DOCUMENTOS MANDATÓRIOS DO IAF PARA A APLICAÇÃO DA ABNT NBR ISO/IEC 17021-1

NORMA Nº NIT-DICOR-054

REV. Nº 09

APROVADA EM NOV/2017

PÁGINA 01/56

SUMÁRIO 1 Objetivo 2 Campo de Aplicação 3 Responsabilidade 4 Histórico das Revisões 5 Documentos Complementares 6 Siglas 7 Documentos Mandatórios do IAF para Aplicação da ABNT NBR ISO/IEC 17021-1 Anexo A – Documento Mandatório do IAF para a Certificação de Multisites baseada em

amostragem (IAF MD 1:2007) Anexo B – Documento Mandatório do IAF para a Transferência da Certificação Acreditada

de Sistemas de Gestão (IAF MD 2:2017) Anexo C – Documento Mandatório do IAF para Procedimentos Avançados de Supervisão e

Recertificação (PASR) (IAF MD 3:2008) Anexo D – Documento Mandatório do IAF para o uso de Técnicas de Auditoria Apoiadas

por Computador (TAAC) para Certificação Acreditada de Sistemas de Gestão (IAF MD 4:2008)

Anexo E – Documento Mandatório do IAF para Determinação do Tempo de Auditoria de SGQ e SGA (IAF MD 5:2015)

Anexo F – Documento Mandatório do IAF para Avaliação do Organismo de Certificação para Gestão da Competência em Conformidade com a ISO/IEC 17021:2011 (IAF MD 10:2013)

Anexo G – Documento Mandatório do IAF para a aplicação da ISO/IEC 17021 em auditorias de sistemas de gestão integrados (IAF MD 11:2013)

Anexo H – Documento Mandatório do IAF para a aplicação da ISO/IEC 17021 no setor de Gestão de Serviços (ISO/IEC 20000-1) - (IAF MD 18:2015)

Anexo I – Documento Mandatório do IAF para a Auditoria e Certificação de um Sistema de Gestão operado por uma organização multi-site (quando a amostragem do site não é aplicável) – (IAF MD 19:2016)

1 OBJETIVO Este documento apresenta a tradução livre dos seguintes documentos mandatórios do IAF, para a consistente aplicação do ABNT NBR ISO/IEC 17021-1: IAF MD 1:2007 IAF Mandatory Document for the Certification of Multiple Sites Based on Sampling; IAF MD 2:2017 IAF Mandatory Document for the Transfer of Accredited Certification of

Management Systems; IAF MD 3:2008 IAF Mandatory Document for Advanced Surveillance and Recertification

Procedures; IAF MD 4:2008 IAF Mandatory Document for the use of Computer Assisted Auditing Techniques

(“CAAT”) for Accredited Certification of Management Systems; IAF MD 5:2015 IAF Mandatory Document for Determination of Audit Time of Quality and

Environmental Management Systems; IAF MD 10:2013 IAF Mandatory Document for Assessment of Certification Body Management of

Competence in Accordance with ISO/IEC 17021:2011; IAF-MD 11:2013 IAF Mandatory Document for the Application of ISO/IEC 17021 for Audits of

Integrated Management Systems; IAF-MD 18:2015 IAF Mandatory Document for the Application of ISO/IEC 17021:2011 in the Service

Management Sector (ISO/IEC 20000-1);

NIT-DICOR-054 REV.

09 PÁGINA

2/56

IAF-MD 19:2016 IAF Mandatory Document for the Audit and Certification of a Management System operated by a Multi-Site Organization (where application of site sampling is not appropriate)

2 CAMPO DE APLICAÇÃO

Esta norma aplica-se à Dicor. 3 RESPONSABILIDADE

A responsabilidade pela revisão desta norma é da Dicor 4 HISTÓRICO DAS REVISÕES

Revisão Data Itens revisados

8 SET/2017 - Alteração do Objetivo; - Inclusão Anexo I; - Exclusão do Quadro de Aprovação

9 NOV/2017 - Alteração do Anexo B

5 DOCUMENTOS COMPLEMENTARES

ABNT NBR ISO/IEC 17020 Avaliação da conformidade — Requisitos para o funcionamento de

diferentes tipos de organismos que executam inspeção ABNT NBR ISO/IEC 17021 Avaliação da conformidade – Requisitos para organismos que

fornecem auditoria e certificação de sistemas de gestão ABNT NBR ISO/IEC 17021-1 Avaliação de conformidade — Requisitos para organismos que

fornecem auditoria e certificação de sistemas de gestão ISO/IEC TS 17022 Conformity assessment -- Requirements and recommendations for

content of a third-party audit report on management systems ISO/IEC 17024 Avaliação da conformidade — Requisitos gerais para organismos

que certificam pessoas ISO/IEC 17065 Avaliação da conformidade — Requisitos para organismos de

certificação de produtos, processos e serviços ABNT NBR ISO 9001 Sistemas de Gestão da Qualidade - Requisitos ABNT NBR ISO 14001 Sistemas de Gestão Ambiental - Especificação e Diretrizes para uso ABNT NBR ISO 19011 Diretrizes para auditorias de Sistema de Gestão da Qualidade e/ou

Ambiental Nota: As normas referenciadas são utilizadas nas suas últimas revisões, conforme disponível no site

da ABNT (www.abnt.org.br). IAF MD 1:2007 IAF Mandatory Document for the Certification of Multiple Sites Based

on Sampling IAF MD 2:2017 IAF Mandatory Document for the Transfer of Accredited Certification

of Management Systems; IAF MD 3:2008 IAF Mandatory Document for Advanced Surveillance and

Recertification Procedures;

NIT-DICOR-054 REV.

09 PÁGINA

3/56

IAF MD 4:2008 IAF Mandatory Document for the use of Computer Assisted Auditing Techniques (“CAAT”) for Accredited Certification of Management Systems;

IAF MD 5:2015 IAF Mandatory Document for Determination of Audit Time of Quality and Environmental Management Systems;

IAF MD 10:2013 IAF Mandatory Document for Assessment of Certification Body Management of Competence in Accordance with ISO/IEC 17021:2011;

IAF-MD 11:2013 IAF Mandatory Document for the Application of ISO/IEC 17021 for Audits of Integrated Management Systems

IAF-MD 18:2015 IAF Mandatory Document for the Application of ISO/IEC 17021:2011 in the Service Management Sector (ISO/IEC 20000-1)

IAF-MD 19:2016 IAF Mandatory Document for the Audit and Certification of a Management System operated by a Multi-Site Organization (where application of site sampling is not appropriate)

6 SIGLAS ABNT Associação Brasileira de Normas Técnicas Dicor Divisão de Acreditação de Organismos de Certificação IAF MD Documento Mandatório do IAF IAF International Accreditation Forum IEC International Electrotechnical Commission ISO International Organization for Standardization MD Mandatory Document MLA Acordo de Reconhecimento Multilateral NBR Norma Brasileira NIT Norma Inmetro Técnica OA Organismo de Acreditação OAC Organismo de Avaliação da Conformidade OC Organismo de Certificação PASR Procedimentos Avançados de Supervisão e Reavaliação SGA Sistema de Gestão Ambiental SGQ Sistema de Gestão da Qualidade SGSTI Sistema de Gestão de Serviços de Tecnologia da Informação SIG Sistema Integrado de Gestão SLA Acordo de Níveis de Serviço TAAC Técnicas de Auditoria Apoiadas por Computador 7 DOCUMENTOS MANDATÓRIOS DO IAF PARA APLICAÇÃO DA ABNT NBR ISO/IEC 17021-1 A tradução livre dos documentos IAF MD 1:2007, IAF MD 2:2007, IAF MD 3:2008; IAF MD 4:2008; IAF MD 5:2015; IAF MD 10:2013, IAF MD 11:2013, IAF MD 18:2015 e IAF-MD 19:2016 estão apresentadas nos Anexos a esta norma. O International Accreditation Forum, Inc. (IAF) opera programas para a acreditação de organismos que fornecem serviços de avaliação da conformidade. Tais acreditações facilitam o comércio e reduzem a demanda para certificação múltipla.

A acreditação reduz o risco para os negócios e seus clientes ao assegurar a eles que os Organismos de Avaliação da Conformidade (OACs) acreditados são competentes para realizarem o trabalho que eles desempenham dentro do seu escopo de acreditação. Exige-se que os Organismos de

NIT-DICOR-054 REV.

09 PÁGINA

4/56

Acreditação (OAs), membros do IAF, e seus OACs acreditados atendam às normas internacionais apropriadas e aos documentos mandatórios do IAF para a consistente aplicação dessas normas.

Os membros do Acordo de Reconhecimento Multilateral (MLA) do IAF conduzem avaliações regulares entre si para assegurar a equivalência de seus programas de acreditação. Os MLAs do IAF operam em dois níveis:

Um MLA para a acreditação de OACs para normas, incluindo a ISO/IEC 17020 para organismos de inspeção, a ISO/IEC 17021-1 para organismos de certificação de sistemas de gestão, a ISO/IEC 17024 para organismos de certificação de pessoas e a ISO/IEC 17065 para organismos de certificação de produtos, é considerado uma estrutura para o MLA. Uma estrutura para o MLA fornece confiança que OACs acreditados são igualmente dignos de confiança no desempenho das atividades de avaliação da conformidade.

Um MLA para a acreditação de OACs que também inclui a norma de avaliação da conformidade específica ou esquema, como o escopo da acreditação, fornece confiança na equivalência da certificação.

Um MLA do IAF fornece a confiança necessária para a aceitação da certificação pelo mercado. Uma organização ou pessoa com certificação para uma norma específica ou esquema que é acreditado por um OA signatário do MLA do IAF pode ser reconhecido mundialmente facilitando consequentemente o comércio internacional.

Introdução aos Documentos Mandatórios do IAF

O termo "convém" é usado neste documento para indicar meios reconhecidos de atender aos requisitos da norma. O Organismo de Avaliação da Conformidade (OAC) pode atendê-los de forma equivalente, contanto que possa demonstrá-los ao Organismo de Acreditação (OA). O termo "deve" é usado neste documento para indicar aquelas disposições que, refletindo os requisitos da norma pertinente, são mandatórias.

_______________________

/ANEXOS

NIT-DICOR-054 REV.

09 PÁGINA

5/56

ANEXO A - DOCUMENTO MANDATÓRIO DO IAF PARA A CERTIFICAÇÃO DE MULTISITES BASEADA EM AMOSTRAGEM (IAF MD 1:2007)

Este documento é mandatório para a consistente aplicação da cláusula 9.1.5 da ABNT NBR ISO/IEC 17021 e é baseado na diretriz previamente fornecida no Anexo 3 do IAF GD2:2005 e IAF GD6:2003 cláusula G.5.3.5 - G.5.3.13. Todas as cláusulas da ABNT NBR ISO/IEC 17021:2007 continuam a ser aplicadas e este documento não substitui qualquer dos requisitos daquela norma. Este documento mandatório não é exclusivamente para Sistemas de Gestão da Qualidade (SGQ) e Sistemas de Gestão Ambiental (SGA) e pode ser utilizado para outros sistemas de gestão. Contudo normas pertinentes podem fornecer requisitos específicos para multisites ou impedir o uso de amostragem (ex. ISO/IEC 27006, ISO/TS 22003). 0. INTRODUÇÃO 0.1 Este documento é para a auditoria e, se apropriado, a certificação de sistemas de gestão em organizações com uma rede de sites para assegurar que a auditoria proporciona confiança adequada na conformidade do sistema de gestão para a norma apropriada através de todos os sites listados e que a auditoria é eficaz e viável em termos econômicos e operacionais. 0.2 Normalmente, convém que a auditoria inicial para certificação e subsequentes auditorias de supervisão e recertificação ocorram em todo site da organização que deve ser coberto pela certificação. Entretanto, quando a atividade de uma organização sujeita à certificação for realizada de forma similar em sites diferentes, estando todos sujeitos ao controle e autoridade da organização, um organismo de certificação poderá utilizar procedimentos apropriados para amostragem dos sites na auditoria inicial e subsequentes auditorias de supervisão e recertificação. Este documento refere-se às condições sob as quais a certificação multisite é aceita para organismos de certificação acreditados incluindo o cálculo do tamanho da amostra e duração da auditoria. 0.3 Este documento não se aplica a auditorias de organizações que tenham multisites onde fundamentalmente dissimilares processos ou atividades são usados nos sites diferentes, ou numa combinação de sites, embora eles possam estar sob o mesmo sistema de gestão. As condições sob as quais os organismos de certificação podem fazer qualquer redução na auditoria completa normal de todos os sites, nestas circunstâncias, têm que ser justificadas em cada site onde a redução é proposta. 0.4 Este documento é aplicável a organismos de certificação acreditados que empregam amostragem em suas auditoria e certificação de organizações multisites. Não obstante, um organismo de certificação acreditado poderá divergir excepcionalmente deste documento desde que seja capaz de apresentar justificativas pertinentes. Estas justificativas devem, sob avaliação pelo organismo de acreditação, demonstrar que o mesmo nível de confiança na conformidade do sistema de gestão, através de todos os sites listados, pode ser obtida. 0.5 Quando uma organização é considerada uma candidata para certificação com base na amostragem, o organismo de certificação deve ter arranjos para explicar a aplicação deste documento para a organização antes do início da auditoria. 1. DEFINIÇÕES 1.1. Organização O termo organização é usado para designar qualquer empresa ou outra organização que possua um sistema de gestão sujeito à auditoria e certificação.

NIT-DICOR-054 REV.

09 PÁGINA

6/56

1.2. Site Um site é uma locação permanente onde uma organização realiza trabalho ou serviço. 1.3. Site Temporário Um site temporário é aquele estabelecido por uma organização para desempenhar trabalho específico ou serviço por um período de tempo finito e que não se tornará um site permanente (p. ex. site de construção). 1.4. Sites Adicionais Um novo site ou grupo de sites que serão adicionados a uma rede multisite certificada existente. 1.5. Organização Multisite Uma organização multisite é definida como uma organização que tenha uma função central identificada (daqui por diante designada como escritório central - mas não necessariamente a sede da organização), onde determinadas atividades são planejadas, controladas ou gerenciadas, e uma rede de escritórios locais ou filiais (sites), onde tais atividades são executadas completa ou parcialmente. 2. APLICAÇÃO 2.1 Site 2.1.1 Um site pode incluir todos os terrenos nos quais atividades sob o controle de uma organização numa dada locação são realizadas incluindo qualquer armazenamento conectado ou associado de matéria-prima, subprodutos, produtos intermediários, produtos finais e resíduos, e qualquer equipamento ou infraestrutura envolvidos nas atividades, fixos ou não. Alternativamente, quando requerido por lei, definições estabelecidas por regimes de licenciamento nacional ou local devem ser aplicados. 2.1.2 Quando não é viável definir a locação (p. ex. para serviços), convém que a cobertura da certificação leve em conta as atividades da sede da organização, bem como a entrega dos seus serviços. Quando pertinente, o organismo de certificação pode decidir que a auditoria de certificação seja conduzida somente onde a organização entrega seus serviços. Em tais casos, todas as interfaces com seu escritório central devem ser identificadas e auditadas. 2.2 Site Temporário 2.2.1 Sites temporários que estão cobertos pelo sistema de gestão da organização podem estar sujeitos à auditoria com base amostral para fornecer evidência da operação e eficácia do sistema de gestão. Eles podem, contudo, ser incluídos dentro do escopo de uma certificação multisite, sujeita a acordo entre o organismo de certificação e a organização cliente. Quando incluído no escopo, tais sites devem ser identificados como temporários. 2.3 Organização Multisite 2.3.1 A organização multisite não precisa ser uma entidade legal única, porém todos os sites devem ter um vínculo legal ou contratual com o escritório central da organização e devem estar sujeitos a um sistema de gestão comum, o qual é formulado, estabelecido e sujeito à supervisão contínua e auditorias internas pelo escritório central. Isto significa que o escritório central tem direito de requerer

NIT-DICOR-054 REV.

09 PÁGINA

7/56

que os sites implementem ações corretivas, quando necessárias, em qualquer site. Quando for aplicável, convém que esta condição seja estabelecida no contrato formal entre o escritório central e os sites. Exemplos de possíveis organizações multisite:

Organizações que operam com franquia

Empresas de fabricação com uma rede de escritórios de vendas (este documento aplicar-se-ia à rede de vendas)

Empresas de serviço com sites múltiplos oferecendo um serviço similar

Empresas com várias filiais 3. CRITÉRIOS DE ELEGIBILIDADE PARA A ORGANIZAÇÃO 3.0.1 Os processos de todos os sites têm que ser essencialmente do mesmo tipo e têm de ser operados por métodos e procedimentos similares. Quando alguns dos sites sob consideração conduzem processos similares, mas em menor número que os demais processos, eles podem ser elegíveis para inclusão na certificação multisite, desde que os sites que conduzem a maior parte dos processos ou processos críticos sejam sujeitos à auditoria completa. 3.0.2 Organizações que conduzem seus negócios através de processos vinculados em locações diferentes são também elegíveis para amostragem, desde que sejam atendidas todas as outras cláusulas deste documento. Quando os processos em cada locação não são similares, mas são claramente vinculados, o plano de amostragem deve incluir no mínimo um exemplo de cada processo conduzido pela organização (p.ex. fabricação de componentes eletrônicos em uma locação, montagem dos mesmos componentes – pela mesma empresa em muitas outras locações). 3.0.3 O sistema de gestão da organização deve estar sob uma plano controlado e administrado centralmente e estar sujeito à análise crítica da administração central. Todos os sites pertinentes (inclusive a função de administração central) devem estar sujeitos ao programa de auditoria interna da organização e todos devem ter sido auditados de acordo com esse programa, antes do organismo de certificação iniciar sua auditoria. 3.0.4 Deve ser demonstrado que o escritório central da organização estabeleceu um sistema de gestão de acordo com a norma de sistema de gestão pertinente sob auditoria e que toda a organização atende aos requisitos da norma. Deve-se incluir a análise dos regulamentos pertinentes. 3.0.5 Convém que a organização demonstre sua capacidade para coleta e análise de dados (inclusive, mas não limitado aos itens listados a seguir) de todos os sites, inclusive do escritório central, e sua autoridade e capacidade para iniciar alteração organizacional, se necessário:

Documentação do sistema e mudanças do sistema;

Análise crítica pela administração;

Reclamações;

Avaliação de ações corretivas;

Planejamento de auditoria interna e avaliação do resultado;

Mudanças nos aspectos e impactos associados para sistemas de gestão ambiental (SGA) e

Requisitos legais diferentes. 3.0.6 Nem todas as organizações que se encaixam na definição de “organização multisite” serão elegíveis para amostragem.

NIT-DICOR-054 REV.

09 PÁGINA

8/56

3.0.7 Nem todas as normas de sistemas de gestão são adequadas na consideração para certificação multisite. Por exemplo, amostragem multisite poderia não ser adequada quando a auditoria de fatores locais variáveis é um requisito da norma. Regras específicas aplicam-se, também, para alguns esquemas, por exemplo, aqueles que incluem séries automotiva (TS 16949) e aeroespacial (AS 9100), e os requisitos de tais esquemas devem ter prioridade. 3.0.8 Convém que os organismos de certificação tenham procedimentos documentados para restringir tal amostragem quando a amostragem de site não for apropriada para obter confiança suficiente na eficácia do sistema de gestão sob auditoria. Convém que tais restrições sejam definidas pelo organismo de certificação com relação a:

Setores ou atividades do escopo (isto é, baseado na avaliação de riscos ou de complexidade associados com esse setor ou atividade);

Tamanho dos sites elegíveis para auditoria multisite;

Variações na implementação local do sistema de gestão, tal como a necessidade de recursos frequentes para utilização de planos, dentro do sistema de gestão, para abordar diferentes atividades ou diferentes sistemas contratuais ou reguladores;

Uso de sites temporários que operam de acordo com o sistema de gestão da organização, e os quais não serão incluídos dentro do escopo da certificação.

4. CRITÉRIOS DE ELEGIBILIDADE PARA O ORGANISMO DE CERTIFICAÇÃO 4.0.1 O organismo de certificação deve fornecer informações para a organização sobre a aplicação deste documento e as normas pertinentes de sistema de gestão, antes de começar o processo de auditoria, e convém não prosseguir se quaisquer das provisões não forem atendidas. Antes de começar o processo de auditoria, convém que o organismo de certificação informe à organização que o certificado não será emitido se durante a auditoria inicial forem detectadas não conformidades. 4.1. Análise Crítica de Contrato 4.1.1 Convém que os procedimentos do organismo de certificação assegurem que a análise crítica inicial de contrato identifica a complexidade e escala das atividades cobertas pelo sistema de gestão, sujeitas à certificação, bem como quaisquer diferenças entre os sites como base para a determinação do nível de amostragem. 4.1.2 O organismo de certificação deve identificar a função central da organização que tem contrato legal e vigente para o fornecimento das atividades de certificação. 4.1.3 O organismo de certificação deve verificar, em cada caso individual, em que extensão os sites de uma organização operam substancialmente o mesmo tipo de processos, de acordo com os mesmos procedimentos e métodos. Veja a cláusula 3.0.1 para sites que conduzem processos similares, mas em menor número que os demais processos, e a cláusula 3.0.2 para sites envolvendo processos conectados. Somente após uma verificação completa, que confirme, pelo organismo de certificação, de que todos os sites propostos para inclusão no multisite atendem às provisões de elegibilidade, é que os procedimentos de amostragem poderão ser aplicados a cada site individualmente. 4.1.4 Se nem todos os sites de uma organização de serviço, onde a atividade sujeita à certificação estiver sendo realizada, estiverem prontos para serem submetidos à certificação ao mesmo tempo, o organismo de certificação deve solicitar à organização que informe, com antecedência, quais os sites que ela quer incluir no certificado e aqueles que serão excluídos.

NIT-DICOR-054 REV.

09 PÁGINA

9/56

4.2 Auditoria 4.2.1 O organismo de certificação deve ter procedimentos documentados para lidar com as auditorias sob seu procedimento multisite. Tais procedimentos devem estabelecer o modo que o organismo de certificação se convence de que o mesmo sistema de gestão controla as atividades em todos os sites e que os critérios de elegibilidade para a organização na cláusula 3 anterior são atendidos. Este requisito também é aplicável a um sistema de gestão onde são usados documentos eletrônicos, controle de processo ou outros processos eletrônicos. O organismo de certificação deve justificar e registrar as razões para prosseguir com a abordagem multisite. 4.2.2 Se mais de uma equipe auditora estiver envolvida na auditoria ou supervisão da rede, convém que o organismo de certificação designe um único auditor líder cuja responsabilidade seja a de consolidar as constatações de todas as equipes auditoras e produzir um relatório de síntese. 4.3 Não Conformidades 4.3.1 Quando não conformidades, conforme definido na cláusula 9.1.15 da ABNT NBR ISO/IEC 17021, forem encontradas em qualquer site individual, seja por meio de auditoria interna da organização ou de auditoria pelo organismo de certificação, convém realizar uma investigação para determinar se os outros sites podem ser afetados. Portanto, convém que o organismo de certificação requeira que a organização analise criticamente as não conformidades para determinar se elas indicam uma deficiência geral do sistema aplicável ou não a todos os sites. Em caso positivo, convém que ação corretiva seja realizada e verificada tanto no escritório central como nos sites individuais afetados. Em caso negativo, convém que a organização seja capaz de demonstrar ao organismo de certificação a justificativa para limitar seu acompanhamento da ação corretiva. 4.3.2 O organismo de certificação deve requerer a evidência dessas ações e deve aumentar sua frequência de amostragem e/ou o tamanho da amostra até estar convencido de que o controle foi restabelecido. 4.3.3 Durante o processo de tomada de decisão, se qualquer site tiver uma não conformidade, conforme definido na cláusula 9.1.15 (b) da ABNT NBR ISO/IEC 17021, a certificação deve ser negada a toda rede de sites listada, pendente de ação corretiva satisfatória. 4.3.4 Não deve ser admissível que, para superar o obstáculo levantado pela existência de uma não conformidade em um único site, a organização procure excluir do escopo o site "problemático” durante o processo de certificação. Tal exclusão pode somente ser acordada com antecedência (Veja cláusula 4.1.4). 4.4 Documentos de Certificação 4.4.1 Documentos de certificação podem ser emitidos, cobrindo múltiplos sites desde que cada site incluído no escopo da certificação tenha sido auditado individualmente pelo organismo de certificação ou auditado utilizando-se abordagem de amostragem definida neste documento. 4.4.2 O organismo de certificação deve fornecer documentos de certificação aos clientes certificados por qualquer meio a sua escolha. Tais documentos de certificação devem atender em todos os aspectos à ABNT NBR ISO/IEC 17021. 4.4.3 Estes documentos devem conter o nome e endereço do escritório central da organização e uma lista de todos os sites os quais os documentos de certificação se relacionam. O escopo ou outra referência nestes documentos deve tornar claro que as atividades certificadas são realizadas pela rede de sites da lista. Se o escopo de certificação dos sites só for emitido como parte do escopo geral da organização, sua aplicabilidade a todos os sites deve ser claramente estabelecida. Quando

NIT-DICOR-054 REV.

09 PÁGINA

10/56

sites temporários são incluídos no escopo, tais sites devem ser identificados como temporários nos documentos de certificação. 4.4.4 Documentos de certificação poderão ser emitidos para a organização para cada site coberto pela certificação com a condição de que estes contenham o mesmo escopo ou um subescopo daquele escopo, e que inclua uma referência clara aos documentos de certificação principais. 4.4.5 A documentação da certificação será totalmente cancelada, se o escritório central ou quaisquer dos sites não atenderem às provisões necessárias para a manutenção da certificação. 4.4.6 A lista de sites deve ser mantida atualizada pelo organismo de certificação. Para esse fim, o organismo de certificação deve solicitar à organização que informe sobre o fechamento de qualquer dos sites cobertos pela certificação. A falha no fornecimento dessas informações será considerada pelo organismo de certificação como mau uso da certificação, e convém que o organismo aja consequentemente de acordo com os seus procedimentos. 4.4.7 Sites adicionais podem ser adicionados a uma certificação existente como resultado das atividades de supervisão ou recertificação ou aumento de escopo. O organismo de certificação deve ter procedimentos documentados para a adição de novos sites. 5 AMOSTRAGEM 5.1 Metodologia 5.1.1 Convém que a amostra seja parcialmente seletiva, com base nos fatores estabelecidos abaixo e parcialmente não seletiva, e que resulte na seleção de uma gama de diferentes sites, sem excluir o elemento aleatório de amostragem. 5.1.2 Convém que pelo menos 25% da amostra seja selecionada aleatoriamente. 5.1.3 Levando em consideração os critérios mencionados a seguir, convém que o restante seja escolhido de forma que as diferenças entre os sites selecionados, no período de validade do certificado, sejam as maiores possíveis. 5.1.4 Os critérios de seleção do site poderão incluir entre outros os seguintes aspectos:

Resultados de auditorias internas de site e análises críticas ou certificação prévia;

Registros de reclamações e outros aspectos pertinentes de ação corretiva e preventiva;

Variações significativas no tamanho dos sites;

Variações nas mudanças de tendência e procedimentos de trabalho;

Complexidade do sistema de gestão e processos conduzidos nos sites;

Modificações desde a última auditoria de certificação;

Maturidade do sistema de gestão e conhecimento da organização;

Questões ambientais e extensão dos aspectos e impactos associados para sistemas de gestão ambiental (SGA);

Diferenças de cultura, idioma e requisitos regulatórios; e

Dispersão geográfica. 5.1.5 Não é obrigatório que esta seleção seja feita no início do processo de auditoria. Ela também pode ser feita quando a auditoria no escritório central tiver sido concluída. Em qualquer caso, o escritório central deve ser informado sobre os sites a serem incluídos na amostra. O envio destas informações pode ser feito com pouca antecedência, mas convém que permita tempo adequado para a preparação para a auditoria.

NIT-DICOR-054 REV.

09 PÁGINA

11/56

5.2 Tamanho da Amostra 5.2.1 O organismo de certificação deve ter um procedimento documentado para determinação da amostra a ser tomada ao auditar sites como parte das auditorias e certificação de uma organização multisite. Convém que este procedimento leve em consideração todos os fatores descritos neste documento. 5.2.2 O organismo de certificação deve ter registros sobre cada solicitação de amostragem multisite justificando que ele está operando de acordo com este documento. 5.2.3 O cálculo a seguir é um exemplo baseado no exemplo de uma atividade de pequeno a médio risco com menos de 50 empregados em cada site. O número mínimo de sites a serem visitados por auditoria é de:

Auditoria inicial: convém que o tamanho da amostra seja a raiz quadrada do número de sites

remotos: (y=x), arredondado ao número inteiro superior.

Auditoria de supervisão: convém que o tamanho da amostra anual seja a raiz quadrada do

número de sites remotos com 0,6 como um coeficiente (y=0,6 x), arredondado ao número inteiro superior.

Auditoria de Recertificação: convém que o tamanho da amostra seja o mesmo de uma auditoria inicial. Não obstante, quando o sistema de gestão demonstrar ser eficaz num período de

três anos, o tamanho da amostra poderá ser reduzido por um fator de 0,8, isto é: (y=0,8 x), arredondado ao número inteiro superior.

5.2.4 Convém que o organismo de certificação defina dentro do seu sistema de gestão os níveis de risco das atividades, como aplicado acima. 5.2.5 O escritório central também deve ser auditado durante cada auditoria inicial de certificação e no mínimo anualmente como parte da supervisão. 5.2.6 Convém que o tamanho ou a frequência da amostra seja aumentado quando a análise de risco do organismo de certificação da atividade coberta pelo sistema de gestão, sujeito à certificação, indicar circunstâncias especiais em relação a fatores tais como:

O tamanho dos sites e número de empregados (p.ex. mais de 50 empregados num site);

A complexidade do nível de risco da atividade e do sistema de gestão;

Variações nas práticas de trabalho (p.ex. trabalho em turno);

Variações nas atividades empreendidas;

Significância e extensão dos aspectos e impactos associados para sistemas de gestão ambiental (SGA);

Registros de reclamações e outros aspectos pertinentes de ação corretiva e preventiva;

Quaisquer aspectos multinacionais;

Resultados de auditorias internas e análise crítica. 5.2.7 Quando a organização tiver um sistema hierárquico de filiais (p. ex. escritório sede (central), escritórios nacionais, escritórios regionais, filiais locais), o modelo de amostragem para a auditoria inicial, conforme definido anteriormente, se aplica a cada nível. Exemplos:

1 escritório sede: visitado em cada ciclo de auditoria (inicial ou supervisão ou recertificação) 4 escritórios nacionais: amostra = 2: mínimo 1, aleatoriamente 27 escritórios regionais: amostra = 6: mínimo 2, aleatoriamente 1700 filiais locais: amostra = 42: mínimo 11, aleatoriamente.

NIT-DICOR-054 REV.

09 PÁGINA

12/56

5.3 Tempos de Auditoria 5.3.1 O tempo utilizado na auditoria de cada site individual é outro elemento importante a ser considerado, e o organismo de certificação deve estar preparado para justificar o tempo utilizado nas auditorias multisite quanto à sua política global de alocação de tempo de auditoria. 5.3.2 Normalmente, convém que o número de homens dia por site, incluindo o escritório central, seja calculado para cada site, utilizando-se o mais recente documento publicado pelo IAF para o cálculo de homens.dia, para a norma pertinente. 5.3.3 Podem ser aplicadas reduções que levem em consideração as cláusulas que não sejam pertinentes ao escritório central e/ou sites locais. As razões para a justificativa de tais reduções devem ser registradas pelo organismo de certificação. Nota: Sites que conduzem a maior parte dos processos ou processos críticos não estão sujeitos à redução (cláusula 3.0.1). 5.3.4 Convém que o tempo total utilizado na auditoria inicial e supervisão, que é a soma total do tempo utilizado em cada site adicionado ao do escritório central, nunca seja menor do que aquele que teria sido calculado para o tamanho e a complexidade da operação, caso todo o trabalho tivesse sido realizado em um único site (isto é, com todos os empregados da empresa no mesmo site). 5.4 Sites Adicionais 5.4.1 Na solicitação de um grupo novo de sites para juntar-se a uma rede de multisites já certificada, convém que cada grupo novo de sites seja considerado como um conjunto independente para a determinação do tamanho da amostra. Após a inclusão do grupo novo no certificado, convém que os novos sites sejam acumulados aos outros já existentes para determinar o tamanho da amostra para futuras auditorias de supervisão ou recertificação.

/ANEXO B

NIT-DICOR-054 REV.

09 PÁGINA

13/56

ANEXO B - DOCUMENTO MANDATÓRIO DO IAF PARA A TRANSFERÊNCIA DA CERTIFICAÇÃO ACREDITADA DE SISTEMAS DE GESTÃO (IAF MD 2:2017)

Este documento é mandatório para a consistente aplicação da cláusula 9.1.3 da ABNT NBR ISO/IEC 17021-1:2015. Todas as cláusulas da ABNT NBR ISO/IEC 17021-1:2015 continuam a ser aplicadas e este documento não substitui qualquer dos requisitos daquela norma. 0. INTRODUÇÃO 0.1 Este documento fornece critérios normativos sobre a transferência de certificação de sistemas de gestão acreditada entre organismos de certificação. Os critérios podem, também, ser aplicados no caso de aquisição de organismos de certificação acreditados por um signatário do MLA do IAF. 0.2 O objetivo deste documento é assegurar a manutenção da integridade das certificações de sistema de gestão acreditadas, emitidas por um organismo de certificação, se transferidas posteriormente para outro organismo semelhante. 0.3 O documento fornece critérios mínimos para a transferência de certificação. Os organismos de certificação poderão implementar procedimentos ou ações que sejam mais restritivas do que as contidas aqui, desde que a liberdade da organização cliente em escolher um organismo de certificação não seja indevida ou injustamente restringida. 1. DEFINIÇÃO 1.1 Transferência de Certificação A transferência de certificação é definida como o reconhecimento da existência e validade de uma certificação de sistema de gestão, concedida por um organismo de certificação acreditado (daqui por diante denominado "organismo de certificação emissor”), por outro organismo de certificação acreditado (daqui por diante denominado "organismo de certificação receptor”), com a finalidade de emitir sua própria certificação. Observação: A certificação múltipla (certificação simultânea por mais de um organismo de certificação) não recai na definição anterior e não é encorajada pelo IAF. 2. REQUISITOS MÍNIMOS 2.1 Acreditação 2.1.1 Somente certificações cobertas pela acreditação de um signatário do MLA do IAF ou signatário do MLA Regional no nível 3 e, onde aplicável, níveis 4 e 5, devem ser elegíveis para transferência. As organizações portadoras de certificações que não estejam cobertas por tais acreditações devem ser tratadas como novos clientes. 2.1.2 Somente certificações acreditadas válidas devem ser transferidas. Certificações que estejam em vias de serem suspensas não devem ser aceitas para transferência. 2.1.3 Em casos onde a certificação foi concedida por um organismo de certificação que tenha cessado a negociação ou que a acreditação expirou, esteja suspenso ou cancelado, a transferência deve ser finalizada no prazo de 6 meses ou no vencimento da certificação, o que vier primeiro.

NIT-DICOR-054 REV.

09 PÁGINA

14/56

2.2. Análise Crítica antes da Transferência 2.2.1 O organismo de certificação receptor deve ter um processo para obter informações suficientes a fim de tomar a decisão pela certificação e informar ao cliente da transferência do processo. Esta informação deve incluir, no mínimo, disposições relativas ao ciclo de certificação. 2.2.2 O organismo de certificação deve realizar a revisão da certificação do cliente a ser transferido. Esta revisão deve ser conduzida por uma análise da documentação e onde identificado como necessário por esta análise, por exemplo, identificação de não conformidades maiores deve incluir uma pré-visita de transferência ao cliente para confirmar a validade da certificação. Nota: a pré-visita de transferência não é uma auditoria. 2.2.3 O organismo de certificação receptor deve determinar os critérios de competência para o pessoal envolvido na análise crítica antes da transferência. A revisão pode ser conduzida por uma ou mais pessoas. O indivíduo ou grupo que realiza a pré-visita deve ter a mesma competência que é requerida para uma equipe de auditoria apropriada para o escopo da certificação que está sendo analisado. 2.2.4 A análise deve abranger minimamente os seguintes aspectos e as evidências devem ser documentadas: (i) confirmação de que as atividades certificadas do cliente estão cobertas e válidas pelo escopo da acreditação do organismo de certificação receptor; (ii) confirmação de que o escopo acreditado do organismo de certificação emissor está coberto pelo escopo de acreditação do MLA do IAF; (ii) os motivos que levaram à transferência; (iv) que o site ou sites que desejam a transferência da certificação possuem uma certificação acreditada válida; (v) relatórios de auditoria da certificação inicial ou recertificação mais recentes, e o relatório da última supervisão; o status de todas as não conformidades críticas evidenciadas nos relatórios ou outros meios disponíveis, documentação relevante relacionada ao processo de certificação. Se esses relatórios de auditoria não estiverem disponíveis ou se a auditoria de supervisão ou recertificação não tiver sido finalizada, como exigido pelo programa de auditoria do organismo de certificação emissor, então a organização deve ser tratada como um novo cliente; (vi) recebimento de reclamações e ações tomadas; (vii) considerações relevantes para estabelecer um plano de auditoria e um programa de auditoria. O programa de auditoria estabelecido pelo organismo de certificação emissor deveria ser revisado, se disponibilizado. Ver requisito 2.3.4 deste documento; e (viii) qualquer envolvimento atual do cliente a ser transferido com órgãos regulamentadores relevantes para o escopo da certificação em relação à conformidade legal. 2.3 Transferência de Certificação 2.3.1 De acordo com o requisito 9.5.2 da ABNT NBR ISO/IEC 17021-1:2015, o organismo de certificação receptor não deve aceitar a transferência até que:

NIT-DICOR-054 REV.

09 PÁGINA

15/56

(i) tenha sido verificada a implementação de correções e ações corretivas em relação a todas as não conformidades críticas maiores, e (ii) tenham sido aceitos os planos de correção e ação corretiva para todas as não conformidades menores pendentes do cliente solicitante da transferência. 2.3.2 Se a análise crítica de pré-transferência (análise documental e/ou visita de pré-transferência) identificar questões que impeçam a conclusão da transferência, o organismo de certificação receptor deve tratar o cliente como um cliente novo. A justificativa para esta decisão deve ser explicada ao solicitante da transferência e deve ser documentada pelo organismo de certificação receptor e os registros mantidos. 2.3.3 O processo normal de tomada de decisão deve seguir de acordo com o requisito 9.5 da ABNT NBR ISO/IEC 17021-1:2015 incluindo o fato de que o pessoal responsável pela tomada de decisão deve ser diferente daquele que realizou a análise crítica da pré-transferência. 2.3.4 Se não forem identificados problemas na análise crítica da pré-transferência, o ciclo de certificação deve basear-se no ciclo de certificação anterior e o organismo de certificação receptor deve estabelecer um programa de auditoria para o restante do ciclo de certificação. NOTA: O organismo de certificação receptor pode citar a data da certificação inicial da organização nos documentos de certificação com a indicação de que a organização foi certificada por outro organismo de certificação antes de uma determinada data. Se o organismo de certificação receptor teve que tratar o solicitante como um novo cliente, como resultado da análise crítica da pré-transferência, o ciclo de certificação deve começar com a decisão pela certificação. 2.3.5 O organismo de certificação receptor deve tomar a decisão pela certificação antes que qualquer auditoria de supervisão ou recertificação tenha sido iniciada. 2.4 Cooperação entre Organismos de Certificação Emissores e Receptores 2.4.1 A cooperação entre organismos de certificação emissores e receptores é essencial para o processo efetivo de transferência e a integridade da certificação. Quando solicitado, o organismo de certificação emissor deve fornecer ao organismo de certificação receptor todos os documentos e informações exigidas por este documento. Quando não for possível a comunicação com o organismo de certificação emissor, o organismo de certificação receptor deve registrar as razões e fazer todos os esforços para obter as informações necessárias por outras fontes. 2.4.2 O cliente solicitante da transferência deve autorizar que o organismo de certificação emissor forneça as informações solicitadas pelo organismo de certificação receptor. O organismo de certificação emissor não deve suspender ou cancelar o certificado da organização após a notificação de que a organização está em processo de transferência para o organismo de certificação receptor, se o cliente continua cumprindo com os requisitos de certificação.

/ANEXO C

NIT-DICOR-054 REV.

09 PÁGINA

16/56

ANEXO C - DOCUMENTO MANDATÓRIO DO IAF PARA PROCEDIMENTOS AVANÇADOS DE SUPERVISÃO E RECERTIFICAÇÃO (PASR) (IAF MD 3:2008)

Este documento fornece critérios normativos para procedimentos avançados de supervisão e recertificação (PASR), para a consistente aplicação da cláusula 9.1.1 da ABNT NBR ISO/IEC 17021:2007, para determinar ajustes subsequentes no programa de auditoria. Este documento considera somente Sistemas de Gestão da Qualidade (SGQ) e Sistemas de Gestão Ambiental (SGA), os quais os membros do IAF têm experiência na implementação de PASR ou de suas metodologias predecessoras. O uso de PASR não é mandatório, mas se um organismo de acreditação desejar permitir seu organismo de certificação acreditado e seu(s) cliente(s) optarem pelo uso de PASR, é um requisito do IAF que o organismo de certificação e seu(s) cliente(s) atendam a este documento e estejam aptos a demonstrar conformidade ao organismo de acreditação. 0 INTRODUÇÃO 0.1 Nos casos em que uma organização estabeleceu confiança em seu sistema de gestão (SGQ e/ou SGA), ao demonstrar regularmente eficácia durante um período, o organismo de certificação, sob consulta com a organização, poderá decidir aplicar os Procedimentos Avançados de Supervisão e Reavaliação (PASR) possibilitados por este documento. Tal programa avançado de supervisão e reavaliação poderá ter um grau de confiança maior (mas não total) nos processos de auditoria interna e análise crítica pela administração da organização, incluir tópicos específicos para supervisão, levar em consideração entradas específicas de projeto da organização e/ou usar outros métodos, conforme apropriado, para demonstrar conformidade do sistema de gestão. 0.2 O objetivo deste documento é assegurar o fornecimento de uma auditoria mais eficaz e eficiente de organizações que possuam um registro de desempenho comprovado mantendo, ao mesmo tempo, a integridade dos respectivos certificados de sistema de gestão acreditados. 0.3 Este documento estabelece os requisitos mínimos para a aplicação do PASR. Os organismos de certificação poderão implementar procedimentos ou ações que sejam mais restritivas do que as contidas aqui, desde que um pedido justificável da organização para o PASR não seja indevido ou injustamente restringido. 1 REQUISITOS MÍNIMOS 1.1 Pré-requisito A fim de utilizar o PASR, o organismo de certificação deve primeiramente demonstrar para um organismo de acreditação signatário do MLA do IAF: a) que esteve operando um programa de certificação acreditado para o sistema de gestão pertinente (SGQ e/ou SGA) por no mínimo um ciclo completo de acreditação. b) que é competente para elaborar um programa de PASR para cada organização individual, no sistema de gestão pertinente (SGQ e/ou SGA), de acordo com os requisitos da cláusula 7.3 da NBR ISO 9001:2000, e utilizando os critérios de entrada de projeto mencionados na cláusula 1.3.2 a seguir.

NOTA: A referência é feita aqui à NBR ISO 9001 visto que ela especifica os requisitos para o organismo de certificação elaborar um programa para PASR, indiferentemente se ele estiver operando certificação de SGQ ou SGA.

NIT-DICOR-054 REV.

09 PÁGINA

17/56

1.2 Escopo de acreditação A competência do organismo de certificação em atender ao item 1.1 (b) anterior deve ser avaliada pelo organismo de acreditação. Se a avaliação for bem sucedida, deve-se incluir uma referência específica à aprovação para PASR para SGQ e/ou SGA, conforme pertinente, no escopo de acreditação do organismo de certificação. 1.3 Critérios de elegibilidade e de entrada de projeto O organismo de certificação deve informar ao organismo de acreditação antes de cada nova utilização do PASR para cada organização específica, e deve ser capaz de demonstrar que os critérios constantes a seguir nas cláusulas 1.3.1 e 1.3.2 foram satisfeitos: 1.3.1 Critérios de elegibilidade a) O organismo de certificação deve confirmar que o sistema de gestão da organização teve sua conformidade demonstrada com os requisitos da(s) norma(s) aplicável(is) por um período de no mínimo um ciclo completo de certificação incluindo as auditorias inicial, de supervisão e de recertificação. NOTA: O resultado da primeira auditoria de recertificação (sem aplicar PASR) da organização, conduzida ao final de um ciclo de certificação de três anos, poderá servir de base para o organismo de certificação confirmar que a conformidade foi demonstrada. b) Todas as não conformidades levantadas durante o ciclo de certificação imediatamente antes da utilização do PASR devem ter sido resolvidas com sucesso. c) Para um SGA, o organismo de certificação deve confirmar que a organização estabeleceu conformidade com os requisitos legais aplicáveis e que não teve quaisquer sanções impostas pela(s) autoridade(s) regulamentadora(s) pertinente(s) durante o período citado no item a) anterior. d) O organismo de certificação deve ter combinado com a organização, indicadores de desempenho adequados, pelos quais possa julgar a eficácia contínua do sistema de gestão, e deve assegurar que a organização atende coerentemente às metas de desempenho combinadas.

(i) Para um SGQ, estes indicadores de desempenho devem abordar, no mínimo, a capacidade demonstrada da organização em fornecer regularmente produtos que atendam aos requisitos de regulamentos aplicáveis e do cliente (veja a cláusula 1.1 da NBR ISO 9001:2000), e deve incorporar requisitos para a melhoria contínua da eficácia do SGQ. NOTA: Para um SGQ, entende-se por “indicador” a característica a ser medida e por “meta” os requisitos quantitativos/qualitativos a serem atendidos. (ii) Para um SGA, estes indicadores de desempenho devem abordar, no mínimo, a capacidade demonstrada da organização em alcançar sua política, objetivos e metas ambientais e em atender aos requisitos legais aplicáveis e a outros relacionados com seus aspectos ambientais (veja a cláusula 4.3.2 da ABNT NBR ISO 14001:2004), e devem incorporar requisitos para a melhoria contínua e prevenção da poluição. NOTA: Para um SGA, entende-se por “indicador” a característica a ser medida e por “meta”, usada no contexto de meta de desempenho, os requisitos quantitativos/qualitativos a serem atendidos, que é considerada como sendo idêntica à “meta ambiental”, conforme definido na ABNT NBR ISO 14001.

NIT-DICOR-054 REV.

09 PÁGINA

18/56

e) O organismo de certificação deve ter arranjos executáveis legalmente com a organização para que esta ofereça acesso às informações pertinentes. Para um SGQ, estas informações são todos os dados de satisfação do cliente coletados ou disponíveis de outra forma. Para um SGA, estas informações são todas as comunicações pertinentes de partes externas interessadas, e em particular de autoridade(s) regulamentadora(s) pertinente(s). Quando for necessário que o organismo de certificação comunique-se diretamente com a fonte de tais informações para validá-las, devem ser aplicadas políticas e procedimentos de confidencialidade em comum acordo. f) O organismo de certificação deve verificar se o processo de auditoria interna da organização vem sendo gerenciado de acordo com a diretriz constante na ABNT NBR ISO 19011, em particular quanto à competência do auditor definida na cláusula 7. O processo de auditoria interna deve ser coordenado e integrado o suficiente para fornecer uma avaliação do sistema de gestão como um todo, e não só o desempenho isolado dos componentes. g) O organismo de certificação deve ter acordos contratuais vigentes que o permitam aumentar o escopo, frequência e duração de suas auditorias no caso de uma deterioração da capacidade da organização em atender às metas de desempenho combinadas. 1.3.2 Critérios de entrada de projeto Além dos critérios de entrada específicos da organização, o projeto de cada PASR individual deve abordar os itens a seguir: a) A frequência e duração das auditorias do organismo de certificação devem ser suficientes para permitir que o organismo de certificação atenda a este documento de critérios, incluindo os itens b) e c) a seguir, entre outros. Para cada utilização proposta do PASR, o organismo de certificação deve determinar o tempo básico de auditor (sem aplicar o PASR) usando os Documentos pertinentes dos Critérios Normativos ou da Diretriz do IAF e, se aplicável, o Anexo A deste documento (IAF MD1: 2007) para amostragem de multisites. Se o organismo de certificação planejar um programa PASR individual que reduza o tempo de auditor a menos de 70% deste nível básico, o organismo de certificação deve justificar tais reduções e solicitar aprovação específica para o organismo de acreditação antes de sua implementação. NOTA: os Documentos Mandatórios do IAF aplicáveis a tempo de auditor para SGQ e SGA estão em desenvolvimento. Até que tais documentos estejam disponíveis, convém que o Anexo 2 do IAF GD2/ Anexo E da NIT-Dicor-054 (e, quando aplicável o Anexo A) continuem a ser aplicados para definir o tempo total de auditoria (Fase 1 + Fase 2). b) Além de auditar um número estatisticamente significativo de amostras dos processos do sistema de gestão da organização para confirmar a adequação e eficácia do processo de auditoria interna, o organismo de certificação deve ele próprio continuar a realizar, pelo menos, as seguintes atividades a cada auditoria de supervisão e recertificação no local (com outras atividades definidas pelo PASR; consulte a cláusula 1.4 abaixo):

Entrevistar a alta direção e o representante da administração;

Avaliar as entradas e saídas da análise crítica pela administração, incluindo a verificação da capacidade da organização em atender às metas de desempenho combinadas;

Analisar criticamente o processo de auditoria interna, incluindo os procedimentos e registros de auditorias internas, e a competência dos auditores internos;

Analisar criticamente os planos de ações corretivas e preventivas e verificar sua implementação eficaz.

NIT-DICOR-054 REV.

09 PÁGINA

19/56

c) O organismo de certificação deve assegurar que todos os requisitos de uma certificação acreditada (incluindo os requisitos da ABNT NBR ISO/IEC 17021:2007 e de qualquer programa aplicável ao setor) continuam a ser atendidos. 1.4 Saídas de projeto A saída de projeto para cada aplicação do programa PASR do organismo de certificação deve incluir o constante nos itens de (a) a (f), a seguir: a) A extensão na qual o organismo de certificação utilizará os processos de auditoria interna e análise crítica pela administração da organização para complementar as atividades do organismo de certificação; b) Os critérios para atestar as auditorias internas da organização, incluindo amostragem dos processos e dos auditores a serem auditados; c) Os critérios para aceitar e monitorar a competência dos auditores internos da organização e o método de relatar os resultados da auditoria interna; d) Os critérios para ajustes contínuos do programa de avaliação, levando em consideração a capacidade demonstrada da organização ao longo do tempo em atender às metas de desempenho combinadas; e) Os componentes do sistema de gestão que serão necessariamente auditados pelo organismo de certificação a cada auditoria de supervisão e recertificação (veja cláusula 1.3.2 b); e f) Os critérios específicos de competência dos auditores do organismo de certificação e, quando aplicável, dos especialistas técnicos. 1.5 Certificados O organismo de certificação não deve diferenciar entre as metodologias com PASR e sem PASR nos certificados que ele emitir.

/ANEXO D

NIT-DICOR-054 REV.

09 PÁGINA

20/56

ANEXO D - DOCUMENTO MANDATÓRIO DO IAF PARA O USO DE TÉCNICAS DE AUDITORIA APOIADAS POR COMPUTADOR (TAAC) PARA CERTIFICAÇÃO ACREDITADA DE SISTEMAS

DE GESTÃO (IAF MD 4:2008)

Este documento é mandatório para a consistente aplicação da ABNT NBR ISO/IEC 17021 quando técnicas de auditoria apoiadas por computador são usadas como parte da metodologia de auditoria. O uso de TAAC não é mandatório, mas se o organismo de certificação e seu cliente optarem por usarem TAAC é mandatório que eles atendam a este documento e estejam aptos a demonstrar conformidade ao organismo de acreditação. 0 INTRODUÇÃO 0.1 Como as tecnologias da informação e comunicação se tornam cada vez mais sofisticadas, é importante para os organismos de certificação estar aptos a utilizarem “Técnicas de Auditoria Apoiadas por Computador” para melhorar a eficácia e a eficiência da auditoria, e para apoiar e manter a integridade do processo de auditoria. NOTA: Diretriz sobre o uso de Técnicas de auditoria apoiadas por computador podem ser obtidas a partir do site do Grupo de Práticas de Auditoria da ISO/IAF www.iso.org/tc176/ISO9001AuditingPracticesGroup 0.2 Tais “Técnicas de Auditoria Apoiadas por Computador” (TAAC”) podem incluir, por exemplo:

Teleconferência,

Reuniões pela web,

Comunicações interativas pela web,

Acesso eletrônico remoto à documentação do sistema de gestão e/ou processos do sistema de gestão.

0.3 Os objetivos para a aplicação eficaz das TAAC são: a) Fornecer uma metodologia que seja suficientemente flexível e não-prescritiva em natureza para satisfazer as necessidades da indústria, permitindo às organizações clientes e seus respectivos organismos de certificação a utilizarem o TAAC para melhorar o processo de auditoria convencional, e b) Para assegurar que controles adequados estão nos locais com suficiente supervisão do organismo de acreditação para evitar abusos e para prevenir pressões comerciais excessivas que possam comprometer a integridade do processo de certificação. 1. REQUISITOS 1.1 Confidencialidade De acordo com a ISO/IEC 17021, cláusula 8.5.1, a segurança e confidencialidade da informação eletrônica ou eletronicamente transmitida é particularmente importante quando o organismo de certificação está usando TAAC. Convém que o organismo de certificação acorde sobre medidas de segurança da informação mutuamente aceitáveis com seus clientes antes de utilizar TAAC. 1.2 Requisitos do processo 1.2.1 Além dos requisitos da cláusula 9.1.2 da ABNT NBR ISO/IEC 17021, o plano de auditoria deve identificar quaisquer técnicas de auditoria apoiadas por computador que serão utilizadas.

../AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.Outlook/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.Outlook/AppData/Local/Microsoft/Documents%20and%20Settings/gprodrigues/Configurações%20locais/Temporary%20Internet%20Files/Content.Outlook/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.Outlook/AppData/Local/Microsoft/Windows/Documents%20and%20Settings/tlnascimento/DOCUME~1/afcosta/CONFIG~1/Temp/C.Notes.afcosta/www.iso.org/tc176/ISO9001AuditingPracticesGroup

NIT-DICOR-054 REV.

09 PÁGINA

21/56

1.2.2 Além dos requisitos da cláusula 9.1.3 da ABNT NBR ISO/IEC 17021, ao TAAC deve ser dada atenção específica à habilidade dos auditores em entender e utilizar as tecnologias da informação empregadas pela organização cliente para gerenciar seus processos de sistema de gestão. 1.2.3 Além dos requisitos da cláusula 9.1.4 da ABNT NBR ISO/IEC 17021, se o organismo de certificação utilizar TAAC, isto pode ser considerado como parcialmente contribuindo para o total do tempo do auditor nas instalações. Se atividades de auditoria remota representam mais do que 30% do tempo planejado do auditor nas instalações, o organismo de certificação deve justificar o plano de auditoria e obter aprovação específica do organismo de acreditação antes da sua implementação. NOTAS: 1) Espera-se que esta “aprovação específica” seja feita inicialmente caso a caso, mas não exclui

uma “aprovação por completo” do organismo de acreditação para o organismo de certificação ir além de 30% de redução uma vez que organismo de certificação tenha demonstrado que o seu processo é robusto.

2) O tempo de auditor nas instalações refere-se ao tempo de auditor nas instalações alocado para sites individuais. Auditorias eletrônicas de sites remotos são consideradas auditorias remotas, mesmo se a auditoria eletrônica for conduzida fisicamente de outra instalação da organização do cliente.

1.2.4 Além dos requisitos da cláusula 9.1.10 da ABNT NBR ISO/IEC 17021, os relatórios de auditoria devem indicar a extensão na qual as TAAC são usadas na condução da auditoria e como isso contribui para a eficácia e eficiência da auditoria. 1.2.5 Além dos requisitos da cláusula 9.2.21 da ABNT NBR ISO/IEC 17021, alínea a, quando o organismo de certificação se propõe a utilizar TAAC como parte da auditoria, a análise da solicitação deve incluir a verificação de que a organização do cliente tem a infraestrutura necessária para apoiar esta abordagem. 1.2.6 Além dos requisitos da cláusula 9.3.2.2 da ABNT NBR ISO/IEC 17021, com relação ao uso das TAAC, a organização deve ser fisicamente visitada, no mínimo, anualmente. 1.2.7 Além dos requisitos da cláusula 9.9.2 da ABNT NBR ISO/IEC 17021, os registros devem indicar a extensão na qual as TAAC são usadas nas realizações da auditoria e da certificação.

/ANEXO E

NIT-DICOR-054 REV.

09 PÁGINA

22/56

ANEXO E - Documento Obrigatório do IAF para determinação do tempo de auditorias de SGQ e SGA (IAF MD 5:2015)

Este documento é obrigatório para a aplicação coerente da ISO/IEC 17021-1 para as auditorias de sistemas de gestão da qualidade e ambiental. Todas as cláusulas da ISO/IEC 17021-1 continuam a ser aplicadas e este documento não substitui nenhum dos requisitos nesta norma. Embora o número de funcionários (permanente, temporário e parcial) do cliente seja usado como ponto de partida quando se considera o período de auditoria, esta não é a única consideração, também deverão ser levados em conta outros fatores que afetam o tempo de auditoria, incluindo todas as listadas na ISO/IEC 17021-1. 0. INTRODUÇÃO 1. Este documento fornece disposições obrigatórias e orientação para que os organismos de certificação desenvolvam os seus próprios procedimentos documentados para determinar a quantidade de tempo necessário para a auditoria de clientes de diferentes tamanhos e complexidade ao longo de um amplo espectro de atividades. Pretende-se que isso vai levar a consistência de duração da auditoria entre os Organismos de Certificação, bem como entre os clientes semelhantes do mesmo Organismo. 2. O OAC deve identificar a duração da auditoria para a Fase 1 e Fase 2 da auditoria inicial, auditorias de manutenção e auditorias de recertificação para cada cliente candidato e cliente certificado. 3. Este documento obrigatório não estipula mínimo/máximo de tempo, mas fornece uma estrutura que deve ser documentada em procedimentos e utilizada dentro de um Organismo de Certificação para determinar a duração apropriada da auditoria, tendo em conta as especificidades do cliente a ser auditado.

4. Para fins de aprovação, deve notar-se que não conformidade a este documento (e/ou as tabelas incluídas) em casos individuais não faz levar automaticamente à não conformidade com a ISO/IEC 17021. No entanto, esta situação poderia ser motivo para uma investigação mais aprofundada para a integralidade da auditoria. Uma atenção especial deve ser dada para investigar os motivos para o desvio a partir deste documento obrigatório. 5. Se forem encontradas inconsistências a este documento obrigatório com regularidade, isso poderia formar uma base para a não conformidade com a ABNT ISO/IEC 17021 considerando assim que o Organismo de Certificação não pode dar uma garantia razoável de que ele fornece às suas equipes de auditoria o tempo para realizar uma auditoria suficientemente completa como parte do processo de certificação.

1. DEFINIÇÃO

1.1 Esquema de Certificação de Sistema de Gestão Sistema de avaliação da conformidade relacionado com sistemas de gestão para os mesmos requisitos especificados, regras específicas e processos aplicáveis. 1.2 Organização Cliente Entidade ou parte definida de uma entidade que opera um sistema de gestão. 1.3 Site Permanente Local (físico ou virtual) onde uma organização cliente (1.2) realiza um trabalho ou fornece um serviço em uma base contínua.

NIT-DICOR-054 REV.

09 PÁGINA

23/56

1.4 Site Virtual Local virtual onde uma organização cliente executa trabalho ou fornece um serviço usando um ambiente on-line permitindo que as pessoas, independente da localização física, possam executar processos. Nota 1: Processos que devem ser realizados em um ambiente físico não podem ser considerados como Site Virtual, por exemplo: Armazenagem, fabricação, testes físicos, laboratórios, instalação ou reparos para produtos físicos; Nota 2: Um site virtual (por exemplo intranet da empresa) é considerado um único site para o cálculo de tempo de auditoria.

1.5 Site Temporário Local (físico ou virtual) onde uma organização cliente (1.2) realiza um trabalho específico ou proporciona um serviço por um período de tempo finito e que não se destina a tornar-se um Site Permanente.

1.6 Tempo de auditoria Tempo necessário para planejar e realizar uma auditoria completa e eficaz do sistema de gestão da organização cliente (ABNT ISO/IEC 17021-1).

1.7 Duração da Auditoria de Certificação de Sistema de Gestão Parte do Tempo de Auditoria (1.6) utilizado na condução das atividades de auditoria desde a reunião de abertura até a reunião de encerramento, inclusive. Nota: Atividades de auditoria normalmente incluem:

• condução da reunião de abertura; • análise de documentos enquanto conduz a auditoria; • atribuir papéis e responsabilidades aos guias e observadores; • coleta e verificação de informações; • constatações gerais da auditoria; • elaboração das conclusões de auditoria; • condução da reunião de encerramento.

1.8 Auditor Dia A duração de um auditor dia é normalmente 8 horas e pode ou não incluir tempo de locomoção e almoço dependendo da legislação local. 1.9 Número Efetivo de Pessoal O número efetivo de pessoal consiste em todo o pessoal envolvido no escopo da certificação, incluindo aqueles que trabalham em cada turno. Pessoal não permanente (por exemplo: pessoal contratado), assim como pessoal que trabalhe em tempo parcial, deve ser incluído neste número. (referenciado em 2.3 para cálculo do número de pessoal efetivo). 1.10 Categoria de Risco (Somente para Sistema de Gestão da Qualidade - SGQ) Para sistema de gestão da qualidade, as disposições contidas neste documento são baseadas em três categorias, dependendo dos riscos associados a falhas de produto ou serviço da organização cliente. Estas categorias podem ser consideradas como alto, médio ou baixo risco. Atividades de alto risco (por exemplo: nuclear, médica, farmacêutica, alimentos, construção) normalmente requerem mais tempo de auditoria. Atividades de médio risco (por exemplo: fabricação simples) são suscetíveis de exigir um tempo médio para realizar uma auditoria eficaz e atividade de baixo risco, um menor tempo. (Ver Anexo A, Tabela SGQ 2).

NIT-DICOR-054 REV.

09 PÁGINA

24/56

1.11 Complexidade da Categoria (somente SGA) Para os sistemas de gestão ambiental, as disposições contidas neste documento se baseiam em cinco categorias de complexidade de natureza primária, número e gravidade dos aspectos ambientais de uma organização que fundamentalmente afetam o tempo de auditoria. (Ver Anexo B, Tabela SGA 2). 2. APLICAÇÃO

2.1 Tempo de Auditoria

2.1.1 O tempo de auditoria para todos os tipos de auditorias inclui o tempo total no local das instalações do cliente (físico ou virtual) e o tempo gasto fora do local de realização de planejamento, revisão de documentos, interação com o pessoal do cliente e elaboração de relatórios.

2.1.2 A duração da auditoria de certificação de sistema de gestão (1.7) normalmente não deveria ser menor que 80% do tempo de auditoria calculado seguindo a metodologia da Seção 3. Isto se aplica à auditoria inicial, supervisão e recertificação.

2.1.3 Viagem (em rota ou entre sites) e quaisquer paradas não estão incluídas na duração da auditoria de sistema de gestão no local.

Nota: Ver 1.8. Pode haver um requisito legal local para inclusão de pausa para almoço.

2.2 Auditor Dia(s)

2.2.1 As tabelas SGQ 1 e SGA 1 apresentam a média do tempo de auditoria de certificação de sistema de gestão calculado em auditor dia(s). Ajustes nacionais de números de dias podem ser necessários para cumprir a legislação local no que se refere à locomoção, pausa para almoço e horas trabalhadas, isto para atingir o mesmo total de números de auditoria das Tabelas SGQ 1 e SGA 1.

2.2.2 O número de auditor dias alocado não deve ser reduzido na fase de planejamento quando houver uma programação maior de horas por dia de trabalho. Considerações podem ser feitas para permitir uma auditoria eficiente das atividades quando houver deslocamento que podem exigir horas adicionais em um dia de trabalho.

2.2.3 Se o cálculo do resultado for um número decimal, o número de dias deve ser ajustado para o meio-dia mais próximo (por exemplo: 5,3 auditor dia torna-se 5,5 auditor dia. 5,2 auditor dia torna-se 5,0 auditor dia).

2.2.4 Para ajudar a garantir a eficácia da auditoria, o Organismo de Certificação deve também considerar a composição e tamanho da equipe de auditoria (por exemplo: ½ dia com 2 auditores pode não ser tão eficaz quanto um auditor dia com 1 auditor ou um auditor dia com 1 auditor líder e 1 especialista técnico é mais eficaz que 1 auditor dia sem o especialista técnico). Nota 1: O Organismo de acreditação pode requerer que o Organismos de Certificação demonstre que a média do tempo de auditoria de clientes específicos não é significativamente nem mais nem menos que o tempo de auditoria calculado das tabelas SGQ1 e SGA2. Nota 2: Organismos de Certificação que trabalhem essencialmente com indústrias de alto risco ou complexas são suscetíveis de ter uma média maior que as das tabelas e OC que trabalham principalmente com indústrias de baixo risco são suscetíveis a ter uma média mais baixa que as das tabelas.

NIT-DICOR-054 REV.

09 PÁGINA

25/56

2.3 Cálculo do Número Efetivo de Pessoal 2.3.1 O número efetivo de pessoal, como definido acima, é usado como base de cálculo para o tempo de auditoria de sistema de gestão. Considerações para determinar o número efetivo de empregados incluem pessoal de tempo parcial ou pessoal com atividades parciais ao escopo, aqueles trabalhando em turnos, administrativos, ou todas as categorias de pessoal de escritório, processos repetitivos, e o emprego de um grande número de mão-de-obra não especializada em alguns países.

2.3.2 A justificativa para determinar o número efetivo de pessoal deve estar disponível para a organização cliente e para o Organismo de Acreditação para revisão durante suas avaliações e a pedido do Organismo de Acreditação.

2.3.3 Pessoal de Tempo Parcial e pessoal com atividades parciais no escopo Dependendo das horas trabalhadas, o número de pessoal de período parcial e pessoal limitado ao escopo poderá ser reduzido ou acrescido e convertido para um número equivalente de pessoal de período integral (por exemplo: 30 pessoas trabalhando em tempo parcial 4 horas/ dia equivalem a 15 pessoas trabalhando em período integral).

2.3.4 Processo repetitivo dentro do escopo Quando uma elevada porcentagem de pessoal executa certas atividades/posições que são consideradas repetitivas (por exemplo: limpeza, segurança, transporte, vendas, call centers, etc.), é permitida a redução coerente e consistente do número de pessoal, a ser feita de empresa para empresa, com base no escopo de certificação. Os métodos incorporados para redução devem ser documentados para incluir quaisquer considerações de atividades/posições de risco. 2.3.5 Empregados que trabalham em turno O Organismo de Certificação deve determinar a duração ou época da auditoria para melhor avaliar a eficácia do sistema de gestão para todos os escopos de atividades do cliente, incluindo a necessidade de auditar fora do horário normal de trabalho e variados padrões de turno. Isto deve ser acordado com o cliente.

2.3.6 Mão-de-obra não especializada temporária Esta situação normalmente só se aplica em países com um baixo nível de tecnologia onde mão-de-obra não qualificada temporária pode ser empregada em considerável número em substituição a processos automatizados. Nestas circunstâncias, uma redução de empregados efetivos pode ser feita, mas a consideração dos processos é mais importante que o número de empregados. Esta redução é incomum e a justificativa para isto deve ser registrada e colocada à disposição do Organismo de Acreditação nas avaliações. 3. METODOLOGIA PARA DETERMINAR O TEMPO DE AUDITORIA DE SISTEMAS DE GESTÃO

3.1 A metodologia usada como base para cálculo do tempo de auditoria de sistemas de gestão para uma auditoria inicial (Fase 1 + Fase 2) envolve o entendimento das tabelas e figuras no Anexo A e Anexo B para auditorias SGQ e SGA, respectivamente. O Anexo A (SGQ) é baseado unicamente no número efetivo de pessoal (ver Cláusula 2.3 para orientação do cálculo do número efetivo de pessoal) e no nível de risco, mas não fornece a duração mínima ou máxima do tempo da auditoria. Adicionalmente ao número efetivo de pessoal, o Apêndice B (SGA) está baseado também na complexidade ambiental da organização e não fornece a duração mínima ou máxima do tempo da auditoria.

Nota: A prática normal é que o tempo gasto na Fase 2 exceda o tempo gasto na Fase 1.

3.2 Usando um multiplicador adequado, as mesmas tabelas e figuras podem ser usadas como base no cálculo do tempo de auditoria para auditorias de supervisão (Cláusula 5) e auditoria de

NIT-DICOR-054 REV.

09 PÁGINA

26/56

recertificação (Cláusula 6). 3.3 O Organismo de Certificação deve ter procedimentos que forneçam o tempo adequado de alocação para a auditoria de relevantes processos do cliente. Experiências têm demonstrado que fora o número de pessoal, o tempo requerido para realização de uma auditoria eficaz depende de outros fatores tanto para SGQ e SGA. Estes fatores são abordados com maior profundidade na Cláusula 8. 3.4 Este documento mandatório enumera as disposições que devem ser consideradas quando se estabelece uma quantidade de tempo necessário para realização da auditoria. Estes e outros fatores precisam ser examinados durante o processo de análise crítica dos Organismos de Certificação e após a Fase 1, ao longo do ciclo de certificação e recertificação, pelos seus potenciais impactos na determinação do tempo de auditoria independentemente do tipo de auditoria. Portanto, as tabelas, figuras e diagramas para SGQ e SGA, os quais demonstram a relação entre o número efetivo de pessoal e a complexidade, não podem ser utilizadas isoladamente. Essas tabelas e figuras fornecem a estrutura para o planejamento de auditoria e, portanto, ajustes necessários devem ser feitos para a determinação do tempo de auditoria para todos os tipos de auditorias. 3.5 Para auditorias SGQ, a Figura SGQ 1 fornece o guia visual para realizar ajustes no tempo de auditoria calculados da Tabela SGQ1 e fornece também a estrutura para um processo que deve ser usado para o planejamento de auditorias, identificando o ponto de partida baseado no número efetivo de pessoal de todos os turnos. 3.6 Para uma auditoria de SGA, é adequado basear o tempo de auditoria no número efetivo de pessoal da organização e na natureza, número e gravidade dos aspectos ambientais da organização e do setor da indústria. É recomendável que as Tabelas SGA1 e SGQ2, que fornecem a estrutura para o processo, sejam utilizadas no planejamento da auditoria. O tempo de auditoria de sistema de gestão deve ser ajustado com base em quaisquer fatores significativos que se apliquem exclusivamente à organização a ser auditada. 3.7 O ponto de partida para a determinação do tempo de auditoria deve ser identificado com base no número efetivo de pessoal, em seguida, ajustado para os fatores significativos aplicados aos clientes a serem auditados e atribuindo a cada fator uma ponderação aditiva ou subtrativa para modificar a figura base. Em cada situação, a base para estabelecer o tempo de auditoria de sistema de gestão, incluindo ajustes feitos, deve ser registrada. O Organismo de Certificação deve assegurar que qualquer variação no tempo de auditoria não levará a um comprometimento da eficácia das auditorias. Para processos de realização do produto ou serviço operados em regime de turno, a extensão da auditoria de cada turno pelo Organismo de Certificação depende dos processos realizados em cada turno e do nível de controle de cada turno que é demonstrado pelo cliente. Para a implementação de uma auditoria eficaz, pelo menos um dos turnos deve ser amostrado. A justificativa para a não realização de auditoria em outros turnos deve ser documentada (por exemplo: aqueles que estão fora do horário regular de expediente). 3.8 Determinações do tempo de auditoria de sistemas de gestão, usando as tabelas ou figuras dos Anexos A e B, não incluem o tempo de "auditores em treinamento" ou o tempo de especialistas técnicos. 3.9 A redução do tempo de auditoria de sistema de gestão não deve exceder 30% do tempo estabelecido nas tabelas SGQ 1 ou SGA 1. Nota: A Cláusula 3.9 pode não se aplicar às situações descritas no IAF MD1 para locais individuais em operações multilocais onde a amostragem de sites seja permitida. Nesta situação, um número limitado de processos está presente em tais locais e a implementação de todos os requisitos relevantes das normas de sistemas de gestão pode ser verificada.

NIT-DICOR-054 REV.

09 PÁGINA

27/56

4. AUDITORIA INICIAL DE SISTEMAS DE GESTÃO (Fase 1 mais Fase 2) 4.1 A determinação do tempo de auditoria de sistema de gestão envolvendo uma combinação de atividades realizadas fora do local (Cláusula 2.1) não deveria reduzir o total da duração da auditoria do sistema de gestão no local para menos de 80% do tempo de auditoria calculado seguindo a metodologia das Tabelas da Seção 3. Sempre que um tempo de auditoria adicional for necessário para o planejamento e/ou redação do relatório, isto não poderá ser considerado como justificativa para a redução da duração do tempo de auditoria do sistema de gestão no local. 4.2 As Tabelas SGQ 1 e SGA 1 fornecem um ponto de partida para estimar o tempo de auditoria de uma auditoria inicial (Fase 1 + Fase 2) para auditorias SGQ e SGA, respectivamente. 4.3 O tempo de auditoria estipulado pelo organismo de certificação e a justificativa para a determinação devem ser registradas. Este cálculo deve incluir detalhes sobre o tempo atribuído para cobrir todos os escopos de certificação. 4.4 O Organismo de Certificação deve fornecer para a organização cliente a determinação do tempo de auditoria e as justificativas registradas como parte do contrato de certificação e deve ser disponibilizado ao Organismo de Acreditação, quando solicitado. 4.5 Auditorias de certificação podem incluir técnicas remotas de auditoria, tais como colaboração baseada na web interativa, reuniões por web, teleconferências e/ou verificação eletrônica de processos do cliente (ver IAF MD4). Essas atividades devem ser identificadas no planejamento da auditoria, e o tempo gasto nessas atividades pode ser considerado como contribuindo para a duração total da auditoria de sistema de gestão. Se o Organismo de Certificação planejar uma auditoria na qual as atividades remotas representem mais de 30% da duração previstas no local da auditoria planejada, o Organismo de Certificação deverá justificar o plano de auditoria e manter os registros de justificativa que devem estar disponíveis para o Organismo de Acreditação para avaliação (ver IAF MD4). Nota 1: Duração de auditorias de certificação de sistemas de gestão refere-se ao tempo de auditoria alocado destinado para sites individuais. Auditorias eletrônicas de sites remotos são consideradas auditorias remotas, mesmo se a auditoria eletrônica for fisicamente realizada nas instalações da organização (física ou virtual).

Nota 2: Independentemente das técnicas de auditoria remotas utilizadas, a organização do cliente deve ser fisicamente visitada, pelo menos uma vez ao ano, onde houver um local físico.

Nota 3: É improvável que a duração de uma auditoria Fase 2 seja menor do que um (1) Auditor Dia. 5. SUPERVISÃO Durante os três anos iniciais do ciclo de certificação, o tempo de auditoria de supervisão para uma determinada organização deve ser proporcional ao tempo de auditoria gasto na auditoria de certificação inicial (Fase 1 + Fase 2), com a quantidade total de tempo gasto anualmente em supervisão sendo cerca de 1/3 do tempo de auditoria gasto na auditoria de certificação inicial. O Organismo de Certificação deve obter uma atualização de dados dos clientes relacionados com seu sistema de gestão como parte de cada auditoria de supervisão. O planejamento do tempo de auditoria de supervisão deve ser revisto de tempos em tempos, pelo menos a cada auditoria de supervisão e sempre no momento da recertificação, levando em conta as mudanças na organização, maturidade do sistema, etc. A evidência de revisão, incluindo os ajustes para o tempo de auditoria, devem ser registrados.

Nota: É improvável que uma auditoria de supervisão dure menos do que um (1) Auditor Dia.

NIT-DICOR-054 REV.

09 PÁGINA

28/56

6. RECERTIFICAÇÃO Recomenda-se que o tempo de auditoria de recertificação seja calculado com base na informação atualizada do cliente e seja, normalmente, cerca de 2/3 do tempo de auditoria que seria necessário para uma auditoria de certificação inicial (Fase 1 + Fase 2) da organização, se uma auditoria inicial fosse realizada no momento da recertificação (i.e. não 2/3 do tempo de auditoria de certificação inicial original). O tempo de auditoria de sistema de gestão deve levar em conta o resultado da avaliação de desempenho do sistema (ABNT NBR ISO/IEC 17021 requisito 9.4.1.2). A avaliação do desempenho do sistema em si não faz parte do tempo de auditoria para as auditorias de recertificação. Nota: É improvável que uma auditoria de recertificação dure menos do que um (1) Auditor Dia. 7. SEGUNDO E SUBSEQUENTES CICLOS DE CERTIFICAÇÃO INDIVIDUALIZADOS Para o segundo e subsequentes ciclos de certificação, o OC pode optar por planejar um programa individualizado de supervisão e recertificação (ver IAF MD3 de Supervisão Avançada e Procedimentos de Recertificação - ASRP) com a aprovação do Organismo de Acreditação. Se uma abordagem definida no MD3 não for escolhida, o tempo de auditoria de sistema de gestão deveria ser calculado como indicado nas Cláusulas 5 e 6. 8. FATORES PARA AJUSTE DO TEMPO DE AUDITORIA DE SISTEMAS DE GESTÃO (SGQ E

SGA) Os fatores adicionais que precisam ser considerados incluem os abaixo, mas não se limitam a:

i) Aumento no tempo de auditoria de sistemas de gestão

a. Logística complicada envolvendo mais de um edifício ou locação onde o trabalho é realizado, por exemplo, um Centro de Design em separado, deve ser auditado;

b. Colaboradores que falam mais de um idioma (requerendo intérprete ou impedindo os auditores de trabalharem individualmente);

c. Local muito grande para o número de pessoal (por exemplo, uma floresta); d. Alto grau de regulação (exemplo: alimentos, drogas, aeroespacial, energia nuclear,

etc); e. O sistema abrange processos altamente complexos ou número relativamente elevado

de atividades exclusivas; f. Atividades que requeiram visitas a sites temporários a fim de confirmar as atividades

do site permanente, cujo sistema de gestão é objeto de certificação. g. Funções ou processos terceirizados.

ii) Aumento no tempo de auditoria de Sistemas de Gestão da Qualidade somente

a. Atividades consideradas de alto risco (ver Anexo A, Tabela SGQ 2).

iii) Aumento no tempo de auditoria para Sistemas de Gestão Ambiental somente: a. Maior sensibilidade do meio ambiente receptor comparado ao local típico do setor

industrial; b. Opiniões das partes interessadas; c. Aspectos indiretos necessitando de aumento de tempo da auditoria; d. Aspectos ambientais adicionais ou incomuns, ou ainda condições regulamentadas para

o setor. e. Riscos de acidentes ambientais e impactos que surjam ou possam surgir em

NIT-DICOR-054 REV.

09 PÁGINA

29/56

consequência de incidentes, acidentes, situações de emergência potencial e problemas ambientais anteriores que a organização tenha contribuído.

iv) Diminuição do tempo de auditoria de Sistemas de Gestão:

a. O cliente não é “responsável pelo projeto” ou outros elementos padrão que não estejam cobertos pelo escopo (apenas SGQ);

b. Local muito pequeno para o número de pessoas (ex.: apenas complexo de escritórios); c. Maturidade do sistema de gestão; d. Conhecimento prévio do sistema de gestão do cliente (ex.: já certificado por uma outra

norma pelo mesmo Organismo de Certificação); e. Preparação do cliente para a certificação (ex.: já certificado ou reconhecido por outro

esquema de terceira parte); Nota: se a auditoria for conduzida de acordo com o IAF MD11, esta justificativa é inválida como redução e será calculada como integração.

f. Alto nível de automação; g. Onde os colaboradores incluem um número de pessoas que trabalham “fora do local”,

por exemplo, vendedores, motoristas, pessoal de manutenção, etc, e é possível auditar substancialmente o cumprimento de suas atividades com o sistema através de análise de registros;

h. Atividades consideradas de baixo risco (ver Anexo A, Tabela SGQ2 para exemplos e Tabela SGA2). Atividades de baixa complexidade, por exemplo:

Processos que envolvam atividades similares e repetitivas (ex.: Serviços, somente); Atividades idênticas realizadas em todos os turnos com evidências adequadas de desempenho equivalente em todos os turnos; Onde uma proporção significativa dos colaboradores executam uma função simples. Processos repetitivos dentro do escopo (quando os empregados realizam atividades repetitivas);

Todos os atributos do sistema do cliente, processos e produtos/serviços devem ser considerados e um ajuste feito para aqueles fatores que poderiam justificar maior ou menor tempo de auditoria para uma auditoria eficaz. Fatores adicionais podem ser compensados por fatores de subtração. Nota 1: Fatores de subtração podem ser utilizados uma única vez para cada cálculo para cada organização cliente. Nota 2: Outros fatores a serem considerados no cálculo do tempo de auditoria de sistemas de gestão integrados são abordados no IAF MD 11. 9. SITES TEMPORÁRIOS 9.1 Em situaç�