não atua como auditor
Sistema de gestão: conjunto de elementos inter-relacionados ou 
interativos de uma organização, para estabelecer políticas,
objetivos e processos para alcançar estes objetivos
DEFINIÇÕES (NBR ISO 19011:2018) 
Equipe de auditoria: uma ou mais pessoas que realizam uma 
auditoria, apoiadas, se necessário, por especialistas
Auditor: pessoa que realiza uma auditoria
Especialista: pessoa que provê conhecimento ou experiência 
específicos para a equipe de auditoria
Observador: pessoa que acompanha a equipe de auditoria, mas 
não atua como auditor
Sistema de gestão: conjunto de elementos inter-relacionados ou 
interativos de uma organização, para estabelecer políticas,
objetivos e processos para alcançar estes objetivos
DEFINIÇÕES (NBR ISO 19011:2018) 
Conformidade: atendimento de um requisito
Não conformidade: não atendimento de um requisito 
Requisito: necessidade ou expectativa que é declarada, geralmente 
implícita ou obrigatória
Processo: conjunto de atividades inter-relacionadas ou interativas 
que utilizam entradas para entregar um resultado pretendido
DEFINIÇÕES (NBR ISO 19011:2018) 
• Integridade: o fundamento do profissionalismo
• Apresentação justa: a obrigação de reportar com 
veracidade e exatidão
• Devido cuidado profissional: a aplicação de diligência e 
julgamento em auditoria
• Confidencialidade: segurança de informação
• Independência: a base para a imparcialidade da auditoria 
e objetividade das conclusões de auditoria
• Abordagem baseada em evidência
• Abordagem baseada em risco
PRINCÍPIOS DA AUDITORIA (seção 4)
Gerenciando um programa de auditoria (seção 5)
• Estabelecer um programa de auditoria, o qual pode incluir auditorias que abordem uma ou mais normas de sistema de 
gestão ou outros requisitos, conduzidas separadamente ou em combinação (auditoria combinada).
• Convém que a extensão de um programa de auditoria seja baseada no tamanho e natureza do auditado, assim como na 
natureza, funcionalidade, complexidade, tipo de riscos e oportunidades e nível de maturidade do(s) sistema(s) de gestão 
a ser(em) auditado(s).
• A funcionalidade do sistema de gestão pode ser ainda mais complexa quando a maioria das funções importantes é 
terceirizada e gerenciada sob a liderança de outras organizações. 
• Para entender o contexto do auditado, convém que o programa de auditoria leve em conta:
• — objetivos organizacionais;
• — questões externas e internas pertinentesdo auditado;
• — necessidades e expectativas de partes interessadas pertinentes;
• — requisitos de segurança e confidencialidade da informação.
• Convém que o programa de auditoria inclua informação e identifique recursos para permitir que as auditorias sejam 
conduzidas de forma eficaz e eficiente dentro dos prazos especificados, incluindo:
• a) objetivos para o programa de auditoria;
• b) riscos e oportunidades associados ao programa de auditoria (ver 5.3) e ações para abordá-los;
• c) escopo (extensão, limites, locais) de cada auditoria no programa de auditoria;
• d) agendamento (número/duração/frequência) das auditorias;
• e) tipos de auditoria, como interna ou externa;
• f) critérios de auditoria;
• g) métodos de auditoria a serem empregados;
• h) critérios para selecionar membros de equipe de auditoria;
• i) informação documentada pertinente.
Fluxo Processo Gestão do 
Programa de Auditoria – ISO 
19011
Processo para o gerenciamento de um 
programa de auditoria
Estabelecendo 
objetivos do programa 
de auditoria
Determinando e 
avaliando riscos e 
oportunidades do 
programa de auditoria
Estabelecendo o 
programa de auditoria
Implementando o 
programa de auditoria
Iniciando a auditoria
Preparando atividades 
da auditoria
Conduzindo as 
atividades da 
auditoria
Preparando e 
distribuindo o 
relatório da auditoria
Concluindo a auditoria
Conduzindo 
acompanhamento da 
auditoria
Monitorando o 
programa de auditoria
Analisando 
criticamente e 
melhorando o 
programa de auditoria
Estabelecendo objetivos do programa 
de auditoria
• Estabelecer os objetivos do programa de auditoria para direcionar o 
planejamento e a condução de auditorias
• Assegurar que o programa de auditoria seja implementado eficazmente
• Os objetivos do programa de auditoria devem ser coerentes com a direção 
estratégica do cliente da auditoria e apoiem a política e os objetivos do 
sistema de gestão
• Podem ser baseados em:
– necessidades e expectativas de partes interessadas pertinentes, externas e 
internas;
– características e requisitos de processos, produtos, serviços e projetos, e 
quaisquer mudanças neles;
– requisitos de sistema de gestão;
– necessidade para avaliação de fornecedores externos;
– nível de desempenho e nível de maturidade do(s) sistema(s) de gestão do 
auditado, como refletido nos indicadores de desempenho pertinentes, a 
ocorrência de não conformidades ou incidentes ou reclamações de partes 
interessadas;
– riscos e oportunidades identificados para o auditado;
– resultados de auditorias anteriores
Determinando e avaliando riscos e 
oportunidades do programa de auditoria
• Riscos e oportunidades relacionados ao contexto do auditado podem estar associados a um programa de 
auditoria e podem afetar o alcance de seus objetivos. 
• Podem ser baseados em:
– planejamento, por exemplo, falha em estabelecer objetivos de auditoria pertinentes e em determinar a 
extensão, número, duração, locais e agenda das auditorias;
– recursos, por exemplo, dispor de tempo, equipamento e/ou treinamento insuficientes para desenvolver o 
programa de auditoria ou conduzir uma auditoria;
– seleção da equipe de auditoria, por exemplo, competência global insuficiente para conduzir auditorias 
eficazmente;
– comunicação, por exemplo, processos/canais de comunicação externa/interna ineficazes;
– implementação, por exemplo, coordenação ineficaz das auditorias no programa de auditoria ou não 
considerar segurança e confidencialidade da informação;
– controle de informação documentada, por exemplo, determinação ineficaz da informação documentada 
necessária requerida por auditores e partes interessadas pertinentes, falha em proteger suficientemente 
registros de auditoria para demonstrar a eficácia do programa de auditoria;
– monitoramento, análise crítica e melhoria do programa de auditoria, por exemplo, monitoramento ineficaz 
de resultados do programa de auditoria;
– disponibilidade e cooperação do auditado e disponibilidade de evidência para ser amostrada.
• Oportunidades para melhorar o programa de auditoria:
• — permitir que múltiplas auditorias sejam conduzidas em uma visita única;
• — minimizar tempo e distância de viagem ao local;
• — conciliar o nível de competência da equipe de auditoria ao nível de competência necessário para alcançar os 
objetivos da auditoria;
• — alinhar datas de auditoria com a disponibilidade de pessoal-chave do auditado.
Estabelecendo o programa de auditoria
• Papéis e responsabilidades da pessoa que gerencia o programa de auditoria
• a) estabeleça a extensão do programa de auditoria de acordo com os objetivos pertinentes e 
quaisquer restrições conhecidas;
• b) determine questões internas e externas e riscos e oportunidades que possam afetar o programa 
de auditoria e implemente ações para abordá-los;
• c) assegure a seleção de equipes de auditoria e a competência global para as atividades de 
auditoria;
• d) estabeleça todos os processos pertinentes, 
• e) determine e assegure provisão de todos os recursos necessários;
• f) assegure que a informação documentada apropriada seja preparada e mantida, incluindo 
registros do programa de auditoria;
• g) monitore, analise criticamente e melhore o programa de auditoria;
• h) comunique o programa de auditoria ao cliente de auditoria e, conforme apropriado, às partes 
interessadas pertinentes.
• Competência da(s) pessoa(s) que gerencia(m) o programa de auditoria
• a) princípios de auditoria, métodos e processos;
• b) normas de sistema de gestão, outras normas pertinentes e documentos de 
referência/orientação;
• c) informação relativa ao auditado e seu contexto;
• d) requisitos estatutários e regulamentares aplicáveis, e outros requisitos pertinentes às atividades 
de negócios do auditado.
Estabelecendo o programa de auditoria
• Estabelecendo a extensão do programa de auditoria
• Pode haver variação dependendo da informação fornecida pelo auditado relativa a seu contexto.
• Fatores que impactam a extensão de um programa de auditoria podem incluir o seguinte:
• a) objetivo, escopo e duração de cada auditoria e número de auditorias a serem conduzidas, método de 
relatar e, se aplicável, acompanhamento da auditoria;
• b) normas de sistema de gestão ou outros critérios aplicáveis;
• c) número, importância, complexidade, similaridade e locais das atividades a serem auditadas;
• d) aqueles fatores que influenciam a eficácia do sistema de gestão;
• e) critérios de auditoria aplicáveis, como arranjos planejados para normas pertinentes do sistema de 
gestão, requisitos estatutários e regulamentares e outros requisitos com os quais a organização esteja 
comprometida;
• f) resultados de auditorias internas ou externas e análises críticas gerenciais anteriores, se apropriado;
• g) resultados de análise crítica de um programa de auditoria anterior;
• h) questões de idioma, culturais e sociais;
• i) preocupações das partes interessadas, como reclamações de clientes, não conformidade com requisitos 
estatutários e regulamentares, e outros requisitos com os quais a organização esteja comprometida, ou 
questões de cadeia de suprimentos;
• j) mudanças significativas para o contexto do auditado ou suas operações e riscos e oportunidades 
relacionadas;
• k) disponibilidade de tecnologias da informação e comunicação para apoiar atividades de auditoria, em 
particular o uso de métodos de auditoria remota;
• l) ocorrência de eventos internos e externos, como não conformidades de produtos ou serviço, brechas de 
segurança da informação, incidentes de saúde e segurança, atos criminosos ou incidentes ambientais;
• m) riscos e oportunidades do negócio, incluindo ações para abordá-los.
Estabelecendo o programa de auditoria
• Determinando recursos do programa de auditoria
• a) recursos financeiros e tempo necessários para desenvolver, implementar, gerenciar e melhorar 
atividades de auditoria;
• b) métodos de auditoria;
• c) disponibilidade individual e global de auditores e especialistas quetenham competência 
apropriada para os objetivos particulares do programa de auditoria;
• d) extensão do programa de auditoria e riscos e oportunidades do programa de auditoria;
• e) custo e tempo de viagem, acomodação e outras necessidades de auditoria;
• f) impacto de diferentes fusos horários;
• g) a disponibilidade de tecnologias de informação e comunicação (por exemplo, recursos técnicos 
requeridos para instituir uma auditoria remota usando tecnologias que apoiam a colaboração 
remota);
• h) disponibilidade de quaisquer ferramentas, tecnologia e equipamento requeridos;
• i) disponibilidade de informação documentada necessária, como determinada durante o 
estabelecimento de um programa de auditoria;
• j) requisitos relacionados à instalação, incluindo quaisquer liberações e equipamento de segurança 
(por exemplo, verificações de histórico, equipamento de proteção pessoal, capacidade de usar 
trajes para salas limpas).
Implementando o programa de auditoria
• É necessário implementar o planejamento operacional e a coordenação de todas as 
atividades no programa.
• Convém que a pessoa que gerencia o programa de auditoria:
• a) comunique-se com as partes pertinentes do programa de auditoria, incluindo os riscos e 
oportunidades envolvidos, e com as partes interessadas pertinentes e informe periodicamente de 
seu progresso, usando canais de comunicação externos e internos estabelecidos;
• b) especifique objetivos, escopo e critérios para cada auditoria individual;
• c) selecione métodos de auditoria;
• d) coordene e agende auditorias e outras atividades pertinentes ao programa de auditoria;
• e) assegure que as equipes de auditoria tenham a competência necessária;
• f) forneça recursos individuais e globais necessários para as equipes de auditoria;
• g) assegure a condução de auditorias de acordo com o programa de auditoria, gerenciando todos os 
riscos operacionais, oportunidades e questões (isto é, eventos inesperados), conforme eles surjam 
durante a implantação do programa;
• h) assegure que a informação documentada pertinente relativa às atividades de auditoria seja 
gerenciada e mantida apropriadamente;
• i) defina e implemente os controles operacionais necessários para o monitoramento do programa 
de auditoria;
• j) análise criticamente o programa de auditoria para identificar oportunidades para sua melhoria.
Implementando o programa de auditoria
• Definindo os objetivos, escopo e critérios para uma auditoria individual
• Convém que cada auditoria individual seja baseada em objetivos, escopo e critérios de 
auditoria especificados. Convém que esses sejam coerentes com os objetivos globais do 
programa de auditoria.
• Os objetivos da auditoria determinam o que é para ser realizado pela auditoria 
individual e podem incluir o seguinte:
• a) determinação da extensão da conformidade do sistema de gestão a ser auditado, ou 
partes dele, com critérios de auditoria;
• b) avaliação da capacidade do sistema de gestão de auxiliar a organização a atender os 
requisitos regulamentares e estatutários pertinentes, e outros requisitos com os quais 
a organização esteja comprometida;
• c) avaliação da eficácia do sistema de gestão em alcançar seus resultados pretendidos;
• d) identificação de oportunidades para potencial melhoria do sistema de gestão;
• e) avaliação da adequação e suficiência do sistema de gestão em relação ao contexto e 
direção estratégica do auditado;
• f) avaliação da capacidade do sistema de gestão para estabelecer e alcançar objetivos e 
abordar riscos e oportunidades eficazmente, em um contexto em mudança, incluindo 
a implementação das ações relacionadas.
Implementando o programa de auditoria
• Convém que o escopo de auditoria seja coerente com o programa e os objetivos da 
auditoria. Ele inclui fatores como locais, funções, atividades e processos a serem 
auditados, assim como o período de tempo coberto pela auditoria.
• Os critérios de auditoria são usados como uma referência em relação à qual a 
conformidade é determinada. Estes podem incluir um ou mais dos seguintes: políticas 
aplicáveis, processos, procedimentos, critérios de desempenho, incluindo objetivos, 
requisitos estatutários e regulamentares, requisitos do sistema de gestão, informação 
relativa ao contexto e aos riscos e oportunidades como determinado pelo auditado 
(incluindo requisitos de partes interessadas pertinentes externas/internas), códigos de 
conduta setoriais ou outros arranjos planejados.
• Convém que, na eventualidade de quaisquer mudanças nos objetivos de auditoria, 
escopo ou critérios, o programa de auditoria seja modificado, se necessário, e 
comunicado as partes interessadas para aprovação, se apropriado.
• Quando mais de uma disciplina está sendo auditada ao mesmo tempo, é importante 
que os objetivos, o escopo e os critérios de auditoria sejam coerentes com os 
programas de auditorias pertinentes para cada disciplina. Algumas disciplinas podem 
ter um escopo que reflita a organização inteira, e outras podem ter um escopo que 
reflita um subconjunto da organização inteira.
Implementando o programa de auditoria
• Selecionando e determinando os métodos de auditoria
• Convém que a pessoa que gerencia o programa de auditoria selecione e 
determine os métodos para conduzir uma auditoria eficaz e eficientemente, 
dependendo dos objetivos, escopo e critérios de auditoria estabelecidos.
• Auditorias podem ser realizadas no local, remotamente ou como uma 
combinação. Convém que o uso destes métodos seja adequadamente 
equilibrado, baseado em, entre outras, consideração de riscos e 
oportunidades associadas.
• Quando duas ou mais organizações de auditoria conduzem uma auditoria 
conjunta do mesmo auditado, convém que as pessoas que gerenciam os 
diferentes programas de auditorias estejam de acordo sobre os métodos de 
auditoria e considerem implicações para alocar recursos e planejar a auditoria.
• Se um auditado operar dois ou mais sistemas de gestão de diferentes 
disciplinas, auditorias combinadas podem ser incluídas no programa de 
auditoria.
Implementando o programa de auditoria
• Selecionando os membros da equipe de auditoria
• Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria 
indique(m) os membros da equipe de auditoria, incluindo o líder da 
equipe e quaisquer especialistas necessários para a auditoria específica.
• Convém que uma equipe de auditoria seja selecionada levando em conta 
a competência necessária para alcançar os objetivos da auditoria 
individual no escopo determinado. Se houver somente um auditor, 
convém que o auditor realize todas as obrigações aplicáveis de um líder de 
equipe de auditoria.
• Para assegurar a competência global da equipe de auditoria, convém 
realizar os seguintes passos:
• — identificação da competência necessária para alcançar os objetivos da 
auditoria;
• — seleção dos membros da equipe de auditoria, de modo que a 
competência necessária esteja presente na equipe de auditoria.
Implementando o programa de auditoria
• Selecionando os membros da equipe de auditoria
• Ao decidir o tamanho e a composição da equipe de auditoria para a auditoria 
específica, convém que seja considerado o seguinte:
• a) competência global necessária da equipe de auditoria para alcançar os objetivos 
de auditoria, levando em conta o escopo e os critérios de auditoria;
• b) complexidade da auditoria;
• c) se a auditoria é uma auditoria combinada ou conjunta;
• d) os métodos de auditoria selecionados;
• e) asseguramento da objetividade e imparcialidade para evitar qualquer conflito 
de interesse do processo de auditoria;
• f) capacidade dos membros da equipe de auditoria para trabalhar e interagir 
eficazmente com os representantes do auditado e partes interessadas pertinentes; 
g) questões externas/internas pertinentes, como o idioma da auditoria e as 
características culturais e sociais do auditado. Estas questões podem ser 
abordadas pelas próprias habilidades do auditor ou por meio do apoio de um 
especialista,também considerando a necessidade de intérpretes;
• h) tipo e complexidade dos processos a serem auditados.
Implementando o programa de auditoria
• Selecionando os membros da equipe de auditoria
• Quando apropriado, convém que a(s) pessoa(s) que gerencia(m) o 
programa de auditoria consulte(m) o líder da equipe sobre a composição 
da equipe de auditoria.
• Se a competência necessária não for coberta pelos auditores na equipe de 
auditoria, convém que especialistas com competência adicional sejam 
colocados à disposição para apoiar a equipe.
• Auditores em treinamento podem ser incluídos na equipe de auditoria, 
mas convém que participem sob a direção e orientação de um auditor.
• Mudanças na composição da equipe de auditoria podem ser necessárias 
durante a auditoria, por exemplo, se um conflito de interesse ou questão 
de competência surgir. Se tal situação surgir, convém que ela seja resolvida 
com as partes apropriadas (por exemplo, líder da equipe de auditoria, 
pessoa(s) que gerencia(m) o programa de auditoria, cliente da auditoria 
ou auditado) antes que quaisquer mudanças sejam feitas.
Implementando o programa de auditoria
• Atribuindo responsabilidade para uma auditoria individual ao líder da equipe de auditoria
• Convém que a pessoa que gerencia o programa de auditoria designe a responsabilidade por 
conduzir a auditoria individual a um líder de equipe de auditoria.
• Convém que a atribuição seja feita em tempo suficiente antes da data agendada da 
auditoria,para assegurar o planejamento eficaz da auditoria.
• Para assegurar a condução eficaz das auditorias individuais, convém que a seguinte 
informação seja fornecida ao líder da equipe de auditoria:
• a) objetivos da auditoria;
• b) critérios de auditoria e qualquer informação documentada pertinente;
• c) escopo da auditoria, incluindo identificação da organização e suas funções e processos a 
serem auditados;
• d) processos de auditoria e métodos associados;
• e) composição da equipe de auditoria;
• f) detalhes de contato do auditado, e locais, período de tempo e duração das atividades de 
auditoria a serem conduzidas;
• g) recursos necessários para conduzir a auditoria;
• h) informação necessária para avaliar e abordar riscos e oportunidades identificados para o 
alcance dos objetivos de auditoria;
• i) informação que apoie o(s) líder(es) da equipe de auditoria em suas interações com o 
auditado para a eficácia do programa de auditoria.
Implementando o programa de auditoria
• Atribuindo responsabilidade para uma auditoria individual ao líder da equipe de auditoria
• Convém que a informação de atribuição também abranja o seguinte, conforme apropriado:
• — idioma de trabalho e de relato da auditoria quando este for diferente do idioma do auditor 
ou do auditado, ou de ambos;
• — saída de relato de auditoria como requerido e a quem será distribuída;
• — assuntos relacionados à confidencialidade e segurança da informação, se requerido pelo 
programa de auditoria;
• — quaisquer arranjos de saúde, segurança e meio ambiente para os auditores;
• — requisitos para viagem ou acesso a locais remotos;
• — quaisquer requisitos de segurança e autorização;
• — quaisquer ações a serem analisadas criticamente, por exemplo, ações de 
acompanhamento de uma auditoria anterior;
• — coordenação com outras atividades de auditoria, por exemplo, quando equipes diferentes 
estão auditando processos similares ou relacionados a diferentes locais ou no caso de 
auditoria conjunta.
• Quando uma auditoria conjunta for conduzida, é importante alcançar acordo entre as 
organizações que conduzem auditorias, antes que a auditoria comece, sobre as 
responsabilidades específicas de cada parte, particularmente em relação à autoridade do 
líder de equipe indicado para a auditoria.
Implementando o programa de auditoria
• Gerenciando os resultados do programa de auditoria
• Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria 
assegure(m) que as seguintes atividades sejam realizadas:
• a) avaliação do alcance dos objetivos para cada auditoria no programa de 
auditoria;
• b) análise crítica e aprovação de relatórios de auditoria relativos ao 
atendimento do escopo e objetivos de auditoria;
• c) análise crítica da eficácia de ações tomadas para abordar constatações de 
auditoria;
• d) distribuição de relatórios de auditoria às partes interessadas pertinentes;
• e) determinação da necessidade de qualquer auditoria de acompanhamento.
• Convém que a pessoa que gerencia o programa de auditoria considere, 
quando apropriado:
• — comunicação dos resultados de auditoria e as melhores práticas a outras 
áreas da organização, e
• — implicações para outros processos.
Implementando o programa de auditoria
• Gerenciando e mantendo os registros do programa de auditoria
• Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria 
assegure(m) que os registros de auditoria sejam gerados, gerenciados e 
mantidos para demonstrar a implementação do programa de auditoria. 
Convém que os processos sejam estabelecidos para assegurar que 
quaisquer necessidades de segurança e confidencialidade de informação 
associadas aos registros de auditoria sejam abordadas.
• Os registros podem incluir o seguinte:
• a) Registros relacionados ao programa de auditoria, como:
• — agenda de auditoria;
• — objetivos e extensão do programa de auditoria;
• — aqueles que abordam riscos e oportunidades do programa de auditoria 
e questões externas e internas pertinentes;
• — análise crítica da eficácia do programa de auditoria.
Implementando o programa de auditoria
• Gerenciando e mantendo os registros do programa de auditoria
• b) Registros relacionados a cada auditoria, como:
• — planos de auditoria e relatórios de auditoria;
• — evidência objetiva e constatações de auditoria;
• — relatórios de não conformidades;
• — relatórios de correções e ações corretivas;
• — relatórios de acompanhamento de auditoria.
• c) Registros relacionados à equipe de auditoria, abrangendo tópicos como:
• — avaliação de competência e desempenho dos membros da equipe de 
auditoria;
• — critérios para a seleção de equipes de auditoria e membros da equipe, e 
formação de equipes de auditoria;
• — manutenção e melhoria da competência.
• Convém que a forma e ao nível de detalhe dos registros demonstrem que os 
objetivos do programa de auditoria foram alcançados.
Monitorando o programa de auditoria
• Assegurar a avaliação de:
• a) se os agendamentos estão sendo cumpridos e se os objetivos do programa de auditoria 
estão sendo alcançados;
• b) desempenho dos membros da equipe de auditoria, incluindo o líder da equipe de 
auditoria e os especialistas;
• c) capacidade das equipes de auditoria de implementar o plano de auditoria;
• d) feedback para clientes de auditoria, auditados, auditores, especialistas e outras partes 
interessadas pertinentes;
• e) suficiência e adequação de informação documentada em todo o processo de auditoria.
• Fatores que podem indicar a necessidade de modificar o programa de auditoria:
• — constatações de auditoria;
• — nível demonstrado de eficácia e maturidade do sistema de gestão do auditado;
• — eficácia do programa de auditoria;
• — escopo de auditoria ou escopo do programa de auditoria;
• — sistema de gestão do auditado;
• — normas e outros requisitos com os quais a organização está comprometida;
• — fornecedores externos;
• — conflitos de interesse identificados;
• — requisitos do cliente da auditoria.
Analisando criticamente e melhorando o 
programa de auditoria
• Analisar criticamente o programa de auditoria para avaliar se os seus objetivos foram 
alcançados. Assegurar:
• —análise crítica da implementação global do programa de auditoria;
• —identificação das áreas e oportunidades para melhoria;
• —operação de mudanças no programa de auditoria, se necessário;
• —análise crítica do desenvolvimento profissional contínuo de auditores;
• —relatos dos resultados do programa de auditoria e análisecrítica com o cliente de auditoria e 
partes interessadas pertinentes, conforme apropriado.
• Considerar:
• a) resultados e tendências do monitoramento do programa de auditoria;
• b) conformidade com os processos do programa de auditoria e informação documentada 
pertinente;
• c) necessidades e expectativas em evolução de partes interessadas pertinentes;
• d) registros do programa de auditoria;
• e) métodos novos ou alternativos de auditoria;
• f) métodos novos ou alternativos para avaliar auditores;
• g) eficácia de ações para abordar os riscos e oportunidades e questões internas e externas 
associadas ao programa de auditoria;
• h) questões de confidencialidade e segurança de informação relativas ao programa de auditoria.
Conduzindo uma auditoria (seção 6)
Iniciando a auditoria
• A responsabilidade por conduzir a auditoria deve ser mantida com o auditor-líder da equipe de auditoria 
designado até que a auditoria seja concluída.
• Estabelecendo contato com o auditado
• O líder da equipe de auditoria assegura que seja feito contato com o auditado para:
• a) confirmar canais de comunicação com os representantes do auditado;
• b) confirmar a autoridade para conduzir a auditoria;
• c) fornecer informação pertinente sobre os objetivos, escopo, critérios, métodos de auditoria e 
composição da equipe de auditoria, incluindo quaisquer especialistas;
• d) solicitar acesso à informação pertinente para propósitos de planejamento, incluindo informação sobre 
os riscos e oportunidades que a organização tenha identificado e como eles serão abordados;
• e) determinar requisitos estatutários e regulamentares aplicáveis e outros requisitos pertinentes às 
atividades, processos, produtos e serviços do auditado;
• f) confirmar o acordo com o auditado relativo à extensão da divulgação e ao tratamento de informação 
confidencial;
• g) fazer arranjos para a auditoria, incluindo o agendamento;
• h) determinar quaisquer arranjos específicos ao local para acesso, saúde e segurança, segurança, 
confidencialidade ou outro;
• i) acordar sobre a presença de observadores e a necessidade de guias ou intérpretes para a equipe de 
auditoria;
• j) determinar quaisquer áreas de interesse, preocupação ou riscos para o auditado em relação à auditoria 
específica;
• k) resolver questões relativas à composição da equipe de auditoria com o auditado ou o cliente de 
auditoria.
Iniciando a auditoria
• Determinando a viabilidade da auditoria
• Convém que a viabilidade da auditoria seja determinada para fornecer 
confiança razoável de que os objetivos da auditoria podem ser alcançados.
• Convém que a determinação da viabilidade leve em consideração fatores 
como a disponibilidade do seguinte:
• a) informação apropriada e suficiente para planejar e conduzir a auditoria;
• b) cooperação adequada do auditado;
• c) tempo e recursos adequados para conduzir a auditoria.
Preparando as atividades da auditoria
• Realizando análise crítica de informação documentada
• Convém que a informação documentada pertinente do sistema de gestão do 
auditado seja analisada criticamente para:
• — reunir informação para entender as operações do auditado e preparar as 
atividades da auditoria e documentos de trabalho de auditoria aplicáveis (ver 
6.3.4), por exemplo, sobre processos e funções;
• — estabelecer uma visão geral da extensão da informação documentada para 
determinar possível conformidade com os critérios de auditoria e detectar 
possíveis áreas de preocupação, como deficiências, omissões ou conflitos.
• Convém que a informação documentada inclua, mas não se limite a: 
documentos e registros de sistema de gestão, assim como relatórios de 
auditorias anteriores. Convém que a análise crítica leve em conta o contexto 
da organização do auditado, incluindo seu tamanho, natureza e complexidade, 
e seus riscos e oportunidades relacionados. Convém que ela também leve em 
conta o escopo, critérios e objetivos da auditoria.
Preparando as atividades da auditoria
• Planejando a auditoria
• Abordagem baseada em risco para planejamento
• Adotar uma abordagem baseada em risco para planejar a auditoria, com base na 
informação no programa de auditoria e na informação documentada fornecida pelo 
auditado.
• Considerar os riscos das atividades de auditoria nos processos do auditado e fornecer a 
base para o acordo entre o cliente de auditoria, a equipe de auditoria e o auditado, 
relativo à condução da auditoria.
• Ao planejar a auditoria, convém que o líder da equipe de auditoria considere:
• a) composição da equipe de auditoria e sua competência global;
• b) técnicas de amostragem apropriadas;
• c) oportunidades para melhorar a eficácia e a eficiência das atividades de auditoria;
• d) riscos para alcançar os objetivos da auditoria criados por um planejamento de 
auditoria ineficaz;
• e) riscos para o auditado criados pela realização da auditoria.
• Riscos para o auditado podem resultar da presença dos membros da equipe de 
auditoria influenciando adversamente os arranjos do auditado para saúde e segurança, 
meio ambiente e qualidade e seus produtos, serviços, pessoal ou infraestrutura (por 
exemplo, contaminação em instalações de sala limpa).
Preparando as atividades da auditoria
• Planejando a auditoria
• Detalhes do planejamento de auditoria
• A dimensão e o conteúdo do planejamento de auditoria podem variar, inclusive entre auditorias internas e 
externas. Convém que o planejamento de auditoria seja suficientemente flexível para permitir mudanças 
que possam se tornar necessárias conforme as atividades de auditoria progridam.
• Convém que o planejamento da auditoria aborde ou referencie o seguinte:
• a) objetivos de auditoria;
• b) escopo da auditoria, incluindo identificação da organização e suas funções, assim como os processos a 
serem auditados;
• c) critérios de auditoria e qualquer informação documentada de referência;
• d) locais (físicos e virtuais), datas, tempo e duração estimados das atividades de auditoria a serem 
conduzidas, incluindo reuniões com a direção do auditado;
• e) necessidade de a equipe de auditoria se familiarizar com as instalações e processos do auditado (por 
exemplo, conduzindo uma visita ao(s) local(is) físico(s) ou analisando criticamente tecnologia de 
informação e comunicação);
• f) métodos de auditoria a serem usados, incluindo a extensão na qual a amostragem de auditoria seja 
necessária para obter evidências suficientes de auditoria;
• g) papéis e responsabilidades dos membros da equipe de auditoria, assim como dos guias e observadores 
ou intérpretes;
• h) alocação de recursos apropriados, baseada na consideração dos riscos e oportunidades relacionados às 
atividades que serão auditadas;
Preparando as atividades da auditoria
• Planejando a auditoria
• Atribuindo trabalho para a equipe de auditoria
• O líder da equipe de auditoria, consultando à equipe de auditoria, atribua responsabilidade a cada 
membro da equipe para auditar processos, atividades, funções ou locais específicos. Convém que as 
atribuições levem em conta a imparcialidade, objetividade e competência dos auditores, e o uso eficaz de 
recursos, assim como diferentes funções e responsabilidades dos auditores, auditores em treinamento e 
especialistas.
• Reuniões da equipe de auditoria devem ser realizadas pelo líder da equipe de auditoria, para alocar as 
atribuições de trabalho e decidir as possíveis mudanças.
• Preparando informação documentada para a auditoria
• Convém que os membros da equipe de auditoria coletem e analisem criticamente a informação pertinente 
às suas atribuições de auditoria e preparem informação documentada para a auditoria, usando qualquer 
meio apropriado. A informação documentada para a auditoria pode incluir, mas não está limitada a:
• a) listas de verificação físicas ou digitais;
• b) detalhes de amostragem de auditoria;
• c) informação audiovisual.
• Convém que o uso destes meios não restrinja a extensão das atividades de auditoria.
• Convém queinformação documentada preparada para a, e resultante da, auditoria seja retida no mínimo 
até a conclusão da auditoria ou como especificado no programa de auditoria. 
• Convém que informação documentada, criada durante o processo de auditoria envolvendo informação 
confidencial ou proprietária, seja sempre salvaguardada adequadamente pelos membros da equipe de 
auditoria.
Conduzindo atividades da auditoria
• Atribuindo papéis e responsabilidades para guias e observadores
• Guias e observadores podem acompanhar a equipe de auditoria com aprovações do líder da equipe 
de auditoria, cliente da auditoria e/ou auditado, se requerido. Não convém que eles influenciem ou 
interfiram na condução da auditoria. Se isso não puder ser assegurado, convém que o líder da 
equipe de auditoria tenha o direito de negar que os observadores estejam presentes durante certas 
atividades de auditoria.
• Para os observadores, convém que quaisquer arranjos para acesso, saúde e segurança, meio 
ambiente, segurança e confidencialidade sejam gerenciados entre o cliente de auditoria e o 
auditado.
• Convém que os guias designados pelo auditado auxiliem a equipe de auditoria e ajam por 
solicitação do líder da equipe de auditoria ou auditor ao qual eles tiverem sido atribuídos. Convém 
que suas responsabilidades incluam o seguinte:
• a) auxiliar os auditores na identificação de pessoas para participar de entrevistas e na confirmação 
de horários e locais;
• b) arranjar acesso aos locais específicos do auditado;
• c) assegurar que as regras relativas aos arranjos para acesso específicos do local, saúde e 
segurança, meio ambiente, segurança, confidencialidade e outras questões sejam conhecidas e 
respeitadas pelos membros da equipe de auditoria e observadores, e que quaisquer riscos sejam 
abordados;
• d) testemunhar a auditoria em nome do auditado, quando apropriado;
• e) fornecer esclarecimento ou auxiliar na coleta de informação, quando necessário.
Conduzindo atividades da auditoria
• Conduzindo a reunião de abertura
• O propósito da reunião de abertura é:
• a) confirmar o acordo de todas os participantes (por exemplo, auditado, equipe de 
auditoria) com o plano de auditoria;
• b) apresentar a equipe de auditoria e suas funções;
• c) assegurar que todas as atividades planejadas de auditoria possam ser realizadas.
• Convém que uma reunião de abertura seja realizada com a direção do auditado e, 
onde apropriado, aqueles responsáveis pelas funções ou processos a serem 
auditados. Durante a reunião, convém que seja dada uma oportunidade para 
perguntas.
• Convém que o grau de detalhe seja coerente com a familiaridade do auditado com 
o processo da auditoria. Em muitas situações, por exemplo, em auditorias internas 
em uma pequena organização, a reunião de abertura pode simplesmente consistir 
em comunicar que uma auditoria está sendo conduzida e explicar a natureza da 
auditoria.
• Para outras situações de auditoria, a reunião pode ser formal, e convém que 
registros de presença sejam mantidos. Convém que a reunião seja presidida pelo 
líder da equipe de auditoria.
Conduzindo atividades da auditoria
• Convém considerar introduzir, conforme apropriado:
• — outros participantes, incluindo observadores e guias, intérpretes e um delineamento 
de suas funções;
• — métodos de auditoria para gerenciar riscos para a organização que podem resultar 
da presença dos membros da equipe de auditoria.
• Convém que seja considerada a confirmação dos seguintes itens, conforme apropriado:
• — objetivos, escopo e critérios de auditoria;
• — plano de auditoria e outros arranjos pertinentes com o auditado, como data e 
horário da reunião de encerramento e de quaisquer reuniões intermediárias entre a 
equipe de auditoria e a direção do auditado e qualquer mudança necessária;
• — canais formais de comunicação entre a equipe de auditoria e o auditado;
• — idioma a ser usado durante a auditoria;
• — que o auditado será mantido informado do progresso da auditoria durante a 
auditoria;
• — disponibilidade dos recursos e instalações necessárias pela equipe de auditoria;
• — assuntos relacionados à confidencialidade e segurança da informação;
• — arranjos pertinentes de acesso, saúde e segurança, segurança, emergência e outros 
arranjos para a equipe de auditoria;
• — atividades no local que possam impactar a condução da auditoria.
Conduzindo atividades da auditoria
• Comunicação durante a auditoria
• Durante a auditoria, pode ser necessário fazer arranjos formais para comunicação entre a equipe 
de auditoria, assim como com o auditado, o cliente de auditoria e com partes potencialmente 
interessadas externas (por exemplo, regulamentadores), especialmente onde, os requisitos 
estatutários e regulamentares requerem mandatoriamente relatar não conformidades.
• Convém que a equipe de auditoria se comunique periodicamente para trocar informação, avaliar o 
progresso da auditoria e reatribuir trabalho entre os membros da equipe de auditoria, se 
necessário.
• Durante a auditoria, convém que o líder da equipe de auditoria comunique periodicamente o 
progresso da auditoria, quaisquer constatações significativas e quaisquer preocupações ao 
auditado e ao cliente da auditoria, conforme apropriado. Convém que a evidência coletada durante 
a auditoria que sugira um risco imediato e significativo seja relatada sem demora ao auditado e, 
conforme apropriado, ao cliente da auditoria. Convém que qualquer preocupação sobre um 
assunto fora do escopo da auditoria seja notada e relatada ao líder da equipe de auditoria, para 
possível comunicação ao cliente da auditoria e ao auditado.
• Quando a evidência de auditoria disponível indicar que os objetivos de auditoria são inatingíveis, 
convém que o líder da equipe de auditoria relate as razões ao cliente da auditoria e ao auditado, 
para determinação da ação apropriada. Tal ação pode incluir mudanças no planejamento da 
auditoria, objetivos ou escopo da auditoria ou encerramento da auditoria. 
• Convém que qualquer necessidade de mudanças no plano da auditoria que possa se tornar 
aparente, conforme as atividades de auditoria progridam, seja analisada criticamente e aceita, 
conforme apropriado, pela(s) pessoa(s) que gerencia(m) o programa de auditoria e pelo cliente de 
auditoria, e seja apresentada ao auditado.
Conduzindo atividades da auditoria
• Disponibilidade e acesso de informação de auditoria
• Os métodos de auditoria escolhidos para uma auditoria dependem dos objetivos, escopo e 
critérios de auditoria estabelecidos, assim como duração e local. O local é onde a informação 
necessária para a atividade específica de auditoria está disponível para a equipe de auditoria. 
Isso pode incluir locais físicos e virtuais.
• Onde, quando e como acessar a informação de auditoria é crucial para a auditoria. Isso é 
independente de onde a informação é criada, usada e/ou armazenada. Com base nestas 
questões, os métodos de auditoria necessitam ser determinados. A auditoria pode usar uma 
mistura de métodos. Além disso, circunstâncias de auditoria podem significar que os 
métodos necessitam ser modificados durante a auditoria.
• Analisando criticamente a informação documentada ao conduzir a auditoria
• A informação documentada pertinente do auditado deve ser analisada criticamente para:
• — determinar a conformidade do sistema, até onde documentada, com os critérios de 
auditoria;
• — reunir informação para apoiar as atividades de auditoria.
• Se informação documentada adequada não puder ser fornecida no período de tempo dado 
no plano de auditoria, convém que o líder da equipe de auditoria informe à(s) pessoa(s) que 
gerencia(m) o programa de auditoria e ao auditado. Dependendo dos objetivos e do escopo 
da auditoria, convém que uma decisão seja tomada sobre se convém continuar ou suspender 
a auditoria até que preocupações com informação documentada sejam resolvidas.
Conduzindo atividades da auditoria
• Coletando e verificando informação
• Convém que, durante a auditoria,informação pertinente aos objetivos, escopo e 
critérios de auditoria, incluindo informação relativa às interfaces entre funções, 
atividades e processos, seja coletada por meio de amostragem apropriada e 
convém que seja verificada, até onde praticável.
• Convém que somente informação que possa estar sujeita a algum grau de 
verificação seja aceita como evidência de auditoria. Onde o grau de verificação 
for baixo, convém que o auditor use seu julgamento profissional para determinar o 
grau de confiança que pode ser depositado nela como evidência. 
• Convém que a evidência de auditoria que leve a constatações de auditoria seja 
registrada. Se, durante a coleta de evidência objetiva, a equipe de auditoria tomar 
ciência de quaisquer circunstâncias novas ou modificadas, ou riscos ou 
oportunidades, convém que eles sejam convenientemente abordados pela equipe.
• Métodos para coletar informação incluem o, mas não estão limitados ao, seguinte:
• — entrevistas;
• — observações;
• — análise crítica de informação documentada.
Conduzindo atividades da auditoria
• Gerando constatações de auditoria
• Convém que a evidência de auditoria seja avaliada em relação aos critérios de auditoria 
para determinar as constatações de auditoria. As constatações de auditoria podem 
indicar conformidade ou não conformidade com os critérios de auditoria. Quando 
especificado pelo plano de auditoria, convém que as constatações de auditoria 
individual incluam conformidade e boas práticas junto com suas evidências de apoio, 
oportunidades para melhoria e quaisquer recomendações para o auditado.
• Convém que não conformidades e evidências de auditoria que as apoiam sejam 
registradas.
• Não conformidades podem ser classificadas dependendo do contexto da organização e 
de seus riscos. Esta classificação pode ser quantitativa (por exemplo, de 1 a 5) e 
qualitativa (por exemplo, menor e maior). Convém que elas sejam analisadas 
criticamente com o auditado para obter reconhecimento de que a evidência de 
auditoria é exata, e que as não conformidades são entendidas. Convém que todo o 
empenho seja feito para resolver quaisquer opiniões divergentes relativas às evidências 
ou constatações de auditoria. Convém que questões não resolvidas sejam registradas 
no relatório de auditoria.
• Convém que a equipe de auditoria se reúna como necessário para analisar criticamente 
as constatações de auditoria em estágios apropriados durante a auditoria.
Conduzindo atividades da auditoria
• Determinando conclusões de auditoria
• Preparação para a reunião de encerramento
• Convém que a equipe de auditoria conferencie antes da reunião de encerramento para:
• a) analisar criticamente as constatações da auditoria e qualquer outra informação apropriada 
coletada durante a auditoria, em relação aos objetivos de auditoria;
• b) acordar sobre as conclusões de auditoria, levando em conta a incerteza inerente ao processo de 
auditoria;
• c) preparar recomendações, se especificado pelo plano de auditoria;
• d) discutir o acompanhamento de auditoria, como aplicável.
• Conteúdo de conclusões de auditoria
• Convém que as conclusões de auditoria abordem questões como as seguintes:
• a) extensão da conformidade com os critérios de auditoria e robustez do sistema de gestão, 
incluindo a eficácia do sistema de gestão em alcançar os resultados pretendidos, a identificação de 
riscos e eficácia das ações tomadas pelo auditado para abordar riscos;
• b) implementação a eficaz, manutenção e melhoria do sistema de gestão;
• c) alcance dos objetivos de auditoria, cobertura do escopo de auditoria e atendimento de critérios 
de auditoria;
• d) constatações similares feitas em diferentes áreas que foram auditadas ou de uma auditoria 
conjunta ou prévia com o propósito de identificar tendências.
• Se especificado pelo plano de auditoria, conclusões de auditoria podem levar a recomendações 
para melhoria, ou a futuras atividades de auditoria.
Conduzindo atividades da auditoria
• Conduzindo a reunião de encerramento
• Convém que seja realizada uma reunião de encerramento para apresentar as constatações e 
conclusões de auditoria.
• É conduzida pelo líder da equipe de auditoria, com a participação da direção do auditado, e 
inclua, como aplicável:
• — aqueles responsáveis pelas funções ou processos que foram auditados;
• — cliente de auditoria;
• — outros membros da equipe de auditoria;
• — outras partes interessadas pertinentes, como determinado pelo cliente da auditoria e/ou 
pelo auditado.
• Se aplicável, convém que o líder da equipe de auditoria alerte ao auditado sobre situações 
encontradas durante a auditoria que possam diminuir a confiança que pode ser depositada 
nas conclusões de auditoria. Se for especificado no sistema de gestão ou por acordo com o 
cliente de auditoria, convém que os participantes acordem o período de tempo para um 
plano de ação abordar constatações de auditoria.
• Para algumas situações de auditoria, a reunião pode ser formal e convém que atas, incluindo 
registros de presença, sejam conservadas. Em outras situações, por exemplo, auditorias 
internas, a reunião de encerramento pode ser menos formal e consistir apenas em 
comunicar as constatações de auditoria e as conclusões de auditoria.
Conduzindo atividades da auditoria
• Conduzindo a reunião de encerramento
• Conforme apropriado, convém que o seguinte seja explicado ao auditado na reunião de 
encerramento:
• a) aviso de que a evidência de auditoria coletada foi baseada em uma amostragem da 
informação disponível e que não é necessariamente totalmente representativa da eficácia 
global dos processos do auditado;
• b) método de relatar;
• c) como convém que a constatação de auditoria seja abordada no processo acordado;
• d) possíveis consequências de não abordar suficientemente as constatações de auditoria;
• e) apresentação das constatações e conclusões de auditoria, de uma maneira que elas sejam 
entendidas e reconhecidas pela direção do auditado;
• f) quaisquer atividades pós-auditoria relacionadas (por exemplo, implementação e análise 
crítica de ações corretivas, abordagem de reclamações de auditoria, processo de apelação).
• Convém que quaisquer opiniões divergentes relativas às constatações ou conclusões de 
auditoria entre a equipe de auditoria e o auditado sejam discutidas e, se possível, resolvidas. 
Se não resolvidas, convém que isso seja registrado.
• Se especificado pelos objetivos da auditoria, recomendações de oportunidades para 
melhorias podem ser apresentadas. Convém que seja enfatizado que as recomendações não 
são restritivas.
Conduzindo atividades da auditoria
• Preparando e distribuindo o relatório de auditoria
• Preparando o relatório de auditoria
• Convém que o líder da equipe de auditoria relate as conclusões de auditoria de acordo com o 
programa de auditoria. Convém que o relatório de auditoria forneça um registro completo, 
exato, conciso e claro da auditoria, e convém que inclua ou se refira ao seguinte:
• a) objetivos de auditoria;
• b) escopo de auditoria, particularmente a identificação da organização (o auditado) e as 
funções ou processos auditados;
• c) identificação do cliente de auditoria;
• d) identificação da equipe de auditoria e de participantes do auditado na auditoria;
• e) datas e locais onde as atividades de auditoria foram conduzidas;
• f) critérios de auditoria;
• g) constatações de auditoria e evidências relacionadas;
• h) conclusões de auditoria;
• i) uma declaração sobre o grau no qual os critérios de auditoria foram atendidos;
• j) quaisquer opiniões divergentes não resolvidas entre a equipe de auditoria e o auditado;
• k) auditorias por natureza são um exercício de amostragem; como tal, há um risco de que a 
evidência de auditoria examinada não seja representativa.
Conduzindo atividades da auditoria
• Preparando e distribuindo o relatório de auditoria
• Preparando o relatório de auditoria
• O relatório de auditoria pode também incluir ou se referir ao seguinte, conformeapropriado:
• — plano de auditoria, incluindo agenda;
• — um resumo do processo de auditoria, incluindo quaisquer obstáculos encontrados 
que possam reduzir a confiabilidade das conclusões de auditoria;
• — confirmação de que os objetivos de auditoria foram alcançados no escopo de 
auditoria de acordo com o plano de auditoria;
• — quaisquer áreas no escopo da auditoria não cobertas, incluindo quaisquer questões 
de disponibilidade de evidência, recursos ou confidencialidade, com justificativas 
relacionadas;
• — um resumo cobrindo as conclusões de auditoria e as principais constatações de 
auditoria que a apoiam;
• — boas práticas identificadas;
• — acompanhamento de plano de ação acordado, se houver;
• — uma declaração da natureza confidencial dos conteúdos;
• — quaisquer implicações para o programa de auditoria ou auditorias subsequentes.
Conduzindo atividades da auditoria
• Preparando e distribuindo o relatório de auditoria
• Distribuindo o relatório da auditoria
• Convém que o relatório de auditoria seja emitido em um período de 
tempo acordado. Se ele estiver atrasado, convém que as razões sejam 
comunicadas ao auditado e à(s) pessoa(s) que gerencia(m) o programa de 
auditoria.
• Convém que o relatório de auditoria seja datado, analisado criticamente e 
aceito, conforme apropriado, de acordo com o programa de auditoria.
• Convém que o relatório de auditoria seja então distribuído às partes 
interessadas pertinentes especificadas no programa de auditoria ou plano 
de auditoria.
• Ao distribuir o relatório de auditoria, convém que medidas apropriadas 
para assegurar a confidencialidade sejam consideradas.
Conduzindo atividades da auditoria
• Concluindo a auditoria
• A auditoria é concluída quando todas as atividades de auditoria planejadas 
tiverem sido realizadas ou, de outro modo, tiver sido acordado com o cliente 
de auditoria (por exemplo, pode haver uma situação inesperada que impeça a 
auditoria ser concluída de acordo com o plano de auditoria). 
• Convém que informação documentada pertencente à auditoria seja retida ou 
descartada por acordo entre as partes participantes e de acordo com o 
programa de auditoria e com os requisitos aplicáveis.
• A menos que requerido por lei, não convém que a equipe de auditoria e a 
pessoa que gerencia o programa de auditoria divulguem qualquer informação 
obtida durante a auditoria, ou o relatório de auditoria, para qualquer outra 
parte sem a aprovação explícita do cliente da auditoria e, onde apropriado, a 
aprovação do auditado. Se a divulgação do conteúdo de um documento de 
auditoria for requerida, convém que o cliente da auditoria e o auditado sejam 
informados assim que possível.
• Lições apreendidas da auditoria podem identificar riscos e oportunidades para 
o programa de auditoria e o auditado.
Conduzindo atividades da auditoria
• Conduzindo o acompanhamento da auditoria
• O resultado da auditoria pode, dependendo dos objetivos da auditoria, 
indicar a necessidade para correções ou para ações corretivas ou 
oportunidades para melhoria. Tais ações são usualmente decididas e 
realizadas pelo auditado em um período de tempo acordado. Conforme 
apropriado, convém que o auditado mantenha a(s) pessoa(s) que 
gerencia(m) o programa de auditoria e/ou a equipe de auditoria 
informadas da situação destas ações.
• Convém que a conclusão e a eficácia destas ações sejam verificadas. Esta 
verificação pode ser parte de uma auditoria subsequente. Convém que os 
resultados sejam relatados à pessoa que gerencia o programa de auditoria 
e relatados ao cliente de auditoria para análise crítica pela direção.
Competência e avaliação de auditores (seção 7)
• Confiança no processo de auditoria e na capacidade para alcançar seus objetivos 
depende da competência daquelas pessoas que estão envolvidas na realização de 
auditorias, incluindo auditores e líderes da equipe de auditoria. Convém que a 
competência seja avaliada regularmente por meio de um processo que considere o 
comportamento pessoal e a capacidade para aplicar conhecimento e habilidades obtidos 
por meio de educação, experiência de trabalho, treinamento de auditor e experiência de 
auditoria. Convém que este processo leve em consideração as necessidades do programa 
de auditoria e seus objetivos. Alguns dos conhecimentos e habilidades são comuns para 
auditores de qualquer disciplina de sistema de gestão; outros são específicos para 
disciplinas particulares de sistemas de gestão. Não é necessário que cada auditor na 
equipe de auditoria tenha a mesma competência. Entretanto, a competência global da 
equipe de auditoria necessita ser suficiente para alcançar os objetivos da auditoria.
• Convém que a avaliação da competência do auditor seja planejada, implementada e 
documentada para fornecer um resultado que seja objetivo, coerente, justo e confiável. 
Convém que o processo de avaliação inclua quatro passos principais, como a seguir:
• a) determinar a competência necessária para atender às necessidades do programa de 
auditoria;
• b) estabelecer os critérios de avaliação;
• c) selecionar o método apropriado de avaliação;
• d) conduzir a avaliação.
• Convém que o resultado do processo de avaliação forneça uma base para:
• — seleção dos membros da equipe de auditoria (como descrito em 5.5.4);
• — determinação da necessidade para competência melhorada (por 
exemplo, treinamento adicional);
• — avaliação continuada do desempenho de auditores.
• Convém que os auditores desenvolvam, mantenham e melhorem suas 
competências por meio de um desenvolvimento profissional contínuo e 
participação regular em auditorias.
Competência e avaliação de auditores (seção 7)
Determinando a competência de auditor
• Ao decidir a competência necessária para uma auditoria, convém que o 
conhecimento e as habilidades de um auditor relacionados ao seguinte 
sejam considerados:
• a) tamanho, natureza, complexidade, produtos, serviços e processos de 
auditados;
• b) métodos para auditar;
• c) disciplinas do sistema de gestão a serem auditadas;
• d) complexidade e processos do sistema de gestão a serem auditados;
• e) tipos e níveis de riscos e oportunidades abordados pelo sistema de 
gestão;
• f) objetivos e extensão do programa de auditoria;
• g) incerteza de alcançar os objetivos de auditoria;
• h) outros requisitos, como aqueles impostos pelo cliente de auditoria ou 
outras partes interessadas pertinentes, onde apropriado.
Determinando a competência de auditor
• Conhecimento e habilidades
• Convém que os auditores possuam:
• a) conhecimento e habilidades necessários para alcançar os resultados 
pretendidos das auditorias que se espera que eles desempenhem;
• b) competência genérica e um nível de conhecimento e habilidades de 
disciplinas e setores específicos.
• Convém que os líderes das equipes de auditoria tenham conhecimento e 
habilidades adicionais necessários para fornecer liderança à equipe de 
auditoria.
• Conhecimento e habilidades genéricos de auditores do sistema de gestão
• Convém que os auditores tenham conhecimento e habilidades nas áreas 
delineadas abaixo.
• a) Princípios, processos e métodos de auditoria: conhecimento e 
habilidades nesta área possibilitam o auditor a assegurar que as auditorias 
sejam desempenhadas de maneira coerente e sistemática.
Determinando a competência de auditor
• Conhecimento e habilidades genéricos de auditores do sistema de gestão
• Convém que um auditor seja capaz de:
• — entender os tipos de riscos e oportunidades associados à auditoria e os princípios da abordagem 
baseada em risco para auditar;
• — planejar e organizar o trabalho eficazmente;
• — desempenhar a auditoria dentro do calendário acordado;
• — priorizar e focar assuntos de significância;
• — comunicar-se eficazmente, oralmente e por escrito (pessoalmente ou com o uso de intérpretes);
• — coletar informação por meio de entrevistas, escuta, observação e análise crítica de informação 
documentada eficazes, incluindo registros e dados;
• — entendera propriedade e consequências de usar técnicas de amostragem para auditar;
• — entender e considerar opiniões de especialistas;
• — auditar um processo do início ao fim, incluindo as inter-relações com outros processos e 
diferentes funções, onde apropriado;
• — verificar a relevância e a exatidão da informação coletada;
• — confirmar a suficiência e a propriedade da evidência de auditoria para apoiar constatações e 
conclusões de auditoria;
• — avaliar aqueles fatores que possam afetar a confiabilidade das constatações e conclusões de 
auditoria;
• — documentar atividades de auditoria e constatações de auditoria e preparar relatórios;
• — manter a confidencialidade e a segurança da informação.
Determinando a competência de auditor
• Conhecimento e habilidades genéricos de auditores do sistema de gestão
• b) Normas de sistema de gestão e outras referências: conhecimento e habilidades nesta área
• possibilitam o auditor a entender o escopo da auditoria e aplicar critérios de auditoria, e 
convém que abranjam o seguinte:
• — normas de sistema de gestão ou outros documentos normativos ou de orientação/apoio 
usados para estabelecer critérios ou métodos de auditoria;
• — aplicação de normas de sistema de gestão pelo auditado e outras organizações;
• — relacionamentos e interações entre os processos do(s) sistema(s) de gestão;
• — entendimento da importância e prioridade de normas ou referências múltiplas;
• — aplicação de normas ou referências a diferentes situações de auditoria.
• c) A organização e seu contexto: conhecimento e habilidades nesta área possibilitam o 
auditor a entender a estrutura, propósito e práticas de gestão do auditado, e convém que 
abranjam o seguinte:
• — necessidades e expectativas de partes interessadas pertinentes que impactam o sistema 
de gestão;
• — tipo de organização, governança, tamanho, estrutura, funções e relacionamentos;
• — conceitos gerais de gestão e negócios, processos e terminologia relacionada, incluindo 
planejamento, orçamento e gestão de pessoas;
• — aspectos culturais e sociais do auditado.
Determinando a competência de auditor
• Conhecimento e habilidades genéricos de auditores do sistema de gestão
• d) Requisitos regulamentares e estatutários aplicáveis e outros requisitos: conhecimento e 
habilidades nesta área possibilitam o auditor a estar consciente de, e trabalhar de acordo com, os 
requisitos da organização. Convém que conhecimento e habilidades específicos para a jurisdição ou 
para as atividades, processos, produtos e serviços do auditado abranjam o seguinte:
• — requisitos estatutários e regulamentares e suas agências governamentais;
• — terminologia legal básica;
• — contratação e responsabilidade.
• Competência de auditores em disciplina e setor específicos
• Convém que as equipes de auditoria tenham competência coletiva apropriada da disciplina e do 
setor específicos para auditar os tipos particulares de sistemas de gestão e setores.
• A competência de auditores na disciplina e setor específicos inclui o seguinte:
• a) requisitos e princípios de sistema de gestão e suas aplicações;
• b) fundamentos da(s) disciplina(s) e setor(es) relacionados às normas de sistema de gestão, como 
aplicados pelo auditado;
• c) aplicação de métodos, técnicas, processos e práticas de disciplina e de setor específicos para 
possibilitar a equipe de auditoria a avaliar a conformidade no escopo de auditoria estabelecido e 
gerar constatações e conclusões de auditoria apropriadas;
• d) princípios, métodos e técnicas pertinentes à disciplina e setor, tais que o auditor possa 
determinar e avaliar os riscos e oportunidades associados aos objetivos da auditoria.
Determinando a competência de auditor
• Competência genérica de líder de equipe de auditoria
• Para facilitar a condução eficiente e eficaz da auditoria, convém que um líder de equipe de 
auditoria tenha competência para:
• a) planejar a auditoria e atribuir tarefas de auditoria de acordo com a competência específica 
dos membros individuais da equipe de auditoria;
• b) discutir questões estratégicas com a Alta Direção do auditado para determinar se ela 
considerou estas questões ao avaliar seus riscos e oportunidades;
• c) desenvolver e manter um relacionamento de trabalho colaborativo entre os membros da 
equipe de auditoria;
• d) gerenciar o processo de auditoria, incluindo:
• — fazer uso eficaz dos recursos durante a auditoria;
• — gerenciar a incerteza de alcançar objetivos de auditoria;
• — proteger a saúde e segurança dos membros da equipe de auditoria durante a auditoria,
• incluindo assegurar compliance dos auditores com os arranjos pertinentes de saúde e 
segurança, e segurança;
• — orientar os membros da equipe de auditoria;
• — fornecer direção e orientação para auditores em treinamento;
• — prevenir e resolver conflitos e problemas que possam ocorrer durante a auditoria, 
incluindo aqueles na equipe de auditoria, se necessário.
Determinando a competência de auditor
• Competência genérica de líder de equipe de auditoria
• e) representar a equipe de auditoria nas comunicações com a(s) pessoa(s) 
que gerencia(m) o programa de auditoria, o cliente de auditoria e o 
auditado;
• f) liderar a equipe de auditoria para alcançar as conclusões de auditoria; g) 
preparar e concluir o relatório de auditoria.
Determinando a competência de auditor
• Conhecimento e habilidades para auditar múltiplas disciplinas
• Ao auditar sistemas de gestão de múltiplas disciplinas, convém que o membro da 
equipe de auditoria tenha um entendimento das interações e sinergia entre os 
diferentes sistemas de gestão.
• Convém que líderes da equipe de auditoria entendam os requisitos de cada uma das 
normas de sistema de gestão que estão sendo auditadas e reconheçam os limites de 
sua competência em cada uma das disciplinas.
• Alcançando a competência de auditor
• A competência de auditor pode ser adquirida usando uma combinação do seguinte:
• a) conclusões com sucesso de programas de treinamento que abranjam conhecimento 
e habilidades genéricos de auditor;
• b) experiência em uma posição técnica, gerencial ou profissional pertinente, 
envolvendo o exercício de julgamento, tomada de decisão, solução de problema e 
comunicação com gerentes, profissionais, pares, clientes e outras partes interessadas 
pertinentes;
• c) educação/treinamento e experiência em uma disciplina e setor específicos de 
sistema de gestão que contribuam para o desenvolvimento da competência global;
• d) experiência de auditoria adquirida sob supervisão de um auditor competente na 
mesma disciplina.
Determinando a competência de auditor
• Conhecimento e habilidades para auditar múltiplas disciplinas
• Ao auditar sistemas de gestão de múltiplas disciplinas, convém que o membro da equipe de 
auditoria tenha um entendimento das interações e sinergia entre os diferentes sistemas de gestão.
• Convém que líderes da equipe de auditoria entendam os requisitos de cada uma das normas de 
sistema de gestão que estão sendo auditadas e reconheçam os limites de sua competência em cada 
uma das disciplinas.
• Alcançando a competência de auditor
• A competência de auditor pode ser adquirida usando uma combinação do seguinte:
• a) conclusões com sucesso de programas de treinamento que abranjam conhecimento e 
habilidades genéricos de auditor;
• b) experiência em uma posição técnica, gerencial ou profissional pertinente, envolvendo o exercício 
de julgamento, tomada de decisão, solução de problema e comunicação com gerentes, 
profissionais, pares, clientes e outras partes interessadas pertinentes;
• c) educação/treinamento e experiência em uma disciplina e setor específicos de sistema de gestão 
que contribuam para o desenvolvimento da competência global;
• d) experiência de auditoria adquirida sob supervisão de um auditor competente na mesma 
disciplina.
• Alcançando a competência do líder da equipe de auditoria
• Convém que um líder da equipe de auditoria tenha adquirido experiência adicionalem auditoria. 
Convém que esta experiência adicional tenha sido adquirida trabalhando sob a direção e orientação 
de um líder de equipe de auditoria diferente.
Determinando a competência de auditor
• Estabelecendo os critérios de avaliação de auditor
• Convém que os critérios sejam qualitativos (como ter demonstrado 
comportamento, conhecimento ou desempenho desejável das 
habilidades, em treinamento ou em local de trabalho) e quantitativos 
(como os anos de experiência de trabalho e educação, número de 
auditorias conduzidas, horas de treinamento em auditoria).
• Selecionando o método apropriado de avaliação de auditor
• Considerar:
• a) os métodos delineados representam uma gama de opções e podem não 
ser aplicáveis a todas situações;
• b) os vários métodos delineados podem variar quanto à sua 
confiabilidade;
• c) convém que uma combinação de métodos seja usada para assegurar 
um resultado que seja objetivo, coerente, justo e confiável.
Métodos de avaliação de auditores
Conduzindo a avaliação de auditor
• Convém que a informação coletada sobre o auditor em avaliação seja 
comparada em relação aos critérios estabelecidos. Quando um auditor em 
avaliação do qual se espera participação no programa de auditoria não 
preenche os critérios, convém que, então, sejam realizados treinamentos, 
trabalhos ou experiências em auditoria adicionais e que seja realizada 
uma reavaliação subsequente.
Mantendo e melhorando a competência de auditor
• Convém que os auditores e líderes da equipe de auditoria melhorem 
continuamente sua competência.
• Convém que os auditores mantenham sua competência em auditar por meio de 
participação regular em auditorias de sistemas de gestão e desenvolvimento 
profissional contínuo. Isso pode ser alcançado por meios como experiência 
adicional de trabalho, treinamento, estudo privado, instrução, participação em 
reuniões, seminários e conferências ou outras atividades pertinentes.
• Convém que a pessoa que gerencia o programa de auditoria estabeleça 
mecanismos adequados para a avaliação contínua do desempenho dos auditores e 
líderes da equipe de auditoria.
• Convém que as atividades de desenvolvimento profissional contínuo levem em 
conta:
• a) mudanças nas necessidades das pessoas e da organização responsável pela 
condução da auditoria;
• b) desenvolvimentos na prática de auditar, incluindo o uso de tecnologia;
• c) normas pertinentes, incluindo documentos de orientação/apoio e outros 
requisitos;
• d) mudanças no setor ou disciplinas.
Dicas para uma boa auditoria
• O auditor deve realizar uma preparação prévia
– Check list (lista de verificação)
• Trilha para não sair do foco da auditoria (planejamento)
• Reduz imprevistos e potenciais interferências
• Base nos riscos do processo
• Uso de amostragem
Dicas para uma boa auditoria
• O auditor deve ter cuidado para não deixar o 
auditado na defensiva
– Explique o propósito da auditoria
– Na entrevista, procure deixar o auditado 
confortável
– Mantenha uma postura profissional e objetiva
– Procure utilizar perguntas com “como”, “por que”, 
“quem”...
– Procure fazer perguntas abertas
Dicas para uma boa auditoria
• Não confie na memória! Anote as evidências 
para permitir um relato claro e objetivo.
• Monitore o tempo
• Conduza investigações na hora ou registre 
para que seja investigado posteriormente
• Cuidado com desvios na auditorias (auditado 
falando demais, pistas falsas, pausas...)
Obrigada!
• Angela Lima
• Engenheira Eletricista, Pós-graduada em Gestão da Qualidade, MBA em Planejamento e Gestão 
Organizacional, especialista em Engenharia de Segurança do Trabalho.
• Consultora organizacional com mais de 15 anos de experiência, especialista em Gestão Estratégica, 
Gestão de Riscos, Compliance, Implantação de Sistemas de Gestão para Certificação, Mapeamento 
e Modelagem de Processos, Gestão de Indicadores e Células de Negócio.
• Auditora Líder de Gestão Integrada, considerando as normas ISO 9001, ISO 14001, OHSAS 18001, 
ISO 4001, SA 8000 e NBR 16001, Examinadora Sênior do PQGP ciclos 2008, 2009 e 2010.
• Consultora especializada em Gestão de Riscos e preparação para certificações e programas de 
reconhecimento como: Pró-Ética, ISO 37001, Indicadores Instituto Ethos, ISO 9001, ISO 14001, 
OHSAS 18001, ISO 45001, ISO 22000, SA 8000 e NBR 16001.
• Instrutora da CNI para o PDA (Programa de Desenvolvimento Associativo).
• Consultora da CNI para Normalização, Metrologia e Avaliação da Conformidade no projeto da TIB 
(Tecnologia Industrial Básica).
• Consultora em projetos da FIEPE para estruturação de Estratégias e Processos em empresas 
Associadas.
• Participou da implantação do Sistema de Estratégias, Gestão, Processos em empresas de diversos 
segmentos, tais como: FIEPE, CREA-PE, CREMEPE, Grupo HEBRON, ABIH-PE, Engeman Engenharia, 
Destilaria Tabu, Geosistemas, TRON Controles Elétricos, Renel Engenharia, Labortecne, Fiabesa, 
Frompet - Lorenpet, FRT Tecnologia, Gerdau-Açonorte,CHESF, entre outras.