QUALIDADE – Artigos

19/02/2018

Os princípios de auditoria de sistemas de gestão

Mauricio Ferraz de Paiva

Pode-se definir a auditoria como um processo sistemático, documentado e independente para obter evidências de auditoria e avaliá-las objetivamente para determinar a extensão na qual os critérios da auditoria são atendidos. Assim, as auditorias internas, algumas vezes chamadas de auditorias de primeira parte, são conduzidas pela própria organização, ou em seu nome, para análise crítica pela direção e outros propósitos internos, e podem formar a base para uma autodeclaração de conformidade da organização. Em muitos casos, particularmente em pequenas organizações, a independência pode ser demonstrada pela liberdade de responsabilidades pela atividade sendo auditada.

As auditorias externas incluem aquelas auditorias geralmente chamadas de auditoria de segunda e terceira partes. Auditorias de segunda parte são realizadas por partes que têm um interesse na organização, tais como clientes, ou por outras pessoas em seu nome. Auditorias de terceira parte são realizadas por organizações externas de auditoria independente, tais como organizações que provêm certificados ou registros de conformidade com os requisitos da NBR ISO 9001 ou NBR ISO 14001.

A NBR ISO 19011 de 04/2012 – Diretrizes para auditoria de sistemas de gestão fornece orientação sobre auditoria de sistemas de gestão, incluindo os princípios de auditoria, a gestão de um programa de auditoria e a realização de auditorias de sistema de gestão, como também orientação sobre a avaliação da competência de pessoas envolvidas no processo de auditoria, incluindo a pessoa que gerencia o programa de auditoria, os auditores e a equipe de auditoria. Ela é aplicável a todas as organizações que necessitam realizar auditorias internas ou externas de sistemas de gestão ou gerenciar um programa de auditoria. A sua aplicação para outros tipos de auditorias é possível, desde que seja dada consideração especial para a necessidade de competência específica.

Esta norma não estabelece requisitos, mas fornece diretrizes sobre a gestão de um programa de auditoria, sobre o planejamento e a realização de uma auditoria de sistema de gestão, bem como sobre a competência e a avaliação de um auditor e de uma equipe de auditoria. As organizações podem operar mais de um sistema de gestão formal. Para simplificar a leitura, o termo “sistema de gestão” é o preferido, porém o leitor pode adaptar a implementação das diretrizes para sua própria situação em particular. Isto também se aplica ao uso de “pessoa” e “pessoas”, “auditor” e “auditores”.

Pretende-se que esta norma seja aplicada a uma ampla gama de potenciais usuários, incluindo auditores, organizações que implementam sistemas de gestão e organizações que necessitam realizar auditorias de sistemas de gestão por razões contratuais ou regulamentares. Os seus usuários podem, entretanto, utilizar estas diretrizes no desenvolvimento dos seus próprios requisitos relacionados à auditoria. As diretrizes desta norma podem também ser usadas com a finalidade de autodeclaração e podem ser úteis às organizações envolvidas no treinamento de auditor ou certificação pessoal.

As diretrizes desta norma procuram ser flexíveis. Conforme indicado em vários pontos no texto, o uso destas diretrizes pode variar dependendo do tamanho e do nível de maturidade do sistema de gestão de uma organização e da natureza e complexidade da organização a ser auditada, como também com os objetivos e escopo das auditorias a serem executadas.

Esta norma introduz o conceito de risco para auditoria de sistemas de gestão. O enfoque adotado se relaciona com o risco do processo de auditoria em não atingir seus objetivos e com a possibilidade de a auditoria interferir com os processos e atividades da organização auditada. Esta norma não fornece diretrizes específicas sobre o processo de gestão de risco da organização, mas reconhece que as organizações podem focar o esforço de auditoria em assuntos de importância para o sistema de gestão.

Esta norma adota o enfoque de que quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados em conjunto, isto é chamado de “auditoria combinada”. Quando esses sistemas são integrados em um sistema de gestão único, os princípios e processos de auditoria são os mesmos que para uma auditoria combinada.

A Seção 3 estabelece os termos-chave e definições usados. Todo um esforço foi feito para assegurar que estas definições não conflitem com as usadas em outras normas. A Seção 4 descreve os princípios nos quais a auditoria está baseada. Estes princípios ajudam o usuário a entender a natureza essencial de auditoria e são importantes no entendimento das diretrizes estabelecidas nas Seções 5 a 7.

A Seção 5 fornece orientação sobre como estabelecer e gerenciar um programa de auditoria, estabelecer os objetivos do programa de auditoria e coordenar as atividades de auditoria. A Seção 6 fornece orientação sobre como planejar e realizar uma auditoria de um sistema de gestão. A Seção 7 fornece orientação relacionada com a competência e a avaliação de auditores de sistemas de gestão e das equipes de auditoria.

O Anexo A ilustra a aplicação das diretrizes na Seção 7 para diferentes disciplinas. O Anexo B fornece orientação adicional para auditores sobre o planejamento e a realização de auditorias.

Pode-se dizer que a auditoria é caracterizada pela confiança em alguns princípios. Convém que estes princípios ajudem a tornar a auditoria uma ferramenta eficaz e confiável em apoio às políticas de gestão e controles, fornecendo informações sobre as quais uma organização pode agir para melhorar seu desempenho. A aderência a estes princípios é um pré-requisito para se fornecerem conclusões de auditoria que sejam pertinentes e suficientes, e para permitir que auditores que trabalhem independentemente entre si cheguem a conclusões semelhantes em circunstâncias semelhantes.

O processo é regido por seis princípios. A integridade é o fundamento do profissionalismo. Convém que os auditores e a pessoa que gerencia um programa de auditoria: realizem o seu trabalho com honestidade, diligência e responsabilidade; observem e estejam em conformidade com quaisquer requisitos legais aplicáveis; demonstrem sua competência enquanto realizam o seu trabalho; desempenhem o seu trabalho de forma imparcial, isto é, mantendo-se justos e sem tendenciosidade em todas as situações; estejam sensíveis a quaisquer influências que possam ser exercidas sobre seu julgamento enquanto realizando uma auditoria.

A apresentação justa é a obrigação de reportar com veracidade e exatidão. Convém que as constatações de auditoria, conclusões de auditoria e relatórios de auditoria reflitam com veracidade e precisão as atividades de auditoria. Convém que os problemas significativos encontrados durante a auditoria e não resolvidos por divergência de opiniões entre a equipe de auditoria e o auditado sejam relatados. Convém que a comunicação seja verdadeira, precisa, objetiva, em tempo hábil, clara e completa.

O devido cuidado profissional é a aplicação de diligência e julgamento na auditoria. Convém que os auditores exerçam o devido cuidado de acordo com a importância da tarefa que eles executam e a confiança neles depositada pelo cliente de auditoria e por outras partes interessadas. Um fator importante na realização do seu trabalho com o devido cuidado profissional, é ter a capacidade de fazer julgamentos ponderados em todas as situações de auditoria.

A confidencialidade é a segurança da informação. Convém que os auditores tenham discrição no uso e proteção das informações obtidas no curso das suas obrigações. Convém que as informações de auditoria não sejam usadas de forma inapropriada para ganhos pessoais pelo auditor ou pelo cliente de auditoria, ou de maneira prejudicial para o legítimo interesse do auditado. Este conceito inclui o manuseio apropriado de informações confidenciais ou sensíveis.

A independência é a base para imparcialidade de auditoria e objetividade das conclusões de auditoria. Convém que os auditores sejam independentes da atividade que está sendo auditada, quando for possível, e convém que ajam em todas as situações de tal modo que estejam livres de tendenciosidade e conflitos de interesse. Para auditorias internas, convém que os auditores sejam independentes das operações gerenciais da função que está sendo auditada.

Convém que os auditores mantenham objetividade ao longo de todo o processo de auditoria para assegurar que as conclusões e constatações de auditoria estejam baseadas somente nas evidências de auditoria. Para pequenas organizações, pode não ser possível que os auditores internos tenham total independência da atividade que está sendo auditada, porém convém que seja feito todo o esforço para remover a tendenciosidade e encorajar a objetividade.

A abordagem baseada em evidência é o método racional para alcançar conclusões de auditoria confiáveis e reproduzíveis em um processo sistemático de auditoria. Convém que a evidência de auditoria seja verificável. Ela geralmente é baseada em amostras das informações disponíveis, uma vez que uma auditoria é realizada durante um período de tempo finito e com recursos limitados. Convém que o uso apropriado de amostras seja aplicado, uma vez que esta situação está intimamente relacionada com a confiança que pode ser depositada nas conclusões de auditoria.

Convém que uma organização que necessita realizar auditorias estabeleça um programa de auditoria que contribua para a determinação da eficácia do sistema de gestão do auditado. O programa de auditoria pode incluir considerações de auditorias de uma ou mais normas de sistemas de gestão, conduzidas de forma separada ou em conjunto.

Convém que a Alta Direção assegure que os objetivos do programa de auditoria sejam estabelecidos e atribuídos a uma ou mais pessoas competentes para gerenciar o programa de auditoria. Convém que a abrangência de um programa de auditoria esteja baseada na natureza e tamanho da organização que está sendo auditada, como também na natureza, funcionalidade, complexidade e nível de maturidade do sistema de gestão a ser auditado.

Convém que seja dada prioridade para alocar recursos ao programa de auditoria, para auditar aquelas questões de grande importância dentro do sistema de gestão. Isto pode incluir características-chave da qualidade do produto ou dos perigos relativos à saúde e segurança, ou aspectos ambientais significativos e seus controles. Este conceito é normalmente conhecido como auditoria baseada em risco.

Esta norma não fornece diretrizes adicionais de auditorias baseadas em risco. Convém que o programa de auditoria inclua informações e recursos necessários para organizar e realizar suas auditorias de forma eficaz e eficiente dentro de um período de tempo específico e que também inclua o seguinte: objetivos para o programa de auditoria e auditorias individuais; abrangência/número/tipos/duração/localizações/programação de auditorias; procedimentos do programa de auditoria; critérios de auditoria; métodos de auditoria; seleção da equipe de auditoria; recursos necessários, incluindo viagem e acomodação; processos para tratamento da confidencialidade, segurança da informação, saúde e segurança, e outros assuntos similares.

Convém que a implementação do programa de auditoria seja monitorada e medida para assegurar que seus objetivos foram alcançados. Convém que o programa de auditoria seja analisado criticamente para identificar possíveis melhorias. A figura ilustra o fluxo do processo para a gestão de um programa de auditoria.

Dessa forma, cada auditoria individual deve ser baseada nos objetivos, escopos e critérios de auditoria documentados. Convém que estes sejam definidos pela pessoa que gerencia o programa de auditoria e consistentes com os objetivos globais do programa de auditoria.

Os objetivos de auditoria definem o que deve ser acompanhado por uma auditoria individual e podem ainda incluir o seguinte: determinação da abrangência de conformidade do sistema de gestão a ser auditado, ou parte dele, com os critérios de auditoria; determinação da abrangência de conformidade das atividades, processos e produtos com os requisitos e procedimentos do sistema de gestão; avaliação da capacidade do sistema de gestão para assegurar a conformidade com requisitos legais e contratuais e outros requisitos com os quais a organização esteja comprometida; avaliação da eficácia do sistema de gestão para atender aos seus objetivos especificados; identificação de áreas para potencial de melhoria do sistema de gestão.

Convém que o escopo de auditoria seja consistente com o programa e os objetivos de auditoria. Isto inclui fatores como localização física, unidades organizacionais, atividades e processos a serem auditados, bem como o período de tempo coberto pela auditoria. Os critérios de auditoria são usados como uma referência contra a qual a conformidade é determinada, e podem incluir políticas, procedimentos, normas, requisitos legais, requisitos de sistema de gestão, requisitos contratuais, códigos de conduta setoriais ou outros arranjos planejados, aplicáveis.

No caso de quaisquer mudanças nos objetivos de auditoria, no escopo ou nos critérios, convém que o programa de auditoria seja modificado, se necessário. Quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados juntos (uma auditoria combinada), é importante que os objetivos, escopo e critérios de auditoria sejam consistentes com os objetivos dos programas de auditoria pertinentes.

Convém que a pessoa que gerencia o programa de auditoria selecione e determine os métodos para realizar de forma eficaz uma auditoria, dependendo dos objetivos, escopo e critérios definidos de auditoria. As diretrizes sobre como determinar os métodos de auditoria são dadas no Anexo B.

Quando duas ou mais organizações auditoras realizam uma auditoria conjunta do mesmo auditado, convém que as pessoas que gerenciam os diferentes programas de auditoria concordem com o método de auditoria e considerem as implicações dos recursos e planejamento de auditoria. Se uma organização auditada operar dois ou mais sistemas de gestão de diferentes disciplinas, auditorias combinadas podem ser incluídas no programa de auditoria.

Enfim, uma auditoria pode ser realizada usando uma variedade de métodos de auditoria. Uma explicação dos métodos mais comuns usados em auditoria pode ser encontrada neste anexo. Os métodos de auditoria escolhidos para uma auditoria dependem dos objetivos de auditoria definidos, do escopo e critérios, bem como da duração e localização. Convém que a disponibilidade de auditor com competência e qualquer incerteza que surja da aplicação dos métodos de auditoria sejam consideradas.

Aplicando uma variedade e combinação de diferentes métodos de auditoria, pode-se otimizar a eficiência e eficácia do processo de auditoria e do seu resultado. O desempenho de uma auditoria envolve uma interação entre indivíduos com o sistema de gestão que está sendo auditado e a tecnologia usada para realizar a auditoria. A tabela abaixo fornece exemplos de métodos de auditoria que podem ser usados, de maneira única ou combinados, para atingir os objetivos de auditoria. Se uma auditoria envolver o uso de uma equipe de auditoria com múltiplos membros, métodos no local e remotos podem ser usados simultaneamente.

A responsabilidade da aplicação efetiva dos métodos de auditoria para quaisquer auditorias no estágio do planejamento permanece com a pessoa que gerencia o programa de auditoria ou com o líder da equipe de auditoria. O líder da equipe de auditoria tem esta responsabilidade para realizar as atividades de auditoria.

A viabilidade das atividades de auditoria remota pode depender do nível de confiança entre o auditor e o pessoal auditado. No nível do programa de auditoria, convém que seja assegurado que o uso de métodos de auditoria remota ou no local seja adequado e balanceado, para assegurar um atingimento satisfatório dos objetivos do programa de auditoria.

As entrevistas representam uma das mais importantes formas de coletar informações, e convém que sejam realizadas de tal maneira a adaptar a situação à pessoa a ser entrevistada, seja pessoalmente ou por outros meios de comunicação. Entretanto, convém que o auditor considere: que entrevistas sejam realizadas com pessoas de funções e níveis apropriados que realizem as atividades ou tarefas dentro do escopo da auditoria; que entrevistas sejam normalmente conduzidas durante o horário normal de trabalho e, sempre que possível, no local de trabalho da pessoa que está sendo entrevistada; sempre que possível, deixar a pessoa que está sendo entrevistada à vontade antes e durante a entrevista; que a razão para a entrevista e quaisquer anotações sejam explicadas; que as entrevistas possam ser iniciadas pedindo às pessoas que descrevam os seus trabalhos; selecionar cuidadosamente o tipo de questão usada (por exemplo, usar questões abertas, fechadas); que os resultados das entrevistas sejam sumarizados e analisados criticamente com a pessoa entrevistada; e agradecer às pessoas entrevistadas pela sua participação e cooperação.

Mauricio Ferraz de Paiva é engenheiro eletricista, especialista em desenvolvimento em sistemas, presidente do Instituto Tecnológico de Estudos para a Normalização e Avaliação de Conformidade (Itenac) e presidente da Target Engenharia e Consultoria.

voltar