DOCUMENTOS MANDATÓRIOS DO IAF PARA A APLICAÇÃO DA ABNT NBR ISO/IEC 17021:2011

NORMA Nº: NIT-DICOR-054

REV. Nº 03

APROVADAEM MAI/2013

PÁGINA01/45

SUMÁRIO 1 Objetivo 2 Campo de Aplicação 3 Responsabilidade 4 Histórico da Revisão 5 Documentos Complementares 6 Siglas 7 Documentos Mandatórios do IAF para Aplicação da ABNT NBR ISO/IEC 17021 Anexo A – Documento Mandatório do IAF para a Certificação de Multisites baseada em

amostragem (IAF MD 1:2007) Anexo B – Documento Mandatório do IAF para a Transferência da Certificação Acreditada

de Sistemas de Gestão (IAF MD 2:2007) Anexo C – Documento Mandatório do IAF para Procedimentos Avançados de Supervisão e

Recertificação (PASR) (IAF MD 3:2008) Anexo D – Documento Mandatório do IAF para o uso de Técnicas de Auditoria Apoiadas

por Computador (TAAC) para Certificação Acreditada de Sistemas de Gestão (IAF MD 4:2008)

Anexo E – Documento Mandatório do IAF para duração de auditorias de SGQ e SGA (IAF MD 5:2013)

Anexo F – Documento Mandatório do IAF para Avaliação do Organismo de Certificação para Gestão da Competência em Conformidade com a ISO/IEC 17021:2011 (IAF MD 10:2013)

Anexo G – Documento Mandatório do IAF para a aplicação da ISO/IEC 17021 em auditorias de sistemas de gestão integrados (IAF MD 11:2013)

1 OBJETIVO Este documento apresenta a tradução livre dos seguintes documentos mandatórios do IAF, para a consistente aplicação do ABNT NBR ISO/IEC 17021: IAF MD 1:2007 IAF Mandatory Document for the Certification of Multiple Sites Based on Sampling; IAF MD 2:2007 IAF Mandatory Document for the Transfer of Accredited Certification of

Management Systems; IAF MD 3:2008 IAF Mandatory Document for Advanced Surveillance and Recertification

Procedures; IAF MD 4:2008 IAF Mandatory Document for the use of Computer Assisted Auditing Techniques

(“CAAT”) for Accredited Certification of Management Systems; IAF MD 5:2013 IAF Mandatory Document for Duration of QMS and EMS Audits; IAF MD 10:2013 IAF Mandatory Document for Assessment of Certification Body Management of

Competence in Accordance with ISO/IEC 17021:2011; IAF-MD 11:2013 IAF Mandatory Document for the Application of ISO/IEC 17021 for Audits of

Integrated Management Systems

2 CAMPO DE APLICAÇÃO

Esta norma aplica-se à Dicor.

3 RESPONSABILIDADE

A responsabilidade pela revisão desta norma é da Dicor

NIT-DICOR-054 REV.

03 PÁGINA

02/45

4 HISTÓRICO DA REVISÃO 4.1 Foi alterado o anexo E (IAF MD 11:2013) 4.2 Foram incluídos os anexos F (IAF MD 10:2013) e G (IAF MD 11:2013) 4.2 Foram excluídos os documentos IAF GD 2:2005 e IAF GD 6:2006 5 DOCUMENTOS COMPLEMENTARES ABNT NBR ISO/IEC 17021 Avaliação da conformidade – Requisitos para organismos que

fornecem auditoria e certificação de sistemas de gestão ABNT NBR ISO 9001 Sistemas de Gestão da Qualidade - Requisitos ABNT NBR ISO 14001 Sistemas de Gestão Ambiental - Especificação e Diretrizes para uso ABNT NBR ISO 19011 Diretrizes para auditorias de Sistema de Gestão da Qualidade e/ou

Ambiental Nota: As normas referenciadas são utilizadas nas suas últimas revisões, conforme disponíveis no

site da ABNT (www.abnt.org.br). 6 SIGLAS ABNT Associação Brasileira de Normas Técnicas Dicor Divisão de Acreditação de Organismos de Certificação IAF International Accreditation Forum ISO International Organization for Standardization IEC International Electrotechnical Commission MLA Acordo de Reconhecimento Multilateral SGQ Sistema de Gestão da Qualidade SGA Sistema de Gestão Ambiental PASR Procedimentos Avançados de Supervisão e Reavaliação TAAC Técnicas de Auditoria Apoiadas por Computador IAF MD Documento Mandatório do IAF

7 DOCUMENTOS MANDATÓRIOS DO IAF PARA APLICAÇÃO DA ABNT NBR ISO/IEC 17021.

A tradução livre dos IAF MD 1:2007, IAF MD 2:2007, IAF MD 3:2008; IAF MD 4:2008; IAF MD 5:2013; IAF MD 10:2013 e IAF MD 11:2013 estão apresentadas nos Anexos a esta norma.

O International Accreditation Forum, Inc. (IAF) opera programas para a acreditação de organismos que fornecem serviços de avaliação da conformidade. Tais acreditações facilitam o comércio e reduzem a demanda para certificação múltipla.

A acreditação reduz o risco para os negócios e seus clientes ao assegurar a eles que os Organismos de Avaliação da Conformidade (OACs) acreditados são competentes para realizarem o trabalho que eles desempenham dentro do seu escopo de acreditação. Exige-se que os Organismos de Acreditação (OAs), membros do IAF, e seus OACs acreditados atendam às normas internacionais apropriadas e aos documentos mandatórios do IAF para a consistente aplicação dessas normas.

Os membros do Acordo de Reconhecimento Multilateral (MLA) do IAF conduzem avaliações regulares entre si para assegurar a equivalência de seus programas de acreditação. Os MLAs do IAF operam em dois níveis:

NIT-DICOR-054 REV.

03 PÁGINA

03/45

Um MLA para a acreditação de OACs para normas, incluindo a ISO/IEC 17020 para organismos de inspeção, a ISO/IEC 17021 para organismos de certificação de sistemas de gestão, a ISO/IEC 17024 para organismos de certificação de pessoas e a ISO/IEC Guia 65 para organismos de certificação de produtos, é considerado uma estrutura para o MLA. Uma estrutura para o MLA fornece confiança que OACs acreditados são igualmente dignos de confiança no desempenho das atividades de avaliação da conformidade.

Um MLA para a acreditação de OACs que também inclui a norma de avaliação da conformidade específica ou esquema, como o escopo da acreditação, fornece confiança na equivalência da certificação.

Um MLA do IAF fornece a confiança necessária para a aceitação da certificação pelo mercado. Uma organização ou pessoa com certificação para uma norma específica ou esquema que é acreditado por um OA signatário do MLA do IAF pode ser reconhecido mundialmente facilitando consequentemente o comércio internacional.

Introdução aos Documentos Mandatórios do IAF

O termo "convém" é usado neste documento para indicar meios reconhecidos de atender aos requisitos da norma. O Organismo de Avaliação da Conformidade (OAC) pode atendê-los de forma equivalente, contanto que possa demonstrá-los ao Organismo de Acreditação (OA). O termo "deve" é usado neste documento para indicar aquelas disposições que, refletindo os requisitos da norma pertinente, são mandatórias.

_______________________

/ANEXOS

NIT-DICOR-054 REV.

03 PÁGINA

04/45

ANEXO A - DOCUMENTO MANDATÓRIO DO IAF PARA A CERTIFICAÇÃO DE MULTISITES BASEADA EM AMOSTRAGEM (IAF MD 1:2007)

Este documento é mandatório para a consistente aplicação da cláusula 9.1.5 da ABNT NBR ISO/IEC 17021 e é baseado na diretriz previamente fornecida no Anexo 3 do IAF GD2:2005 e IAF GD6:2003 cláusula G.5.3.5 - G.5.3.13. Todas as cláusulas da ABNT NBR ISO/IEC 17021:2007 continuam a ser aplicadas e este documento não substitui qualquer dos requisitos daquela norma. Este documento mandatório não é exclusivamente para Sistemas de Gestão da Qualidade (SGQ) e Sistemas de Gestão Ambiental (SGA) e pode ser utilizado para outros sistemas de gestão. Contudo normas pertinentes podem fornecer requisitos específicos para multisites ou impedir o uso de amostragem (ex. ISO/IEC 27006, ISO/TS 22003).

0. INTRODUÇÃO

0.1. Este documento é para a auditoria e, se apropriado, a certificação de sistemas de gestão em organizações com uma rede de sites para assegurar que a auditoria proporciona confiança adequada na conformidade do sistema de gestão para a norma apropriada através de todos os sites listados e que a auditoria é eficaz e viável em termos econômicos e operacionais.

0.2. Normalmente, convém que a auditoria inicial para certificação e subsequentes auditorias de supervisão e recertificação ocorram em todo site da organização que deve ser coberto pela certificação. Entretanto, quando a atividade de uma organização sujeita à certificação for realizada de forma similar em sites diferentes, estando todos sujeitos ao controle e autoridade da organização, um organismo de certificação poderá utilizar procedimentos apropriados para amostragem dos sites na auditoria inicial e subsequentes auditorias de supervisão e recertificação. Este documento refere-se às condições sob as quais a certificação multisite é aceita para organismos de certificação acreditados incluindo o cálculo do tamanho da amostra e duração da auditoria.

0.3. Este documento não se aplica a auditorias de organizações que tenham multisites onde fundamentalmente dissimilares processos ou atividades são usados nos sites diferentes, ou numa combinação de sites, embora eles possam estar sob o mesmo sistema de gestão. As condições sob as quais os organismos de certificação podem fazer qualquer redução na auditoria completa normal de todos os sites, nestas circunstâncias, têm que ser justificadas em cada site onde a redução é proposta.

0.4. Este documento é aplicável a organismos de certificação acreditados que empregam amostragem em suas auditoria e certificação de organizações multisites. Não obstante, um organismo de certificação acreditado poderá divergir excepcionalmente deste documento desde que seja capaz de apresentar justificativas pertinentes. Estas justificativas devem, sob avaliação pelo organismo de acreditação, demonstrar que o mesmo nível de confiança na conformidade do sistema de gestão, através de todos os sites listados, pode ser obtida.

0.5. Quando uma organização é considerada uma candidata para certificação com base na amostragem, o organismo de certificação deve ter arranjos para explicar a aplicação deste documento para a organização antes do início da auditoria.

1. DEFINIÇÕES

1.1. Organização

O termo organização é usado para designar qualquer empresa ou outra organização que possua um sistema de gestão sujeito à auditoria e certificação.

NIT-DICOR-054 REV.

03 PÁGINA

05/45

1.2. Site

Um site é uma locação permanente onde uma organização realiza trabalho ou serviço.

1.3. Site Temporário

Um site temporário é aquele estabelecido por uma organização para desempenhar trabalho específico ou serviço por um período de tempo finito e que não se tornará um site permanente. ( p. ex. site de construção).

1.4. Sites Adicionais

Um novo site ou grupo de sites que serão adicionados a uma rede multisite certificada existente.

1.5. Organização Multisite

Uma organização multisite é definida como uma organização que tenha uma função central identificada (daqui por diante designada como escritório central- mas não necessariamente a sede da organização), onde determinadas atividades são planejadas, controladas ou gerenciadas, e uma rede de escritórios locais ou filiais (sites), onde tais atividades são executadas completa ou parcialmente.

2. APLICAÇÃO

2.1 Site

2.1.1 Um site pode incluir todos os terrenos nos quais atividades sob o controle de uma organização numa dada locação são realizadas incluindo qualquer armazenamento conectado ou associado de matéria-prima, subprodutos, produtos intermediários, produtos finais e resíduos, e qualquer equipamento ou infraestrutura envolvidos nas atividades, fixos ou não. Alternativamente, quando requerido por lei, definições estabelecidas por regimes de licenciamento nacional ou local devem ser aplicados.

2.1.2 Quando não é viável definir a locação (p. ex. para serviços), convém que a cobertura da certificação leve em conta as atividades da sede da organização, bem como a entrega dos seus serviços. Quando pertinente, o organismo de certificação pode decidir que a auditoria de certificação seja conduzida somente onde a organização entrega seus serviços. Em tais casos, todas as interfaces com seu escritório central devem ser identificadas e auditadas.

2.2 Site Temporário

2.2.1 Sites temporários que estão cobertos pelo sistema de gestão da organização podem estar sujeitos a auditoria com base amostral para fornecer evidência da operação e eficácia do sistema de gestão. Eles podem, contudo, ser incluídos dentro do escopo de uma certificação multisite, sujeita a acordo entre o organismo de certificação e a organização cliente. Quando incluído no escopo, tais sites devem ser identificados como temporários.

2.3 Organização Multisite

2.3.1. A organização multisite não precisa ser uma entidade legal única, porém todos os sites devem ter um vínculo legal ou contratual com o escritório central da organização e devem estar sujeitos a um sistema de gestão comum, o qual é formulado, estabelecido e sujeito à supervisão contínua e auditorias internas pelo escritório central. Isto significa que o escritório central tem direito de requerer que os sites implementem ações corretivas, quando necessárias, em qualquer site. Quando for aplicável, convém que esta condição seja estabelecida no contrato formal entre o escritório central e os sites.

Exemplos de possíveis organizações multisite:

Organizações que operam com franquia

Empresas de fabricação com uma rede de escritórios de vendas (este documento aplicar-se-ia à rede de vendas)

Empresas de serviço com sites múltiplos oferecendo um serviço similar

Empresas com várias filiais

NIT-DICOR-054 REV.

03 PÁGINA

06/45

3. CRITÉRIOS DE ELEGIBILIDADE PARA A ORGANIZAÇÃO

3.0.1. Os processos de todos os sites têm que ser essencialmente do mesmo tipo e têm de ser operados por métodos e procedimentos similares. Quando alguns dos sites sob consideração conduzem processos similares, mas em menor número que os demais processos, eles podem ser elegíveis para inclusão na certificação multisite, desde que os sites que conduzem a maior parte dos processos ou processos críticos sejam sujeitos a auditoria completa.

3.0.2 Organizações que conduzem seus negócios através processos vinculados em locações diferentes são também elegíveis para amostragem, desde que sejam atendidas todas as outras cláusulas deste documento. Quando os processos em cada locação não são similares, mas são claramente vinculados, o plano de amostragem deve incluir no mínimo um exemplo de cada processo conduzido pela organização (p.ex. fabricação de componentes eletrônicos em uma locação, montagem dos mesmos componentes – pela mesma empresa em muitas outras locações).

3.0.3 O sistema de gestão da organização deve estar sob uma plano controlado e administrado centralmente e estar sujeito à análise crítica da administração central. Todos os sites pertinentes (inclusive a função de administração central) devem estar sujeitos ao programa de auditoria interna da organização e todos devem ter sido auditados de acordo com esse programa, antes do organismo de certificação iniciar sua auditoria.

3.0.4. Deve ser demonstrado que o escritório central da organização estabeleceu um sistema de gestão de acordo com a norma de sistema de gestão pertinente sob auditoria e que e que toda a organização atende aos requisitos da norma. Deve-se incluir a análise dos regulamentos pertinentes.

3.0.5. Convém que a organização demonstre sua capacidade para coleta e análise de dados (inclusive, mas não limitado aos itens listados a seguir) de todos os sites, inclusive do escritório central, e sua autoridade e capacidade para iniciar alteração organizacional, se necessário:

Documentação do sistema e mudanças do sistema;

Análise crítica pela administração;

Reclamações;

Avaliação de ações corretivas;

Planejamento de auditoria interna e avaliação do resultado

Mudanças nos aspectos e impactos associados para sistemas de gestão ambiental (SGA) e

Requisitos legais diferentes.

3.0.6. Nem todas as organizações que se encaixam na definição de “organização multisite” serão elegíveis para amostragem.

3.0.7 Nem todas as normas de sistemas de gestão são adequadas na consideração para certificação multisite. Por exemplo, amostragem multisite poderia não ser adequada quando a auditoria de fatores locais variáveis é um requisito da norma. Regras específicas aplicam-se, também, para alguns esquemas, por exemplo, aqueles que incluem séries automotiva (TS 16949) e aeroespacial (AS 9100), e os requisitos de tais esquemas devem ter prioridade.

3.0.8. Convém que os organismos de certificação tenham procedimentos documentados para restringir tal amostragem quando a amostragem de site não for apropriada para obter confiança suficiente na eficácia do sistema de gestão sob auditoria. Convém que tais restrições sejam definidas pelo organismo de certificação com relação a:

Setores ou atividades do escopo (isto é, baseado na avaliação de riscos ou de complexidade associados com esse setor ou atividade);

Tamanho dos sites elegíveis para auditoria multisite;

NIT-DICOR-054 REV.

03 PÁGINA

07/45

Variações na implementação local do sistema de gestão, tal como a necessidade de recursos freqüentes para utilização de planos, dentro do sistema de gestão, para abordar diferentes atividades ou diferentes sistemas contratuais ou reguladores;

Uso de sites temporários que operam de acordo com o sistema de gestão da organização, e os quais não serão incluídos dentro do escopo da certificação.

4. CRITÉRIOS DE ELEGIBILIDADE PARA O ORGANISMO DE CERTIFICAÇÃO

4.0.1. O organismo de certificação deve fornecer informações para a organização sobre a aplicação deste documento e as normas pertinentes de sistema de gestão, antes de começar o processo de auditoria, e convém não prosseguir se quaisquer das provisões não forem atendidas. Antes de começar o processo de auditoria, convém que o organismo de certificação informe à organização que o certificado não será emitido se durante a auditoria inicial forem detectadas não conformidades.

4.1. Análise Crítica de Contrato

4.1.1. Convém que os procedimentos do organismo de certificação assegurem que a análise crítica inicial de contrato identifica a complexidade e escala das atividades cobertas pelo sistema de gestão, sujeitas à certificação, bem como quaisquer diferenças entre os sites como base para a determinação do nível de amostragem.

4.1.2.. O organismo de certificação deve identificar a função central da organização que tem contrato legal e vigente para o fornecimento das atividades de certificação.

4.1.3. O organismo de certificação deve verificar, em cada caso individual, em que extensão os sites de uma organização operam substancialmente o mesmo tipo de processos, de acordo com os mesmos procedimentos e métodos. Veja cláusula 3.0.1 para sites que conduzem processos similares, mas em menor número que os demais processos, e cláusula 3.0.2 para sites envolvendo processos conectados. Somente após uma verificação completa, que confirme, pelo organismo de certificação, de que todos os sites propostos para inclusão no multisite atendem às provisões de elegibilidade, é que os procedimentos de amostragem poderão ser aplicados a cada site individualmente.

4.1.4. Se nem todos os sites de uma organização de serviço, onde a atividade sujeita à certificação estiver sendo realizada, estiverem prontos para serem submetidos à certificação ao mesmo tempo, o organismo de certificação deve solicitar à organização que informe, com antecedência, quais os sites que ela quer incluir no certificado e aqueles que serão excluídos.

4.2. Auditoria

4.2.1. O organismo de certificação deve ter procedimentos documentados para lidar com as auditorias sob seu procedimento multisite. Tais procedimentos devem estabelecer o modo que o organismo de certificação se convence de que o mesmo sistema de gestão controla as atividades em todos os sites e que os critérios de elegibilidade para a organização na cláusula 3 anterior são atendidos. Este requisito também é aplicável a um sistema de gestão onde são usados documentos eletrônicos, controle de processo ou outros processos eletrônicos. O organismo de certificação deve justificar e registrar as razões para prosseguir com a abordagem multisite.

4.2.2. Se mais de uma equipe auditora estiver envolvida na auditoria ou supervisão da rede, convém que o organismo de certificação designe um único auditor líder cuja responsabilidade seja a de consolidar as constatações de todas as equipes auditoras e produzir um relatório de síntese.

4.3. Não-Conformidades

4.3.1. Quando não conformidades, conforme definido na cláusula 9.1.15 da ABNT NBR ISO/IEC 17021, forem encontradas em qualquer site individual, seja por meio de auditoria interna da organização ou de auditoria pelo organismo de certificação, convém realizar uma investigação para determinar se os outros sites podem ser afetados. Portanto, convém que o organismo de certificação requeira que a organização analise criticamente as não conformidades para determinar se elas

NIT-DICOR-054 REV.

03 PÁGINA

08/45

indicam uma deficiência geral do sistema aplicável ou não a todos os sites. Em caso positivo, convém que ação corretiva seja realizada e verificada tanto no escritório central como nos sites individuais afetados. Em caso negativo, convém que a organização seja capaz de demonstrar ao organismo de certificação a justificativa para limitar seu acompanhamento da ação corretiva.

4.3.2. O organismo de certificação deve requerer a evidência dessas ações e deve aumentar sua freqüência de amostragem e/ou o tamanho da amostra até estar convencido de que o controle foi restabelecido.

4.3.3. Durante o processo de tomada de decisão, se qualquer site tiver uma não conformidade, conforme definido na cláusula 9.1.15 (b) da ABNT NBR ISO/IEC 17021, a certificação deve ser negada a toda rede de sites listada, pendente de ação corretiva satisfatória.

4.3.4. Não deve ser admissível que, para superar o obstáculo levantado pela existência de uma não conformidade em um único site, a organização procure excluir do escopo o site "problemático” durante o processo de certificação. Tal exclusão pode somente ser acordada com antecedência (Veja cláusula 4.1.4).

4.4. Documentos de Certificação

4.4.1. Documentos de certificação podem ser emitidos, cobrindo múltiplos sites desde que cada site incluído no escopo da certificação tenha sido auditado individualmente pelo organismo de certificação ou auditado utilizando-se abordagem de amostragem definida neste documento.

4.4.2. O organismo de certificação deve fornecer documentos de certificação aos clientes certificados por qualquer meio a sua escolha. Tais documentos de certificação devem atender em todos os aspectos à ABNT NBR ISO/IEC 17021.

4.4.3 Estes documentos devem conter o nome e endereço do escritório central da organização e uma lista de todos os sites os quais os documentos de certificação se relacionam. O escopo ou outra referência nestes documentos deve tornar claro que as atividades certificadas são realizadas pela rede de sites da lista. Se o escopo de certificação dos sites só for emitido como parte do escopo geral da organização, sua aplicabilidade a todos os sites deve ser claramente estabelecida. Quando sites temporários são incluídos no escopo, tais sites devem ser identificados como temporários nos documentos de certificação.

4.4.4. Documentos de certificação poderão ser emitidos para a organização para cada site coberto pela certificação com a condição de que estes contenham o mesmo escopo, ou um subescopo daquele escopo, e que inclua uma referência clara aos documentos de certificação principais.

4.4.5. A documentação da certificação será totalmente cancelada, se o escritório central ou quaisquer dos sites não atenderem às provisões necessárias para a manutenção da certificação.

4.4.6. A lista de sites deve ser mantida atualizada pelo organismo de certificação. Para esse fim, o organismo de certificação deve solicitar à organização que informe sobre o fechamento de qualquer dos sites cobertos pela certificação. A falha no fornecimento dessas informações será considerada pelo organismo de certificação como mau uso da certificação, e convém que o organismo aja consequentemente de acordo com os seus procedimentos.

4.4.7. Sites adicionais podem ser adicionados a uma certificação existente como resultado das atividades de supervisão ou recertificação ou aumento de escopo. O organismo de certificação deve ter procedimentos documentados para a adição de novos sites.

5. AMOSTRAGEM

5.1. Metodologia

5.1.1. Convém que a amostra seja parcialmente seletiva, com base nos fatores estabelecidos abaixo e parcialmente não seletiva, e que resulte na seleção de uma gama de diferentes sites, sem excluir o elemento aleatório de amostragem.

5.1.2. Convém que pelo menos 25% da amostra seja selecionada aleatoriamente.

NIT-DICOR-054 REV.

03 PÁGINA

09/45

5.1.3. Levando em consideração os critérios mencionados a seguir, convém que o restante seja escolhido de forma que as diferenças entre os sites selecionados, no período de validade do certificado, sejam as maiores possíveis.

5.1.4. Os critérios de seleção do site poderão incluir entre outros os seguintes aspectos:

Resultados de auditorias internas de site e análises críticas ou certificação prévia;

Registros de reclamações e outros aspectos pertinentes de ação corretiva e preventiva;

Variações significativas no tamanho dos sites;

Variações nas mudanças de tendência e procedimentos de trabalho;

Complexidade do sistema de gestão e processos conduzidos nos sites;

Modificações desde a última auditoria de certificação;

Maturidade do sistema de gestão e conhecimento da organização;

Questões ambientais e extensão dos aspectos e impactos associados para sistemas de gestão ambiental (SGA);

Diferenças de cultura, idioma e requisitos regulatórios; e

Dispersão geográfica. 5.1.5. Não é obrigatório que esta seleção seja feita no início do processo de auditoria. Ela também pode ser feita quando a auditoria no escritório central tiver sido concluída. Em qualquer caso, o escritório central deve ser informado sobre os sites a serem incluídos na amostra. O envio destas informações pode ser feito com pouca antecedência, mas convém que permita tempo adequado para a preparação para a auditoria. 5.2. Tamanho da Amostra 5.2.1. O organismo de certificação deve ter um procedimento documentado para determinação da amostra a ser tomada ao auditar sites como parte das auditorias e certificação de uma organização multisite. Convém que este procedimento leve em consideração todos os fatores descritos neste documento. 5.2.2. O organismo de certificação deve ter registros sobre cada solicitação de amostragem multisite justificando que ele está operando de acordo com este documento. 5.2.3. O cálculo a seguir é um exemplo baseado no exemplo de uma atividade de pequena a médio risco com menos de 50 empregados em cada site. O número mínimo de sites a serem visitados por auditoria é de:

Auditoria inicial: convém que o tamanho da amostra seja a raiz quadrada do número de sites

remotos: (y= x), arredondado ao número inteiro superior.

Auditoria de supervisão: convém que o tamanho da amostra anual seja a raiz quadrada do

número de sites remotos com 0,6 como um coeficiente (y=0,6 x), arredondado ao número inteiro superior.

Auditoria de Recertificação: convém que o tamanho da amostra seja o mesmo de uma auditoria inicial. Não obstante, quando o sistema de gestão demonstrar ser eficaz num período de

três anos, o tamanho da amostra poderá ser reduzido por um fator de 0,8, isto é: (y=0,8 x), arredondado ao número inteiro superior.

5.2.4. Convém que o organismo de certificação defina dentro do seu sistema de gestão os níveis de risco das atividades, como aplicado acima.

NIT-DICOR-054 REV.

03 PÁGINA

10/45

5.2.5. O escritório central também deve ser auditado durante cada auditoria inicial de certificação e certificação e no mínimo anualmente como parte da supervisão.

5.2.6. Convém que o tamanho ou a freqüência da amostra seja aumentado quando a análise de risco do organismo de certificação da atividade coberta pelo sistema de gestão, sujeito à certificação, indicar circunstâncias especiais em relação a fatores tais como:

O tamanho dos sites e número de empregados (p.ex. mais de 50 empregados num site);

A complexidade do nível de risco da atividade e do sistema de gestão;

Variações nas práticas de trabalho (p.ex. trabalho em turno);

Variações nas atividades empreendidas;

Significância e extensão dos aspectos e impactos associados para sistemas de gestão ambiental (SGA);

Registros de reclamações e outros aspectos pertinentes de ação corretiva e preventiva;

Quaisquer aspectos multinacionais;

Resultados de auditorias internas e análise crítica.

5.2.7. Quando a organização tiver um sistema hierárquico de filiais (p. ex. escritório sede (central), escritórios nacionais, escritórios regionais, filiais locais), o modelo de amostragem para a auditoria inicial, conforme definido anteriormente, se aplica a cada nível. Exemplos:

1 escritório sede: visitado em cada ciclo de auditoria (inicial ou supervisão ou recertificação) 4 escritórios nacionais: amostra = 2: mínimo 1, aleatoriamente 27 escritórios regionais: amostra = 6: mínimo 2, aleatoriamente 1700 filiais locais: amostra = 42: mínimo 11, aleatoriamente.

5.3. Tempos de Auditoria

5.3.1. O tempo utilizado na auditoria de cada site individual é outro elemento importante a ser considerado, e o organismo de certificação deve estar preparado para justificar o tempo utilizado nas auditorias multisite quanto à sua política global de alocação de tempo de auditoria.

5.3.2. Normalmente, convém que o número de homens dia por site, incluindo o escritório central, seja calculado para cada site, utilizando-se o mais recente documento publicado pelo IAF para o cálculo de homens.dia, para a norma pertinente.

5.3.3. Podem ser aplicadas reduções que levem em consideração as cláusulas que não sejam pertinentes ao escritório central e/ou sites locais. As razões para a justificativa de tais reduções devem ser registradas pelo organismo de certificação.

Nota: Sites que conduzem a maior parte dos processos ou processos críticos não estão sujeitos à redução (cláusula 3.0.1).

5.3.4. Convém que o tempo total utilizado na auditoria inicial e supervisão, que é a soma total do tempo utilizado em cada site adicionado ao do escritório central, nunca seja menor do que aquele que teria sido calculado para o tamanho e a complexidade da operação, caso todo o trabalho tivesse sido realizado em um único site (isto é, com todos os empregados da empresa no mesmo site).

5.4 Sites Adicionais

5.4.1. Na solicitação de um grupo novo de sites para juntar-se a uma rede de multisites já certificada, convém que cada grupo novo de sites seja considerado como um conjunto independente para a determinação do tamanho da amostra. Após a inclusão do grupo novo no certificado, convém que os novos sites sejam acumulados aos outros já existentes para determinar o tamanho da amostra para futuras auditorias de supervisão ou recertificação.

/ANEXO B

NIT-DICOR-054 REV.

03 PÁGINA

11/45

ANEXO B - DOCUMENTO MANDATÓRIO DO IAF PARA A TRANSFERÊNCIA DA CERTIFICAÇÃO ACREDITADA DE SISTEMAS DE GESTÃO (IAF MD 2:2007)

Este documento é mandatório para a consistente aplicação da cláusula 9.1.1 da ABNT NBR ISO/IEC 17021:2007 e é baseado na diretriz previamente fornecida no Anexo 4 do IAF GD2:2005 e no Anexo 2 do IAF GD6:2006. Todas as cláusulas da ABNT NBR ISO/IEC 17021 continuam a ser aplicadas e este documento não substitui qualquer dos requisitos daquela norma. Este documento mandatório não é exclusivamente para Sistemas de Gestão da Qualidade (SGQ) e Sistemas de Gestão Ambiental (SGA) e pode ser utilizado para outros sistemas de gestão.

0. INTRODUÇÃO

0.1. Este documento fornece critérios normativos sobre a transferência de certificação de sistemas de gestão acreditada entre organismos de certificação. Os critérios podem, também, ser aplicados no caso de aquisição de organismos de certificação acreditados por um signatário do MLA do IAF.

0.2. O objetivo deste documento é assegurar a manutenção da integridade das certificações de sistema de gestão acreditadas, emitidas por um organismo de certificação, se transferidas posteriormente para outro organismo semelhante.

0.3. O documento fornece critérios mínimos para a transferência de certificação. Os organismos de certificação poderão implementar procedimentos ou ações que sejam mais restritivas do que as contidas aqui, desde que a liberdade da organização cliente em escolher um organismo de certificação não seja indevida ou injustamente restringida.

1. DEFINIÇÃO

1.1 Transferência de Certificação.

A transferência de certificação é definida como o reconhecimento da existência e validade de uma certificação de sistema de gestão, concedida por um organismo de certificação acreditado, (daqui por diante denominado "organismo de certificação emissor”), por outro organismo de certificação acreditado, (daqui por diante denominado "organismo de certificação receptor”) com a finalidade de emitir sua própria certificação.

Observação: A certificação múltipla, (certificação simultânea por mais de um organismo de certificação) não recai na definição anterior e não é encorajada pelo IAF.

2. REQUISITOS MÍNIMOS

2.1. Acreditação

2.1.1 Somente certificações cobertas pela acreditação de um signatário do MLA do IAF devem ser elegíveis para transferência. As organizações portadoras de certificações que não estejam cobertas por tais acreditações devem ser tratadas como novos clientes.

2.2. Análise Crítica Antes da Transferência

2.2.1 Uma pessoa competente do organismo de certificação receptor deve executar uma análise crítica da certificação do cliente em potencial. Essa análise crítica deve ser conduzida por meio de uma análise da documentação e convém que, normalmente, inclua uma visita ao cliente em potencial. Razões para não realizar uma visita devem ser plenamente justificadas e documentadas e uma visita deve ser conduzida se o contato não puder ser feito com o organismo de certificação emissor. Convém que a análise crítica cubra os seguintes aspectos e suas constatações devem ser plenamente documentadas:

(i) confirmação de que as atividades certificadas do cliente estão dentro do escopo acreditado do organismo de certificação receptor;

(ii) os motivos para recorrer a uma transferência;

NIT-DICOR-054 REV.

03 PÁGINA

12/45

(iii) que o site ou sites que desejam a transferência da certificação mantém uma certificação acreditada válida, em termos de autenticidade, duração e escopo de atividades cobertas pela certificação de sistema de gestão. Se for viável, convém verificar a validade da certificação e a situação de não-conformidades pendentes com o organismo de certificação emissor, a menos que ele tenha encerrado as atividades. Quando não for possível se comunicar com o organismo de certificação emissor, o organismo de certificação receptor deve registrar os motivos;

(iv) uma análise dos últimos relatórios de auditoria de certificação ou recertificação, dos relatórios de supervisão subseqüentes e de qualquer não-conformidade pendente resultante delas. Essa análise deve, também, incluir qualquer outra documentação pertinente disponível, relacionada ao processo de certificação, isto é, anotações manuscritas, listas de verificação. Se os últimos relatórios de auditoria de certificação, recertificação ou supervisão subsequentes não forem disponibilizados ou se a auditoria de supervisão está atrasada, então a organização deve ser tratada como um novo cliente;

(v) reclamações recebidas e ações tomadas; (vi) a fase do ciclo atual de certificação. Veja o parágrafo 2.4 deste documento; e (vii) qualquer compromisso da organização com organismos regulatórios com relação à

conformidade legal.

2.3. Certificação

2.3.1. Em geral, convém que somente certificação acreditada válida seja transferida. Nos casos onde a certificação tenha sido concedida por um organismo de certificação que tenha encerrado suas atividades comerciais ou cuja acreditação tenha expirado, sido suspensa ou cancelada, o organismo de certificação receptor poderá considerar tal certificação para transferência, a seu critério. Em tais casos, antes de prosseguir com a transferência, o organismo de certificação receptor deve obter o de acordo do organismo de acreditação, cuja marca pretende colocar no certificado. No caso de aquisições, convém que o organismo de certificação adquiridor/ adquirente, onde aplicável, cumpra as obrigações contratuais do organismo de certificação adquirido.

2.3.2. Certificação que se sabe de antemão que tenha sido suspensa ou com ameaça de suspensão não deve ser aceita para transferência. Se o organismo de certificação receptor não puder verificar o estado da certificação com o organismo de certificação emissor, deve solicitar à organização que confirme que o certificado não está suspenso ou sob ameaça de suspensão.

2.3.3. Convém encerrar as não-conformidades pendentes, se possível, com o organismo de certificação emissor, antes da transferência. Caso contrário, elas devem ser fechadas pelo organismo de certificação receptor.

2.3.4. Se não forem mais identificados quaisquer problemas pendentes ou potenciais por meio da análise crítica antes da transferência, poderá ser emitida uma certificação, seguindo o processo normal de tomada de decisão. Convém que o programa atual de supervisão seja baseado no regime de certificação prévia, a menos que, como resultado da análise crítica, o organismo de certificação receptor tenha executado uma auditoria inicial ou de recertificação.

2.3.5. Quando ainda existir dúvida, após a análise crítica feita antes da transferência, quanto à adequação de uma certificação atual ou anterior, o organismo de certificação receptor deve, dependendo da extensão da dúvida:

tratar o solicitante como um novo cliente ou

conduzir uma auditoria que se concentre em áreas com problemas identificados. A decisão sobre a ação requerida irá depender da natureza e extensão de quaisquer problemas encontrados e deve ser explicada à organização e a justificativa para a decisão deve ser documentada e os registros mantidos pelo organismo de certificação.

/ANEXO C

NIT-DICOR-054 REV.

03 PÁGINA

13/45

ANEXO C - DOCUMENTO MANDATÓRIO DO IAF PARA PROCEDIMENTOS AVANÇADOS DE SUPERVISÃO E RECERTIFICAÇÃO (PASR) (IAF MD 3:2008) Este documento fornece critérios normativos para procedimentos avançados de supervisão e recertificação (PASR), para a consistente aplicação da cláusula 9.1.1 da ABNT NBR ISO/IEC 17021:2007, para determinar ajustes subsequentes no programa de auditoria. Este documento considera somente Sistemas de Gestão da Qualidade (SGQ) e Sistemas de Gestão Ambiental (SGA),os quais os membros do IAF têm experiência na implementação de PASR ou de suas metodologias predecessoras. O uso de PASR não é mandatório, mas se um organismo de acreditação desejar permitir seu organismo de certificação acreditado e seu(s) cliente(s) optarem pelo uso de PASR, é um requisito do IAF que o organismo de certificação e seu(s) cliente(s) atendam a este documento e estejam aptos a demonstrar conformidade ao organismo de acreditação..

0. INTRODUÇÃO

0.1. Nos casos em que uma organização estabeleceu confiança em seu sistema de gestão (SGQ e/ou SGA), ao demonstrar regularmente eficácia durante um período, o organismo de certificação, sob consulta com a organização, poderá decidir aplicar os Procedimentos Avançados de Supervisão e Reavaliação (PASR) possibilitados por este documento. Tal programa avançado de supervisão e reavaliação poderá ter um grau de confiança maior (mas não total) nos processos de auditoria interna e análise crítica pela administração da organização, incluir tópicos específicos para supervisão, levar em consideração entradas específicas de projeto da organização e/ou usar outros métodos, conforme apropriado, para demonstrar conformidade do sistema de gestão.

0.2. O objetivo deste documento é assegurar o fornecimento de uma auditoria mais eficaz e eficiente de organizações que possuam um registro de desempenho comprovado mantendo, ao mesmo tempo, a integridade dos respectivos certificados de sistema de gestão acreditados.

0.3. Este documento estabelece os requisitos mínimos para a aplicação do PASR. Os organismos de certificação poderão implementar procedimentos ou ações que sejam mais restritivas do que as contidas aqui, desde que um pedido justificável da organização para o PASR não seja indevido ou injustamente restringido.

1. REQUISITOS MÍNIMOS

1.1 Pré-requisito

A fim de utilizar o PASR, o organismo de certificação deve primeiramente demonstrar para um organismo de acreditação signatário do MLA do IAF :

a) que esteve operando um programa de certificação acreditado para o sistema de gestão pertinente (SGQe/ou SGA) por no mínimo um ciclo completo de acreditação.

b) que é competente para elaborar um programa de PASR para cada organização individual, no sistema de gestão pertinente (SGQ e/ou SGA), de acordo com os requisitos da cláusula 7.3 da NBR ISO 9001:2000, e utilizando os critérios de entrada de projeto mencionados na cláusula 1.3.2 a seguir.

NOTA: A referência é feita aqui à NBR ISO 9001 visto que ela especifica os requisitos para o organismo de certificação elaborar um programa para PASR , indiferentemente se ele estiver operando certificação de SGQ ou SGA.

NIT-DICOR-054 REV.

03 PÁGINA

14/45

1.2 Escopo de acreditação A competência do organismo de certificação em atender ao item 1.1 (b) anterior deve ser avaliada pelo organismo de acreditação. Se a avaliação for bem sucedida, deve-se incluir uma referência específica à aprovação para PASR para SGQ e/ou SGA, conforme pertinente, no escopo de acreditação do organismo de certificação.

1.3 Critérios de elegibilidade e de entrada de projeto O organismo de certificação deve informar ao organismo de acreditação antes de cada nova utilização do PASR para cada organização específica, e deve ser capaz de demonstrar que os critérios constantes a seguir nas cláusulas 1.3.1 e 1.3.2 foram satisfeitos:

1.3.1. Critérios de elegibilidade a) O organismo de certificação deve confirmar que o sistema de gestão da organização teve

sua conformidade demonstrada com os requisitos da(s) norma(s) aplicável(is) por um período de no mínimo um ciclo completo de certificação incluindo as auditorias inicial, de supervisão e de recertificação.

NOTA: O resultado da primeira auditoria de recertificação (sem aplicar PASR) da organização, conduzida ao final de um ciclo de certificação de três anos, poderá servir de base para o organismo de certificação confirmar que a conformidade foi demonstrada.

b) Todas as não-conformidades levantadas durante o ciclo de certificação imediatamente antes da utilização do PASR devem ter sido resolvidas com sucesso.

c) Para um SGA, o organismo de certificação deve confirmar que a organização estabeleceu conformidade com os requisitos legais aplicáveis e que não teve quaisquer sanções impostas pela(s) autoridade(s) regulamentadora(s) pertinente(s) durante o período citado no item a) anterior.

d) O organismo de certificação deve ter combinado com a organização indicadores de desempenho adequados, pelos quais possa julgar a eficácia contínua do sistema de gestão, e deve assegurar que a organização atende coerentemente às metas de desempenho combinadas.

(i) Para um SGQ, estes indicadores de desempenho devem abordar, no mínimo, a capacidade demonstrada da organização em fornecer regularmente produtos que atendam aos requisitos de regulamentos aplicáveis e do cliente (veja a cláusula 1.1 da NBR ISO 9001:2000), e deve incorporar requisitos para a melhoria contínua da eficácia do SGQ.

NOTA: Para um SGQ, entende-se por “indicador” a característica a ser medida e por “meta” os requisitos quantitativos/qualitativos a serem atendidos.

(ii) Para um SGA, estes indicadores de desempenho devem abordar, no mínimo, a capacidade demonstrada da organização em alcançar sua política, objetivos e metas ambientais e em atender aos requisitos legais aplicáveis e a outros relacionados com seus aspectos ambientais (veja a cláusula 4.3.2 da NBR ISO 14001:2004), e devem incorporar requisitos para a melhoria contínua e prevenção da poluição.

NOTA: Para um SGA, entende-se por “indicador” a característica a ser medida e por “meta”, usada no contexto de meta de desempenho, os requisitos quantitativos/qualitativos a serem atendidos, que é considerada como sendo idêntica à “meta ambiental”, conforme definido na NBR ISO 14001.

e) O organismo de certificação deve ter arranjos executáveis legalmente com a organização para que esta ofereça acesso às informações pertinentes. Para um SGQ, estas informações são todos os dados de satisfação do cliente coletados ou disponíveis de outra forma. Para um SGA, estas informações são todas as comunicações pertinentes de partes externas interessadas, e em particular de autoridade(s) regulamentadora(s) pertinente(s). Quando for necessário que o organismo de certificação comunique-se diretamente com a fonte de tais informações para validá-las, devem ser aplicadas políticas e procedimentos de confidencialidade em comum acordo.

NIT-DICOR-054 REV.

03 PÁGINA

15/45

f) O organismo de certificação deve verificar se o processo de auditoria interna da organização vem sendo gerenciado de acordo com a diretriz constante na NBR ISO 19011, em particular quanto à competência do auditor definida na cláusula 7. O processo de auditoria interna deve ser coordenado e integrado o suficiente para fornecer uma avaliação do sistema de gestão como um todo, e não só o desempenho isolado dos componentes.

g) O organismo de certificação deve ter acordos contratuais vigentes que o permitam aumentar o escopo, freqüência e duração de suas auditorias no caso de uma deterioração da capacidade da organização em atender às metas de desempenho combinadas.

1.3.2. Critérios de entrada de projeto

Além dos critérios de entrada específicos da organização, o projeto de cada PASR individual deve abordar os itens a seguir:

a) A frequência e duração das auditorias do organismo de certificação devem ser suficientes para permitir que o organismo de certificação atenda a este documento de critérios, incluindo os itens b) e c) a seguir, entre outros.

Para cada utilização proposta do PASR, o organismo de certificação deve determinar o tempo básico de auditor (sem aplicar o PASR) usando os Documentos pertinentes dos Critérios Normativos ou da Diretriz do IAF e, se aplicável, o Anexo A deste documento (IAF MD1:2007) para amostragem de multisites. Se o organismo de certificação planejar um programa PASR individual que reduza o tempo de auditor a menos de 70% deste nível básico, o organismo de certificação deve justificar tais reduções e solicitar aprovação específica para o organismo de acreditação antes de sua implementação.

NOTA: Os Documentos Mandatórios do IAF aplicáveis a tempo de auditor para SGQ e SGA estão em desenvolvimento. Até que tais documentos estejam disponíveis, convém que o Anexo 2 do IAF GD2/ Anexo 2 do Anexo da NIT-Dicor-042 (e, quando aplicável o Anexo 3) e o Anexo 1 do IAF GD6/ Anexo 1 do Anexo da NIT-DICOR-039 (e, quando aplicável , a cláusula G5.3.6) continuem a ser aplicados para definir o tempo total de auditoria (Fase 1 + Fase 2).

b) Além de auditar um número estatisticamente significativo de amostras dos processos do sistema de gestão da organização para confirmar a adequação e eficácia do processo de auditoria interna, o organismo de certificação deve ele próprio continuar a realizar, pelo menos, as seguintes atividades a cada auditoria de supervisão e recertificação no local (com outras atividades definidas pelo PASR; consulte a cláusula 1.4 abaixo):

entrevistar a alta direção e o representante da administração;

avaliar as entradas e saídas da análise crítica pela administração, incluindo a verificação da capacidade da organização em atender às metas de desempenho combinadas;

analisar criticamente o processo de auditoria interna, incluindo os procedimentos e registros de auditorias internas, e a competência dos auditores internos;

analisar criticamente os planos de ações corretivas e preventivas, e verificar sua implementação eficaz.

c) O organismo de certificação deve assegurar que todos os requisitos de uma certificação acreditada (incluindo os requisitos da ABNT NBR ISO/IEC 17021:2007 e de qualquer programa aplicável ao setor) continuam a ser atendidos.

1.4 Saídas de projeto

A saída de projeto para cada aplicação do programa PASR do organismo de certificação deve incluir o constante nos itens de (a) a (f), a seguir:

a) A extensão na qual o organismo de certificação utilizará os processos de auditoria interna e análise crítica pela administração da organização para complementar as atividades do organismo de certificação;

NIT-DICOR-054 REV.

03 PÁGINA

16/45

b) Os critérios para atestar as auditorias internas da organização, incluindo amostragem dos processos e dos auditores a serem auditados;

c) Os critérios para aceitar e monitorar a competência dos auditores internos da organização e o método de relatar os resultados da auditoria interna;

d) Os critérios para ajustes contínuos do programa de avaliação, levando em consideração a capacidade demonstrada da organização ao longo do tempo em atender às metas de desempenho combinadas;

e) Os componentes do sistema de gestão que serão necessariamente auditados pelo organismo de certificação a cada auditoria de supervisão e recertificação (veja cláusula 1.3.2 b); e

f) Os critérios específicos de competência dos auditores do organismo de certificação e, quando aplicável, dos especialistas técnicos.

1.5 Certificados

O organismo de certificação não deve diferenciar entre as metodologias com PASR e sem PASR nos certificados que ele emitir.

/ANEXO D

NIT-DICOR-054 REV.

03 PÁGINA

17/45

ANEXO D - DOCUMENTO MANDATÓRIO DO IAF PARA O USO DE TÉCNICAS DE AUDITORIA APOIADAS POR COMPUTADOR (TAAC) PARA CERTIFICAÇÃO ACREDITADA DE SISTEMAS

DE GESTÃO (IAF MD 4:2008)

Este documento é mandatório para a consistente aplicação da ABNT NBR ISO/IEC 17021 quando técnicas de auditoria apoiadas por computador são usadas como parte da metodologia de auditoria. O uso de TAAC não é mandatório, mas se o organismo de certificação e seu cliente optarem por usarem TAAC é mandatório que eles atendam a este documento e estejam aptos a demonstrar conformidade ao organismo de acreditação.

0. INTRODUÇÃO

0.1. Como as tecnologias da informação e comunicação se tornam cada vez mais sofisticadas, é importante para os organismos de certificação estarem aptos a utilizarem “Técnicas de Auditoria Apoiadas por Computador” para melhorar a eficácia e a eficiência da auditoria, e para apoiar e manter a integridade do processo de auditoria.

NOTA: Diretriz sobre o uso de Técnicas de auditoria apoiadas por computador podem ser obtidas a partir do site do Grupo de Práticas de Auditoria da ISO/IAF www.iso.org/tc176/ISO9001AuditingPracticesGroup

0.2. Tais “Técnicas de Auditoria Apoiadas por Computador” (TAAC”) podem incluir, por exemplo:

Teleconferência,

Reuniões pela web,

Comunicações interativas pela web,

Acesso eletrônico remoto à documentação do sistema de gestão e/ou processos do sistema de gestão.

0.3. Os objetivos para a aplicação eficaz das TAAC são:

a) Fornecer uma metodologia que seja suficientemente flexível e não-prescritiva em natureza para satisfazer as necessidades da indústria, permitindo às organizações clientes e seus respectivos organismos de certificação a utilizarem o TAAC para melhorar o processo de auditoria convencional, e

b) Para assegurar que controles adequados estão nos locais com suficiente supervisão do organismo de acreditação para evitar abusos e para prevenir pressões comerciais excessivas que possam comprometer a integridade do processo de certificação.

1. REQUISITOS

1.1 Confidencialidade

De acordo com a ISO/IEC 17021, cláusula 8.5.1, a segurança e confidencialidade da informação eletrônica ou eletronicamente transmitida é particularmente importante quando o organismo de certificação está usando TAAC. Convém que o organismo de certificação acorde sobre medidas de segurança da informação mutuamente aceitáveis com seus clientes antes de utilizar TAAC.

1.2 Requisitos do processo

1.2.1 Além dos requisitos da cláusula 9.1.2 da NBR ISO/IEC 17021, o plano de auditoria deve identificar quaisquer técnicas de auditoria apoiadas por computador que serão utilizadas.

NIT-DICOR-054 REV.

03 PÁGINA

18/45

1.2.2 Além dos requisitos da cláusula 9.1.3 da NBR ISO/IEC 17021, ao TAAC, deve ser dada atenção específica à habilidade dos auditores em entender e utilizar as tecnologias da informação empregadas pela organização cliente para gerenciar seus processos de sistema de gestão.

1.2.3 Além dos requisitos da cláusula 9.1.4 da NBR ISO/IEC 17021, se o organismo de certificação utilizar TAAC, isto pode ser considerado como parcialmente contribuindo para o total do tempo do auditor nas instalações. Se atividades de auditoria remota representam mais do que 30% do tempo planejado do auditor nas instalações, o organismo de certificação deve justificar o plano de auditoria e obter aprovação específica do organismo de acreditação antes da sua implementação.

NOTAS:

1) Espera-se que esta “aprovação específica” seja feita inicialmente caso a caso, mas não exclui uma “aprovação por completo” do organismo de acreditação para o organismo de certificação ir além de 30% de redução uma vez que organismo de certificação tenha demonstrado que o seu processo é robusto.

2) O tempo de auditor nas instalações refere-se ao tempo de auditor nas instalações alocado para sites individuais. Auditorias eletrônicas de sites remotos são consideradas auditorias remotas, mesmo se a auditoria eletrônica for conduzida fisicamente de outra premissa da organização do cliente.

1.2.4 Além dos requisitos da cláusula 9.1.10 da NBR ISO/IEC 17021, os relatórios de auditoria devem indicar a extensão na qual as TAAC são usadas na condução da auditoria e como isso contribui para a eficácia e eficiência da auditoria. 1.2.5 Além dos requisitos da cláusula 9.2.21 da NBR ISO/IEC 17021, alínea a, quando o organismo de certificação se propõe a utilizar TAAC como parte da auditoria, a análise da solicitação deve incluir a verificação de que a organização do cliente tem a infra-estrutura necessária para apoiar esta abordagem. 1.2.6 Além dos requisitos da cláusula 9.3.2.2 da NBR ISO/IEC 17021, com relação ao uso das TAAC, a organização deve ser fisicamente visitada, no mínimo, anualmente. 1.2.7 Além dos requisitos da cláusula 9.9.2 da NBR ISO/IEC 17021, os registros devem indicar a extensão na qual as TAAC são usadas nas realizações da auditoria e da certificação.

/ANEXO E

NIT-DICOR-054 REV.

03 PÁGINA

19/45

ANEXO E - Documento Obrigatório IAF para duração de auditorias de SGQ e SGA (IAF MD 5:2013)

Este documento é obrigatório para a aplicação coerente da cláusula 9.1.4.1 da ISO / IEC 17021:2011 para as auditorias de sistemas de gestão da qualidade e ambiental e está baseado em orientação fornecida anteriormente no IAF GD2: 2005 Anexo 2 e GD6 2006, Anexo 1. Todas as cláusulas da ISO/IEC 17021:2011 continuam a ser aplicadas e este documento não substitui nenhum dos requisitos nesta norma. Embora o número de funcionários (permanente, temporário e part time) do cliente seja usado como ponto de partida quando se considera o período de auditoria, esta não é a única consideração, também deverão ser levados em conta outros fatores que afetam a duração da auditoria.

0 INTRODUÇÃO

1.1 Este documento fornece disposições obrigatórias e orientação para os OCs a fim de desenvolver seus próprios procedimentos documentados para determinar a quantidade de tempo necessário para a auditoria de clientes de diferentes tamanhos e complexidade ao longo de um amplo espectro de atividades. Pretende-se que isto conduzirá a consistência de duração entre auditorias dos OCs, bem como entre os clientes semelhantes do mesmo OC.

1.2 Os OCs devem identificar a duração da auditoria nos Estágios 1 e 2 da auditoria inicial, as auditorias de supervisão, e auditorias de recertificação para cada solicitante e cliente certificado.

1.3 Este documento obrigatório não estipula tempo mínimo/máximo, mas fornece uma estrutura que deve ser utilizada dentro de procedimentos documentados do OC para determinar a duração de auditoria apropriada, tendo em conta as especificidades do cliente a ser auditado.

1.4 Para fins de acreditação, deve notar-se que a não conformidade com este documento (e/ou as tabelas incluídas) em casos individuais, não leva automaticamente a não conformidade contra a norma ISO / IEC 17021. No entanto, esta situação poderia ser motivo para uma investigação mais aprofundada para a integralidade da auditoria. Atenção especial deve ser dada à investigação dos motivos de desvio deste documento obrigatório.

1.5 Se inconsistências deste documento obrigatório são encontradas em uma base mais regular, isso pode formar a base para não conformidade contra a norma ISO / IEC 17021, alegando que o OC não pode dar uma garantia razoável de que ele dá às suas equipes de auditoria, tempo para realizar uma completa e suficiente auditoria como parte do processo de certificação.

NIT-DICOR-054 REV.

03 PÁGINA

20/45

1 DEFINIÇÃO

1.1 Duração da Auditoria

Duração da auditoria para todos os tipos de auditorias é o tempo efetivo medido em auditor/dias requeridos para realizar a atividade de auditoria.

1.2 Auditor dia

A duração de um dia do auditor é normalmente de 8 horas e podem ou não incluir tempo de locomoção e almoço dependendo da legislação local.

1.3 Número Efetivo de Pessoal

O número efetivo de pessoal consiste em todo o pessoal em tempo integral envolvido no escopo da certificação, incluindo aqueles que trabalham em cada turno. Pessoal não permanente (sazonal, temporário, subcontratado e pessoal contratado) assim como pessoal que trabalhe meio período, mas que estejam presentes no momento da auditoria, devem ser incluídos neste número.

1.4 Local Temporário

Um local temporário é um criado por uma organização, a fim de realizar um trabalho específico ou um serviço por um período de tempo definido e que não vai se tornar um local permanente (por exemplo, um local de construção).

1.5 Complexidade da Categoria (somente SGA)

Para os sistemas de gestão ambiental, o disposto no presente documento se baseia em cinco categorias de complexidade primários da natureza, número e gravidade dos aspectos ambientais de uma organização que fundamentalmente afetam o tempo de auditor.

2 APLICAÇÃO

2.1 Duração da Auditoria

Duração de auditoria para todos os tipos de auditorias incluem a hora local nas instalações do cliente e tempo gasto fora do local de realização de planejamento, revisão de documentos, interação com o pessoal do cliente e elaboração de relatórios. Espera-se que a duração da auditoria envolvida nestas atividades combinadas (independentemente se as atividades são realizadas fora do local ou no local) não deve normalmente diminuir a duração total de auditoria no local a menos de 80% do tempo calculado seguindo a metodologia na seção 3. Isto se aplica à auditoria inicial, supervisão e recertificação. Onde o tempo adicional seja necessário para o planejamento e/ou elaboração de relatórios, esta não será uma justificativa para a redução no tempo de auditoria no local aplicável.

NIT-DICOR-054 REV.

03 PÁGINA

21/45

2.2 O Auditor Dia

As tabelas SGQ 1 e SGA 1 apresentam o tempo de auditoria calculado pelo dia do auditor com base em 8 horas/dia. Ajustes no número de dias podem ser necessários para cumprir com a legislação local no que se refere à locomoção, parada para almoço e horas trabalhadas, isto para atingir o mesmo total de números de auditoria das Tabelas SGQ 1 e SGA 1.

O número de dias de alocação do auditor não deve ser reduzido no estágio de planejamento quando houver uma programação maior de dias de trabalho.

2.3 Número Efetivo de Pessoal

O número efetivo de pessoal é usado como base de cálculo para a duração da auditoria. Dependendo das horas trabalhadas, o número de pessoal de meio período poderá ser reduzido e convertido como número equivalente para o pessoal de período integral. Uma redução apropriada deve ser feita para o pessoal temporário e não muito qualificado, os quais podem ter sido admitidos em um grande número em alguns países devido ao baixo nível de tecnologia e automação. De igual maneira, uma redução no número do pessoal pode ser feita onde uma significante proporção de pessoas executem funções mais simples, como por exemplo: no transporte, linha de produção, linhas de montagem, etc. O OC deve concordar com a organização no sentido de realizar a auditoria no tempo que melhor demonstre o escopo das atividades do cliente.

Nota: O tempo de auditoria que melhor demonstre o escopo total pode incluir a necessidade de uma auditoria além das horas normais de trabalho ou fazer uma adaptação nas horas padrão empregada.

3 METODOLOGIA PARA DETERMINAR A DURAÇÃO DA AUDITORIA

3.1 A metodologia usada como base para cálculo da duração da auditoria na fase inicial (Estágio 1 + Estágio 2) envolve a interpretação das tabelas e figures no Anexo A e Anexo B para auditorias SGQ e SGA, respectivamente. O Anexo A (SGQ) é baseado unicamente no número efetivo de pessoal (ver Cláusula 2.3 para orientação no cálculo do efetivo número de pessoal), mas não fornece a duração mínima ou máxima. Além do efetivo número de pessoal, o Anexo B (SGA) é baseado também na complexidade ambiental da organização e não fornece duração mínima ou máxima.

Usando um multiplicador adequado, as mesmas tabelas e figuras podem ser usadas como base no cálculo da duração da auditoria no que se refere à auditoria de supervisão (Cláusula 5) e auditoria de recertificação (Cláusula 6).

3.2 O OC deve ter procedimentos que forneçam o tempo adequado de alocação para a auditoria de relevantes processos do cliente. Experiências têm demonstrado que fora o número de pessoal, o tempo requerido para realização de uma auditoria depende de outros fatores em ambos SGQ e SGA. Estes fatores são abordados com maior profundidade na Cláusula 8.

NIT-DICOR-054 REV.

03 PÁGINA

22/45

3.3 Este documento obrigatório lista as disposições que devem ser consideradas quando se estabelece uma quantidade de tempo necessário para realização da auditoria. Estes e outros fatores precisam ser examinados durante o processo de análise crítica do contrato dos OCs pelos seus potenciais impactos na duração da auditoria independente do tipo. Apesar da relevância, as tabelas, figuras e diagramas para SGQ e SGA, os quais demonstram a relação entre o efetivo número de pessoal e a complexidade, elas não podem ser utilizadas isoladamente. Estas tabelas e figuras fornecem a estrutura para o planejamento e duração de qualquer tipo de auditoria.

3.4 Para auditorias SGQ, a Figura SGQ 1 fornece o guia visual para ajustes no tempo de auditoria básica e fornece também a estrutura para um processo que deve ser usado para o planejamento de auditorias, identificando o ponto de partida baseado no efetivo número total de pessoal de todos os turnos. Onde os processos de realização de produtos e serviços em bases de turnos, a extensão de auditoria de cada turno pelo OC, dependerá dos processos realizados em cada turno demonstrado pelo cliente. A justificativa para a não realização de auditoria de cada turno deve ser documentada.

3.5 Para uma auditoria de SGA é adequado basear a duração da auditoria sobre o número efetivo de pessoal da organização e a natureza, o número e a gravidade dos aspectos ambientais da organização e do setor da indústria. A duração da auditoria, em seguida, deve ser ajustada com base em quaisquer fatores significativos que aplicam-se exclusivamente à organização a ser auditada. O OC deve usar de cuidado ao garantir que qualquer variação na duração da auditoria não conduz a um comprometimento da eficácia das auditorias. No caso de processos de realização do produto ou serviço que operam em regime de turno, a medida da auditoria de cada turno pelo OC depende dos processos realizados em cada turno e o nível de controle de cada turno que é demonstrado pelo cliente. A justificativa para a não realização de auditoria em cada turno deve ser documentada.

3.6 O ponto de partida para a determinação da duração de auditoria deve ser identificado com base no número efetivo de pessoal, em seguida, ajustado aos fatores significativos, aplicando-se ao cliente a serem auditados e atribuindo a cada fator uma ponderação aditiva ou subtrativa para modificar a figura base. Em cada situação a base para o estabelecimento da duração de auditoria, incluindo ajustamentos deve ser registrada.

3.7 Determinações de duração de auditoria usando as tabelas ou figuras dos anexos 1 e 2 não inclui o tempo de "auditores em treinamento" ou o tempo de especialistas técnicos.

3.8 A redução da duração de auditoria não deve exceder 30% do tempo estabelecido nas tabelas SGQ 1 ou SGA 1.

Nota: A Cláusula 3.9 pode não se aplicar às situações descritas no IAF MD1 para locais individuais em operações multilocais onde a amostragem é permitida. Nesta situação, um número limitado de processos está presente em tais locais e a implementação de todos os requisitos relevantes das normas de sistemas de gestão podem ser verificadas.

NIT-DICOR-054 REV.

03 PÁGINA

23/45

4 DURAÇÃO DA AUDITORIA INICIAL (ESTÁGIO 1 MAIS ESTÁGIO 2)

4.1 A duração das atividades de auditoria combinadas fora do local (Cláusula 2) não deve reduzir o total da duração da auditoria no local menos que 80% do tempo calculado seguindo a metodologia na Seção 3. Sempre que o tempo adicional for necessário para o planejamento e/ou redação do relatório, isto não poderá ser considerada justificativa para a redução do tempo de auditoria no local.

4.2 A Tabela SGQ 1 e a Figura SGQ 1 e Tabelas SGA 1 e SGA 2 fornecem um ponto de partida para estimar a duração de uma auditoria inicial (fase 1 + fase 2) para auditorias SGQ e SGA, respectivamente. Para cada cliente, o OC deve determinar o tempo necessário para planejar e realizar uma auditoria completa e efetiva no sistema de gestão do cliente. O tempo de auditoria determinado pelo organismo de certificação e a justificativa para a determinação devem ser registradas. Sempre que o OC aplicar a redução ou aumento de tempo estabelecidos nas tabelas SGQ 1 ou SGA 1, deve ser feita uma justificativa que esteja disponível para o seu Organismo de Acreditação para revisão durante a avaliação do Organismo de Acreditação e/ou sob solicitação do Organismo de Acreditação.

4.3 A duração da auditoria de certificação pode incluir técnicas remotas de auditoria, tais como colaboração baseada na web interativa, reuniões por web, teleconferências e/ou verificação eletrônica de processos do cliente (ver IAF MD4). Essas atividades devem ser identificadas no planejamento da auditoria, e o tempo gasto nessas atividades podem ser consideradas como contribuintes para a total " duração da auditoria no local ". Se o OC planejar uma auditoria na qual as atividades remotas representam mais de 30% da duração no local da auditoria planejada, o OC deve justificar o plano de auditoria e manter os registros de justificativa que devem estar disponíveis a um Organismo de Acreditação para avaliação. É improvável que as atividades de auditoria remotas representam mais de 50% do tempo total do auditor no local.

Notas: 1. Tempo do auditor no local refere-se ao tempo do auditor no local destinado para locais individuais. Auditorias eletrônicas de locais remotos são consideradas auditorias remotas, mesmo se a auditoria eletrônica for fisicamente realizada nas instalações da organização.

2. Independentemente das técnicas de auditoria remotas usadas, a organização do cliente deve ser fisicamente visitada, pelo menos uma vez ao ano.

3. É pouco provável que a duração de uma auditoria Fase 2 irá ser menor do que um (1) auditor / dia.

5 SUPERVISÃO

5.1 Durante os três anos iniciais do ciclo de certificação, a duração de uma auditoria de supervisão para uma determinada organização deve ser proporcional ao tempo gasto na auditoria de certificação inicial (fase 1 + fase 2), com a quantidade total de tempo gasto anualmente em supervisão sendo cerca de 1/3 do o tempo gasto na auditoria de certificação inicial. Uma atualização de dados de clientes relacionadas com a certificação deve estar disponível para o planejamento de cada auditoria de supervisão. A duração da auditoria de supervisão planejada deve ser revisada de tempos em tempos, pelo menos a cada auditoria de supervisão e sempre no momento da recertificação, levar em conta as mudanças na organização, maturidade do sistema, etc. A evidência de revisão, incluindo os ajustes para duração da auditoria devem ser registrados.

NIT-DICOR-054 REV.

03 PÁGINA

24/45

6 RECERTIFICAÇÃO

6.1 A duração da auditoria de recertificação deve ser calculada com base na informação atualizada do cliente e é, normalmente, cerca de 2/ 3 do tempo que seria necessário para uma auditoria de certificação inicial (fase 1 + fase 2) da organização, se uma auditoria inicial fosse realizada no momento da recertificação (isto é, não de 2/3 do tempo de auditoria inicial de certificação original). A duração de auditoria deve levar em conta o resultado da avaliação de desempenho do sistema (ISO / IEC 17021 cláusula. 9.4.1.2). A revisão do desempenho do sistema em si não faz parte da duração da auditoria para as auditorias de recertificação.

7 SEGUNDO E SUBSEQUENTES CICLOS DE CERTIFICAÇÃO INDIVIDUALIZADOS

7.1 Para os ciclos de certificação segundo e subsequentes, o OC pode planejar um

programa individualizado de supervisão e recertificação (ver IAF MD3 de Supervisão Avançada e Procedimentos de Recertificação - ASRP). Se uma abordagem ASRP não é escolhida, a duração de auditoria deve ser calculada como indicado nas Cláusulas 5 e 6.

8 FATORES PARA AJUSTES NA DURAÇÃO DA AUDITORIA (SGQ E SGA)

8.1 Os fatores adicionais que precisam ser considerados incluem os abaixo mas não os limitam a:

Aumento na duração da auditoria:

• Logística complicada envolvendo mais de um edifício ou locação onde o trabalho é realizado, por exemplo, um Centro de Design em separado, deve ser auditado;

• Colaboradores que falam mais de um idioma (requerendo intérprete ou impedindo os auditores de trabalhar individualmente);

• Local muito grande para o número de pessoal (por exemplo, uma floresta);

• Alto grau de regulação (exemplo: alimentos, drogas, aeroespacial, energia nuclear, etc.);

• O sistema abrange processos altamente complexos ou número relativamente elevado

de atividades exclusivas;

• Atividades que requeiram visitas temporárias aos locais a fim de confirmer as atividades no local permanente, cujo sistema de gestão é objeto de certificação.

Aumento na duração da auditoria para SGA apenas:

• Maior sensibilidade do meio ambiente receptor comparado ao local típico do setor industrial;

• Opiniões das partes interessadas;

• Aspectos indiretos necessitando de aumento de tempo da auditoria;

• Aspectos ambientais adicionais ou incomuns, ou ainda condições regulamentadas para o setor.

Diminuição da duração da auditoria:

• O cliente não é “responsável pelo projeto” ou outros elementos padrão que não estejam cobertos pelo escopo (apenas SGQ);

• Local muito pequeno para o número de pessoas (ex.: apenas complexo de escritórios);

• Maturidade do sistema de gestão;

NIT-DICOR-054 REV.

03 PÁGINA

25/45

• Conhecimento prévio do sistema de gestão do cliente (ex.: já certificado por um outro padrão pelo mesmo OC);

• Prontidão do cliente para a certificação (ex.: já certificado ou reconhecido por esquema de terceira parte);

• Atividades de baixa Complexidade, por exemplo:

• Processos que envolvam uma atividade genérica única (ex.: Serviços, apenas);

• Atividades idênticas realizadas em todos os turnos com provas adequadas de desempenho equivalente em todos os turnos, com base em auditorias anteriores (auditorias internas e auditorias OC);

• Sempre que uma proporção significativa do pessoal executar uma função simples, semelhante;

Nota: Para SGA, os processos de baixa Complexidade estão abordados na Tabela SGA 1.

• Onde a equipe incluir um número de pessoas que trabalham "fora do local", por exemplo, vendedores, motoristas, pessoal de manutenção, etc e seja possível auditar o cumprimento de suas atividades com o sistema através da revisão dos registros.

Todos os atributos do sistema do cliente, processos e produtos/serviços devem ser considerados e um ajuste feito para aqueles fatores que poderiam justificar maior ou menor tempo do auditor para uma auditoria eficaz. Fatores adicionais podem ser compensados por fatores de subtração. Nota: Outros fatores a serem considerados no cálculo da duração das auditorias de sistemas de gestão integrados, são abordadas no IAF MD 11.

9 LOCAIS TEMPORÁRIOS

9.1 Em situações em que o requerente de certificação ou cliente certificado forneça o seu produto (s) ou serviço (s) em locais temporários, esses locais devem ser incorporados nos programas de auditoria.

9.2 Os locais temporários podem variar de locais principais de gerenciamento de projetos

para locais de serviços / instalações menores. A necessidade de visitar esses locais e a

extensão da amostragem deve ser baseada em uma avaliação de riscos da falha do

SGQ para controlar a saída do produto ou serviço, ou o SGA para controlar aspectos e

impactos ambientais associados às operações do cliente. A amostra de locais

selecionados deve representar a gama de necessidades de competências do cliente e

as variações de serviços, ter dado atenção aos tamanhos e tipos de atividades, e as

várias fases de projetos em andamento assim como os aspectos e impactos

ambientais associados.

9.3 Normalmente auditorias de locais temporários são realizadas. No entanto, os métodos seguintes podem ser considerados como alternativos para substituir algumas auditorias no local:

– Entrevistas ou acompanhamento de reuniões da organização com clientes e/ou

fornecedores, em pessoa ou por teleconferência;

– Análise da documentação das atividades do local temporário;

– Acesso remoto ao sítio eletrônico que contenha registros ou outras informações que sejam relevantes para a avaliação do sistema de gestão e o local temporário (s);

NIT-DICOR-054 REV.

03 PÁGINA

26/45

- O

rgan

izat

ion D

istr

ibu

tion

– Utilização de vídeo e teleconferência ou outras tecnologias que permitam uma auditoria eficaz e que possa ser realizada remotamente.

9.4 Em cada caso, o método de auditoria deve ser devidamente documentado e justificado

em termos da sua eficácia.

10 DURAÇÃO DE AUDITORIAS MULTI-LOCAIS

10.1 No caso de auditorias de multi-locais, o ponto de partida para o cálculo da duração da auditoria em cada local deve ser coerente com a Tabela SGQ 1 e Figura SGQ 1 para sistemas de gestão da qualidade e Tabela SGA 1 para sistemas de gestão ambiental. No entanto, as reduções podem ser feitas levando em conta situações em que certos processos do sistema de gestão não são relevantes para o local e são a principal responsabilidade do local de controle.

10.2 Os requisitos para auditorias multi-locais são abordados com mais detalhes no IAF MD1

para a certificação de vários locais baseados em amostragem. Neste caso, MD1 deve ser utilizado para selecionar os locais a serem amostrados antes de aplicar MD5 para cada local selecionado.

Anexo 1 – SISTEMAS DE GESTÃO DA QUALIDADE

Tabela SGQ 1 – Sistemas de Gestão da Qualidade Relação entre o Número Efetivo de Pessoal e a Duração da Auditoria

(somente para Auditoria Inicial)

Número Efetivo de Pessoal

Duração da Auditoria

Fase 1 + Fase 2 (dias)

Número Efetivo de Pessoal

Duração da Auditoria

Fase 1 + Fase 2 (dias)

1-5 1.5 626-875 12

6-10 2 876-1175 13

11-15 2.5 1176-1550 14

16-25 3 1551-2025 15

26-45 4 2026-2675 16

46-65 5 2676-3450 17

66-85 6 3451-4350 18

86-125 7 4351-5450 19

126-175 8 5451-6800 20

176-275 9 6801-8500 21

276-425 10 8501-10700 22

426-625 11 >10700 Seguir progressão acima

Nota 1: O número de empregados da Tabela SGQ 1 deve ser visto como um processo contínuo ao invés de uma mudança escalonada. Nota 2: Os procedimentos dos OCs podem prever duração de auditoria para um número de empregados superior a 10.700. Cada duração de auditoria deve seguir a progressão da Tabela SGQ 1 de uma forma consistente.

NIT-DICOR-054 REV.

03 PÁGINA

27/45

- O

rgan

izat

ion D

istr

ibu

tion

Figura SGQ 1 – Relação entre Complexidade e Duração da Auditoria

Grande Simples

Multi-locais

Poucos processos Processo repetitivo

Escopo pequeno

Grande Complexo

Multi-locais

Muitos processos

Grande escopo

Processos Únicos

Responsabilidade do projeto

Ponto de partida do

Quadro de Tempo do Auditor

Poucos processos

Escopo pequeno

Processo repetitivo

Pequeno Simples

Muitos processos

Responsabilidade do projeto

Grande escopo

Processos Únicos

Pequeno Complexo

Sistema de Complexidade do Cliente

NIT-DICOR-054 REV.

03 PÁGINA

28/45

Anexo B – SISTEMAS DE GESTÃO AMBIENTAL

Tabela SGA 1 – Relação entre o Efetivo Número de Pessoal, Complexidade e Duração da Auditoria (Somente para Auditoria Inicial)

Número Efetivo de Pessoal

Duração da Auditoria Fase 1 + Fase 2 (dias)

Número

Efetivo de Pessoal

Duração da Auditoria

Fase 1 + Fase 2 (dias)

Alta Média Baixa Limitado Alta Média Baixa Limitado

1-5 3 2.5 2.5 2.5 626-875 17 13 10 6.5

6-10 3.5 3 3 3 876-1175 19 15 11 7

11-15 4.5 3.5 3 3 1176-1550 20 16 12 7.5

16-25 5.5 4.5 3.5 3 1551-2025 21 17 12 8

26-45 7 5.5 4 3 2026-2675 23 18 13 8.5

46-65 8 6 4.5 3.5 2676-3450 25 19 14 9

66-85 9 7 5 3.5 3451-4350 27 20 15 10

86-125 11 8 5.5 4 4351-5450 28 21 16 11

126-175 12 9 6 4.5 5451-6800 30 23 17 12

176-275 13 10 7 5 6801-8500 32 25 19 13

276-425 15 11 8 5.5 8501-10700 34 27 20 14

426-625 16 12 9 6 >10700 Seguir progressão acima

Nota 1: A duração da auditoria é mostrada para complexidade de auditorias alta, média, baixa e limitada.

Nota 2: O número de empregados da Tabela SGA 1 deve ser visto como um processo contínuo ao invés de uma mudança escalonada.

Note 3: Os procedimentos dos OCs podem prever duração duração de auditoria para um número de empregados superior a 10.700. Cada duração de auditoria deve seguir a progressão da Tabela SGA 1 de uma forma consistente.

NIT-DICOR-054 REV.

03 PÁGINA

29/45

Tabela SGA 2 – Exemplos de conexão entre os setores de negócios e categorias de complexidade dos aspectos ambientais

Categorias complexidade

Setor de Negócio

Alta

– indústria extrativa

– extração de óleo e gás

– curtimento de têxteis e vestuário

– parte da fabricação de papel, incluindo processo de reciclagem

– refino de petróleo

– químicos e farmacêuticos

– producões primárias – metais

– processamentos não metálicos e produtos que abrangem cerâmica

e cimento – geração de energia elétrica à base de carvão

– construção civil e demolição

– processamento de resíduos perigosos e não perigosos, por

exemplo incineração, etc. – processamento de efluentes e esgoto

Médio

– pesca/agricultura/silvicultura

– têxteis e de vestuário, exceto para couro

– fabricação de placas, tratamento / impregnação de madeira e

produtos de madeira – produção de papel e impressão, excluindo polpação

– processamento não-metálicos e produtos de cobertura de vidro , argila,

cal, etc. – tratamento superficial e outros tratamentos à base de produtos

químicos para metais fabricados , excluindo a produção primária – tratamento superficial e outros tratamentos à base de

químicos para a engenharia mecânica geral – produção de placas de circuito impresso para a indústria eletrônica

NIT-DICOR-054 REV.

03 PÁGINA

30/45

Complexidade Categoria

Setor de Negócio

– fabricação de equipamentos de transporte - rodoviário, ferroviário, aéreo, marítimo – geração de eletricidade não à base de carvão e de distribuição

– produção de gás , armazenamento e distribuição (extração é graduada como alta)

– captação de água , tratamento e distribuição , incluindo a gestão do rio

(nota: tratamento de efluentes comercial é classificado como alta)

– varejo e atacado de combustíveis fósseis

– processamento de alimentos e de tabaco

– transporte e distribuição por mar, ar, terra

– agência imobiliária comercial, gestão imobiliária, limpeza industrial

limpeza de higiene, limpeza a seco normalmente parte dos serviços de

negócio serviços de negócio

– reciclagem, compostagem, aterro (de resíduos não perigosos)

– testes técnicos e laboratoriais

– cuidados de saúde/hospitais/veterinária

– serviços de lazer e serviços pessoais, excluindo os hotéis/restaurantes Baixo

– hotéis/restaurantes

– produtos de madeira, excluindo a fabricação de placas, tratamento e

impregnação da madeira

– produtos de papel, impressão , excluindo polpação e fabricação de papel

– borracha e plástico moldagem por injeção, conformação e montagem, excluindo fabricação de artigos de borracha e de matérias-primas de plástico que são parte dos produtos químicos

– fabricação e formação de metal quente e frio, excluindo o tratamento de superfície e outros tratamentos de base química e produção primária

– montagem mecânica geral, excluindo o tratamento de superfície e outros tratamentos de base química

– atacado e varejo

– montagem de equipamentos eléctricos e electrónicos, excluindo fabricação de placas de circuito de impresso

NIT-DICOR-054 REV.

03 PÁGINA

31/45

Complexidade

Categoria

Setor de Negócio

Limitada

– as atividades sociais e de gestão, HQ e gestão das sociedades

gestoras de participações – serviços de gestão de transporte e de distribuição sem frota

real para gerenciar – telecomunicações

– serviços de negócios em geral , exceto agência comercial de

imóveis, gestão de imóveis, limpeza industrial , limpeza de higiene , limpeza a seco

– serviços de educação

Casos

Especiais

– nuclear

– geração de eletricidade nuclear

– armazenamento de grandes quantidades de material perigoso

– administração pública

– autoridades locais

– organizações com produtos ou serviços sensíveis ambientais,

instituições financeiras

Categorias da complexidade dos aspectos ambientais

As disposições previstas neste documento baseiam-se em cinco categorias de complexidade primárias de natureza e gravidade dos aspectos ambientais de uma organização que afetam fundamentalmente o tempo do auditor. São elas:

Alta – aspectos ambientais com significante natureza e gravidade (tipicamente os tipo de organizações de fabricação ou processamento com impactos significativos em vários dos aspectos ambientais); Média – aspectos ambientais com natureza e gravidade média (normalmente organizações de fabricação com impactos significativos em alguns dos aspectos ambientais ); Baixa – aspectos ambientais com baixa natureza e gravidade (tipicamente organizações de montagem com um ambiente com poucos aspectos significativos ); Limitada – aspectos ambientais com limitada natureza e gravidade (normalmente as organizações de um ambiente tipo escritório); Especial – Estes requerem consideração adicional e exclusiva no estágio de planejamento de auditoria.

NIT-DICOR-054 REV.

03 PÁGINA

32/45

A Tabela SGA 1 abrange as quatro categorias de complexidade acima: alta, média, baixa e limitada. A Tabela SGA 2 fornece a ligação entre as categorias de cinco complexidades acima e os setores de indústria que normalmente se enquadram nessa categoria.

O OC deve reconhecer que nem todas as organizações em um setor específico vão sempre cair na mesma categoria de complexidade. O OC deve permitir a flexibilidade em seu processo de revisão do contrato para garantir que as atividades específicas da organização sejam consideradas na determinação da categoria de complexidade. Por exemplo, apesar de muitas empresas do setor químico serem classificadas como "alta complexidade", uma organização que tenha apenas uma mistura livre de reação química ou emissão e/ou operação de negociação poderia ser classificada como "médio" ou mesmo de "baixa complexidade". O OC deve documentar todos os casos onde eles têm reduzido a categoria de complexidade de uma organização em um setor específico.

Tabela SGA 1 não abrange a categoria de "complexidade especial" e a duração da auditoria será desenvolvida e justificada individualmente nesses casos.

/ANEXO F

NIT-DICOR-054 REV.

03 PÁGINA

33/45

ANEXO F - Documento Mandatório do IAF para Avaliação do Organismo de Certificação para Gestão da Competência em Conformidade com a ISO/IEC 17021:2011 (IAF MD 10:2013)

1. INTRODUÇÃO

O objetivo deste documento é fornecer uma abordagem harmonizada para como Organismos de Acreditação avaliam a um Organismo de Certificação (OC) na gestão de competência em conformidade com a ISO/IEC 17021:2011.

2. DEFINIÇÕES

Para os propósitos deste documento, devem ser aplicadas as seguintes definições:

2.1 Processo de Certificação: a totalidade das funções relativas à certificação desde a recepção do pedido até a concessão e a manutenção da certificação;

2.2 Função da Certificação: um estágio do processo de certificação, como por exemplo, a revisão da aplicação, auditoria, decisão da certificação (ref.: ISO/IEC 17021:2011 Anexo A);

2.3 Resultados pretendidos: as saídas de uma função de certificação que cumpram os requisitos da norma ISO/IEC 17021:2011 e os objetivos do processo de certificação dos OCs.

3. GERAL

3.1 O OA deve verificar se o OC pode demonstrar que todo o pessoal envolvido na realização

das funções de certificação possua a competência requerida.

3.2 O OA deve verificar se o OC já tem definido seu processo de certificação, bem como os resultados que deverão ser atingidos para cada função da certificação. A avaliação dos OAs para as competências dos OCs devem ser baseadas em:

(a) Processos documentados dos OCs para determinar os critérios de competência; (b) Os resultados dos processos para determiner os critérios de competência; (c) Avaliações do pessoal dos OCs;

(d) Levar em conta os resultados pretendidos de cada função de certificação e se foram ou não alcançados.

NIT-DICOR-054 REV.

03 PÁGINA

34/45

3.3 As funções de certificação para as quais a OA deve verificar se o OC determinou os critérios de competência, incluem, mas não estão limitados a:

(a) Analisar a solicitação (ver exemplo no 3.5 abaixo); (b) Estabelecer o programa de auditoria; (c) Agendar as auditorias; (d) Alocar as equipes de auditoria; (e) Auditar e relatar; (f) Relatar análises e decisões de certificação; e (g) Manutenção da certificação.

O Anexo A deste documento é informativo e fornece exemplos de resultados pretendidos das funções de certificação acima. O OC poderá identificar outros resultados pretendidos através destas funções de certificação.

3.4 O OA deve verificar se o OC possui critérios de competência determinados para:

(a) Gestão para inspecionar o processo de certificação; (b) Membros do seu comitê salvaguardarem imparcialidade; (c) Pessoal realizando auditorias internas; e (d) O pessoal responsável pela avaliação e monitoramento da

competência e desempenho dos que executam funções de certificação.

3.5 O OA deve considerar a evidência objetiva do OC alcançar os resultados pretendidos para todas as funções de certificação (ver Anexo A deste documento) como uma indicação da eficácia de seus processos para determinação e avaliação de competência. O OA deve considerar evidência objetiva do OC em não atingir resultados pretendidos para quaisquer funções de certificação como uma indicação de que os processos de determinação e avaliação de competência podem ser ineficazes.

Nota: O fracasso do OC em atingir os resultados pretendidos para a função de uma certificação em particular, poderia ser também uma indicação de que os procedimentos dos OCs para aquela função eram ineficazes ou não foram implementados.

Por exemplo, no caso de revisão da solicitação, para determinar que a OC tenha os membros da equipe de auditoria competentes, podem alocar e determinar o tempo de auditoria, o OA deve verificar se o OC:

a) Definiu a intenção de resultados (ver (d) abaixo) para esta função no processo de certificação;

b) Definiu os critérios efetivos de competência para o pessoal realizar esta função;

c) Pode fornecer evidências objetivas de que o pessoal que executa esta função demonstrou haver cumprido os critérios de competência; e

d) Que os resultados desta função do processo de certificação alcançou os objetivos pretendidos, por:

i) fornecer evidências de que a área(s) técnica(s) da organização a ser auditada foi/foram corretamente alocado(s);

ii) fornecer evidência de que os auditores atribuídos possuem a competência necessária para a área técnica apropriada; e

iii) fornecer evidências de que o tempo adequado foi alocado para a auditoria, com base na análise das informações prestadas pelo requerente / cliente certificado e de auditorias anteriores.

NIT-DICOR-054 REV.

03 PÁGINA

35/45

3.6 O OA deve avaliar o processo e os procedimentos estabelecidos pelo OC para determinar critérios de competência e para avaliar a competência a fim de verificar que o pessoal avaliado como competentes realmente atingiram os resultados previstos para todas as funções de certificação.

3.7 O OA deve verificar se o OC tem registros apropriados da execução de seus processos para determinação e avaliação de competência e que o OC pode demonstrar se seus métodos de avaliação são eficazes e alcançaram os resultados pretendidos.

4. ÁREAS TÉCNICAS

4.1 O AB deve verificar se o OC definiu as áreas técnicas que prevê a certificação acreditada e que estas cobrem o escopo total da acreditação do OC. É de responsabilidade do OC determinar as áreas técnicas em que atua, com base em comunhão de processos, impactos e aspectos ambientais, risco, etc.

(a) As áreas técnicas não precisam necessariamente serem definidas usando escopos de acreditação. É possível que um único âmbito de acreditação possa incluir mais de uma área técnica por exemplo, no âmbito IAF 38 * Saúde e Trabalho Social poderia incluir:

Serviços Veterinários Serviços Hospitalares Práticas médicas e dentais Serviços de cuidados Trabalho social

Da mesma forma, escopo IAF 28 * Construção pode compreender atividades que vão desde pintura e decoração para grandes projectos de construção e engenharia civil.

* Ver IAF ID1:2010 Documentos Informativos para escopos de Acreditação SGQ.

(b) Em alguns casos, uma única área técnica pode se referir a mais de um escopo de acreditação. Por exemplo, a fabricação de sacos de plástico para uso em embalagens poderia relacionar-se tanto no âmbito do SGQ escopo IAF 9 empresas de impressão e escopo SGQ escopo IAF 14 borracha e produtos plásticos.

4.2 O OA deverá verificar se os critérios documentados da área técnica de competência do OC:

(a) foram formulados em termos de competência (ou seja, quais são os conhecimentos e as habilidades necessários para aquela área técnica); Nota: Em certos casos por exemplo, no caso de um médico, a evidência de qualificação profissional e de registo com a autoridade nacional relevante pode ser considerada como parte da evidência de competência da área técnica.

(b) cobrir todos os aspectos relevantes dessa área técnica , ou seja, ter todo o conhecimento relevante (por exemplo, os requisitos legais , processos, produtos , técnicas de controle) para aquela área técnica ter sido identificada.

4.3 O OA deve procurar evidências de que o OC é capaz de demonstrar competência em todas as funções de certificação em toda área técnica, alcançando os resultados pretendidos para cada função de certificação. O OA deve procurar evidências de que o OC tem processos que possam assegurar de que pode executar de forma consistente.

NIT-DICOR-054 REV.

03 PÁGINA

36/45

5. DETERMINAÇÃO DOS CRITÉRIOS DE COMPETÊNCIA

5.1 O OA deve verificar se o OC tem documentado o conhecimento necessário para estabelecer e manter os critérios de competência para cada área técnica. Esta experiência pode ser fornecida por um recurso externo.

5.2 O OA deve verificar o processo dos OCs para determinar critérios de competência, identificar o conhecimento e as habilidades necessárias para o pessoal que executa todas as funções de certificação em cada uma de suas áreas técnicas e para cada norma de sistema de gestão ou especificação.

(a) Para algumas funções de certificação atribuídas a indivíduos em particular, a competência pode ser incorporada na concepção do processo. Por exemplo, o sistema de TI do OC pode conter detalhes de auditores e das áreas técnicas para as quais tenham sido avaliadas como competentes e pode indicar que os auditores têm competência para realizar uma auditoria de uma determinada organização. Quando for este o caso, a OA deve verificar se o processo do OC está adequadamente controlado e capaz de alcançar os resultados pretendidos.

Nota: Controles apropriados podem incluir definição de níveis de autoridades, controle de senha, etc.

(b) Não é necessária para o pessoal envolvido na revisão de solicitações, seleção de equipes de auditoria, determinação de tempos de auditoria, revisão dos relatórios e tomada de decisões de certificação para ter a mesma profundidade de competência, em todas as áreas, como auditores. Por exemplo, referindo-se ao Anexo A da ISO/IEC 17021, o pessoal de revisão dos relatórios e que tomam as decisões de certificação são obrigados a ter competência equivalente à dos auditores no conhecimento dos processos do OC, mas não no conhecimento do setor de negócio do cliente ou no conhecimento dos princípios, práticas e técnicas de auditorias.

(c) Os indivíduos designados para desempenhar funções de certificação não precisam, necessariamente, possuir todas as competências requeridas, fornecendo ao OC demonstração de que tem a competência coletiva para desempenhar essas funções. Por exemplo, o tomador de decisão de certificação não precisa ser competentes em todos os setores de negócio do cliente, mas se o relatório foi revisto por um especialista técnico independente a competência coletiva pode ser observada.

(d) A competência necessária em uma equipe de auditoria pode variar dependendo do escopo da auditoria. Por exemplo, o âmbito de uma visita de acompanhamento pode ser mais estreita do que para uma avaliação inicial. O OA deve verificar se o OC possua um processo que assegure que as equipes de auditoria tenham a competência coletiva necessária em auditar aquela avaliação em particular.

6. PROCESSOS DE AVALIAÇÃO

6.1 O OA deve verificar se o OC tem documentado processos para avaliar inicialmente a competência e avaliar a competência continuada de todos os envolvidos na gestão e no desempenho de todas as funções de certificação. O OA deve procurar evidências objetivas de que o OC avaliou este pessoal de acordo com os seus próprios processos documentados.

(a) O Anexo B da Norma ISO/IEC 17021, sendo informativo e não normativo, fornece orientações úteis sobre alguns métodos que podem ser utilizados por um OC na avaliação da competência. No entanto, o OC é livre para usar outros métodos de avaliação de competência. Qualquer que seja o método utilizado pelo OC para avaliação da competência, o OA deve verificar se o OC pode demonstrar se esses métodos são eficazes na demonstração de competência.

NIT-DICOR-054 REV.

03 PÁGINA

37/45

(b) O OC deve levar em conta, mas não depender apenas, de um histórico de capacidade comprovada de pessoal atingindo os resultados pretendidos para as tarefas que lhes foram confiadas. O OA deve verificar se esta capacidade comprovada é baseado na realização de uma avaliação dos resultados da função de certificação apropriada, por exemplo, registros do OC, relatórios ou outras informações, o que poderá contribuir para a evidência de que o pessoal tenha o conhecimento e as habilidades exigidas pelos critérios de competência documentados.

6.2 O OA deve verificar se o OC ao contratar pessoal externo, os mesmos foram avaliados como competentes por outro OC acreditado, ainda assim deve executar sua própria avaliação sob seus próprios critérios de competência. O OC pode levar em conta a avaliação (quando o histórico completo da avaliação esteja disponível) por outro OC credenciado, porém, não apenas confiar nele, ao realizar sua própria avaliação.

6.3 A Certificação em um sistema de certificação de pessoal, acreditado para ISO/IEC 17024 pode ser usada como demonstração de competência do pessoal, na medida em que estejam abrangidos pelo âmbito do esquema. O AB deve procurar evidências de que o OC determinou quais dos seus critérios de competência não são abrangidos pelo escopo do esquema do pessoal de certificação e que o OC realizou sua própria avaliação contra estes critérios.

6.4 Onde um esquema de certificação de pessoal não é acreditado, pode ser usado apenas como uma indicação de que o pessoal tem certo conhecimento e habilidade, e o OA deve verificar se o OC realizou a sua própria avaliação de competência em relação aos critérios abrangidos pelo esquema.

6.5 O OA deve verificar se o OC é capaz de identificar quando um indivíduo deixa de estar disponível para o OC e causa um impacto sobre a competência geral do OC. Por exemplo, é possível que um auditor, competente em uma área técnica específica, deixando o emprego de um OC pode resultar em já não ser capaz de demonstrar competência em uma determinada área técnica. Sob tais circunstâncias, o OA deve procurar evidências de que o OC identificou as limitações à sua competência geral e os efeitos sobre as certificações existentes.

NIT-DICOR-054 REV.

03 PÁGINA

38/45

ANEXO 1 - INFORMATIVO

Exemplos de resultados pretendidos de funções de certificação. FUNÇÃO DE CERTIFICAÇÃO

RESULTADOS PRETENDIDOS

Análise da Solicitação

âmbito da competência do OC; o escopo proposto é definido com precisão consistente com o

produto/serviço do requerente e o sistema de gestão; a(s) área(s) técnica(s) da organização a ser auditada foi

(foram) corretamente identificada(s) e alocada(s); foram designados suficientes auditores; os auditors designados possuem a competência requerida

para: • executar as funções que lhes foram designadas, por

exemplo auditor líder; • para executar os processos e operações que lhes foram

designadas; • o sistema de gestão padrão relevante; • o esquema de certificação, quando apropriado;

o tempo adequado foi alocado e justificado para a auditoria, em linha com IAF MD1 e IAF MD5 (para SGQ e SGA) ou de outros requisitos específicos para os sistemas de certificação particulares, com base em análise das informações prestadas pelo requerente / cliente certificado.

Pedidos de transferência de certificação são tratados em conformidade com os resultados do IAF MD 2.

Estabe- lecendo o programa de auditoria

o cronograma de supervisão e auditorias de recertificação está em linha com a norma ISO/IEC 17021;

• A aplicação correta da IAF MD 1 para multi sites.

Agendamento das auditorias

• o programa de auditoria em conformidade com a norma ISO/IEC 17021;

• a duração e as datas da auditoria foram acordadas com o cliente.

Alocação das equipes de auditoria

A competência coletiva da equipe de auditoria está consistente com os produtos e processos do cliente.

Planejamento da auditoria

o plano de auditoria é consistente com o escopo proposto de certificação e do tipo de auditoria e reflete a organização, processos e operação do cliente;

o plano de auditoria aloca tempo suficiente para uma auditoria completa;

são alocadas tarefas adequadas à competência dos membros da equipe de auditoria.

NIT-DICOR-054 REV.

03 PÁGINA

39/45

Auditando e reportando

a execução da auditoria é realizada efetivamente:

• abertura e fechamento de reuniões são realizadas; • técnicas de coleta de evidências de auditoria são

eficazes; • membros da equipe de auditoria tomam notas adequadas de

evidências de auditoria;

• técnicas de amostragem são utilizadas de forma eficaz; • membros da equipe de auditoria chegam a conclusões

consistentes com a evidência de auditoria. o conteúdo do relatório de auditoria cumpre com os requisitos

da ISO/IEC TS 17022:2012. nova auditoria é realizada quando necessário. a recomendação de certificação é consistente com os

resultados da auditoria, o escopo da auditoria e do âmbito da certificação.

Revisão de relatórios e decisões de certificação

verificação de quaisquer alterações desde a revisão da aplicação;

confirmação se o tempo de auditoria estava correto; confirmação de que aos membros da equipe de auditoria

foram atribuídas tarefas de auditoria apropriada à sua competência;

confirmação de que o relatório de auditoria cumpre os requisitos da ISO/IEC TS 17022:2012;

confirmar se a recomendação está consistente com os achados da auditoria;

• evidência documental está disponível onde o revisor técnico independente teve motivos para discutir/esclarecer algum aspecto do conteúdo do relatório ou recomendação associada.

NIT-DICOR-054 REV.

03 PÁGINA

40/45

FUNÇÃO DE CERTIFICAÇÃO

RESULTADOS PRETENDIDOS

Manutenção da certificação

o programa de auditoria foi seguido e funções de supervisão e recertificação foram realizados em tempo hábil;

amostragem adequada de relatórios de supervisão para revisão;

as alterações foram revisadas e verificadas para não afetar negativamente a certificação;

intensificação demonstrada no caso de não-conformidades que podem levar à suspensão ou retirada de certificação;

auditorias de recertificação oportuna e decisões de recertificação antes de expirarem.

/ANEXO G

NIT-DICOR-054 REV.

03 PÁGINA

41/45

ANEXO G - DOCUMENTO MANDATÓRIO DO IAF PARA A APLICAÇÃO DA ISO/IEC 17021 EM AUDITORIAS DE SISTEMAS DE GESTÃO INTEGRADOS (IAF MD 11:2013)

Este documento é obrigatório para a aplicação coerente da ISO / IEC 17021 pelos Organismos de Certificação (OC) para o planejamento e realização de Auditorias de Sistemas de Gestão Integrados (SGI).

1. INTRODUÇÃO

1.1. Este documento fornece requisitos para a aplicação da ISO / IEC 17021 para o planejamento e realização de auditorias de SGI e, se for o caso, a certificação do sistema de gestão de uma organização (s) contra dois ou mais conjuntos de critérios / normas de auditoria. Todas as cláusulas da ISO / IEC 17021 continuam a ser aplicadas e este documento não acrescenta ou substitui qualquer um dos requisitos nesta norma.

1.2. Este documento não pode ser aplicável à norma ISO 9001 com base nas normas específicas do setor.

1.3. Deve ser notado que o Anexo no final do presente documento, é também uma parte dos requisitos e deve ser lido como tal.

1. DEFINIÇÕES

Para os efeitos deste documento, aplicam-se as seguintes definições:

1.1 Auditoria do Sistema de Gestão Integrada: Uma auditoria do sistema de gestão de uma organização contra dois ou mais conjuntos de critérios de auditoria / padrões realizados ao mesmo tempo.

1.2 Sistema Integrado de Gestão: Um único sistema de gestão conduzindo vários aspectos do desempenho organizacional para atender às necessidades de mais de um padrão de gestão, em um determinado nível de integração (1.3). Um sistema de gestão pode variar de um sistema combinado a adição de sistemas de gestão separados para cada conjunto de critérios de auditoria / padrão, a um Sistema de Gestão Integrado, compartilhando em um único sistema de documentação, os elementos do sistema de gestão e responsabilidades.

1.3 Nível de Integração: O nível a que uma organização usa um sistema de gestão único para gerenciar múltiplos aspectos do desempenho organizacional para atender aos requisitos de mais de um sistema de gestão padrão. Integração refere-se ao sistema de gestão, sendo capaz de integrar a documentação, elementos do sistema de gestão adequado e responsabilidades em relação a dois ou mais conjuntos de padrões/critérios de auditoria.

Nota: Critérios de auditoria destinam-se a significar normas de sistema de gestão utilizadas como base para certificação e avaliação da conformidade (ex. ISO 9001, ISO 14001, ISO/IEC 20000, ISO 22000, ISO/IEC 27001, etc.).

NIT-DICOR-054 REV.

03 PÁGINA

42/45

2. APLICAÇÃO

2.1 O Organismo de Certificação deve assegurar que:

2.1.1 Ao definir o programa de auditoria seja considerado o nível de integração dos sistemas de gestão.

2.1.2 Os planos de auditoria cobrem todas as áreas e atividades aplicáveis para cada norma/especificação do sistema de gestão abrangidos pelo âmbito de aplicação da auditoria e são abordadas por auditores competentes.

2.1.3 A equipe de auditoria como um todo deve satisfazer os requisitos de competência, estabelecidos pelo Organismo de Certificação, para cada área técnica, como relevantes para cada padrão de sistema gestão/especificação abrangida pelo âmbito de aplicação da auditoria de um SGI.

2.1.4 A auditoria será gerida por um líder de equipe, competente em pelo menos uma das normas/especificações auditadas.

2.1.5 O tempo suficiente seja alocado para realizar uma auditoria completa e eficaz do sistema de gestão da organização para o sistema de gestão das normas / especificações abrangidas pelo âmbito da auditoria.

2.1.5.1 Ao determinar o tempo de auditoria para uma auditoria de um SGI abrangendo duas ou mais normas de sistema de gestão / especificações, por exemplo, A + B + C, o Organismo de Certificação deve:

a) calcular o tempo de auditoria necessário para cada sistema de gestão padrão / especificação separadamente (aplicação de todos os fatores relevantes previstos pelos documentos e / ou regras do esquema de certificação para cada padrão, ex., IAF MD5, ISO/TS 22003, ISO/IEC 27006);

b) calcular o ponto de partida (T) para a duração da auditoria do SGI, adicionando a soma das partes individuais (ex. T = A + B + C);

c) ajustar a figura do ponto de partida , tendo em conta os fatores que podem aumentar ou reduzir (ver anexo 1) o tempo necessário para a auditoria.

Os fatores de redução devem incluir, mas não estão limitados a:

i) A extensão em que o sistema de gestão da organização é integrado;

ii) A capacidade do pessoal da organização para responder a perguntas sobre mais de um padrão de sistemas de gestão , e

iii) A disponibilidade de auditor (res) competente (s) para examinar mais de um sistema de gestão padrão/especificação.

Os fatores de aumento devem incluir, mas não estão limitados a:

iv) A complexidade da auditoria de um SGI em comparação com auditorias de sistema de gestão único.

NIT-DICOR-054 REV.

03 PÁGINA

43/45

d) informar ao cliente que a duração da auditoria SGI baseada no nível declarado de integração do sistema de gestão da organização pode estar sujeito a ajuste na base de confirmar o nível de integração na primeira fase e auditorias subsequentes.

2.1.5.2 Auditoria de um SGI pode resultar em aumento do tempo, mas onde resultar em redução, não poderá exceder 20% de ponto inicial T (2.3.b).

2.1.5.3 A figura de ponto de partida e a justificativa para o aumento ou redução devem ser documentados.

2.2 Os documentos existentes de aplicação (por exemplo, documentos obrigatórios IAF) relativos a auditorias de sistemas de gestão, normas/especificações precisam ser considerados ao desenvolver planos de auditoria e programa de auditoria para um SGI.

2.3 Todos os requisitos aplicáveis de cada gestão sistema norma / especificação pertinente ao escopo da SGI deverão ser auditados.

2.4 Relatórios de auditoria podem ser integrados ou separados, no que diz respeito os sistemas de gestão auditados. Cada conclusão de um relatório integrado deve ser rastreável para a norma de sistema de gestão aplicável / especificações.

2.5 O Organismo de Certificação deve considerar o impacto que uma não conformidade encontrada por uma das normas de sistema de gestão / nas especificações tem sobre o cumprimento das outras normas de sistema de gestão / especificação(s).

3. AUDITORIA INICIAL E CERTIFICAÇÃO

3.1 Solicitação do Cliente

Deverá incluir informações relativas ao nível de integração, incluindo o nível de integração de documentos, elementos do sistema de gestão e responsabilidades (ver anexo 1).

3.2 Auditoria Fase Um (Fase 1)

Durante a Auditoria Fase 1, a equipe de auditoria deve confirmar o nível de integração do SGI. O Organismo de Certificação deve rever e modificar, se necessário, o período de duração da auditoria que foi baseado em informações fornecidas na fase de análise da solicitação.

4. ATIVIDADES DE SUPERVISÃO E RECERTIFICAÇÃO O Organismo de Certificação deve confirmar que o nível de integração mantém-se inalterada durante todo o ciclo de certificação para assegurar que as durações de auditoria estabelecidas ainda são aplicáveis.

5. SUSPENSÃO, REDUÇÃO, CANCELAMENTO

Se a certificação de um ou mais sistema padrão de gestão/especificação está sujeito à suspensão, redução ou cancelamento, o Organismo de Certificação deve investigar o impacto deste sobre a certificação para outra norma de sistema de gestão / especificação.

NIT-DICOR-054 REV.

03 PÁGINA

44/45

ANEXO 1 – REDUÇÃO DO TEMPO DE AUDITORIA

Figura 1: Esta figura ilustra a redução (%) na duração de uma auditoria integrada e sua relação com: Eixo Vertical: o nível de integração do sistema de gestão de uma organização (ver abaixo), que deve incluir a consideração da capacidade da entidade auditada para responder às perguntas de vários aspectos. Um Sistema de Gestão Integrada resulta quando uma organização utiliza um sistema de gestão único para gerenciar vários aspectos do desempenho organizacional. É caracterizado por (mas não limitado a):

1. Um conjunto de documentação integrado, incluindo instruções de trabalho para um bom nível de desenvolvimento, conforme apropriado;

2. Análise crítica da Direção considerando a estratégia total e o plano do negócio;

3. Uma abordagem integrada para auditorias internas;

4. Uma abordagem integrada para políticas e objetivos;

5. Uma abordagem integrada para os processos de sistemas;

6. Uma abordagem integrada para aprimorar mecanismos, (ações corretivas e preventivas; medições e aprimoramento contínuo); e,

7. Gestão de suporte integrado e responsabilidades.

O Organismo de Certificação deve decidir o nível percentual de integração baseada na medida em que o sistema de gestão da organização atenda aos critérios acima.

NIT-DICOR-054 REV.

03 PÁGINA

45/45

Eixo Horizontal: a medida, dada como uma razão para ser multiplicado por um fator de 100 a fim de se atingir a medida dada como percentual, na qual cada indivíduo da equipe de auditoria é qualificado: 100 ((X1-1) + (X2-1) + (X3-1) + (Xn-1))

Z(Y-1)

Onde

X1, 2, 3…n é o número de normas para o qua l um aud i to r es tá qua l i f i cado para o re levante escopo da aud i to r ia in teg rada; Y é o número de normas de sistema de gestão a ser coberto pela auditoria integrada; Z é o número de auditores.

Exemplo:

Uma equipe de auditoria integrada de três auditores que abrangem três diferentes padrões de sistema de gestão. Um auditor está qualificado para todos os três padrões, um auditor está qualificado para duas das normas e outro auditor está qualificado para uma norma. O valor da percentagem a ser utilizado para o eixo horizontal é:

100 ((3-1) + (2-1) + (1-1)) = 50 %

3(3-1) Devido à capacidade disponível de cada auditor a mais de um conjunto de critérios / normas de auditoria, as eficiências são ganhos e irão para o cálculo da possível redução de tempo na fórmula acima. Estes incluem:

1. Tempo economizado devido a uma abertura e encerramento de uma reunião;

2. O tempo economizado como um relatório de auditoria integrada é produzido;

3. O tempo economizado em logística otimizada;

4. O tempo economizado em reuniões da equipe de auditores e,

5. O tempo economizado auditando elementos comuns, simultaneamente, por exemplo, controle de documentos.