NORMA NM ISO 19011:2018 MERCOSUR · 2020. 9. 3. · da Norma Internacional ISO 19011:2018,...
80
NORMA MERCOSUR Directrices para la auditoría de los sistemas de gestión (ISO 19011:2018, IDT) Diretrizes para auditoria de sistemas de gestão (ISO 19011:2018, IDT) ASOCIACIÓN MERCOSUR DE NORMALIZACIÓN NM ISO 19011:2018 ADOPCIÓN ADMINISTRATIVA / ADOÇÃO ADMINISTRATIVA ISO 19011 Tercera edición 2018-07 Número de referencia NM ISO 19011
Transcript of NORMA NM ISO 19011:2018 MERCOSUR · 2020. 9. 3. · da Norma Internacional ISO 19011:2018,...
NORMA
MERCOSUR
Directrices para la auditoría de los sistemas de gestión (ISO 19011:2018, IDT) Diretrizes para auditoria de sistemas de gestão (ISO 19011:2018, IDT)
ASOCIACIÓN MERCOSUR DE NORMALIZACIÓN
NM ISO 19011:2018
ADOPCIÓN ADMINISTRATIVA / ADOÇÃO ADMINISTRATIVA
ISO 19011 Tercera edición
2018-07
Número de referencia NM ISO 19011
NM ISO 19011:2018
Índice Prefacio Prefacio ISO 0 Introducción 1 Objeto y campo de aplicación 2 Referencias normativas 3 Términos y definiciones 4 Principios de auditoría 5 Gestión de un programa de auditoría 6 Realización de una auditoría 7 Competencia y evaluación de los auditores Anexo A (informativo) Orientación adicional destinada a los auditores que planifican y realizan las auditorías Bibliografía
Sumário Prefácio Prefácio ISO 0 Introdução 1 Escopo 2 Referências normativas 3 Termos e definições 4 Princípios de auditoria 5 Gerenciando um programa de auditoria 6 Conduzindo uma auditoria 7 Competência e avaliação de auditores Anexo A (informativo) Orientação adicional para auditores planejarem e conduzirem auditorias Bibliografia
NM ISO 19011:2018
Prefacio La AMN - Asociación MERCOSUR de Normalización - tiene por objeto promover y adoptar las acciones para la armonización y la elaboración de las Normas en el ámbito del Mercado Común del Sur - MERCOSUR, y está integrada por los Organismos Nacionales de Normalización de los países miembros. La AMN desarrolla su actividad de normalización por medio de los CSM - Comités Sectoriales MERCOSUR - creados para campos de acción claramente definidos. Las Normas MERCOSUR son elaboradas en acuerdo con las reglas dadas en las Directivas AMN, Parte 2. Los Proyectos de Norma MERCOSUR, elaborados en el ámbito de los CSM, circulan para votación nacional por intermedio de los Organismos Nacionales de Normalización de los países miembros. La homologación como Norma MERCOSUR por parte de la Asociación MERCOSUR de Normalización requiere la aprobación por consenso de sus miembros. Esta Norma MERCOSUR es una traducción idéntica de la Norma Internacional ISO 19011:2018, Guidelines for auditing management systems. La traducción de esta Norma Internacional es de responsabilidad de la Secretaría Central de ISO, como traducción oficial en español por el Grupo de Trabajo Spanish Translation Task Force (STTF) del Comité Técnico ISO/CASCO, avalada por el Translation Management Group. Se solicita atención a la posibilidad de que algunos elementos de este documento puedan ser objeto de derechos de patente. La AMN no es responsable por la identificación de cualquier o tales derechos de patente.
Prefácio A AMN - Asociación MERCOSUR de Normalización - tem por objetivo promover e adotar as ações para a harmonização e a elaboração das normas no âmbito do Mercado Comum do Sul - MERCOSUL, e é integrada pelos Organismos Nacionais de Normalização dos países membros. A AMN desenvolve sua atividade de normalização por meio dos CSM - Comitês Setoriais MERCOSUL - criados para campos de ação claramente definidos. Normas MERCOSUL são elaboradas de acordo com as regras dadas nas Diretivas AMN, Parte 2. Os Projetos de Norma MERCOSUL, elaborados no âmbito dos CSM, circulam para votação nacional por intermédio dos Organismos Nacionais de Normalização dos países membros. A homologação como Norma MERCOSUL por parte da Asociación MERCOSUR de Normalización requer a aprovação por consenso de seus membros. Esta Norma MERCOSUL é uma tradução idêntica da Norma Internacional ISO 19011:2018, Guidelines for auditing management systems. A tradução da Norma Internacional é de responsabilidade da ABNT - Associação Brasileira de Normas Técnicas. Solicita-se atenção para a possibilidade de que alguns elementos deste documento possam ser objetos de direitos de patente. A AMN não é responsável pela identificação de qualquer ou tais direitos de patente.
NM ISO 19011:2018
Prefacio ISO ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica. En la parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar esta norma y para su mantenimiento posterior. En particular debería tomarse nota de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Esta norma se redactó de acuerdo a las reglas editoriales de la parte 2 de las Directivas ISO/IEC (véase www.iso.org/directives). Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el desarrollo de esta norma se indican en la introducción y/o en la lista ISO de declaraciones de patente recibidas (véase www.iso.org/patents). Cualquier nombre comercial utilizado en esta norma es información que se proporciona para comodidad del usuario y no constituye una recomendación. Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones relacionadas con la evaluación de la conformidad, así como información de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a los Obstáculos Técnicos al Comercio (OTC), véase la siguiente dirección: http://www.iso.org/iso/foreword.html. Este documento ha sido elaborado por el Comité de Proyecto ISO/PC 302, Directrices para la auditoría de los sistemas de gestión. Esta tercera edición anula y sustituye a la segunda edición (ISO 19011:2011) que ha sido revisada técnicamente.
Prefácio ISO A ISO (Organização Internacional para Normalização) é uma federação mundial de organismos nacionais de normalização (membros da ISO). O trabalho de preparação de Normas Internacionais é normalmente realizado pelos comitês técnicos da ISO. Cada organismo membro interessado num assunto, para o qual um comitê técnico tenha sido estabelecido, tem o direito de estar representado no comitê em questão. Organizações internacionais que mantenham ligações com a ISO, sejam elas governamentais ou não governamentais, também participam do trabalho. A ISO tem como colaboradora próxima a Comissão Eletrotécnica Internacional (IEC) a respeito de toda a normalização eletrotécnica. Na Diretiva ISO/IEC Parte 1 são descritos os procedimentos utilizados para desenvolver esta norma e sua posterior manutenção. Em particular, deve-se notar os diferentes critérios de aprovação necessários para os distintos tipos de documentos ISO. Esta norma foi elaborada de acordo com as regras estabelecidas na Diretiva IEC/ISO Parte 2 http://www.iso.org/directives. Se chama a atenção para a possibilidade de que alguns dos elementos desta Norma Internacional podem estar sujeitos aos seus direitos de patente. A ISO não é responsável pela identificação de alguns ou de todos estes direitos de patente. Os detalhes sobre qualquer direito de patente identificado durante a elaboração desta norma são indicados na introdução e/ ou na lista da ISO de declarações de patentes recebidas. http://www.iso.org/patents. Qualquer nome comercial utilizado nesta Norma é uma informação para a atenção dos usuários e não constitui uma recomendação. Para obter uma explicação sobre a natureza voluntária dos padrões, o significado dos termos e expressões específicos da ISO relacionados à avaliação de conformidade, bem como informações sobre a adesão da ISO aos princípios da Organização Mundial do Comércio (OMC). Em relação aos Obstáculos Técnicos ao Comércio (TBT), consulte o seguinte endereço: www.iso.org/iso/foreword.html. Este documento foi preparado pelo Comitê de Projetos ISO/PC 302, Diretrizes para a auditoria de sistemas de gestão. Esta terceira edição cancela e substitui a segunda edição (ISO 19011:2011) que foi tecnicamente revisada.
NM ISO 19011:2018
Los cambios principales en comparación con la segunda edición son los siguientes: - adición del enfoque basado en riesgos a los principios de la auditoría; - ampliación de la orientación sobre la gestión de un programa de auditoría, incluyendo el riesgo del programa de auditoría; - ampliación de la orientación sobre la realización de una auditoría, particularmente la sección sobre planificación de la auditoría; - ampliación de los requisitos de competencia genérica para los auditores; - ajuste de la terminología para reflejar el proceso y no el objeto (“cosa”); - eliminación del anexo que contenía los requisitos de competencia para auditar disciplinas específicas de sistemas de gestión (debido al gran número de normas individuales de sistemas de gestión, no sería práctico incluir requisitos de competencia para todas las disciplinas); - ampliación del Anexo A para proporcionar orientación sobre la auditoría de (nuevos) conceptos como el contexto de la organización, el liderazgo y el compromiso, las auditorías virtuales, el cumplimiento y la cadena de suministro.
As principais alterações em comparação com a segunda edição são as seguintes: - adição da abordagem baseada no risco aos princípios da auditoria; - ampliando as orientações sobre a gestão de um programa de auditoria, incluindo o risco do programa de auditoria; - orientação ampliada sobre a condução de uma auditoria, particularmente a seção sobre planejamento de auditoria; - extensão dos requisitos genéricos de competência para os auditores; - ajuste da terminologia para refletir o processo e não o objeto ("coisa"); - eliminação do anexo contendo os requisitos de competência para auditar disciplinas específicas de sistemas de gestão (devido ao grande número de padrões de sistemas de gestão individuais, não seria prático incluir requisitos de competência para todas as disciplinas); - Extensão do Anexo A para fornecer orientação sobre a auditoria de conceitos (novos) como contexto organizacional, liderança e comprometimento, auditorias virtuais, conformidade e cadeia de suprimentos.
NM ISO 19011:2018
0 Introducción Desde la publicación de la segunda edición de este documento en 2011, se han publicado varias normas nuevas de sistemas de gestión, muchas de las cuales tienen una estructura común, requisitos esenciales idénticos y términos comunes y definiciones esenciales. Como resultado, es necesario considerar un enfoque más amplio para la auditoría de los sistemas de gestión, así como de proporcionar una orientación más genérica. Los resultados de las auditorías pueden proporcionar entradas para el aspecto de análisis de la planificación del negocio, y pueden contribuir a la identificación de necesidades y actividades de mejora. Una auditoría puede realizarse con relación a una serie de criterios de auditoría, de manera separada o combinada incluyendo, pero sin limitarse a: - los requisitos definidos en una o más normas de sistemas de gestión; - las políticas y los requisitos especificados por las partes interesadas pertinentes; - los requisitos legales y reglamentarios; - uno o más procesos del sistema de gestión definidos por la organización o por otras partes; - los planes de sistemas de gestión relacionados con la provisión de salidas específicas de un sistema de gestión (por ejemplo, el plan de la calidad, el plan de proyecto). Este documento proporciona orientación para todos los tamaños y tipos de organizaciones y auditorías de distintos alcances y escalas, incluyendo aquellas realizadas por equipos de auditoría grandes, típicamente de organizaciones grandes, y aquellas realizadas por auditores individuales, ya sea en organizaciones grandes o pequeñas. Esta orientación debería adaptarse según sea apropiado al alcance, la complejidad y la escala del programa de auditoría. Este documento se concentra en las auditorías internas (de primera parte) y las auditorías realizadas por las organizaciones a sus proveedores externos y a otras partes interesadas externas (de segunda parte). Este documento también puede ser útil para las auditorías externas realizadas con fines distintos a una certificación de sistemas de gestión de tercera parte. La Norma ISO/IEC 17021-1 proporciona requisitos para la auditoría de sistemas de gestión para la certificación de tercera parte; este documento puede proporcionar orientación adicional de utilidad (véase la Tabla 1).
0 Introdução Desde que a segunda edição deste documento foi publicada, em 2012, diversas normas novas de sistema de gestão foram publicadas, muitas das quais possuindo uma estrutura em comum, requisitos centrais idênticos e termos e definições centrais em comum. Como um resultado, há, agora, a necessidade de se considerar uma abordagem mais ampla para auditar o sistema de gestão, assim como para fornecer orientação que seja mais genérica. Resultados de auditoria podem fornecer entradas para o aspecto de análise de planejamento de negócio e podem contribuir para a identificação de necessidades de melhoria e atividades. Uma auditoria pode ser conduzida em relação a uma gama de critérios de auditoria, separadamente ou em combinação, incluindo, mas não limitados a: - requisitos definidos em uma ou mais normas de sistema de gestão; - políticas e requisitos especificados por partes interessadas pertinentes; - requisitos estatutários e regulamentares; - um ou mais processos de sistema de gestão definidos pela organização ou outras partes; - plano(s) de sistema de gestão relacionado(s) à provisão de saídas específicas de um sistema de gestão (por exemplo, plano de qualidade, plano de projeto). Este documento fornece orientação para todos os tamanhos e tipos de organizações e auditorias de variados escopos e dimensões, incluindo aquelas conduzidas por grandes equipes de auditoria, usualmente de organizações maiores, e aquelas conduzidas por auditores únicos, em organizações grandes ou pequenas. Convém que esta orientação seja adaptada conforme apropriado ao escopo, complexidade e dimensão do programa de auditoria. Este documento concentra-se em auditorias internas (primeira parte) e auditorias conduzidas por organizações em seus fornecedores externos e outras partes interessadas externas (segunda parte). Este documento pode também ser útil para auditorias externas conduzidas para outros fins que não a certificação de terceira parte de sistemas de gestão. A ISO/IEC 17021-1 fornece requisitos para auditoria de sistemas de gestão para certificação de terceira parte; este documento pode fornecer orientação adicional útil (ver Tabela 1).
NM ISO 19011:2018
Tabla 1 - / Tabela 1 – Tipos distintos de auditoría / Diferentes tipos de auditorias
Auditoría de primera parte /
Auditoria de 1a parte Auditoría de segunda parte /
Auditoria de 2a parte Auditoría de tercera parte /
Auditoria de 3a parte
Auditoría interna / Auditoria interna
Auditoría externa de proveedor / Auditoria de fornecedor externo
Auditoría de certificación y/o acreditación / Auditoria de
certificação e/ou acreditação
Otra auditoría externa de parte interesada / Outra auditoria de parte
interessada externa
Auditoría legal, reglamentaria o similar / Auditoria estatutária,
regulamentar e similar
Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de gestión”, pero el lector puede adaptar la implementación de la orientación a su propia situación. Esto también aplica al uso de “persona” y “personas”, “auditor” y “auditores”. Se pretende que este documento se aplique a un amplio rango de usuarios potenciales, incluyendo auditores, organizaciones que implementan sistemas de gestión y organizaciones que necesitan realizar auditorías de sistemas de gestión por razones contractuales o reglamentarias. Sin embargo, los usuarios de este documento pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados con auditorías. La orientación en este documento también puede usarse con el propósito de la autodeclaración, y puede ser útil para organizaciones involucradas en la formación de auditores o en la certificación de personas. La orientación en este documento pretende ser flexible. Como se indica en varios puntos del texto, el uso de esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión de una organización. También deberían considerarse la naturaleza y la complejidad de la organización que se va a auditar, así como los objetivos y el alcance de las auditorías que se van a realizar. Este documento adopta el enfoque de auditoría combinada cuando se auditan juntos dos o más sistemas de gestión de distintas disciplinas. Cuando estos sistemas están integrados en un único sistema de gestión, los principios y procesos de auditoría son los mismos que para una auditoría combinada (a veces, llamada auditoría integrada). Este documento proporciona orientación sobre la gestión de un programa de auditoría, sobre la planificación y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la evaluación de un auditor y un equipo auditor.
Para simplificar a legibilidade deste documento, a forma singular de “sistema de gestão” é preferida, mas o leitor pode adaptar a implementação da orientação para sua própria situação. Isso também é aplicável ao uso de “pessoa” e “pessoas”, “auditor” e “auditores”. Este documento é destinado a ser aplicado a uma ampla gama de potenciais usuários, incluindo auditores, organizações que implementam sistemas de gestão e organizações que necessitam conduzir auditorias de sistemas de gestão por razões contratuais ou regulamentares. Usuários deste documento podem, no entanto, aplicar esta orientação para desenvolver seus próprios requisitos relacionados à auditoria. A orientação contida neste documento pode também ser usada para o propósito de autodeclaração, e pode ser útil para organizações envolvidas em treinamento de auditores ou certificação de pessoal. A orientação contida neste documento é destinada a ser flexível. Conforme indicado em vários pontos no texto, o uso desta orientação pode variar, dependendo do tamanho e do nível de maturidade do sistema de gestão de uma organização. Convém também que sejam consideradas a natureza e a complexidade da organização a ser auditada, assim como os objetivos e o escopo das auditorias a serem conduzidas. Este documento adota a abordagem de auditoria combinada, quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados em conjunto. Quando estes sistemas são integrados em um sistema de gestão único, os princípios e processos de auditoria são os mesmos que para uma auditoria combinada (às vezes conhecida como uma auditoria integrada). Este documento fornece orientação para o gerenciamento de um programa de auditoria, sobre o planejamento e a condução de auditoria de sistemas de gestão, assim como sobre a competência e a avaliação de um auditor e de uma equipe de auditoria.
NM ISO 19011:2018
1
Directrices para la auditoría de los sistemas de gestión (ISO 19011:2018, IDT)
Diretrizes para auditoria de sistemas de gestão
(ISO 19011:2018, IDT)
1 Objeto y campo de aplicación Este documento proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas de gestión, así como orientación sobre la evaluación de la competencia de las personas que participan en el proceso de auditoría. Estas actividades incluyen a las personas responsables de la gestión del programa de auditoría, los auditores y los equipos auditores. Es aplicable a todas las organizaciones que necesitan planificar y realizar auditorías internas o externas de sistemas de gestión, o gestionar un programa de auditoría. La aplicación de este documento a otros tipos de auditorías es posible, siempre que se preste especial atención a la competencia específica necesaria. 2 Referencias normativas No hay referencias normativas en este documento. 3 Términos y definiciones Para los fines de este documento, se aplican los términos y definiciones siguientes. ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes direcciones: - Plataforma de búsqueda en línea de ISO: disponible en https://www.iso.org/obp - Electropedia de IEC: disponible en http://www.electropedia.org/ 3.1 auditoría proceso sistemático, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría (3.7) NOTA 1 a la entrada: Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se realizan por, o en nombre de la propia organización.
1 Escopo Este documento fornece orientação sobre a auditoria de sistemas de gestão, incluindo os princípios de auditoria, a gestão de um programa de auditoria e a condução de auditoria de sistemas de gestão, como também orientação sobre a avaliação de competência de pessoas envolvidas no processo de auditoria. Estas atividades incluem a(s) pessoa(s) que gerencia(m) o programa de auditoria, os auditores e a equipe de auditoria. Ele é aplicável a todas as organizações que necessitam planejar e conduzir auditorias internas ou externas de sistemas de gestão ou gerenciar um programa de auditoria. A aplicação deste documento para outros tipos de auditorias é possível, desde que seja dada consideração especial para a necessidade de competência específica. 2 Referências normativas Não há referêncas normativas neste documento. 3 Termos e definições Para os efeitos deste documento, aplicam-se os seguintes termos e definições. A ISO e a IEC mantêm bases de dados terminológicas para uso em normalização nos seguintes endereços: - ISO Online Browsing Platform: disponível em https://www.iso.org/obp - IEC Electropedia: disponível em http://www.electropedia.org/ 3.1 auditoria processo sistemático, independente e documentado para obter evidência objetiva (3.8) e avaliá-la objetivamente, para determinar a extensão na qual os critérios de auditoria (3.7) são atendidos NOTA 1 de entrada: Auditorias internas, algumas vezes chamadas de auditorias de primeira parte, são conduzidas pela própria, ou em nome da própria, organização.
NM ISO 19011:2018
2
NOTA 2 a la entrada: Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización, tales como los clientes o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes, tales como las que otorgan la certificación/registro de conformidad o agencias gubernamentales. [FUENTE: ISO 9000:2015, 3.13.1, modificada - las Notas a la entrada han sido modificadas] 3.2 auditoría combinada auditoría (3.1) llevada a cabo conjuntamente a un único auditado (3.13) en dos o más sistemas de gestión (3.18) NOTA 1 a la entrada: Se conoce como sistema de gestión integrado cuando dos o más sistemas de gestión específicos de una disciplina se integran en un único sistema de gestión. [FUENTE: ISO 9000:2015, 3.13.2, modificada] 3.3 auditoría conjunta auditoría (3.1) llevada a cabo a un único auditado (3.13) por dos o más organizaciones auditoras [FUENTE: ISO 9000:2015, 3.13.3] 3.4 programa de auditoría acuerdos para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico [FUENTE: ISO 9000:2015, 3.13.4, modificada - se ha añadido texto a la definición] 3.5 alcance de la auditoría extensión y límites de una auditoría (3.1). NOTA 1 a la entrada: El alcance de la auditoría incluye generalmente una descripción de las ubicaciones físicas y virtuales, las funciones, las unidades de la organización, las actividades y los procesos, así como el periodo de tiempo cubierto. NOTA 2 a la entrada: Una ubicación virtual es un lugar donde la organización desempeña trabajo o presta un servicio usando un entorno en línea que permite a las personas ejecutar procesos con independencia de su ubicación física. [FUENTE: ISO 9000:2015, 3.13.5, modificada - se ha modificado la Nota 1 a la entrada, se ha añadido la Nota 2 a la entrada] 3.6 plan de auditoría descripción de las actividades y de los detalles acordados de una auditoría (3.1) [FUENTE: ISO 9000:2015, 3.13.6]
NOTA 2 de entrada: Auditorias externas incluem aquelas geralmente chamadas de auditorias de segunda e terceira partes. Auditorias de segunda parte são conduzidas por partes que têm um interesse na organização, como clientes, ou por outras pessoas em seu nome. Auditorias de terceira parte são conduzidas por organizações de auditoria independentes, como aquelas que fornecerem certificação/registro de conformidade, ou por agências governamentais. [ISO 9000:2015, 3.13.1, modificada - Notas de entrada foram modificadas] 3.2 auditoria combinada auditoria (3.1) realizada em um único auditado (3.13), em dois ou mais sistemas de gestão (3.18) NOTA 1 de entrada: Quando sistemas de gestão de duas ou mais disciplinas específicas são integrados em um único sistema de gestão, isso é conhecido como um sistema de gestão integrado. [ISO 9000:2015, 3.13.2, modificada] 3.3 auditoria conjunta auditoria (3.1) realizada em um único auditado (3.13), por duas ou mais organizações de auditoria [ISO 9000:2015, 3.13.3] 3.4 programa de auditoria arranjos para um conjunto de uma ou mais auditorias (3.1), planejado para um período de tempo específico e direcionado a um propósito específico [ISO 9000:2015, 3.13.4, modificada - texto foi inserido à definição] 3.5 escopo da auditoria abrangência e limites de uma auditoria (3.1) NOTA 1 de entrada: O escopo da auditoria geralmente inclui uma descrição dos locais físicos e virtuais, funções, unidades organizacionais, atividades e processos, assim como o período de tempo coberto. NOTA 2 de entrada: Um local virtual é onde uma organização realiza trabalho ou fornece um serviço usando um ambiente on-line, permitindo que pessoas executem processos independentemente de locais físicos. [ISO 9000:2015, 3.13.5, modificada - Nota 1 de entrada foi modificada e Nota 2 de entrada foi inserida] 3.6 plano de auditoria descrição das atividades e arranjos para uma auditoria (3.1) [ISO 9000:2015, 3.13.6]
NM ISO 19011:2018
3
3.7 criterios de auditoría conjunto de requisitos (3.23) usados como referencia frente a la cual se compara la evidencia objetiva (3.8) NOTA 1 a la entrada: Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios), las palabras “cumplimiento” o “no cumplimiento” se utilizan a menudo en los hallazgos de la auditoría (3.10). NOTA 2 a la entrada: Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos legales, obligaciones contractuales, etc. [FUENTE: ISO 9000:2015, 3.13.7, modificada - se ha cambiado la definición y se han añadido las Notas 1 y 2 a la entrada] 3.8 evidencia objetiva datos que respaldan la existencia o veracidad de algo NOTA 1 a la entrada: La evidencia objetiva puede obtenerse por medio de la observación, medición, ensayo o por otros medios. NOTA 2 a la entrada: La evidencia objetiva con fines de auditoría (3.1) generalmente se compone de registros, declaraciones de hechos u otra información que son pertinentes para los criterios de auditoría (3.7) y verificables. [FUENTE: ISO 9000:2015, 3.8.3] 3.9 evidencia de la auditoría registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría (3.7) y que es verificable [FUENTE: ISO 9000:2015, 3.13.8] 3.10 hallazgos de la auditoría resultados de la evaluación de la evidencia de la auditoría (3.9) recopilada frente a los criterios de auditoría (3.7) NOTA 1 a la entrada: Los hallazgos de la auditoría indican conformidad (3.20) o no conformidad (3.21). NOTA 2 a la entrada: Los hallazgos de la auditoría pueden conducir a la identificación de riesgos, oportunidades para la mejora o el registro de buenas prácticas. NOTA 3 a la entrada: En inglés, si los criterios de auditoría se seleccionan de entre los requisitos legales o los requisitos reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o no cumplimiento. [FUENTE: ISO 9000:2015, 3.13.9, modificada - se han modificado las Notas 2 y 3 a la entrada] 3.11 conclusiones de la auditoría resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría (3.10) [FUENTE: ISO 9000:2015, 3.13.10]
3.7 critérios de auditoria conjunto de requisitos (3.23) usados como uma referência com a qual a evidência objetiva (3.8) é comparada NOTA 1 de entrada: Se os critérios de auditoria forem requisitos legais (incluindo estatutários ou regulamentares), as expressões “compliance” ou “não compliance” são frequentemente usadas em uma constatação de auditoria (3.10). NOTA 2 de entrada: Requisitos podem incluir políticas, procedimentos, instruções de trabalho, requisitos legais, obrigações contratuais etc. [ISO 9000:2015, 3.13.7, modificada - a definição foi modificada e as Notas 1 e 2 de entrada foram inseridas] 3.8 evidência objetiva dados que apoiam a existência ou a veracidade de alguma coisa NOTA 1 de entrada: Evidência objetiva pode ser obtida por observação, medição, ensaio ou outros meios. NOTA 2 de entrada: Evidência objetiva para o propósito de auditoria (3.1) geralmente consiste em registros, declarações de um fato ou outra informação que seja pertinente para os critérios de auditoria (3.7) e verificável. [ISO 9000:2015, 3.8.3] 3.9 evidência de auditoria registros, apresentação de fatos ou outras informações pertinentes aos critérios de auditoria (3.7) e verificáveis [ISO 9000:2015, 3.13.8] 3.10 constatações de auditoria resultados da avaliação de evidência de auditoria (3.9) coletada, comparada com os critérios de auditoria (3.7) NOTA 1 de entrada: Constatações de auditoria indicam conformidade (3.20) ou não conformidade (3.21). NOTA 2 de entrada: Constatações de auditoria podem conduzir à identificação de riscos, oportunidades para melhoria ou registro de boas práticas. NOTA 3 de entrada: Em inglês, se os critérios de auditoria forem selecionados de requisitos estatutários ou requisitos regulamentares, a constatação de auditoria pode ser denominada “compliance” ou “não compliance”. [ISO 9000:2015, 3.13.9, modificada - as Notas 2 e 3 de entrada foram modificadas] 3.11 conclusão de auditoria resultado de uma auditoria (3.1), após levar em consideração os objetivos de auditoria e todas as constatações de auditoria (3.10) [ISO 9000:2015, 3.13.10]
NM ISO 19011:2018
4
3.12 cliente de la auditoría organización o persona que solicita una auditoría (3.1) NOTA 1 a la entrada: En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado (3.13) o las personas que gestionan el programa de auditoría. Las solicitudes de una auditoría externa pueden provenir de fuentes como autoridades reglamentarias, partes contratantes o clientes existentes o potenciales. [FUENTE: ISO 9000:2015, 3.13.11, modificada - se ha añadido la Nota 1 a la entrada] 3.13 auditado organización que es auditada en su totalidad o partes [FUENTE: ISO 9000:2015, 3.13.12, modificada] 3.14 equipo auditor una o más personas que llevan a cabo una auditoría (3.1) con el apoyo, si es necesario, de expertos técnicos (3.16) NOTA 1 a la entrada: A un auditor (3.15) del equipo auditor (3.14) se le designa como auditor líder del mismo. NOTA 2 a la entrada: El equipo auditor puede incluir auditores en formación. [FUENTE: ISO 9000:2015, 3.13.14] 3.15 auditor persona que lleva a cabo una auditoría (3.1) [FUENTE: ISO 9000:2015, 3.13.15] 3.16 experto técnico <auditoría> persona que aporta conocimientos o experiencia específicos al equipo auditor (3.14) NOTA 1 a la entrada: El conocimiento o pericia específicos se relacionan con la organización, la actividad, el proceso, el producto, el servicio, la disciplina a auditar, o el idioma o la cultura. NOTA 2 a la entrada: Un experto técnico del equipo auditor (3.14) no actúa como un auditor (3.15). [FUENTE: ISO 9000:2015, 3.13.16, modificada - se han modificado las Notas 1 y 2 a la entrada] 3.17 observador persona que acompaña al equipo auditor (3.14) pero no actúa como un auditor (3.15) [FUENTE: ISO 9000:2015, 3.13.17, modificada]
3.12 cliente de auditoria organização ou pessoa que solicita uma auditoria (3.1) Nota 1 de entrada: No caso de auditoria interna, o cliente de auditoria pode também ser o auditado (3.13) ou a(s) pessoa(s) que gerencia(m) o programa de auditoria. Solicitações para auditoria externa podem vir de fontes como reguladores, partes contratantes ou clientes potenciais ou existentes. [ISO 9000:2015, 3.13.11, modificada - Nota 1 de entrada foi inserida] 3.13 auditado organização como um todo ou suas partes, que está sendo auditada [ISO 9000:2015, 3.13.12, modificada] 3.14 equipe de auditoria uma ou mais pessoas que realizam uma auditoria (3.1), apoiadas, se necessário, por especialistas (3.16) Nota 1 de entrada: Um auditor (3.15) da equipe de auditoria (3.14) é indicado como o líder da equipe de auditoria. Nota 2 de entrada: A equipe de auditoria pode incluir auditores em treinamento. [ISO 9000:2015, 3.13.14] 3.15 auditor pessoa que realiza uma auditoria (3.1) [ISO 9000:2015, 3.13.15] 3.16 especialista <auditoria> pessoa que provê conhecimento ou experiência específicos para a equipe de auditoria (3.14) Nota 1 de entrada: Conhecimento ou experiência específicos são relativos à organização, atividade, processo, produto, serviço, disciplina a ser auditada ou idioma ou cultura. Nota 2 de entrada: Um especialista para a equipe de auditoria (3.14) não atua como um auditor (3.15). [ISO 9000:2015, 3.13.16 - Notas 1 e 2 de entrada foram modificadas] 3.17 observador pessoa que acompanha a equipe de auditoria (3.14), mas não atua como auditor (3.15) [ISO 9000:2015, 3.13.17, modificada]
NM ISO 19011:2018
5
3.18 sistema de gestión conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos y procesos (3.24) para lograr estos objetivos NOTA 1 a la entrada: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas, por ejemplo, gestión de la calidad, gestión financiera o gestión ambiental. NOTA 2 a la entrada: Los elementos del sistema de gestión establecen la estructura de la organización, los roles y las responsabilidades, la planificación, la operación, las políticas, las prácticas, las reglas, las creencias, los objetivos y los procesos para lograr esos objetivos. NOTA 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones dentro de un grupo de organizaciones. [FUENTE: ISO 9000:2015, 3.5.3, modificada - se ha eliminado la Nota 4 a la entrada] 3.19 riesgo efecto de la incertidumbre NOTA 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo. NOTA 2 a la entrada: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la comprensión o conocimiento de un evento, su consecuencia o su probabilidad. NOTA 3 a la entrada: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (según se define en la Guía ISO 73:2009, 3.5.1.3) y consecuencias (según se define en la Guía ISO 73:2009, 3.6.1.3), o a una combinación de éstos. NOTA 4 a la entrada: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un evento (incluidos cambios en las circunstancias) y la probabilidad (según se define en la Guía ISO 73:2009, 3.6.1.1) asociada de que ocurra. [FUENTE: ISO 9000:2015, 3.7.9, modificada - se han eliminado las Notas 5 y 6 a la entrada] 3.20 conformidad cumplimiento de un requisito (3.23) [FUENTE: ISO 9000:2015, 3.6.11, modificada - se ha eliminado la Nota 1 a la entrada] 3.21 no conformidad incumplimiento de un requisito (3.23) [FUENTE: ISO 9000:2015, 3.6.9, modificada - se ha eliminado la Nota 1 a la entrada] 3.22 competencia capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos [FUENTE: ISO 9000:2015, 3.10.4, modificada - se han eliminado las Notas a la entrada]
3.18 sistema de gestão conjunto de elementos inter-relacionados ou interativos de uma organização, para estabelecer políticas, objetivos e processos (3.24) para alcançar estes objetivos Nota 1 de entrada: Um sistema de gestão pode abordar uma única disciplina ou várias disciplinas, por exemplo, gestão da qualidade, gestão financeira ou gestão ambiental. Nota 2 de entrada: Os elementos do sistema de gestão estabelecem a estrutura, papéis e responsabilidades, planejamento, operação, políticas, práticas, regras, crenças, objetivos da organização e processos para alcançar estes objetivos. Nota 3 de entrada: O escopo de um sistema de gestão pode incluir a totalidade da organização, funções específicas e identificadas da organização, seções específicas e identificadas da organização, ou uma ou mais funções executadas por mais de uma organização. [ISO 9000:2015, 3.5.3, modificada - Nota 4 de entrada foi excluída] 3.19 risco efeito de incerteza Nota 1 de entrada: Um efeito é um desvio do esperado - positivo ou negativo. Nota 2 de entrada: Incerteza é o estado, ainda que parcial, de deficiência de informação, de compreensão e conhecimento relacionado a um evento, sua consequência ou sua probabilidade. Nota 3 de entrada: Risco é frequentemente caracterizado pela referência a “eventos” potenciais (como definido no ISO Guia 73:2009, 3.5.1.3) e “consequências” (como definido no ISO Guia 73:2009, 3.6.1.3), ou uma combinação destes. Nota 4 de entrada: Risco é frequentemente expresso em termos de uma combinação das consequências de um evento (incluindo mudanças em circunstâncias) e da “probabilidade” associada (como definido no ISO Guia 73:2009, 3.6.1.1) de ocorrências. [ISO 9000:2015, 3.7.9, modificada - Notas 5 e 6 de entrada foram excluídas] 3.20 conformidade atendimento de um requisito (3.23) [ISO 9000:2015, 3.6.11, modificada - Nota 1 de entrada foi excluída] 3.21 não conformidade não atendimento de um requisito (3.23) [ISO 9000:2015, 3.6.9, modificada - Nota 1 de entrada foi excluída] 3.22 competência capacidade de aplicar conhecimento e habilidades para alcançar resultados pretendidos [ISO 9000:2015, 3.10.4, modificada - Notas de entrada foram excluídas]
NM ISO 19011:2018
6
3.23 requisito necesidad o expectativa establecida, generalmente implícita u obligatoria NOTA 1 a la entrada: “Generalmente implícita” significa que es habitual o práctica común para la organización y las partes interesadas el que la necesidad o expectativa bajo consideración está implícita. NOTA 2 a la entrada: Un requisito especificado es aquel que está establecido, por ejemplo, en información documentada. [FUENTE: ISO 9000:2015, 3.6.4, modificada - se han eliminado las Notas 3, 4, 5 y 6 a la entrada] 3.24 proceso conjunto de actividades mutuamente relacionadas que utilizan las entradas para proporcionar un resultado previsto [FUENTE: ISO 9000:2015, 3.4.1, modificada - se han eliminado las Notas a la entrada] 3.25 desempeño resultado medible NOTA 1 a la entrada: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos. NOTA 2 a la entrada: El desempeño se puede relacionar con la gestión de actividades, procesos (3.24), productos, servicios, sistemas u organizaciones. [FUENTE: ISO 9000:2015, 3.7.8, modificada - se ha eliminado la Nota 3 a la entrada] 3.26 eficacia grado en el que se realizan las actividades planificadas y se logran los resultados planificados [FUENTE: ISO 9000:2015, 3.7.11, modificada - se ha eliminado la Nota 1 a la entrada] 4 Principios de auditoría La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño. La adhesión a esos principios es un requisito previo para proporcionar conclusiones de la auditoría que sean pertinentes y suficientes, y para permitir a los auditores, que trabajan independientemente, alcanzar conclusiones similares en circunstancias similares. La orientación dada en los Capítulos 5 a 7 se basa en los siete principios señalados a continuación.
3.23 requisito necessidade ou expectativa que é declarada, geralmente implícita ou obrigatória Nota 1 de entrada: “Geralmente implícita” significa que é costume ou prática comum para a organização e partes interessadas que a necessidade ou expectativa sob consideração esteja implícita. Nota 2 de entrada: Um requisito especificado é aquele que é declarado, por exemplo, em informação documentada. [ISO 9000:2015 3.6.4 - Notas 3, 4, 5 e 6 de entrada foram excluídas] 3.24 processo conjunto de atividades inter-relacionadas ou interativas que utilizam entradas para entregar um resultado pretendido [ISO 9000:2015, 3.4.1, modificada - Notas de entrada foram excluídas] 3.25 desempenho resultado mensurável Nota 1 de entrada: Desempenho pode se relacionar tanto às constatações quantitativas como às qualitativas. Nota 2 de entrada: Desempenho pode se relacionar à gestão de atividades, processos (3.24), produtos, serviços, sistemas ou organizações. [ISO 9000:2015, 3.7.8 - Nota 3 de entrada foi excluída] 3.26 eficácia extensão na qual atividades planejadas são realizadas e resultados planejados são alcançados [ISO 9000:2015, 3.7.11 - Nota 1 de entrada foi excluída] 4 Princípios de auditoria A auditoria é caracterizada pela confiança em diversos princípios. Convém que estes princípios ajudem a tornar a auditoria uma ferramenta eficaz e confiável, em apoio às políticas e controles de gestão, fornecerndo informações sobre as quais uma organização pode agir para melhorar seu desempenho. Aderência a estes princípios é um pré-requisito para serem fornecedias conclusões de auditoria que sejam pertinentes e suficientes, e para permitir que auditores trabalhando independentemente entre si cheguem a conclusões similares em circunstâncias similares. As orientações dadas nas Seções 5 a 7 são baseadas nos setes princípios apresentados abaixo.
NM ISO 19011:2018
7
a) Integridad: el fundamento de la profesionalidad Los auditores y las personas que gestionan un programa de auditoría deberían: - desempeñar su trabajo de forma ética, con honestidad y responsabilidad; - emprender actividades de auditoría sólo si son competentes para hacerlo; - desempeñar su trabajo de manera imparcial, es decir, permanecer ecuánimes y sin sesgo en todas sus acciones; - ser sensibles a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo una auditoría. b) Presentación imparcial: la obligación de informar con veracidad y exactitud Los hallazgos, conclusiones e informes de la auditoría deberían reflejar con veracidad y exactitud las actividades de auditoría. Se debería informar de los obstáculos significativos encontrados durante la auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado. La comunicación debería ser veraz, exacta, objetiva, oportuna, clara y completa. c) Debido cuidado profesional: la aplicación de diligencia y juicio al auditar Los auditores deberían proceder con el debido cuidado, de acuerdo con la importancia de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes interesadas. Un factor importante al realizar su trabajo con el debido cuidado profesional es tener la capacidad de hacer juicios razonados en todas las situaciones de la auditoría. d) Confidencialidad: seguridad de la información Los auditores deberían proceder con discreción en el uso y la protección de la información adquirida en el curso de sus tareas. La información de la auditoría no debería usarse inapropiadamente para beneficio personal del auditor o del cliente de la auditoría, o de modo que perjudique los intereses legítimos del auditado. Este concepto incluye el tratamiento apropiado de la información sensible o confidencial. e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría Los auditores deberían ser independientes de la actividad que se audita siempre que sea posible, y
a) Integridade: o fundamento do profissionalismo Convém que os auditores e a(s) pessoa(s) que gerenciam um programa de auditoria: - desempenhem seu trabalho eticamente, com honestidade e responsabilidade; - somente realizem atividades de auditoria se forem competentes para isso; - realizem seu trabalho de uma maneira imparcial, isto é, mantenham-se justos e sem tendenciosidade em todas as suas interações; - desempenhem sensíveis a quaisquer influências que possam ser exercidas sobre o seu julgamento enquanto estiverem realizando uma auditoria. b) Apresentação justa: a obrigação de reportar com veracidade e exatidão Convém que as constatações de auditoria, conclusões de auditoria e relatórios de auditoria reflitam com veracidade e precisão as atividades de auditoria. Convém que os obstáculos significativos encontrados durante a auditoria e não resolvidos por divergência de opiniões entre a equipe de auditoria e o auditado sejam reportados. Convém que a comunicação seja verdadeira, precisa, objetiva, em tempo hábil, clara e completa. c) Devido cuidado profissional: a aplicação de diligência e julgamento em auditoria Convém que os auditores exerçam o devido cuidado de acordo com a importância da tarefa que eles executam e com a confiança neles depositada pelo cliente de auditoria e por outras partes interessadas. Um fator importante na realização do seu trabalho com devido cuidado profissional é ter a capacidade de fazer julgamentos ponderados em todas as situações de auditoria. d) Confidencialidade: segurança de informação Convém que os auditores tenham discrição no uso e proteção das informações obtidas no curso de suas obrigações. Convém que a informação de auditoria não seja usada de forma inapropriada para ganhos pessoais pelo auditor ou pelo cliente de auditoria, ou de uma maneira prejudicial para os legítimos interesses do auditado. Este conceito inclui o manuseio apropriado de informação sensível ou confidencial. e) Independência: a base para a imparcialidade da auditoria e objetividade das conclusões de auditoria Convém que os auditores sejam independentes da atividade que está sendo auditada quando for
NM ISO 19011:2018
8
en todos los casos deberían actuar de una manera libre de sesgo y conflicto de intereses. Para las auditorías internas, los auditores deberían ser independientes de la función que se audita, si es posible. Los auditores deberían mantener la objetividad a lo largo del proceso de auditoría para asegurarse de que los hallazgos y las conclusiones de la auditoría están basados sólo en la evidencia de la auditoría. Para las organizaciones pequeñas, puede que no sea posible que los auditores internos sean completamente independientes de la actividad que se audita, pero deberían hacerse todos los esfuerzos para eliminar el sesgo y fomentar la objetividad. f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones de la auditoría fiables y reproducibles en un proceso de auditoría sistemático La evidencia de la auditoría debería ser verificable. En general debería basarse en muestras de la información disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo delimitado y con recursos finitos. Debería aplicarse un uso apropiado del muestreo, ya que está estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la auditoría. g) Enfoque basado en riesgos: un enfoque de auditoría que considera los riesgos y oportunidades El enfoque basado en riesgos debería influir sustancialmente en la planificación, la realización y la presentación de informes de auditoría a fin de asegurar que las auditorías se centran en asuntos que son importantes para el cliente de la auditoría y para alcanzar los objetivos del programa de auditoría. 5 Gestión de un programa de auditoría 5.1 Generalidades Debería establecerse un programa de auditoría que puede incluir auditorías que traten una o más normas de sistemas de gestión u otros requisitos, realizadas por separado o en combinación (auditoría combinada). La extensión de un programa de auditoría debería basarse en el tamaño y la naturaleza del auditado, así como en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de madurez de los sistemas de gestión que se van a auditar.
praticável, e convém que ajam em todas as situações de um tal modo que estejam livres de tendenciosidade e conflitos de interesse. Para auditorias internas, convém que os auditores sejam independentes da função que está sendo auditada, se praticável. Convém que os auditores mantenham objetividade ao longo do processo de auditoria para assegurar que as constatações e conclusões de auditoria sejam baseadas apenas nas evidências de auditoria. Para pequenas organizações, pode não ser possível que auditores internos tenham total independência da atividade que está sendo auditada, porém convém que seja feito todo o esforço para remover a tendenciosidade e encorajar a objetividade. f) Abordagem baseada em evidência: o método racional para alcançar conclusões de auditoria confiáveis e reprodutíveis em um processo sistemático de auditoria. Convém que a evidência de auditoria seja verificável. Convém que no geral ela seja baseada em amostras da informação disponíveis, uma vez que uma auditoria é conduzida durante um período de tempo finito e com recursos limitados. Convém que o uso apropriado de amostras seja aplicado, uma vez que esta situação está intimamente relacionada à confiança que pode ser depositada nas conclusões de auditoria. g) Abordagem baseada em risco: uma abordagem de auditoria que considera riscos e oportunidades Convém que a abordagem baseada em risco influencie substancialmente o planejamento, a condução e o relato de auditorias, para assegurar que as auditorias sejam focadas em assuntos que sejam significativos para o cliente de auditoria e para alcançar os objetivos do programa de auditoria. 5 Gerenciando um programa de auditoria 5.1 Generalidades Convém que um programa de auditoria seja estabelecido, o qual pode incluir auditorias que abordem uma ou mais normas de sistema de gestão ou outros requisitos, conduzidas separadamente ou em combinação (auditoria combinada). Convém que a extensão de um programa de auditoria seja baseada no tamanho e natureza do auditado, assim como na natureza, funcionalidade, complexidade, tipo de riscos e oportunidades e nível de maturidade do(s) sistema(s) de gestão a ser(em) auditado(s).
NM ISO 19011:2018
9
La funcionalidad del sistema de gestión puede ser aún más compleja si la mayoría de las funciones importantes están contratadas externamente y se gestionan bajo el liderazgo de otras organizaciones. Es necesario prestar especial atención dónde se toman las decisiones más importantes y qué constituye la alta dirección del sistema de gestión. En el caso de múltiples ubicaciones/sedes (por ejemplo diferentes países), o cuando hay funciones importantes contratadas externamente y gestionadas bajo el liderazgo de otra organización, debería prestarse especial atención al diseño, la planificación y la validación del programa de auditoría. En el caso de organizaciones más pequeñas o menos complejas, el programa de auditoría puede escalarse apropiadamente. A fin de comprender el contexto del auditado, el programa de auditoría debería tener en cuenta del auditado: - los objetivos organizacionales; - las cuestiones externas e internas pertinentes; - las necesidades y expectativas de las partes interesadas pertinentes; - los requisitos de seguridad y confidencialidad de la información. La planificación de los programas de auditoría interna y, en algunos casos, los programas para auditar a los proveedores externos, pueden prepararse para contribuir a otros objetivos de la organización. Las personas responsables de la gestión del programa de auditoría deberían asegurase de que se mantiene la integridad de la auditoría y de que no se ejerce una influencia indebida sobre la auditoría. Debería darse prioridad de auditoría a la asignación de recursos y métodos para los asuntos de un sistema de gestión con los riesgos inherentes más altos y con los niveles de desempeño más bajos. Deberían asignarse personas competentes para gestionar el programa de auditoría. El programa de auditoría debería incluir la información e identificar los recursos que permitan que las auditorías se realicen de forma eficaz y eficiente dentro de los periodos de tiempo especificados. Esta información debería incluir lo siguiente:
A funcionalidade do sistema de gestão pode ser ainda mais complexa quando a maioria das funções importantes é terceirizada e gerenciada sob a liderança de outras organizações. É necessário prestar especial atenção ao local onde as decisões mais importantes são tomadas e ao que constitui a Alta Direção do sistema de gestão. No caso de múltiplos locais/sites (por exemplo, países diferentes), ou quando importantes funções forem terceirizadas e gerenciadas sob a liderança de uma outra organização, convém que seja dada especial atenção ao projeto, planejamento e validação do programa de auditoria. No caso de organizações menores ou menos complexas, o programa de auditoria pode ser dimensionado apropriadamente. Para entender o contexto do auditado, convém que o programa de auditoria leve em conta: - objetivos organizacionais; - questões externas e internas pertinentes do auditado; - necessidades e expectativas de partes interessadas pertinentes; - requisitos de segurança e confidencialidade da informação. O planejamento de programas de auditorias internas e, em alguns casos de programas, para auditar fornecedores externos pode ser arranjado para contribuir com outros objetivos da organização. Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria assegure(m) que a integridade da auditoria seja mantida e que não haja influência indevida exercida sobre a auditoria. Convém que seja dada prioridade de auditoria para alocar recursos e métodos a assuntos em um sistema de gestão com mais alto risco inerente e mais baixo nível de desempenho. Convém que pessoas competentes sejam designadas para gerenciar o programa de auditoria. Convém que o programa de auditoria inclua informação e identifique recursos para permitir que as auditorias sejam conduzidas de forma eficaz e eficiente dentro dos prazos especificados. Convém que a informação inclua:
NM ISO 19011:2018
10
a) objetivos para el programa de auditoría; b) riesgos y oportunidades asociados con el programa de auditoría (véase 5.3) y las acciones para abordarlos; c) alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría; d) calendario (número/duración/frecuencia) de las auditorías; e) tipos de auditoría, tales como internas o externas; f) criterios de auditoría; g) métodos de auditoría a emplear; h) criterios para seleccionar a los miembros del equipo auditor; i) información documentada pertinente. Parte de esta información puede no estar disponible hasta que se complete una planificación de auditoría más detallada. La implementación del programa de auditoría debería seguirse y medirse, de manera continua (véase 5.6), para asegurarse de que se han alcanzado sus objetivos. El programa de auditoría debería revisarse a fin de identificar necesidades de cambios y posibles oportunidades para la mejora (véase 5.7). La Figura 1 ilustra el flujo del proceso para la gestión de un programa de auditoría.
a) objetivos para o programa de auditoria; b) riscos e oportunidades associados ao programa de auditoria (ver 5.3) e ações para abordá-los; c) escopo (extensão, limites, locais) de cada auditoria no programa de auditoria; d) agendamento (número/duração/frequência) das auditorias; e) tipos de auditoria, como interna ou externa; f) critérios de auditoria; g) métodos de auditoria a serem empregados; h) critérios para selecionar membros de equipe de auditoria; i) informação documentada pertinente. Parte desta informação pode não estar disponível até que o planejamento mais detalhado de auditoria esteja completo. Convém que a implementação do programa de auditoria seja monitorada e medida em uma base contínua (ver 5.6), para assegurar que seus objetivos tenham sido alcançados. Convém que o programa de auditoria seja analisado criticamente para identificar necessidades de mudanças e possíveis oportunidades para melhorias (ver 5.7). A Figura 1 ilustra o fluxo de processo para o gerenciamento de um programa de auditoria.
NM ISO 19011:2018
11
NOTA 1 Esta figura ilustra la aplicación del ciclo Planificar-Hacer-Verificar-Actuar en este documento. NOTA 2 La numeración de los capítulos/apartados hace referencia a los capítulos/apartados pertinentes de este documento.
NOTA 1 Esta figura ilustra a aplicação do ciclo Plan-Do-Check-Act (Planejar-Fazer-Checar-Agir) neste documento. NOTA 2 A numeração da seção/subseção se refere às seções/subseções pertinentes deste documento.
Figura 1 – Diagrama de flujo para la gestión de un programa de auditoria /
Fluxo do processo para gerenciamento de um programa de auditoria
5.2 Establecimiento de los objetivos del programa de auditoría / Estabelecendo objetivos do programa de
auditoria
5.3 Determinación y evaluación de los riesgos y oportunidades del programa de auditoría / Determinando
e avaliando riscos e oportunidades do programa
de auditoria
5.4 Establecimiento del programa de auditoría /
Estabelecendo o programa de auditoria
5.5 Implementación del programa de auditoría /
Implementando o programa de auditoria
5.6 Seguimiento del programa de auditoría / Monitorando o programa
de auditoria
5.2 Establecimiento de los objetivos del programa de auditoría / Estabelecendo objetivos do programa de
auditoria
6.2 Início de la auditoría / Iniciando a auditoria
6.3 Preparación de las actividades de auditoría / Preparando atividades da
auditoria
6.4 Realización de las actividades de auditoría / Conduzindo as atividades
da auditoria
6.7 Realización de las actividades de
seguimimento de una auditoría / Conduzindo acompanhamento da
auditoria
6.5 Preparación y distribución del informe
de auditoría / Preparando e distribuindo o relatório
da auditoria
6.6 Finalización de la
auditoría / Concluindo a auditoria
Capítulo 5 / Seção 5
Capítulo 6 / Seção 6
PLANIFICAR / PLANEJAR (PLAN)
HACER / FAZER (DO)
VERIFICAR / CHECAR (CHECK)
ACTUAR / AGIR (PLAN)
PLANIFICAR / PLANEJAR (PLAN)
HACER / FAZER (DO)
VERIFICAR / CHECAR (CHECK)
ACTUAR / AGIR (ACT)
NM ISO 19011:2018
12
5.2 Establecimiento de los objetivos del programa de auditoría El cliente de la auditoría debería asegurarse de que los objetivos del programa de auditoría se han establecido para dirigir la planificación y realización de auditorías y debería asegurarse de que el programa de auditoría se ha implementado eficazmente. Los objetivos del programa de auditoría deberían ser coherentes con la dirección estratégica del cliente de la auditoría y servir de apoyo a la política y los objetivos del sistema de gestión. Estos objetivos pueden basarse en las siguientes consideraciones: a) las necesidades y expectativas de las partes interesadas pertinentes, tanto externas como internas; b) las características y los requisitos de los procesos, productos, servicios y proyectos, y cualquier cambio en ellos; c) los requisitos del sistema de gestión; d) la necesidad de evaluar a los proveedores externos; e) el nivel de desempeño del auditado y el nivel de madurez de los sistemas de gestión, como se refleja en los indicadores de desempeño pertinentes (por ejemplo, los KPI), la ocurrencia de no conformidades o incidentes o quejas de las partes interesadas; f) los riesgos y oportunidades identificados para el auditado; g) los resultados de auditorías previas. Ejemplos de objetivos de un programa de auditoría pueden incluir lo siguiente: - identificar las oportunidades para la mejora del sistema de gestión y de su desempeño; - evaluar la capacidad del auditado para determinar su contexto; - evaluar la capacidad del auditado para determinar los riesgos y oportunidades, y para identificar e implementar acciones eficaces para abordarlos; - cumplir todos los requisitos pertinentes, por ejemplo los requisitos legales y reglamentarios, los compromisos de cumplimiento, los requisitos de certificación con una norma de sistemas de gestión;
5.2 Estabelecendo objetivos do programa de auditoria Convém que o cliente da auditoria assegure que os objetivos do programa de auditoria sejam estabelecidos para direcionar o planejamento e a condução de auditorias, e convém que assegure que o programa de auditoria seja implementado eficazmente. Convém que os objetivos do programa de auditoria sejam coerentes com a direção estratégica do cliente da auditoria e apoiem a política e os objetivos do sistema de gestão. Estes objetivos podem ser baseados na consideração do seguinte: a) necessidades e expectativas de partes interessadas pertinentes, externas e internas; b) características e requisitos de processos, produtos, serviços e projetos, e quaisquer mudanças neles; c) requisitos de sistema de gestão; d) necessidade para avaliação de fornecedores externos; e) nível de desempenho e nível de maturidade do(s) sistema(s) de gestão do auditado, como refletido nos indicadores de desempenho pertinentes (por exemplo, KPI), a ocorrência de não conformidades ou incidentes ou reclamações de partes interessadas; f) riscos e oportunidades identificados para o auditado; g) resultados de auditorias anteriores. Exemplos de objetivos de programa de auditoria podem incluir o seguinte: - identificar oportunidades para a melhoria de um sistema de gestão e de seu desempenho; - avaliar a capacidade do auditado de determinar seu contexto; - avaliar a capacidade do auditado de determinar riscos e oportunidades e identificar e implementar ações eficazes para abordá-los. - estar conforme com todos os requisitos pertinentes, por exemplo, requisitos estatutários e regulamentares, compromissos de compliance, requisitos para certificação em relação a uma norma de sistema de gestão;
NM ISO 19011:2018
13
- obtener y mantener la confianza en la capacidad de un proveedor externo; - determinar la idoneidad, la adecuación, y la eficacia continuas del sistema de gestión del auditado; - evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la dirección estratégica de la organización. 5.3 Determinación y evaluación de los riesgos y oportunidades del programa de auditoría Hay riesgos y oportunidades relacionados con el contexto del auditado que pueden asociarse con un programa de auditoría y pueden afectar al logro de sus objetivos. Las personas responsables de la gestión del programa de auditoría deberían identificar y presentar al cliente de la auditoría los riesgos y oportunidades considerados al desarrollar el programa de auditoría y los requisitos de recursos para que puedan tratarse adecuadamente. Puede haber riesgos asociados con lo siguiente: a) la planificación, por ejemplo el fracaso al establecer objetivos de la auditoría pertinentes y al determinar la extensión, número, duración, ubicaciones y calendario de las auditorías; b) los recursos, por ejemplo conceder insuficiente tiempo, equipos y/o formación para desarrollar el programa de auditoría o para realizar una auditoría; c) la selección del equipo auditor, por ejemplo competencia global insuficiente para realizar auditorías eficazmente; d) la comunicación, por ejemplo procesos/canales de comunicación externos/internos ineficaces; e) la implementación, por ejemplo una coordinación ineficaz de las auditorías dentro del programa de auditoría, o no tener en cuenta la seguridad y confidencialidad de la información; f) el control de la información documentada, por ejemplo determinación ineficaz de la información documentada necesaria requerida por los auditores y las partes interesadas pertinentes, fracaso a la hora de proteger adecuadamente los registros de auditoría para demostrar la eficacia del programa de auditoría; g) el seguimiento, revisión y mejora del programa de auditoría, por ejemplo seguimiento ineficaz de los resultados del programa de auditoría;
- obter e manter confiança na capacidade de um fornecedor externo; - determinar a contínua adequação, suficiência e eficácia do sistema de gestão do auditado; - avaliar a compatibilidade e o alinhamento dos objetivos do sistemas de gestão com a direção estratégica da organização. 5.3 Determinando e avaliando riscos e oportunidades do programa de auditoria Existem riscos e oportunidades relacionados ao contexto do auditado que podem estar associados a um programa de auditoria e podem afetar o alcance de seus objetivos. Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria identifique(m) e apresente(m) ao cliente da auditoria os riscos e oportunidades considerados ao desenvolver o programa de auditoria e requisitos de recurso, de modo que eles possam ser abordados apropriadamente. Podem existir riscos associados com o seguinte: a) planejamento, por exemplo, falha em estabelecer objetivos de auditoria pertinentes e em determinar a extensão, número, duração, locais e agenda das auditorias; b) recursos, por exemplo, dispor de tempo, equipamento e/ou treinamento insuficientes para desenvolver o programa de auditoria ou conduzir uma auditoria; c) seleção da equipe de auditoria, por exemplo, competência global insuficiente para conduzir auditorias eficazmente; d) comunicação, por exemplo, processos/canais de comunicação externa/interna ineficazes; e) implementação, por exemplo, coordenação ineficaz das auditorias no programa de auditoria ou não considerar segurança e confidencialidade da informação; f) controle de informação documentada, por exemplo, determinação ineficaz da informação documentada necessária requerida por auditores e partes interessadas pertinentes, falha em proteger suficientemente registros de auditoria para demonstrar a eficácia do programa de auditoria; g) monitoramento, análise crítica e melhoria do programa de auditoria, por exemplo, monitoramento ineficaz de resultados do programa de auditoria;
NM ISO 19011:2018
14
h) la disponibilidad y la cooperación del auditado y la disponibilidad de evidencias a muestrear. Las oportunidades para mejorar el programa de auditoría pueden incluir: - permitir llevar a cabo múltiples auditorías en una única visita; - minimizar el tiempo y las distancias viajando al sitio; - igualar el nivel de competencia del equipo auditor con el nivel de competencia necesario para alcanzar los objetivos de la auditoría; - alinear las fechas de la auditoría con la disponibilidad del personal clave del auditado. 5.4 Establecimiento del programa de auditoría 5.4.1 Roles y responsabilidades de las personas responsables de la gestión del programa de auditoría Las personas responsables de la gestión del programa de auditoría deberían: a) establecer la extensión del programa de auditoría de acuerdo con los objetivos pertinentes (véase 5.2) y cualquier restricción conocida; b) determinar las cuestiones externas e internas, y los riesgos y oportunidades que pueden afectar al programa de auditoría, e implementar acciones para abordarlos, integrando estas acciones en todas las actividades de auditoría pertinentes, según sea apropiado; c) asegurar la selección de los equipos auditores y la competencia general para las actividades de auditoría, asignando roles, responsabilidades y autoridades, y respaldando al liderazgo, según sea apropiado; d) establecer todos los procesos pertinentes, incluyendo procesos para: - la coordinación y calendario de todas las auditorías dentro del programa de auditoría; - el establecimiento de los objetivos, los alcances y los criterios de auditoría de las auditorías, determinando los métodos de auditoría y la selección del equipo auditor; - la evaluación de los auditores; - el establecimiento de procesos de comunicación externos e internos, según sea apropiado;
h) disponibilidade e cooperação do auditado e disponibilidade de evidência para ser amostrada. Oportunidades para melhorar o programa de auditoria podem incluir: - permitir que múltiplas auditorias sejam conduzidas em uma visita única; - minimizar tempo e distância de viagem ao local; - conciliar o nível de competência da equipe de auditoria ao nível de competência necessário para alcançar os objetivos da auditoria; - alinhar datas de auditoria com a disponibilidade de pessoal-chave do auditado. 5.4 Estabelecendo o programa de auditoria 5.4.1 Papéis e responsabilidades da(s) pessoa(s) que gerencia(m) o programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria: a) estabeleça(m) a extensão do programa de auditoria de acordo com os objetivos pertinentes (ver 5.2) e quaisquer restrições conhecidas; b) determine(m) as questões internas e externas e riscos e oportunidades que possam afetar o programa de auditoria e implemente(m) ações para abordá-los, integrando estas ações em todas as atividades de auditoria pertinentes, conforme apropriado; c) assegure(m) a seleção de equipes de auditoria e a competência global para as atividades de auditoria, atribuindo papéis, responsabilidades e autoridades, e apoiando a liderança, conforme apropriado; d) estabeleça(m) todos os processos pertinentes, incluindo processos para: - coordenação e agendamento de todas as auditorias no programa de auditoria; - estabelecimento de objetivos de auditoria, escopo(s) e critérios das auditorias, determinação de métodos de auditoria e seleção da equipe de auditoria; - avaliação de auditores; - estabelecimento de processos de comunicação interna e externa, conforme apropriado;
NM ISO 19011:2018
15
- la resolución de conflictos y el tratamiento de las quejas; - el seguimiento de la auditoría, según proceda; - la presentación de informes al cliente de la auditoría y a las partes interesadas pertinentes, según sea apropiado. e) determinar y asegurar la provisión de todos los recursos necesarios; f) asegurarse de que se prepara y mantiene la información documentada apropiada, incluyendo los registros del programa de auditoría; g) hacer el seguimiento, revisar y mejorar el programa de auditoría; h) comunicar el programa de auditoría al cliente de la auditoría y, según sea apropiado, a las partes interesadas pertinentes. Las personas responsables de la gestión del programa de auditoría deberían solicitar su aprobación al cliente de la auditoría. 5.4.2 Competencia de las personas responsables de la gestión del programa de auditoría Las personas responsables de la gestión del programa de auditoría deberían tener la competencia necesaria para gestionar el programa y sus riesgos y oportunidades y las cuestiones externas e internas asociadas de forma eficaz y eficiente, incluyendo conocimientos sobre: a) los principios (véase el Capítulo 4), métodos y procesos de auditoría (véanse A.1 y A.2); b) las normas de sistemas de gestión, otras normas pertinentes y documentos de referencia/orientación; c) la información relativa al auditado y a su contexto (por ejemplo, las cuestiones externas/internas, las partes interesadas pertinentes y sus necesidades y expectativas, las actividades de negocio, los productos, servicios y procesos del auditado); d) los requisitos legales y reglamentarios aplicables y otros requisitos pertinentes a las actividades de negocio del auditado. Según sea apropiado, podría considerarse el conocimiento de gestión de riesgos, gestión de proyectos y procesos y de tecnologías de la información y las comunicaciones (TIC). Las personas responsables de la gestión del programa de auditoría deberían participar en las
- resoluções de disputas e tratamento de reclamações; - acompanhamento de auditoria, se aplicável; - relato ao cliente da auditoria e partes interessadas pertinentes, conforme apropriado. e) determine(m) e assegure(m) provisão de todos os recursos necessários; f) assegure(m) que a informação documentada apropriada seja preparada e mantida, incluindo registros do programa de auditoria; g) monitore(m), analise(m) criticamente e melhore(m) o programa de auditoria; h) comunique(m) o programa de auditoria ao cliente de auditoria e, conforme apropriado, às partes interessadas pertinentes. Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria solicite(m) sua aprovação pelo cliente de auditoria. 5.4.2 Competência da(s) pessoa(s) que gerencia(m) o programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria tenha(m) a competência necessária para gerenciar o programa e seus riscos e oportunidades associados e questões externas e internas eficaz e eficientemente, incluindo o conhecimento de: a) princípios de auditoria (ver Seção 4), métodos e processos (ver A.1 e A.2); b) normas de sistema de gestão, outras normas pertinentes e documentos de referência/orientação; c) informação relativa ao auditado e seu contexto (por exemplo, questões externas/internas, partes interessadas pertinentes e suas necessidades e expectativas, atividades de negócios, produtos, serviços e processos do auditado); d) requisitos estatutários e regulamentares aplicáveis, e outros requisitos pertinentes às atividades de negócios do auditado. Conforme apropriado, conhecimentos de gestão de risco, gestão de projeto e processo e tecnologia da informação e comunicação (TIC) podem ser considerados. Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria se engaje(m) em atividades
NM ISO 19011:2018
16
actividades apropiadas de desarrollo continuo para mantener la competencia necesaria para gestionar el programa de auditoría. 5.4.3 Establecimiento de la extensión del programa de auditoría Las personas responsables de la gestión del programa de auditoría deberían determinar la extensión del programa de auditoría. Ésta puede variar dependiendo de la información proporcionada por el auditado sobre su contexto (véase 5.3). NOTA En ciertos casos, dependiendo de la estructura o las actividades del auditado, el programa de auditoría podría consistir únicamente en una sola auditoría (por ejemplo, un proyecto o una organización pequeños). Otros factores que tienen impacto en la extensión de un programa de auditoría pueden incluir lo siguiente: a) el objetivo, alcance y duración de cada auditoría y el número de auditorías a llevar a cabo, el método de presentación de informes y, si aplica, el seguimiento de la auditoría; b) las normas de sistemas de gestión u otros criterios aplicables; c) el número, importancia, complejidad, similitud y las ubicaciones de las actividades que se van a auditar; d) los factores que influyen en la eficacia del sistema de gestión; e) los criterios de auditoría aplicables, tales como los acuerdos planificados para las normas de sistemas de gestión pertinentes, los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida; f) los resultados de auditorías internas o externas previas y revisiones por la dirección previas, si es apropiado; g) los resultados de una revisión previa del programa de auditoría; h) el idioma, las cuestiones culturales y sociales; i) las inquietudes de las partes interesadas, tales como quejas de clientes, incumplimiento de los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida, o cuestiones de la cadena de suministro; j) los cambios significativos en el contexto del auditado o sus operaciones y los riesgos y oportunidades asociados;
de desenvolvimento contínuo apropriadas para manter a competência necessária para gerenciar o programa de auditoria. 5.4.3 Estabelecendo a extensão do programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria determine(m) a extensão do programa de auditoria. Isso pode variar dependendo da informação fornecida pelo auditado relativa a seu contexto (ver 5.3). NOTA Em certos casos, dependendo da estrutura do auditado ou suas atividades, o programa de auditoria pode consistir somente em uma única auditoria (por exemplo, um pequeno projeto ou pequena organização). Outros fatores que impactam a extensão de um programa de auditoria podem incluir o seguinte: a) objetivo, escopo e duração de cada auditoria e número de auditorias a serem conduzidas, método de relatar e, se aplicável, acompanhamento da auditoria; b) normas de sistema de gestão ou outros critérios aplicáveis; c) número, importância, complexidade, similaridade e locais das atividades a serem auditadas; d) aqueles fatores que influenciam a eficácia do sistema de gestão; e) critérios de auditoria aplicáveis, como arranjos planejados para normas pertinentes do sistema de gestão, requisitos estatutários e regulamentares e outros requisitos com os quais a organização esteja comprometida; f) resultados de auditorias internas ou externas e análises críticas gerenciais anteriores, se apropriado; g) resultados de análise crítica de um programa de auditoria anterior; h) questões de idioma, culturais e sociais; i) preocupações das partes interessadas, como reclamações de clientes, não conformidade com requisitos estatutários e regulamentares, e outros requisitos com os quais a organização esteja comprometida, ou questões de cadeia de suprimentos; j) mudanças significativas para o contexto do auditado ou suas operações e riscos e oportunidades relacionadas;
NM ISO 19011:2018
17
k) la disponibilidad de las tecnologías de la información y comunicación para apoyar las actividades de auditoría, en particular el uso de métodos de auditoría remota (véase A.16); l) la ocurrencia de sucesos internos y externos, tales como no conformidades de los productos o servicios, filtraciones en la seguridad de la información, incidentes en materia de seguridad y salud, actos delictivos o incidentes ambientales; m) los riesgos y oportunidades de negocio, incluyendo las acciones para abordarlos. 5.4.4 Determinación de los recursos del programa de auditoría Al determinar los recursos para el programa de auditoría, las personas responsables de la gestión del programa de auditoría deberían considerar: a) los recursos financieros y de tiempo necesarios para desarrollar, implementar, gestionar y mejorar las actividades de auditoría; b) los métodos de auditoría (véase A.1); c) la disponibilidad individual y global de auditores y expertos técnicos que tengan la competencia apropiada para los objetivos particulares del programa de auditoría; d) la extensión del programa de auditoría (véase 5.4.3) y los riesgos y oportunidades relacionados con el programa de auditoría (véase 5.3); e) el tiempo y costos de transporte, alojamiento y otras necesidades de la auditoría; f) el impacto de las diferentes zonas horarias; g) la disponibilidad de tecnologías de la información y las comunicaciones (por ejemplo, los recursos técnicos requeridos para establecer una auditoría remota usando tecnologías que apoyen la colaboración remota); h) la disponibilidad de las herramientas, la tecnología y los equipos requeridos; i) la disponibilidad de la información documentada necesaria, según lo determine el establecimiento del programa de auditoría (véase A.5); j) los requisitos relacionados con las instalaciones, incluyendo las autorizaciones y equipos de seguridad (por ejemplo, verificación de antecedentes, equipos de protección personal, capacidad para llevar ropa de sala limpia).
k) disponibilidade de tecnologias da informação e comunicação para apoiar atividades de auditoria, em particular o uso de métodos de auditoria remota (ver A.16); l) ocorrência de eventos internos e externos, como não conformidades de produtos ou serviço, brechas de segurança da informação, incidentes de saúde e segurança, atos criminosos ou incidentes ambientais; m) riscos e oportunidades do negócio, incluindo ações para abordá-los. 5.4.4 Determinando recursos do programa de auditoria Ao determinar recursos para o programa de auditoria, convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria considere(m): a) recursos financeiros e tempo necessários para desenvolver, implementar, gerenciar e melhorar atividades de auditoria; b) métodos de auditoria (ver A.1); c) disponibilidade individual e global de auditores e especialistas que tenham competência apropriada para os objetivos particulares do programa de auditoria; d) extensão do programa de auditoria (ver 5.4.3) e riscos e oportunidades do programa de auditoria (ver 5.3); e) custo e tempo de viagem, acomodação e outras necessidades de auditoria; f) impacto de diferentes fusos horários; g) a disponibilidade de tecnologias de informação e comunicação (por exemplo, recursos técnicos requeridos para instituir uma auditoria remota usando tecnologias que apoiam a colaboração remota); h) disponibilidade de quaisquer ferramentas, tecnologia e equipamento requeridos; i) disponibilidade de informação documentada necessária, como determinada durante o estabelecimento de um programa de auditoria (ver A.5); j) requisitos relacionados à instalação, incluindo quaisquer liberações e equipamento de segurança (por exemplo, verificações de histórico, equipamento de proteção pessoal, capacidade de usar trajes para salas limpas).
NM ISO 19011:2018
18
5.5 Implementación del programa de auditoría 5.5.1 Generalidades Una vez que se ha establecido el programa de auditoría (véase 5.4.3) y que se han determinado los recursos relacionados (véase 5.4.4), es necesario implementar la planificación operacional y la coordinación de todas las actividades dentro del programa. Las personas responsables de la gestión del programa de auditoría deberían: a) comunicar las partes pertinentes del programa de auditoría, incluyendo los riesgos y oportunidades implicados, a las partes interesadas pertinentes e informarles periódicamente de su progreso, usando los canales de comunicación externos e internos establecidos; b) definir los objetivos, el alcance y los criterios para cada auditoría individual; c) seleccionar los métodos de auditoría (véase A.1); d) coordinar y programar las auditorías y otras actividades pertinentes al programa de auditoría; e) asegurarse de que los equipos auditores tienen la competencia necesaria (véase 5.5.4); f) proporcionar los recursos necesarios individuales y globales para los equipos auditores (véase 5.4.4); g) asegurar la realización de las auditorías de acuerdo con el programa de auditoría, gestionando todos los riesgos, oportunidades y cuestiones operacionales (es decir, eventos inesperados), según surjan durante el despliegue del programa; h) asegurarse de que la información documentada pertinente relativa a las actividades de auditoría se gestiona y mantiene adecuadamente (véase 5.5.7); i) definir e implementar los controles operacionales (véase 5.6) necesarios para el seguimiento del programa de auditoría; j) revisar el programa de auditoría a fin de identificar oportunidades para mejorarlo (véase 5.7). 5.5.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual Cada auditoría individual debería basarse en unos objetivos, un alcance y unos criterios de auditoría definidos. Estos deberían ser coherentes con los objetivos globales del programa de auditoría.
5.5 Implementando o programa de auditoria 5.5.1 Generalidades Uma vez que o programa de auditoria tenha sido estabelecido (ver 5.4.3) e os recursos relacionados tenham sido determinados (ver 5.4.4), é necessário implementar o planejamento operacional e a coordenação de todas as atividades no programa. Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria: a) comunique(m)-se com as partes pertinentes do programa de auditoria, incluindo os riscos e oportunidades envolvidos, e com as partes interessadas pertinentes e informe(m) periodicamente de seu progresso, usando canais de comunicação externos e internos estabelecidos; b) especifique(m) objetivos, escopo e critérios para cada auditoria individual; c) selecione(m) métodos de auditoria (ver A.1); d) coordene(m) e agende(m) auditorias e outras atividades pertinentes ao programa de auditoria; e) assegure(m) que as equipes de auditoria tenham a competência necessária (ver 5.5.4); f) forneça(m) recursos individuais e globais necessários para as equipes de auditoria (ver 5.4.4); g) assegure(m) a condução de auditorias de acordo com o programa de auditoria, gerenciando todos os riscos operacionais, oportunidades e questões (isto é, eventos inesperados), conforme eles surjam durante a implantação do programa; h) assegure(m) que a informação documentada pertinente relativa às atividades de auditoria seja gerenciada e mantida apropriadamente (ver 5.5.7); i) defina(m) e implemente(m) os controles operacionais (ver 5.6) necessários para o monitoramento do programa de auditoria; j) analise(m) criticamente o programa de auditoria para identificar oportunidades para sua melhoria (ver 5.7). 5.5.2 Definindo os objetivos, escopo e critérios para uma auditoria individual Convém que cada auditoria individual seja baseada em objetivos, escopo e critérios de auditoria especificados. Convém que esses sejam coerentes com os objetivos globais do programa de auditoria.
NM ISO 19011:2018
19
Los objetivos de la auditoría definen qué es lo que se va a lograr con la auditoría individual y pueden incluir lo siguiente: a) la determinación del grado de conformidad del sistema de gestión que se va a auditar, o partes del mismo, con los criterios de auditoría; b) la evaluación de la capacidad del sistema de gestión para ayudar a la organización a cumplir los requisitos legales y reglamentarios pertinentes y otros requisitos con los que la organización está comprometida; c) la evaluación de la eficacia del sistema de gestión para lograr sus resultados previstos; d) la identificación de oportunidades para la mejora potencial del sistema de gestión; e) la evaluación de la idoneidad y adecuación del sistema de gestión con respecto al contexto y a la dirección estratégica del auditado; f) la evaluación de la capacidad del sistema de gestión para establecer y alcanzar los objetivos y abordar eficazmente los riesgos y oportunidades, en un contexto cambiante, incluyendo la implementación de las acciones relacionadas. El alcance de la auditoría debería ser coherente con el programa de auditoría y con los objetivos de la auditoría. Incluye factores tales como las ubicaciones, las funciones, las actividades y los procesos que se van a auditar, así como el periodo de tiempo cubierto por la auditoría. Los criterios de auditoría se utilizan como una referencia frente a la cual se determina la conformidad. Pueden incluir uno o más de los siguientes: políticas aplicables, procesos, procedimientos, criterios de desempeño incluyendo objetivos, requisitos legales y reglamentarios, requisitos del sistema de gestión, información relativa al contexto y a los riesgos y oportunidades según determine el auditado (incluyendo los requisitos de las partes interesadas pertinentes externas/internas), códigos de conducta sectoriales u otros acuerdos planificados. En caso de algún cambio en los objetivos, el alcance o los criterios de la auditoría, el programa de auditoría debería modificarse, si es necesario, y comunicarse a las partes interesadas para su aprobación, si es apropiado. Cuando se audita más de una disciplina a la vez, es importante que los objetivos, el alcance y los criterios de la auditoría sean coherentes con los programas de auditoría pertinentes para cada disciplina. Algunas disciplinas pueden tener un alcance que incorpore a toda la organización, y
Os objetivos da auditoria determinam o que é para ser realizado pela auditoria individual e podem incluir o seguinte: a) determinação da extensão da conformidade do sistema de gestão a ser auditado, ou partes dele, com critérios de auditoria; b) avaliação da capacidade do sistema de gestão de auxiliar a organização a atender os requisitos regulamentares e estatutários pertinentes, e outros requisitos com os quais a organização esteja comprometida; c) avaliação da eficácia do sistema de gestão em alcançar seus resultados pretendidos; d) identificação de oportunidades para potencial melhoria do sistema de gestão; e) avaliação da adequação e suficiência do sistema de gestão em relação ao contexto e direção estratégica do auditado; f) avaliação da capacidade do sistema de gestão para estabelecer e alcançar objetivos e abordar riscos e oportunidades eficazmente, em um contexto em mudança, incluindo a implementação das ações relacionadas. Convém que o escopo de auditoria seja coerente com o programa e os objetivos da auditoria. Ele inclui fatores como locais, funções, atividades e processos a serem auditados, assim como o período de tempo coberto pela auditoria. Os critérios de auditoria são usados como uma referência em relação à qual a conformidade é determinada. Estes podem incluir um ou mais dos seguintes: políticas aplicáveis, processos, procedi- mentos, critérios de desempenho, incluindo objetivos, requisitos estatutários e regulamentares, requisitos do sistema de gestão, informação relativa ao contexto e aos riscos e oportunidades como determinado pelo auditado (incluindo requisitos de partes interessadas pertinentes externas/internas), códigos de conduta setoriais ou outros arranjos planejados. Convém que, na eventualidade de quaisquer mudanças nos objetivos de auditoria, escopo ou critérios, o programa de auditoria seja modificado, se necessário, e comunicado as partes interessadas para aprovação, se apropriado. Quando mais de uma disciplina está sendo auditada ao mesmo tempo, é importante que os objetivos, o escopo e os critérios de auditoria sejam coerentes com os programas de auditorias pertinentes para cada disciplina. Algumas disciplinas podem ter um escopo que reflita a
NM ISO 19011:2018
20
otras pueden tener un alcance que abarque a un subconjunto de la organización. 5.5.3 Selección y determinación de los métodos de auditoría Las personas responsables de la gestión del programa de auditoría deberían seleccionar y determinar los métodos para llevar a cabo la auditoría de manera eficaz y eficiente, dependiendo de los objetivos, el alcance y los criterios de la auditoría definidos. Las auditorías pueden llevarse a cabo en el sitio, remotamente, o como una combinación. El uso de estos métodos debería estar adecuadamente equilibrado, basándose, entre otros, en la consideración de los riesgos y oportunidades asociados. Cuando dos o más organizaciones auditoras llevan a cabo una auditoría conjunta del mismo auditado, las personas responsables de la gestión de los diferentes programas de auditoría deberían estar de acuerdo en los métodos de auditoría y considerar las implicaciones para la provisión de recursos y la planificación de la auditoría. Si un auditado opera dos o más sistemas de gestión de disciplinas diferentes, pueden incluirse auditorías combinadas en el programa de auditoría. 5.5.4 Selección de los miembros del equipo auditor Las personas responsables de la gestión del programa de auditoría deberían designar a los miembros del equipo auditor, incluyendo al líder del equipo y a cualquier experto técnico necesario para la auditoría específica. Un equipo auditor debería seleccionarse teniendo en cuenta las competencias necesarias para alcanzar los objetivos de la auditoría individual dentro del alcance definido. Si sólo hay un auditor, el auditor debería realizar todas las tareas aplicables a un líder de equipo auditor. NOTA El Capítulo 7 contiene orientación sobre la determinación de las competencias requeridas para los miembros del equipo auditor y describe los procesos para evaluar auditores. Para asegurar la competencia global del equipo auditor, deberían llevarse a cabo los siguientes pasos: - la identificación de la competencia necesaria para lograr los objetivos de la auditoría; - la selección de los miembros del equipo auditor, de tal manera que la competencia necesaria esté presente en el equipo auditor.
organização inteira, e outras podem ter um escopo que reflita um subconjunto da organização inteira. 5.5.3 Selecionando e determinando os métodos de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria selecione(m) e determine(m) os métodos para conduzir uma auditoria eficaz e eficientemente, dependendo dos objetivos, escopo e critérios de auditoria estabelecidos. Auditorias podem ser realizadas no local, remotamente ou como uma combinação. Convém que o uso destes métodos seja adequadamente equilibrado, baseado em, entre outras, consideração de riscos e oportunidades associadas. Quando duas ou mais organizações de auditoria conduzem uma auditoria conjunta do mesmo auditado, convém que as pessoas que gerenciam os diferentes programas de auditorias estejam de acordo sobre os métodos de auditoria e considerem implicações para alocar recursos e planejar a auditoria. Se um auditado operar dois ou mais sistemas de gestão de diferentes disciplinas, auditorias combinadas podem ser incluídas no programa de auditoria. 5.5.4 Selecionando os membros da equipe de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria indique(m) os membros da equipe de auditoria, incluindo o líder da equipe e quaisquer especialistas necessários para a auditoria específica. Convém que uma equipe de auditoria seja selecionada levando em conta a competência necessária para alcançar os objetivos da auditoria individual no escopo determinado. Se houver somente um auditor, convém que o auditor realize todas as obrigações aplicáveis de um líder de equipe de auditoria. NOTA A Seção 7 contém orientações para determinar a competência necessária para os membros da equipe de auditoria e descreve os processos para avaliar os auditores. Para assegurar a competência global da equipe de auditoria, convém realizar os seguintes passos: - identificação da competência necessária para alcançar os objetivos da auditoria; - seleção dos membros da equipe de auditoria, de modo que a competência necessária esteja presente na equipe de auditoria.
NM ISO 19011:2018
21
Al decidir el tamaño y la composición del equipo auditor para una auditoría específica, debería considerarse lo siguiente: a) la competencia global del equipo auditor necesaria para lograr los objetivos de la auditoría, teniendo en cuenta el alcance y los criterios de la auditoría; b) la complejidad de la auditoría; c) si la auditoría es una auditoría combinada o conjunta; d) los métodos de auditoría seleccionados; e) asegurar la objetividad e imparcialidad para evitar cualquier conflicto de intereses en el proceso de auditoría; f) la capacidad de los miembros del equipo auditor para trabajar e interactuar eficazmente con los representantes del auditado y las partes interesadas pertinentes; g) las cuestiones externas/internas pertinentes, como el idioma de la auditoría, y las características sociales y culturales del auditado. Estas cuestiones pueden tratarse a través de las habilidades propias del auditor, o bien a través del apoyo de un experto técnico, considerando también la necesidad de intérpretes; h) el tipo y la complejidad de los procesos a auditar. Cuando proceda, las personas responsables de la gestión del programa de auditoría deberían consultar con el líder del equipo sobre la composición del equipo auditor. Si los auditores del equipo auditor no cubren la competencia necesaria, los expertos técnicos con competencia adicional deberían estar disponibles para apoyar al equipo. Los auditores en formación pueden incluirse en el equipo auditor, pero deberían participar bajo la dirección y orientación de un auditor. Durante la auditoría pueden ser necesarios cambios en la composición del equipo auditor, por ejemplo, si surge un conflicto de intereses o un problema de competencia. Si surge una situación así, debería resolverse con las partes apropiadas (por ejemplo, el líder del equipo auditor, las personas responsables de la gestión del programa de auditoría, el cliente de la auditoría o el auditado) antes de que se realice cualquier cambio. 5.5.5 Asignación de responsabilidades al líder del equipo auditor para una auditoría individual
Ao decidir o tamanho e a composição da equipe de auditoria para a auditoria específica, convém que seja considerado o seguinte: a) competência global necessária da equipe de auditoria para alcançar os objetivos de auditoria, levando em conta o escopo e os critérios de auditoria; b) complexidade da auditoria; c) se a auditoria é uma auditoria combinada ou conjunta; d) os métodos de auditoria selecionados; e) asseguramento da objetividade e imparcialidade para evitar qualquer conflito de interesse do processo de auditoria; f) capacidade dos membros da equipe de auditoria para trabalhar e interagir eficazmente com os representantes do auditado e partes interessadas pertinentes; g) questões externas/internas pertinentes, como o idioma da auditoria e as características culturais e sociais do auditado. Estas questões podem ser abordadas pelas próprias habilidades do auditor ou por meio do apoio de um especialista, também considerando a necessidade de intérpretes; h) tipo e complexidade dos processos a serem auditados. Quando apropriado, convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria consulte(m) o líder da equipe sobre a composição da equipe de auditoria. Se a competência necessária não for coberta pelos auditores na equipe de auditoria, convém que especialistas com competência adicional sejam colocados à disposição para apoiar a equipe. Auditores em treinamento podem ser incluídos na equipe de auditoria, mas convém que participem sob a direção e orientação de um auditor. Mudanças na composição da equipe de auditoria podem ser necessárias durante a auditoria, por exemplo, se um conflito de interesse ou questão de competência surgir. Se tal situação surgir, convém que ela seja resolvida com as partes apropriadas (por exemplo, líder da equipe de auditoria, pessoa(s) que gerencia(m) o programa de auditoria, cliente da auditoria ou auditado) antes que quaisquer mudanças sejam feitas. 5.5.5 Atribuindo responsabilidade para uma auditoria individual ao líder da equipe de auditoria
NM ISO 19011:2018
22
Las personas responsables de la gestión del programa de auditoría deberían asignar a un líder del equipo auditor la responsabilidad de llevar a cabo la auditoría individual. La asignación debería hacerse con tiempo suficiente antes de la fecha programada de la auditoría, para asegurarse de la planificación eficaz de la auditoría. Para asegurarse de la realización eficaz de las auditorías individuales, debería proporcionarse al líder del equipo auditor la siguiente información: a) los objetivos de la auditoría; b) los criterios de auditoría y la información documentada pertinente; c) el alcance de la auditoría, incluyendo la identificación de la organización y sus funciones y los procesos que se van a auditar; d) los procesos de la auditoría y los métodos asociados; e) la composición del equipo auditor; f) los detalles de contacto del auditado, las ubicaciones, el marco temporal y la duración de las actividades de auditoría que se van a llevar a cabo; g) los recursos necesarios para llevar a cabo la auditoría; h) la información necesaria para evaluar y abordar los riesgos y oportunidades identificados para el logro de los objetivos de la auditoría; i) la información que apoya a los líderes de los equipos auditores en sus interacciones con el auditado para la eficacia del programa de auditoría. La información sobre la asignación también debería cubrir lo siguiente, cuando sea apropiado: - el idioma de trabajo y del informe de la auditoría, cuando sea diferente del idioma del auditor o del auditado, o de ambos; - el contenido requerido del informe de la auditoría y a quién debería distribuirse; - los temas relacionados con la confidencialidad y la seguridad de la información, según lo requiera el programa de auditoría; - cualquier acuerdo sobre seguridad, salud y medio ambiente para los auditores; - los requisitos de transporte o de acceso a ubicaciones remotas;
Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria designe(m) a responsabilidade por conduzir a auditoria individual a um líder de equipe de auditoria. Convém que a atribuição seja feita em tempo suficiente antes da data agendada da auditoria, para assegurar o planejamento eficaz da auditoria. Para assegurar a condução eficaz das auditorias individuais, convém que a seguinte informação seja fornecida ao líder da equipe de auditoria: a) objetivos da auditoria; b) critérios de auditoria e qualquer informação documentada pertinente; c) escopo da auditoria, incluindo identificação da organização e suas funções e processos a serem auditados; d) processos de auditoria e métodos associados; e) composição da equipe de auditoria; f) detalhes de contato do auditado, e locais, período de tempo e duração das atividades de auditoria a serem conduzidas; g) recursos necessários para conduzir a auditoria; h) informação necessária para avaliar e abordar riscos e oportunidades identificados para o alcance dos objetivos de auditoria; i) informação que apoie o(s) líder(es) da equipe de auditoria em suas interações com o auditado para a eficácia do programa de auditoria. Convém que a informação de atribuição também abranja o seguinte, conforme apropriado: - idioma de trabalho e de relato da auditoria quando este for diferente do idioma do auditor ou do auditado, ou de ambos; - saída de relato de auditoria como requerido e a quem será distribuída; - assuntos relacionados à confidencialidade e segurança da informação, se requerido pelo programa de auditoria; - quaisquer arranjos de saúde, segurança e meio ambiente para os auditores; - requisitos para viagem ou acesso a locais remotos;
NM ISO 19011:2018
23
- cualquier requisito de seguridad física y de autorización; - cualquier acción a revisar, por ejemplo las acciones de seguimiento de una auditoría previa; - la coordinación con otras actividades de auditoría, por ejemplo cuando equipos distintos están auditando procesos similares o relacionados en ubicaciones diferentes, o en el caso de una auditoría conjunta. Cuando se lleva a cabo una auditoría conjunta es importante alcanzar un acuerdo entre las organizaciones que llevan a cabo las auditorías, antes de que la auditoría comience, sobre las responsabilidades específicas de cada parte, especialmente en lo que concierne a la autoridad del líder del equipo auditor designado para la auditoría. 5.5.6 Gestión de los resultados del programa de auditoría Las personas responsables de la gestión del programa de auditoría deberían asegurarse de que se realizan las siguientes actividades: a) la evaluación del cumplimiento de los objetivos para cada auditoría dentro del programa de auditoría; b) la revisión y aprobación de los informes de la auditoría relativos al cumplimiento del alcance y los objetivos de la auditoría; c) la revisión de la eficacia de las acciones tomadas para tratar los hallazgos de auditoría; d) la distribución de informes de auditoría a las partes interesadas pertinentes; e) la determinación de la necesidad de alguna auditoría de seguimiento. Las personas responsables de la gestión del programa de auditoría deberían considerar, cuando sea apropiado: - comunicar los resultados de la auditoría y las mejores prácticas a otras áreas de la organización, y - las implicaciones para otros procesos. 5.5.7 Gestión y conservación de los registros del programa de auditoría Las personas responsables de la gestión del programa de auditoría deberían asegurarse de que se generan, gestionan y conservar registros de la
- quaisquer requisitos de segurança e autorização; - quaisquer ações a serem analisadas criticamente, por exemplo, ações de acompanhamento de uma auditoria anterior; - coordenação com outras atividades de auditoria, por exemplo, quando equipes diferentes estão auditando processos similares ou relacionados a diferentes locais ou no caso de auditoria conjunta. Quando uma auditoria conjunta for conduzida, é importante alcançar acordo entre as organizações que conduzem auditorias, antes que a auditoria comece, sobre as responsabilidades específicas de cada parte, particularmente em relação à autoridade do líder de equipe indicado para a auditoria. 5.5.6 Gerenciando os resultados do programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria assegure(m) que as seguintes atividades sejam realizadas: a) avaliação do alcance dos objetivos para cada auditoria no programa de auditoria; b) análise crítica e aprovação de relatórios de auditoria relativos ao atendimento do escopo e objetivos de auditoria; c) análise crítica da eficácia de ações tomadas para abordar constatações de auditoria; d) distribuição de relatórios de auditoria às partes interessadas pertinentes; e) determinação da necessidade de qualquer auditoria de acompanhamento. Convém que a pessoa que gerencia o programa de auditoria considere, quando apropriado: - comunicação dos resultados de auditoria e as melhores práticas a outras áreas da organização, e - implicações para outros processos. 5.5.7 Gerenciando e mantendo os registros do programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria assegure(m) que os registros de auditoria sejam gerados, gerenciados e
NM ISO 19011:2018
24
auditoría para demostrar la implementación del programa de auditoría. Deberían establecerse procesos para asegurarse de que se tratan las necesidades de seguridad de la información y de confidencialidad asociadas con los registros de la auditoría. Los registros pueden incluir lo siguiente: a) Los registros relacionados con el programa de auditoría, tales como:
- el calendario de auditorías; - los objetivos y la extensión del programa de auditoría; - aquellos que abordan los riesgos y oportunidades y las cuestiones externas e internas pertinentes del programa de auditoría; - las revisiones de la eficacia del programa de auditoría.
b) Los registros relacionados con cada auditoría, tales como:
- los planes de auditoría y los informes de auditoría; - los hallazgos y las evidencias objetivas de la auditoría; - los informes de no conformidad; - los informes de correcciones y acciones correctivas; - los informes de seguimiento de la auditoría.
c) Los registros relacionados con el equipo auditor que cubran temas tales como:
- la evaluación de la competencia y el desempeño de los miembros del equipo auditor; - los criterios para la selección de los equipos auditores y los miembros del equipo y la formación de los equipos auditores; - el mantenimiento y la mejora de la competencia.
La forma y el nivel de detalle de los registros deberían demostrar que se han alcanzado los objetivos del programa de auditoría. 5.6 Seguimiento del programa de auditoría Las personas responsables de la gestión del programa de auditoría deberían asegurar la evaluación de:
mantidos para demonstrar a implementação do programa de auditoria. Convém que os processos sejam estabelecidos para assegurar que quaisquer necessidades de segurança e confidencialidade de informação associadas aos registros de auditoria sejam abordadas. Os registros podem incluir o seguinte: a) Registros relacionados ao programa de auditoria, como:
- agenda de auditoria; - objetivos e extensão do programa de auditoria; - aqueles que abordam riscos e oportunidades do programa de auditoria e questões externas e internas pertinentes; - análise crítica da eficácia do programa de auditoria.
b) Registros relacionados a cada auditoria, como:
- planos de auditoria e relatórios de auditoria; - evidência objetiva e constatações de auditoria; - relatórios de não conformidades; - relatórios de correções e ações corretivas; - relatórios de acompanhamento de auditoria.
c) Registros relacionados à equipe de auditoria, abrangendo tópicos como:
- avaliação de competência e desempenho dos membros da equipe de auditoria; - critérios para a seleção de equipes de auditoria e membros da equipe, e formação de equipes de auditoria; - manutenção e melhoria da competência.
Convém que a forma e ao nível de detalhe dos registros demonstrem que os objetivos do programa de auditoria foram alcançados. 5.6 Monitorando o programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria assegure(m) a avaliação de:
NM ISO 19011:2018
25
a) el cumplimiento de los calendarios y el logro de los objetivos del programa de auditoría; b) el desempeño de los miembros del equipo auditor, incluyendo el líder del equipo auditor y los expertos técnicos; c) la capacidad de los equipos auditores para implementar el plan de auditoría; d) la retroalimentación de los clientes de la auditoría, de los auditados, de los auditores, de los expertos técnicos y de otras partes pertinentes; e) la suficiencia y adecuación de la información documentada en todo el proceso de auditoría. Algunos factores pueden indicar la necesidad de modificar el programa de auditoría. Estos pueden incluir cambios en:
- los hallazgos de la auditoría; - el nivel demostrado de eficacia y la madurez del sistema de gestión del auditado; - la eficacia del programa de auditoría; - el alcance de la auditoría o el alcance del programa de auditoría; - el sistema de gestión del auditado; - las normas, y otros requisitos con los que la organización está comprometida; - los proveedores externos; - los conflictos de interés identificados; - los requisitos del cliente de la auditoría.
5.7 Revisión y mejora del programa de auditoría Las personas responsables de la gestión del programa de auditoría y el cliente de la auditoría deberían revisar el programa de auditoría para evaluar si se han alcanzado sus objetivos. Las lecciones aprendidas de la revisión del programa de auditoría deberían usarse como entradas para la mejora del programa. Las personas responsables de la gestión del programa de auditoría deberían asegurar lo siguiente: - la revisión de la implementación global del programa de auditoría;
a) se os agendamentos estão sendo cumpridos e se os objetivos do programa de auditoria estão sendo alcançados; b) desempenho dos membros da equipe de auditoria, incluindo o líder da equipe de auditoria e os especialistas; c) capacidade das equipes de auditoria de implementar o plano de auditoria; d) feedback para clientes de auditoria, auditados, auditores, especialistas e outras partes interessadas pertinentes; e) suficiência e adequação de informação documentada em todo o processo de auditoria. Alguns fatores podem indicar a necessidade de modificar o programa de auditoria. Estes podem incluir mudanças para:
- constatações de auditoria; - nível demonstrado de eficácia e maturidade do sistema de gestão do auditado; - eficácia do programa de auditoria; - escopo de auditoria ou escopo do programa de auditoria; - sistema de gestão do auditado; - normas e outros requisitos com os quais a organização está comprometida; - fornecedores externos; - conflitos de interesse identificados; - requisitos do cliente da auditoria.
5.7 Analisando criticamente e melhorando o programa de auditoria Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria e o cliente de auditoria analisem criticamente o programa de auditoria para avaliar se os seus objetivos foram alcançados. Convém que as lições apreendidas a partir da análise crítica do programa de auditoria sejam usadas como entradas para a melhoria do programa. Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria assegure(m) o seguinte: - análise crítica da implementação global do programa de auditoria;
NM ISO 19011:2018
26
- la identificación de áreas y oportunidades para la mejora; - la aplicación de cambios al programa de auditoría, si es necesario; - la revisión del desarrollo profesional continuo de los auditores, de acuerdo con el apartado 7.6; - la presentación de informes de los resultados del programa de auditoría y la revisión con el cliente de la auditoría y las partes interesadas pertinentes, según sea apropiado. La revisión del programa de auditoría debería considerar lo siguiente: a) los resultados y tendencias del seguimiento del programa de auditoría; b) la conformidad con los procesos del programa de auditoría y con la información documentada pertinente; c) la evolución de las necesidades y expectativas de las partes interesadas pertinentes; d) los registros del programa de auditoría; e) los métodos de auditoría alternativos o nuevos; f) los métodos alternativos o nuevos para evaluar a los auditores; g) la eficacia de las acciones para abordar los riesgos y oportunidades, y cuestiones internas y externas, asociados con el programa de auditoría; h) los temas de confidencialidad y seguridad de la información relacionados con el programa de auditoría. 6 Realización de una auditoría 6.1 Generalidades Este Capítulo contiene orientación sobre la preparación y realización de una auditoría específica como parte de un programa de auditoría. La Figura 2 proporciona una visión general de las actividades desempeñadas en una auditoría típica. El grado de aplicación de las disposiciones de este Capítulo depende de los objetivos y del alcance de la auditoría específica. 6.2 Inicio de la auditoría 6.2.1 Generalidades La responsabilidad de llevar a cabo la auditoría debería corresponder al líder del equipo auditor
- identificação das áreas e oportunidades para melhoria; - operação de mudanças no programa de auditoria, se necessário; - análise crítica do desenvolvimento profissional contínuo de auditores, de acordo com 7.6; - relatos dos resultados do programa de auditoria e análise crítica com o cliente de auditoria e partes interessadas pertinentes, conforme apropriado. Convém que a análise crítica do programa de auditoria considere o seguinte: a) resultados e tendências do monitoramento do programa de auditoria; b) conformidade com os processos do programa de auditoria e informação documentada pertinente; c) necessidades e expectativas em evolução de partes interessadas pertinentes; d) registros do programa de auditoria; e) métodos novos ou alternativos de auditoria; f) métodos novos ou alternativos para avaliar auditores; g) eficácia de ações para abordar os riscos e oportunidades e questões internas e externas associadas ao programa de auditoria; h) questões de confidencialidade e segurança de informação relativas ao programa de auditoria. 6 Conduzindo uma auditoria 6.1 Generalidades Esta Seção contém orientação para preparar e conduzir uma auditoria específica como parte de um programa de auditoria. A Figura 2 fornece uma visão geral das atividades executadas em uma auditoria típica. A extensão na qual as disposições desta Seção são aplicáveis depende dos objetivos e do escopo da auditoria específica. 6.2 Iniciando a auditoria 6.2.1 Generalidades Convém que a responsabilidade por conduzir a auditoria mantenha-se com o auditor-líder da
NM ISO 19011:2018
27
designado (véase 5.5.5) hasta que la auditoría finalice (véase 6.6). Para iniciar una auditoría, deberían considerarse los pasos de la Figura 1; sin embargo, la secuencia puede diferir dependiendo del auditado, de los procesos y de las circunstancias específicas de la auditoría. 6.2.2 Establecimiento del contacto con el auditado El líder del equipo auditor debería asegurarse de que se establece contacto con el auditado para: a) confirmar los canales de comunicación con los representantes del auditado; b) confirmar la autoridad para llevar a cabo la auditoría; c) proporcionar información pertinente sobre los objetivos de la auditoría, el alcance, los criterios, los métodos y la composición del equipo auditor, incluyendo a los expertos técnicos; d) solicitar acceso a la información pertinente con propósitos de planificación, incluyendo información sobre los riesgos y oportunidades que la organización ha identificado y la manera en que se abordan; e) determinar los requisitos legales y reglamentarios aplicables y otros requisitos pertinentes para las actividades, procesos, productos y servicios del auditado; f) confirmar lo acordado con el auditado respecto al grado de difusión y al tratamiento de la información confidencial; g) hacer los preparativos para la auditoría incluyendo el calendario; h) determinar los acuerdos específicos de la ubicación en cuanto al acceso, seguridad y salud, seguridad física, confidencialidad u otras; i) acordar la asistencia de observadores y la necesidad de guías o intérpretes para el equipo auditor; j) determinar cualquier área de interés, inquietud o los riesgos para el auditado en relación con la auditoría específica; k) resolver las cuestiones relativas a la composición del equipo auditor con el auditado o el cliente de la auditoría.
equipe de auditoria designado (ver 5.5.5) até que a auditoria seja concluída (ver 6.6). Para iniciar uma auditoria, convém que os passos da Figura 1 sejam considerados; entretanto, a sequência pode variar, dependendo do auditado, do processo e das circunstâncias específicas da auditoria. 6.2.2 Estabelecendo contato com o auditado Convém que o líder da equipe de auditoria assegure que seja feito contato com o auditado para: a) confirmar canais de comunicação com os representantes do auditado; b) confirmar a autoridade para conduzir a auditoria; c) fornecer informação pertinente sobre os objetivos, escopo, critérios, métodos de auditoria e composição da equipe de auditoria, incluindo quaisquer especialistas; d) solicitar acesso à informação pertinente para propósitos de planejamento, incluindo informação sobre os riscos e oportunidades que a organização tenha identificado e como eles serão abordados; e) determinar requisitos estatutários e regulamentares aplicáveis e outros requisitos pertinentes às atividades, processos, produtos e serviços do auditado; f) confirmar o acordo com o auditado relativo à extensão da divulgação e ao tratamento de informação confidencial; g) fazer arranjos para a auditoria, incluindo o agendamento; h) determinar quaisquer arranjos específicos ao local para acesso, saúde e segurança, segurança, confidencialidade ou outro; i) acordar sobre a presença de observadores e a necessidade de guias ou intérpretes para a equipe de auditoria; j) determinar quaisquer áreas de interesse, preocupação ou riscos para o auditado em relação à auditoria específica; k) resolver questões relativas à composição da equipe de auditoria com o auditado ou o cliente de auditoria.
NM ISO 19011:2018
28
6.2.3 Determinación de la viabilidad de la auditoría Debería determinarse la viabilidad de la auditoría para proporcionar la confianza razonable en que los objetivos de la auditoría pueden lograrse. La determinación de la viabilidad debería tener en cuenta factores tales como la disponibilidad de lo siguiente: a) la información suficiente y apropiada para planificar y llevar a cabo la auditoría; b) la cooperación adecuada del auditado; c) el tiempo y los recursos adecuados para llevar a cabo la auditoría. NOTA Los recursos incluyen el acceso adecuado y apropiado a tecnologías de la información y las comunicaciones. Cuando la auditoría no es viable, debería proponerse al cliente de la auditoría una alternativa, de acuerdo con el auditado. 6.3 Preparación de las actividades de auditoría 6.3.1 Realización de la revisión de la información documentada La información documentada pertinente del sistema de gestión del auditado debería revisarse a fin de: - reunir información para comprender las operaciones del auditado y preparar las actividades de auditoría y los documentos de trabajo de auditoría aplicables (véase 6.3.4), por ejemplo, sobre procesos, funciones; - establecer una visión general de la extensión de la información documentada para determinar la posible conformidad con los criterios de auditoría y detectar las posibles áreas de inquietud, como deficiencias, omisiones o conflictos. La información documentada debería incluir, pero no limitarse a: documentos y registros del sistema de gestión, así como a informes de auditoría previos. La revisión debería tener en cuenta el contexto de la organización del auditado, incluyendo su tamaño, naturaleza y complejidad, y sus riesgos y oportunidades relacionados. También debería tener en cuenta el alcance, los criterios y los objetivos de la auditoría. NOTA Se proporciona orientación sobre cómo verificar información en A.5.
6.2.3 Determinando a viabilidade da auditoria Convém que a viabilidade da auditoria seja determinada para fornecer confiança razoável de que os objetivos da auditoria podem ser alcançados. Convém que a determinação da viabilidade leve em consideração fatores como a disponibilidade do seguinte: a) informação apropriada e suficiente para planejar e conduzir a auditoria; b) cooperação adequada do auditado; c) tempo e recursos adequados para conduzir a auditoria. NOTA Recursos incluem acesso à tecnologia da informação e comunicação adequados e apropriados. Quando a auditoria não for viável, convém que seja proposta uma alternativa ao cliente de auditoria, em comum acordo com o auditado. 6.3 Preparando as atividades da auditoria 6.3.1 Realizando análise crítica de informação documentada Convém que a informação documentada pertinente do sistema de gestão do auditado seja analisada criticamente para: - reunir informação para entender as operações do auditado e preparar as atividades da auditoria e documentos de trabalho de auditoria aplicáveis (ver 6.3.4), por exemplo, sobre processos e funções; - estabelecer uma visão geral da extensão da informação documentada para determinar possível conformidade com os critérios de auditoria e detectar possíveis áreas de preocupação, como deficiências, omissões ou conflitos. Convém que a informação documentada inclua, mas não se limite a: documentos e registros de sistema de gestão, assim como relatórios de auditorias anteriores. Convém que a análise crítica leve em conta o contexto da organização do auditado, incluindo seu tamanho, natureza e complexidade, e seus riscos e oportunidades relacionados. Convém que ela também leve em conta o escopo, critérios e objetivos da auditoria. NOTA Orientação sobre como verificar informação é fornecida em A.5.
NM ISO 19011:2018
29
6.3.2 Planificación de la auditoría 6.3.2.1 Enfoque basado en riesgos para la planificación El líder del equipo auditor debería adoptar un enfoque basado en riesgos para planificar la auditoría, con base en la información del programa de auditoría y en la información documentada proporcionada por el auditado. La planificación de la auditoría debería considerar los riesgos de las actividades de auditoría en los procesos del auditado y proporcionar la base para el acuerdo entre el cliente de la auditoría, el equipo auditor y el auditado en lo relativo a la realización de la auditoría. La planificación debería facilitar la programación en el tiempo y la coordinación eficientes de las actividades de auditoría a fin de alcanzar los objetivos eficazmente. El nivel de detalle proporcionado en el plan de auditoría debería reflejar el alcance y la complejidad de ésta, así como los riesgos de no lograr los objetivos de la auditoría. Al planificar la auditoría, el líder del equipo auditor debería considerar lo siguiente: a) la composición del equipo auditor y su competencia global; b) las técnicas de muestreo apropiadas (véase A.6); c) las oportunidades para mejorar la eficacia y eficiencia de las actividades de auditoría; d) los riesgos para el logro de los objetivos de la auditoría generados por una planificación ineficaz de la auditoría; e) los riesgos para el auditado generados al realizar la auditoría. Los riesgos para el auditado pueden originarse por la presencia de los miembros del equipo auditor que influyen adversamente en las disposiciones del auditado para la seguridad y salud, el medio ambiente y la calidad, y sus productos, servicios, personal o infraestructura del auditado (por ejemplo, contaminación de espacios limpios). Para las auditorías combinadas, debería prestarse especial atención a las interacciones entre los procesos operativos y los objetivos y prioridades que concurren en los distintos sistemas de gestión. 6.3.2.2 Detalles de la planificación de la auditoría El grado de detalle y el contenido de la planificación de la auditoría pueden diferir, por ejemplo, entre la auditoría inicial y las posteriores, así como entre las
6.3.2 Planejando a auditoria 6.3.2.1 Abordagem baseada em risco para planejamento Convém que o líder da equipe de auditoria adote uma abordagem baseada em risco para planejar a auditoria, com base na informação no programa de auditoria e na informação documentada fornecida pelo auditado. Convém que o planejamento de auditoria considere os riscos das atividades de auditoria nos processos do auditado e forneça a base para o acordo entre o cliente de auditoria, a equipe de auditoria e o auditado, relativo à condução da auditoria. Convém que o planejamento facilite o agendamento e a coordenação eficientes das atividades de auditoria para alcançar os objetivos eficazmente. Convém que a quantidade de detalhe fornecida no plano de auditoria reflita o escopo e a complexidade da auditoria, assim como o risco de não alcançar os objetivos da auditoria. Ao planejar a auditoria, convém que o líder da equipe de auditoria considere o seguinte: a) composição da equipe de auditoria e sua competência global; b) técnicas de amostragem apropriadas (ver A.6); c) oportunidades para melhorar a eficácia e a eficiência das atividades de auditoria; d) riscos para alcançar os objetivos da auditoria criados por um planejamento de auditoria ineficaz; e) riscos para o auditado criados pela realização da auditoria. Riscos para o auditado podem resultar da presença dos membros da equipe de auditoria influenciando adversamente os arranjos do auditado para saúde e segurança, meio ambiente e qualidade e seus produtos, serviços, pessoal ou infraestrutura (por exemplo, contaminação em instalações de sala limpa). Para auditorias combinadas, convém que particular atenção seja dada às interações entre os processos operacionais e quaisquer objetivos e prioridades concorrentes dos diferentes sistemas de gestão. 6.3.2.2 Detalhes do planejamento de auditoria A dimensão e o conteúdo do planejamento de auditoria podem variar, por exemplo, entre auditorias iniciais e subsequentes, assim como
NM ISO 19011:2018
30
auditorías internas y externas. La planificación de la auditoría debería ser lo suficientemente flexible para permitir los cambios que pueden hacerse necesarios a medida que las actividades de auditoría se vayan llevando a cabo. La planificación de la auditoría debería tratar o hacer referencia a lo siguiente: a) los objetivos de la auditoría; b) el alcance de la auditoría, incluyendo la identificación de la organización y de sus funciones, así como los procesos que van a auditarse; c) los criterios de auditoría y cualquier información documentada; d) las ubicaciones (físicas y virtuales), las fechas, el horario y la duración previstos de las actividades de auditoría que se van a llevar a cabo, incluyendo las reuniones con la dirección del auditado; e) la necesidad de que el equipo auditor se familiarice con las instalaciones y procesos del auditado (por ejemplo, realizando una visita a las ubicaciones físicas, o revisando las tecnologías de la información y las comunicaciones); f) los métodos de auditoría que se van a usar, incluyendo el grado en que se necesita el muestreo de la auditoría para obtener las evidencias de auditoría suficientes; g) los roles y responsabilidades de los miembros del equipo auditor, así como los guías y los observadores o intérpretes; h) la asignación de los recursos apropiados basada en la consideración de los riesgos y oportunidades relacionados con las actividades que se han de auditar. La planificación de la auditoría debería tener en cuenta, según sea apropiado: - la identificación de los representantes del auditado en la auditoría; - el idioma de trabajo y del informe de la auditoría, cuando sea diferente del idioma del auditor o del auditado, o ambos; - los temas del informe de la auditoría; - los preparativos logísticos y de comunicaciones, incluyendo los preparativos específicos para las ubicaciones que se van a auditar; - las acciones específicas a tomar para abordar los riesgos en el logro de los objetivos de la auditoría y las oportunidades que surjan;
entre auditorias internas e externas. Convém que o planejamento de auditoria seja suficientemente flexível para permitir mudanças que possam se tornar necessárias conforme as atividades de auditoria progridam. Convém que o planejamento da auditoria aborde ou referencie o seguinte: a) objetivos de auditoria; b) escopo da auditoria, incluindo identificação da organização e suas funções, assim como os processos a serem auditados; c) critérios de auditoria e qualquer informação documentada de referência; d) locais (físicos e virtuais), datas, tempo e duração estimados das atividades de auditoria a serem conduzidas, incluindo reuniões com a direção do auditado; e) necessidade de a equipe de auditoria se familiarizar com as instalações e processos do auditado (por exemplo, conduzindo uma visita ao(s) local(is) físico(s) ou analisando criticamente tecnologia de informação e comunicação); f) métodos de auditoria a serem usados, incluindo a extensão na qual a amostragem de auditoria seja necessária para obter evidências suficientes de auditoria; g) papéis e responsabilidades dos membros da equipe de auditoria, assim como dos guias e observadores ou intérpretes; h) alocação de recursos apropriados, baseada na consideração dos riscos e oportunidades relacionados às atividades que serão auditadas; Convém que o planejamento da auditoria leve em conta, conforme apropriado: - identificação do(s) representante(s) do auditado para a auditoria; - idioma de trabalho e do relatório da auditoria, quando for diferente do idioma do auditor ou do auditado, ou de ambos; - tópicos do relatório de auditoria; - arranjos de logística e comunicações, incluindo arranjos específicos para os locais a serem auditados; - quaisquer ações específicas a serem tomadas para abordar riscos para se alcançarem os objetivos de auditoria e oportunidades que surjam;
NM ISO 19011:2018
31
- los temas relacionados con la confidencialidad y la seguridad de la información; - las acciones de seguimiento de una auditoría previa u otras fuentes, por ejemplo las lecciones aprendidas, las revisiones de proyectos; - las actividades de seguimiento de la auditoría planificada; - la coordinación con otras actividades de auditoría, en el caso de una auditoría conjunta. Los planes de auditoría deberían presentarse al auditado. Cualquier cuestión sobre los planes de auditoría debería resolverse entre el líder del equipo auditor, el auditado y, si fuera necesario, las personas responsables de la gestión del programa de auditoría. 6.3.3 Asignación de las tareas al equipo auditor El líder del equipo auditor, consultando con el equipo auditor, debería asignar a cada miembro del equipo la responsabilidad para auditar procesos, actividades, funciones o lugares específicos y, según sea apropiado, la autoridad para la toma de decisiones. Tales asignaciones deberían tener en cuenta la imparcialidad, la objetividad y la competencia de los auditores y el uso eficaz de los recursos, así como los diferentes roles y responsabilidades de los auditores, los auditores en formación y los expertos técnicos. El líder del equipo auditor debería realizar reuniones del equipo auditor, cuando sea apropiado, para distribuir las asignaciones de trabajo y decidir los posibles cambios. Los cambios en las asignaciones de trabajo pueden hacerse a medida que la auditoría se va llevando a cabo para asegurar el logro de los objetivos de la auditoría. 6.3.4 Preparación de la información documentada para la auditoría Los miembros del equipo auditor deberían recopilar y revisar la información pertinente a las tareas de auditoría asignadas y preparar la información documentada para la auditoría, usando cualquier medio apropiado. La información documentada para la auditoría puede incluir, pero no se limita a: a) listas de verificación físicas o digitales; b) detalles de muestreo de auditoría; c) información audiovisual. El uso de estos medios no debería restringir la extensión de las actividades de auditoría, que
- assuntos relacionados à confidencialidade e segurança da informação; - quaisquer ações de acompanhamento de uma auditoria anterior ou outra(s) fonte(s), por exemplo, lições apreendidas, análises críticas de projeto; - quaisquer atividades de acompanhamento para a auditoria planejada; - coordenação com outras atividades de auditoria, no caso de uma auditoria conjunta. Convém que os planos de auditoria sejam apresentados ao auditado. Convém que quaisquer questões em relação ao plano de auditoria sejam solucionadas entre o líder da equipe de auditoria, o auditado e, se necessário, a(s) pessoa(s) que gerencia(m) o programa de auditoria. 6.3.3 Atribuindo trabalho para a equipe de auditoria Convém que o líder da equipe de auditoria, em consulta à equipe de auditoria, atribua responsabilidade a cada membro da equipe para auditar processos, atividades, funções ou locais específicos e, conforme apropriado, autoridade para tomar decisão. Convém que as atribuições levem em conta a imparcialidade, objetividade e competência dos auditores, e o uso eficaz de recursos, assim como diferentes funções e responsabilidades dos auditores, auditores em treinamento e especialistas. Convém que reuniões da equipe de auditoria sejam realizadas, conforme apropriado, pelo líder da equipe de auditoria, para alocar as atribuições de trabalho e decidir as possíveis mudanças. As mudanças nas atribuições de trabalho podem ser feitas conforme a auditoria progrida, para assegurar o alcance dos objetivos de auditoria. 6.3.4 Preparando informação documentada para a auditoria Convém que os membros da equipe de auditoria coletem e analisem criticamente a informação pertinente às suas atribuições de auditoria e preparem informação documentada para a auditoria, usando qualquer meio apropriado. A informação documentada para a auditoria pode incluir, mas não está limitada a: a) listas de verificação físicas ou digitais; b) detalhes de amostragem de auditoria; c) informação audiovisual. Convém que o uso destes meios não restrinja a extensão das atividades de auditoria, que podem
NM ISO 19011:2018
32
pueden cambiarse como resultado de la información recopilada durante la auditoría. NOTA Se proporciona orientación sobre la preparación de documentos de trabajo de auditoría en A.13. La información documentada preparada para la auditoría, y la que resulta de su uso, debería conservarse al menos hasta que finalice la auditoría, o según se especifique en el programa de auditoría. La conservación de la información documentada después de finalizada la auditoría se describe en el Apartado 6.6. La información documentada generada durante el proceso de auditoría que contenga información confidencial o protegida debería salvaguardarse de manera adecuada en todo momento por los miembros del equipo auditor. 6.4 Realización de las actividades de auditoría 6.4.1 Generalidades Normalmente las actividades de auditoría se realizan en una secuencia definida como se indica en la Figura 1. Esta secuencia puede variar para adaptarse a las circunstancias de auditorías específicas. 6.4.2 Asignación de roles y responsabilidades de los guías y los observadores Los guías y los observadores pueden acompañar al equipo auditor con la aprobación del líder del equipo auditor, del cliente de la auditoría y/o del auditado, según se requiera. Ellos no deberían influir ni interferir en la realización de la auditoría. Si esto no se puede asegurar, el líder del equipo auditor debería tener el derecho de negarse a que los observadores tomen parte en ciertas actividades de auditoría. Para los observadores, cualquier disposición para el acceso, la seguridad y salud, el medio ambiente, la seguridad física y la confidencialidad debería gestionarse entre el cliente de la auditoría y el auditado. Los guías, designados por el auditado, deberían asistir al equipo auditor y actuar cuando lo solicite el líder del equipo auditor o el auditor al que han sido asignados. Sus responsabilidades deberían incluir lo siguiente: a) ayudar a los auditores a identificar a las personas que participarán en las entrevistas y a confirmar los horarios y las ubicaciones; b) acordar el acceso a ubicaciones específicas del auditado; c) asegurarse de que los miembros del equipo auditor y los observadores conocen y respetan las
mudar como resultado da informação coletada durante a auditoria. NOTA Orientação para preparar documentos de trabalho de auditoria é dada em A.13. Convém que informação documentada preparada para a, e resultante da auditoria seja retida no mínimo até a conclusão da auditoria ou como especificado no programa de auditoria. Retenção de informação documentada após a conclusão da auditoria está descrita em 6.6. Convém que informação documentada, criada durante o processo de auditoria envolvendo informação confidencial ou proprietária, seja sempre salvaguardada adequadamente pelos membros da equipe de auditoria. 6.4 Conduzindo atividades da auditoria 6.4.1 Generalidades Atividades de auditoria são normalmente conduzidas em uma sequência estabelecida como indicado na Figura 1. Esta sequência pode ser alterada para se adequar às circunstâncias das auditorias específicas. 6.4.2 Atribuindo papéis e responsabilidades para guias e observadores Guias e observadores podem acompanhar a equipe de auditoria com aprovações do líder da equipe de auditoria, cliente da auditoria e/ou auditado, se requerido. Não convém que eles influenciem ou interfiram na condução da auditoria. Se isso não puder ser assegurado, convém que o líder da equipe de auditoria tenha o direito de negar que os observadores estejam presentes durante certas atividades de auditoria. Para os observadores, convém que quaisquer arranjos para acesso, saúde e segurança, meio ambiente, segurança e confidencialidade sejam gerenciados entre o cliente de auditoria e o auditado. Convém que os guias designados pelo auditado auxiliem a equipe de auditoria e ajam por solicitação do líder da equipe de auditoria ou auditor ao qual eles tiverem sido atribuídos. Convém que suas responsabilidades incluam o seguinte: a) auxiliar os auditores na identificação de pessoas para participar de entrevistas e na confirmação de horários e locais; b) arranjar acesso aos locais específicos do auditado; c) assegurar que as regras relativas aos arranjos para acesso específicos do local, saúde e
NM ISO 19011:2018
33
reglas concernientes a los acuerdos específicos para el acceso a la ubicación, la seguridad y salud en el trabajo, el medio ambiente, la seguridad física, la confidencialidad y otras cuestiones, y que se abordan los riesgos; d) ser testigos de la auditoría en nombre del auditado, cuando sea apropiado; e) proporcionar aclaraciones o ayudar en la recopilación de información, cuando sea necesario. 6.4.3 Realización de la reunión de apertura El propósito de la reunión de apertura es: a) confirmar el acuerdo de todos los participantes (por ejemplo, auditado, equipo auditor) sobre el plan de auditoría; b) presentar al equipo auditor y sus roles; c) asegurarse de que se pueden realizar todas las actividades de auditoría planificadas. Debería celebrarse una reunión de apertura con la dirección del auditado y, cuando sea apropiado, con aquellos responsables de las funciones o de los procesos que se van a auditar. Durante la reunión, debería proporcionarse la oportunidad de realizar preguntas. El grado de detalle debería ser coherente con la familiaridad del auditado con el proceso de auditoría. En muchos casos, por ejemplo, en auditorías internas en una organización pequeña, la reunión de apertura puede consistir simplemente en comunicar que se está realizando una auditoría y explicar la naturaleza de la auditoría. Para otras situaciones de auditoría, la reunión puede ser formal y se debería conservar registro de los asistentes. El líder del equipo auditor debería presidir la reunión. Según sea apropiado, se debería considerar la presentación de: - otros participantes, incluyendo los observadores y los guías, intérpretes y una descripción general de sus roles; - los métodos de auditoría para gestionar riesgos para la organización que puedan resultar de la presencia de los miembros del equipo auditor. Según sea apropiado, se debería considerar la confirmación de lo siguiente: - los objetivos, alcance y criterios de la auditoría; - el plan de auditoría y otras disposiciones pertinentes con el auditado, como la fecha y hora
segurança, meio ambiente, segurança, confidencialidade e outras questões sejam conhecidas e respeitadas pelos membros da equipe de auditoria e observadores, e que quaisquer riscos sejam abordados; d) testemunhar a auditoria em nome do auditado, quando apropriado; e) fornecer esclarecimento ou auxiliar na coleta de informação, quando necessário. 6.4.3 Conduzindo a reunião de abertura O propósito da reunião de abertura é: a) confirmar o acordo de todas os participantes (por exemplo, auditado, equipe de auditoria) com o plano de auditoria; b) apresentar a equipe de auditoria e suas funções; c) assegurar que todas as atividades planejadas de auditoria possam ser realizadas. Convém que uma reunião de abertura seja realizada com a direção do auditado e, onde apropriado, aqueles responsáveis pelas funções ou processos a serem auditados. Durante a reunião, convém que seja dada uma oportunidade para perguntas. Convém que o grau de detalhe seja coerente com a familiaridade do auditado com o processo da auditoria. Em muitas situações, por exemplo, em auditorias internas em uma pequena organização, a reunião de abertura pode simplesmente consistir em comunicar que uma auditoria está sendo conduzida e explicar a natureza da auditoria. Para outras situações de auditoria, a reunião pode ser formal, e convém que registros de presença sejam mantidos. Convém que a reunião seja presidida pelo líder da equipe de auditoria. Convém considerar introduzir o seguinte, conforme apropriado: - outros participantes, incluindo observadores e guias, intérpretes e um delineamento de suas funções; - métodos de auditoria para gerenciar riscos para a organização que podem resultar da presença dos membros da equipe de auditoria. Convém que seja considerada a confirmação dos seguintes itens, conforme apropriado: - objetivos, escopo e critérios de auditoria; - plano de auditoria e outros arranjos pertinentes com o auditado, como data e horário da reunião de
NM ISO 19011:2018
34
de la reunión de cierre, cualquier reunión intermedia entre el equipo auditor y la dirección del auditado, y cualquier cambio necesario; - los canales de comunicación formal entre el equipo auditor y el auditado; - el idioma que se va a utilizar durante la auditoría; - que durante la auditoría se mantiene informado al auditado del progreso de la misma; - la disponibilidad de los recursos e instalaciones que necesita el equipo auditor; - los temas relacionados con la confidencialidad y la seguridad de la información; - los acuerdos pertinentes para el equipo auditor relativos al acceso, seguridad y salud, seguridad física, emergencia y otros acuerdos; - las actividades en el sitio que pueden tener impacto en la realización de la auditoría. Según sea apropiado, se debería considerar la presentación de la información sobre los siguientes elementos: - el método de informar los hallazgos de la auditoría incluyendo los criterios para la categorización, si existen; - las condiciones bajo las cuales la auditoría puede darse por terminada; - cómo tratar los posibles hallazgos durante la auditoría; - cualquier sistema de retroalimentación del auditado sobre los hallazgos o conclusiones de la auditoría, incluyendo las quejas o apelaciones. 6.4.4 Comunicación durante la auditoría Durante la auditoría, puede ser necesario llegar a acuerdos formales para la comunicación dentro del equipo auditor, así como con el auditado, el cliente de la auditoría, y potencialmente con las partes interesadas externas (por ejemplo autoridades reglamentarias), especialmente cuando los requisitos legales y reglamentarios exijan la comunicación obligatoria de las no conformidades. El equipo auditor debería reunirse periódicamente para intercambiar información, evaluar el progreso de la auditoría, y reasignar las tareas entre los miembros del equipo auditor, según sea necesario. Durante la auditoría, el líder del equipo auditor debería comunicar periódicamente los progresos, los hallazgos importantes y cualquier inquietud al
encerramento e de quaisquer reuniões intermediárias entre a equipe de auditoria e a direção do auditado e qualquer(quaisquer) mudança(s) necessária(s); - canais formais de comunicação entre a equipe de auditoria e o auditado; - idioma a ser usado durante a auditoria; - que o auditado será mantido informado do progresso da auditoria durante a auditoria; - disponibilidade dos recursos e instalações necessárias pela equipe de auditoria; - assuntos relacionados à confidencialidade e segurança da informação; - arranjos pertinentes de acesso, saúde e segurança, segurança, emergência e outros arranjos para a equipe de auditoria; - atividades no local que possam impactar a condução da auditoria. Convém que seja considerado apresentar informação sobre os seguintes itens, conforme apropriado: - método de relatar constatações da auditoria, incluindo critérios de classificação, se houver; - condições sob as quais a auditoria pode ser encerrada; - como lidar com possíveis constatações encontradas durante a auditoria; - qualquer sistema para feedback do auditado sobre as constatações ou conclusões da auditoria, incluindo reclamações ou apelações. 6.4.4 Comunicação durante a auditoria Durante a auditoria, pode ser necessário fazer arranjos formais para comunicação entre a equipe de auditoria, assim como com o auditado, o cliente de auditoria e com partes potencialmente interessadas externas (por exemplo, regulamentadores), especialmente onde, os requisitos estatutários e regulamentares requerem mandatoriamente relatar não conformidades. Convém que a equipe de auditoria se comunique periodicamente para trocar informação, avaliar o progresso da auditoria e reatribuir trabalho entre os membros da equipe de auditoria, se necessário. Durante a auditoria, convém que o líder da equipe de auditoria comunique periodicamente o progresso da auditoria, quaisquer constatações
NM ISO 19011:2018
35
auditado y, cuando sea apropiado, al cliente de la auditoría. Las evidencias recopiladas durante la auditoría que sugieren un riesgo inmediato y significativo deberían comunicarse sin demora al auditado y, según sea apropiado, al cliente de la auditoría. Cualquier inquietud sobre una cuestión fuera del alcance de la auditoría debería anotarse y notificarse al líder del equipo auditor, para su posible comunicación al cliente de la auditoría y al auditado. Cuando las evidencias de auditoría disponibles indican que los objetivos de la misma no son alcanzables, el líder del equipo auditor debería informar de las razones al cliente de la auditoría y al auditado para determinar las acciones apropiadas. Estas acciones pueden incluir cambios en la planificación de la auditoría, en los objetivos de la auditoría o en su alcance, o dar por terminada la auditoría. Cualquier necesidad de cambios en el plan de auditoría que pueda evidenciarse a medida que progresan las actividades de auditoría debería revisarse y aprobarse, según sea apropiado, tanto por las personas responsables de la gestión del programa de auditoría como por el cliente de la auditoría, y debería presentarse al auditado. 6.4.5 Disponibilidad y acceso de la información de auditoría Los métodos de auditoría elegidos para una auditoría dependen de los objetivos de auditoría definidos, el alcance y los criterios, así como la duración y la ubicación. La ubicación es el lugar en el que la información necesaria para la actividad específica de auditoría está disponible para el equipo auditor. Esto puede incluir ubicaciones físicas y virtuales. El lugar, el momento y la manera en que se accede a la información de auditoría es crucial para la auditoría. Esto es independiente del lugar en el que se crea, usa y/o almacena la información. Es necesario determinar los métodos de auditoría basándose en estas cuestiones (véase la Tabla A.1). La auditoría puede usar una mezcla de métodos. Además, las circunstancias de la auditoría pueden implicar que los métodos necesiten cambiar durante la auditoría. 6.4.6 Revisión de la información documentada durante la auditoría La información documentada pertinente del auditado debería revisarse para: - determinar la conformidad del sistema con los criterios de auditoría, sobre la base de la documentación disponible;
significativas e quaisquer preocupações ao auditado e ao cliente da auditoria, conforme apropriado. Convém que a evidência coletada durante a auditoria que sugira um risco imediato e significativo seja relatada sem demora ao auditado e, conforme apropriado, ao cliente da auditoria. Convém que qualquer preocupação sobre um assunto fora do escopo da auditoria seja notada e relatada ao líder da equipe de auditoria, para possível comunicação ao cliente da auditoria e ao auditado. Quando a evidência de auditoria disponível indicar que os objetivos de auditoria são inatingíveis, convém que o líder da equipe de auditoria relate as razões ao cliente da auditoria e ao auditado, para determinação da ação apropriada. Tal ação pode incluir mudanças no planejamento da auditoria, objetivos ou escopo da auditoria ou encerramento da auditoria. Convém que qualquer necessidade de mudanças no plano da auditoria que possa se tornar aparente, conforme as atividades de auditoria progridam, seja analisada criticamente e aceita, conforme apropriado, pela(s) pessoa(s) que gerencia(m) o programa de auditoria e pelo cliente de auditoria, e seja apresentada ao auditado. 6.4.5 Disponibilidade e acesso de informação de auditoria Os métodos de auditoria escolhidos para uma auditoria dependem dos objetivos, escopo e critérios de auditoria estabelecidos, assim como duração e local. O local é onde a informação necessária para a atividade específica de auditoria está disponível para a equipe de auditoria. Isso pode incluir locais físicos e virtuais. Onde, quando e como acessar a informação de auditoria é crucial para a auditoria. Isso é independente de onde a informação é criada, usada e/ou armazenada. Com base nestas questões, os métodos de auditoria necessitam ser determinados (ver Tabela A.1). A auditoria pode usar uma mistura de métodos. Além disso, circunstâncias de auditoria podem significar que os métodos necessitam ser modificados durante a auditoria. 6.4.6 Analisando criticamente a informação documentada ao conduzir a auditoria Convém que a informação documentada pertinente do auditado seja analisada criticamente para: - determinar a conformidade do sistema, até onde documentada, com os critérios de auditoria;
NM ISO 19011:2018
36
- reunir información para apoyar las actividades de auditoría. NOTA Se proporciona orientación sobre cómo verificar la documentación en A.5. La revisión puede combinarse con otras actividades de auditoría y puede continuar a lo largo de la auditoría, siempre que no vaya en detrimento de la eficacia de la realización de la auditoría. Si no puede proporcionarse la información documentada adecuada dentro del periodo de tiempo dado en el plan de auditoría, el líder del equipo auditor debería informar tanto a las personas responsables de la gestión del programa de auditoría como al auditado. Dependiendo de los objetivos y el alcance de la auditoría, debería tomarse una decisión sobre si la auditoría debería continuar o suspenderse hasta que se resuelvan los problemas relativos a la información documentada. 6.4.7 Recopilación y verificación de la información Durante la auditoría, la información pertinente a los objetivos, el alcance y los criterios de la misma, incluyendo la información relativa a las interrelaciones entre funciones, actividades y procesos, debería recopilarse mediante un muestreo apropiado y debería verificarse, en la medida de lo posible. NOTA 1 Para verificar la información, véase A.5. NOTA 2 Se proporciona orientación sobre el muestreo en A.6. Sólo debería aceptarse como evidencia de la auditoría la información que puede estar sujeta a algún grado de verificación. Cuando el grado de verificación es bajo, el auditor debería utilizar su juicio profesional para determinar el grado de fiabilidad que se puede depositar en la información como evidencia. Debería registrarse la evidencia que conduce a hallazgos de la auditoría. Si, durante la recopilación de evidencias objetivas, el equipo auditor es consciente de cualesquiera circunstancias o riesgos u oportunidades nuevos o que han cambiado, el equipo debería abordarlos en consecuencia. La Figura 2 proporciona una visión general de un proceso típico, desde la recopilación de información hasta las conclusiones de la auditoría.
- reunir informação para apoiar as atividades de auditoria. NOTA Orientação sobre como verificar a informação é fornecida em A.5. A análise crítica pode ser combinada com as outras atividades de auditoria e pode continuar ao longo da auditoria, desde que isso não seja prejudicial à eficácia da condução da auditoria. Se informação documentada adequada não puder ser fornecida no período de tempo dado no plano de auditoria, convém que o líder da equipe de auditoria informe à(s) pessoa(s) que gerencia(m) o programa de auditoria e ao auditado. Dependendo dos objetivos e do escopo da auditoria, convém que uma decisão seja tomada sobre se convém continuar ou suspender a auditoria até que preocupações com informação documentada sejam resolvidas. 6.4.7 Coletando e verificando informação Convém que, durante a auditoria, informação pertinente aos objetivos, escopo e critérios de auditoria, incluindo informação relativa às interfaces entre funções, atividades e processos, seja coletada por meio de amostragem apropriada e convém que seja verificada, até onde praticável. NOTA 1 Para verificar informação, ver A.5. NOTA 2 Orientação sobre amostragem é dada em A.6. Convém que somente informação que possa estar sujeita a algum grau de verificação seja aceita como evidência de auditoria. Onde o grau de verificação for baixo, convém que o auditor use seu julgamento profissional para determinar o grau de confiança que pode ser depositado nela como evidência. Convém que a evidência de auditoria que leve a constatações de auditoria seja registrada. Se, durante a coleta de evidência objetiva, a equipe de auditoria tomar ciência de quaisquer circunstâncias novas ou modificadas, ou riscos ou oportunidades, convém que eles sejam convenientemente abordados pela equipe. A Figura 2 fornece uma visão geral de um processo típico, desde coletar informação até alcançar as conclusões da auditoria.
NM ISO 19011:2018
37
Figura 2 – Visión general de un proceso típico de recopilación y verificación de la información / Visão geral de um processo usual para coletar e verificar informação
Los métodos para recopilar la información incluyen, pero sin limitarse a, lo siguiente: - entrevistas; - observaciones; - revisión de la información documentada. NOTA 3 Se proporciona orientación sobre la selección de las fuentes de información y la observación en A.14. NOTA 4 Se proporciona orientación sobre las visitas a la ubicación del auditado en A.15. NOTA 5 Se proporciona orientación sobre la realización de entrevistas en A.17. 6.4.8 Generación de hallazgos de la auditoría La evidencia de la auditoría debería evaluarse frente a los criterios de auditoría para determinar los hallazgos de la auditoría. Los hallazgos de la
Métodos para coletar informação incluem o, mas não estão limitados ao, seguinte: - entrevistas; - observações; - análise crítica de informação documentada. NOTA 3 Orientação sobre a seleção de fontes de informação e de observação é dada em A.14. NOTA 4 Orientação sobre visitas à localização do auditado é dada em A.15. NOTA 5 Orientação sobre a condução de entrevistas é dada em A.17. 6.4.8 Gerando constatações de auditoria Convém que a evidência de auditoria seja avaliada em relação aos critérios de auditoria para determinar as constatações de auditoria. As
Fuente de información / Fonte de informação
Recopilación mediante un muestreo apropiado / Coletando por meio de amostragem apropriada
Evidencia de la auditoría / Evidência de auditoria
Evaluación frente a los criterios de auditoría / Avaliação em relação aos critérios de auditoria
Hallazgos de la auditoría / Constatações de auditoria
Revisión / Analisando criticamente
Conclusiones de la auditoría / Conclusões de auditoria
NM ISO 19011:2018
38
auditoría pueden indicar conformidad o no conformidad con los criterios de auditoría. Cuando lo especifique el plan de auditoría, los hallazgos de una auditoría individual deberían incluir la conformidad y las buenas prácticas junto con la evidencia que los apoya, las oportunidades de mejora y cualquier recomendación para el auditado. Deberían registrarse las no conformidades y la evidencia de la auditoría que las apoya. Las no conformidades pueden clasificarse dependiendo del contexto de la organización y de sus riesgos. Esta clasificación puede ser cuantitativa (por ejemplo, de uno a cinco) y cualitativa (por ejemplo, menor, mayor). Deberían revisarse con el auditado para reconocer que la evidencia de la auditoría es exacta y que las no conformidades se han comprendido. Se debería realizar todo el esfuerzo posible para resolver cualquier opinión divergente relativa a las evidencias o a los hallazgos de la auditoría. Las cuestiones no resueltas deberían registrarse en el informe de la auditoría. El equipo auditor debería reunirse, según sea necesario, para revisar los hallazgos de la auditoria en etapas apropiadas durante la auditoría. NOTA 1 Se proporciona orientación adicional sobre la identificación y evaluación de los hallazgos de la auditoría en A.18. NOTA 2 La conformidad o no conformidad con los criterios de auditoría relacionados con requisitos legales o reglamentarios u otros requisitos, se denomina en algunas ocasiones cumplimiento o no cumplimiento. 6.4.9 Determinación de las conclusiones de la auditoría 6.4.9.1 Preparación para la reunión de cierre El equipo auditor debería reunirse antes de la reunión de cierre para: a) revisar los hallazgos de la auditoría y cualquier otra información apropiada recopilada durante la auditoría frente a los objetivos de la misma; b) acordar las conclusiones de la auditoría, teniendo en cuenta la incertidumbre inherente al proceso de auditoría; c) preparar recomendaciones, si estuviera especificado en el plan de auditoría; d) comentar el seguimiento de la auditoría, cuando sea aplicable.
constatações de auditoria podem indicar conformidade ou não conformidade com os critérios de auditoria. Quando especificado pelo plano de auditoria, convém que as constatações de auditoria individual incluam conformidade e boas práticas junto com suas evidências de apoio, oportunidades para melhoria e quaisquer recomendações para o auditado. Convém que não conformidades e evidências de auditoria que as apoiam sejam registradas. Não conformidades podem ser classificadas dependendo do contexto da organização e de seus riscos. Esta classificação pode ser quantitativa (por exemplo, de 1 a 5) e qualitativa (por exemplo, menor e maior). Convém que elas sejam analisadas criticamente com o auditado para obter reconhecimento de que a evidência de auditoria é exata, e que as não conformidades são entendidas. Convém que todo o empenho seja feito para resolver quaisquer opiniões divergentes relativas às evidências ou constatações de auditoria. Convém que questões não resolvidas sejam registradas no relatório de auditoria. Convém que a equipe de auditoria se reúna como necessário para analisar criticamente as constatações de auditoria em estágios apropriados durante a auditoria. NOTA 1 Orientação adicional sobre a identificação e avaliação de constatações de auditoria é dada em A.18. NOTA 2 Conformidade ou não conformidade com critérios de auditoria relacionados aos requisitos estatutários ou regulamentares ou outros requisitos é algumas vezes referida como compliance ou não compliance. 6.4.9 Determinando conclusões de auditoria 6.4.9.1 Preparação para a reunião de encerramento Convém que a equipe de auditoria conferencie antes da reunião de encerramento para: a) analisar criticamente as constatações da auditoria e qualquer outra informação apropriada coletada durante a auditoria, em relação aos objetivos de auditoria; b) acordar sobre as conclusões de auditoria, levando em conta a incerteza inerente ao processo de auditoria; c) preparar recomendações, se especificado pelo plano de auditoria; d) discutir o acompanhamento de auditoria, como aplicável.
NM ISO 19011:2018
39
6.4.9.2 Contenido de las conclusiones de la auditoría Las conclusiones de la auditoría deberían tratar aspectos tales como los siguientes: a) el grado de conformidad con los criterios de auditoría y la robustez del sistema de gestión, incluyendo la eficacia del sistema de gestión para cumplir los resultados previstos, la identificación de riesgos y la eficacia de las acciones tomadas por el auditado para abordar los riesgos; b) la implementación, el mantenimiento y la mejora eficaces del sistema de gestión; c) el logro de los objetivos de la auditoría, cobertura del alcance de la auditoría y cumplimiento de los criterios de la auditoría; d) hallazgos similares encontrados en distintas áreas auditadas o en una auditoría conjunta o en una auditoría previa, con el propósito de identificar tendencias. Si se especifica en el plan de auditoría, las conclusiones de auditoría pueden llevar a recomendaciones para la mejora, o a futuras actividades de auditoría. 6.4.10 Realización de la reunión de cierre La reunión de cierre debería realizarse para presentar los hallazgos y las conclusiones de la auditoría. La reunión de cierre debería estar presidida por el líder del equipo auditor y los representantes de la dirección del auditado deberían asistir y, cuando sea aplicable, debería incluir: - a los responsables de las funciones o procesos que se han auditado; - al cliente de la auditoría; - a otros miembros del equipo auditor; - a otras partes interesadas pertinentes, según lo determinen el cliente de la auditoría y/o el auditado. Si es aplicable, el líder del equipo auditor debería advertir al auditado de las situaciones encontradas durante la auditoría que pueden disminuir la confianza en las conclusiones de la auditoría. Si está definido en el sistema de gestión o por acuerdo con el cliente de la auditoría, los participantes deberían acordar el periodo de tiempo para un plan de acción que trate los hallazgos de la auditoría.
6.4.9.2 Conteúdo de conclusões de auditoria Convém que as conclusões de auditoria abordem questões como as seguintes: a) extensão da conformidade com os critérios de auditoria e robustez do sistema de gestão, incluindo a eficácia do sistema de gestão em alcançar os resultados pretendidos, a identificação de riscos e eficácia das ações tomadas pelo auditado para abordar riscos; b) implementação a eficaz, manutenção e melhoria do sistema de gestão; c) alcance dos objetivos de auditoria, cobertura do escopo de auditoria e atendimento de critérios de auditoria; d) constatações similares feitas em diferentes áreas que foram auditadas ou de uma auditoria conjunta ou prévia com o propósito de identificar tendências. Se especificado pelo plano de auditoria, conclusões de auditoria podem levar a recomendações para melhoria, ou a futuras atividades de auditoria. 6.4.10 Conduzindo a reunião de encerramento Convém que seja realizada uma reunião de encerramento para apresentar as constatações e conclusões de auditoria. Convém que a reunião de encerramento seja presidida pelo líder da equipe de auditoria, com a participação da direção do auditado, e inclua, como aplicável: - aqueles responsáveis pelas funções ou processos que foram auditados; - cliente de auditoria; - outros membros da equipe de auditoria; - outras partes interessadas pertinentes, como determinado pelo cliente da auditoria e/ou pelo auditado. Se aplicável, convém que o líder da equipe de auditoria alerte ao auditado sobre situações encontradas durante a auditoria que possam diminuir a confiança que pode ser depositada nas conclusões de auditoria. Se for especificado no sistema de gestão ou por acordo com o cliente de auditoria, convém que os participantes acordem o período de tempo para um plano de ação abordar constatações de auditoria.
NM ISO 19011:2018
40
El grado de detalle debería tener en cuenta la eficacia del sistema de gestión para alcanzar los objetivos del auditado, incluyendo consideraciones sobre su contexto y los riesgos y oportunidades. La familiaridad del auditado con el proceso de auditoría también debería tenerse en cuenta durante la reunión de cierre, para asegurarse de que se proporciona el nivel correcto de detalle a los participantes. Para algunas situaciones de auditoría, la reunión puede ser formal y las actas, incluyendo los registros de asistencia, deberían conservarse. En otras situaciones, por ejemplo, en auditorías internas, la reunión de cierre puede ser menos formal y consistir sólo en comunicar los hallazgos de la auditoría y las conclusiones de la misma. Cuando sea apropiado, en la reunión de cierre debería explicarse al auditado lo siguiente: a) advertir que la evidencia de la auditoría recopilada se basó en una muestra de la información disponible y no es necesariamente totalmente representativa de la eficacia global de los procesos del auditado; b) el método de presentación de la información; c) la manera en que deberían tratarse los hallazgos de auditoría basándose en el proceso acordado; d) las posibles consecuencias de no tratar adecuadamente los hallazgos de auditoría; e) la presentación de los hallazgos y conclusiones de la auditoría de tal manera que se comprendan y se reconozcan por la dirección del auditado; f) cualquier actividad posterior a la auditoría relacionada (por ejemplo, implementación y revisión de acciones correctivas, tratamiento de quejas de la auditoría, proceso de apelación). Cualquier opinión divergente relativa a los hallazgos de la auditoría o las conclusiones entre el equipo auditor y el auditado debería discutirse y, si es posible, resolverse. Si no se resuelve, deberían registrarse todas las opiniones. Si lo especifican los objetivos de la auditoría, pueden presentarse recomendaciones de oportunidades para la mejora. Se debería enfatizar que las recomendaciones no son obligatorias. 6.5 Preparación y distribución del informe de la auditoría
Convém que o grau de detalhe leve em conta a eficácia do sistema de gestão em alcançar os objetivos do auditado, incluindo consideração de seu contexto e riscos e oportunidades. Convém que também seja levada em consideração durante a reunião de encerramento a familiaridade do auditado com o processo de auditoria, para assegurar que o nível correto de detalhe seja fornecido aos participantes. Para algumas situações de auditoria, a reunião pode ser formal e convém que atas, incluindo registros de presença, sejam conservadas. Em outras situações, por exemplo, auditorias internas, a reunião de encerramento pode ser menos formal e consistir apenas em comunicar as constatações de auditoria e as conclusões de auditoria. Conforme apropriado, convém que o seguinte seja explicado ao auditado na reunião de encerramento: a) aviso de que a evidência de auditoria coletada foi baseada em uma amostragem da informação disponível e que não é necessariamente totalmente representativa da eficácia global dos processos do auditado; b) método de relatar; c) como convém que a constatação de auditoria seja abordada no processo acordado; d) possíveis consequências de não abordar suficientemente as constatações de auditoria; e) apresentação das constatações e conclusões de auditoria, de uma maneira que elas sejam entendidas e reconhecidas pela direção do auditado; f) quaisquer atividades pós-auditoria relacionadas (por exemplo, implementação e análise crítica de ações corretivas, abordagem de reclamações de auditoria, processo de apelação). Convém que quaisquer opiniões divergentes relativas às constatações ou conclusões de auditoria entre a equipe de auditoria e o auditado sejam discutidas e, se possível, resolvidas. Se não resolvidas, convém que isso seja registrado. Se especificado pelos objetivos da auditoria, recomendações de oportunidades para melhorias podem ser apresentadas. Convém que seja enfatizado que as recomendações não são restritivas. 6.5 Preparando e distribuindo o relatório de auditoria
NM ISO 19011:2018
41
6.5.1 Preparación del informe de la auditoría El líder del equipo auditor debería informar de las conclusiones de la auditoría de acuerdo con el programa de auditoría. El informe de la auditoría debería proporcionar un registro completo, preciso, conciso y claro de la auditoría, y debería incluir o hacer referencia a lo siguiente: a) los objetivos de la auditoría; b) el alcance de la auditoría, particularmente la identificación de la organización (el auditado) y de las funciones o procesos auditados; c) la identificación del cliente de la auditoría; d) la identificación del equipo auditor y de los participantes del auditado en la auditoría; e) las fechas y ubicaciones donde se realizaron las actividades de auditoría; f) los criterios de auditoría; g) los hallazgos de la auditoría y las evidencias relacionadas; h) las conclusiones de la auditoría; i) una declaración del grado en el que se han cumplido los criterios de la auditoría; j) cualquier opinión divergente sin resolver entre el equipo auditor y el auditado; k) las auditorías, por naturaleza, son un ejercicio de muestreo; como tales, hay un riesgo de que las evidencias de la auditoría examinadas no sean representativas. El informe de la auditoría también puede incluir o hacer referencia a lo siguiente, cuando sea apropiado: - el plan de auditoría, incluyendo el horario; - un resumen del proceso de auditoría, incluyendo cualquier obstáculo encontrado que pueda disminuir la confianza en las conclusiones de la auditoría; - la confirmación de que se han cumplido los objetivos de la auditoría dentro del alcance de la auditoría, de acuerdo con el plan de auditoría; - cualquier área dentro del alcance de la auditoría no cubierta, incluyendo cualquier cuestión sobre la disponibilidad de las evidencias, los recursos o la confidencialidad, con las justificaciones relacionadas;
6.5.1 Preparando o relatório de auditoria Convém que o líder da equipe de auditoria relate as conclusões de auditoria de acordo com o programa de auditoria. Convém que o relatório de auditoria forneça um registro completo, exato, conciso e claro da auditoria, e convém que inclua ou se refira ao seguinte: a) objetivos de auditoria; b) escopo de auditoria, particularmente a identificação da organização (o auditado) e as funções ou processos auditados; c) identificação do cliente de auditoria; d) identificação da equipe de auditoria e de participantes do auditado na auditoria; e) datas e locais onde as atividades de auditoria foram conduzidas; f) critérios de auditoria; g) constatações de auditoria e evidências relacionadas; h) conclusões de auditoria; i) uma declaração sobre o grau no qual os critérios de auditoria foram atendidos; j) quaisquer opiniões divergentes não resolvidas entre a equipe de auditoria e o auditado; k) auditorias por natureza são um exercício de amostragem; como tal, há um risco de que a evidência de auditoria examinada não seja representativa. O relatório de auditoria pode também incluir ou se referir ao seguinte, conforme apropriado: - plano de auditoria, incluindo agenda; - um resumo do processo de auditoria, incluindo quaisquer obstáculos encontrados que possam reduzir a confiabilidade das conclusões de auditoria; - confirmação de que os objetivos de auditoria foram alcançados no escopo de auditoria de acordo com o plano de auditoria; - quaisquer áreas no escopo da auditoria não cobertas, incluindo quaisquer questões de disponibilidade de evidência, recursos ou confidencialidade, com justificativas relacionadas;
NM ISO 19011:2018
42
- un resumen cubriendo las conclusiones de la auditoría y los principales hallazgos de la auditoría que las apoyan; - las buenas prácticas identificadas; - el seguimiento acordado del plan de acción, si existiera; - una declaración sobre la naturaleza confidencial de los contenidos; - cualquier implicación para el programa de auditoría o las auditorías posteriores. 6.5.2 Distribución del informe de la auditoría El informe de la auditoría debería emitirse en el periodo de tiempo acordado. Si se retrasa, las razones deberían comunicarse al auditado y a las personas responsables de la gestión del programa de auditoría. El informe de la auditoría debería estar fechado, revisado y aceptado, según sea apropiado, de acuerdo con el programa de auditoría. A continuación, el informe de la auditoría debería distribuirse a las partes interesadas pertinentes definidas en el programa de auditoría o en el plan de auditoría. Al distribuir el informe de la auditoría, deberían tenerse en cuenta las medidas apropiadas para asegurar la confidencialidad. 6.6 Finalización de la auditoría La auditoría finaliza cuando se hayan realizado todas las actividades de auditoría planificadas, o si se ha acordado de otro modo con el cliente de la auditoría (por ejemplo, podría haber una situación inesperada que impida que la auditoría se finalice de acuerdo con el plan de auditoría). La información documentada perteneciente a la auditoría debería conservarse o eliminarse de común acuerdo entre las partes participantes y de acuerdo con el programa de auditoría y los requisitos aplicables. Salvo que se requiera por ley, el equipo auditor y las personas responsables de la gestión del programa de auditoría no deberían revelar ninguna información obtenida durante la auditoría ni el informe de la auditoría a ninguna otra parte, sin la aprobación explícita del cliente de la auditoría y, cuando sea apropiado, la del auditado. Si se requiere revelar el contenido de un documento de la auditoría, el cliente de la auditoría y el auditado deberían ser informados tan pronto como sea posible.
- um resumo cobrindo as conclusões de auditoria e as principais constatações de auditoria que a apoiam; - boas práticas identificadas; - acompanhamento de plano de ação acordado, se houver; - uma declaração da natureza confidencial dos conteúdos; - quaisquer implicações para o programa de auditoria ou auditorias subsequentes. 6.5.2 Distribuindo o relatório da auditoria Convém que o relatório de auditoria seja emitido em um período de tempo acordado. Se ele estiver atrasado, convém que as razões sejam comunicadas ao auditado e à(s) pessoa(s) que gerencia(m) o programa de auditoria. Convém que o relatório de auditoria seja datado, analisado criticamente e aceito, conforme apropriado, de acordo com o programa de auditoria. Convém que o relatório de auditoria seja então distribuído às partes interessadas pertinentes especificadas no programa de auditoria ou plano de auditoria. Ao distribuir o relatório de auditoria, convém que medidas apropriadas para assegurar a confidencialidade sejam consideradas. 6.6 Concluindo a auditoria A auditoria é concluída quando todas as atividades de auditoria planejadas tiverem sido realizadas ou, de outro modo, tiver sido acordado com o cliente de auditoria (por exemplo, pode haver uma situação inesperada que impeça a auditoria ser concluída de acordo com o plano de auditoria). Convém que informação documentada pertencente à auditoria seja retida ou descartada por acordo entre as partes participantes e de acordo com o programa de auditoria e com os requisitos aplicáveis. A menos que requerido por lei, não convém que a equipe de auditoria e a(s) pessoa(s) que gerencia(m) o programa de auditoria divulguem qualquer informação obtida durante a auditoria, ou o relatório de auditoria, para qualquer outra parte sem a aprovação explícita do cliente da auditoria e, onde apropriado, a aprovação do auditado. Se a divulgação do conteúdo de um documento de auditoria for requerida, convém que o cliente da auditoria e o auditado sejam informados assim que possível.
NM ISO 19011:2018
43
Las lecciones aprendidas de la auditoría pueden identificar los riesgos y oportunidades para el programa de auditoría y para el auditado. 6.7 Realización de las actividades de seguimiento de una auditoría Los resultados de la auditoría pueden, dependiendo de los objetivos de la auditoría, indicar la necesidad de correcciones, o de acciones correctivas, u oportunidades para la mejora. Tales acciones generalmente son decididas y emprendidas por el auditado en un intervalo de tiempo acordado. Cuando sea apropiado, el auditado debería mantener informadas a las personas responsables de la gestión del programa de auditoría y/o al equipo auditor sobre el estado de estas acciones. Debería verificarse si se completaron las acciones y su eficacia. Esta verificación puede ser parte de una auditoría posterior. Debería presentarse un informe con los resultados a la persona responsable de la gestión del programa de auditoría, y al cliente de la auditoría para la revisión por la dirección. 7 Competencia y evaluación de los auditores 7.1 Generalidades La confianza en el proceso de auditoría y la capacidad de lograr sus objetivos depende de la competencia de aquellas personas que participen en la realización de las auditorías, incluyendo los auditores y líderes de equipos auditores. La competencia debería evaluarse regularmente a través de un proceso que considere el comportamiento personal y la capacidad para aplicar los conocimientos y las habilidades adquiridos a través de la educación, la experiencia laboral, la formación como auditor y la experiencia en auditorías. Este proceso debería tener en cuenta las necesidades del programa de auditoría y sus objetivos. Algunos de los conocimientos y habilidades descritos en el Apartado 7.2.3 son comunes a los auditores de cualquier disciplina de sistema de gestión; otros son específicos de disciplinas de sistemas de gestión individuales. No es necesario que cada auditor en el equipo auditor tenga la misma competencia. Sin embargo, la competencia global del equipo auditor necesita ser suficiente para lograr los objetivos de la auditoría. La evaluación de la competencia del auditor debería planificarse, implementarse y documentarse para proporcionar un resultado que es objetivo, coherente, imparcial y fiable. El proceso de evaluación debería incluir cuatro pasos principales, como se indica a continuación:
Lições apreendidas da auditoria podem identificar riscos e oportunidades para o programa de auditoria e o auditado. 6.7 Conduzindo o acompanhamento da auditoria O resultado da auditoria pode, dependendo dos objetivos da auditoria, indicar a necessidade para correções ou para ações corretivas ou oportunidades para melhoria. Tais ações são usualmente decididas e realizadas pelo auditado em um período de tempo acordado. Conforme apropriado, convém que o auditado mantenha a(s) pessoa(s) que gerencia(m) o programa de auditoria e/ou a equipe de auditoria informadas da situação destas ações. Convém que a conclusão e a eficácia destas ações sejam verificadas. Esta verificação pode ser parte de uma auditoria subsequente. Convém que os resultados sejam relatados à pessoa que gerencia o programa de auditoria e relatados ao cliente de auditoria para análise crítica pela direção. 7 Competência e avaliação de auditores 7.1 Generalidades Confiança no processo de auditoria e na capacidade para alcançar seus objetivos depende da competência daquelas pessoas que estão envolvidas na realização de auditorias, incluindo auditores e líderes da equipe de auditoria. Convém que a competência seja avaliada regularmente por meio de um processo que considere o comportamento pessoal e a capacidade para aplicar conhecimento e habilidades obtidos por meio de educação, experiência de trabalho, treinamento de auditor e experiência de auditoria. Convém que este processo leve em consideração as necessidades do programa de auditoria e seus objetivos. Alguns dos conhecimentos e habilidades descritos em 7.2.3 são comuns para auditores de qualquer disciplina de sistema de gestão; outros são específicos para disciplinas particulares de sistemas de gestão. Não é necessário que cada auditor na equipe de auditoria tenha a mesma competência. Entretanto, a competência global da equipe de auditoria necessita ser suficiente para alcançar os objetivos da auditoria. Convém que a avaliação da competência do auditor seja planejada, implementada e documentada para fornecer um resultado que seja objetivo, coerente, justo e confiável. Convém que o processo de avaliação inclua quatro passos principais, como a seguir:
NM ISO 19011:2018
44
a) determinar la competencia requerida para cumplir las necesidades del programa de auditoría; b) establecer los criterios de evaluación; c) seleccionar el método de evaluación apropiado; d) realizar la evaluación. El resultado del proceso de evaluación debería proporcionar la base para lo siguiente: - la selección de los miembros del equipo auditor (como se describe en 5.5.4); - la determinación de la necesidad de mejorar la competencia (por ejemplo, formación adicional); - la evaluación continua del desempeño de los auditores. Los auditores deberían desarrollar, mantener y mejorar su competencia mediante el desarrollo profesional continuo y la participación regular en auditorías (véase 7.6). En los Apartados 7.3, 7.4 y 7.5 se describe un proceso para evaluar a los auditores y a los líderes de equipos auditores. Los auditores y los líderes de equipos auditores deberían ser evaluados respecto a los criterios establecidos en los Apartados 7.2.2 y 7.2.3, así como respecto a los criterios establecidos en el Apartado 7.1. La competencia requerida de las personas responsables de la gestión del programa de auditoría se describe en el Apartado 5.4.2. 7.2 Determinación de la competencia del auditor 7.2.1 Generalidades Al decidir la competencia necesaria para una auditoría, se debería considerar el conocimiento y las habilidades de un auditor relacionados con lo siguiente: a) el tamaño, la naturaleza, la complejidad, los productos, los servicios y los procesos de los auditados; b) los métodos de auditoría; c) las disciplinas del sistema de gestión que se va a auditar; d) la complejidad y los procesos del sistema de gestión que se va a auditar;
a) determinar a competência necessária para atender às necessidades do programa de auditoria; b) estabelecer os critérios de avaliação; c) selecionar o método apropriado de avaliação; d) conduzir a avaliação. Convém que o resultado do processo de avaliação forneça uma base para o seguinte: - seleção dos membros da equipe de auditoria (como descrito em 5.5.4); - determinação da necessidade para competência melhorada (por exemplo, treinamento adicional); - avaliação continuada do desempenho de auditores. Convém que os auditores desenvolvam, mantenham e melhorem suas competências por meio de um desenvolvimento profissional contínuo e participação regular em auditorias (ver 7.6). Um processo para avaliação dos auditores e líderes de equipes de auditoria está descrito em 7.3, 7.4 e 7.5. Convém que auditores e líderes de equipes de auditoria sejam avaliados em relação aos critérios estabelecidos em 7.2.2 e 7.2.3, assim como aos critérios estabelecidos em 7.1. A competência requerida da(s) pessoa(s) que gerencia(m) o programa de auditoria está descrita em 5.4.2. 7.2 Determinando a competência de auditor 7.2.1 Generalidades Ao decidir a competência necessária para uma auditoria, convém que o conhecimento e as habilidades de um auditor relacionados ao seguinte sejam considerados: a) tamanho, natureza, complexidade, produtos, serviços e processos de auditados; b) métodos para auditar; c) disciplinas do sistema de gestão a serem auditadas; d) complexidade e processos do sistema de gestão a serem auditados;
NM ISO 19011:2018
45
e) los tipos y niveles de riesgos y oportunidades abordados por el sistema de gestión; f) los objetivos y extensión del programa de auditoría; g) la incertidumbre en el logro de los objetivos de auditoría; h) otros requisitos, tales como los impuestos por el cliente de la auditoría u otras partes interesadas pertinentes, cuando sea apropiado. Esta información debería compararse con lo enumerado en el Apartado 7.2.3. 7.2.2 Comportamiento personal Los auditores deberían poseer los atributos necesarios que les permitan actuar de acuerdo con los principios de la auditoría tal como se describe en el Capítulo 4. Los auditores deberían demostrar un comportamiento profesional durante el desempeño de las actividades de auditoría. Los comportamientos profesionales deseados incluyen ser: a) ético, es decir, imparcial, sincero, honesto y discreto; b) de mentalidad abierta, es decir, dispuesto a considerar ideas o puntos de vista alternativos; c) diplomático, es decir, con tacto en las relaciones con las personas; d) observador, es decir, activamente consciente del entorno físico y las actividades; e) perceptivo, es decir, consciente y capaz de entender las situaciones; f) versátil, es decir, capaz de adaptarse fácilmente a diferentes situaciones; g) tenaz, es decir, persistente y orientado hacia el logro de los objetivos; h) decidido, es decir, capaz de alcanzar conclusiones oportunas basadas en el análisis y el razonamiento lógico; i) seguro de sí mismo, es decir, capaz de actuar y funcionar independientemente a la vez que interactúa eficazmente con otros; j) capaz de actuar con firmeza, es decir, capaz de actuar de manera responsable y ética, aunque estas acciones puedan no ser siempre populares y en alguna ocasión puedan causar desacuerdos o alguna confrontación;
e) tipos e níveis de riscos e oportunidades abordados pelo sistema de gestão; f) objetivos e extensão do programa de auditoria; g) incerteza de alcançar os objetivos de auditoria; h) outros requisitos, como aqueles impostos pelo cliente de auditoria ou outras partes interessadas pertinentes, onde apropriado. Convém que esta informação seja conciliada com aquela listada em 7.2.3. 7.2.2 Comportamento pessoal Convém que os auditores possuam os atributos necessários para possibilitá-los a agir de acordo com os princípios de auditoria, como descrito na Seção 4. Convém que aos auditores demonstrem comportamento profissional durante o desempenho das atividades de auditoria. Comportamento profissional desejado inclui ser: a) ético, isto é, ser justo, verdadeiro, sincero, honesto e discreto; b) mente aberta, isto é, estar disposto a considerar ideias ou pontos de vista alternativos; c) diplomático, isto é, ser sensível ao lidar com pessoas; d) observador, isto é, observar ativamente o ambiente físico e as atividades; e) perceptivo, isto é, estar consciente e ser capaz de entender situações; f) versátil, isto é, ser capaz de prontamente se adaptar a diferentes situações; g) tenaz, isto é, ser persistente focado em alcançar objetivos; h) decisivo, isto é, ser capaz de alcançar conclusões em tempo hábil com base em raciocínio lógico e análise; i) autoconfiante, isto é, ser capaz de agir e funcionar independentemente enquanto interage eficazmente com outros; j) capaz de agir com firmeza, isto é, ser capaz de atuar responsavelmente e eticamente, mesmo que estas ações possam não ser sempre populares e possam algumas vezes resultar em desacordo ou confrontação;
NM ISO 19011:2018
46
k) abierto a la mejora, es decir, dispuesto a aprender de las situaciones; l) abierto a las diferencias culturales, es decir, observador y respetuoso con la cultura del auditado; m) colaborador, es decir, que interactúa eficazmente con los demás, incluyendo los miembros del equipo auditor y el personal del auditado. 7.2.3 Conocimientos y habilidades 7.2.3.1 Generalidades Los auditores deberían poseer: a) los conocimientos y las habilidades necesarios para lograr los resultados previstos de las auditorías que se espera que lleven a cabo; b) competencia genérica, y un cierto nivel de conocimientos y habilidades específicos de la disciplina y del sector. Los líderes del equipo auditor deberían tener los conocimientos y habilidades adicionales necesarios para dirigir al equipo auditor. 7.2.3.2 Conocimientos y habilidades genéricos de los auditores de sistemas de gestión Los auditores deberían tener conocimientos y habilidades en las áreas señaladas a continuación. a) Principios, procesos y métodos de auditoría: los conocimientos y habilidades en esta área permiten al auditor asegurarse de que las auditorías se realizan de manera coherente y sistemática. Un auditor debería ser capaz de:
- comprender los tipos de riesgos y oportunidades asociados con la auditoría y los principios del enfoque basado en riesgos para la auditoría; - planificar y organizar el trabajo eficazmente; - llevar a cabo la auditoría dentro del horario acordado; - establecer prioridades y centrarse en los temas de importancia; - comunicarse de forma eficaz oralmente y por escrito (personalmente, o mediante el uso de intérpretes);
k) aberto a melhorias, isto é, ser disposto a aprender com situações; l) culturalmente sensível, isto é, ser observador e respeitoso com a cultura do auditado; m) colaborativo, isto é, interagir eficazmente com outros, incluindo os membros da equipe de auditoria e o pessoal do auditado. 7.2.3 Conhecimento e habilidades 7.2.3.1 Generalidades Convém que os auditores possuam: a) conhecimento e habilidades necessários para alcançar os resultados pretendidos das auditorias que se espera que eles desempenhem; b) competência genérica e um nível de conhecimento e habilidades de disciplinas e setores específicos. Convém que os líderes das equipes de auditoria tenham conhecimento e habilidades adicionais necessários para fornecer liderança à equipe de auditoria. 7.2.3.2 Conhecimento e habilidades genéricos de auditores do sistema de gestão Convém que os auditores tenham conhecimento e habilidades nas áreas delineadas abaixo. a) Princípios, processos e métodos de auditoria: conhecimento e habilidades nesta área possibilitam o auditor a assegurar que as auditorias sejam desempenhadas de maneira coerente e sistemática. Convém que um auditor seja capaz de:
- entender os tipos de riscos e oportunidades associados à auditoria e os princípios da abordagem baseada em risco para auditar; - planejar e organizar o trabalho eficazmente; - desempenhar a auditoria dentro do calendário acordado; - priorizar e focar assuntos de significância; - comunicar-se eficazmente, oralmente e por escrito (pessoalmente ou com o uso de intérpretes);
NM ISO 19011:2018
47
- recopilar información, mediante entrevistas eficaces, escuchando, observando y revisando la información documentada, incluyendo registros y datos; - comprender lo apropiado de utilizar técnicas de muestreo para las auditorías, y sus consecuencias; - comprender y tener en consideración las opiniones de los expertos técnicos; - auditar un proceso de principio a fin, incluyendo las interrelaciones con otros procesos y las diferentes funciones, cuando sea apropiado; - verificar la pertinencia y exactitud de la información recopilada; - confirmar que la evidencia de la auditoría es suficiente y apropiada para apoyar los hallazgos y conclusiones de la auditoría; - evaluar los factores que pueden afectar a la fiabilidad de los hallazgos y conclusiones de la auditoría; - documentar las actividades de auditoría y los hallazgos de la auditoría y preparar informes; - mantener la confidencialidad y seguridad de la información.
b) Normas de sistemas de gestión y otras referencias: los conocimientos y habilidades en esta área permiten al auditor comprender el alcance de la auditoría y aplicar los criterios de auditoría, y deberían cubrir lo siguiente:
- las normas de sistemas de gestión u otros documentos normativos o de orientación/apoyo usados para establecer los criterios o los métodos de auditoría; - la aplicación de normas de sistemas de gestión por parte del auditado y de otras organizaciones; - las relaciones e interacciones entre los procesos de los sistemas de gestión; - la comprensión de la importancia y la prioridad de las múltiples normas o referencias; - la aplicación de normas o referencias a las diferentes situaciones de auditoría.
c) La organización y su contexto: los conocimientos y habilidades en esta área permiten al auditor comprender la estructura, el propósito y las prácticas de gestión del auditado, y deberían cubrir lo siguiente:
- coletar informação por meio de entrevistas, escuta, observação e análise crítica de informação documentada eficazes, incluindo registros e dados; - entender a propriedade e consequências de usar técnicas de amostragem para auditar; - entender e considerar opiniões de especialistas; - auditar um processo do início ao fim, incluindo as inter-relações com outros processos e diferentes funções, onde apropriado; - verificar a relevância e a exatidão da informação coletada; - confirmar a suficiência e a propriedade da evidência de auditoria para apoiar constatações e conclusões de auditoria; - avaliar aqueles fatores que possam afetar a confiabilidade das constatações e conclusões de auditoria; - documentar atividades de auditoria e constatações de auditoria e preparar relatórios; - manter a confidencialidade e a segurança da informação.
b) Normas de sistema de gestão e outras referências: conhecimento e habilidades nesta área possibilitam o auditor a entender o escopo da auditoria e aplicar critérios de auditoria, e convém que abranjam o seguinte:
- normas de sistema de gestão ou outros documentos normativos ou de orientação/apoio usados para estabelecer critérios ou métodos de auditoria; - aplicação de normas de sistema de gestão pelo auditado e outras organizações; - relacionamentos e interações entre os processos do(s) sistema(s) de gestão; - entendimento da importância e prioridade de normas ou referências múltiplas; - aplicação de normas ou referências a diferentes situações de auditoria.
c) A organização e seu contexto: conhecimento e habilidades nesta área possibilitam o auditor a entender a estrutura, propósito e práticas de gestão do auditado, e convém que abranjam o seguinte:
NM ISO 19011:2018
48
- las necesidades y expectativas de las partes interesadas pertinentes que tienen impacto en el sistema de gestión; - el tipo de organización, su gobernanza, tamaño, estructura, funciones y relaciones; - los conceptos generales del negocio y de la gestión, los procesos y la terminología relacionada, incluyendo la planificación, la preparación de presupuestos y la gestión de las personas; - los aspectos culturales y sociales del auditado.
d) Requisitos legales y reglamentarios aplicables y otros requisitos: los conocimientos y las habilidades en esta área permiten al auditor ser consciente de los requisitos de la organización y trabajar de acuerdo con ellos. Los conocimientos y las habilidades específicos de la jurisdicción o de las actividades, procesos, productos y servicios del auditado deberían cubrir lo siguiente:
- los requisitos legales y reglamentarios y sus autoridades gubernamentales; - la terminología legal básica; - los contratos y la responsabilidad legal.
NOTA Ser consciente de los requisitos legales y reglamentarios no implica ser experto en temas legales, y una auditoría de un sistema de gestión no debería tratarse como una auditoría de cumplimiento legal. 7.2.3.3 Competencia de los auditores en la disciplina y en el sector específicos Los equipos auditores deberían tener la competencia colectiva apropiada en la disciplina y en el sector específico para auditar los tipos particulares de sistemas de gestión y sectores. La competencia de los auditores en la disciplina y en el sector específicos incluye lo siguiente: a) los requisitos y principios del sistema de gestión, y su aplicación; b) los fundamentos de las disciplinas y sectores relacionados con las normas de sistemas de gestión aplicados por el auditado; c) la aplicación de métodos, técnicas, procesos y prácticas específicos de la disciplina y el sector, para permitir al equipo auditor evaluar la conformidad dentro del alcance de la auditoría definido y generar los hallazgos y conclusiones apropiados de la auditoría; d) los principios, los métodos y las técnicas pertinentes para la disciplina y el sector, tales que
- necessidades e expectativas de partes interessadas pertinentes que impactam o sistema de gestão; - tipo de organização, governança, tamanho, estrutura, funções e relacionamentos; - conceitos gerais de gestão e negócios, processos e terminologia relacionada, incluindo planejamento, orçamento e gestão de pessoas; - aspectos culturais e sociais do auditado.
d) Requisitos regulamentares e estatutários aplicáveis e outros requisitos: conhecimento e habilidades nesta área possibilitam o auditor a estar consciente de, e trabalhar de acordo com, os requisitos da organização. Convém que conhecimento e habilidades específicos para a jurisdição ou para as atividades, processos, produtos e serviços do auditado abranjam o seguinte:
- requisitos estatutários e regulamentares e suas agências governamentais; - terminologia legal básica; - contratação e responsabilidade.
NOTA Consciência dos requisitos estatutários e regulamentares não implica especialização em leis e não convém que uma auditoria de sistema de gestão seja tratada como uma auditoria de compliance. 7.2.3.3 Competência de auditores em disciplina e setor específicos Convém que as equipes de auditoria tenham competência coletiva apropriada da disciplina e do setor específicos para auditar os tipos particulares de sistemas de gestão e setores. A competência de auditores na disciplina e setor específicos inclui o seguinte: a) requisitos e princípios de sistema de gestão e suas aplicações; b) fundamentos da(s) disciplina(s) e setor(es) relacionados às normas de sistema de gestão, como aplicados pelo auditado; c) aplicação de métodos, técnicas, processos e práticas de disciplina e de setor específicos para possibilitar a equipe de auditoria a avaliar a conformidade no escopo de auditoria estabelecido e gerar constatações e conclusões de auditoria apropriadas; d) princípios, métodos e técnicas pertinentes à disciplina e setor, tais que o auditor possa
NM ISO 19011:2018
49
el auditor pueda determinar y evaluar los riesgos y oportunidades asociados con los objetivos de la auditoría. 7.2.3.4 Competencia genérica del líder de un equipo auditor A fin de facilitar la realización eficiente y eficaz de la auditoría, un líder de equipo auditor debería tener la competencia para: a) planificar la auditoría y asignar tareas de auditoría de acuerdo con la competencia específica de los miembros individuales del equipo auditor; b) discutir las cuestiones estratégicas con la alta dirección del auditado para determinar si han considerado estas cuestiones al evaluar los riesgos y oportunidades; c) desarrollar y mantener una relación de trabajo colaborativa entre los miembros del equipo auditor; d) gestionar el proceso de auditoría, incluyendo:
- hacer un uso eficaz de los recursos durante la auditoría; - gestionar la incertidumbre de lograr los objetivos de la auditoría; - proteger la seguridad y la salud de los miembros del equipo auditor durante la auditoría, incluyendo asegurar el cumplimiento de los auditores con los acuerdos pertinentes de seguridad y salud y seguridad física; - dirigir a los miembros del equipo auditor; - proporcionar dirección y orientación a los auditores en formación; - prevenir y resolver los conflictos y problemas que puedan ocurrir durante la auditoría, incluyendo aquellos dentro del equipo auditor, cuando sea necesario.
e) representar al equipo auditor en las comunicaciones con las personas responsables de la gestión del programa de auditoría, el cliente de la auditoría y el auditado; f) liderar el equipo auditor para alcanzar las conclusiones de la auditoría; g) preparar y completar el informe de la auditoría. 7.2.3.5 Conocimientos y habilidades para auditar múltiples disciplinas Al auditar sistemas de gestión de múltiples disciplinas, el miembro del equipo auditor debería
determinar e avaliar os riscos e oportunidades associados aos objetivos da auditoria. 7.2.3.4 Competência genérica de líder de equipe de auditoria Para facilitar a condução eficiente e eficaz da auditoria, convém que um líder de equipe de auditoria tenha competência para: a) planejar a auditoria e atribuir tarefas de auditoria de acordo com a competência específica dos membros individuais da equipe de auditoria; b) discutir questões estratégicas com a Alta Direção do auditado para determinar se ela considerou estas questões ao avaliar seus riscos e oportunidades; c) desenvolver e manter um relacionamento de trabalho colaborativo entre os membros da equipe de auditoria; d) gerenciar o processo de auditoria, incluindo:
- fazer uso eficaz dos recursos durante a auditoria; - gerenciar a incerteza de alcançar objetivos de auditoria; - proteger a saúde e segurança dos membros da equipe de auditoria durante a auditoria, incluindo assegurar compliance dos auditores com os arranjos pertinentes de saúde e segurança, e segurança; - orientar os membros da equipe de auditoria; - fornecer direção e orientação para auditores em treinamento; - prevenir e resolver conflitos e problemas que possam ocorrer durante a auditoria, incluindo aqueles na equipe de auditoria, se necessário.
e) representar a equipe de auditoria nas comunicações com a(s) pessoa(s) que gerencia(m) o programa de auditoria, o cliente de auditoria e o auditado; f) liderar a equipe de auditoria para alcançar as conclusões de auditoria; g) preparar e concluir o relatório de auditoria. 7.2.3.5 Conhecimento e habilidades para auditar múltiplas disciplinas Ao auditar sistemas de gestão de múltiplas disciplinas, convém que o membro da equipe de
NM ISO 19011:2018
50
tener conocimientos de las interacciones y sinergias entre los distintos sistemas de gestión. Los líderes de equipos auditores deberían comprender los requisitos de cada una de las normas de sistemas de gestión que se auditan y reconocer los límites de su competencia en cada una de las disciplinas. NOTA Las auditorías de múltiples disciplinas llevadas a cabo de manera simultánea pueden realizarse como una auditoría combinada o como una auditoría de un sistema de gestión integrado que cubre múltiples disciplinas. 7.2.4 Logro de la competencia del auditor La competencia del auditor puede obtenerse usando una combinación de lo siguiente: a) completando exitosamente los programas de formación que cubren los conocimientos y habilidades genéricos de un auditor; b) experiencia en una función técnica, de dirección o profesional pertinente que involucre el ejercicio de juicio, la toma de decisiones, la solución de problemas y la comunicación con miembros de la dirección, profesionales, pares, clientes y otras partes interesadas pertinentes; c) educación/formación y experiencia en una disciplina y sector de sistemas de gestión específicos que contribuye al desarrollo de la competencia global; d) experiencia en auditorías adquirida bajo la supervisión de un auditor competente en la misma disciplina. NOTA La culminación exitosa de un curso de formación dependerá del tipo de curso. Para cursos con un componente de examen puede suponer aprobar exitosamente el examen. Para otros cursos, puede significar participar en el curso y completarlo. 7.2.5 Logro de la competencia del líder del equipo auditor Un líder de equipo auditor debería haber adquirido experiencia adicional en auditoría para desarrollar la competencia descrita en el Apartado 7.2.3.4. Esta experiencia adicional debería haberse adquirido trabajando bajo la dirección y orientación de un líder de equipo auditor diferente. 7.3 Establecimiento de los criterios de evaluación del auditor Los criterios deberían ser cualitativos (tales como haber demostrado el comportamiento deseado, los conocimientos o el desempeño de las habilidades, en la formación o en el lugar de trabajo) y cuantitativos (tales como los años de experiencia
auditoria tenha um entendimento das interações e sinergia entre os diferentes sistemas de gestão. Convém que líderes da equipe de auditoria entendam os requisitos de cada uma das normas de sistema de gestão que estão sendo auditadas e reconheçam os limites de sua competência em cada uma das disciplinas. NOTA Auditorias de múltiplas disciplinas feitas simultaneamente podem ser feitas como uma auditoria combinada ou como uma auditoria de sistema de gestão integrada que abranja múltiplas disciplinas. 7.2.4 Alcançando a competência de auditor A competência de auditor pode ser adquirida usando uma combinação do seguinte: a) conclusões com sucesso de programas de treinamento que abranjam conhecimento e habilidades genéricos de auditor; b) experiência em uma posição técnica, gerencial ou profissional pertinente, envolvendo o exercício de julgamento, tomada de decisão, solução de problema e comunicação com gerentes, profissionais, pares, clientes e outras partes interessadas pertinentes; c) educação/treinamento e experiência em uma disciplina e setor específicos de sistema de gestão que contribuam para o desenvolvimento da competência global; d) experiência de auditoria adquirida sob supervisão de um auditor competente na mesma disciplina. NOTA A conclusão com sucesso de um curso de treinamento dependerá do tipo do curso. Para cursos com componente de exame, isso pode significar ser aprovado no exame. Para outros cursos, isso pode significar participar no curso e concluí-lo. 7.2.5 Alcançando a competência do líder da equipe de auditoria Convém que um líder da equipe de auditoria tenha adquirido experiência adicional em auditoria para desenvolver a competência descrita em 7.2.3.4. Convém que esta experiência adicional tenha sido adquirida trabalhando sob a direção e orientação de um líder de equipe de auditoria diferente. 7.3 Estabelecendo os critérios de avaliação de auditor Convém que os critérios sejam qualitativos (como ter demonstrado comportamento, conhecimento ou desempenho desejável das habilidades, em treinamento ou em local de trabalho) e quantitativos (como os anos de experiência de trabalho e
NM ISO 19011:2018
51
laboral y de educación, el número de auditorías realizadas, las horas de formación en auditoría). 7.4 Selección del método apropiado de evaluación del auditor La evaluación debería llevarse a cabo usando dos o más de los métodos indicados en la Tabla 2. Al utilizar la Tabla 2, se debería tener en cuenta lo siguiente: a) los métodos señalados representan una variedad de opciones que pueden no ser aplicables en todas las situaciones; b) los diversos métodos señalados pueden diferir en su fiabilidad; c) debería utilizarse una combinación de métodos para asegurar un resultado objetivo, coherente, imparcial y fiable.
educação, número de auditorias conduzidas, horas de treinamento em auditoria). 7.4 Selecionando o método apropriado de avaliação de auditor Convém que a avaliação seja conduzida usando dois ou mais dos métodos dados na Tabela 2. Ao usar a Tabela 2, convém que seja notado o seguinte: a) os métodos delineados representam uma gama de opções e podem não ser aplicáveis a todas situações; b) os vários métodos delineados podem variar quanto à sua confiabilidade; c) convém que uma combinação de métodos seja usada para assegurar um resultado que seja objetivo, coerente, justo e confiável.
NM ISO 19011:2018
52
Tabla 2 - / Tabela 2 – Métodos de evaluación del auditor / Métodos de avaliação de auditores
Método de evaluación / Métodos de avaliação
Objetivos Ejemplos / Exemplos
Revisión de registros / Análise crítica dos
registros
Verificar los antecedentes del auditor / Verificar a formação profissional do auditor
Análisis de los registros de educación, formación, laborales, credenciales profesionales y experiencia en auditorías / Análise de registros de educação, treinamento, emprego, credenciais profissionais e experiência em auditar
Retroalimentación / Realimentação
Proporcionar información sobre cómo se percibe el desempeño del auditor / Fornecer informação sobre como o desempenho do auditor é percebido
Encuestas, cuestionarios, referencias personales, recomendaciones, quejas, evaluación del desempeño, revisión entre pares / Pesquisas, questionários, referências pessoais, testemunhos, reclamações, avaliação de desempenho, análise crítica por pares
Entrevista
Evaluar el comportamiento profesional deseado y las habilidades de comunicación, para verificar la información y examinar los conocimientos, y para obtener información adicional / Avaliar o comportamento profissional e a habilidade de comunicação desejados para verificar informação e testar conhecimento e para adquirir informação adicional
Entrevistas personales / Entrevista pessoal
Observación / Observação
Evaluar el comportamiento profesional deseado y la aptitud para aplicar los conocimientos y habilidades / Avaliar o comportamento profissional desejado e a capacidade para aplicar conhecimento e habilidades
Juego de roles, auditorías en presencia de un testigo, desempeño en una situación real / Desempenho de funções, auditorias de testemunho e desempenho no trabalho
Examen / Teste
Evaluar el comportamiento deseado y los conocimientos y habilidades y su aplicación / Avaliar o comportamento e conhecimento e habilidades desejados e sua aplicação
Exámenes orales y escritos, exámenes psicotécnicos / Exames orais e escritos, testes psicométricos
Revisión después de la auditoria / Análise crítica pós-auditoria
Proporcionar información sobre el desempeño del auditor durante las actividades de auditoría, identificar fortalezas y oportunidades para la mejora / Fornecer informações sobre o desempenho do auditor durante as atividades de auditoria, identificar forças e oportunidades para melhoria
Revisión del informe de la auditoría, entrevistas con el líder del equipo auditor, el equipo auditor y, si es apropiado, retroalimentación del auditado / Análise crítica do relatório de auditoria, entrevistas com o líder da equipe de auditoria e com, a equipe de auditoria e, se apropriado, feedback do auditado
7.5 Realización de la evaluación del auditor La información recopilada sobre el auditor bajo evaluación debería compararse con los criterios establecidos en el Apartado 7.2.3. Cuando un auditor bajo evaluación del que se espera que participe en un programa de auditoría no cumple los criterios, entonces debería adquirir formación adicional, experiencia laboral o experiencia en auditorías, y debería realizarse posteriormente una nueva evaluación. 7.6 Mantenimiento y mejora de la competencia del auditor Los auditores y los líderes de equipos auditores deberían mejorar su competencia de manera
7.5 Conduzindo a avaliação de auditor Convém que a informação coletada sobre o auditor em avaliação seja comparada em relação aos critérios estabelecidos em 7.2.3. Quando um auditor em avaliação do qual se espera participação no programa de auditoria não preenche os critérios, convém que, então, sejam realizados treinamentos, trabalhos ou experiências em auditoria adicionais e que seja realizada uma reavaliação subsequente. 7.6 Mantendo e melhorando a competência de auditor Convém que os auditores e líderes da equipe de auditoria melhorem continuamente sua
NM ISO 19011:2018
53
continua. Los auditores deberían mantener su competencia en auditoría a través de la participación regular en auditorías de sistemas de gestión y del desarrollo profesional continuo. Esto puede conseguirse a través de medios como experiencia laboral adicional, formación, auto estudio, tutorías, asistencia a reuniones, seminarios y conferencias u otras actividades pertinentes. Las personas responsables de la gestión del programa de auditoría deberían establecer los mecanismos adecuados para la evaluación continua del desempeño de los auditores, y de los líderes de equipos auditores. Las actividades de desarrollo profesional continuo deberían tener en cuenta lo siguiente: a) los cambios en las necesidades de la persona y de la organización responsable de la realización de la auditoría; b) los desarrollos en las técnicas de auditoría, incluyendo el uso de tecnología; c) las normas pertinentes, incluyendo documentos de orientación/apoyo, y otros requisitos; d) los cambios en el sector o en las disciplinas.
competência. Convém que os auditores mantenham sua competência em auditar por meio de participação regular em auditorias de sistemas de gestão e desenvolvimento profissional contínuo. Isso pode ser alcançado por meios como experiência adicional de trabalho, treinamento, estudo privado, instrução, participação em reuniões, seminários e conferências ou outras atividades pertinentes. Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria estabeleça(m) mecanismos adequados para a avaliação contínua do desempenho dos auditores e líderes da equipe de auditoria. Convém que as atividades de desenvolvimento profissional contínuo levem em conta o seguinte: a) mudanças nas necessidades das pessoas e da organização responsável pela condução da auditoria; b) desenvolvimentos na prática de auditar, incluindo o uso de tecnologia; c) normas pertinentes, incluindo documentos de orientação/apoio e outros requisitos; d) mudanças no setor ou disciplinas.
NM ISO 19011:2018
54
Anexo A (informativo)
Orientación adicional destinada a los auditores que planifican y realizan las auditorías
Orientação adicional para auditores planejarem e conduzirem auditorias
A.1 Aplicación de los métodos de auditoría Una auditoría puede realizarse usando una variedad de métodos de auditoría. En este anexo puede encontrarse una explicación de los métodos de auditoría usados comúnmente. Los métodos de auditoría elegidos para una auditoría dependen de los objetivos de la auditoría, el alcance y los criterios definidos, así como de la duración y la ubicación. También deberían considerarse la competencia disponible de los auditores y cualquier incertidumbre que surja de la aplicación de los métodos de auditoría. Aplicar una variedad y combinación de diferentes métodos de auditoría puede optimizar la eficiencia y eficacia del proceso de auditoría y sus resultados. La realización de una auditoría implica una interacción entre personas dentro del sistema de gestión que se audita y la tecnología utilizada para llevar a cabo la auditoría. La Tabla A.1 proporciona ejemplos de métodos de auditoría que pueden usarse, por separado o en combinación, para lograr los objetivos de la auditoría. Si una auditoría supone el uso de un equipo auditor con múltiples miembros, pueden usarse métodos in situ y métodos remotos simultáneamente. NOTA Se proporciona información adicional sobre visitar las ubicaciones físicas en A.15.
A.1 Aplicando os métodos de auditoria Uma auditoria pode ser realizada usando uma variedade de métodos de auditoria. Uma explicação sobre os métodos mais comuns usados em auditoria pode ser encontrada neste Anexo. Os métodos de auditoria escolhidos para uma auditoria dependem dos objetivos, escopo e critérios de auditoria estabelecidos, assim como da duração e localização. Convém que a disponibilidade do auditor com competência e qualquer incerteza que surja da aplicação dos métodos de auditoria sejam também consideradas. Aplicar uma variedade e combinação de diferentes métodos de auditoria pode otimizar a eficiência e a eficácia do processo de auditoria e do seu resultado. O desempenho de uma auditoria envolve uma interação entre pessoas no sistema de gestão que está sendo auditado e a tecnologia usada para conduzir a auditoria. A Tabela A.1 fornece exemplos de métodos de auditoria que podem ser usados, individualmente ou em combinação, para alcançar os objetivos de auditoria. Se uma auditoria envolver o uso de uma equipe de auditoria com múltiplos membros, métodos presenciais ou remotos podem ser usados simultaneamente. NOTA Informação adicional para visitar locais físicos é dada em A.15.
NM ISO 19011:2018
55
Tabla A.1 - / Tabela A.1 – Métodos de auditoría / Métodos de auditoria
Grado de interacción
entre el auditor y el auditado / Extensão do
envolvimento entre o auditor e o auditado
Ubicación del auditor / Localização do auditor
In situ / No local A distancia / Remoto
Interacción humana / Interação humana
Realizar entrevistas / Conduzir entrevistas
Completar listas de verificación y cuestionarios con la participación del auditado / Preencher listas de verificação e questionários com a participação do auditado
Revisar los documentos con la participación del auditado / Conduzir análise crítica documental com a participação do auditado
Muestrear / Amostrar
A través de medios de comunicación interactivos:/ Por meios de comunicação interativa:
— realizar entrevistas / conduzir entrevistas;
— observar el trabajo realizado con un guía a distancia / observar trabalho realizado com guia remoto;
— completar listas de verificación y cuestionarios / preencher listas de verificação e questionários;
— revisar los documentos con la participación del auditado / conduzir análise crítica documental com a participação do auditado.
Sin interacción humana / Sem
interação humana
Revisar los documentos (por ejemplo, registros, análisis de datos) / Conduzir análise crítica documental
(por exemplo, registros, análise de dados) Observar el trabajo desempeñado / Observar trabalho realizado
Realizar visitas al sitio / Conduzir visita no local
Completar listas de verificación / Preencher listas de verificação
Muestrear (por ejemplo, productos) / Amostrar (por exemplo, produtos)
Revisar los documentos (por ejemplo, registros, análisis de datos) / Conduzir análise crítica documental (por exemplo, registros, análise de dados)
Observar el trabajo desempeñado a través de medios de vigilancia, considerando los requisitos sociales y legales / Observar o trabalho realizado por meios de monitoramento, considerando requisitos sociais, estatutários e regulamentares.
Analizar los datos / Analisar dados.
Las actividades de auditoría in situ se realizan en las instalaciones del auditado. Las actividades de auditoría a distancia se realizan en cualquier otro lugar distinto de las instalaciones del auditado, sin tener en cuenta la distancia. / Atividades presenciais de auditoria são realizadas no local do auditado. Atividades de auditoria remota são realizadas em qualquer local que não o local do auditado, independentemente da distância.
Las actividades de auditoría interactivas implican la interacción entre el personal del auditado y el equipo auditor. Las actividades de auditoría no interactivas no implican la interacción humana con las personas que representan al auditado, pero implican la interacción con los equipos, las instalaciones y la documentación. / Atividades de auditoria interativa envolvem a interação entre o pessoal do auditado e a equipe de auditoria. Atividades de auditoria não interativa não envolvem interação humana com pessoas que representam o auditado, mas envolvem interação com o equipamento, facilities e documentação.
La responsabilidad de la aplicación eficaz de los métodos de auditoría para cualquier auditoría dada en la etapa de planificación recae en las personas responsables de la gestión del programa de auditoría o en el líder del equipo auditor. El líder del equipo auditor es responsable de realizar las actividades de auditoría. La viabilidad de las actividades de auditoría a distancia puede depender de varios factores (por ejemplo, el nivel de riesgo para el logro de los objetivos de la auditoría, el nivel de confianza que existe entre el auditor y el personal del auditado, y los requisitos reglamentarios).
A responsabilidade pela aplicação eficaz dos métodos de auditoria para qualquer auditoria no estágio de planejamento permanece com a(s) pessoa(s) que gerencia(m) o programa de auditoria ou com o líder da equipe de auditoria. O líder da equipe de auditoria tem esta responsabilidade de conduzir as atividades de auditoria. A viabilidade das atividades de auditoria remota pode depender de vários fatores (por exemplo, o nível de risco em alcançar os objetivos de auditoria, o nível de confiança entre o auditor e o pessoal do auditado e os requisitos regulamentares).
NM ISO 19011:2018
56
En lo que respecta al programa de auditoría, debería asegurarse que el uso de la aplicación a distancia e in situ de los métodos de auditoría es adecuado y equilibrado, para asegurar el logro satisfactorio de los objetivos del programa de auditoría. A.2 Enfoque a procesos para la auditoría El uso de un “enfoque a procesos” es un requisito para todas las normas de sistemas de gestión de ISO de acuerdo con las Directivas ISO/IEC, Parte 1, Anexo SL. Los auditores deberían comprender que auditar un sistema de gestión es auditar los procesos de una organización y sus interacciones en relación con una o más normas de sistemas de gestión. Se logran resultados coherentes y predecibles de manera más eficaz y eficiente cuando las actividades se comprenden y se gestionan como procesos interrelacionados que funcionan como un sistema coherente. A.3 Juicio profesional Los auditores deberían aplicar su juicio profesional durante el proceso de auditoría y evitar concentrarse en los requisitos específicos de cada capítulo de la norma en detrimento de alcanzar el resultado previsto del sistema de gestión. Algunos capítulos de las normas de sistemas de gestión de ISO no se prestan fácilmente a la auditoría en términos de comparación entre un conjunto de criterios y el contenido de un procedimiento o una instrucción de trabajo. En estas situaciones, los auditores deberían usar su juicio profesional para determinar si la intención del capítulo se ha cumplido. A.4 Resultados del desempeño Los auditores deberían centrarse en el resultado previsto del sistema de gestión a lo largo del proceso de auditoría. Aunque son importantes los procesos y lo que deberían lograr, lo que cuenta es el resultado del sistema de gestión y su desempeño. También es importante considerar el nivel de integración de los diferentes sistemas de gestión y sus resultados previstos. La ausencia de un proceso o de documentación puede ser importante en una organización de alto riesgo o compleja, pero no tan importante en otras organizaciones. A.5 Verificación de la información En la medida de lo posible, los auditores deberían considerar si la información proporciona evidencia objetiva suficiente para demostrar que se han cumplido los requisitos, como ser:
No nível do programa de auditoria, convém que seja assegurado que o uso de aplicação remota ou presencial de métodos de auditoria seja adequado e equilibrado, para assegurar um alcance satisfatório dos objetivos do programa de auditoria. A.2 Abordagem de processo para auditar O uso de uma “abordagem de processo” é um requisito para todas normas de sistema de gestão da ISO de acordo com a ISO/IEC Directives, Part 1, Annex SL. Convém que os auditores entendam que auditar um sistema de gestão é auditar processos de uma organização e suas interações em relação a uma ou mais normas de sistema de gestão. Resultados coerentes e previsíveis são alcançados mais eficaz e eficientemente quando atividades são entendidas e gerenciadas como processos inter-relacionados que funcionam como um sistema coerente. A.3 Julgamento profissional Convém que os auditores apliquem julgamento profissional durante o processo de auditoria e evitem se concentrar em requisitos específicos de cada Seção da norma, às expensas de alcançar o resultado pretendido do sistema de gestão. Algumas Seções de normas de sistema de gestão da ISO não se prestam prontamente à auditoria em termos de comparação entre um conjunto de critérios e o conteúdo de um procedimento ou instrução de trabalho. Nestas situações, convém que os auditores usem seu julgamento profissional para determinar se a intenção da Seção foi atendida. A.4 Resultados de desempenho Convém que os auditores estejam focados no resultado pretendido do sistema de gestão ao longo do processo de auditoria. Enquanto processos e o que eles alcançam são importantes, o resultado do sistema de gestão e o seu desempenho são o que conta. Também é importante considerar o nível da integração de diferentes sistemas de gestão e seus resultados pretendidos. A ausência de um processo ou documentação pode ser importante em uma organização de alto risco ou complexa, mas não tão significativa em outras organizações. A.5 Verificando a informação Até onde praticável, convém que os auditores considerem se a informação fornece evidência objetiva suficiente para demonstrar que os requisitos estão sendo atendidos, assim como se a informação é:
NM ISO 19011:2018
57
a) completa (todo el contenido esperado está en la información documentada); b) correcta (el contenido es conforme con otras fuentes fiables, tales como normas y reglamentos); c) coherente (la información documentada es coherente consigo misma y con documentos relacionados); d) actual (el contenido está actualizado). También debería tenerse en cuenta si la información que se está verificando proporciona evidencia objetiva suficiente para demostrar que se han cumplido los requisitos. Si se proporciona información de una manera distinta a la esperada (por ejemplo, por personas diferentes, medios alternativos), debería evaluarse la integridad de la evidencia. Se necesita un cuidado específico para la seguridad de la información debido a los reglamentos aplicables sobre protección de datos (en particular, para la información que queda fuera del alcance de la auditoría pero que también está contenida en el documento). A.6 Muestreo A.6.1 Generalidades El muestreo para la auditoría tiene lugar cuando no es práctico o no es rentable examinar toda la información disponible durante la auditoría, por ejemplo, los registros son demasiado numerosos o están demasiado dispersos geográficamente para justificar el examen de cada elemento de la población. El muestreo para la auditoría de una población grande es el proceso de seleccionar menos del 100% de los elementos dentro del conjunto total de datos disponibles (población) para obtener y evaluar la evidencia sobre alguna característica de esa población, para formar una conclusión sobre la población. El objetivo del muestreo de la auditoría es proporcionar información para que el auditor tenga confianza en que los objetivos de la auditoría pueden lograrse o se lograrán. El riesgo asociado con el muestreo es que las muestras pueden no ser representativas de la población de la que se seleccionan. Por tanto, la conclusión del auditor puede estar sesgada y ser diferente de la que se alcanzaría si se examinara toda la población. Puede haber otros riesgos dependiendo de la variabilidad dentro de la población de la que se va a realizar el muestreo y del método elegido.
a) completa (todo o conteúdo esperado está contido na informação documentada); b) correta (o conteúdo está conforme com outras fontes confiáveis, como normas e regulamentações); c) coerente (a informação documentada é coerente em si e coerente com documentos relacionados); d) atual (o conteúdo está atualizado). Convém que seja também considerado se a informação que está sendo verificada fornece evidência objetiva suficiente para demonstrar que requisitos estão sendo atendidos. Se informação for fornecida de uma maneira diferente da esperada (por exemplo, por pessoas diferentes, meios alternativos), convém que a integridade da evidência seja avaliada. Cuidado específico é necessário para a segurança da informação devido a regulamentações aplicáveis à proteção de dados (em particular para informação que esteja fora do escopo da auditoria, mas que também está contida neste documento). A.6 Amostragem A.6.1 Generalidades Amostragem de auditoria é realizada quando não é prático ou oneroso examinar todas as informações disponíveis durante uma auditoria, por exemplo, registros são muito numerosos ou muito dispersos geograficamente para justificar o exame de cada item na população. Amostragem de auditoria de uma grande população é o processo de selecionar menos de 100 % dos itens no conjunto total de dados disponíveis (população) para obter e avaliar evidências sobre alguma característica daquela população, para formar uma conclusão relativa à população. O objetivo da amostragem de auditoria é fornecer informação para que o auditor tenha confiança de que os objetivos de auditoria podem ser ou serão alcançados. O risco associado à amostragem é que as amostras podem não ser representativas da população da qual elas são selecionadas. Portanto, a conclusão do auditor pode ser tendenciosa e diferente daquela que seria alcançada se a população inteira fosse examinada. Pode haver outros riscos, dependendo da variabilidade na população a ser amostrada e do método escolhido.
NM ISO 19011:2018
58
El muestreo para la auditoría generalmente implica los siguientes pasos: a) establecer los objetivos de muestreo; b) seleccionar la extensión y la composición de la población de la que se va a realizar el muestreo; c) seleccionar un método de muestreo; d) determinar el tamaño de la muestra a tomar; e) llevar a cabo la actividad de muestreo; f) recopilar, evaluar, informar y documentar los resultados. Al realizar el muestreo, debería considerarse la calidad de los datos disponibles, ya que un muestreo de datos insuficientes o imprecisos no dará un resultado útil. La selección de una muestra apropiada debería basarse en el método de muestreo y en el tipo de datos requeridos, por ejemplo, para inferir un patrón de comportamiento particular o realizar inferencias sobre una población. El informe de la muestra seleccionada podría tener en cuenta el tamaño de la muestra, el método de selección y las estimaciones hechas basadas en la muestra y el nivel de confianza. Las auditorías pueden utilizar el muestreo basado en juicio (véase A.6.2) o muestreo estadístico (véase A.6.3). A.6.2 Muestreo basado en juicio El muestreo basado en juicio depende de la competencia y la experiencia del equipo auditor (véase el Capítulo 7). Para el muestreo basado en juicio puede considerarse lo siguiente: a) la experiencia de auditorías previas dentro del alcance de la auditoría; b) la complejidad de los requisitos (incluyendo los requisitos legales y reglamentarios) para lograr los objetivos de la auditoría; c) la complejidad e interacción de los procesos de la organización y los elementos del sistema de gestión; d) el grado de cambio en la tecnología, el factor humano o el sistema de gestión; e) los riesgos y oportunidades significativos previamente identificados para la mejora;
A amostragem de auditoria usualmente envolve os seguintes passos: a) estabelecer os objetivos da amostragem; b) selecionar a extensão e a composição da população a ser amostrada; c) selecionar um método de amostragem; d) determinar o tamanho da amostra a ser tomada; e) conduzir a atividade de amostragem; f) compilar, avaliar, relatar e documentar resultados. Quando da amostragem, convém que seja dada consideração à qualidade dos dados disponíveis, uma vez que amostragem insuficiente e dados imprecisos não fornecerão um resultado útil. Convém que a seleção de uma amostra apropriada seja baseada no método de amostragem e no tipo de dados requeridos, por exemplo, para inferir um padrão particular de comportamento ou extrair inferências sobre uma população. Relatar a amostra selecionada pode levar em conta o tamanho da amostra, método de seleção e estimativas feitas com base na amostra e no nível de confiança. Auditorias podem usar amostragem com base em julgamento (ver A.6.2) ou amostragem estatística (ver A.6.3). A.6.2 Amostragem com base em julgamento Amostragem com base em julgamento depende da competência e experiência da equipe de auditoria (ver Seção 7). Para amostrar com base em julgamento, pode ser considerado o seguinte: a) experiência anterior de auditoria no escopo de auditoria; b) complexidade de requisitos (incluindo requisitos estatutários e regulamentares) para alcançar os objetivos de auditoria; c) complexidade e interação dos processos da organização e elementos do sistema de gestão; d) grau de mudança em tecnologia, fator humano ou sistema de gestão; e) riscos significativos e oportunidades para melhoria, identificados previamente;
NM ISO 19011:2018
59
f) la salida del seguimiento de los sistemas de gestión. Un inconveniente del muestreo basado en juicio es que puede no haber una estimación estadística del efecto de la incertidumbre en los hallazgos de la auditoría y en las conclusiones alcanzadas. A.6.3 Muestreo estadístico Si se decide utilizar muestreo estadístico, el plan de muestreo debería basarse en los objetivos de la auditoría y en lo que se conoce sobre las características de la población global de la que se toman las muestras. El diseño del muestreo estadístico utiliza un proceso de selección de la muestra basado en la teoría de la probabilidad. El muestreo basado en atributos se usa cuando sólo hay dos posibles resultados muestrales para cada muestra (por ejemplo, correcto/incorrecto o apto/no apto). El muestreo basado en variables se utiliza cuando el resultado de la muestra se da en un rango continuo. El plan de muestreo debería tener en cuenta si es probable que los resultados que se examinan estén basados en atributos o basados en variables. Por ejemplo, cuando se evalúa la conformidad de los formularios completados con los requisitos establecidos en un procedimiento, podría usarse un enfoque basado en atributos. Cuando se examina la ocurrencia de incidentes de inocuidad de los alimentos o el número de infracciones de seguridad, es probable que sea más apropiado un enfoque basado en variables. Los elementos que pueden afectar al plan de muestreo de la auditoría son: a) el contexto, tamaño, naturaleza y complejidad de la organización; b) el número de auditores competentes; c) la frecuencia de las auditorías; d) la duración de la auditoría individual; e) cualquier nivel de confianza requerido externamente; f) la ocurrencia de eventos indeseables y/o inesperados. Cuando se desarrolla un plan de muestreo estadístico, el nivel de riesgo muestral que el auditor está dispuesto a aceptar es una consideración importante. A veces, esto se denomina nivel de confianza aceptable. Por
f) saída de monitoramento de sistemas de gestão. Um obstáculo para a amostragem com base em julgamento é que pode não existir estimativa estatística do efeito da incerteza nas constatações da auditoria e nas conclusões alcançadas. A.6.3 Amostragem estatística Se for decidido usar amostragem estatística, convém que o plano de amostragem seja baseado nos objetivos de auditoria e no que é conhecido sobre as características da população global da qual é para as amostras devem serem coletadas. O projeto de amostragem estatística usa um processo de seleção de amostra baseado na teoria da probabilidade. Amostragem com base em atributo é usada quando há apenas dois possíveis resultados para cada amostra (por exemplo, correta/incorreta ou aprovada/reprovada). Amostragem com base em variável é usada quando os resultados da amostra ocorrem em um intervalo contínuo. Convém que o plano de amostragem leve em conta se os resultados que estão sendo examinados têm probabilidade de serem baseados em atributo ou baseados em variável. Por exemplo, ao avaliar conformidade de formulários preenchidos em relação aos requisitos estabelecidos em um procedimento, pode ser usada uma abordagem com base em atributo. Ao examinar a ocorrência de incidentes de segurança de alimentos ou o número de violações de segurança, uma abordagem com base em variável seria provavelmente mais apropriada. Elementos que podem afetar o plano de amostragem de auditoria são: a) contexto, tamanho, natureza e complexidade da organização; b) número de auditores competentes; c) frequência de auditorias; d) tempo de auditoria individual; e) qualquer nível de confiança externamente requerido; f) ocorrência de eventos indesejáveis e/ou inesperados. Quando um plano de amostragem estatística é desenvolvido, o nível de risco de amostragem que o auditor está disposto a aceitar é uma consideração importante. Isto é sempre referido como o nível de confiança aceitável. Por exemplo,
NM ISO 19011:2018
60
ejemplo, un riesgo muestral del 5% corresponde a un nivel de confianza aceptable del 95%. Un riesgo muestral del 5% significa que el auditor está dispuesto a aceptar el riesgo de que 5 de cada 100 (o 1 de cada 20) de las muestras examinadas no reflejará los valores reales que se verían si se examinara toda la población. Cuando se utiliza el muestreo estadístico, los auditores deberían documentar apropiadamente el trabajo realizado. Esto debería incluir una descripción de la población que se pretende muestrear, los criterios de muestreo utilizados para la evaluación (por ejemplo, qué es una muestra aceptable), los parámetros estadísticos y los métodos que se utilizaron, el número de muestras evaluadas y los resultados obtenidos. A.7 Auditoría del cumplimiento dentro de un sistema de gestión El equipo auditor debería considerar si el auditado dispone de procesos eficaces para: a) identificar sus requisitos legales y reglamentarios y otros requisitos con los que está comprometido; b) gestionar sus actividades, productos y servicios para lograr el cumplimiento de estos requisitos; c) evaluar su estado de cumplimiento. Además de la orientación genérica proporcionada en este documento, al evaluar los procesos que el auditado ha implementado para asegurar el cumplimiento de los requisitos pertinentes, el equipo auditor debería tener en consideración si el auditado: 1) dispone de un proceso eficaz para identificar cambios en los requisitos de cumplimiento y para considerarlos como parte de la gestión del cambio; 2) dispone de personas competentes para gestionar sus procesos de cumplimiento; 3) mantiene y proporciona la información documentada apropiada sobre su estado de cumplimiento según lo requieran los organismos reglamentarios y otras partes interesadas; 4) incluye los requisitos de cumplimiento en su programa de auditoría interna; 5) trata todas las instancias de no cumplimiento; 6) tiene en consideración el desempeño del cumplimiento en sus revisiones por la dirección.
um risco de amostragem de 5 % corresponde a um nível de confiança aceitável de 95 %. Um risco de amostragem de 5 % significa que o auditor está disposto a aceitar o risco que 5 em um total de 100 (ou 1 em 20) das amostras examinadas não refletirão os valores reais que seriam vistos se a população inteira fosse examinada. Quando amostragem estatística é usada, convém que os auditores documentem apropriadamente o trabalho realizado. Convém que isso inclua uma descrição da população que se destina a ser amostrada, os critérios de amostragem usados para a avaliação (por exemplo, o que é uma amostra aceitável), os parâmetros e métodos estatísticos que foram utilizados, o número de amostras avaliadas e os resultados obtidos. A.7 Auditoria de compliance em um sistema de gestão Convém que a equipe de auditoria considere se o auditado possui processos eficazes para: a) identificar seus requisitos estatutários e regulamentares e outros requisitos com os quais esteja comprometido; b) gerenciar suas atividades, produtos e serviços para alcançar compliance com estes requisitos; c) avaliar sua situação de compliance. Adicionalmente à orientação genérica dada neste documento, ao avaliar os processos que o auditado implementou para assegurar compliance com requisitos pertinentes, convém que a equipe de auditoria considere se o auditado: 1) tem um processo eficaz para identificar mudanças em requisitos de compliance e para considerá-las parte do gerenciamento de mudança; 2) tem pessoas competentes para gerenciar seus processos de compliance; 3) mantém e fornece informação documentada apropriada sobre sua situação de compliance, como requerido por reguladores ou outras partes interessadas; 4) inclui requisitos de compliance em seu programa de auditoria internas; 5) aborda quaisquer situações de não compliance; 6) considera desempenho de compliance em suas análises críticas pela direção.
NM ISO 19011:2018
61
A.8 Auditoría del contexto Muchas normas de sistemas de gestión requieren que una organización determine su contexto, incluyendo las necesidades y expectativas de las partes interesadas pertinentes y las cuestiones externas e internas. Para hacer esto, una organización puede usar varias técnicas de análisis y planificación estratégicas. Los auditores deberían confirmar que se han desarrollado los procesos adecuados para esto, y que se usan eficazmente, de manera que sus resultados proporcionan una base fiable para determinar el alcance y el desarrollo del sistema de gestión. Para hacer esto, los auditores deberían tener en consideración la evidencia objetiva relativa a lo siguiente: a) los procesos o métodos usados; b) la idoneidad y la competencia de las personas que contribuyen a los procesos; c) los resultados de los procesos; d) la aplicación de los resultados para determinar el alcance y el desarrollo del sistema de gestión; e) las revisiones periódicas del contexto, según sea apropiado. Los auditores deberían tener el conocimiento pertinente específico del sector y una comprensión de las herramientas de gestión que las organizaciones pueden usar con el fin de hacer juicios con respecto a la eficacia de los procesos usados para determinar el contexto. A.9 Auditoría del liderazgo y el compromiso Muchas normas de sistemas de gestión tienen requisitos adicionales para la alta dirección. Estos requisitos incluyen demostrar el compromiso y el liderazgo mediante la toma de responsabilidades sobre la eficacia del sistema de gestión y el cumplimiento de una serie de responsabilidades. Estas incluyen tareas que la alta dirección debería asumir por sí misma y otras que pueden delegarse. Los auditores deberían obtener evidencia objetiva del grado en el que la alta dirección está implicada en la toma de decisiones relativas al sistema de gestión y la manera en que demuestra el compromiso para asegurar su eficacia. Esto puede lograrse revisando los resultados de los procesos pertinentes (por ejemplo las políticas, los objetivos, los recursos disponibles, las comunicaciones de la
A.8 Contexto de auditoria Muitas normas de sistemas de gestão requerem que uma organização determine seu contexto, incluindo as necessidades e expectativas de partes interessadas pertinentes e questões externas e internas. Para fazer isto, uma organização pode usar várias técnicas para análise e planejamento estratégicos. Convém que os auditores confirmem que processos adequados foram desenvolvidos para isto e são usados eficazmente, de modo que seus resultados forneçam uma base confiável para determinar o escopo e o desenvolvimento do sistema de gestão. Para fazer isso, convém que os auditores considerem evidência objetiva relacionada ao seguinte: a) processo(s) ou método(s) usado(s); b) adequação e competência das pessoas que contribuem para o(s) processo(s); c) resultados do(s) processo(s); d) aplicação dos resultados para determinar o escopo e o desenvolvimento do sistema de gestão; e) análise crítica periódica de contexto, conforme apropriado. Convém que os auditores tenham conhecimento de setor específico pertinente e entendimento das ferramentas de gestão que organizações podem usar para fazer um julgamento relativo à eficácia dos processos usados para determinar o contexto. A.9 Auditoria de liderança e comprometimento Muitas normas de sistema de gestão aumentaram os requisitos para a Alta Direção. Estes requisitos incluem demonstrar comprometimento e liderança, assumindo a responsabilidade por prestar contas pela eficácia do sistema de gestão e cumprir diversas responsabilidades. Convém que isto inclua tarefas que a Alta Direção assuma e outras que podem ser delegadas. Convém que os auditores obtenham evidência objetiva sobre o grau de envolvimento da Alta Direção na tomada de decisão relacionada ao sistema de gestão e como ela demonstra comprometimento para assegurar sua eficácia. Isto pode ser alcançado analisando criticamente os resultados de processos pertinentes (por exemplo, políticas, objetivos, recursos disponíveis,
NM ISO 19011:2018
62
alta dirección) y entrevistando al personal para determinar el grado de compromiso de la alta dirección. Los auditores también deberían intentar entrevistar a la alta dirección para confirmar que tienen una comprensión adecuada de las cuestiones específicas de la disciplina pertinentes para su sistema de gestión, junto con el contexto en el que opera su organización, de manera que puedan asegurar que el sistema de gestión alcanza sus resultados previstos. Los auditores no deberían centrarse en el liderazgo sólo al nivel de la alta dirección, sino que deberían auditar el liderazgo y el compromiso a otros niveles de dirección, según sea apropiado. A.10 Auditoría de riesgos y oportunidades La determinación y la gestión de los riesgos y oportunidades de la organización pueden incluirse como parte de la asignación de una auditoría individual. Los objetivos principales para una asignación de una auditoría de este tipo son: - asegurar la credibilidad de los procesos de identificación de riesgos y oportunidades; - asegurarse de que los riesgos y oportunidades se determinan y gestionan correctamente; - revisar la manera en que la organización aborda los riesgos y oportunidades que ha determinado. Una auditoría del enfoque de una organización a la determinación de riesgos y oportunidades no debería desempeñarse como una actividad aislada. Debería estar implícita durante toda la auditoría de un sistema de gestión, incluso durante la entrevista con la alta dirección. Un auditor debería actuar de acuerdo con los siguientes pasos y recopilar evidencias objetivas de la siguiente manera: a) entradas usadas por la organización para determinar sus riesgos y oportunidades, que pueden incluir:
- el análisis de las cuestiones externas e internas; - la dirección estratégica de la organización; - las partes interesadas relacionadas con su sistema de gestión de la disciplina específica, así como sus requisitos, - las fuentes potenciales de riesgos como los aspectos ambientales y los peligros para la seguridad, etc.
comunicações da Alta Direção) e entrevistando pessoal para determinar o grau de engajamento da Alta Direção. Convém que os auditores também visem entrevistar a Alta Direção para confirmar se ela tem um entendimento suficiente das questões da disciplina específica pertinentes para seu sistema de gestão, junto com o contexto em que sua organização opera, para que ela possa assegurar que o sistema de gestão alcance os seus resultados pretendidos. Não convém que os auditores apenas foquem na liderança no nível da Alta Direção, mas convém também auditar liderança e comprometimento em outros níveis de gestão, conforme apropriado. A.10 Auditoria de riscos e oportunidades Como parte da atribuição de uma auditoria individual, podem ser incluídas a determinação e a gestão dos riscos e oportunidades da organização. Os objetivos centrais para tal atribuição de auditora são para: - assegurar a credibilidade do(s) processo(s) de identificação de riscos e oportunidades; - assegurar que riscos e oportunidades sejam corretamente determinados e gerenciados; - analisar criticamente como a organização aborda seus riscos e oportunidades determinados. Não convém que uma auditoria da abordagem de uma organização para a determinação de riscos e oportunidades seja realizada como uma atividade independente. Convém que esteja implícita durante toda a auditoria de um sistema de gestão, inclusive ao entrevistar a Alta Direção. Convém que um auditor aja de acordo com os seguintes passos e colete evidência objetiva como a seguir: a) entradas usadas pela organização para determinar seus riscos e oportunidades, os quais podem incluir:
- análise de questões internas e externas; - direção estratégica da organização; - partes interessadas, relacionadas ao seu sistema de gestão de disciplina específica e aos seus requisitos também; - fontes potenciais de risco, como aspectos ambientais e perigos de segurança etc.
NM ISO 19011:2018
63
b) método por el que se evalúan los riesgos y oportunidades, que puede diferir entre disciplinas y sectores. El tratamiento que la organización hace de sus riesgos y oportunidades, incluyendo el nivel de riesgo que desea aceptar y la manera en que lo controla, requerirá la aplicación de juicio profesional por parte del auditor. A.11 Ciclo de vida Algunos sistemas de gestión específicos de una disciplina requieren la aplicación de una perspectiva de ciclo de vida a sus productos y servicios. Los auditores no deberían considerar esto como un requisito para adoptar un enfoque de ciclo de vida. Una perspectiva de ciclo de vida implica considerar el control y la influencia que la organización tiene sobre las etapas del ciclo de vida de sus productos y servicios. Las etapas en un ciclo de vida incluyen la adquisición de materias primas, el diseño, producción, transporte/entrega, uso, tratamiento al final de la vida útil, y disposición final. Este enfoque permite a la organización identificar aquellas áreas en las que, al considerar su alcance, puede minimizar su impacto en el medio ambiente al tiempo que añade valor a la organización. El auditor debería usar su juicio profesional sobre la manera en que la organización ha aplicado la perspectiva de ciclo de vida en términos de su estrategia y de: a) la vida del producto o servicio; b) la influencia de la organización sobre la cadena de suministro; c) la longitud de la cadena de suministro; d) la complejidad tecnológica del producto. Cuando una organización ha combinado varios sistemas de gestión en un único sistema de gestión para cumplir sus propias necesidades, el auditor debería observar cuidadosamente cualquier superposición concerniente a la consideración del ciclo de vida. A.12 Auditoría de la cadena de suministro Puede requerirse la auditoría de la cadena de suministro para requisitos específicos. El programa de auditoría del proveedor debería desarrollarse con los criterios de auditoría aplicables para el tipo de suministradores y proveedores externos. El alcance de la auditoría de la cadena de suministro puede diferir, por ejemplo, auditoría del sistema de gestión completo, auditoría de un único proceso, auditoría de un producto, auditoría de la configuración.
b) método pelo qual riscos e oportunidades são avaliados, que pode variar entre disciplinas e setores. O tratamento da organização de seus riscos e oportunidades, incluindo o nível do risco que ela deseja aceitar e como ele é controlado, requererá a aplicação de julgamento profissional pelo auditor. A.11 Ciclo de vida Alguns sistemas de gestão de disciplinas específicas requerem a aplicação de uma perspectiva de ciclo de vida para seus produtos e serviços. Não convém que os auditores considerem isto um requisito para adotar uma abordagem de ciclo de vida. Uma perspectiva de ciclo de vida envolve consideração do controle e influência que a organização tem sobre os estágios do ciclo de vida de seu produto e serviço. Estágios em um ciclo de vida incluem a aquisição de matérias-primas, projeto, produção, transporte/entrega, uso, tratamento de fim de vida e descarte final. Esta abordagem possibilita que a organização identifique aquelas áreas onde, considerando seu escopo, ela pode minimizar seu impacto no ambiente enquanto adiciona valor à organização. Convém que os auditores usem seu julgamento profissional sobre como a organização aplicou uma perspectiva de ciclo de vida em termos de sua estratégia e: a) vida do produto ou serviço; b) influência da organização na cadeia de suprimentos; c) comprimento da cadeia de suprimentos; d) complexidade tecnológica do produto. Se uma organização tiver combinado vários sistemas de gestão em um único sistema de gestão para atender as suas próprias necessidades, convém que o auditor olhe cuidadosamente para qualquer sobreposição relativa à consideração do ciclo de vida. A.12 Auditoria da cadeia de suprimento A auditoria da cadeia de suprimentos em relação aos requisitos específicos pode ser requerida. Convém que o programa de auditoria do fornecedor seja desenvolvido com critérios de auditoria aplicáveis para o tipo de fornecedores e fornecedores externos. O escopo da auditoria da cadeia de suprimentos pode variar, por exemplo, auditoria completa do sistema de gestão, auditoria de processo único, auditoria de produto, auditoria de configuração.
NM ISO 19011:2018
64
A.13 Preparación de los documentos de trabajo de auditoría Al preparar los documentos de trabajo de auditoría, el equipo auditor debería considerar las siguientes preguntas para cada documento. a) ¿Qué registro de auditoría se creará utilizando este documento de trabajo? b) ¿Con qué actividad de la auditoría está relacionado este documento de trabajo en particular? c) ¿Quién será el usuario de este documento de trabajo? d) ¿Qué información se necesita para preparar este documento de trabajo? Para las auditorías combinadas, deberían desarrollarse documentos de trabajo para evitar la duplicación de actividades de auditoría mediante: - la agrupación de requisitos similares provenientes de criterios diferentes; - la coordinación del contenido de listas de verificación y cuestionarios relacionados. Los documentos de trabajo de auditoría deberían ser adecuados para tratar todos aquellos elementos del sistema de gestión dentro del alcance de la auditoría y pueden facilitarse en cualquier medio. A.14 Selección de las fuentes de información Las fuentes de información seleccionadas pueden variar de acuerdo con el alcance y la complejidad de la auditoría y pueden incluir lo siguiente: a) entrevistas con empleados y con otras personas; b) observación de actividades y el ambiente de trabajo y condiciones circundantes; c) información documentada, como políticas, objetivos, planes, procedimientos, normas, instrucciones, licencias y permisos, especificaciones, planos, contratos y pedidos; d) registros, tales como registros de inspección, actas de reuniones, informes de auditoría, registros de programas de seguimiento y resultados de mediciones; e) resúmenes de datos, análisis e indicadores de desempeño;
A.13 Preparando documentos de trabalho de auditoria Ao preparar documentos de trabalho de auditoria, convém que a equipe de auditoria considere as questões abaixo para cada documento. a) Qual registro de auditoria será criado usando este documento de trabalho? b) Qual atividade de auditoria está ligada a este documento de trabalho específico? c) Quem será o usuário deste documento de trabalho? d) Qual informação é necessária para preparar este documento de trabalho? Para auditorias combinadas, convém que documentos de trabalho sejam desenvolvidos para evitar a duplicação de atividades de auditoria, por: - agrupamento de requisitos similares de diferentes critérios; - coordenação do conteúdo de listas de verificação e questionários relacionados. Convém que os documentos de trabalho de auditoria sejam suficientes para abordar todos aqueles elementos do sistema de gestão no escopo de auditoria e que possam ser fornecidos em qualquer mídia. A.14 Selecionando fontes de informação As fontes de informação selecionadas podem variar de acordo com o escopo e a complexidade da auditoria, e podem incluir o seguinte: a) entrevistas com empregados e outras pessoas; b) observações de atividades e do ambiente de trabalho e condições ao redor; c) informação documentada, como políticas, objetivos, planos, procedimentos, normas, instruções, licenças e permissões, especificações, desenhos, contratos e ordens de compra; d) registros, como registros de inspeção, atas de reuniões, relatórios de auditoria, registros de programa de monitoramento e os resultados de medições; e) sumários de dados, análises e indicadores de desempenho;
NM ISO 19011:2018
65
f) información sobre los planes de muestreo del auditado y sobre cualquier procedimiento para el control de los procesos de muestreo y medición; g) informes de otras fuentes, por ejemplo, retroalimentación del cliente, encuestas y mediciones externas, otra información pertinente de partes externas y la calificación de los proveedores externos; h) bases de datos y sitios web; i) simulaciones y modelizaciones. A.15 Visita a la ubicación del auditado Para minimizar la interferencia entre las actividades de auditoría y los procesos de trabajo del auditado y para asegurar la salud y la seguridad del equipo auditor durante la visita, debería considerarse lo siguiente: a) Planificar la visita: - asegurar la autorización y el acceso a aquellas partes de la ubicación del auditado, para visitarlas de acuerdo con el alcance de la auditoría; - proporcionar la información adecuada a los auditores sobre seguridad física, salud (por ejemplo, cuarentena), cuestiones de seguridad y salud en el trabajo y normas culturales y horas de trabajo para la visita, incluyendo la vacunación y autorizaciones requeridas y recomendadas, si es aplicable; - confirmar con el auditado que cualquier equipo de protección personal (EPP) estará disponible para el equipo auditor, si es aplicable; - confirmar los acuerdos con el auditado sobre el uso de dispositivos móviles y cámaras, incluyendo la grabación de información como fotografías de ubicaciones y equipos, copias de capturas de pantalla o fotocopias de documentos, vídeos de actividades y entrevistas, teniendo en cuenta las cuestiones de seguridad y confidencialidad; - excepto para auditorías ad hoc no programadas, asegurarse de que el personal visitado será informado sobre los objetivos y el alcance de la auditoría. b) Actividades in situ: - evitar cualquier interrupción innecesaria de los procesos operativos; - asegurarse de que el equipo auditor está utilizando el EPP correctamente (si procede);
f) informação sobre os planos de amostragem do auditado e sobre quaisquer procedimentos para o controle de amostragem e processos de medição; g) relatórios de outras fontes, por exemplo, feedback de clientes, medições e pesquisas externas, outra informação pertinente de partes externas e classificações de fornecedores externos; h) base de dados e sites; i) simulação e modelagem. A.15 Visitando a localização do auditado Para minimizar a interferência entre atividades de auditoria e os processos de trabalho do auditado, e para assegurar a saúde e segurança da equipe de auditoria durante uma visita, convém que seja considerado o seguinte: a) Planejamento da visita: - assegurar permissão e acesso àquelas partes da localidade do auditado a serem visitadas, de acordo com o escopo de auditoria; - fornecer informação suficiente aos auditores sobre segurança, saúde (por exemplo, quarentena), assuntos de saúde ocupacional e segurança e normas culturais e horário de trabalho para a visita, incluindo vacinação e liberações requeridas e recomendadas, se aplicável; - confirmar com o auditado que qualquer equipamento de proteção individual (EPI) requerido estará disponível para a equipe de auditoria, se aplicável; - confirmar os arranjos com o auditado, relativos ao uso de dispositivos celulares e câmeras, incluindo gravar informação como fotografias de locais e equipamento, cópias de captura de tela ou fotocópias de documentos, vídeos de atividades e entrevistas, levando em consideração assuntos de segurança e confidencialidade; - assegurar que o pessoal que está sendo visitado será informado sobre o escopo e objetivos de auditoria, exceto para auditorias ad hoc não planejadas. b) Atividades presenciais: - evitar qualquer distúrbio desnecessário dos processos operacionais; - assegurar que a equipe de auditoria esteja usando EPI apropriadamente (se aplicável);
NM ISO 19011:2018
66
- asegurarse de que se comunican los procedimientos de emergencia (por ejemplo, salidas de emergencia, puntos de reunión); - programar la comunicación para minimizar las interrupciones; - adaptar el tamaño del equipo auditor y el número de guías y observadores de acuerdo con el alcance de la auditoría, para evitar interferencias con los procesos operativos tanto como sea posible; - no tocar ni manipular ningún equipo, a menos que se permita explícitamente, incluso cuando se tenga la competencia o se esté autorizado; - si tiene lugar un incidente durante la visita in situ, el líder del equipo auditor debería revisar la situación con el auditado y, si es necesario, con el cliente de la auditoría y llegar a un acuerdo sobre si la auditoría se debería interrumpir, volver a programar o continuar; - si se hacen copias de documentos en cualquier medio, pedir permiso con antelación y considerar las cuestiones de confidencialidad y seguridad; - cuando se toman notas, evitar recopilar información personal a menos que lo requieran los objetivos de la auditoría o los criterios de auditoría. c) Actividades de la auditoría virtual: - asegurarse de que el equipo auditor está usando los protocolos de acceso remoto acordados, incluyendo los dispositivos, software, etc. requeridos; - si se toman copias de capturas de pantalla de documentos de cualquier tipo, pedir permiso por adelantado y considerar las cuestiones de confidencialidad y seguridad, y evitar grabar a las personas sin su permiso; - si sucede un incidente durante el acceso remoto, el líder del equipo auditor debería revisar la situación con el auditado y, si es necesario, con el cliente de la auditoría, y llegar a un acuerdo sobre si la auditoría se debería interrumpir, reprogramar o continuar; - usar planos/diagramas de planta de la ubicación remota como referencia; - mantener el respeto a la privacidad durante las pausas en la auditoría. Es necesario tener en cuenta la disposición de la información y de las evidencias de auditoría, independientemente del tipo de medio, más
- assegurar que procedimentos de emergência sejam comunicados (por exemplo, saídas de emergência, pontos de encontro); - agendar comunicação para minimizar perturbações; - adaptar o tamanho da equipe de auditoria e o número de guias e observadores de acordo com o escopo da auditoria, para evitar interferência com os processos operacionais até onde praticável; - não tocar ou manipular qualquer equipamento, a menos que seja explicitamente permitido, mesmo quando competente ou licenciado; - se um incidente ocorrer durante a visita no local, convém que o líder da equipe de auditoria analise criticamente a situação com o auditado e, se necessário, com o cliente da auditoria, para chegar a um acordo sobre se convém que a auditoria seja interrompida, reagendada ou continuada; - no caso de fazer cópias de documentos em qualquer meio, solicitar permissão com antecedência e considerar assuntos de confidencialidade e segurança; - ao fazer anotações, evitar coletar informação pessoal, a menos que requerido pelos objetivos de auditoria ou pelos critérios de auditoria. c) Atividades de auditoria virtual: - assegurar que a equipe de auditoria esteja usando protocolos de acesso remoto incluindo dispositivos requeridos, software etc.; - se fizer cópias de captura de tela de documentos de qualquer tipo, solicitar permissão com antecedência e considerar assuntos de confidencialidade e segurança, e evitar gravar pessoas sem sua permissão; - se um incidente ocorrer durante o acesso remoto, convém que o líder da equipe de auditoria verifique a situação com o auditado e, se necessário, com o cliente de auditoria, e chegue a um acordo sobre se convém que a auditoria seja interrompida, reagendada ou continuada; - usar plantas baixas/diagramas do local remoto para referência; - manter respeito à privacidade durante os intervalos de auditoria. É necessário considerar a disposição de informação e a evidência de auditoria, independentemente do tipo de mídia, em data
NM ISO 19011:2018
67
adelante, una vez que haya pasado la necesidad de su conservación. A.16 Auditoría de actividades y ubicaciones virtuales Las auditorías virtuales se realizan cuando una organización desempeña trabajo o proporciona un servicio usando un entorno en línea que permite a las personas con independencia de la ubicación física, ejecutar procesos (por ejemplo, la intranet de la empresa, una “computación en la nube”). A veces se refiere a la auditoría de una ubicación virtual como auditoría virtual. Las auditorías remotas hacen referencia al uso de tecnología para recopilar información, entrevistar a un auditado, etc., cuando los métodos “cara a cara” no son posibles o deseables. Una auditoría virtual sigue el proceso estándar de auditoría a la vez que se usa la tecnología para verificar las evidencias objetivas. El auditado y el equipo auditor deberían asegurar los requisitos tecnológicos apropiados para las auditorías virtuales, que pueden incluir: - asegurarse de que el equipo auditor está usando los protocolos de acceso remoto acordados, incluyendo los dispositivos, software, etc. requeridos; - realizar verificaciones técnicas antes de la auditoría para resolver cuestiones técnicas; - asegurarse de que se dispone de planes de contingencia y de que se comunican (por ejemplo, interrupción del acceso, uso de tecnologías alternativas), incluyendo la provisión de tiempo adicional para la auditoría si es necesario. La competencia del auditor debería incluir: - habilidades técnicas para usar los equipos electrónicos apropiados y otras tecnologías durante la auditoría; - experiencia en facilitar reuniones virtualmente para realizar la auditoría de manera remota. Al llevar a cabo la reunión de apertura o la auditoría virtual, el auditor debería tener en consideración los siguientes elementos: - los riesgos asociados con las auditorías virtuales o remotas; - usar planos/diagramas de planta de las ubicaciones remotas como referencia o para asignar información electrónica;
posterior, uma vez que a necessidade de sua retenção tenha cessado. A.16 Auditoria de atividades e locais virtuais Auditorias virtuais são conduzidas quando uma organização realiza trabalho ou fornece um serviço usando um ambiente online que permita que pessoas executem processos independentemente de locais físicos (por exemplo, intranet da organização, uma “nuvem computacional”). Auditoria de um local virtual é algumas vezes referida como auditoria virtual. Auditorias remotas se referem ao uso de tecnologia para coletar informação, entrevistar um auditado etc., quando métodos “cara a cara” não são possíveis ou desejáveis. Uma auditoria virtual segue o processo-padrão de auditoria ao usar tecnologia para verificar evidência objetiva. Convém que o auditado e a equipe de auditoria assegurem requisitos apropriados de tecnologia para auditorias virtuais, podendo incluir: - assegurar que a equipe de auditoria esteja usando protocolos de acesso remoto acordados, incluindo dispositivos requeridos, software etc.; - conduzir verificações técnicas antes da auditoria para resolver questões técnicas; - assegurar que planos de contingência estejam disponíveis e sejam comunicados (por exemplo, interrupção de acesso, uso de tecnologia alternativa), incluindo provisão para tempo extra de auditoria, se necessário. Convém que a competência de auditor inclua: - habilidades técnicas para usar equipamento eletrônico apropriado e outra tecnologia ao auditar; - experiência em facilitar reuniões virtuais para conduzir a auditoria remotamente. Ao conduzir a reunião de abertura ou auditar virtualmente, convém que o auditor considere os seguintes itens: - riscos associados com auditorias virtuais ou remotas; - uso de plantas baixas/diagramas de locais remotos para referência ou mapeamento de informação eletrônica;
NM ISO 19011:2018
68
- facilitar la prevención de interferencias e interrupciones en la señal por ruidos de fondo; - pedir permiso por adelantado para tomar capturas de pantalla de documentos o cualquier tipo de grabación, y considerar las cuestiones de confidencialidad y seguridad; - asegurar la confidencialidad y la privacidad durante las pausas en la auditoría, por ejemplo silenciando los micrófonos, pausando las cámaras. A.17 Realización de entrevistas Las entrevistas son un medio importante para recopilar información y deberían llevarse a cabo de un modo adaptado a la situación y a la persona entrevistada, sea cara a cara o por otros medios de comunicación. Sin embargo, el auditor debería considerar lo siguiente: a) las entrevistas deberían mantenerse con personas de los niveles y funciones apropiados que desempeñan actividades o tareas dentro del alcance de la auditoría; b) las entrevistas normalmente deberían llevarse a cabo durante la jornada de trabajo normal y, cuando sea posible, en el lugar de trabajo normal de la persona entrevistada; c) debería intentarse que la persona entrevistada esté cómoda antes de la entrevista y durante la misma; d) debería explicarse la razón de la entrevista y cualquier toma de notas; e) las entrevistas pueden iniciarse solicitando a las personas que describan su trabajo; f) debería seleccionarse cuidadosamente el tipo de preguntas utilizado (por ejemplo, preguntas abiertas, cerradas, inductivas, indagaciones apreciativas); g) tomar conciencia de la limitación en la comunicación no verbal en los entornos virtuales; en su lugar, debería hacerse hincapié en el tipo de preguntas a usar para encontrar evidencias objetivas; h) los resultados de la entrevista deberían resumirse y revisarse con la persona entrevistada; i) debería agradecerse a las personas entrevistadas su participación y cooperación.
- facilitação para a prevenção de perturbações e interrupções de ruído de fundo; - pedido de permissão com antecedência para fazer cópias de captura de tela de documentos ou qualquer tipo de gravações, considerando assuntos de confidencialidade e segurança; - asseguramento de confidencialidade e privacidade durante os intervalos de auditoria, por exemplo, silenciando microfones, pausando câmeras. A.17 Conduzindo entrevistas Entrevistas são um meio importante de coletar informação e convém que sejam realizadas de maneira adaptada à situação e à pessoa entrevistada, presencialmente ou por outros meios de comunicação. Entretanto, convém que o auditor considere o seguinte: a) convém que entrevistas sejam realizadas com pessoas de níveis e funções apropriadas que realizam atividades ou tarefas no escopo de auditoria; b) convém que entrevistas sejam normalmente conduzidas durante o horário normal de trabalho e, quando praticável, no local de trabalho da pessoa que está sendo entrevistada; c) convém que sejam feitas tentativas para colocar a pessoa que está sendo entrevistada à vontade antes e durante a entrevista; d) convém que seja explicada a razão para a entrevista e qualquer anotação; e) entrevistas podem ser iniciadas pedindo às pessoas que descrevam seu trabalho; f) convém que o tipo de questão usado seja cuidadosamente selecionado (por exemplo, questões abertas, fechadas, perguntas importantes, investigação apreciativa); g) conscientizar-se da limitação da comunicação não verbal em ambientes virtuais; ao invés, convém que o foco seja no tipo de questões a serem usadas para encontrar evidência objetiva; h) convém que os resultados de entrevistas sejam resumidos e analisados criticamente com a pessoa entrevistada; i) convém agradecer às pessoas entrevistadas por sua participação e cooperação.
NM ISO 19011:2018
69
A.18 Hallazgos de la auditoría A.18.1 Determinación de los hallazgos de la auditoría Al determinar los hallazgos de la auditoría, debería considerarse lo siguiente: a) el seguimiento de los registros y las conclusiones de auditorías previas; b) los requisitos del cliente de la auditoría; c) la exactitud, la suficiencia y la adecuación de las evidencias objetivas para apoyar los hallazgos de la auditoría; d) el grado en que se han realizado las actividades de auditoría planificadas y en que se han logrado los resultados planificados; e) los hallazgos que excedan la práctica normal, o las oportunidades de mejora; f) el tamaño de muestra; g) la categorización (si existe) de los hallazgos de la auditoría. A.18.2 Registro de conformidades Para los registros de conformidad, debería considerarse lo siguiente: a) la descripción de o la referencia a los criterios de auditoría respecto a los cuales se muestra la conformidad; b) la evidencia de la auditoría para respaldar la conformidad y la eficacia, si es aplicable; c) la declaración de conformidad, si es aplicable. A.18.3 Registro de no conformidades Para los registros de no conformidad, debería considerarse lo siguiente: a) la descripción de los criterios de auditoría o la referencia a los mismos; b) la evidencia de la auditoría; c) la declaración de no conformidad; d) los hallazgos de la auditoría relacionados, si es aplicable.
A.18 Constatações de auditoria A.18.1 Determinando as constatações de auditoria Ao determinar as constatações da auditoria, convém que seja considerado o seguinte: a) acompanhamento de registros e conclusões de auditoria anterior; b) requisitos do cliente de auditoria; c) exatidão, suficiência e adequação de evidência objetiva para apoiar as constatações de auditoria; d) extensão na qual as atividades de auditoria planejadas são realizadas e os resultados planejados são alcançados; e) constatações que excedam a prática normal, ou oportunidades para melhoria; f) tamanho da amostra; g) classificação (se houver) das constatações de auditoria. A.18.2 Registrando as conformidades Para registros de conformidade, convém que seja considerado o seguinte: a) descrição dos critérios de auditoria em relação aos quais a conformidade for apresentada ou referência a eles; b) evidência de auditoria para apoiar conformidade e eficácia, se aplicável; c) declaração de conformidade, se aplicável. A.18.3 Registrando não conformidades Para registros de não conformidades, convém que seja considerado o seguinte: a) descrição dos critérios de auditoria ou referência a eles; b) evidência de auditoria; c) declaração de não conformidades; d) constatações de auditoria relacionadas, se aplicável.
NM ISO 19011:2018
70
A.18.4 Tratamiento de los hallazgos relacionados con múltiples criterios Durante una auditoría es posible identificar hallazgos relacionados con múltiples criterios. Cuando un auditor identifica un hallazgo vinculado a un criterio en una auditoría combinada, el auditor debería considerar el posible impacto en los criterios correspondientes o similares de otros sistemas de gestión. Dependiendo de lo acordado con el cliente de la auditoría, el auditor puede considerar: a) hallazgos separados para cada criterio; o b) un único hallazgo, combinando las referencias a los múltiples criterios. Dependiendo de lo acordado con el cliente de la auditoría, el auditor puede guiar al auditado sobre cómo responder a esos hallazgos.
A.18.4 Tratando de constatações relacionadas aos múltiplos critérios Durante uma auditoria, é possível identificar constatações relacionadas aos múltiplos critérios. Quando um auditor identifica uma constatação relacionada a um critério em uma auditoria combinada, convém que o auditor considere o possível impacto sobre os critérios correspondentes ou similares dos outros sistemas de gestão. Dependendo dos arranjos com o cliente de auditoria, o auditor pode considerar: a) separar as constatações para cada critério; ou b) uma simples constatação, combinando as referências aos múltiplos critérios. Dependendo dos arranjos com o cliente de auditoria, o auditor pode orientar o auditado sobre como responder a estas constatações.
NM ISO 19011:2018
71
Bibliografía
Bibliografia
[1] ISO 9000:2015, Quality management systems - Fundamentals and vocabulary
[2] ISO 9001, Quality management systems - Requirements1)
[3] ISO Guide 73:2009, Risk management - Vocabulary
[4] ISO/IEC 17021-1, Conformity assessment - Requirements for bodies providing
audit and certification of management systems - Part 1: Requirements
_____________ 1) Véase: www.iso.org/tc176/ISO9001AuditingPracticesGroup
_____________ 1) Ver: www.iso.org/tc176/ISO9001AuditingPracticesGroup
NM ISO 19011:2018
ICS 03.120.10; 03.100.70 Descriptores: requisitos; sistema de gestión de la calidad Palavras chave: requisitos; sistema de gestão da qualidade Número de páginas: 71
