-
DOCUMENTOS MANDATÓRIOS DO IAF PARA A APLICAÇÃO DA ABNT NBR
ISO/IEC 17021-1
NORMA Nº NIT-DICOR-054
REV. Nº 09
APROVADA EM NOV/2017
PÁGINA 01/56
SUMÁRIO 1 Objetivo 2 Campo de Aplicação 3 Responsabilidade 4
Histórico das Revisões 5 Documentos Complementares 6 Siglas 7
Documentos Mandatórios do IAF para Aplicação da ABNT NBR ISO/IEC
17021-1 Anexo A – Documento Mandatório do IAF para a Certificação
de Multisites baseada em
amostragem (IAF MD 1:2007) Anexo B – Documento Mandatório do IAF
para a Transferência da Certificação Acreditada
de Sistemas de Gestão (IAF MD 2:2017) Anexo C – Documento
Mandatório do IAF para Procedimentos Avançados de Supervisão e
Recertificação (PASR) (IAF MD 3:2008) Anexo D – Documento
Mandatório do IAF para o uso de Técnicas de Auditoria Apoiadas
por Computador (TAAC) para Certificação Acreditada de Sistemas
de Gestão (IAF MD 4:2008)
Anexo E – Documento Mandatório do IAF para Determinação do Tempo
de Auditoria de SGQ e SGA (IAF MD 5:2015)
Anexo F – Documento Mandatório do IAF para Avaliação do
Organismo de Certificação para Gestão da Competência em
Conformidade com a ISO/IEC 17021:2011 (IAF MD 10:2013)
Anexo G – Documento Mandatório do IAF para a aplicação da
ISO/IEC 17021 em auditorias de sistemas de gestão integrados (IAF
MD 11:2013)
Anexo H – Documento Mandatório do IAF para a aplicação da
ISO/IEC 17021 no setor de Gestão de Serviços (ISO/IEC 20000-1) -
(IAF MD 18:2015)
Anexo I – Documento Mandatório do IAF para a Auditoria e
Certificação de um Sistema de Gestão operado por uma organização
multi-site (quando a amostragem do site não é aplicável) – (IAF MD
19:2016)
1 OBJETIVO Este documento apresenta a tradução livre dos
seguintes documentos mandatórios do IAF, para a consistente
aplicação do ABNT NBR ISO/IEC 17021-1: IAF MD 1:2007 IAF Mandatory
Document for the Certification of Multiple Sites Based on Sampling;
IAF MD 2:2017 IAF Mandatory Document for the Transfer of Accredited
Certification of
Management Systems; IAF MD 3:2008 IAF Mandatory Document for
Advanced Surveillance and Recertification
Procedures; IAF MD 4:2008 IAF Mandatory Document for the use of
Computer Assisted Auditing Techniques
(“CAAT”) for Accredited Certification of Management Systems; IAF
MD 5:2015 IAF Mandatory Document for Determination of Audit Time of
Quality and
Environmental Management Systems; IAF MD 10:2013 IAF Mandatory
Document for Assessment of Certification Body Management of
Competence in Accordance with ISO/IEC 17021:2011; IAF-MD 11:2013
IAF Mandatory Document for the Application of ISO/IEC 17021 for
Audits of
Integrated Management Systems; IAF-MD 18:2015 IAF Mandatory
Document for the Application of ISO/IEC 17021:2011 in the
Service
Management Sector (ISO/IEC 20000-1);
-
NIT-DICOR-054 REV.
09 PÁGINA
2/56
IAF-MD 19:2016 IAF Mandatory Document for the Audit and
Certification of a Management System operated by a Multi-Site
Organization (where application of site sampling is not
appropriate)
2 CAMPO DE APLICAÇÃO
Esta norma aplica-se à Dicor. 3 RESPONSABILIDADE
A responsabilidade pela revisão desta norma é da Dicor 4
HISTÓRICO DAS REVISÕES
Revisão Data Itens revisados
8 SET/2017 - Alteração do Objetivo; - Inclusão Anexo I; -
Exclusão do Quadro de Aprovação
9 NOV/2017 - Alteração do Anexo B
5 DOCUMENTOS COMPLEMENTARES
ABNT NBR ISO/IEC 17020 Avaliação da conformidade — Requisitos
para o funcionamento de
diferentes tipos de organismos que executam inspeção ABNT NBR
ISO/IEC 17021 Avaliação da conformidade – Requisitos para
organismos que
fornecem auditoria e certificação de sistemas de gestão ABNT NBR
ISO/IEC 17021-1 Avaliação de conformidade — Requisitos para
organismos que
fornecem auditoria e certificação de sistemas de gestão ISO/IEC
TS 17022 Conformity assessment -- Requirements and recommendations
for
content of a third-party audit report on management systems
ISO/IEC 17024 Avaliação da conformidade — Requisitos gerais para
organismos
que certificam pessoas ISO/IEC 17065 Avaliação da conformidade —
Requisitos para organismos de
certificação de produtos, processos e serviços ABNT NBR ISO 9001
Sistemas de Gestão da Qualidade - Requisitos ABNT NBR ISO 14001
Sistemas de Gestão Ambiental - Especificação e Diretrizes para uso
ABNT NBR ISO 19011 Diretrizes para auditorias de Sistema de Gestão
da Qualidade e/ou
Ambiental Nota: As normas referenciadas são utilizadas nas suas
últimas revisões, conforme disponível no site
da ABNT (www.abnt.org.br). IAF MD 1:2007 IAF Mandatory Document
for the Certification of Multiple Sites Based
on Sampling IAF MD 2:2017 IAF Mandatory Document for the
Transfer of Accredited Certification
of Management Systems; IAF MD 3:2008 IAF Mandatory Document for
Advanced Surveillance and
Recertification Procedures;
-
NIT-DICOR-054 REV.
09 PÁGINA
3/56
IAF MD 4:2008 IAF Mandatory Document for the use of Computer
Assisted Auditing Techniques (“CAAT”) for Accredited Certification
of Management Systems;
IAF MD 5:2015 IAF Mandatory Document for Determination of Audit
Time of Quality and Environmental Management Systems;
IAF MD 10:2013 IAF Mandatory Document for Assessment of
Certification Body Management of Competence in Accordance with
ISO/IEC 17021:2011;
IAF-MD 11:2013 IAF Mandatory Document for the Application of
ISO/IEC 17021 for Audits of Integrated Management Systems
IAF-MD 18:2015 IAF Mandatory Document for the Application of
ISO/IEC 17021:2011 in the Service Management Sector (ISO/IEC
20000-1)
IAF-MD 19:2016 IAF Mandatory Document for the Audit and
Certification of a Management System operated by a Multi-Site
Organization (where application of site sampling is not
appropriate)
6 SIGLAS ABNT Associação Brasileira de Normas Técnicas Dicor
Divisão de Acreditação de Organismos de Certificação IAF MD
Documento Mandatório do IAF IAF International Accreditation Forum
IEC International Electrotechnical Commission ISO International
Organization for Standardization MD Mandatory Document MLA Acordo
de Reconhecimento Multilateral NBR Norma Brasileira NIT Norma
Inmetro Técnica OA Organismo de Acreditação OAC Organismo de
Avaliação da Conformidade OC Organismo de Certificação PASR
Procedimentos Avançados de Supervisão e Reavaliação SGA Sistema de
Gestão Ambiental SGQ Sistema de Gestão da Qualidade SGSTI Sistema
de Gestão de Serviços de Tecnologia da Informação SIG Sistema
Integrado de Gestão SLA Acordo de Níveis de Serviço TAAC Técnicas
de Auditoria Apoiadas por Computador 7 DOCUMENTOS MANDATÓRIOS DO
IAF PARA APLICAÇÃO DA ABNT NBR ISO/IEC 17021-1 A tradução livre dos
documentos IAF MD 1:2007, IAF MD 2:2007, IAF MD 3:2008; IAF MD
4:2008; IAF MD 5:2015; IAF MD 10:2013, IAF MD 11:2013, IAF MD
18:2015 e IAF-MD 19:2016 estão apresentadas nos Anexos a esta
norma. O International Accreditation Forum, Inc. (IAF) opera
programas para a acreditação de organismos que fornecem serviços de
avaliação da conformidade. Tais acreditações facilitam o comércio e
reduzem a demanda para certificação múltipla.
A acreditação reduz o risco para os negócios e seus clientes ao
assegurar a eles que os Organismos de Avaliação da Conformidade
(OACs) acreditados são competentes para realizarem o trabalho que
eles desempenham dentro do seu escopo de acreditação. Exige-se que
os Organismos de
-
NIT-DICOR-054 REV.
09 PÁGINA
4/56
Acreditação (OAs), membros do IAF, e seus OACs acreditados
atendam às normas internacionais apropriadas e aos documentos
mandatórios do IAF para a consistente aplicação dessas normas.
Os membros do Acordo de Reconhecimento Multilateral (MLA) do IAF
conduzem avaliações regulares entre si para assegurar a
equivalência de seus programas de acreditação. Os MLAs do IAF
operam em dois níveis:
Um MLA para a acreditação de OACs para normas, incluindo a
ISO/IEC 17020 para organismos de inspeção, a ISO/IEC 17021-1 para
organismos de certificação de sistemas de gestão, a ISO/IEC 17024
para organismos de certificação de pessoas e a ISO/IEC 17065 para
organismos de certificação de produtos, é considerado uma estrutura
para o MLA. Uma estrutura para o MLA fornece confiança que OACs
acreditados são igualmente dignos de confiança no desempenho das
atividades de avaliação da conformidade.
Um MLA para a acreditação de OACs que também inclui a norma de
avaliação da conformidade específica ou esquema, como o escopo da
acreditação, fornece confiança na equivalência da certificação.
Um MLA do IAF fornece a confiança necessária para a aceitação da
certificação pelo mercado. Uma organização ou pessoa com
certificação para uma norma específica ou esquema que é acreditado
por um OA signatário do MLA do IAF pode ser reconhecido
mundialmente facilitando consequentemente o comércio
internacional.
Introdução aos Documentos Mandatórios do IAF
O termo "convém" é usado neste documento para indicar meios
reconhecidos de atender aos requisitos da norma. O Organismo de
Avaliação da Conformidade (OAC) pode atendê-los de forma
equivalente, contanto que possa demonstrá-los ao Organismo de
Acreditação (OA). O termo "deve" é usado neste documento para
indicar aquelas disposições que, refletindo os requisitos da norma
pertinente, são mandatórias.
_______________________
/ANEXOS
-
NIT-DICOR-054 REV.
09 PÁGINA
5/56
ANEXO A - DOCUMENTO MANDATÓRIO DO IAF PARA A CERTIFICAÇÃO DE
MULTISITES BASEADA EM AMOSTRAGEM (IAF MD 1:2007)
Este documento é mandatório para a consistente aplicação da
cláusula 9.1.5 da ABNT NBR ISO/IEC 17021 e é baseado na diretriz
previamente fornecida no Anexo 3 do IAF GD2:2005 e IAF GD6:2003
cláusula G.5.3.5 - G.5.3.13. Todas as cláusulas da ABNT NBR ISO/IEC
17021:2007 continuam a ser aplicadas e este documento não substitui
qualquer dos requisitos daquela norma. Este documento mandatório
não é exclusivamente para Sistemas de Gestão da Qualidade (SGQ) e
Sistemas de Gestão Ambiental (SGA) e pode ser utilizado para outros
sistemas de gestão. Contudo normas pertinentes podem fornecer
requisitos específicos para multisites ou impedir o uso de
amostragem (ex. ISO/IEC 27006, ISO/TS 22003). 0. INTRODUÇÃO 0.1
Este documento é para a auditoria e, se apropriado, a certificação
de sistemas de gestão em organizações com uma rede de sites para
assegurar que a auditoria proporciona confiança adequada na
conformidade do sistema de gestão para a norma apropriada através
de todos os sites listados e que a auditoria é eficaz e viável em
termos econômicos e operacionais. 0.2 Normalmente, convém que a
auditoria inicial para certificação e subsequentes auditorias de
supervisão e recertificação ocorram em todo site da organização que
deve ser coberto pela certificação. Entretanto, quando a atividade
de uma organização sujeita à certificação for realizada de forma
similar em sites diferentes, estando todos sujeitos ao controle e
autoridade da organização, um organismo de certificação poderá
utilizar procedimentos apropriados para amostragem dos sites na
auditoria inicial e subsequentes auditorias de supervisão e
recertificação. Este documento refere-se às condições sob as quais
a certificação multisite é aceita para organismos de certificação
acreditados incluindo o cálculo do tamanho da amostra e duração da
auditoria. 0.3 Este documento não se aplica a auditorias de
organizações que tenham multisites onde fundamentalmente
dissimilares processos ou atividades são usados nos sites
diferentes, ou numa combinação de sites, embora eles possam estar
sob o mesmo sistema de gestão. As condições sob as quais os
organismos de certificação podem fazer qualquer redução na
auditoria completa normal de todos os sites, nestas circunstâncias,
têm que ser justificadas em cada site onde a redução é proposta.
0.4 Este documento é aplicável a organismos de certificação
acreditados que empregam amostragem em suas auditoria e
certificação de organizações multisites. Não obstante, um organismo
de certificação acreditado poderá divergir excepcionalmente deste
documento desde que seja capaz de apresentar justificativas
pertinentes. Estas justificativas devem, sob avaliação pelo
organismo de acreditação, demonstrar que o mesmo nível de confiança
na conformidade do sistema de gestão, através de todos os sites
listados, pode ser obtida. 0.5 Quando uma organização é considerada
uma candidata para certificação com base na amostragem, o organismo
de certificação deve ter arranjos para explicar a aplicação deste
documento para a organização antes do início da auditoria. 1.
DEFINIÇÕES 1.1. Organização O termo organização é usado para
designar qualquer empresa ou outra organização que possua um
sistema de gestão sujeito à auditoria e certificação.
-
NIT-DICOR-054 REV.
09 PÁGINA
6/56
1.2. Site Um site é uma locação permanente onde uma organização
realiza trabalho ou serviço. 1.3. Site Temporário Um site
temporário é aquele estabelecido por uma organização para
desempenhar trabalho específico ou serviço por um período de tempo
finito e que não se tornará um site permanente (p. ex. site de
construção). 1.4. Sites Adicionais Um novo site ou grupo de sites
que serão adicionados a uma rede multisite certificada existente.
1.5. Organização Multisite Uma organização multisite é definida
como uma organização que tenha uma função central identificada
(daqui por diante designada como escritório central - mas não
necessariamente a sede da organização), onde determinadas
atividades são planejadas, controladas ou gerenciadas, e uma rede
de escritórios locais ou filiais (sites), onde tais atividades são
executadas completa ou parcialmente. 2. APLICAÇÃO 2.1 Site 2.1.1 Um
site pode incluir todos os terrenos nos quais atividades sob o
controle de uma organização numa dada locação são realizadas
incluindo qualquer armazenamento conectado ou associado de
matéria-prima, subprodutos, produtos intermediários, produtos
finais e resíduos, e qualquer equipamento ou infraestrutura
envolvidos nas atividades, fixos ou não. Alternativamente, quando
requerido por lei, definições estabelecidas por regimes de
licenciamento nacional ou local devem ser aplicados. 2.1.2 Quando
não é viável definir a locação (p. ex. para serviços), convém que a
cobertura da certificação leve em conta as atividades da sede da
organização, bem como a entrega dos seus serviços. Quando
pertinente, o organismo de certificação pode decidir que a
auditoria de certificação seja conduzida somente onde a organização
entrega seus serviços. Em tais casos, todas as interfaces com seu
escritório central devem ser identificadas e auditadas. 2.2 Site
Temporário 2.2.1 Sites temporários que estão cobertos pelo sistema
de gestão da organização podem estar sujeitos à auditoria com base
amostral para fornecer evidência da operação e eficácia do sistema
de gestão. Eles podem, contudo, ser incluídos dentro do escopo de
uma certificação multisite, sujeita a acordo entre o organismo de
certificação e a organização cliente. Quando incluído no escopo,
tais sites devem ser identificados como temporários. 2.3
Organização Multisite 2.3.1 A organização multisite não precisa ser
uma entidade legal única, porém todos os sites devem ter um vínculo
legal ou contratual com o escritório central da organização e devem
estar sujeitos a um sistema de gestão comum, o qual é formulado,
estabelecido e sujeito à supervisão contínua e auditorias internas
pelo escritório central. Isto significa que o escritório central
tem direito de requerer
-
NIT-DICOR-054 REV.
09 PÁGINA
7/56
que os sites implementem ações corretivas, quando necessárias,
em qualquer site. Quando for aplicável, convém que esta condição
seja estabelecida no contrato formal entre o escritório central e
os sites. Exemplos de possíveis organizações multisite:
Organizações que operam com franquia
Empresas de fabricação com uma rede de escritórios de vendas
(este documento aplicar-se-ia à rede de vendas)
Empresas de serviço com sites múltiplos oferecendo um serviço
similar
Empresas com várias filiais 3. CRITÉRIOS DE ELEGIBILIDADE PARA A
ORGANIZAÇÃO 3.0.1 Os processos de todos os sites têm que ser
essencialmente do mesmo tipo e têm de ser operados por métodos e
procedimentos similares. Quando alguns dos sites sob consideração
conduzem processos similares, mas em menor número que os demais
processos, eles podem ser elegíveis para inclusão na certificação
multisite, desde que os sites que conduzem a maior parte dos
processos ou processos críticos sejam sujeitos à auditoria
completa. 3.0.2 Organizações que conduzem seus negócios através de
processos vinculados em locações diferentes são também elegíveis
para amostragem, desde que sejam atendidas todas as outras
cláusulas deste documento. Quando os processos em cada locação não
são similares, mas são claramente vinculados, o plano de amostragem
deve incluir no mínimo um exemplo de cada processo conduzido pela
organização (p.ex. fabricação de componentes eletrônicos em uma
locação, montagem dos mesmos componentes – pela mesma empresa em
muitas outras locações). 3.0.3 O sistema de gestão da organização
deve estar sob uma plano controlado e administrado centralmente e
estar sujeito à análise crítica da administração central. Todos os
sites pertinentes (inclusive a função de administração central)
devem estar sujeitos ao programa de auditoria interna da
organização e todos devem ter sido auditados de acordo com esse
programa, antes do organismo de certificação iniciar sua auditoria.
3.0.4 Deve ser demonstrado que o escritório central da organização
estabeleceu um sistema de gestão de acordo com a norma de sistema
de gestão pertinente sob auditoria e que toda a organização atende
aos requisitos da norma. Deve-se incluir a análise dos regulamentos
pertinentes. 3.0.5 Convém que a organização demonstre sua
capacidade para coleta e análise de dados (inclusive, mas não
limitado aos itens listados a seguir) de todos os sites, inclusive
do escritório central, e sua autoridade e capacidade para iniciar
alteração organizacional, se necessário:
Documentação do sistema e mudanças do sistema;
Análise crítica pela administração;
Reclamações;
Avaliação de ações corretivas;
Planejamento de auditoria interna e avaliação do resultado;
Mudanças nos aspectos e impactos associados para sistemas de
gestão ambiental (SGA) e
Requisitos legais diferentes. 3.0.6 Nem todas as organizações
que se encaixam na definição de “organização multisite” serão
elegíveis para amostragem.
-
NIT-DICOR-054 REV.
09 PÁGINA
8/56
3.0.7 Nem todas as normas de sistemas de gestão são adequadas na
consideração para certificação multisite. Por exemplo, amostragem
multisite poderia não ser adequada quando a auditoria de fatores
locais variáveis é um requisito da norma. Regras específicas
aplicam-se, também, para alguns esquemas, por exemplo, aqueles que
incluem séries automotiva (TS 16949) e aeroespacial (AS 9100), e os
requisitos de tais esquemas devem ter prioridade. 3.0.8 Convém que
os organismos de certificação tenham procedimentos documentados
para restringir tal amostragem quando a amostragem de site não for
apropriada para obter confiança suficiente na eficácia do sistema
de gestão sob auditoria. Convém que tais restrições sejam definidas
pelo organismo de certificação com relação a:
Setores ou atividades do escopo (isto é, baseado na avaliação de
riscos ou de complexidade associados com esse setor ou
atividade);
Tamanho dos sites elegíveis para auditoria multisite;
Variações na implementação local do sistema de gestão, tal como
a necessidade de recursos frequentes para utilização de planos,
dentro do sistema de gestão, para abordar diferentes atividades ou
diferentes sistemas contratuais ou reguladores;
Uso de sites temporários que operam de acordo com o sistema de
gestão da organização, e os quais não serão incluídos dentro do
escopo da certificação.
4. CRITÉRIOS DE ELEGIBILIDADE PARA O ORGANISMO DE CERTIFICAÇÃO
4.0.1 O organismo de certificação deve fornecer informações para a
organização sobre a aplicação deste documento e as normas
pertinentes de sistema de gestão, antes de começar o processo de
auditoria, e convém não prosseguir se quaisquer das provisões não
forem atendidas. Antes de começar o processo de auditoria, convém
que o organismo de certificação informe à organização que o
certificado não será emitido se durante a auditoria inicial forem
detectadas não conformidades. 4.1. Análise Crítica de Contrato
4.1.1 Convém que os procedimentos do organismo de certificação
assegurem que a análise crítica inicial de contrato identifica a
complexidade e escala das atividades cobertas pelo sistema de
gestão, sujeitas à certificação, bem como quaisquer diferenças
entre os sites como base para a determinação do nível de
amostragem. 4.1.2 O organismo de certificação deve identificar a
função central da organização que tem contrato legal e vigente para
o fornecimento das atividades de certificação. 4.1.3 O organismo de
certificação deve verificar, em cada caso individual, em que
extensão os sites de uma organização operam substancialmente o
mesmo tipo de processos, de acordo com os mesmos procedimentos e
métodos. Veja a cláusula 3.0.1 para sites que conduzem processos
similares, mas em menor número que os demais processos, e a
cláusula 3.0.2 para sites envolvendo processos conectados. Somente
após uma verificação completa, que confirme, pelo organismo de
certificação, de que todos os sites propostos para inclusão no
multisite atendem às provisões de elegibilidade, é que os
procedimentos de amostragem poderão ser aplicados a cada site
individualmente. 4.1.4 Se nem todos os sites de uma organização de
serviço, onde a atividade sujeita à certificação estiver sendo
realizada, estiverem prontos para serem submetidos à certificação
ao mesmo tempo, o organismo de certificação deve solicitar à
organização que informe, com antecedência, quais os sites que ela
quer incluir no certificado e aqueles que serão excluídos.
-
NIT-DICOR-054 REV.
09 PÁGINA
9/56
4.2 Auditoria 4.2.1 O organismo de certificação deve ter
procedimentos documentados para lidar com as auditorias sob seu
procedimento multisite. Tais procedimentos devem estabelecer o modo
que o organismo de certificação se convence de que o mesmo sistema
de gestão controla as atividades em todos os sites e que os
critérios de elegibilidade para a organização na cláusula 3
anterior são atendidos. Este requisito também é aplicável a um
sistema de gestão onde são usados documentos eletrônicos, controle
de processo ou outros processos eletrônicos. O organismo de
certificação deve justificar e registrar as razões para prosseguir
com a abordagem multisite. 4.2.2 Se mais de uma equipe auditora
estiver envolvida na auditoria ou supervisão da rede, convém que o
organismo de certificação designe um único auditor líder cuja
responsabilidade seja a de consolidar as constatações de todas as
equipes auditoras e produzir um relatório de síntese. 4.3 Não
Conformidades 4.3.1 Quando não conformidades, conforme definido na
cláusula 9.1.15 da ABNT NBR ISO/IEC 17021, forem encontradas em
qualquer site individual, seja por meio de auditoria interna da
organização ou de auditoria pelo organismo de certificação, convém
realizar uma investigação para determinar se os outros sites podem
ser afetados. Portanto, convém que o organismo de certificação
requeira que a organização analise criticamente as não
conformidades para determinar se elas indicam uma deficiência geral
do sistema aplicável ou não a todos os sites. Em caso positivo,
convém que ação corretiva seja realizada e verificada tanto no
escritório central como nos sites individuais afetados. Em caso
negativo, convém que a organização seja capaz de demonstrar ao
organismo de certificação a justificativa para limitar seu
acompanhamento da ação corretiva. 4.3.2 O organismo de certificação
deve requerer a evidência dessas ações e deve aumentar sua
frequência de amostragem e/ou o tamanho da amostra até estar
convencido de que o controle foi restabelecido. 4.3.3 Durante o
processo de tomada de decisão, se qualquer site tiver uma não
conformidade, conforme definido na cláusula 9.1.15 (b) da ABNT NBR
ISO/IEC 17021, a certificação deve ser negada a toda rede de sites
listada, pendente de ação corretiva satisfatória. 4.3.4 Não deve
ser admissível que, para superar o obstáculo levantado pela
existência de uma não conformidade em um único site, a organização
procure excluir do escopo o site "problemático” durante o processo
de certificação. Tal exclusão pode somente ser acordada com
antecedência (Veja cláusula 4.1.4). 4.4 Documentos de Certificação
4.4.1 Documentos de certificação podem ser emitidos, cobrindo
múltiplos sites desde que cada site incluído no escopo da
certificação tenha sido auditado individualmente pelo organismo de
certificação ou auditado utilizando-se abordagem de amostragem
definida neste documento. 4.4.2 O organismo de certificação deve
fornecer documentos de certificação aos clientes certificados por
qualquer meio a sua escolha. Tais documentos de certificação devem
atender em todos os aspectos à ABNT NBR ISO/IEC 17021. 4.4.3 Estes
documentos devem conter o nome e endereço do escritório central da
organização e uma lista de todos os sites os quais os documentos de
certificação se relacionam. O escopo ou outra referência nestes
documentos deve tornar claro que as atividades certificadas são
realizadas pela rede de sites da lista. Se o escopo de certificação
dos sites só for emitido como parte do escopo geral da organização,
sua aplicabilidade a todos os sites deve ser claramente
estabelecida. Quando
-
NIT-DICOR-054 REV.
09 PÁGINA
10/56
sites temporários são incluídos no escopo, tais sites devem ser
identificados como temporários nos documentos de certificação.
4.4.4 Documentos de certificação poderão ser emitidos para a
organização para cada site coberto pela certificação com a condição
de que estes contenham o mesmo escopo ou um subescopo daquele
escopo, e que inclua uma referência clara aos documentos de
certificação principais. 4.4.5 A documentação da certificação será
totalmente cancelada, se o escritório central ou quaisquer dos
sites não atenderem às provisões necessárias para a manutenção da
certificação. 4.4.6 A lista de sites deve ser mantida atualizada
pelo organismo de certificação. Para esse fim, o organismo de
certificação deve solicitar à organização que informe sobre o
fechamento de qualquer dos sites cobertos pela certificação. A
falha no fornecimento dessas informações será considerada pelo
organismo de certificação como mau uso da certificação, e convém
que o organismo aja consequentemente de acordo com os seus
procedimentos. 4.4.7 Sites adicionais podem ser adicionados a uma
certificação existente como resultado das atividades de supervisão
ou recertificação ou aumento de escopo. O organismo de certificação
deve ter procedimentos documentados para a adição de novos sites. 5
AMOSTRAGEM 5.1 Metodologia 5.1.1 Convém que a amostra seja
parcialmente seletiva, com base nos fatores estabelecidos abaixo e
parcialmente não seletiva, e que resulte na seleção de uma gama de
diferentes sites, sem excluir o elemento aleatório de amostragem.
5.1.2 Convém que pelo menos 25% da amostra seja selecionada
aleatoriamente. 5.1.3 Levando em consideração os critérios
mencionados a seguir, convém que o restante seja escolhido de forma
que as diferenças entre os sites selecionados, no período de
validade do certificado, sejam as maiores possíveis. 5.1.4 Os
critérios de seleção do site poderão incluir entre outros os
seguintes aspectos:
Resultados de auditorias internas de site e análises críticas ou
certificação prévia;
Registros de reclamações e outros aspectos pertinentes de ação
corretiva e preventiva;
Variações significativas no tamanho dos sites;
Variações nas mudanças de tendência e procedimentos de
trabalho;
Complexidade do sistema de gestão e processos conduzidos nos
sites;
Modificações desde a última auditoria de certificação;
Maturidade do sistema de gestão e conhecimento da
organização;
Questões ambientais e extensão dos aspectos e impactos
associados para sistemas de gestão ambiental (SGA);
Diferenças de cultura, idioma e requisitos regulatórios; e
Dispersão geográfica. 5.1.5 Não é obrigatório que esta seleção
seja feita no início do processo de auditoria. Ela também pode ser
feita quando a auditoria no escritório central tiver sido
concluída. Em qualquer caso, o escritório central deve ser
informado sobre os sites a serem incluídos na amostra. O envio
destas informações pode ser feito com pouca antecedência, mas
convém que permita tempo adequado para a preparação para a
auditoria.
-
NIT-DICOR-054 REV.
09 PÁGINA
11/56
5.2 Tamanho da Amostra 5.2.1 O organismo de certificação deve
ter um procedimento documentado para determinação da amostra a ser
tomada ao auditar sites como parte das auditorias e certificação de
uma organização multisite. Convém que este procedimento leve em
consideração todos os fatores descritos neste documento. 5.2.2 O
organismo de certificação deve ter registros sobre cada solicitação
de amostragem multisite justificando que ele está operando de
acordo com este documento. 5.2.3 O cálculo a seguir é um exemplo
baseado no exemplo de uma atividade de pequeno a médio risco com
menos de 50 empregados em cada site. O número mínimo de sites a
serem visitados por auditoria é de:
Auditoria inicial: convém que o tamanho da amostra seja a raiz
quadrada do número de sites
remotos: (y=x), arredondado ao número inteiro superior.
Auditoria de supervisão: convém que o tamanho da amostra anual
seja a raiz quadrada do
número de sites remotos com 0,6 como um coeficiente (y=0,6 x),
arredondado ao número inteiro superior.
Auditoria de Recertificação: convém que o tamanho da amostra
seja o mesmo de uma auditoria inicial. Não obstante, quando o
sistema de gestão demonstrar ser eficaz num período de
três anos, o tamanho da amostra poderá ser reduzido por um fator
de 0,8, isto é: (y=0,8 x), arredondado ao número inteiro
superior.
5.2.4 Convém que o organismo de certificação defina dentro do
seu sistema de gestão os níveis de risco das atividades, como
aplicado acima. 5.2.5 O escritório central também deve ser auditado
durante cada auditoria inicial de certificação e no mínimo
anualmente como parte da supervisão. 5.2.6 Convém que o tamanho ou
a frequência da amostra seja aumentado quando a análise de risco do
organismo de certificação da atividade coberta pelo sistema de
gestão, sujeito à certificação, indicar circunstâncias especiais em
relação a fatores tais como:
O tamanho dos sites e número de empregados (p.ex. mais de 50
empregados num site);
A complexidade do nível de risco da atividade e do sistema de
gestão;
Variações nas práticas de trabalho (p.ex. trabalho em
turno);
Variações nas atividades empreendidas;
Significância e extensão dos aspectos e impactos associados para
sistemas de gestão ambiental (SGA);
Registros de reclamações e outros aspectos pertinentes de ação
corretiva e preventiva;
Quaisquer aspectos multinacionais;
Resultados de auditorias internas e análise crítica. 5.2.7
Quando a organização tiver um sistema hierárquico de filiais (p.
ex. escritório sede (central), escritórios nacionais, escritórios
regionais, filiais locais), o modelo de amostragem para a auditoria
inicial, conforme definido anteriormente, se aplica a cada nível.
Exemplos:
1 escritório sede: visitado em cada ciclo de auditoria (inicial
ou supervisão ou recertificação) 4 escritórios nacionais: amostra =
2: mínimo 1, aleatoriamente 27 escritórios regionais: amostra = 6:
mínimo 2, aleatoriamente 1700 filiais locais: amostra = 42: mínimo
11, aleatoriamente.
-
NIT-DICOR-054 REV.
09 PÁGINA
12/56
5.3 Tempos de Auditoria 5.3.1 O tempo utilizado na auditoria de
cada site individual é outro elemento importante a ser considerado,
e o organismo de certificação deve estar preparado para justificar
o tempo utilizado nas auditorias multisite quanto à sua política
global de alocação de tempo de auditoria. 5.3.2 Normalmente, convém
que o número de homens dia por site, incluindo o escritório
central, seja calculado para cada site, utilizando-se o mais
recente documento publicado pelo IAF para o cálculo de homens.dia,
para a norma pertinente. 5.3.3 Podem ser aplicadas reduções que
levem em consideração as cláusulas que não sejam pertinentes ao
escritório central e/ou sites locais. As razões para a
justificativa de tais reduções devem ser registradas pelo organismo
de certificação. Nota: Sites que conduzem a maior parte dos
processos ou processos críticos não estão sujeitos à redução
(cláusula 3.0.1). 5.3.4 Convém que o tempo total utilizado na
auditoria inicial e supervisão, que é a soma total do tempo
utilizado em cada site adicionado ao do escritório central, nunca
seja menor do que aquele que teria sido calculado para o tamanho e
a complexidade da operação, caso todo o trabalho tivesse sido
realizado em um único site (isto é, com todos os empregados da
empresa no mesmo site). 5.4 Sites Adicionais 5.4.1 Na solicitação
de um grupo novo de sites para juntar-se a uma rede de multisites
já certificada, convém que cada grupo novo de sites seja
considerado como um conjunto independente para a determinação do
tamanho da amostra. Após a inclusão do grupo novo no certificado,
convém que os novos sites sejam acumulados aos outros já existentes
para determinar o tamanho da amostra para futuras auditorias de
supervisão ou recertificação.
/ANEXO B
-
NIT-DICOR-054 REV.
09 PÁGINA
13/56
ANEXO B - DOCUMENTO MANDATÓRIO DO IAF PARA A TRANSFERÊNCIA DA
CERTIFICAÇÃO ACREDITADA DE SISTEMAS DE GESTÃO (IAF MD 2:2017)
Este documento é mandatório para a consistente aplicação da
cláusula 9.1.3 da ABNT NBR ISO/IEC 17021-1:2015. Todas as cláusulas
da ABNT NBR ISO/IEC 17021-1:2015 continuam a ser aplicadas e este
documento não substitui qualquer dos requisitos daquela norma. 0.
INTRODUÇÃO 0.1 Este documento fornece critérios normativos sobre a
transferência de certificação de sistemas de gestão acreditada
entre organismos de certificação. Os critérios podem, também, ser
aplicados no caso de aquisição de organismos de certificação
acreditados por um signatário do MLA do IAF. 0.2 O objetivo deste
documento é assegurar a manutenção da integridade das certificações
de sistema de gestão acreditadas, emitidas por um organismo de
certificação, se transferidas posteriormente para outro organismo
semelhante. 0.3 O documento fornece critérios mínimos para a
transferência de certificação. Os organismos de certificação
poderão implementar procedimentos ou ações que sejam mais
restritivas do que as contidas aqui, desde que a liberdade da
organização cliente em escolher um organismo de certificação não
seja indevida ou injustamente restringida. 1. DEFINIÇÃO 1.1
Transferência de Certificação A transferência de certificação é
definida como o reconhecimento da existência e validade de uma
certificação de sistema de gestão, concedida por um organismo de
certificação acreditado (daqui por diante denominado "organismo de
certificação emissor”), por outro organismo de certificação
acreditado (daqui por diante denominado "organismo de certificação
receptor”), com a finalidade de emitir sua própria certificação.
Observação: A certificação múltipla (certificação simultânea por
mais de um organismo de certificação) não recai na definição
anterior e não é encorajada pelo IAF. 2. REQUISITOS MÍNIMOS 2.1
Acreditação 2.1.1 Somente certificações cobertas pela acreditação
de um signatário do MLA do IAF ou signatário do MLA Regional no
nível 3 e, onde aplicável, níveis 4 e 5, devem ser elegíveis para
transferência. As organizações portadoras de certificações que não
estejam cobertas por tais acreditações devem ser tratadas como
novos clientes. 2.1.2 Somente certificações acreditadas válidas
devem ser transferidas. Certificações que estejam em vias de serem
suspensas não devem ser aceitas para transferência. 2.1.3 Em casos
onde a certificação foi concedida por um organismo de certificação
que tenha cessado a negociação ou que a acreditação expirou, esteja
suspenso ou cancelado, a transferência deve ser finalizada no prazo
de 6 meses ou no vencimento da certificação, o que vier
primeiro.
-
NIT-DICOR-054 REV.
09 PÁGINA
14/56
2.2. Análise Crítica antes da Transferência 2.2.1 O organismo de
certificação receptor deve ter um processo para obter informações
suficientes a fim de tomar a decisão pela certificação e informar
ao cliente da transferência do processo. Esta informação deve
incluir, no mínimo, disposições relativas ao ciclo de certificação.
2.2.2 O organismo de certificação deve realizar a revisão da
certificação do cliente a ser transferido. Esta revisão deve ser
conduzida por uma análise da documentação e onde identificado como
necessário por esta análise, por exemplo, identificação de não
conformidades maiores deve incluir uma pré-visita de transferência
ao cliente para confirmar a validade da certificação. Nota: a
pré-visita de transferência não é uma auditoria. 2.2.3 O organismo
de certificação receptor deve determinar os critérios de
competência para o pessoal envolvido na análise crítica antes da
transferência. A revisão pode ser conduzida por uma ou mais
pessoas. O indivíduo ou grupo que realiza a pré-visita deve ter a
mesma competência que é requerida para uma equipe de auditoria
apropriada para o escopo da certificação que está sendo analisado.
2.2.4 A análise deve abranger minimamente os seguintes aspectos e
as evidências devem ser documentadas: (i) confirmação de que as
atividades certificadas do cliente estão cobertas e válidas pelo
escopo da acreditação do organismo de certificação receptor; (ii)
confirmação de que o escopo acreditado do organismo de certificação
emissor está coberto pelo escopo de acreditação do MLA do IAF; (ii)
os motivos que levaram à transferência; (iv) que o site ou sites
que desejam a transferência da certificação possuem uma
certificação acreditada válida; (v) relatórios de auditoria da
certificação inicial ou recertificação mais recentes, e o relatório
da última supervisão; o status de todas as não conformidades
críticas evidenciadas nos relatórios ou outros meios disponíveis,
documentação relevante relacionada ao processo de certificação. Se
esses relatórios de auditoria não estiverem disponíveis ou se a
auditoria de supervisão ou recertificação não tiver sido
finalizada, como exigido pelo programa de auditoria do organismo de
certificação emissor, então a organização deve ser tratada como um
novo cliente; (vi) recebimento de reclamações e ações tomadas;
(vii) considerações relevantes para estabelecer um plano de
auditoria e um programa de auditoria. O programa de auditoria
estabelecido pelo organismo de certificação emissor deveria ser
revisado, se disponibilizado. Ver requisito 2.3.4 deste documento;
e (viii) qualquer envolvimento atual do cliente a ser transferido
com órgãos regulamentadores relevantes para o escopo da
certificação em relação à conformidade legal. 2.3 Transferência de
Certificação 2.3.1 De acordo com o requisito 9.5.2 da ABNT NBR
ISO/IEC 17021-1:2015, o organismo de certificação receptor não deve
aceitar a transferência até que:
-
NIT-DICOR-054 REV.
09 PÁGINA
15/56
(i) tenha sido verificada a implementação de correções e ações
corretivas em relação a todas as não conformidades críticas
maiores, e (ii) tenham sido aceitos os planos de correção e ação
corretiva para todas as não conformidades menores pendentes do
cliente solicitante da transferência. 2.3.2 Se a análise crítica de
pré-transferência (análise documental e/ou visita de
pré-transferência) identificar questões que impeçam a conclusão da
transferência, o organismo de certificação receptor deve tratar o
cliente como um cliente novo. A justificativa para esta decisão
deve ser explicada ao solicitante da transferência e deve ser
documentada pelo organismo de certificação receptor e os registros
mantidos. 2.3.3 O processo normal de tomada de decisão deve seguir
de acordo com o requisito 9.5 da ABNT NBR ISO/IEC 17021-1:2015
incluindo o fato de que o pessoal responsável pela tomada de
decisão deve ser diferente daquele que realizou a análise crítica
da pré-transferência. 2.3.4 Se não forem identificados problemas na
análise crítica da pré-transferência, o ciclo de certificação deve
basear-se no ciclo de certificação anterior e o organismo de
certificação receptor deve estabelecer um programa de auditoria
para o restante do ciclo de certificação. NOTA: O organismo de
certificação receptor pode citar a data da certificação inicial da
organização nos documentos de certificação com a indicação de que a
organização foi certificada por outro organismo de certificação
antes de uma determinada data. Se o organismo de certificação
receptor teve que tratar o solicitante como um novo cliente, como
resultado da análise crítica da pré-transferência, o ciclo de
certificação deve começar com a decisão pela certificação. 2.3.5 O
organismo de certificação receptor deve tomar a decisão pela
certificação antes que qualquer auditoria de supervisão ou
recertificação tenha sido iniciada. 2.4 Cooperação entre Organismos
de Certificação Emissores e Receptores 2.4.1 A cooperação entre
organismos de certificação emissores e receptores é essencial para
o processo efetivo de transferência e a integridade da
certificação. Quando solicitado, o organismo de certificação
emissor deve fornecer ao organismo de certificação receptor todos
os documentos e informações exigidas por este documento. Quando não
for possível a comunicação com o organismo de certificação emissor,
o organismo de certificação receptor deve registrar as razões e
fazer todos os esforços para obter as informações necessárias por
outras fontes. 2.4.2 O cliente solicitante da transferência deve
autorizar que o organismo de certificação emissor forneça as
informações solicitadas pelo organismo de certificação receptor. O
organismo de certificação emissor não deve suspender ou cancelar o
certificado da organização após a notificação de que a organização
está em processo de transferência para o organismo de certificação
receptor, se o cliente continua cumprindo com os requisitos de
certificação.
/ANEXO C
-
NIT-DICOR-054 REV.
09 PÁGINA
16/56
ANEXO C - DOCUMENTO MANDATÓRIO DO IAF PARA PROCEDIMENTOS
AVANÇADOS DE SUPERVISÃO E RECERTIFICAÇÃO (PASR) (IAF MD 3:2008)
Este documento fornece critérios normativos para procedimentos
avançados de supervisão e recertificação (PASR), para a consistente
aplicação da cláusula 9.1.1 da ABNT NBR ISO/IEC 17021:2007, para
determinar ajustes subsequentes no programa de auditoria. Este
documento considera somente Sistemas de Gestão da Qualidade (SGQ) e
Sistemas de Gestão Ambiental (SGA), os quais os membros do IAF têm
experiência na implementação de PASR ou de suas metodologias
predecessoras. O uso de PASR não é mandatório, mas se um organismo
de acreditação desejar permitir seu organismo de certificação
acreditado e seu(s) cliente(s) optarem pelo uso de PASR, é um
requisito do IAF que o organismo de certificação e seu(s)
cliente(s) atendam a este documento e estejam aptos a demonstrar
conformidade ao organismo de acreditação. 0 INTRODUÇÃO 0.1 Nos
casos em que uma organização estabeleceu confiança em seu sistema
de gestão (SGQ e/ou SGA), ao demonstrar regularmente eficácia
durante um período, o organismo de certificação, sob consulta com a
organização, poderá decidir aplicar os Procedimentos Avançados de
Supervisão e Reavaliação (PASR) possibilitados por este documento.
Tal programa avançado de supervisão e reavaliação poderá ter um
grau de confiança maior (mas não total) nos processos de auditoria
interna e análise crítica pela administração da organização,
incluir tópicos específicos para supervisão, levar em consideração
entradas específicas de projeto da organização e/ou usar outros
métodos, conforme apropriado, para demonstrar conformidade do
sistema de gestão. 0.2 O objetivo deste documento é assegurar o
fornecimento de uma auditoria mais eficaz e eficiente de
organizações que possuam um registro de desempenho comprovado
mantendo, ao mesmo tempo, a integridade dos respectivos
certificados de sistema de gestão acreditados. 0.3 Este documento
estabelece os requisitos mínimos para a aplicação do PASR. Os
organismos de certificação poderão implementar procedimentos ou
ações que sejam mais restritivas do que as contidas aqui, desde que
um pedido justificável da organização para o PASR não seja indevido
ou injustamente restringido. 1 REQUISITOS MÍNIMOS 1.1 Pré-requisito
A fim de utilizar o PASR, o organismo de certificação deve
primeiramente demonstrar para um organismo de acreditação
signatário do MLA do IAF: a) que esteve operando um programa de
certificação acreditado para o sistema de gestão pertinente (SGQ
e/ou SGA) por no mínimo um ciclo completo de acreditação. b) que é
competente para elaborar um programa de PASR para cada organização
individual, no sistema de gestão pertinente (SGQ e/ou SGA), de
acordo com os requisitos da cláusula 7.3 da NBR ISO 9001:2000, e
utilizando os critérios de entrada de projeto mencionados na
cláusula 1.3.2 a seguir.
NOTA: A referência é feita aqui à NBR ISO 9001 visto que ela
especifica os requisitos para o organismo de certificação elaborar
um programa para PASR, indiferentemente se ele estiver operando
certificação de SGQ ou SGA.
-
NIT-DICOR-054 REV.
09 PÁGINA
17/56
1.2 Escopo de acreditação A competência do organismo de
certificação em atender ao item 1.1 (b) anterior deve ser avaliada
pelo organismo de acreditação. Se a avaliação for bem sucedida,
deve-se incluir uma referência específica à aprovação para PASR
para SGQ e/ou SGA, conforme pertinente, no escopo de acreditação do
organismo de certificação. 1.3 Critérios de elegibilidade e de
entrada de projeto O organismo de certificação deve informar ao
organismo de acreditação antes de cada nova utilização do PASR para
cada organização específica, e deve ser capaz de demonstrar que os
critérios constantes a seguir nas cláusulas 1.3.1 e 1.3.2 foram
satisfeitos: 1.3.1 Critérios de elegibilidade a) O organismo de
certificação deve confirmar que o sistema de gestão da organização
teve sua conformidade demonstrada com os requisitos da(s) norma(s)
aplicável(is) por um período de no mínimo um ciclo completo de
certificação incluindo as auditorias inicial, de supervisão e de
recertificação. NOTA: O resultado da primeira auditoria de
recertificação (sem aplicar PASR) da organização, conduzida ao
final de um ciclo de certificação de três anos, poderá servir de
base para o organismo de certificação confirmar que a conformidade
foi demonstrada. b) Todas as não conformidades levantadas durante o
ciclo de certificação imediatamente antes da utilização do PASR
devem ter sido resolvidas com sucesso. c) Para um SGA, o organismo
de certificação deve confirmar que a organização estabeleceu
conformidade com os requisitos legais aplicáveis e que não teve
quaisquer sanções impostas pela(s) autoridade(s) regulamentadora(s)
pertinente(s) durante o período citado no item a) anterior. d) O
organismo de certificação deve ter combinado com a organização,
indicadores de desempenho adequados, pelos quais possa julgar a
eficácia contínua do sistema de gestão, e deve assegurar que a
organização atende coerentemente às metas de desempenho
combinadas.
(i) Para um SGQ, estes indicadores de desempenho devem abordar,
no mínimo, a capacidade demonstrada da organização em fornecer
regularmente produtos que atendam aos requisitos de regulamentos
aplicáveis e do cliente (veja a cláusula 1.1 da NBR ISO 9001:2000),
e deve incorporar requisitos para a melhoria contínua da eficácia
do SGQ. NOTA: Para um SGQ, entende-se por “indicador” a
característica a ser medida e por “meta” os requisitos
quantitativos/qualitativos a serem atendidos. (ii) Para um SGA,
estes indicadores de desempenho devem abordar, no mínimo, a
capacidade demonstrada da organização em alcançar sua política,
objetivos e metas ambientais e em atender aos requisitos legais
aplicáveis e a outros relacionados com seus aspectos ambientais
(veja a cláusula 4.3.2 da ABNT NBR ISO 14001:2004), e devem
incorporar requisitos para a melhoria contínua e prevenção da
poluição. NOTA: Para um SGA, entende-se por “indicador” a
característica a ser medida e por “meta”, usada no contexto de meta
de desempenho, os requisitos quantitativos/qualitativos a serem
atendidos, que é considerada como sendo idêntica à “meta
ambiental”, conforme definido na ABNT NBR ISO 14001.
-
NIT-DICOR-054 REV.
09 PÁGINA
18/56
e) O organismo de certificação deve ter arranjos executáveis
legalmente com a organização para que esta ofereça acesso às
informações pertinentes. Para um SGQ, estas informações são todos
os dados de satisfação do cliente coletados ou disponíveis de outra
forma. Para um SGA, estas informações são todas as comunicações
pertinentes de partes externas interessadas, e em particular de
autoridade(s) regulamentadora(s) pertinente(s). Quando for
necessário que o organismo de certificação comunique-se diretamente
com a fonte de tais informações para validá-las, devem ser
aplicadas políticas e procedimentos de confidencialidade em comum
acordo. f) O organismo de certificação deve verificar se o processo
de auditoria interna da organização vem sendo gerenciado de acordo
com a diretriz constante na ABNT NBR ISO 19011, em particular
quanto à competência do auditor definida na cláusula 7. O processo
de auditoria interna deve ser coordenado e integrado o suficiente
para fornecer uma avaliação do sistema de gestão como um todo, e
não só o desempenho isolado dos componentes. g) O organismo de
certificação deve ter acordos contratuais vigentes que o permitam
aumentar o escopo, frequência e duração de suas auditorias no caso
de uma deterioração da capacidade da organização em atender às
metas de desempenho combinadas. 1.3.2 Critérios de entrada de
projeto Além dos critérios de entrada específicos da organização, o
projeto de cada PASR individual deve abordar os itens a seguir: a)
A frequência e duração das auditorias do organismo de certificação
devem ser suficientes para permitir que o organismo de certificação
atenda a este documento de critérios, incluindo os itens b) e c) a
seguir, entre outros. Para cada utilização proposta do PASR, o
organismo de certificação deve determinar o tempo básico de auditor
(sem aplicar o PASR) usando os Documentos pertinentes dos Critérios
Normativos ou da Diretriz do IAF e, se aplicável, o Anexo A deste
documento (IAF MD1: 2007) para amostragem de multisites. Se o
organismo de certificação planejar um programa PASR individual que
reduza o tempo de auditor a menos de 70% deste nível básico, o
organismo de certificação deve justificar tais reduções e solicitar
aprovação específica para o organismo de acreditação antes de sua
implementação. NOTA: os Documentos Mandatórios do IAF aplicáveis a
tempo de auditor para SGQ e SGA estão em desenvolvimento. Até que
tais documentos estejam disponíveis, convém que o Anexo 2 do IAF
GD2/ Anexo E da NIT-Dicor-054 (e, quando aplicável o Anexo A)
continuem a ser aplicados para definir o tempo total de auditoria
(Fase 1 + Fase 2). b) Além de auditar um número estatisticamente
significativo de amostras dos processos do sistema de gestão da
organização para confirmar a adequação e eficácia do processo de
auditoria interna, o organismo de certificação deve ele próprio
continuar a realizar, pelo menos, as seguintes atividades a cada
auditoria de supervisão e recertificação no local (com outras
atividades definidas pelo PASR; consulte a cláusula 1.4
abaixo):
Entrevistar a alta direção e o representante da
administração;
Avaliar as entradas e saídas da análise crítica pela
administração, incluindo a verificação da capacidade da organização
em atender às metas de desempenho combinadas;
Analisar criticamente o processo de auditoria interna, incluindo
os procedimentos e registros de auditorias internas, e a
competência dos auditores internos;
Analisar criticamente os planos de ações corretivas e
preventivas e verificar sua implementação eficaz.
-
NIT-DICOR-054 REV.
09 PÁGINA
19/56
c) O organismo de certificação deve assegurar que todos os
requisitos de uma certificação acreditada (incluindo os requisitos
da ABNT NBR ISO/IEC 17021:2007 e de qualquer programa aplicável ao
setor) continuam a ser atendidos. 1.4 Saídas de projeto A saída de
projeto para cada aplicação do programa PASR do organismo de
certificação deve incluir o constante nos itens de (a) a (f), a
seguir: a) A extensão na qual o organismo de certificação utilizará
os processos de auditoria interna e análise crítica pela
administração da organização para complementar as atividades do
organismo de certificação; b) Os critérios para atestar as
auditorias internas da organização, incluindo amostragem dos
processos e dos auditores a serem auditados; c) Os critérios para
aceitar e monitorar a competência dos auditores internos da
organização e o método de relatar os resultados da auditoria
interna; d) Os critérios para ajustes contínuos do programa de
avaliação, levando em consideração a capacidade demonstrada da
organização ao longo do tempo em atender às metas de desempenho
combinadas; e) Os componentes do sistema de gestão que serão
necessariamente auditados pelo organismo de certificação a cada
auditoria de supervisão e recertificação (veja cláusula 1.3.2 b); e
f) Os critérios específicos de competência dos auditores do
organismo de certificação e, quando aplicável, dos especialistas
técnicos. 1.5 Certificados O organismo de certificação não deve
diferenciar entre as metodologias com PASR e sem PASR nos
certificados que ele emitir.
/ANEXO D
-
NIT-DICOR-054 REV.
09 PÁGINA
20/56
ANEXO D - DOCUMENTO MANDATÓRIO DO IAF PARA O USO DE TÉCNICAS DE
AUDITORIA APOIADAS POR COMPUTADOR (TAAC) PARA CERTIFICAÇÃO
ACREDITADA DE SISTEMAS
DE GESTÃO (IAF MD 4:2008)
Este documento é mandatório para a consistente aplicação da ABNT
NBR ISO/IEC 17021 quando técnicas de auditoria apoiadas por
computador são usadas como parte da metodologia de auditoria. O uso
de TAAC não é mandatório, mas se o organismo de certificação e seu
cliente optarem por usarem TAAC é mandatório que eles atendam a
este documento e estejam aptos a demonstrar conformidade ao
organismo de acreditação. 0 INTRODUÇÃO 0.1 Como as tecnologias da
informação e comunicação se tornam cada vez mais sofisticadas, é
importante para os organismos de certificação estar aptos a
utilizarem “Técnicas de Auditoria Apoiadas por Computador” para
melhorar a eficácia e a eficiência da auditoria, e para apoiar e
manter a integridade do processo de auditoria. NOTA: Diretriz sobre
o uso de Técnicas de auditoria apoiadas por computador podem ser
obtidas a partir do site do Grupo de Práticas de Auditoria da
ISO/IAF www.iso.org/tc176/ISO9001AuditingPracticesGroup 0.2 Tais
“Técnicas de Auditoria Apoiadas por Computador” (TAAC”) podem
incluir, por exemplo:
Teleconferência,
Reuniões pela web,
Comunicações interativas pela web,
Acesso eletrônico remoto à documentação do sistema de gestão
e/ou processos do sistema de gestão.
0.3 Os objetivos para a aplicação eficaz das TAAC são: a)
Fornecer uma metodologia que seja suficientemente flexível e
não-prescritiva em natureza para satisfazer as necessidades da
indústria, permitindo às organizações clientes e seus respectivos
organismos de certificação a utilizarem o TAAC para melhorar o
processo de auditoria convencional, e b) Para assegurar que
controles adequados estão nos locais com suficiente supervisão do
organismo de acreditação para evitar abusos e para prevenir
pressões comerciais excessivas que possam comprometer a integridade
do processo de certificação. 1. REQUISITOS 1.1 Confidencialidade De
acordo com a ISO/IEC 17021, cláusula 8.5.1, a segurança e
confidencialidade da informação eletrônica ou eletronicamente
transmitida é particularmente importante quando o organismo de
certificação está usando TAAC. Convém que o organismo de
certificação acorde sobre medidas de segurança da informação
mutuamente aceitáveis com seus clientes antes de utilizar TAAC. 1.2
Requisitos do processo 1.2.1 Além dos requisitos da cláusula 9.1.2
da ABNT NBR ISO/IEC 17021, o plano de auditoria deve identificar
quaisquer técnicas de auditoria apoiadas por computador que serão
utilizadas.
../AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.Outlook/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.Outlook/AppData/Local/Microsoft/Documents%20and%20Settings/gprodrigues/Configurações%20locais/Temporary%20Internet%20Files/Content.Outlook/AppData/Local/Microsoft/Windows/Temporary%20Internet%20Files/Content.Outlook/AppData/Local/Microsoft/Windows/Documents%20and%20Settings/tlnascimento/DOCUME~1/afcosta/CONFIG~1/Temp/C.Notes.afcosta/www.iso.org/tc176/ISO9001AuditingPracticesGroup
-
NIT-DICOR-054 REV.
09 PÁGINA
21/56
1.2.2 Além dos requisitos da cláusula 9.1.3 da ABNT NBR ISO/IEC
17021, ao TAAC deve ser dada atenção específica à habilidade dos
auditores em entender e utilizar as tecnologias da informação
empregadas pela organização cliente para gerenciar seus processos
de sistema de gestão. 1.2.3 Além dos requisitos da cláusula 9.1.4
da ABNT NBR ISO/IEC 17021, se o organismo de certificação utilizar
TAAC, isto pode ser considerado como parcialmente contribuindo para
o total do tempo do auditor nas instalações. Se atividades de
auditoria remota representam mais do que 30% do tempo planejado do
auditor nas instalações, o organismo de certificação deve
justificar o plano de auditoria e obter aprovação específica do
organismo de acreditação antes da sua implementação. NOTAS: 1)
Espera-se que esta “aprovação específica” seja feita inicialmente
caso a caso, mas não exclui
uma “aprovação por completo” do organismo de acreditação para o
organismo de certificação ir além de 30% de redução uma vez que
organismo de certificação tenha demonstrado que o seu processo é
robusto.
2) O tempo de auditor nas instalações refere-se ao tempo de
auditor nas instalações alocado para sites individuais. Auditorias
eletrônicas de sites remotos são consideradas auditorias remotas,
mesmo se a auditoria eletrônica for conduzida fisicamente de outra
instalação da organização do cliente.
1.2.4 Além dos requisitos da cláusula 9.1.10 da ABNT NBR ISO/IEC
17021, os relatórios de auditoria devem indicar a extensão na qual
as TAAC são usadas na condução da auditoria e como isso contribui
para a eficácia e eficiência da auditoria. 1.2.5 Além dos
requisitos da cláusula 9.2.21 da ABNT NBR ISO/IEC 17021, alínea a,
quando o organismo de certificação se propõe a utilizar TAAC como
parte da auditoria, a análise da solicitação deve incluir a
verificação de que a organização do cliente tem a infraestrutura
necessária para apoiar esta abordagem. 1.2.6 Além dos requisitos da
cláusula 9.3.2.2 da ABNT NBR ISO/IEC 17021, com relação ao uso das
TAAC, a organização deve ser fisicamente visitada, no mínimo,
anualmente. 1.2.7 Além dos requisitos da cláusula 9.9.2 da ABNT NBR
ISO/IEC 17021, os registros devem indicar a extensão na qual as
TAAC são usadas nas realizações da auditoria e da certificação.
/ANEXO E
-
NIT-DICOR-054 REV.
09 PÁGINA
22/56
ANEXO E - Documento Obrigatório do IAF para determinação do
tempo de auditorias de SGQ e SGA (IAF MD 5:2015)
Este documento é obrigatório para a aplicação coerente da
ISO/IEC 17021-1 para as auditorias de sistemas de gestão da
qualidade e ambiental. Todas as cláusulas da ISO/IEC 17021-1
continuam a ser aplicadas e este documento não substitui nenhum dos
requisitos nesta norma. Embora o número de funcionários
(permanente, temporário e parcial) do cliente seja usado como ponto
de partida quando se considera o período de auditoria, esta não é a
única consideração, também deverão ser levados em conta outros
fatores que afetam o tempo de auditoria, incluindo todas as
listadas na ISO/IEC 17021-1. 0. INTRODUÇÃO 1. Este documento
fornece disposições obrigatórias e orientação para que os
organismos de certificação desenvolvam os seus próprios
procedimentos documentados para determinar a quantidade de tempo
necessário para a auditoria de clientes de diferentes tamanhos e
complexidade ao longo de um amplo espectro de atividades.
Pretende-se que isso vai levar a consistência de duração da
auditoria entre os Organismos de Certificação, bem como entre os
clientes semelhantes do mesmo Organismo. 2. O OAC deve identificar
a duração da auditoria para a Fase 1 e Fase 2 da auditoria inicial,
auditorias de manutenção e auditorias de recertificação para cada
cliente candidato e cliente certificado. 3. Este documento
obrigatório não estipula mínimo/máximo de tempo, mas fornece uma
estrutura que deve ser documentada em procedimentos e utilizada
dentro de um Organismo de Certificação para determinar a duração
apropriada da auditoria, tendo em conta as especificidades do
cliente a ser auditado.
4. Para fins de aprovação, deve notar-se que não conformidade a
este documento (e/ou as tabelas incluídas) em casos individuais não
faz levar automaticamente à não conformidade com a ISO/IEC 17021.
No entanto, esta situação poderia ser motivo para uma investigação
mais aprofundada para a integralidade da auditoria. Uma atenção
especial deve ser dada para investigar os motivos para o desvio a
partir deste documento obrigatório. 5. Se forem encontradas
inconsistências a este documento obrigatório com regularidade, isso
poderia formar uma base para a não conformidade com a ABNT ISO/IEC
17021 considerando assim que o Organismo de Certificação não pode
dar uma garantia razoável de que ele fornece às suas equipes de
auditoria o tempo para realizar uma auditoria suficientemente
completa como parte do processo de certificação.
1. DEFINIÇÃO
1.1 Esquema de Certificação de Sistema de Gestão Sistema de
avaliação da conformidade relacionado com sistemas de gestão para
os mesmos requisitos especificados, regras específicas e processos
aplicáveis. 1.2 Organização Cliente Entidade ou parte definida de
uma entidade que opera um sistema de gestão. 1.3 Site Permanente
Local (físico ou virtual) onde uma organização cliente (1.2)
realiza um trabalho ou fornece um serviço em uma base contínua.
-
NIT-DICOR-054 REV.
09 PÁGINA
23/56
1.4 Site Virtual Local virtual onde uma organização cliente
executa trabalho ou fornece um serviço usando um ambiente on-line
permitindo que as pessoas, independente da localização física,
possam executar processos. Nota 1: Processos que devem ser
realizados em um ambiente físico não podem ser considerados como
Site Virtual, por exemplo: Armazenagem, fabricação, testes físicos,
laboratórios, instalação ou reparos para produtos físicos; Nota 2:
Um site virtual (por exemplo intranet da empresa) é considerado um
único site para o cálculo de tempo de auditoria.
1.5 Site Temporário Local (físico ou virtual) onde uma
organização cliente (1.2) realiza um trabalho específico ou
proporciona um serviço por um período de tempo finito e que não se
destina a tornar-se um Site Permanente.
1.6 Tempo de auditoria Tempo necessário para planejar e realizar
uma auditoria completa e eficaz do sistema de gestão da organização
cliente (ABNT ISO/IEC 17021-1).
1.7 Duração da Auditoria de Certificação de Sistema de Gestão
Parte do Tempo de Auditoria (1.6) utilizado na condução das
atividades de auditoria desde a reunião de abertura até a reunião
de encerramento, inclusive. Nota: Atividades de auditoria
normalmente incluem:
• condução da reunião de abertura; • análise de documentos
enquanto conduz a auditoria; • atribuir papéis e responsabilidades
aos guias e observadores; • coleta e verificação de informações; •
constatações gerais da auditoria; • elaboração das conclusões de
auditoria; • condução da reunião de encerramento.
1.8 Auditor Dia A duração de um auditor dia é normalmente 8
horas e pode ou não incluir tempo de locomoção e almoço dependendo
da legislação local. 1.9 Número Efetivo de Pessoal O número efetivo
de pessoal consiste em todo o pessoal envolvido no escopo da
certificação, incluindo aqueles que trabalham em cada turno.
Pessoal não permanente (por exemplo: pessoal contratado), assim
como pessoal que trabalhe em tempo parcial, deve ser incluído neste
número. (referenciado em 2.3 para cálculo do número de pessoal
efetivo). 1.10 Categoria de Risco (Somente para Sistema de Gestão
da Qualidade - SGQ) Para sistema de gestão da qualidade, as
disposições contidas neste documento são baseadas em três
categorias, dependendo dos riscos associados a falhas de produto ou
serviço da organização cliente. Estas categorias podem ser
consideradas como alto, médio ou baixo risco. Atividades de alto
risco (por exemplo: nuclear, médica, farmacêutica, alimentos,
construção) normalmente requerem mais tempo de auditoria.
Atividades de médio risco (por exemplo: fabricação simples) são
suscetíveis de exigir um tempo médio para realizar uma auditoria
eficaz e atividade de baixo risco, um menor tempo. (Ver Anexo A,
Tabela SGQ 2).
-
NIT-DICOR-054 REV.
09 PÁGINA
24/56
1.11 Complexidade da Categoria (somente SGA) Para os sistemas de
gestão ambiental, as disposições contidas neste documento se
baseiam em cinco categorias de complexidade de natureza primária,
número e gravidade dos aspectos ambientais de uma organização que
fundamentalmente afetam o tempo de auditoria. (Ver Anexo B, Tabela
SGA 2). 2. APLICAÇÃO
2.1 Tempo de Auditoria
2.1.1 O tempo de auditoria para todos os tipos de auditorias
inclui o tempo total no local das instalações do cliente (físico ou
virtual) e o tempo gasto fora do local de realização de
planejamento, revisão de documentos, interação com o pessoal do
cliente e elaboração de relatórios.
2.1.2 A duração da auditoria de certificação de sistema de
gestão (1.7) normalmente não deveria ser menor que 80% do tempo de
auditoria calculado seguindo a metodologia da Seção 3. Isto se
aplica à auditoria inicial, supervisão e recertificação.
2.1.3 Viagem (em rota ou entre sites) e quaisquer paradas não
estão incluídas na duração da auditoria de sistema de gestão no
local.
Nota: Ver 1.8. Pode haver um requisito legal local para inclusão
de pausa para almoço.
2.2 Auditor Dia(s)
2.2.1 As tabelas SGQ 1 e SGA 1 apresentam a média do tempo de
auditoria de certificação de sistema de gestão calculado em auditor
dia(s). Ajustes nacionais de números de dias podem ser necessários
para cumprir a legislação local no que se refere à locomoção, pausa
para almoço e horas trabalhadas, isto para atingir o mesmo total de
números de auditoria das Tabelas SGQ 1 e SGA 1.
2.2.2 O número de auditor dias alocado não deve ser reduzido na
fase de planejamento quando houver uma programação maior de horas
por dia de trabalho. Considerações podem ser feitas para permitir
uma auditoria eficiente das atividades quando houver deslocamento
que podem exigir horas adicionais em um dia de trabalho.
2.2.3 Se o cálculo do resultado for um número decimal, o número
de dias deve ser ajustado para o meio-dia mais próximo (por
exemplo: 5,3 auditor dia torna-se 5,5 auditor dia. 5,2 auditor dia
torna-se 5,0 auditor dia).
2.2.4 Para ajudar a garantir a eficácia da auditoria, o
Organismo de Certificação deve também considerar a composição e
tamanho da equipe de auditoria (por exemplo: ½ dia com 2 auditores
pode não ser tão eficaz quanto um auditor dia com 1 auditor ou um
auditor dia com 1 auditor líder e 1 especialista técnico é mais
eficaz que 1 auditor dia sem o especialista técnico). Nota 1: O
Organismo de acreditação pode requerer que o Organismos de
Certificação demonstre que a média do tempo de auditoria de
clientes específicos não é significativamente nem mais nem menos
que o tempo de auditoria calculado das tabelas SGQ1 e SGA2. Nota 2:
Organismos de Certificação que trabalhem essencialmente com
indústrias de alto risco ou complexas são suscetíveis de ter uma
média maior que as das tabelas e OC que trabalham principalmente
com indústrias de baixo risco são suscetíveis a ter uma média mais
baixa que as das tabelas.
-
NIT-DICOR-054 REV.
09 PÁGINA
25/56
2.3 Cálculo do Número Efetivo de Pessoal 2.3.1 O número efetivo
de pessoal, como definido acima, é usado como base de cálculo para
o tempo de auditoria de sistema de gestão. Considerações para
determinar o número efetivo de empregados incluem pessoal de tempo
parcial ou pessoal com atividades parciais ao escopo, aqueles
trabalhando em turnos, administrativos, ou todas as categorias de
pessoal de escritório, processos repetitivos, e o emprego de um
grande número de mão-de-obra não especializada em alguns
países.
2.3.2 A justificativa para determinar o número efetivo de
pessoal deve estar disponível para a organização cliente e para o
Organismo de Acreditação para revisão durante suas avaliações e a
pedido do Organismo de Acreditação.
2.3.3 Pessoal de Tempo Parcial e pessoal com atividades parciais
no escopo Dependendo das horas trabalhadas, o número de pessoal de
período parcial e pessoal limitado ao escopo poderá ser reduzido ou
acrescido e convertido para um número equivalente de pessoal de
período integral (por exemplo: 30 pessoas trabalhando em tempo
parcial 4 horas/ dia equivalem a 15 pessoas trabalhando em período
integral).
2.3.4 Processo repetitivo dentro do escopo Quando uma elevada
porcentagem de pessoal executa certas atividades/posições que são
consideradas repetitivas (por exemplo: limpeza, segurança,
transporte, vendas, call centers, etc.), é permitida a redução
coerente e consistente do número de pessoal, a ser feita de empresa
para empresa, com base no escopo de certificação. Os métodos
incorporados para redução devem ser documentados para incluir
quaisquer considerações de atividades/posições de risco. 2.3.5
Empregados que trabalham em turno O Organismo de Certificação deve
determinar a duração ou época da auditoria para melhor avaliar a
eficácia do sistema de gestão para todos os escopos de atividades
do cliente, incluindo a necessidade de auditar fora do horário
normal de trabalho e variados padrões de turno. Isto deve ser
acordado com o cliente.
2.3.6 Mão-de-obra não especializada temporária Esta situação
normalmente só se aplica em países com um baixo nível de tecnologia
onde mão-de-obra não qualificada temporária pode ser empregada em
considerável número em substituição a processos automatizados.
Nestas circunstâncias, uma redução de empregados efetivos pode ser
feita, mas a consideração dos processos é mais importante que o
número de empregados. Esta redução é incomum e a justificativa para
isto deve ser registrada e colocada à disposição do Organismo de
Acreditação nas avaliações. 3. METODOLOGIA PARA DETERMINAR O TEMPO
DE AUDITORIA DE SISTEMAS DE GESTÃO
3.1 A metodologia usada como base para cálculo do tempo de
auditoria de sistemas de gestão para uma auditoria inicial (Fase 1
+ Fase 2) envolve o entendimento das tabelas e figuras no Anexo A e
Anexo B para auditorias SGQ e SGA, respectivamente. O Anexo A (SGQ)
é baseado unicamente no número efetivo de pessoal (ver Cláusula 2.3
para orientação do cálculo do número efetivo de pessoal) e no nível
de risco, mas não fornece a duração mínima ou máxima do tempo da
auditoria. Adicionalmente ao número efetivo de pessoal, o Apêndice
B (SGA) está baseado também na complexidade ambiental da
organização e não fornece a duração mínima ou máxima do tempo da
auditoria.
Nota: A prática normal é que o tempo gasto na Fase 2 exceda o
tempo gasto na Fase 1.
3.2 Usando um multiplicador adequado, as mesmas tabelas e
figuras podem ser usadas como base no cálculo do tempo de auditoria
para auditorias de supervisão (Cláusula 5) e auditoria de
-
NIT-DICOR-054 REV.
09 PÁGINA
26/56
recertificação (Cláusula 6). 3.3 O Organismo de Certificação
deve ter procedimentos que forneçam o tempo adequado de alocação
para a auditoria de relevantes processos do cliente. Experiências
têm demonstrado que fora o número de pessoal, o tempo requerido
para realização de uma auditoria eficaz depende de outros fatores
tanto para SGQ e SGA. Estes fatores são abordados com maior
profundidade na Cláusula 8. 3.4 Este documento mandatório enumera
as disposições que devem ser consideradas quando se estabelece uma
quantidade de tempo necessário para realização da auditoria. Estes
e outros fatores precisam ser examinados durante o processo de
análise crítica dos Organismos de Certificação e após a Fase 1, ao
longo do ciclo de certificação e recertificação, pelos seus
potenciais impactos na determinação do tempo de auditoria
independentemente do tipo de auditoria. Portanto, as tabelas,
figuras e diagramas para SGQ e SGA, os quais demonstram a relação
entre o número efetivo de pessoal e a complexidade, não podem ser
utilizadas isoladamente. Essas tabelas e figuras fornecem a
estrutura para o planejamento de auditoria e, portanto, ajustes
necessários devem ser feitos para a determinação do tempo de
auditoria para todos os tipos de auditorias. 3.5 Para auditorias
SGQ, a Figura SGQ 1 fornece o guia visual para realizar ajustes no
tempo de auditoria calculados da Tabela SGQ1 e fornece também a
estrutura para um processo que deve ser usado para o planejamento
de auditorias, identificando o ponto de partida baseado no número
efetivo de pessoal de todos os turnos. 3.6 Para uma auditoria de
SGA, é adequado basear o tempo de auditoria no número efetivo de
pessoal da organização e na natureza, número e gravidade dos
aspectos ambientais da organização e do setor da indústria. É
recomendável que as Tabelas SGA1 e SGQ2, que fornecem a estrutura
para o processo, sejam utilizadas no planejamento da auditoria. O
tempo de auditoria de sistema de gestão deve ser ajustado com base
em quaisquer fatores significativos que se apliquem exclusivamente
à organização a ser auditada. 3.7 O ponto de partida para a
determinação do tempo de auditoria deve ser identificado com base
no número efetivo de pessoal, em seguida, ajustado para os fatores
significativos aplicados aos clientes a serem auditados e
atribuindo a cada fator uma ponderação aditiva ou subtrativa para
modificar a figura base. Em cada situação, a base para estabelecer
o tempo de auditoria de sistema de gestão, incluindo ajustes
feitos, deve ser registrada. O Organismo de Certificação deve
assegurar que qualquer variação no tempo de auditoria não levará a
um comprometimento da eficácia das auditorias. Para processos de
realização do produto ou serviço operados em regime de turno, a
extensão da auditoria de cada turno pelo Organismo de Certificação
depende dos processos realizados em cada turno e do nível de
controle de cada turno que é demonstrado pelo cliente. Para a
implementação de uma auditoria eficaz, pelo menos um dos turnos
deve ser amostrado. A justificativa para a não realização de
auditoria em outros turnos deve ser documentada (por exemplo:
aqueles que estão fora do horário regular de expediente). 3.8
Determinações do tempo de auditoria de sistemas de gestão, usando
as tabelas ou figuras dos Anexos A e B, não incluem o tempo de
"auditores em treinamento" ou o tempo de especialistas técnicos.
3.9 A redução do tempo de auditoria de sistema de gestão não deve
exceder 30% do tempo estabelecido nas tabelas SGQ 1 ou SGA 1. Nota:
A Cláusula 3.9 pode não se aplicar às situações descritas no IAF
MD1 para locais individuais em operações multilocais onde a
amostragem de sites seja permitida. Nesta situação, um número
limitado de processos está presente em tais locais e a
implementação de todos os requisitos relevantes das normas de
sistemas de gestão pode ser verificada.
-
NIT-DICOR-054 REV.
09 PÁGINA
27/56
4. AUDITORIA INICIAL DE SISTEMAS DE GESTÃO (Fase 1 mais Fase 2)
4.1 A determinação do tempo de auditoria de sistema de gestão
envolvendo uma combinação de atividades realizadas fora do local
(Cláusula 2.1) não deveria reduzir o total da duração da auditoria
do sistema de gestão no local para menos de 80% do tempo de
auditoria calculado seguindo a metodologia das Tabelas da Seção 3.
Sempre que um tempo de auditoria adicional for necessário para o
planejamento e/ou redação do relatório, isto não poderá ser
considerado como justificativa para a redução da duração do tempo
de auditoria do sistema de gestão no local. 4.2 As Tabelas SGQ 1 e
SGA 1 fornecem um ponto de partida para estimar o tempo de
auditoria de uma auditoria inicial (Fase 1 + Fase 2) para
auditorias SGQ e SGA, respectivamente. 4.3 O tempo de auditoria
estipulado pelo organismo de certificação e a justificativa para a
determinação devem ser registradas. Este cálculo deve incluir
detalhes sobre o tempo atribuído para cobrir todos os escopos de
certificação. 4.4 O Organismo de Certificação deve fornecer para a
organização cliente a determinação do tempo de auditoria e as
justificativas registradas como parte do contrato de certificação e
deve ser disponibilizado ao Organismo de Acreditação, quando
solicitado. 4.5 Auditorias de certificação podem incluir técnicas
remotas de auditoria, tais como colaboração baseada na web
interativa, reuniões por web, teleconferências e/ou verificação
eletrônica de processos do cliente (ver IAF MD4). Essas atividades
devem ser identificadas no planejamento da auditoria, e o tempo
gasto nessas atividades pode ser considerado como contribuindo para
a duração total da auditoria de sistema de gestão. Se o Organismo
de Certificação planejar uma auditoria na qual as atividades
remotas representem mais de 30% da duração previstas no local da
auditoria planejada, o Organismo de Certificação deverá justificar
o plano de auditoria e manter os registros de justificativa que
devem estar disponíveis para o Organismo de Acreditação para
avaliação (ver IAF MD4). Nota 1: Duração de auditorias de
certificação de sistemas de gestão refere-se ao tempo de auditoria
alocado destinado para sites individuais. Auditorias eletrônicas de
sites remotos são consideradas auditorias remotas, mesmo se a
auditoria eletrônica for fisicamente realizada nas instalações da
organização (física ou virtual).
Nota 2: Independentemente das técnicas de auditoria remotas
utilizadas, a organização do cliente deve ser fisicamente visitada,
pelo menos uma vez ao ano, onde houver um local físico.
Nota 3: É improvável que a duração de uma auditoria Fase 2 seja
menor do que um (1) Auditor Dia. 5. SUPERVISÃO Durante os três anos
iniciais do ciclo de certificação, o tempo de auditoria de
supervisão para uma determinada organização deve ser proporcional
ao tempo de auditoria gasto na auditoria de certificação inicial
(Fase 1 + Fase 2), com a quantidade total de tempo gasto anualmente
em supervisão sendo cerca de 1/3 do tempo de auditoria gasto na
auditoria de certificação inicial. O Organismo de Certificação deve
obter uma atualização de dados dos clientes relacionados com seu
sistema de gestão como parte de cada auditoria de supervisão. O
planejamento do tempo de auditoria de supervisão deve ser revisto
de tempos em tempos, pelo menos a cada auditoria de supervisão e
sempre no momento da recertificação, levando em conta as mudanças
na organização, maturidade do sistema, etc. A evidência de revisão,
incluindo os ajustes para o tempo de auditoria, devem ser
registrados.
Nota: É improvável que uma auditoria de supervisão dure menos do
que um (1) Auditor Dia.
-
NIT-DICOR-054 REV.
09 PÁGINA
28/56
6. RECERTIFICAÇÃO Recomenda-se que o tempo de auditoria de
recertificação seja calculado com base na informação atualizada do
cliente e seja, normalmente, cerca de 2/3 do tempo de auditoria que
seria necessário para uma auditoria de certificação inicial (Fase 1
+ Fase 2) da organização, se uma auditoria inicial fosse realizada
no momento da recertificação (i.e. não 2/3 do tempo de auditoria de
certificação inicial original). O tempo de auditoria de sistema de
gestão deve levar em conta o resultado da avaliação de desempenho
do sistema (ABNT NBR ISO/IEC 17021 requisito 9.4.1.2). A avaliação
do desempenho do sistema em si não faz parte do tempo de auditoria
para as auditorias de recertificação. Nota: É improvável que uma
auditoria de recertificação dure menos do que um (1) Auditor Dia.
7. SEGUNDO E SUBSEQUENTES CICLOS DE CERTIFICAÇÃO INDIVIDUALIZADOS
Para o segundo e subsequentes ciclos de certificação, o OC pode
optar por planejar um programa individualizado de supervisão e
recertificação (ver IAF MD3 de Supervisão Avançada e Procedimentos
de Recertificação - ASRP) com a aprovação do Organismo de
Acreditação. Se uma abordagem definida no MD3 não for escolhida, o
tempo de auditoria de sistema de gestão deveria ser calculado como
indicado nas Cláusulas 5 e 6. 8. FATORES PARA AJUSTE DO TEMPO DE
AUDITORIA DE SISTEMAS DE GESTÃO (SGQ E
SGA) Os fatores adicionais que precisam ser considerados incluem
os abaixo, mas não se limitam a:
i) Aumento no tempo de auditoria de sistemas de gestão
a. Logística complicada envolvendo mais de um edifício ou
locação onde o trabalho é realizado, por exemplo, um Centro de
Design em separado, deve ser auditado;
b. Colaboradores que falam mais de um idioma (requerendo
intérprete ou impedindo os auditores de trabalharem
individualmente);
c. Local muito grande para o número de pessoal (por exemplo, uma
floresta); d. Alto grau de regulação (exemplo: alimentos, drogas,
aeroespacial, energia nuclear,
etc); e. O sistema abrange processos altamente complexos ou
número relativamente elevado
de atividades exclusivas; f. Atividades que requeiram visitas a
sites temporários a fim de confirmar as atividades
do site permanente, cujo sistema de gestão é objeto de
certificação. g. Funções ou processos terceirizados.
ii) Aumento no tempo de auditoria de Sistemas de Gestão da
Qualidade somente
a. Atividades consideradas de alto risco (ver Anexo A, Tabela
SGQ 2).
iii) Aumento no tempo de auditoria para Sistemas de Gestão
Ambiental somente: a. Maior sensibilidade do meio ambiente receptor
comparado ao local típico do setor
industrial; b. Opiniões das partes interessadas; c. Aspectos
indiretos necessitando de aumento de tempo da auditoria; d.
Aspectos ambientais adicionais ou incomuns, ou ainda condições
regulamentadas para
o setor. e. Riscos de acidentes ambientais e impactos que surjam
ou possam surgir em
-
NIT-DICOR-054 REV.
09 PÁGINA
29/56
consequência de incidentes, acidentes, situações de emergência
potencial e problemas ambientais anteriores que a organização tenha
contribuído.
iv) Diminuição do tempo de auditoria de Sistemas de Gestão:
a. O cliente não é “responsável pelo projeto” ou outros
elementos padrão que não estejam cobertos pelo escopo (apenas
SGQ);
b. Local muito pequeno para o número de pessoas (ex.: apenas
complexo de escritórios); c. Maturidade do sistema de gestão; d.
Conhecimento prévio do sistema de gestão do cliente (ex.: já
certificado por uma outra
norma pelo mesmo Organismo de Certificação); e. Preparação do
cliente para a certificação (ex.: já certificado ou reconhecido por
outro
esquema de terceira parte); Nota: se a auditoria for conduzida
de acordo com o IAF MD11, esta justificativa é inválida como
redução e será calculada como integração.
f. Alto nível de automação; g. Onde os colaboradores incluem um
número de pessoas que trabalham “fora do local”,
por exemplo, vendedores, motoristas, pessoal de manutenção, etc,
e é possível auditar substancialmente o cumprimento de suas
atividades com o sistema através de análise de registros;
h. Atividades consideradas de baixo risco (ver Anexo A, Tabela
SGQ2 para exemplos e Tabela SGA2). Atividades de baixa
complexidade, por exemplo:
Processos que envolvam atividades similares e repetitivas (ex.:
Serviços, somente); Atividades idênticas realizadas em todos os
turnos com evidências adequadas de desempenho equivalente em todos
os turnos; Onde uma proporção significativa dos colaboradores
executam uma função simples. Processos repetitivos dentro do escopo
(quando os empregados realizam atividades repetitivas);
Todos os atributos do sistema do cliente, processos e
produtos/serviços devem ser considerados e um ajuste feito para
aqueles fatores que poderiam justificar maior ou menor tempo de
auditoria para uma auditoria eficaz. Fatores adicionais podem ser
compensados por fatores de subtração. Nota 1: Fatores de subtração
podem ser utilizados uma única vez para cada cálculo para cada
organização cliente. Nota 2: Outros fatores a serem considerados no
cálculo do tempo de auditoria de sistemas de gestão integrados são
abordados no IAF MD 11. 9. SITES TEMPORÁRIOS 9.1 Em situaç�