Projeto ISO 17021 (2011) - Avaliação de conformidade – Requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão.pdf

ABNT/CB-25 PROJETO ABNT NBR ISO/IEC 17021

MARO 2011

NO TEM VALOR NORMATIVO

Avaliao de conformidade Requisitos para organismos que fornecem auditoria e certificao de sistemas de gesto

APRESENTAO

1) Este Projeto de Reviso foi elaborado pela Comisso de Estudo de Estudo da Qualidade (CE-25:000.04) do Comit Brasileiro da Qualidade (ABNT/CB-25), nas reunies de:

2) Este Projeto de Reviso previsto para cancelar e substituir a edio anterior (ABNT NBR 17021:2006), quando aprovado, sendo que nesse nterim a referida norma continua em vigor.

3) Previsto para ser equivalente ISO/IEC 17021:2011;

4) No tem valor normativo;

5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informao em seus comentrios, com documentao comprobatria;

6) Este Projeto de Norma ser diagramado conforme as regras de editorao da ABNT quando de sua publicao como Norma Brasileira.

7) Tomaram parte na elaborao deste Projeto:

Participante Representante

ABENDE Joo Antonio Conte

ABNT Katia Fernandes da Silva

ABS Fernando de Arago Pimenta

FCAV Jos Salvador da Silva Filho

FURNAS Augusto Balparda de Carvalho

Jorge Luiz da Silva Carvalho

ICQ BRASIL Tatiana Renata P. Juc;

Dayana Costa F. Brito -

INMETRO Alex Sandro Malaquias da Silva

Aldoney F. Costa

16.03.2011


MARO 2011

NO TEM VALOR NORMATIVO 2/2

INMETRO Altamiro de O. Filho

Altino da Silva Marques

Ana Beatriz de Mello

Ana Carolina Faria

Ana Paula G. Stutzel

Annalina Camboim

Andreia Quintana

Adriana Rocha

Joana Darc Brito

Luiz Carlos Arigoni

Luiz Carlos Cipriano

Maria Regina A. Souza

Maria Teresa R. Rezende

Manuela Ferreira Silvestre

Millene Cleto da Fonseca

Paula Silva Pinto

Paulo Coelho - Inmetro

Regina A. Vimercati

Ricardo Nbrega

Sandra Magalhes Saraiva

Sergio Paulo Packer

Simone Pinto Rodriguez

TUV RHEINLAND Karen Carolina Martins

Plinio Pereira

Suzete Suzuki


MARO 2011

1

Avaliao de conformidade Requisitos para organismos que fornecem auditoria e certificao de sistemas de gesto

Conformity assessment Requirements for bodies providing audit and certification of management systems

Prefcio Nacional

A ABNT - Associao Brasileira de Normas Tcnicas - o Frum Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (CB) e dos Organismos de Normalizao Setorial (ONS), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).

A Associao Brasileira de Normas Tcnicas (ABNT) chama ateno para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT no deve ser considerada responsvel pela identificao de quaisquer direitos de patente.

Scope

This International Standard contains principles and requirements for the competence, consistency and impartiality of the audit and certification of management systems of all types (e.g. quality management systems or environmental management systems) and for bodies providing these activities. Certification bodies operating to this International Standard need not offer all types of management system certification. Certification of management systems (named in this International Standard certification) is a third-party conformity assessment activity (see ISO/IEC 17000:2004, 5.5). Bodies performing this activity are therefore third-party conformity assessment bodies (named in this International Standard certification body/bodies). NOTE 1 Certification of a management system is sometimes also called registration, and certification bodies are sometimes called registrars.

NOTE 2 A certification body can be non-governmental or governmental (with or without regulatory authority).

NOTE 3 This International Standard can be used as a criteria document for accreditation or peer assessment or other audit processes.


MARO 2011

2

Introduo

A certificao de um sistema de gesto, tal como um sistema de gesto da qualidade ou ambiental de uma organizao, um meio de garantir que a organizao implementou um sistema para a gesto dos aspectos pertinentes de suas atividades, alinhados com sua poltica.

Esta Norma especifica requisitos para organismos de certificao. O atendimento a estes requisitos tem a inteno de assegurar que os organismos de certificao operem a certificao de sistemas de gesto de maneira competente, coerente e imparcial, facilitando, assim, o reconhecimento de tais organismos e a aceitao nacional e internacional de suas certificaes. Esta Norma serve como base para facilitar o reconhecimento da certificao de sistemas de gesto, a fim de promover o comrcio internacional.

A certificao de um sistema de gesto oferece a demonstrao independente de que o sistema de gesto da organizao:

a) est conforme requisitos especificados;

b) capaz de alcanar, com coerncia, sua poltica declarada e respectivos objetivos, e

c) est implementado com eficcia.

A avaliao da conformidade, tal como a certificao de um sistema de gesto, oferece valor organizao, seus clientes e partes interessadas.

Nesta Norma, a seo 4 descreve os princpios adotados como base para uma certificao confivel. Estes princpios auxiliam o leitor a entender a natureza essencial da certificao e so uma introduo necessria para as sees 5 a 10. Alm disso, estes princpios sustentam todos os requisitos desta Norma, mas no so requisitos auditveis por si s. A seo 10 descreve dois modos alternativos de apoiar e demonstrar o atendimento coerente dos requisitos desta Norma por meio do estabelecimento de um sistema de gesto pelo organismo de certificao.

Esta Norma destina-se ao uso pelos organismos que realizam auditoria e certificao de sistemas de gesto. Ela fornece requisitos gerais para organismos de certificao que realizam auditoria e certificao na rea de sistemas de gesto da qualidade, ambiental e outras formas de sistemas de gesto. Tais organismos so denominados organismos de certificao. Entretanto, no convm que tal denominao seja um obstculo para o uso desta Norma por organismos com outras designaes que realizem atividades cobertas pelo escopo deste documento.

As atividades de certificao envolvem a auditoria do sistema de gesto de uma organizao. Em geral, a forma de atestao da conformidade do sistema de gesto de uma organizao em relao a uma norma especfica de sistema de gesto ou a outros requisitos normativos representada por um documento de certificao ou um certificado.

A publicao desta Norma inclui o texto da ISO/IEC 17021:2006, emendas para excluir referncias pertinentes ISO 19011 e novo texto com requisitos especficos para auditoria de certificao de terceira-parte e gesto da competncia do pessoal envolvido em certificao.


MARO 2011

3

Foram identificadas necessidades especficas do mercado resultantes de uma falta de requisitos especficos e reconhecidos de auditores de terceira-parte de sistemas de gesto, tais como sistemas de gesto da qualidade, sistemas de gesto ambiental ou de segurana alimentar. A falta de requisitos para competncia de auditores e para o modo de gesto e utilizao desses auditores foi identificada por importantes partes interessadas, incluindo o setor industrial, como sendo uma desvantagem.

Esta Norma oferece um conjunto de requisitos genricos para auditoria de sistemas de gesto, visando fornecer uma determinao confivel da conformidade aos requisitos aplicveis para certificao, realizados por uma equipe auditora competente, com recursos adequados, seguindo um processo coerente e relatando os resultados de maneira condizente.

Esta Norma aplicvel para auditoria e certificao de qualquer tipo de sistema de gesto. Sabe-se que alguns dos requisitos e, em particular, aqueles relacionados com a competncia de auditores, podem ser complementados com critrios adicionais a fim de atingir as expectativas das partes interessadas.

Nesta Norma, a palavra deve indica um requisito e a palavra deveria ou convm uma recomendao.

1 Escopo

Esta Norma contm princpios e requisitos para a competncia, coerncia e imparcialidade da auditoria e certificao de sistemas de gesto de todos os tipos (por exemplo, sistemas de gesto da qualidade ou sistemas de gesto ambiental) e para os organismos que oferecem estas atividades. Os organismos de certificao que operam de acordo com esta Norma no precisam oferecer todos os tipos de certificao de sistemas de gesto.

A certificao de sistemas de gesto (denominada certificao nesta Norma) uma atividade de avaliao da conformidade de terceira-parte (ver 5.5 da ABNT NBR ISO/IEC 17000:2005).Os organismos que realizam esta atividade so, portanto, organismos de avaliao da conformidade de terceira-parte denominados organismos de certificao nesta Norma.

NOTA 1 Algumas vezes, a certificao de um sistema de gesto tambm chamada de registro e os organismos de certificao so chamados de registradores.

NOTA 2 Um organismo de certificao pode ou no ser uma instituio governamental (com ou sem autoridade regulamentadora).

NOTA 3 Esta Norma pode ser usada como um documento de critrios para acreditao ou avaliao de pares ou outros processos de auditoria.

2 Referncias normativas

Os documentos relacionados a seguir so indispensveis aplicao deste documento. Para referncias datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies mais recentes do referido documento (incluindo emendas).

ABNT NBR ISO 9000:2005, Sistemas de gesto da qualidade Fundamentos e vocabulrio

ABNT NBR ISO/IEC 17000:2005, Avaliao de conformidade Vocabulrio e princpios gerais


MARO 2011

4

3 Termos e definies

Para os efeitos deste documento, aplicam-se os seguintes termos e definies.

3.1 cliente certificado organizao cujo sistema de gesto foi certificado

3.2 imparcialidade presena real e perceptvel de objetividade

NOTA 1 A objetividade implica a ausncia de conflitos de interesse ou a sua resoluo de modo a no influenciar de forma adversa as atividades subsequentes do organismo de certificao.

NOTA 2 Outros termos teis para entender o elemento de imparcialidade so: objetividade, independncia, ausncia de conflitos de interesse, ausncia de tendncias, no discriminao, neutralidade, equidade, mente aberta, justia, desprendimento, equilbrio.

3.3 consultoria de sistema de gesto participao na elaborao, implementao ou manuteno de um sistema de gesto

EXEMPLOS:

a) preparao ou produo de manuais ou procedimentos; e

b) fornecimento de assessoria, instrues ou solues especficas com relao ao desenvolvimento e implementao de um sistema de gesto.

NOTA Organizar treinamentos e participar como instrutor no considerado consultoria, desde que ao tratar de assuntos relacionados a sistemas de gesto ou auditoria, o treinamento se restrinja ao fornecimento de informaes genricas que estejam amplamente disponveis ao pblico, isto , no convm que o instrutor oferea solues especficas para a empresa.

3.4 auditoria de certificao de terceira-parte auditoria realizada por uma organizao de auditoria independente do cliente e do usurio, para fins de certificao do sistema de gesto do cliente

NOTA 1 Nas definies a seguir, o termo auditoria foi usado por simplicidade para referir-se s auditorias de certificao de terceira-parte.

NOTA 2 Auditorias de certificao de terceira-parte incluem auditorias iniciais, de superviso e de recertificao e tambm podem incluir auditorias especiais.

NOTA 3 Auditorias de certificao de terceira-parte so tipicamente realizadas por equipes de auditoria dos organismos que oferecem certificao de conformidade aos requisitos das normas de sistemas de gesto.

NOTA 4 Define-se como auditoria conjunta quando duas ou mais organizaes de auditoria cooperam para auditar um nico cliente.

NOTA 5 Define-se como auditoria combinada quando um cliente auditado contra os requisitos de duas ou mais normas de sistemas de gesto juntas.


MARO 2011

5

NOTA 6 Define-se como auditoria integrada quando um cliente integrou a aplicao dos requisitos de duas ou mais normas de sistemas de gesto em um nico sistema de gesto e auditado contra mais de uma norma.

3.5 cliente organizao cujo sistema de gesto auditado para fins de certificao

3.6 auditor pessoa que realiza uma auditoria

3.7 competncia capacidade para aplicar conhecimento e habilidades para conseguir os resultados pretendidos

3.8 guia pessoa designada pelo cliente para auxiliar a equipe auditora

3.9 observador pessoa que acompanha a equipe auditora, mas no audita

3.10 rea tcnica rea caracterizada por processos com caractersticas comuns pertinentes a um tipo especfico de sistema de gesto

4 Princpios

4.1 Generalidades

4.1.1 Esses princpios so a base para o desempenho especfico subsequente e para os requisitos descritos nesta Norma, a qual no oferece requisitos especficos para todas as situaes que possam ocorrer. Convm aplicar estes princpios como orientao para tomar decises que podero ser necessrias em situaes imprevistas. Princpios no so requisitos.

4.1.2 O objetivo geral da certificao proporcionar confiana a todas as partes de que um sistema de gesto atende a requisitos especficos. O valor da certificao o grau de confiana pblica estabelecida por meio de uma avaliao competente e imparcial, realizada por uma terceira-parte. As partes com interesse na certificao incluem, dentre outras:

a) clientes dos organismos de certificao;

b) clientes das organizaes cujos sistemas de gesto esto certificados;

c) autoridades governamentais;

d) organizaes no-governamentais; e

e) consumidores e outros membros do pblico.


MARO 2011

6

4.1.3 Os princpios para inspirar confiana incluem:

imparcialidade;

competncia;

responsabilidade;

transparncia;

confidencialidade; e

capacidade de resposta a reclamaes.

4.2 Imparcialidade

4.2.1 Para que um organismo de certificao possa oferecer uma certificao que proporcione confiana necessrio que ele seja imparcial e percebido como tal.

4.2.2 O fato da fonte de receita de um organismo de certificao provir do pagamento de seu cliente pela certificao constitui uma ameaa potencial imparcialidade.

4.2.3 Para obter e manter a confiana, essencial que as decises de um organismo de certificao sejam baseadas em evidncias objetivas de conformidade (ou no-conformidade) obtidas pelo organismo de certificao, e que suas decises no sejam influenciadas por outros interesses ou por outras partes.

4.2.4 As ameaas imparcialidade incluem:

a) Ameaas de interesse prprio: ameaas que surgem de uma pessoa ou organismo que atuam em seu prprio interesse. O interesse financeiro prprio representa uma ameaa suscetvel de comprometer a imparcialidade de uma certificao.

b) Ameaas de auto-avaliao: ameaas que surgem de uma pessoa ou organismo que avalia o seu prprio trabalho. A auditoria dos sistemas de gesto de um cliente para o qual o organismo de certificao forneceu consultoria sobre sistemas de gesto seria uma ameaa deste tipo.

c) Ameaas de familiaridade (ou confiana): ameaas que surgem de uma pessoa ou organismo que, por ser muito familiar ou confiante em outra pessoa, no procura evidncias de auditoria.

d) Ameaas de intimidao: ameaas que surgem de uma pessoa ou organismo ao perceber que est sendo coagido em pblico ou discretamente, como, por exemplo, uma ameaa de ser substitudo ou denunciado a um supervisor.

4.3 Competncia

A competncia do pessoal mantido pelo sistema de gesto do organismo de certificao necessria para oferecer uma certificao que proporcione confiana.


MARO 2011

7

4.4 Responsabilidade

4.4.1 A organizao cliente, e no o organismo de certificao, quem possui a responsabilidade pela conformidade com os requisitos para certificao.

4.4.2 O organismo de certificao responsvel por avaliar evidncias objetivas suficientes nas quais possa basear uma deciso de certificao. Com base nas concluses de auditoria, o organismo toma a deciso de conceder a certificao se houver evidncia suficiente de conformidade, ou de no conceder a certificao se no houver evidncia suficiente de conformidade.

NOTA Qualquer auditoria baseia-se em amostragem dentro do sistema de gesto de uma organizao e, portanto, no uma garantia de 100% de conformidade com os requisitos.

4.5 Transparncia

4.5.1 Um organismo de certificao precisa oferecer acesso pblico ou divulgar informaes apropriadas e oportunas sobre seu processo de auditoria e de certificao, e sobre a situao da certificao (ou seja, a concesso, extenso, manuteno, renovao, suspenso, reduo do escopo ou cancelamento da certificao) de qualquer organizao, a fim de obter confiana na integridade e credibilidade das certificaes. Transparncia um princpio de acesso ou divulgao de informaes apropriadas.

4.5.2 Para obter ou manter confiana na certificao, convm que um organismo de certificao oferea acesso apropriado ou divulgue informaes, que no sejam confidenciais, sobre as concluses de auditorias especficas (por exemplo, auditorias em resposta a reclamaes), a partes interessadas especficas.

4.6 Confidencialidade

Para obter acesso privilegiado s informaes que so necessrias para avaliar adequadamente a conformidade com os requisitos de certificao, essencial que o organismo de certificao mantenha confidenciais quaisquer informaes privadas sobre um cliente.

4.7 Capacidade de resposta a reclamaes

As partes que confiam na certificao esperam ter as suas reclamaes investigadas e, caso sejam procedentes, deveriam ter confiana que as reclamaes sero tratadas adequadamente e com razovel empenho para solucion-las. A eficcia da capacidade de resposta a reclamaes um meio importante de proteo para o organismo de certificao, seus clientes e outros usurios de certificao contra erros, omisses ou comportamento imprprio. A confiana nas atividades de certificao salvaguardada quando as reclamaes so tratadas adequadamente.

NOTA necessrio manter um equilbrio adequado entre os princpios de transparncia e confidencialidade, inclusive capacidade de resposta a reclamaes, a fim de demonstrar integridade e credibilidade para todos os usurios de certificao.


MARO 2011

8

5 Requisitos gerais

5.1 Aspectos legais e contratuais

5.1.1 Responsabilidade legal

O organismo de certificao deve ser uma entidade com personalidade jurdica prpria, ou uma parte definida de uma entidade com personalidade jurdica prpria, de tal forma que possa ser responsvel legalmente por todas as suas atividades de certificao. Um organismo de certificao governamental considerado entidade legal com base em seu estatuto governamental.

5.1.2 Contrato de certificao

O organismo de certificao deve ter um contrato legal e vigente para o fornecimento de atividades de certificao para seus clientes. Alm disso, quando os organismos de certificao possurem diversos escritrios ou um cliente possuir vrios locais, o organismo de certificao deve assegurar a existncia de um contrato legal e vigente entre o organismo de certificao, que concede a certificao e emite um certificado, e todos os locais cobertos pelo escopo da certificao.

5.1.3 Responsabilidade pelas decises de certificao

O organismo de certificao deve ser responsvel e manter autoridade por suas decises em relao certificao, incluindo concesso, manuteno, renovao, extenso, reduo, suspenso e cancelamento da certificao.

5.2 Gesto da imparcialidade

5.2.1 O organismo de certificao deve ter o comprometimento da Alta direo na imparcialidade das atividades de certificao de sistemas de gesto. O organismo de certificao deve possuir uma declarao, acessvel ao pblico, de que entende a importncia da imparcialidade na realizao de suas atividades de certificao de sistemas de gesto, gerencia os conflitos de interesse e assegura a objetividade dessas atividades de certificao de sistemas de gesto.

5.2.2 O organismo de certificao deve identificar, analisar e documentar as possibilidades de conflito de interesses provenientes do fornecimento de certificao, incluindo quaisquer conflitos resultantes de seus relacionamentos. O fato de um organismo de certificao possuir relacionamentos no significa necessariamente um conflito de interesses. Entretanto, se qualquer relacionamento causar uma ameaa imparcialidade, o organismo de certificao deve documentar e ser capaz de demonstrar como ele elimina ou minimiza tais ameaas. Essas informaes devem estar disponveis para o comit definido em 6.2. A demonstrao deve cobrir todas as fontes potenciais de conflito de interesses identificados, oriundos de dentro do organismo de certificao ou das atividades de outras pessoas, organismos ou organizaes.

NOTA Um relacionamento que ameaa a imparcialidade do organismo de certificao pode basear-se em propriedade, direo, gesto, pessoal, recursos compartilhados, situao financeira, contratos, marketing e pagamento de uma comisso sobre vendas ou outras situaes que induzam a entrada de novos clientes etc.


MARO 2011

9

5.2.3 Quando um relacionamento apresenta uma ameaa inaceitvel imparcialidade, tal como uma filial que pertence inteiramente ao organismo de certificao solicitando ser certificada por seu proprietrio, a certificao no deve ser fornecida.

NOTA Ver Nota de 5.2.2.

5.2.4 Um organismo de certificao no deve certificar outro organismo de certificao para suas atividades de certificao de sistemas de gesto.


5.2.5 O organismo de certificao e qualquer parte da mesma entidade legal no devem oferecer ou fornecer consultoria em sistema de gesto. Essa restrio tambm se aplica parte da entidade governamental identificada como organismo de certificao.

5.2.6 O organismo de certificao e qualquer parte da mesma entidade legal no devem oferecer ou fornecer auditorias internas para seus clientes certificados. O organismo de certificao no deve certificar um sistema de gesto no qual tenha realizado auditorias internas nos dois anos seguintes ao final das auditorias internas. Essa restrio tambm se aplica parte da entidade governamental identificada como organismo de certificao.


5.2.7 O organismo de certificao no deve certificar um sistema de gesto no qual um cliente recebeu consultoria em sistemas de gesto ou auditorias internas, quando o relacionamento entre a organizao consultora e o organismo de certificao apresentar uma ameaa inaceitvel imparcialidade do organismo de certificao.

NOTA1 Uma maneira de reduzir a ameaa imparcialidade a um nvel aceitvel deixar transcorrer um perodo mnimo de dois anos aps o final da consultoria em sistema de gesto.

NOTA 2 Ver Nota de 5.2.2.

5.2.8 O organismo de certificao no deve terceirizar auditorias a uma organizao de consultoria em sistema de gesto, visto que essa situao constitui uma ameaa inaceitvel imparcialidade do organismo de certificao (ver 7.5). Isso no se aplica a pessoas contratadas como auditores, conforme 7.3.

5.2.9 As atividades do organismo de certificao no devem ser negociadas ou oferecidas ligadas com as atividades de uma organizao que fornece consultoria de sistema de gesto. O organismo de certificao deve tomar aes para corrigir declaraes inadequadas de qualquer organizao de consultoria que afirme ou infira que a certificao seria mais simples, mais fcil, mais rpida ou menos dispendiosa se o organismo de certificao fosse usado. O organismo de certificao no deve afirmar ou inferir que a certificao seria mais simples, mais fcil, mais rpida ou menos dispendiosa se uma determinada organizao que fornece consultoria fosse usada.

5.2.10 Para assegurar que no h conflito de interesses, o pessoal que forneceu consultoria em sistema de gesto, inclusive aqueles atuando em uma funo gerencial, no deve ser usado pelo organismo de certificao para participar em auditorias ou outras atividades de certificao, se eles estiveram envolvidos em consultoria em sistema de gesto em relao ao cliente em questo a menos de dois anos aps o final da consultoria.


MARO 2011

10

5.2.11 O organismo de certificao deve tomar aes para responder a quaisquer ameaas a sua imparcialidade resultantes das aes de outras pessoas, organismos ou organizaes.

5.2.12 Todo o pessoal do organismo de certificao, interno ou externo, ou comits, que possam influenciar as atividades de certificao, devem agir de forma imparcial e no devem permitir que presses comerciais, financeiras ou de outros tipos comprometam a imparcialidade.

5.2.13 Os organismos de certificao devem exigir que o seu pessoal, interno e externo, revele qualquer situao conhecida que possa oferecer um conflito de interesses a si prprio ou ao organismo de certificao. Alm disso, os organismos de certificao devem usar essas informaes como entrada para identificar ameaas imparcialidade causadas pelas atividades de seu pessoal ou pelas organizaes que os empregam, e no devem usar esse pessoal, interno ou externo, a menos que possam demonstrar ausncia de conflito de interesses.

5.3 Responsabilidade civil e finanas

5.3.1 O organismo de certificao deve ser capaz de demonstrar que avaliou os riscos resultantes de suas atividades de certificao e que possui medidas adequadas (por exemplo, seguro ou fundos de reserva) para cobrir as responsabilidades civis resultantes de suas operaes em cada um de seus campos de atividade e nas reas geogrficas nas quais opera.

5.3.2 O organismo de certificao deve avaliar seus recursos financeiros e suas fontes de renda, e demonstrar ao comit especificado em 6.2 que inicialmente, e de forma ininterrupta, as presses comerciais, financeiras ou de outros tipos no comprometem sua imparcialidade.

6 Requisitos de estrutura

6.1 Estrutura organizacional e Alta Direo

6.1.1 O organismo de certificao deve documentar a sua estrutura organizacional, apresentando deveres, responsabilidades e autoridades da direo, do pessoal de certificao e de quaisquer comits. Quando o organismo de certificao for uma parte definida de uma entidade legal, a estrutura deve incluir a linha de autoridade e o relacionamento com outras partes dentro da mesma entidade legal.

6.1.2 O organismo de certificao deve identificar a Alta Direo (comits, grupo de pessoas ou pessoa) que detm autoridade e responsabilidade total por cada uma das seguintes atividades:

a) desenvolvimento de polticas relacionadas com o funcionamento do organismo;

b) superviso da implementao das polticas e procedimentos;

c) superviso das finanas do organismo;

d) desenvolvimento de servios e esquemas de certificao de sistemas de gesto;

e) realizao de auditorias e de certificao e capacidade de resposta a reclamaes;

f) decises sobre certificao;


MARO 2011

11

g) delegao de autoridade a comits ou pessoas, conforme necessrio, para executar atividades definidas em seu nome;

h) disposies contratuais;

i) fornecimento de recursos adequados para atividades de certificao.

6.1.3 O organismo de certificao deve possuir regras formais para a designao, termos de referncia (atribuies) e operao de quaisquer comits envolvidos nas atividades de certificao.

6.2 Comit para salvaguardar a imparcialidade

6.2.1 A estrutura do organismo de certificao deve salvaguardar a imparcialidade de suas atividades e deve prover um comit para:

a) auxiliar no desenvolvimento das polticas relativas imparcialidade de suas atividades de certificao;

b) impedir qualquer tendncia por parte de um organismo de certificao em permitir que interesses comerciais ou outros impeam a proviso regular e objetiva de atividades de certificao;

c) aconselhar sobre questes que afetem a confiana na certificao, incluindo transparncia e imagem pblica; e

d) realizar uma anlise crtica, no mnimo uma vez por ano, da imparcialidade dos processos de auditoria, certificao e tomada de deciso do organismo de certificao.

Outras tarefas ou deveres podem ser atribudos ao comit, desde que no comprometam o seu papel fundamental de assegurar a imparcialidade.

6.2.2 A composio, termos de referncia (atribuies), deveres, autoridades, competncia de membros e responsabilidades desse comit devem ser formalmente documentados e autorizados pela Alta Direo do organismo de certificao para assegurar:

a) representao de um equilbrio de interesses, no qual no predomine qualquer interesse individual (pessoal interno ou externo do organismo de certificao considerado como um nico interesse, e no deve predominar);

b) acesso a todas as informaes necessrias para possibilitar ao comit o cumprimento de suas funes (ver tambm 5.2.2 e 5.3.2); e

c) que, se a Alta Direo do organismo de certificao no respeitar os conselhos desse comit, o comit deve ter o direito de tomar aes independentes (por exemplo: informar autoridades, organismos de acreditao, partes interessadas). Ao tomar aes independentes, os comits devem respeitar os requisitos de confidencialidade de 8.5, relativos ao cliente e ao organismo de certificao.

6.2.3 Embora esse comit no possa representar todos os interesses, convm que o organismo de certificao identifique e convide os interesses essenciais. Tais interesses podem incluir: clientes do organismo de certificao, clientes de organizaes cujos sistemas de gesto esto certificados, representantes de associaes do comrcio e da indstria,


MARO 2011

12

representantes de rgos reguladores do governo ou de outros servios governamentais, ou representantes de organizaes no-governamentais, inclusive organizaes de consumidores.

7 Requisitos de recursos

7.1 Competncia da direo e do pessoal

7.1.1 Consideraes gerais

O organismo de certificao deve ter processos para assegurar que o pessoal possui conhecimento adequado pertinente aos tipos de sistemas de gesto e reas geogrficas nos quais opera.

Ele deve determinar a competncia necessria para cada rea tcnica (conforme pertinente para o esquema especfico de certificao) e para cada funo na atividade de certificao.

Ele deve determinar os meios para a demonstrao de competncia antes da realizao de funes especficas.

7.1.2 Determinao de critrios de competncia

O organismo de certificao deve ter um processo documentado para determinar os critrios de competncia para o pessoal envolvido na gesto e realizao de auditorias e certificao. Os critrios de competncia devem ser determinados em relao aos requisitos de cada tipo de norma ou especificao de sistema de gesto, para cada rea tcnica e para cada funo no processo de certificao. A sada do processo deve ser constituda pelos critrios documentados para o conhecimento e habilidades exigidos, necessrios para executar com eficcia as tarefas de auditoria e certificao, a serem cumpridos a fim de alcanar os resultados pretendidos. O Anexo A especifica o conhecimento e as habilidades que um organismo de certificao deve definir para funes especficas. Nos casos em que tenham sido estabelecidos critrios de competncia adicionais especficos para um esquema especfico de certificao, por exemplo, ABNT ISO/TS 22003 (Sistemas de gesto da segurana de alimentos), esses critrios devem ser aplicados.

NOTA O termo 'rea tcnica pode ser empregado de maneiras diferentes dependendo da norma de sistema de gesto considerada. Para qualquer sistema de gesto, o termo relativo a produtos e processos no contexto do escopo da norma de sistema de gesto. As reas tcnicas podem ser definidas por um esquema especfico de certificao (por exemplo, ABNT ISO/TS 22003); ou podem ser determinadas pelo organismo de certificao. A seguir citam-se exemplos da aplicao do termo rea tcnica para diferentes tipos de sistemas de gesto:

Para uma norma de sistema de gesto da qualidade, o termo rea tcnica relativo aos processos necessrios para atender s expectativas dos clientes e aos requisitos estatutrios e regulamentares aplicveis para os produtos e servios da organizao;

Para uma norma de sistema de gesto ambiental, o termo rea tcnica relativo s categorias de atividades, produtos e servios relacionados com os aspectos ambientais que afetam o ar, gua, solo, recursos naturais, flora, fauna e seres humanos;

Para uma norma de sistema de gesto de segurana para a cadeia logstica, o termo 'rea tcnica relativo aos processos no contexto do risco de segurana de estoques, tais como transporte, armazenamento e informaes;


MARO 2011

13

Para uma norma de sistema de gesto de segurana da informao, o termo rea tcnica relativo, entre outros, s categorias de tecnologias e prticas de segurana da informao, tecnologias de comunicao e informao e atividades de negcios relacionados seleo de controles de segurana adequados e proporcionais que protegem os ativos de informaes.

7.1.3 Processos de avaliao

O organismo de certificao deve ter processos documentados para a avaliao inicial da competncia, e o monitoramento contnuo da competncia e desempenho de todo pessoal envolvido na gesto e realizao de auditorias e certificao, aplicando os critrios determinados de competncia. O organismo de certificao deve demonstrar que seus mtodos de avaliao so eficazes. A sada desses processos deve ser a identificao do pessoal que demonstrou o nvel de competncia exigido para as diferentes funes dos processos de auditoria e certificao.

NOTA O Anexo B descreve diversos mtodos de avaliao que podem ser usados para avaliar o conhecimento e habilidades.

7.1.4 Outras consideraes

7.1.4.1 Ao determinar os requisitos de competncia para seu pessoal que executa certificao, o organismo de certificao deve considerar as funes empreendidas pela direo e pelo pessoal administrativo, alm daqueles envolvidos diretamente com atividades de auditoria e certificao.

7.1.4.2 O organismo de certificao deve ter acesso ao conhecimento tcnico necessrio para aconselhamento em questes diretamente relacionadas certificao para reas tcnicas, tipos de sistema de gesto e reas geogrficas nas quais o organismo de certificao opera. Este aconselhamento pode ser fornecido externamente ou pelo pessoal do organismo de certificao.

7.2 Pessoal envolvido nas atividades de certificao

7.2.1 O organismo de certificao deve possuir, como parte de sua prpria organizao, pessoal com competncia suficiente para gerenciar o tipo e o mbito de programas de auditoria e de outras atividades de certificao desenvolvidas.

7.2.2 O organismo de certificao deve empregar ou ter acesso a um nmero suficiente de auditores, incluindo auditores lderes e especialistas tcnicos, para cobrir todas as suas atividades e para tratar o volume de servios de auditoria realizados.

7.2.3 O organismo de certificao deve esclarecer para cada pessoa envolvida seus deveres, responsabilidades e autoridades.

7.2.4 O organismo de certificao deve ter processos definidos para selecionar, treinar e nomear formalmente os auditores, e para selecionar os especialistas tcnicos usados na atividade de certificao. A avaliao inicial da competncia de um auditor deve incluir a capacidade de aplicar o conhecimento e habilidades necessrios durante as auditorias, conforme determinado por um avaliador competente ao observar o auditor realizando uma auditoria.

NOTA Durante o processo de seleo e treinamento descrito acima, comportamentos pessoais desejados podem ser considerados. Essas so caractersticas que afetam a capacidade de um


MARO 2011

14

indivduo para realizar funes especficas. Portanto, o conhecimento sobre o comportamento dos indivduos possibilita que o organismo de certificao tire proveito de seus pontos fortes e minimize o impacto de suas fraquezas. Os comportamentos pessoais desejados, que so importantes para o pessoal envolvido nas atividades de certificao, esto descritos no Anexo D.

7.2.5 O organismo de certificao deve ter um processo para realizar e demonstrar uma auditoria eficaz, incluindo o uso de auditores e auditores-lderes com conhecimento e habilidades genricas de auditoria, assim como conhecimento e habilidades adequadas para auditoria nas reas tcnicas especficas.

7.2.6 O organismo de certificao deve assegurar que auditores e, quando necessrio, especialistas tcnicos, estejam bem informados de seus processos de auditoria, requisitos de certificao e outros requisitos pertinentes. O organismo de certificao deve fornecer aos auditores e especialistas tcnicos acesso a um conjunto atualizado de procedimentos documentados, contendo instrues de auditoria e todas as informaes pertinentes sobre as atividades de certificao.

7.2.7 O organismo de certificao deve usar auditores e especialistas tcnicos apenas para aquelas atividades de certificao onde eles tenham demonstrado competncia.

NOTA A designao de auditores e especialistas tcnicos para compor equipes em auditorias especficas abordada em 9.1.3.

7.2.8 O organismo de certificao deve identificar as necessidades de treinamento e deve oferecer ou providenciar acesso ao treinamento especfico para assegurar que seus auditores, especialistas tcnicos e outras pessoas envolvidas em atividades de certificao sejam competentes para as funes que desempenham.

7.2.9 O grupo ou pessoa que toma a deciso para concesso, manuteno, renovao, extenso, reduo, suspenso ou cancelamento da certificao deve entender a norma aplicvel e os requisitos de certificao, e deve ter demonstrado competncia para avaliar os processos de auditoria e as recomendaes relacionadas da equipe auditora.

7.2.10 O organismo de certificao deve assegurar o desempenho satisfatrio de todo pessoal envolvido nas atividades de auditoria e certificao. Deve haver procedimentos documentados e critrios para monitoramento e medio do desempenho de todas as pessoas envolvidas, com base na frequncia de seu uso e no nvel de risco ligado a suas atividades. Em particular, o organismo de certificao deve analisar a competncia de seu pessoal, luz de seu desempenho, a fim de identificar necessidades de treinamento.

7.2.11 Os procedimentos documentados de monitoramento de auditores devem incluir uma combinao de observao no local, anlise de relatrios de auditoria e retorno dos clientes ou do mercado, e devem ser definidos em requisitos documentados. Esse monitoramento deve ser concebido de forma a minimizar perturbaes ao processo normal de certificao, sobretudo do ponto de vista do cliente.

7.2.12 O organismo de certificao deve observar periodicamente o desempenho de cada auditor no local. A frequncia de observaes no local deve basear-se na necessidade determinada por todas as informaes de monitoramento disponveis.


MARO 2011

15

7.3 Uso de auditores e especialistas tcnicos externos

O organismo de certificao deve exigir que auditores e especialistas tcnicos externos tenham um acordo por escrito no qual se comprometam a cumprir com as polticas e procedimentos aplicveis, conforme definido pelo organismo de certificao. O acordo deve abordar aspectos relacionados confidencialidade e independncia de interesses comerciais e de outros tipos, e deve exigir que auditores e especialistas tcnicos externos notifiquem o organismo de certificao sobre qualquer associao presente ou passada com qualquer organizao que eles possam ser designados a auditar.

NOTA O uso de auditores e especialistas tcnicos, como pessoa fsica, sob tais acordos no constitui terceirizao, conforme descrito em 7.5.

7.4 Registros do pessoal

O organismo de certificao deve manter registros atualizados do pessoal, incluindo qualificaes, treinamento, experincia, afiliaes, situao profissional e competncia pertinentes, e quaisquer servios relevantes de consultoria que tenham sido prestados. Esses registros incluem o pessoal da direo e administrativo, alm daqueles que realizam atividades de certificao.

7.5 Terceirizao

7.5.1 O organismo de certificao deve ter um processo no qual descreva as condies nas quais poder ocorrer a terceirizao (ou seja, a subcontratao de outra organizao para fornecer parte das atividades de certificao em nome do organismo de certificao). O organismo de certificao deve ter um acordo legal e vigente cobrindo as condies, inclusive confidencialidade e conflito de interesses, com cada organismo que fornea servios terceirizados.

NOTA 1 Esta seo pode incluir terceirizao para outros organismos de certificao. O uso de auditores e especialistas tcnicos sob contrato abordado em 7.3.

NOTA 2 Para os fins desta Norma, os termos terceirizao e subcontratao so considerados sinnimos.

7.5.2 As decises para concesso, manuteno, renovao, extenso, reduo, suspenso ou cancelamento da certificao no devem nunca ser terceirizados.

7.5.3 O organismo de certificao deve:

a) assumir responsabilidade por todas as atividades terceirizadas para outro organismo;

b) assegurar que o organismo que fornece servios terceirizados e as pessoas que ele utiliza atendam aos requisitos do organismo de certificao e s disposies aplicveis desta Norma, incluindo competncia, imparcialidade e confidencialidade; e

c) assegurar que o organismo que fornece servios terceirizados e as pessoas que ele utiliza no estejam envolvidos, diretamente ou por meio de qualquer outro empregador, com a organizao a ser auditada, de maneira tal que a imparcialidade possa ser comprometida.

7.5.4 O organismo de certificao deve ter procedimentos documentados para a qualificao e monitoramento de todos os organismos que forneam servios terceirizados usados para


MARO 2011

16

atividades de certificao, e deve assegurar que sejam mantidos registros de competncia de auditores e especialistas tcnicos.

8 Requisitos sobre informaes

8.1 Informaes acessveis ao pblico

8.1.1 O organismo de certificao deve manter e tornar acessvel ao pblico, ou fornecer quando solicitado, informaes descrevendo seus processos de auditoria e de certificao para concesso, manuteno, extenso, renovao, reduo, suspenso ou cancelamento da certificao, e sobre as atividades de certificao, tipos de sistemas de gesto, e reas geogrficas nas quais opera.

8.1.2 As informaes fornecidas pelo organismo de certificao para qualquer cliente ou para o mercado, inclusive propagandas, devem ser exatas e no devem ser enganosas.

8.1.3 O organismo de certificao deve tornar acessveis ao pblico as informaes sobre as certificaes concedidas, suspensas ou canceladas.

8.1.4 Quando solicitado por qualquer parte, o organismo de certificao deve fornecer os meios para confirmar a validade de uma determinada certificao.

NOTA 1 Se a totalidade das informaes estiver repartida por diversas fontes (por exemplo, sob forma impressa ou eletrnica ou uma combinao de ambas), pode ser implementado um sistema assegurando a rastreabilidade e ausncia de ambiguidade entre as fontes (por exemplo, sistema nico de numerao ou hyperlinks na Internet).

NOTA 2 Em casos excepcionais, o acesso a determinadas informaes pode ser limitado a pedido do cliente (por exemplo, por motivos de segurana).

8.2 Documentos de certificao

8.2.1 O organismo de certificao deve fornecer documentos de certificao para o cliente certificado por qualquer meio escolha do organismo de certificao.

8.2.2 A data de entrada em vigor mencionada em um documento de certificao no deve ser anterior data da deciso de certificao.

8.2.3 O(s) documento(s) de certificao deve(m) identificar o seguinte:

a) o nome e a localizao geogrfica de cada cliente cujo sistema de gesto est certificado (ou a localizao geogrfica da sede e de quaisquer locais includos no escopo de uma certificao multi-site);

b) as datas de concesso, extenso ou renovao da certificao;

c) a data em que expira a certificao ou a data prevista para a renovao da certificao coerente com o ciclo de renovao da certificao;

d) um cdigo nico de identificao;

e) a norma e/ou outro documento normativo incluindo o nmero de emisso e/ou reviso usado para a auditoria do cliente certificado;


MARO 2011

17

f) o escopo da certificao relativo ao produto (inclusive servio), processo etc., conforme aplicvel para cada local;

g) o nome, endereo e marca de certificao do organismo de certificao. Outras marcas (por exemplo, smbolos de acreditao) podem ser usadas, desde que no induzam a erro ou no sejam ambguas;

h) quaisquer outras informaes exigidas pela norma e/ou outro documento normativo usado para certificao;

i) no caso de emisso de quaisquer documentos revisados de certificao, um meio de distinguir os documentos revisados dos documentos anteriores obsoletos.

8.3 Relao de clientes certificados

O organismo de certificao deve manter e tornar acessvel ao pblico, ou fornecer quando solicitado, por qualquer meio sua escolha, uma relao de certificaes vlidas que deve apresentar no mnimo o nome, documento normativo pertinente, escopo, localizao geogrfica (por exemplo, cidade e pas) para cada cliente certificado (ou a localizao geogrfica da sede e de quaisquer locais dentro do escopo de uma certificao multi-site).

NOTA A relao permanece como propriedade exclusiva do organismo de certificao.

8.4 Referncia certificao e ao uso de marcas

8.4.1 O organismo de certificao deve ter uma poltica para gerir qualquer marca que ele autorize os clientes certificados a usar. Essa poltica deve assegurar, entre outros aspectos, a rastreabilidade ao organismo de certificao. No deve haver ambiguidade na marca ou no texto que a acompanha, em relao ao que foi certificado e qual organismo de certificao concedeu a certificao. Essa marca no deve ser usada em um produto ou na embalagem do produto vista pelo consumidor ou de qualquer outra maneira que possa ser interpretada como denotando conformidade do produto.

NOTA A ABNT NBR ISO/IEC 17030 fornece requisitos para o uso de marcas de terceira parte.

8.4.2 O organismo de certificao no deve permitir que sua marca seja aplicada a relatrios de laboratrios referentes a ensaio, calibrao ou inspeo, pois tais relatrios so considerados produtos neste contexto.

8.4.3 O organismo de certificao deve exigir que a organizao cliente:

a) atenda aos requisitos do organismo de certificao ao fazer referncia a sua condio de certificao nos meios de comunicao tais como internet, folhetos ou propaganda, ou outros documentos;

b) no faa ou permita qualquer declarao que induza a erro em relao sua certificao;

c) no use ou permita o uso de um documento de certificao ou de qualquer parte dele, de maneira que induza a erro;

d) no caso de suspenso ou cancelamento da sua certificao, interrompa o uso de todo material publicitrio que faa referncia certificao, conforme orientaes do organismo de certificao (ver 9.6.3 e 9.6.6);


MARO 2011

18

e) altere todo material publicitrio quando o escopo da certificao tiver sido reduzido;

f) no permita que a referncia certificao de seu sistema de gesto seja usada de tal forma que implique que o organismo de certificao certifique um produto (incluindo servio) ou processo;

g) no d a entender que a certificao aplica-se a atividades fora do escopo de certificao; e

h) no use sua certificao de tal maneira que possa comprometer a reputao do organismo de certificao e/ou o sistema de certificao e perder a confiana pblica.

8.4.4 O organismo de certificao deve exercer controle apropriado quanto propriedade e tomar aes para lidar com referncias incorretas condio de certificao ou ao uso enganoso de documentos de certificao, marcas ou relatrios de auditoria.

NOTA Tais aes podem incluir pedidos para correo e ao corretiva, suspenso, cancelamento da certificao, publicao da transgresso e, se necessrio, ao legal.

8.5 Confidencialidade

8.5.1 O organismo de certificao deve, por meio de acordos legais e vigentes, ter uma poltica e mecanismos para salvaguardar a confidencialidade das informaes obtidas ou geradas durante a realizao de atividades de certificao em todos os nveis da sua estrutura, inclusive comits e organismos externos ou pessoas atuando em seu nome.

8.5.2 O organismo de certificao deve informar o cliente antecipadamente sobre as informaes que ele pretende colocar em domnio pblico. Todas as outras informaes, exceto aquelas que o cliente tornou acessveis ao pblico, devem ser consideradas confidenciais.

8.5.3 Exceto conforme exigido nesta Norma, as informaes sobre um cliente ou pessoa em particular no devem ser divulgadas a terceiros sem o consentimento por escrito do cliente ou pessoa envolvida. Quando o organismo de certificao for obrigado por lei a revelar informaes confidenciais a terceiros, o cliente ou pessoa envolvida deve, a menos se regulamentado por lei, ser notificado antecipadamente das informaes fornecidas.

8.5.4 As informaes sobre o cliente provenientes de outras fontes que no o prprio cliente (por exemplo, reclamante, regulamentadores) devem ser tratadas como confidenciais, em coerncia com a poltica do organismo de certificao.

8.5.5 O pessoal, inclusive quaisquer membros de comits, fornecedores, pessoal de organismos externos ou pessoas externas atuando em nome do organismo de certificao, deve manter confidenciais todas as informaes obtidas ou geradas durante a realizao das atividades do organismo de certificao.

8.5.6 O organismo de certificao deve ter disponveis e usar equipamentos e instalaes que garantam a segurana no tratamento de informaes confidenciais (por exemplo, documentos, registros).


MARO 2011

19

8.5.7 Quando informaes confidenciais forem divulgadas a outros organismos (por exemplo, organismo de acreditao, grupo de acordo de um esquema de avaliao entre pares), o organismo de certificao deve informar seu cliente dessa ao.

8.6 Troca de informaes entre um organismo de certificao e seus clientes

8.6.1 Informaes sobre a atividade e os requisitos de certificao

O organismo de certificao deve fornecer e atualizar seus clientes sobre as seguintes informaes:

a) uma descrio detalhada da atividade inicial e contnua de certificao, incluindo a solicitao, auditorias iniciais, auditorias de superviso e o processo para concesso, manuteno, reduo, extenso, suspenso, cancelamento da certificao e recertificao;

b) os requisitos normativos para certificao;

c) informaes sobre as taxas cobradas para solicitao, certificao inicial e manuteno;

d) os requisitos do organismo de certificao para que os clientes em potencial:

1) atendam aos requisitos de certificao;

2) tomem todas as medidas necessrias para a realizao das auditorias, incluindo as disposies para anlise da documentao e o acesso a todos os processos e reas, registros e pessoal para fins de certificao inicial, superviso, recertificao e soluo de reclamaes; e

3) tomem providncias, quando aplicvel, para acomodar a presena de observadores (por exemplo, auditores de acreditao ou auditores em treinamento);

e) documentos descrevendo os direitos e deveres dos clientes certificados, incluindo requisitos ao fazer referncia sua certificao em qualquer tipo de comunicao de acordo com os requisitos de 8.4;

f) informaes sobre procedimentos para tratar reclamaes e apelaes.

8.6.2 Notificao de alteraes pelo organismo de certificao

O organismo de certificao deve informar devidamente seus clientes certificados sobre quaisquer alteraes em seus requisitos para certificao. O organismo de certificao deve verificar se cada cliente certificado atende aos novos requisitos.

NOTA Podem ser necessrias disposies contratuais com clientes certificados para assegurar a implementao desses requisitos. Um modelo de contrato de licena para o uso de certificao, incluindo os aspectos relacionados com a notificao de alteraes, na medida em que for aplicvel, pode ser obtido no anexo E do ABNT ISO/IEC Guia 28:2005.

8.6.3 Notificao de alteraes pelo cliente

O organismo de certificao deve ter acordos legais e vigentes para assegurar que o cliente certificado informe o organismo de certificao, sem demora, das questes que possam afetar


MARO 2011

20

a capacidade do sistema de gesto em continuar a atender aos requisitos da norma usada para certificao. Essas questes incluem, por exemplo, alteraes relativas a:

a) situao legal, comercial, organizacional ou propriedade;

b) organizao e gesto (por exemplo, pessoal-chave, tal como gestores, tomadores de deciso ou equipe tcnica);

c) endereo de contato e locais;

d) escopo das operaes abrangidas pelo sistema de gesto certificado; e

e) alteraes significativas no sistema de gesto e nos processos.

NOTA Um modelo de contrato de licena para o uso de certificao, incluindo os aspectos relacionados com a notificao de alteraes, na medida em que for aplicvel, pode ser obtido no anexo E do ABNT ISO/IEC Guia 28:2005.

9 Requisitos dos processos

9.1 Requisitos gerais

9.1.1 Programa de auditoria

9.1.1.1 Um programa de auditoria, para o ciclo completo de certificao, deve ser elaborado para identificar claramente a(s) atividade(s) de auditoria necessrias para demonstrar que o sistema de gesto do cliente atende aos requisitos para certificao para a(s) norma(s) selecionadas ou outro(s) documento(s) normativo(s).

9.1.1.2 O programa de auditoria deve incluir uma auditoria inicial em duas fases, auditorias de superviso no primeiro e no segundo ano, e uma auditoria de recertificao no terceiro ano antes do vencimento da certificao. O ciclo de certificao de trs anos inicia-se com a deciso de certificao ou de recertificao. A determinao do programa de auditoria e de quaisquer ajustes subsequentes deve considerar o tamanho da organizao cliente, o escopo e complexidade de seu sistema de gesto, produtos e processos, assim como o nvel demostrado de eficcia do sistema de gesto e os resultados de quaisquer auditorias anteriores.

NOTA 1 O Anexo E contm um fluxograma de um processo tpico de auditoria e certificao de terceira parte.

NOTA 2 O Anexo F lista itens adicionais que podem ser analisados ao se elaborar ou revisar um programa de auditoria.

9.1.1.3 Quando um organismo de certificao levar em conta certificao ou outras auditorias j concedidas ao cliente, ele deve coletar informaes suficientes e verificveis para justificar e registrar quaisquer ajustes no programa de auditoria.

9.1.2 Plano de auditoria

9.1.2.1 Generalidades

O organismo de certificao deve assegurar o estabelecimento de um plano para cada auditoria, identificada no programa de auditoria, que sirva de base para acordo em relao


MARO 2011

21

realizao e programao das atividades de auditoria. Este plano de auditoria deve ser baseado em requisitos documentados do organismo de certificao.

9.1.2.2 Determinao dos objetivos, escopo e critrios de auditoria

9.1.2.2.1 Os objetivos de auditoria devem ser determinados pelo organismo de certificao. O escopo e os critrios de auditoria, incluindo quaisquer alteraes, devem ser estabelecidos pelo organismo de certificao aps discusso com o cliente.

9.1.2.2.2 Os objetivos de auditoria devem descrever o que deve ser realizado pela auditoria e devem incluir:

a) determinao da conformidade do sistema de gesto do cliente, ou de parte desse sistema, com os critrios de auditoria;

b) avaliao da capacidade do sistema de gesto para assegurar que a organizao cliente atende aos requisitos estatutrios, regulamentares e contratuais;

NOTA Uma auditoria de certificao de sistema de gesto no uma auditoria de conformidade legal.

c) avaliao da eficcia do sistema de gesto para assegurar que a organizao cliente atenda continuamente seus objetivos definidos;

d) conforme aplicvel, identificao de reas para possvel melhoria do sistema de gesto.

9.1.2.2.3 O escopo de auditoria deve descrever a abrangncia e os limites da auditoria, tais como locais fsicos, unidades organizacionais, atividades e processos a serem auditados. Quando o processo inicial ou de recertificao consistir de mais de uma auditoria (por exemplo, abrangendo diferentes locais), o escopo de uma auditoria individual poder no abranger o escopo completo da certificao, mas o total de auditorias deve ser coerente com o escopo constante do documento de certificao.

NOTA O Anexo F lista itens adicionais que podem ser analisados ao se elaborar ou revisar o escopo de auditoria.

9.1.2.2.4 Os critrios de auditoria devem ser usados como referncia para determinao da conformidade e devem incluir:

requisitos de um documento normativo definido sobre sistemas de gesto;

os processos definidos e a documentao do sistema de gesto desenvolvido pelo cliente.

9.1.2.3 Preparao do plano de auditoria

O plano de auditoria deve ser apropriado aos objetivos e ao escopo da auditoria. O plano de auditoria deve incluir ou fazer referncia, no mnimo, aos seguintes itens:

a) os objetivos da auditoria;

b) os critrios de auditoria;


MARO 2011

22

c) o escopo da auditoria, incluindo a identificao das unidades organizacionais e funcionais ou dos processos a serem auditados;

d) as datas e lugares onde as atividades de auditoria no local sero realizadas, incluindo visitas a sites temporrios, conforme apropriado;

e) o tempo esperado e a durao das atividades da auditoria no local;

f) as funes e responsabilidades dos membros da equipe auditora e das pessoas acompanhantes.

NOTA 1 As informaes do plano de auditoria podem estar contidas em mais de um documento.

NOTA 2 O Anexo F lista itens adicionais que podem ser analisados ao se preparar ou revisar o plano de auditoria.

9.1.3 Seleo da equipe auditora e designao de tarefas

9.1.3.1 O organismo de certificao deve ter um processo para selecionar e designar a equipe auditora, inclusive o auditor-lder, levando em considerao a competncia necessria para alcanar os objetivos da auditoria. Se houver somente um auditor, ele deve ter a competncia para executar os deveres de um auditor-lder aplicveis para a auditoria em questo.

9.1.3.2 Ao se decidir o tamanho e a composio da equipe auditora, devem ser considerados os seguintes itens:

a) objetivos, escopo, critrios e tempo estimado da auditoria;

b) se a auditoria combinada, integrada ou conjunta;

c) a competncia global da equipe auditora necessria para alcanar os objetivos da auditoria;

d) requisitos de certificao (incluindo requisitos estatutrios, regulamentares ou contratuais aplicveis);

e) idioma e cultura;

f) se os membros da equipe auditora auditaram anteriormente o sistema de gesto do cliente.

9.1.3.3 O conhecimento e as habilidades do auditor-lder e dos auditores podero ser complementados por especialistas tcnicos, tradutores e intrpretes que devem atuar sob a orientao de um auditor. Quando forem utilizados tradutores ou intrpretes, eles devem ser selecionados de forma a no influenciarem a auditoria indevidamente.

NOTA Os critrios para a seleo de especialistas tcnicos so determinados caso a caso conforme as necessidades da equipe auditora e do escopo da auditoria.

9.1.3.4 Auditores em treinamento podero ser includos na equipe auditora como participantes, desde que um auditor seja designado como avaliador. O avaliador deve ser competente para exercer os deveres e ter responsabilidade final pelas atividades e constataes do auditor em treinamento.


MARO 2011

23

9.1.3.5 O auditor-lder, em consulta com a equipe auditora, deve designar responsabilidade a cada membro da equipe para auditar processos, funes, locais, reas ou atividades especficos. Tais tarefas devem levar em considerao a necessidade por competncia, e o uso eficaz e eficiente da equipe auditora, assim como as diferentes funes e responsabilidades dos auditores, auditores em treinamento e especialistas tcnicos. Podero ser feitas mudanas nas tarefas designadas, na medida em que a auditoria progrida, de forma a assegurar o cumprimento dos objetivos da auditoria.

9.1.4 Determinao do tempo de auditoria

9.1.4.1 O organismo de certificao deve ter procedimentos documentados para determinar o tempo de auditoria, e para cada cliente ele deve calcular o tempo necessrio para planejar e realizar uma auditoria completa e eficaz do sistema de gesto do cliente. O tempo de auditoria determinado pelo organismo de certificao e a justificativa para tal clculo devem ser registrados. Ao determinar o tempo de auditoria, o organismo de certificao deve considerar, entre outros, os seguintes aspectos:

a) os requisitos da norma de sistema de gesto pertinente;

b) tamanho e complexidade;

c) contexto tecnolgico e regulamentar;

d) qualquer terceirizao de quaisquer atividades includas no escopo do sistema de gesto;

e) os resultados de quaisquer auditorias anteriores;

f) nmero de locais e consideraes de multi-site;

g) os riscos associados com os produtos, processos ou atividades da organizao;

h) se as auditorias so combinadas, conjuntas ou integradas.

Nos casos em que tenham sido estabelecidos critrios especficos para um esquema especfico de certificao, por exemplo, ABNT ISO/TS 22003 ou ISO/IEC 27006, esses critrios devem ser aplicados.

9.1.4.2 O tempo utilizado por qualquer membro da equipe que no for designado como auditor (por exemplo, especialistas tcnicos, tradutores, intrpretes, observadores e auditores em treinamento) no deve contar no tempo de auditoria estabelecido acima.

NOTA Para o uso de tradutores e intrpretes pode ser preciso um tempo adicional de auditoria.

9.1.5 Amostragem de multi-site

Ao utilizar amostragem de multi-site para a auditoria do sistema de gesto de um cliente que cubra a mesma atividade em diversos locais, o organismo de certificao deve desenvolver um programa de amostragem, a fim de assegurar uma auditoria adequada do sistema de gesto. A justificativa para o plano de amostragem deve ser documentada para cada cliente.

9.1.6 Comunicao das tarefas da equipe auditora

As tarefas atribudas equipe auditora devem ser definidas e informadas organizao cliente e devem determinar que a equipe auditora:


MARO 2011

24

a) examine e verifique a estrutura, polticas, processos, procedimentos, registros e documentos relacionados da organizao cliente pertinentes ao sistema de gesto;

b) confirme se esses itens atendem a todos os requisitos pertinentes ao escopo pretendido de certificao;

c) confirme se os processos e procedimentos esto estabelecidos, implementados e mantidos com eficcia, a fim de servir de base para a confiana no sistema de gesto do cliente; e

d) comunique ao cliente, para sua ao, quaisquer incoerncias entre a poltica, objetivos e metas do cliente (coerentes com as expectativas na norma pertinente de sistemas de gesto ou em outro documento normativo) e os resultados.

9.1.7 Comunicao relativa aos membros da equipe auditora

O organismo de certificao deve fornecer o nome e, quando solicitado, tornar disponveis informaes curriculares de cada membro da equipe auditora, com tempo suficiente para o cliente discordar da designao de qualquer auditor ou especialista tcnico em especial e para o organismo de certificao reconstituir a equipe em resposta a qualquer objeo vlida.

9.1.8 Comunicao do plano de auditoria

O plano de auditoria deve ser comunicado e as datas da auditoria devem ser previamente acordadas com a organizao cliente.

9.1.9 Realizao de auditorias no local

9.1.9.1 Generalidades

O organismo de certificao deve ter um processo para realizar auditorias no local. Esse processo deve incluir uma reunio de abertura no incio da auditoria e uma reunio de encerramento ao final da auditoria.

NOTA Alm de visitar as instalaes fsicas (por exemplo, fbrica), o termo no local pode incluir acesso remoto a sites eletrnicos que contenham informaes pertinentes auditoria do sistema de gesto.

9.1.9.2 Conduo da reunio de abertura

Deve-se realizar uma reunio de abertura formal, na qual a presena deve ser registrada, com a direo do cliente e, quando apropriado, com o responsvel pelas funes ou processos a serem auditados. O propsito da reunio de abertura, que geralmente deve ser conduzida pelo auditor-lder, fornecer uma breve explicao de como as atividades de auditoria sero realizadas e deve incluir os elementos a seguir. O grau de detalhes deve ser coerente com a familiaridade do cliente com o processo de auditoria:

a) apresentao dos participantes, incluindo um resumo de suas funes;

b) confirmao do escopo de certificao;

c) confirmao do plano de auditoria (incluindo tipo e escopo da auditoria, objetivos e critrios), mudanas e outros arranjos pertinentes com o cliente, como data e durao da


MARO 2011

25

reunio de encerramento e reunies intermedirias entre a equipe auditora e a direo do cliente;

d) confirmao dos canais formais de comunicao entre a equipe auditora e o cliente;

e) confirmao de que os recursos e instalaes necessrios equipe auditora estejam disponveis;

f) confirmao de assuntos relativos confidencialidade;

g) confirmao de procedimentos pertinentes de segurana do trabalho, emergncia e seguridade para a equipe auditora;

h) confirmao da disponibilidade, funes e identidades de todos os guias e observadores;

i) o mtodo de relatar, incluindo a classificao das constataes de auditoria;

j) informaes sobre as condies nas quais a auditoria poder ser encerrada prematuramente;

k) confirmao de que o auditor-lder e a equipe auditora, representando o organismo de certificao, so responsveis pela auditoria e devem controlar a execuo do plano de auditoria, incluindo as atividades e trilhas de auditoria;

l) confirmao da situao das constataes da anlise ou auditoria anterior, se aplicvel;

m) mtodos e procedimentos a serem usados para realizao da auditoria com base em amostragem;

n) confirmao do idioma a ser usado durante a auditoria;

o) confirmao de que, durante a auditoria, o cliente ser mantido informado do progresso da auditoria e de quaisquer preocupaes;

p) oportunidade para o cliente fazer perguntas.

9.1.9.3 Comunicao durante a auditoria

9.1.9.3.1 Durante a auditoria, a equipe auditora deve avaliar periodicamente o progresso da auditoria e trocar informaes. O auditor-lder deve redistribuir o trabalho entre os membros da equipe auditora, conforme necessrio, e comunicar periodicamente o progresso da auditoria e quaisquer preocupaes ao cliente.

9.1.9.3.2 Quando a evidncia disponvel da auditoria indicar que os objetivos da auditoria so inatingveis ou sugerir a presena de um risco imediato e significativo (por exemplo, segurana), o auditor-lder deve relatar esse fato ao cliente e, se possvel, ao organismo de certificao para determinar a ao apropriada. Tal ao poder incluir a reconfirmao ou a modificao do plano de auditoria, mudanas nos objetivos ou no escopo da auditoria ou o encerramento da auditoria. O auditor-lder deve relatar o resultado da ao para o organismo de certificao.


MARO 2011

26

9.1.9.3.3 O auditor-lder deve analisar com o cliente qualquer necessidade de mudanas no escopo da auditoria, que fique aparente com o progresso das atividades da auditoria no local, e relatar essas mudanas ao organismo de certificao.

9.1.9.4 Observadores e guias

9.1.9.4.1 Observadores

A presena e a justificativa para observadores durante uma atividade de auditoria devem ser acordadas entre o organismo de certificao e o cliente antes da realizao da auditoria. A equipe auditora deve assegurar que os observadores no influenciem ou interfiram no processo ou no resultado da auditoria.

NOTA Os observadores podem ser membros da organizao do cliente, consultores, pessoal do organismo de acreditao realizando uma testemunha, reguladores ou outras pessoas justificadas.

9.1.9.4.2 Guias

Cada auditor deve ser acompanhado por um guia, a menos se acordado de outra forma pelo auditor-lder e o cliente. Os guias so designados para a equipe auditora para facilitar a auditoria. A equipe auditora deve assegurar que os guias no influenciem ou interfiram no processo ou no resultado da auditoria.

NOTA As responsabilidades de um guia podem incluir:

a) estabelecer contatos e horrios para entrevistas;

b) organizar visitas para partes especficas do local ou da organizao;

c) assegurar que regras relativas aos procedimentos de segurana e seguridade do local sejam conhecidas e respeitadas pelos membros da equipe auditora;

d) testemunhar a auditoria em nome do cliente;

e) fornecer esclarecimento ou informaes, conforme requisitado pelo auditor.

9.1.9.5 Coleta e verificao de informaes

9.1.9.5.1 Durante a auditoria, as informaes pertinentes aos objetivos, escopo e critrios da auditoria (incluindo informaes relativas s interfaces entre funes, atividades e processos) devem ser coletadas por amostragem adequada e verificadas para que se tornem evidncia de auditoria.

9.1.9.5.2 Os mtodos para coletar informaes devem incluir, dentre outros:

a) entrevistas;

b) observao de processos e atividades;

c) anlise de documentao e registros.


MARO 2011

27

9.1.9.6 Identificao e registro das constataes de auditoria

9.1.9.6.1 As constataes da auditoria resumindo a conformidade e detalhando as no-conformidades, e as evidncias de auditoria que as suportam, devem ser registradas e relatadas para possibilitar uma tomada de deciso de certificao fundamentada ou a manuteno da certificao.

9.1.9.6.2 Oportunidades de melhoria podero ser identificadas e registradas a menos se proibidas pelos requisitos de um esquema de certificao de sistema de gesto. Entretanto, as constataes de auditoria que forem no-conformidades, de acordo com 9.1.15 b) e c), no devem ser registradas como oportunidades de melhoria.

9.1.9.6.3 Uma constatao de no-conformidade deve ser registrada contra um requisito especfico dos critrios de auditoria, conter uma declarao clara da no-conformidade e identificar em detalhes as evidncias nas quais a no-conformidade se baseia. As no-conformidades devem ser discutidas com o cliente para assegurar que a evidncia precisa e que as no-conformidades foram compreendidas. Entretanto, o auditor deve abster-se de sugerir a causa das no-conformidades ou sua soluo.

NOTA No-conformidades, coerentes com os requisitos de 9.1.15 b), podem ser classificadas como maiores, enquanto outras no-conformidades [9.1.15 c)] podem ser classificadas como no-conformidades menores.

9.1.9.6.4 O auditor-lder deve empenhar-se em solucionar qualquer opinio divergente entre a equipe auditora e o cliente relativa s evidncias ou constataes da auditoria e os pontos no resolvidos devem ser registrados.

9.1.9.7 Preparao das concluses da auditoria

Antes da reunio de encerramento, a equipe auditora deve:

a) analisar as constataes da auditoria e quaisquer outras informaes apropriadas coletadas durante a auditoria, contra os objetivos da auditoria;

b) acordar quanto s concluses da auditoria, levando em conta a incerteza inerente ao processo de auditoria;

c) identificar aes de acompanhamento necessrias;

d) confirmar a adequao do programa de auditoria ou identificar qualquer modificao necessria (ex. escopo, tempo ou data da auditoria, frequncia da superviso, competncia).

9.1.9.8 Conduo da reunio de encerramento

9.1.9.8.1 Deve-se realizar uma reunio de encerramento formal, na qual a presena deve ser registrada, com a direo do cliente e, quando apropriado, com o responsvel pelas funes ou processos auditados. O objetivo da reunio de encerramento, que normalmente deve ser presidida pelo auditor-lder, apresentar as concluses da auditoria, incluindo a recomendao relativa certificao. As no-conformidades devem ser apresentadas de tal maneira que possam ser compreendidas e deve-se acordar o prazo para resposta.

NOTA O termo compreendidas no significa necessariamente que as no-conformidades foram aceitas pelo cliente.


MARO 2011

28

9.1.9.8.2 A reunio de encerramento tambm deve incluir os seguintes elementos. O grau de detalhes deve ser coerente com a familiaridade do cliente com o processo de auditoria:

a) informar o cliente que as evidncias coletadas na auditoria foram baseadas em uma amostra das informaes; introduzindo assim um elemento de incerteza;

b) o mtodo e o prazo para relatar, incluindo a classificao das constataes da auditoria;

c) o processo do organismo de certificao para tratamento de no-conformidades incluindo as consequncias relativas situao da certificao do cliente;

d) o prazo para o cliente apresentar um plano para correo e ao corretiva para as no-conformidades identificadas durante a auditoria;

e) as atividades do organismo de certificao aps a auditoria;

f) informaes sobre o tratamento de reclamaes e os processos de apelao.

9.1.9.8.3 Deve-se dar oportunidade para o cliente fazer perguntas. Quaisquer opinies divergentes relativas s constataes ou concluses da auditoria entre a equipe auditora e o cliente devem ser discutidas e, se possvel, resolvidas. Quaisquer opinies divergentes no resolvidas devem ser registradas e comunicadas ao organismo de certificao.

9.1.10 Relatrio de auditoria

9.1.10.1 O organismo de certificao deve fornecer um relatrio escrito para cada auditoria. A equipe auditora pode identificar oportunidades de melhoria, mas no deve recomendar solues especficas. O organismo de certificao deve manter a propriedade pelo relatrio de auditoria.

9.1.10.2 O auditor-lder deve assegurar a preparao do relatrio de auditoria e ser responsvel por seu contedo. O relatrio da auditoria deve fornecer um registro preciso, conciso e claro da auditoria para possibilitar uma tomada de deciso de certificao fundamentada e deve incluir ou se referir ao seguinte:

a) identificao do organismo de certificao;

b) o nome e endereo do cliente e o representante da direo;

c) o tipo de auditoria (ex. auditoria inicial, de superviso ou de recertificao);

d) os critrios da auditoria;

e) os objetivos da auditoria;

f) o escopo da auditoria, particularmente a identificao das unidades organizacionais ou funcionais ou os processos auditados e o tempo da auditoria;

g) identificao do auditor-lder, dos membros da equipe auditora e das pessoas acompanhantes;

h) as datas e lugares onde as atividades da auditoria (no local ou fora do local) foram realizadas;


MARO 2011

29

i) constataes, evidncias e concluses da auditoria, coerentes com os requisitos do tipo de auditoria;

j) quaisquer questes no resolvidas, se identificadas.

9.1.11 Anlise das causas das no-conformidades

O organismo de certificao deve exigir que o cliente analise a causa e descreva a correo e as aes corretivas especficas tomadas, ou que planeja tomar, para eliminar as no-conformidades detectadas, dentro de um tempo definido.

9.1.12 Eficcia de correes e aes corretivas

O organismo de certificao deve analisar as correes, as causas identificadas e as aes corretivas apresentadas pelo cliente para determinar se estas so aceitveis. O organismo de certificao deve verificar a eficcia das correes e aes corretivas tomadas. As evidncias obtidas para apoiar a soluo das no-conformidades devem ser registradas. O cliente deve ser informado sobre o resultado da anlise e verificao.

NOTA A verificao da eficcia de correes e aes corretivas pode ser realizada com base em uma anlise da documentao fornecida pelo cliente, ou quando necessrio, por meio de verificao no local.

9.1.13 Auditorias adicionais

O cliente deve ser informado se uma auditoria adicional completa ou parcial, ou evidncia documentada (a ser confirmada durante futuras auditorias de superviso), ser necessria para verificar se as correes e aes corretivas foram eficazes.

9.1.14 Deciso de certificao

O organismo de certificao deve assegurar que as pessoas ou comits que tomam as decises de certificao ou de recertificao sejam diferentes daquelas que realizaram as auditorias.

9.1.15 Aes antes da tomada de deciso

Antes de tomar uma deciso, o organismo de certificao deve confirmar que:

a) as informaes fornecidas pela equipe auditora so suficientes em relao aos requisitos e ao escopo para certificao;

b) analisou, aceitou e verificou a eficcia das correes e aes corretivas para todas as no-conformidades que representem:

1) falha em atender a um ou mais requisitos da norma de sistema de gesto; ou

2) uma situao que levante dvida significativa quanto capacidade de o sistema de gesto do cliente alcanar os resultados planejados;

c) analisou e aceitou as correes e aes corretivas planejadas do cliente para quaisquer outras no-conformidades.


MARO 2011

30

9.2 Auditoria inicial e certificao

9.2.1 Solicitao

O organismo de certificao deve exigir que um representante autorizado da organizao solicitante fornea as informaes necessrias para lhe permitir estabelecer o seguinte:

a) o escopo desejado da certificao;

b) as caractersticas gerais da organizao solicitante, incluindo seu nome e o endereo das suas instalaes fsicas, os aspectos significativos de seus processos e operaes, e quaisquer obrigaes legais pertinentes;

c) informaes gerais, pertinentes rea de certificao solicitada, relativas organizao solicitante tais como suas atividades, recursos humanos e tcnicos, funes e relacionamento em uma corporao maior, se houver;

d) informaes referentes a todos os processos terceirizados usados pela organizao que afetaro a conformidade com os requisitos;

e) as normas ou outros requisitos para os quais a organizao solicitante busca certificao; e

f) informaes relacionadas com o uso de consultoria relativa ao sistema de gesto.

9.2.2 Anlise da solicitao

9.2.2.1 Antes de prosseguir para a auditoria, o organismo de certificao deve realizar uma anlise crtica da solicitao e das informaes suplementares de certificao para assegurar que:

a) as informaes sobre a organizao solicitante e seu sistema de gesto sejam suficientes para a realizao da auditoria;

b) os requisitos para certificao estejam claramente definidos e documentados, e tenham sido fornecidos para a organizao solicitante;

c) qualquer diferena reconhecida de interpretao entre o organismo de certificao e a organizao solicitante seja resolvida;

d) o organismo de certificao tenha competncia e capacidade para executar a atividade de certificao;

e) o escopo solicitado para a certificao, a localizao das operaes da organizao solicitante, o tempo necessrio para completar as auditorias e quaisquer outros pontos que influenciem o servio de certificao sejam levados em considerao (idioma, condies de segurana, ameaas imparcialidade etc.);

f) sejam mantidos registros da justificativa para a deciso de realizar a auditoria.

9.2.2.2 Aps a anlise crtica da solicitao, o organismo de certificao deve aceitar ou recusar a solicitao para certificao. Quando o organismo de certificao recusar uma


MARO 2011

31

solicitao para certificao como resultado da anlise crtica, ele deve documentar os motivos para a recusa da solicitao e deixar claro para o cliente.

NOTA Ao recusar uma solicitao para certificao, convm que o organismo de certificao seja cauteloso para no agir em conflito com os princpios definidos na seo 4.

9.2.2.3 Com base nessa anlise crtica, o organismo de certificao deve determinar as competncias que ele precisa incluir em sua equipe auditora e para a deciso de certificao.

9.2.2.4 A equipe auditora deve ser designada e composta de auditores (e especialistas tcnicos, conforme necessrio) que, entre eles, apresentem o total das competncias identificadas pelo organismo de certificao, conforme estabelecido em 9.2.2.3, para a certificao da organizao solicitante. A seleo da equipe deve ser realizada em funo das competncias de auditores e especialistas tcnicos conforme 7.2.5, e pode incluir o uso de recursos humanos internos e externos.

9.2.2.5 A(s) pessoa(s) que realizar(o) a deciso de certificao deve(m) ser designada(s) de forma a assegurar que est disponvel competncia adequada (ver 7.2.9).

9.2.3 Auditoria inicial de certificao

A auditoria inicial de certificao de um sistema de gesto deve ser realizada em duas fases: fase 1 e fase 2.

9.2.3.1 Auditoria fase 1

9.2.3.1.1 A auditoria fase 1 deve ser conduzida para:

a) auditar a documentao do sistema de gesto do cliente;

b) avaliar a localizao do cliente e as condies especficas do local, e discutir com o pessoal do cliente a fim de determinar o grau de preparao para a auditoria fase 2;

c) analisar a situao e a compreenso do cliente quanto aos requisitos da norma, em especial com relao identificao de aspectos-chave ou significativos de desempenho, de processos, de objetivos e da operao do sistema de gesto;

d) coletar informaes necessrias em relao ao escopo do sistema de gesto, processos e localizaes do cliente, e aspectos estatutrios e regulamentares relacionados e o respectivo cumprimento (por exemplo, aspectos de qualidade, ambientais e legais da operao do cliente, riscos associados etc.);

e) analisar a alocao de recursos para a fase 2 e acordar com o cliente os detalhes da auditoria fase 2;

f) permitir o planejamento da auditoria fase 2, obtendo um entendimento suficiente do sistema de gesto do cliente e do seu funcionamento no local, no contexto dos possveis aspectos significativos;

g) avaliar se as auditorias internas e a anlise crtica pela direo esto sendo planejadas e realizadas, e se o nvel de implementao do sistema de gesto comprova que o cliente est pronto para a auditoria fase 2.


MARO 2011

32

Para a maioria dos sistemas de gesto, recomenda-se que ao menos parte da auditoria fase 1 seja realizada nas instalaes do cliente, a fim de alcanar os objetivos estabelecidos anteriormente.

9.2.3.1.2 As constataes da auditoria fase 1 devem ser documentadas e comunicadas ao cliente, incluindo a identificao de quaisquer reas de preocupao que poderiam ser classificadas como no-conformidade durante a auditoria fase 2.

9.2.3.1.3 Na determinao do intervalo entre as fases 1 e 2, deve-se levar em considerao as necessidades do cliente em resolver as reas de preocupao identificadas durante a auditoria fase 1. Tambm pode ser preciso que o organismo de certificao revise seus preparativos para a fase 2.

9.2.3.2 Auditoria fase 2

O objetivo da auditoria fase 2 avaliar a implementao, incluindo eficcia, do sistema de gesto do cliente. A auditoria fase 2 deve ocorrer nos locais do cliente e deve incluir no mnimo o seguinte:

a) informaes e evidncias sobre conformidade com todos os requisitos da norma aplicvel de sistema de gesto ou outro documento normativo;

b) monitoramento, medies, comunicao e anlise do desempenho em relao aos principais objetivos e metas de desempenho (coerente com as expectativas na norma aplicvel de sistema de gesto ou em outro documento normativo);

c) o sistema de gesto do cliente e seu desempenho quanto conformidade legal;

d) controle operacional dos processos do cliente;

e) auditoria interna e anlise crtica pela direo;

f) responsabilidade da direo pelas polticas do cliente;

g) ligaes entre os requisitos normativos, poltica, objetivos e metas de desempenho (coerentes com as expectativas na norma aplicvel de sistema de gesto ou em outro documento normativo), quaisquer requisitos legais aplicveis, responsabilidades, competncia do pessoal, operaes, procedimentos, dados de desempenho e constataes e concluses de auditoria interna.

9.2.4 Concluses da auditoria de certificao inicial

A equipe auditora deve analisar todas as informaes e evidncias coletadas durante as auditorias fases 1 e 2, a fim de analisar as constataes e concordar quanto s concluses de auditoria.

9.2.5 Informaes para concesso da certificao inicial

9.2.5.1 As informaes fornecidas pela equipe auditora ao organismo de certificao para a deciso sobre a certificao devem incluir, no mnimo:

a) os relatrios de auditoria;


MARO 2011

33

b) comentrios sobre as no-conformidades, e onde aplicvel, a correo e aes corretivas tomadas pelo cliente;

c) confirmao das informaes fornecidas ao organismo de certificao usadas na anlise crtica da solicitao (ver 9.2.2); e

d) uma recomendao de conceder ou no a certificao, juntamente com quaisquer condies ou observaes.

9.2.5.2 O organismo de certificao deve tomar a deciso sobre certificao com base na avaliao das constataes e concluses de auditoria e de quaisquer outras informaes pertinentes (por exemplo, informaes pblicas, comentrios feitos pelo cliente sobre o relatrio de auditoria).

9.3 Atividades de superviso

9.3.1 Generalidades

9.3.1.1 O organismo de certificao deve desenvolver suas atividades de superviso, a fim de que reas e funes representativas cobertas pelo escopo do sistema de gesto sejam monitoradas regularmente e levem em considerao as mudanas em seus clientes certificados e em seus sistemas de gesto.

9.3.1.2 As atividades de superviso devem incluir auditorias no local para avaliar se o sistema de gesto do cliente certificado atende aos requisitos especificados em relao norma na qual a certificao foi concedida.Outras atividades de superviso podem incluir:

a) consultas do organismo de certificao ao cliente certificado sobre aspectos de certificao;

b) anlise de quaisquer declaraes do cliente com relao s suas operaes (por exemplo, material promocional, site na Web);

c) pedidos ao cliente para fornecimento de documentos e registros (em papel ou meio eletrnico); e

d) outros meios de monitorar o desempenho do cliente certificado.

9.3.2 Auditoria de superviso

9.3.2.1 Auditorias de superviso so auditorias no local, mas no so necessariamente auditorias completas do sistema e devem ser planejadas junto com outras atividades de superviso,

Documents

Projeto ISO 17021 (2011) - Avaliação de conformidade – Requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão.pdf