A ISO 19011 se destaca pela amplitude e generalidade. Ela atende todas as organizações, independente do tamanho ou da área de negócio. Também fornece orientações para auditorias de variados escopos e dimensões. Com grandes equipes de auditoria ou um único auditor, um sistema de gestão mais ou menos maduro, ela é flexível e feita para se adaptar.
Daí a necessidade de saber aproveitar essas orientações, tendo ou não um SGQ estruturado, tendo ou não ISO 9001.
Neste artigo, você encontra uma visão geral dessa Norma, com o essencial que precisa saber. Caso já tenha lido o texto, será uma forma de relembrar os principais pontos. Caso ainda não tenha lido, essa será uma boa introdução à leitura.
ISO 19011: o que é e para que serve
A ISO 19011 é a referência normativa para a aplicação de auditorias internas (primeira parte) e para auditoria de fornecedores ou outra parte interessada externa (segunda parte).
Ele fornece orientação para a gestão de um programa de auditorias, envolvendo:
- princípios;
- planejamento;
- condução;
- relatório; e
- avaliação das competências de auditores.
Evolução da ISO 19011: o que muda na edição de 2018
A ISO 19011:2018 substitui a versão de 2012. A revisão técnica vai na direção de uma abordagem mais ampla e genérica. Isso torna a Norma extremamente flexível, adaptável a variados contextos de auditoria, quando se faz necessária.
Isso se reflete nas principais modificações, que incluem:
- abordagem de riscos nos princípios da auditoria;
- ampliação da orientação sobre gestão de programas de auditorias;
- ampliação da orientação para condução de auditorias;
- ampliação de requisitos genéricos de competência;
- ajustes de terminologia sobre processo; e
- remoção de alguns anexos.
É possível usar a ISO 19011 para outros tipos de auditoria?
É possível. A Norma não exclui essa possibilidade, mas recomenda a consideração de necessidades de competências específicas para tal.
Dessa forma, ela pode inspirar outras auditorias, com as devidas adaptações.
ISO 19011: resumo comentado da Norma
Em termos de estrutura, a ISO 19011 tem sete seções e 18 anexos. O corpo de orientações propriamente ditas começa na seção 4. Vejamos os principais pontos de cada seção.
Seções 1, 2 e 3: Escopo, referências normativas, termos e definições
As primeiras seções delimitam a abrangência da Norma, as outras Normas a que ela se refere e alinha os conceitos. Essa é um seção conceitual, que busca colocar todos no mesmo ponto.
Seção 4: Princípios de auditoria
Aqui, a Norma traz os sete princípios que regem as auditorias internas. São eles:
- Integridade: o auditor deve ser ético, responsável, honesto e imparcial.
- Apresentação justa: o auditor deve ser preciso e objetivo e, no caso de não haver conclusão definitiva sobre um ponto, deve reportar isso em seu relatório.
- Devido cuidado profissional: o auditor deve ser prudente em suas avaliações, considerando vários fatores antes de tomar suas decisões.
- Confidencialidade: o auditor não deve se beneficiar pessoalmente de informações que acessa em virtude de suas atividades.
- Independência: sempre que possível, auditores internos devem ser independentes do que auditam.
- Abordagem baseada em evidência: as conclusões das auditorias devem ser baseadas em informação verificável.
- Abordagem baseada em risco: esse norte ajuda a garantir que a auditoria seja significativa.
Seção 5: Gerenciando um programa de auditoria
Na ISO 19011, a gestão de programas de auditorias se dá de acordo com o ciclo PDCA. Há dois ciclos em funcionamento:
- PDCA do estabelecimento do programa de auditoria; e
- PDCA do estabelecimento das auditorias particulares.
Isso se reflete na estrutura dessa seção, ilustrada na própria Norma.
A seção 5 trata do primeiro ciclo, e a seção 6 do segundo. Vejamos os principais pontos da seção 5.
PDCA do programa de auditorias
1. Planejar: subseções 5.2, 5.3 e 5.4
Na 5.2, a norma recomenda a determinação dos objetivos do programa de auditoria. Além de nortear as auditorias, esses objetivos devem conectar o programa ao SGQ como um todo.
Os objetivos são respostas sobre o que o programa visa avaliar no auditado. Pode ser a capacidade de identificar oportunidades, de determinar a eficácia do SGQ, de manter a adequação às Normas etc.
Na 5.3, o tema são riscos e oportunidades associados ao programa, em qualquer de suas etapas. Visa endereçar incertezas que podem afetar os objetivos, como questões de comunicação, documentação, avaliação etc.
A 5.4 fala do estabelecimento do programa em si. Cabe a quem gerencia o programa determinar seu escopo, selecionar equipes de auditorias adequadas, desenhar os processos, provisionar os recursos, manter e preparar a documentação relacionada, monitorar o programa e comunicá-lo.
A subseção também orienta sobre a competência das pessoas que vão gerenciar o programa, sobre o que considerar na determinação do escopo e como determinar os recursos do programa.
2. Fazer: subseção 5.5
Estabelecido o programa, ele deve ser implementado. Aqui é a parte prática, que deverá ser norteada pelo planejado.
Nessa etapa, cabe a quem gerencia o programa garantir que o planejado seja executado de acordo, bem como que seja modificado quando apropriado.
A ISO 19011 traz orientações sobre:
- Definição de objetivos, escopo e critérios de auditorias individuais: o que a auditoria busca, em que extensão vai atuar e por meio de que referenciais de conformidade.
- Seleção de métodos de auditoria: definição da abordagem, como análise de documentos, entrevista, observação etc.
- Definição de equipe de auditores: determinação da competência de acordo com o objeto auditado e a auditoria.
- Atribuição de responsabilidade dentro da equipe de auditoria: determinação do líder da auditoria e das atribuições individuais.
- Gestão de resultados e documentação: criação de um relatório da auditoria, com avaliação do alcance dos objetivos, não conformidades e recomendações.
- Gestão dos registros da auditoria: criação e manutenção de toda a documentação associada ao programa, às auditorias em si, aos relatórios etc.
3. Verificar: subseção 5.6
O programa de auditoria está cumprindo os objetivos para os quais foi desenhado? Em que medida? O desempenho da equipe está adequado? A documentação é suficiente e adequada?
Na etapa de verificação a gestão do programa deve definir KPIs do programa, monitorá-los e analisá-los a fim de avaliar sua eficiência e eficácia, indicando a necessidade de modificá-lo.
De maneira periódica, é recomendada a revisão geral do programa de auditoria, com fins de atualização e melhorias.
4. Agir: subseção 5.7
Na 5.7, a ISO 19011 recomenda a análise crítica e o uso da avaliações realizadas como entradas para a melhoria do programa.
Os dados da verificação mostram alguma tendência? Revelam oportunidades e riscos? Agora é hora de agir.
Seção 6: Conduzindo uma auditoria
Nesta seção, a ISO 19011 orienta a preparação, execução, verificação e melhoria das auditorias particulares previstas em um programa. Da mesma forma, temos a estrutura de um PDCA.
PDCA de auditorias
1. Planejar: seções 6.1, 6.2 e 6.3
Em 6.2, a ISO 19011 recomenda que o auditor-líder inicie a auditoria estabelecendo contato com o auditado para verificação da viabilidade e viabilização da auditoria.
Nesse contato, ele observará se há algum fator que inviabilize ou limite a auditoria, bem como fará o alinhamento da autoria em si, em termos de canais de comunicação, informações sobre o processo, acesso à informação, agendamento etc.
Em 6.3, a Norma recomenda a preparação das atividades da auditoria. Nessa fase, o auditor vai analisar criticamente a informação documentada fornecida pelo auditado. Com base nisso, ele já terá uma visão de riscos para planejar a auditoria.
Para o planejamento em si, a Norma recomenda referência a definição de:
- objetivos, escopo e critérios;
- prazos, datas e duração estimados de atividades;
- recursos necessários;
- métodos de auditoria; e
- papéis e responsabilidades da equipe de auditoria e observadores participantes;
- informação documentada para auditoria, como listas de verificação, amostragem etc.
Boa parte dessas definições é feita o programa de auditorias. Para fins de planejamento de cada auditoria, o auditor-líder verifica essas informações e faz ajustes, como necessário, comunica-se com o auditado e prepara tudo para a execução da auditoria.
2. Fazer: seções 6.4 e 6.5
Execução do plano de auditoria, de acordo com o estabelecido.
A ISO 19011 recomenda uma reunião de abertura para confirmar o acordo de todos os participantes auditados, apresentar a equipe, recapitular pontos do planejamento e assegurar que todas as atividades sejam realizadas. Uma reunião com a direção também pode ser feita.
A Norma recomenda a constante comunicação da equipe de auditoria, para troca de informação, acompanhamento do status do trabalho e ajustes de atribuições.
Constatações da auditoria precisam ser devidamente comparadas com os critérios estabelecidos e classificadas de acordo com o risco. Elas deverão ser relatadas no relatório de auditoria, cujas recomendações de preparo incluem referência a critérios, constatações e conclusões da auditoria, bem como divergências não resolvidas e declaração do grau de conformidade.
Por fim, a Norma recomenda a condução de uma reunião de encerramento para apresentação das conclusões.
3. Verificar: seção 6.6
No pós-auditoria, a equipe de auditoria verifica se todo o planejamento foi executado, o desempenho e eficácia do processo. A partir dessas evidência, a equipe é levada à ação.
4. Agir: seção 6.7
Envolve as ações corretivas e oportunidades de melhoria identificadas, realizadas em um período de tempo acordado com o auditado.
Seção 7: Competência e avaliação de auditores
A seção 7 é toda dedicada à figura dos auditores, fundamental para garantir a confiabilidade de auditorias. Como selecioná-los?
A ISO 19011 recomenda um processo de avaliação com quatro passos:
- Lista das competências necessárias para atender as necessidades do programa: que habilidades técnicas gerais e específicas e comportamentais os auditores precisam ter para conduzir suas auditorias?
- Critérios de avaliação de competências: quais as referências vão guiar a avaliação dos perfis? Pode ser tempo de atuação, formação etc.
- Método de avaliação de competências: por meio de atividades ou ferramentas vamos determinar se o auditor atende os critérios? Pode envolver entrevistas, testes etc,
- Avaliação: Após a aplicação dos métodos, é feita a comparação dos resultados com os critérios estabelecidos.
ISO 19011: refine suas auditorias
A ISO 9011 ajuda organizações a refinarem seu programa de auditoria e suas auditorias, independentemente do porte, do setor ou da maturidade do SGQ da organização.
Vivificar o conteúdo dessa norma na memória é um exercício fundamental.
Chegou até aqui? Então é hora de olhar para o seu programa de auditorias.
]]>