Documentos de Académico
Documentos de Profesional
Documentos de Cultura
MERCOSUR
ADOPCIÓN ADMINISTRATIVA /
ADOÇÃO ADMINISTRATIVA
ISO 19011
Tercera edición
2018-07
ASOCIACIÓN
MERCOSUR DE Número de referencia
NORMALIZACIÓN NM ISO 19011
NM ISO 19011:2018
Índice Sumário
Prefacio Prefácio
0 Introducción 0 Introdução
Bibliografía Bibliografia
NM ISO 19011:2018
Prefacio Prefácio
Las Normas MERCOSUR son elaboradas en Normas MERCOSUL são elaboradas de acordo
acuerdo con las reglas dadas en las Directivas com as regras dadas nas Diretivas AMN, Parte 2.
AMN, Parte 2.
Esta Norma MERCOSUR es una traducción Esta Norma MERCOSUL é uma tradução idêntica
idéntica de la Norma Internacional ISO 19011:2018, da Norma Internacional ISO 19011:2018,
Guidelines for auditing management systems. Guidelines for auditing management systems.
Se solicita atención a la posibilidad de que algunos Solicita-se atenção para a possibilidade de que
elementos de este documento puedan ser objeto de alguns elementos deste documento possam ser
derechos de patente. La AMN no es responsable objetos de direitos de patente. A AMN não é
por la identificación de cualquier o tales derechos responsável pela identificação de qualquer ou tais
de patente. direitos de patente.
NM ISO 19011:2018
En la parte 1 de las Directivas ISO/IEC se describen Na Diretiva ISO/IEC Parte 1 são descritos os
los procedimientos utilizados para desarrollar esta procedimentos utilizados para desenvolver esta
norma y para su mantenimiento posterior. En norma e sua posterior manutenção. Em particular,
particular debería tomarse nota de los diferentes deve-se notar os diferentes critérios de aprovação
criterios de aprobación necesarios para los distintos necessários para os distintos tipos de documentos
tipos de documentos ISO. Esta norma se redactó ISO. Esta norma foi elaborada de acordo com as
de acuerdo a las reglas editoriales de la parte 2 de regras estabelecidas na Diretiva IEC/ISO Parte 2
las Directivas ISO/IEC (véase http://www.iso.org/directives.
www.iso.org/directives).
Se llama la atención sobre la posibilidad de que Se chama a atenção para a possibilidade de que
algunos de los elementos de este documento alguns dos elementos desta Norma Internacional
puedan estar sujetos a derechos de patente. ISO podem estar sujeitos aos seus direitos de patente.
no asume la responsabilidad por la identificación de A ISO não é responsável pela identificação de
cualquiera o todos los derechos de patente. Los alguns ou de todos estes direitos de patente. Os
detalles sobre cualquier derecho de patente detalhes sobre qualquer direito de patente
identificado durante el desarrollo de esta norma se identificado durante a elaboração desta norma são
indican en la introducción y/o en la lista ISO de indicados na introdução e/ ou na lista da ISO de
declaraciones de patente recibidas (véase declarações de patentes recebidas.
www.iso.org/patents). http://www.iso.org/patents.
Cualquier nombre comercial utilizado en esta Qualquer nome comercial utilizado nesta Norma é
norma es información que se proporciona para uma informação para a atenção dos usuários e não
comodidad del usuario y no constituye una constitui uma recomendação.
recomendación.
Para obtener una explicación sobre el significado Para obter uma explicação sobre a natureza
de los términos específicos de ISO y expresiones voluntária dos padrões, o significado dos termos e
relacionadas con la evaluación de la conformidad, expressões específicos da ISO relacionados à
así como información de la adhesión de ISO a los avaliação de conformidade, bem como informações
principios de la Organización Mundial del Comercio sobre a adesão da ISO aos princípios da
(OMC) respecto a los Obstáculos Técnicos al Organização Mundial do Comércio (OMC). Em
Comercio (OTC), véase la siguiente dirección: relação aos Obstáculos Técnicos ao Comércio
http://www.iso.org/iso/foreword.html. (TBT), consulte o seguinte endereço:
www.iso.org/iso/foreword.html.
Este documento ha sido elaborado por el Comité de Este documento foi preparado pelo Comitê de
Proyecto ISO/PC 302, Directrices para la auditoría Projetos ISO/PC 302, Diretrizes para a auditoria de
de los sistemas de gestión. sistemas de gestão.
Esta tercera edición anula y sustituye a la segunda Esta terceira edição cancela e substitui a segunda
edición (ISO 19011:2011) que ha sido revisada edição (ISO 19011:2011) que foi tecnicamente
técnicamente. revisada.
NM ISO 19011:2018
- adición del enfoque basado en riesgos a los - adição da abordagem baseada no risco aos
principios de la auditoría; princípios da auditoria;
- ajuste de la terminología para reflejar el proceso y - ajuste da terminologia para refletir o processo e
no el objeto (“cosa”); não o objeto ("coisa");
- eliminación del anexo que contenía los requisitos - eliminação do anexo contendo os requisitos de
de competencia para auditar disciplinas específicas competência para auditar disciplinas específicas de
de sistemas de gestión (debido al gran número de sistemas de gestão (devido ao grande número de
normas individuales de sistemas de gestión, no padrões de sistemas de gestão individuais, não
sería práctico incluir requisitos de competencia para seria prático incluir requisitos de competência para
todas las disciplinas); todas as disciplinas);
- ampliación del Anexo A para proporcionar - Extensão do Anexo A para fornecer orientação
orientación sobre la auditoría de (nuevos) sobre a auditoria de conceitos (novos) como
conceptos como el contexto de la organización, el contexto organizacional, liderança e
liderazgo y el compromiso, las auditorías virtuales, comprometimento, auditorias virtuais,
el cumplimiento y la cadena de suministro. conformidade e cadeia de suprimentos.
NM ISO 19011:2018
0 Introducción 0 Introdução
Desde la publicación de la segunda edición de este Desde que a segunda edição deste documento foi
documento en 2011, se han publicado varias publicada, em 2012, diversas normas novas de
normas nuevas de sistemas de gestión, muchas de sistema de gestão foram publicadas, muitas das
las cuales tienen una estructura común, requisitos quais possuindo uma estrutura em comum,
esenciales idénticos y términos comunes y requisitos centrais idênticos e termos e definições
definiciones esenciales. Como resultado, es centrais em comum. Como um resultado, há, agora,
necesario considerar un enfoque más amplio para a necessidade de se considerar uma abordagem
la auditoría de los sistemas de gestión, así como de mais ampla para auditar o sistema de gestão, assim
proporcionar una orientación más genérica. Los como para fornecer orientação que seja mais
resultados de las auditorías pueden proporcionar genérica. Resultados de auditoria podem fornecer
entradas para el aspecto de análisis de la entradas para o aspecto de análise de
planificación del negocio, y pueden contribuir a la planejamento de negócio e podem contribuir para a
identificación de necesidades y actividades de identificação de necessidades de melhoria e
mejora. atividades.
Una auditoría puede realizarse con relación a una Uma auditoria pode ser conduzida em relação a
serie de criterios de auditoría, de manera separada uma gama de critérios de auditoria, separadamente
o combinada incluyendo, pero sin limitarse a: ou em combinação, incluindo, mas não limitados a:
- los requisitos definidos en una o más normas de - requisitos definidos em uma ou mais normas de
sistemas de gestión; sistema de gestão;
- las políticas y los requisitos especificados por las - políticas e requisitos especificados por partes
partes interesadas pertinentes; interessadas pertinentes;
- uno o más procesos del sistema de gestión - um ou mais processos de sistema de gestão
definidos por la organización o por otras partes; definidos pela organização ou outras partes;
Este documento proporciona orientación para todos Este documento fornece orientação para todos os
los tamaños y tipos de organizaciones y auditorías tamanhos e tipos de organizações e auditorias de
de distintos alcances y escalas, incluyendo aquellas variados escopos e dimensões, incluindo aquelas
realizadas por equipos de auditoría grandes, conduzidas por grandes equipes de auditoria,
típicamente de organizaciones grandes, y aquellas usualmente de organizações maiores, e aquelas
realizadas por auditores individuales, ya sea en conduzidas por auditores únicos, em organizações
organizaciones grandes o pequeñas. Esta grandes ou pequenas. Convém que esta orientação
orientación debería adaptarse según sea apropiado seja adaptada conforme apropriado ao escopo,
al alcance, la complejidad y la escala del programa complexidade e dimensão do programa de
de auditoría. auditoria.
Tabla 1 - / Tabela 1 –
Tipos distintos de auditoría / Diferentes tipos de auditorias
Para simplificar la legibilidad de este documento, se Para simplificar a legibilidade deste documento, a
prefiere la forma singular de “sistema de gestión”, forma singular de “sistema de gestão” é preferida,
pero el lector puede adaptar la implementación de mas o leitor pode adaptar a implementação da
la orientación a su propia situación. Esto también orientação para sua própria situação. Isso também
aplica al uso de “persona” y “personas”, “auditor” y é aplicável ao uso de “pessoa” e “pessoas”,
“auditores”. “auditor” e “auditores”.
Se pretende que este documento se aplique a un Este documento é destinado a ser aplicado a uma
amplio rango de usuarios potenciales, incluyendo ampla gama de potenciais usuários, incluindo
auditores, organizaciones que implementan auditores, organizações que implementam
sistemas de gestión y organizaciones que sistemas de gestão e organizações que necessitam
necesitan realizar auditorías de sistemas de gestión conduzir auditorias de sistemas de gestão por
por razones contractuales o reglamentarias. Sin razões contratuais ou regulamentares. Usuários
embargo, los usuarios de este documento pueden deste documento podem, no entanto, aplicar esta
aplicar esta orientación al desarrollar sus propios orientação para desenvolver seus próprios
requisitos relacionados con auditorías. requisitos relacionados à auditoria.
La orientación en este documento también puede A orientação contida neste documento pode
usarse con el propósito de la autodeclaración, y também ser usada para o propósito de
puede ser útil para organizaciones involucradas en autodeclaração, e pode ser útil para organizações
la formación de auditores o en la certificación de envolvidas em treinamento de auditores ou
personas. certificação de pessoal.
La orientación en este documento pretende ser A orientação contida neste documento é destinada
flexible. Como se indica en varios puntos del texto, a ser flexível. Conforme indicado em vários pontos
el uso de esta orientación puede diferir no texto, o uso desta orientação pode variar,
dependiendo del tamaño y el nivel de madurez del dependendo do tamanho e do nível de maturidade
sistema de gestión de una organización. También do sistema de gestão de uma organização. Convém
deberían considerarse la naturaleza y la também que sejam consideradas a natureza e a
complejidad de la organización que se va a auditar, complexidade da organização a ser auditada, assim
así como los objetivos y el alcance de las auditorías como os objetivos e o escopo das auditorias a
que se van a realizar. serem conduzidas.
Este documento adopta el enfoque de auditoría Este documento adota a abordagem de auditoria
combinada cuando se auditan juntos dos o más combinada, quando dois ou mais sistemas de
sistemas de gestión de distintas disciplinas. gestão de diferentes disciplinas são auditados em
Cuando estos sistemas están integrados en un conjunto. Quando estes sistemas são integrados
único sistema de gestión, los principios y procesos em um sistema de gestão único, os princípios e
de auditoría son los mismos que para una auditoría processos de auditoria são os mesmos que para
combinada (a veces, llamada auditoría integrada). uma auditoria combinada (às vezes conhecida
como uma auditoria integrada).
Este documento proporciona orientación sobre la Este documento fornece orientação para o
gestión de un programa de auditoría, sobre la gerenciamento de um programa de auditoria, sobre
planificación y la realización de auditorías de o planejamento e a condução de auditoria de
sistemas de gestión, así como sobre la sistemas de gestão, assim como sobre a
competencia y la evaluación de un auditor y un competência e a avaliação de um auditor e de uma
equipo auditor. equipe de auditoria.
NM ISO 19011:2018
Este documento proporciona orientación sobre la Este documento fornece orientação sobre a
auditoría de los sistemas de gestión, incluyendo los auditoria de sistemas de gestão, incluindo os
principios de la auditoría, la gestión de un programa princípios de auditoria, a gestão de um programa
de auditoría y la realización de auditorías de de auditoria e a condução de auditoria de sistemas
sistemas de gestión, así como orientación sobre la de gestão, como também orientação sobre a
evaluación de la competencia de las personas que avaliação de competência de pessoas envolvidas
participan en el proceso de auditoría. Estas no processo de auditoria. Estas atividades incluem
actividades incluyen a las personas responsables a(s) pessoa(s) que gerencia(m) o programa de
de la gestión del programa de auditoría, los auditoria, os auditores e a equipe de auditoria.
auditores y los equipos auditores.
Es aplicable a todas las organizaciones que Ele é aplicável a todas as organizações que
necesitan planificar y realizar auditorías internas o necessitam planejar e conduzir auditorias internas
externas de sistemas de gestión, o gestionar un ou externas de sistemas de gestão ou gerenciar um
programa de auditoría. programa de auditoria.
La aplicación de este documento a otros tipos de A aplicação deste documento para outros tipos de
auditorías es posible, siempre que se preste auditorias é possível, desde que seja dada
especial atención a la competencia específica consideração especial para a necessidade de
necesaria. competência específica.
No hay referencias normativas en este documento. Não há referêncas normativas neste documento.
Para los fines de este documento, se aplican los Para os efeitos deste documento, aplicam-se os
términos y definiciones siguientes. seguintes termos e definições.
ISO e IEC mantienen bases de datos A ISO e a IEC mantêm bases de dados
terminológicas para su utilización en normalización terminológicas para uso em normalização nos
en las siguientes direcciones: seguintes endereços:
3.1 3.1
auditoría auditoria
proceso sistemático, independiente y documentado processo sistemático, independente e
para obtener evidencias objetivas (3.8) y evaluarlas documentado para obter evidência objetiva (3.8) e
de manera objetiva con el fin de determinar el grado avaliá-la objetivamente, para determinar a
en que se cumplen los criterios de auditoría (3.7) extensão na qual os critérios de auditoria (3.7) são
atendidos
NOTA 1 a la entrada: Las auditorías internas, denominadas en NOTA 1 de entrada: Auditorias internas, algumas vezes
algunos casos auditorías de primera parte, se realizan por, o en chamadas de auditorias de primeira parte, são conduzidas pela
nombre de la propia organización. própria, ou em nome da própria, organização.
1
NM ISO 19011:2018
NOTA 2 a la entrada: Las auditorías externas incluyen lo que se NOTA 2 de entrada: Auditorias externas incluem aquelas
denomina generalmente auditorías de segunda y tercera parte. geralmente chamadas de auditorias de segunda e terceira
Las auditorías de segunda parte se llevan a cabo por partes que partes. Auditorias de segunda parte são conduzidas por partes
tienen un interés en la organización, tales como los clientes o que têm um interesse na organização, como clientes, ou por
por otras personas en su nombre. Las auditorías de tercera parte outras pessoas em seu nome. Auditorias de terceira parte são
se llevan a cabo por organizaciones auditoras independientes, conduzidas por organizações de auditoria independentes, como
tales como las que otorgan la certificación/registro de aquelas que fornecerem certificação/registro de conformidade,
conformidad o agencias gubernamentales. ou por agências governamentais.
[FUENTE: ISO 9000:2015, 3.13.1, modificada - las [ISO 9000:2015, 3.13.1, modificada - Notas de
Notas a la entrada han sido modificadas] entrada foram modificadas]
3.2 3.2
auditoría combinada auditoria combinada
auditoría (3.1) llevada a cabo conjuntamente a un auditoria (3.1) realizada em um único auditado
único auditado (3.13) en dos o más sistemas de (3.13), em dois ou mais sistemas de gestão (3.18)
gestión (3.18)
NOTA 1 a la entrada: Se conoce como sistema de gestión NOTA 1 de entrada: Quando sistemas de gestão de duas ou
integrado cuando dos o más sistemas de gestión específicos de mais disciplinas específicas são integrados em um único sistema
una disciplina se integran en un único sistema de gestión. de gestão, isso é conhecido como um sistema de gestão
integrado.
3.3 3.3
auditoría conjunta auditoria conjunta
auditoría (3.1) llevada a cabo a un único auditado auditoria (3.1) realizada em um único auditado
(3.13) por dos o más organizaciones auditoras (3.13), por duas ou mais organizações de auditoria
3.4 3.4
programa de auditoría programa de auditoria
acuerdos para un conjunto de una o más auditorías arranjos para um conjunto de uma ou mais
(3.1) planificadas para un periodo de tiempo auditorias (3.1), planejado para um período de
determinado y dirigidas hacia un propósito tempo específico e direcionado a um propósito
específico específico
[FUENTE: ISO 9000:2015, 3.13.4, modificada - se [ISO 9000:2015, 3.13.4, modificada - texto foi
ha añadido texto a la definición] inserido à definição]
3.5 3.5
alcance de la auditoría escopo da auditoria
extensión y límites de una auditoría (3.1). abrangência e limites de uma auditoria (3.1)
NOTA 1 a la entrada: El alcance de la auditoría incluye NOTA 1 de entrada: O escopo da auditoria geralmente inclui
generalmente una descripción de las ubicaciones físicas y uma descrição dos locais físicos e virtuais, funções, unidades
virtuales, las funciones, las unidades de la organización, las organizacionais, atividades e processos, assim como o período
actividades y los procesos, así como el periodo de tiempo de tempo coberto.
cubierto.
NOTA 2 a la entrada: Una ubicación virtual es un lugar donde la NOTA 2 de entrada: Um local virtual é onde uma organização
organización desempeña trabajo o presta un servicio usando un realiza trabalho ou fornece um serviço usando um ambiente on-
entorno en línea que permite a las personas ejecutar procesos line, permitindo que pessoas executem processos
con independencia de su ubicación física. independentemente de locais físicos.
[FUENTE: ISO 9000:2015, 3.13.5, modificada - se [ISO 9000:2015, 3.13.5, modificada - Nota 1 de
ha modificado la Nota 1 a la entrada, se ha añadido entrada foi modificada e Nota 2 de entrada foi
la Nota 2 a la entrada] inserida]
3.6 3.6
plan de auditoría plano de auditoria
descripción de las actividades y de los detalles descrição das atividades e arranjos para uma
acordados de una auditoría (3.1) auditoria (3.1)
2
NM ISO 19011:2018
3.7 3.7
criterios de auditoría critérios de auditoria
conjunto de requisitos (3.23) usados como conjunto de requisitos (3.23) usados como uma
referencia frente a la cual se compara la evidencia referência com a qual a evidência objetiva (3.8) é
objetiva (3.8) comparada
NOTA 1 a la entrada: Si los criterios de auditoría son requisitos NOTA 1 de entrada: Se os critérios de auditoria forem requisitos
legales (incluyendo los reglamentarios), las palabras legais (incluindo estatutários ou regulamentares), as expressões
“cumplimiento” o “no cumplimiento” se utilizan a menudo en los “compliance” ou “não compliance” são frequentemente usadas
hallazgos de la auditoría (3.10). em uma constatação de auditoria (3.10).
NOTA 2 a la entrada: Los requisitos pueden incluir políticas, NOTA 2 de entrada: Requisitos podem incluir políticas,
procedimientos, instrucciones de trabajo, requisitos legales, procedimentos, instruções de trabalho, requisitos legais,
obligaciones contractuales, etc. obrigações contratuais etc.
[FUENTE: ISO 9000:2015, 3.13.7, modificada - se [ISO 9000:2015, 3.13.7, modificada - a definição foi
ha cambiado la definición y se han añadido las modificada e as Notas 1 e 2 de entrada foram
Notas 1 y 2 a la entrada] inseridas]
3.8 3.8
evidencia objetiva evidência objetiva
datos que respaldan la existencia o veracidad de dados que apoiam a existência ou a veracidade de
algo alguma coisa
NOTA 1 a la entrada: La evidencia objetiva puede obtenerse por NOTA 1 de entrada: Evidência objetiva pode ser obtida por
medio de la observación, medición, ensayo o por otros medios. observação, medição, ensaio ou outros meios.
NOTA 2 a la entrada: La evidencia objetiva con fines de auditoría NOTA 2 de entrada: Evidência objetiva para o propósito de
(3.1) generalmente se compone de registros, declaraciones de auditoria (3.1) geralmente consiste em registros, declarações de
hechos u otra información que son pertinentes para los criterios um fato ou outra informação que seja pertinente para os critérios
de auditoría (3.7) y verificables. de auditoria (3.7) e verificável.
3.9 3.9
evidencia de la auditoría evidência de auditoria
registros, declaraciones de hechos o cualquier otra registros, apresentação de fatos ou outras
información que es pertinente para los criterios de informações pertinentes aos critérios de auditoria
auditoría (3.7) y que es verificable (3.7) e verificáveis
3.10 3.10
hallazgos de la auditoría constatações de auditoria
resultados de la evaluación de la evidencia de la resultados da avaliação de evidência de auditoria
auditoría (3.9) recopilada frente a los criterios de (3.9) coletada, comparada com os critérios de
auditoría (3.7) auditoria (3.7)
NOTA 1 a la entrada: Los hallazgos de la auditoría indican NOTA 1 de entrada: Constatações de auditoria indicam
conformidad (3.20) o no conformidad (3.21). conformidade (3.20) ou não conformidade (3.21).
NOTA 2 a la entrada: Los hallazgos de la auditoría pueden NOTA 2 de entrada: Constatações de auditoria podem conduzir
conducir a la identificación de riesgos, oportunidades para la à identificação de riscos, oportunidades para melhoria ou
mejora o el registro de buenas prácticas. registro de boas práticas.
NOTA 3 a la entrada: En inglés, si los criterios de auditoría se NOTA 3 de entrada: Em inglês, se os critérios de auditoria forem
seleccionan de entre los requisitos legales o los requisitos selecionados de requisitos estatutários ou requisitos
reglamentarios, el hallazgo de la auditoría se denomina regulamentares, a constatação de auditoria pode ser
cumplimiento o no cumplimiento. denominada “compliance” ou “não compliance”.
[FUENTE: ISO 9000:2015, 3.13.9, modificada - se [ISO 9000:2015, 3.13.9, modificada - as Notas 2 e
han modificado las Notas 2 y 3 a la entrada] 3 de entrada foram modificadas]
3.11 3.11
conclusiones de la auditoría conclusão de auditoria
resultado de una auditoría (3.1), tras considerar los resultado de uma auditoria (3.1), após levar em
objetivos de la auditoría y todos los hallazgos de la consideração os objetivos de auditoria e todas as
auditoría (3.10) constatações de auditoria (3.10)
3
NM ISO 19011:2018
3.12 3.12
cliente de la auditoría cliente de auditoria
organización o persona que solicita una auditoría organização ou pessoa que solicita uma auditoria
(3.1) (3.1)
NOTA 1 a la entrada: En el caso de una auditoría interna, el Nota 1 de entrada: No caso de auditoria interna, o cliente de
cliente de la auditoría también puede ser el auditado (3.13) o las auditoria pode também ser o auditado (3.13) ou a(s) pessoa(s)
personas que gestionan el programa de auditoría. Las que gerencia(m) o programa de auditoria. Solicitações para
solicitudes de una auditoría externa pueden provenir de fuentes auditoria externa podem vir de fontes como reguladores, partes
como autoridades reglamentarias, partes contratantes o clientes contratantes ou clientes potenciais ou existentes.
existentes o potenciales.
[FUENTE: ISO 9000:2015, 3.13.11, modificada - se [ISO 9000:2015, 3.13.11, modificada - Nota 1 de
ha añadido la Nota 1 a la entrada] entrada foi inserida]
3.13 3.13
auditado auditado
organización que es auditada en su totalidad o organização como um todo ou suas partes, que
partes está sendo auditada
3.14 3.14
equipo auditor equipe de auditoria
una o más personas que llevan a cabo una uma ou mais pessoas que realizam uma auditoria
auditoría (3.1) con el apoyo, si es necesario, de (3.1), apoiadas, se necessário, por especialistas
expertos técnicos (3.16) (3.16)
NOTA 1 a la entrada: A un auditor (3.15) del equipo auditor (3.14) Nota 1 de entrada: Um auditor (3.15) da equipe de auditoria
se le designa como auditor líder del mismo. (3.14) é indicado como o líder da equipe de auditoria.
NOTA 2 a la entrada: El equipo auditor puede incluir auditores Nota 2 de entrada: A equipe de auditoria pode incluir auditores
en formación. em treinamento.
3.15 3.15
auditor auditor
persona que lleva a cabo una auditoría (3.1) pessoa que realiza uma auditoria (3.1)
3.16 3.16
experto técnico especialista
<auditoría> persona que aporta conocimientos o <auditoria> pessoa que provê conhecimento ou
experiencia específicos al equipo auditor (3.14) experiência específicos para a equipe de auditoria
(3.14)
NOTA 1 a la entrada: El conocimiento o pericia específicos se Nota 1 de entrada: Conhecimento ou experiência específicos
relacionan con la organización, la actividad, el proceso, el são relativos à organização, atividade, processo, produto,
producto, el servicio, la disciplina a auditar, o el idioma o la serviço, disciplina a ser auditada ou idioma ou cultura.
cultura.
NOTA 2 a la entrada: Un experto técnico del equipo auditor Nota 2 de entrada: Um especialista para a equipe de auditoria
(3.14) no actúa como un auditor (3.15). (3.14) não atua como um auditor (3.15).
[FUENTE: ISO 9000:2015, 3.13.16, modificada - se [ISO 9000:2015, 3.13.16 - Notas 1 e 2 de entrada
han modificado las Notas 1 y 2 a la entrada] foram modificadas]
3.17 3.17
observador observador
persona que acompaña al equipo auditor (3.14) pessoa que acompanha a equipe de auditoria
pero no actúa como un auditor (3.15) (3.14), mas não atua como auditor (3.15)
4
NM ISO 19011:2018
3.18 3.18
sistema de gestión sistema de gestão
conjunto de elementos de una organización conjunto de elementos inter-relacionados ou
interrelacionados o que interactúan para establecer interativos de uma organização, para estabelecer
políticas, objetivos y procesos (3.24) para lograr políticas, objetivos e processos (3.24) para alcançar
estos objetivos estes objetivos
NOTA 1 a la entrada: Un sistema de gestión puede tratar una Nota 1 de entrada: Um sistema de gestão pode abordar uma
sola disciplina o varias disciplinas, por ejemplo, gestión de la única disciplina ou várias disciplinas, por exemplo, gestão da
calidad, gestión financiera o gestión ambiental. qualidade, gestão financeira ou gestão ambiental.
NOTA 2 a la entrada: Los elementos del sistema de gestión Nota 2 de entrada: Os elementos do sistema de gestão
establecen la estructura de la organización, los roles y las estabelecem a estrutura, papéis e responsabilidades,
responsabilidades, la planificación, la operación, las políticas, las planejamento, operação, políticas, práticas, regras, crenças,
prácticas, las reglas, las creencias, los objetivos y los procesos objetivos da organização e processos para alcançar estes
para lograr esos objetivos. objetivos.
NOTA 3 a la entrada: El alcance de un sistema de gestión puede Nota 3 de entrada: O escopo de um sistema de gestão pode
incluir la totalidad de la organización, funciones específicas e incluir a totalidade da organização, funções específicas e
identificadas de la organización, secciones específicas e identificadas da organização, seções específicas e identificadas
identificadas de la organización, o una o más funciones dentro da organização, ou uma ou mais funções executadas por mais
de un grupo de organizaciones. de uma organização.
[FUENTE: ISO 9000:2015, 3.5.3, modificada - se ha [ISO 9000:2015, 3.5.3, modificada - Nota 4 de
eliminado la Nota 4 a la entrada] entrada foi excluída]
3.19 3.19
riesgo risco
efecto de la incertidumbre efeito de incerteza
NOTA 1 a la entrada: Un efecto es una desviación de lo Nota 1 de entrada: Um efeito é um desvio do esperado - positivo
esperado, ya sea positivo o negativo. ou negativo.
NOTA 2 a la entrada: Incertidumbre es el estado, incluso parcial, Nota 2 de entrada: Incerteza é o estado, ainda que parcial, de
de deficiencia de información relacionada con la comprensión o deficiência de informação, de compreensão e conhecimento
conocimiento de un evento, su consecuencia o su probabilidad. relacionado a um evento, sua consequência ou sua
probabilidade.
NOTA 3 a la entrada: Con frecuencia el riesgo se caracteriza Nota 3 de entrada: Risco é frequentemente caracterizado
por referencia a eventos potenciales (según se define en la pela referência a “eventos” potenciais (como definido no
Guía ISO 73:2009, 3.5.1.3) y consecuencias (según se define en ISO Guia 73:2009, 3.5.1.3) e “consequências” (como definido no
la Guía ISO 73:2009, 3.6.1.3), o a una combinación de éstos. ISO Guia 73:2009, 3.6.1.3), ou uma combinação destes.
NOTA 4 a la entrada: Con frecuencia el riesgo se expresa en Nota 4 de entrada: Risco é frequentemente expresso em termos
términos de una combinación de las consecuencias de un de uma combinação das consequências de um evento (incluindo
evento (incluidos cambios en las circunstancias) y la mudanças em circunstâncias) e da “probabilidade” associada
probabilidad (según se define en la Guía ISO 73:2009, 3.6.1.1) (como definido no ISO Guia 73:2009, 3.6.1.1) de ocorrências.
asociada de que ocurra.
[FUENTE: ISO 9000:2015, 3.7.9, modificada - se [ISO 9000:2015, 3.7.9, modificada - Notas 5 e 6 de
han eliminado las Notas 5 y 6 a la entrada] entrada foram excluídas]
3.20 3.20
conformidad conformidade
cumplimiento de un requisito (3.23) atendimento de um requisito (3.23)
[FUENTE: ISO 9000:2015, 3.6.11, modificada - se [ISO 9000:2015, 3.6.11, modificada - Nota 1 de
ha eliminado la Nota 1 a la entrada] entrada foi excluída]
3.21 3.21
no conformidad não conformidade
incumplimiento de un requisito (3.23) não atendimento de um requisito (3.23)
[FUENTE: ISO 9000:2015, 3.6.9, modificada - se ha [ISO 9000:2015, 3.6.9, modificada - Nota 1 de
eliminado la Nota 1 a la entrada] entrada foi excluída]
3.22 3.22
competencia competência
capacidad para aplicar conocimientos y habilidades capacidade de aplicar conhecimento e habilidades
con el fin de lograr los resultados previstos para alcançar resultados pretendidos
[FUENTE: ISO 9000:2015, 3.10.4, modificada - se [ISO 9000:2015, 3.10.4, modificada - Notas de
han eliminado las Notas a la entrada] entrada foram excluídas]
5
NM ISO 19011:2018
3.23 3.23
requisito requisito
necesidad o expectativa establecida, generalmente necessidade ou expectativa que é declarada,
implícita u obligatoria geralmente implícita ou obrigatória
NOTA 1 a la entrada: “Generalmente implícita” significa que es Nota 1 de entrada: “Geralmente implícita” significa que é
habitual o práctica común para la organización y las partes costume ou prática comum para a organização e partes
interesadas el que la necesidad o expectativa bajo consideración interessadas que a necessidade ou expectativa sob
está implícita. consideração esteja implícita.
NOTA 2 a la entrada: Un requisito especificado es aquel que está Nota 2 de entrada: Um requisito especificado é aquele que é
establecido, por ejemplo, en información documentada. declarado, por exemplo, em informação documentada.
[FUENTE: ISO 9000:2015, 3.6.4, modificada - se [ISO 9000:2015 3.6.4 - Notas 3, 4, 5 e 6 de entrada
han eliminado las Notas 3, 4, 5 y 6 a la entrada] foram excluídas]
3.24 3.24
proceso processo
conjunto de actividades mutuamente relacionadas conjunto de atividades inter-relacionadas ou
que utilizan las entradas para proporcionar un interativas que utilizam entradas para entregar um
resultado previsto resultado pretendido
[FUENTE: ISO 9000:2015, 3.4.1, modificada - se [ISO 9000:2015, 3.4.1, modificada - Notas de
han eliminado las Notas a la entrada] entrada foram excluídas]
3.25 3.25
desempeño desempenho
resultado medible resultado mensurável
NOTA 1 a la entrada: El desempeño se puede relacionar con Nota 1 de entrada: Desempenho pode se relacionar tanto às
hallazgos cuantitativos o cualitativos. constatações quantitativas como às qualitativas.
NOTA 2 a la entrada: El desempeño se puede relacionar con la Nota 2 de entrada: Desempenho pode se relacionar à gestão de
gestión de actividades, procesos (3.24), productos, servicios, atividades, processos (3.24), produtos, serviços, sistemas ou
sistemas u organizaciones. organizações.
[FUENTE: ISO 9000:2015, 3.7.8, modificada - se ha [ISO 9000:2015, 3.7.8 - Nota 3 de entrada foi
eliminado la Nota 3 a la entrada] excluída]
3.26 3.26
eficacia eficácia
grado en el que se realizan las actividades extensão na qual atividades planejadas são
planificadas y se logran los resultados planificados realizadas e resultados planejados são alcançados
[FUENTE: ISO 9000:2015, 3.7.11, modificada - se [ISO 9000:2015, 3.7.11 - Nota 1 de entrada foi
ha eliminado la Nota 1 a la entrada] excluída]
La orientación dada en los Capítulos 5 a 7 se basa As orientações dadas nas Seções 5 a 7 são
en los siete principios señalados a continuación. baseadas nos setes princípios apresentados
abaixo.
6
NM ISO 19011:2018
Los auditores y las personas que gestionan un Convém que os auditores e a(s) pessoa(s) que
programa de auditoría deberían: gerenciam um programa de auditoria:
- desempeñar su trabajo de forma ética, con - desempenhem seu trabalho eticamente, com
honestidad y responsabilidad; honestidade e responsabilidade;
- emprender actividades de auditoría sólo si son - somente realizem atividades de auditoria se forem
competentes para hacerlo; competentes para isso;
- desempeñar su trabajo de manera imparcial, es - realizem seu trabalho de uma maneira imparcial,
decir, permanecer ecuánimes y sin sesgo en todas isto é, mantenham-se justos e sem tendenciosidade
sus acciones; em todas as suas interações;
- ser sensibles a cualquier influencia que se pueda - desempenhem sensíveis a quaisquer influências
ejercer sobre su juicio mientras lleva a cabo una que possam ser exercidas sobre o seu julgamento
auditoría. enquanto estiverem realizando uma auditoria.
b) Presentación imparcial: la obligación de informar b) Apresentação justa: a obrigação de reportar com
con veracidad y exactitud veracidade e exatidão
Los auditores deberían proceder con el debido Convém que os auditores exerçam o devido
cuidado, de acuerdo con la importancia de la tarea cuidado de acordo com a importância da tarefa que
que desempeñan y la confianza depositada en ellos eles executam e com a confiança neles depositada
por el cliente de la auditoría y por otras partes pelo cliente de auditoria e por outras partes
interesadas. Un factor importante al realizar su interessadas. Um fator importante na realização do
trabajo con el debido cuidado profesional es tener seu trabalho com devido cuidado profissional é ter
la capacidad de hacer juicios razonados en todas a capacidade de fazer julgamentos ponderados em
las situaciones de la auditoría. todas as situações de auditoria.
Los auditores deberían proceder con discreción en Convém que os auditores tenham discrição no uso
el uso y la protección de la información adquirida en e proteção das informações obtidas no curso de
el curso de sus tareas. La información de la suas obrigações. Convém que a informação de
auditoría no debería usarse inapropiadamente para auditoria não seja usada de forma inapropriada
beneficio personal del auditor o del cliente de la para ganhos pessoais pelo auditor ou pelo cliente
auditoría, o de modo que perjudique los intereses de auditoria, ou de uma maneira prejudicial para os
legítimos del auditado. Este concepto incluye el legítimos interesses do auditado. Este conceito
tratamiento apropiado de la información sensible o inclui o manuseio apropriado de informação
confidencial. sensível ou confidencial.
Los auditores deberían ser independientes de la Convém que os auditores sejam independentes da
actividad que se audita siempre que sea posible, y atividade que está sendo auditada quando for
7
NM ISO 19011:2018
en todos los casos deberían actuar de una manera praticável, e convém que ajam em todas as
libre de sesgo y conflicto de intereses. Para las situações de um tal modo que estejam livres de
auditorías internas, los auditores deberían ser tendenciosidade e conflitos de interesse. Para
independientes de la función que se audita, si es auditorias internas, convém que os auditores sejam
posible. Los auditores deberían mantener la independentes da função que está sendo auditada,
objetividad a lo largo del proceso de auditoría para se praticável. Convém que os auditores
asegurarse de que los hallazgos y las conclusiones mantenham objetividade ao longo do processo de
de la auditoría están basados sólo en la evidencia auditoria para assegurar que as constatações e
de la auditoría. conclusões de auditoria sejam baseadas apenas
nas evidências de auditoria.
Para las organizaciones pequeñas, puede que no Para pequenas organizações, pode não ser
sea posible que los auditores internos sean possível que auditores internos tenham total
completamente independientes de la actividad que independência da atividade que está sendo
se audita, pero deberían hacerse todos los auditada, porém convém que seja feito todo o
esfuerzos para eliminar el sesgo y fomentar la esforço para remover a tendenciosidade e
objetividad. encorajar a objetividade.
La evidencia de la auditoría debería ser verificable. Convém que a evidência de auditoria seja
En general debería basarse en muestras de la verificável. Convém que no geral ela seja baseada
información disponible, ya que una auditoría se em amostras da informação disponíveis, uma vez
lleva a cabo durante un periodo de tiempo que uma auditoria é conduzida durante um período
delimitado y con recursos finitos. Debería aplicarse de tempo finito e com recursos limitados. Convém
un uso apropiado del muestreo, ya que está que o uso apropriado de amostras seja aplicado,
estrechamente relacionado con la confianza que uma vez que esta situação está intimamente
puede depositarse en las conclusiones de la relacionada à confiança que pode ser depositada
auditoría. nas conclusões de auditoria.
g) Enfoque basado en riesgos: un enfoque de g) Abordagem baseada em risco: uma abordagem
auditoría que considera los riesgos y oportunidades de auditoria que considera riscos e oportunidades
El enfoque basado en riesgos debería influir Convém que a abordagem baseada em risco
sustancialmente en la planificación, la realización y influencie substancialmente o planejamento, a
la presentación de informes de auditoría a fin de condução e o relato de auditorias, para assegurar
asegurar que las auditorías se centran en asuntos que as auditorias sejam focadas em assuntos que
que son importantes para el cliente de la auditoría sejam significativos para o cliente de auditoria e
y para alcanzar los objetivos del programa de para alcançar os objetivos do programa de
auditoría. auditoria.
Debería establecerse un programa de auditoría que Convém que um programa de auditoria seja
puede incluir auditorías que traten una o más estabelecido, o qual pode incluir auditorias que
normas de sistemas de gestión u otros requisitos, abordem uma ou mais normas de sistema de
realizadas por separado o en combinación gestão ou outros requisitos, conduzidas
(auditoría combinada). separadamente ou em combinação (auditoria
combinada).
8
NM ISO 19011:2018
La funcionalidad del sistema de gestión puede ser A funcionalidade do sistema de gestão pode ser
aún más compleja si la mayoría de las funciones ainda mais complexa quando a maioria das funções
importantes están contratadas externamente y se importantes é terceirizada e gerenciada sob a
gestionan bajo el liderazgo de otras liderança de outras organizações. É necessário
organizaciones. Es necesario prestar especial prestar especial atenção ao local onde as decisões
atención dónde se toman las decisiones más mais importantes são tomadas e ao que constitui a
importantes y qué constituye la alta dirección del Alta Direção do sistema de gestão.
sistema de gestión.
A fin de comprender el contexto del auditado, el Para entender o contexto do auditado, convém que
programa de auditoría debería tener en cuenta del o programa de auditoria leve em conta:
auditado:
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían asegurase de que programa de auditoria assegure(m) que a
se mantiene la integridad de la auditoría y de que integridade da auditoria seja mantida e que não
no se ejerce una influencia indebida sobre la haja influência indevida exercida sobre a auditoria.
auditoría.
Debería darse prioridad de auditoría a la asignación Convém que seja dada prioridade de auditoria para
de recursos y métodos para los asuntos de un alocar recursos e métodos a assuntos em um
sistema de gestión con los riesgos inherentes más sistema de gestão com mais alto risco inerente e
altos y con los niveles de desempeño más bajos. mais baixo nível de desempenho.
Deberían asignarse personas competentes para Convém que pessoas competentes sejam
gestionar el programa de auditoría. designadas para gerenciar o programa de auditoria.
9
NM ISO 19011:2018
c) alcance (extensión, límites, ubicaciones) de cada c) escopo (extensão, limites, locais) de cada
auditoría dentro del programa de auditoría; auditoria no programa de auditoria;
e) tipos de auditoría, tales como internas o e) tipos de auditoria, como interna ou externa;
externas;
h) criterios para seleccionar a los miembros del h) critérios para selecionar membros de equipe de
equipo auditor; auditoria;
Parte de esta información puede no estar disponible Parte desta informação pode não estar disponível
hasta que se complete una planificación de até que o planejamento mais detalhado de auditoria
auditoría más detallada. esteja completo.
La Figura 1 ilustra el flujo del proceso para la A Figura 1 ilustra o fluxo de processo para o
gestión de un programa de auditoría. gerenciamento de um programa de auditoria.
10
NM ISO 19011:2018
NOTA 1 Esta figura ilustra la aplicación del ciclo Planificar- NOTA 1 Esta figura ilustra a aplicação do ciclo Plan-Do-Check-
Hacer-Verificar-Actuar en este documento. Act (Planejar-Fazer-Checar-Agir) neste documento.
11
NM ISO 19011:2018
El cliente de la auditoría debería asegurarse de que Convém que o cliente da auditoria assegure que os
los objetivos del programa de auditoría se han objetivos do programa de auditoria sejam
establecido para dirigir la planificación y realización estabelecidos para direcionar o planejamento e a
de auditorías y debería asegurarse de que el condução de auditorias, e convém que assegure
programa de auditoría se ha implementado que o programa de auditoria seja implementado
eficazmente. Los objetivos del programa de eficazmente. Convém que os objetivos do
auditoría deberían ser coherentes con la dirección programa de auditoria sejam coerentes com a
estratégica del cliente de la auditoría y servir de direção estratégica do cliente da auditoria e apoiem
apoyo a la política y los objetivos del sistema de a política e os objetivos do sistema de gestão.
gestión.
Estos objetivos pueden basarse en las siguientes Estes objetivos podem ser baseados na
consideraciones: consideração do seguinte:
e) el nivel de desempeño del auditado y el nivel de e) nível de desempenho e nível de maturidade
madurez de los sistemas de gestión, como se do(s) sistema(s) de gestão do auditado, como
refleja en los indicadores de desempeño refletido nos indicadores de desempenho
pertinentes (por ejemplo, los KPI), la ocurrencia de pertinentes (por exemplo, KPI), a ocorrência de não
no conformidades o incidentes o quejas de las conformidades ou incidentes ou reclamações de
partes interesadas; partes interessadas;
f) los riesgos y oportunidades identificados para el f) riscos e oportunidades identificados para o
auditado; auditado;
- identificar las oportunidades para la mejora del - identificar oportunidades para a melhoria de um
sistema de gestión y de su desempeño; sistema de gestão e de seu desempenho;
- evaluar la capacidad del auditado para determinar - avaliar a capacidade do auditado de determinar
su contexto; seu contexto;
- evaluar la capacidad del auditado para determinar - avaliar a capacidade do auditado de determinar
los riesgos y oportunidades, y para identificar e riscos e oportunidades e identificar e implementar
implementar acciones eficaces para abordarlos; ações eficazes para abordá-los.
- cumplir todos los requisitos pertinentes, por - estar conforme com todos os requisitos
ejemplo los requisitos legales y reglamentarios, los pertinentes, por exemplo, requisitos estatutários e
compromisos de cumplimiento, los requisitos de regulamentares, compromissos de compliance,
certificación con una norma de sistemas de gestión; requisitos para certificação em relação a uma
norma de sistema de gestão;
12
NM ISO 19011:2018
Puede haber riesgos asociados con lo siguiente: Podem existir riscos associados com o seguinte:
b) los recursos, por ejemplo conceder insuficiente b) recursos, por exemplo, dispor de tempo,
tiempo, equipos y/o formación para desarrollar el equipamento e/ou treinamento insuficientes para
programa de auditoría o para realizar una auditoría; desenvolver o programa de auditoria ou conduzir
uma auditoria;
c) la selección del equipo auditor, por ejemplo c) seleção da equipe de auditoria, por exemplo,
competencia global insuficiente para realizar competência global insuficiente para conduzir
auditorías eficazmente; auditorias eficazmente;
e) la implementación, por ejemplo una coordinación e) implementação, por exemplo, coordenação
ineficaz de las auditorías dentro del programa de ineficaz das auditorias no programa de auditoria ou
auditoría, o no tener en cuenta la seguridad y não considerar segurança e confidencialidade da
confidencialidad de la información; informação;
g) el seguimiento, revisión y mejora del programa g) monitoramento, análise crítica e melhoria do
de auditoría, por ejemplo seguimiento ineficaz de programa de auditoria, por exemplo,
los resultados del programa de auditoría; monitoramento ineficaz de resultados do programa
de auditoria;
13
NM ISO 19011:2018
- permitir llevar a cabo múltiples auditorías en una - permitir que múltiplas auditorias sejam conduzidas
única visita; em uma visita única;
- minimizar el tiempo y las distancias viajando al - minimizar tempo e distância de viagem ao local;
sitio;
- igualar el nivel de competencia del equipo auditor - conciliar o nível de competência da equipe de
con el nivel de competencia necesario para auditoria ao nível de competência necessário para
alcanzar los objetivos de la auditoría; alcançar os objetivos da auditoria;
- alinear las fechas de la auditoría con la - alinhar datas de auditoria com a disponibilidade de
disponibilidad del personal clave del auditado. pessoal-chave do auditado.
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían: programa de auditoria:
b) determinar las cuestiones externas e internas, y b) determine(m) as questões internas e externas e
los riesgos y oportunidades que pueden afectar al riscos e oportunidades que possam afetar o
programa de auditoría, e implementar acciones programa de auditoria e implemente(m) ações para
para abordarlos, integrando estas acciones en abordá-los, integrando estas ações em todas as
todas las actividades de auditoría pertinentes, atividades de auditoria pertinentes, conforme
según sea apropiado; apropriado;
c) asegurar la selección de los equipos auditores y c) assegure(m) a seleção de equipes de auditoria e
la competencia general para las actividades de a competência global para as atividades de
auditoría, asignando roles, responsabilidades y auditoria, atribuindo papéis, responsabilidades e
autoridades, y respaldando al liderazgo, según sea autoridades, e apoiando a liderança, conforme
apropiado; apropriado;
d) establecer todos los procesos pertinentes, d) estabeleça(m) todos os processos pertinentes,
incluyendo procesos para: incluindo processos para:
14
NM ISO 19011:2018
e) determinar y asegurar la provisión de todos los e) determine(m) e assegure(m) provisão de todos
recursos necesarios; os recursos necessários;
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían solicitar su programa de auditoria solicite(m) sua aprovação
aprobación al cliente de la auditoría. pelo cliente de auditoria.
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían tener la programa de auditoria tenha(m) a competência
competencia necesaria para gestionar el programa necessária para gerenciar o programa e seus riscos
y sus riesgos y oportunidades y las cuestiones e oportunidades associados e questões externas e
externas e internas asociadas de forma eficaz y internas eficaz e eficientemente, incluindo o
eficiente, incluyendo conocimientos sobre: conhecimento de:
a) los principios (véase el Capítulo 4), métodos y a) princípios de auditoria (ver Seção 4), métodos e
procesos de auditoría (véanse A.1 y A.2); processos (ver A.1 e A.2);
b) las normas de sistemas de gestión, otras normas b) normas de sistema de gestão, outras normas
pertinentes y documentos de pertinentes e documentos de referência/orientação;
referencia/orientación;
c) la información relativa al auditado y a su contexto c) informação relativa ao auditado e seu contexto
(por ejemplo, las cuestiones externas/internas, las (por exemplo, questões externas/internas, partes
partes interesadas pertinentes y sus necesidades y interessadas pertinentes e suas necessidades e
expectativas, las actividades de negocio, los expectativas, atividades de negócios, produtos,
productos, servicios y procesos del auditado); serviços e processos do auditado);
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían participar en las programa de auditoria se engaje(m) em atividades
15
NM ISO 19011:2018
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían determinar la programa de auditoria determine(m) a extensão do
extensión del programa de auditoría. Ésta puede programa de auditoria. Isso pode variar
variar dependiendo de la información dependendo da informação fornecida pelo auditado
proporcionada por el auditado sobre su contexto relativa a seu contexto (ver 5.3).
(véase 5.3).
NOTA En ciertos casos, dependiendo de la estructura o las NOTA Em certos casos, dependendo da estrutura do auditado
actividades del auditado, el programa de auditoría podría ou suas atividades, o programa de auditoria pode consistir
consistir únicamente en una sola auditoría (por ejemplo, un somente em uma única auditoria (por exemplo, um pequeno
proyecto o una organización pequeños). projeto ou pequena organização).
Otros factores que tienen impacto en la extensión Outros fatores que impactam a extensão de um
de un programa de auditoría pueden incluir lo programa de auditoria podem incluir o seguinte:
siguiente:
a) el objetivo, alcance y duración de cada auditoría a) objetivo, escopo e duração de cada auditoria e
y el número de auditorías a llevar a cabo, el método número de auditorias a serem conduzidas, método
de presentación de informes y, si aplica, el de relatar e, se aplicável, acompanhamento da
seguimiento de la auditoría; auditoria;
b) las normas de sistemas de gestión u otros b) normas de sistema de gestão ou outros critérios
criterios aplicables; aplicáveis;
d) los factores que influyen en la eficacia del d) aqueles fatores que influenciam a eficácia do
sistema de gestión; sistema de gestão;
e) los criterios de auditoría aplicables, tales como e) critérios de auditoria aplicáveis, como arranjos
los acuerdos planificados para las normas de planejados para normas pertinentes do sistema de
sistemas de gestión pertinentes, los requisitos gestão, requisitos estatutários e regulamentares e
legales y reglamentarios y otros requisitos con los outros requisitos com os quais a organização esteja
que la organización está comprometida; comprometida;
f) los resultados de auditorías internas o externas f) resultados de auditorias internas ou externas e
previas y revisiones por la dirección previas, si es análises críticas gerenciais anteriores, se
apropiado; apropriado;
g) los resultados de una revisión previa del g) resultados de análise crítica de um programa de
programa de auditoría; auditoria anterior;
h) el idioma, las cuestiones culturales y sociales; h) questões de idioma, culturais e sociais;
i) las inquietudes de las partes interesadas, tales i) preocupações das partes interessadas, como
como quejas de clientes, incumplimiento de los reclamações de clientes, não conformidade com
requisitos legales y reglamentarios y otros requisitos estatutários e regulamentares, e outros
requisitos con los que la organización está requisitos com os quais a organização esteja
comprometida, o cuestiones de la cadena de comprometida, ou questões de cadeia de
suministro; suprimentos;
j) los cambios significativos en el contexto del j) mudanças significativas para o contexto do
auditado o sus operaciones y los riesgos y auditado ou suas operações e riscos e
oportunidades asociados; oportunidades relacionadas;
16
NM ISO 19011:2018
l) la ocurrencia de sucesos internos y externos, l) ocorrência de eventos internos e externos, como
tales como no conformidades de los productos o não conformidades de produtos ou serviço, brechas
servicios, filtraciones en la seguridad de la de segurança da informação, incidentes de saúde e
información, incidentes en materia de seguridad y segurança, atos criminosos ou incidentes
salud, actos delictivos o incidentes ambientales; ambientais;
a) los recursos financieros y de tiempo necesarios a) recursos financeiros e tempo necessários para
para desarrollar, implementar, gestionar y mejorar desenvolver, implementar, gerenciar e melhorar
las actividades de auditoría; atividades de auditoria;
b) los métodos de auditoría (véase A.1); b) métodos de auditoria (ver A.1);
d) la extensión del programa de auditoría (véase d) extensão do programa de auditoria (ver 5.4.3) e
5.4.3) y los riesgos y oportunidades relacionados riscos e oportunidades do programa de auditoria
con el programa de auditoría (véase 5.3); (ver 5.3);
e) el tiempo y costos de transporte, alojamiento y e) custo e tempo de viagem, acomodação e outras
otras necesidades de la auditoría; necessidades de auditoria;
f) el impacto de las diferentes zonas horarias; f) impacto de diferentes fusos horários;
j) los requisitos relacionados con las instalaciones, j) requisitos relacionados à instalação, incluindo
incluyendo las autorizaciones y equipos de quaisquer liberações e equipamento de segurança
seguridad (por ejemplo, verificación de (por exemplo, verificações de histórico,
antecedentes, equipos de protección personal, equipamento de proteção pessoal, capacidade de
capacidad para llevar ropa de sala limpia). usar trajes para salas limpas).
17
NM ISO 19011:2018
Una vez que se ha establecido el programa de Uma vez que o programa de auditoria tenha sido
auditoría (véase 5.4.3) y que se han determinado estabelecido (ver 5.4.3) e os recursos relacionados
los recursos relacionados (véase 5.4.4), es tenham sido determinados (ver 5.4.4), é necessário
necesario implementar la planificación operacional implementar o planejamento operacional e a
y la coordinación de todas las actividades dentro del coordenação de todas as atividades no programa.
programa.
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían: programa de auditoria:
a) comunicar las partes pertinentes del programa a) comunique(m)-se com as partes pertinentes do
de auditoría, incluyendo los riesgos y oportunidades programa de auditoria, incluindo os riscos e
implicados, a las partes interesadas pertinentes e oportunidades envolvidos, e com as partes
informarles periódicamente de su progreso, usando interessadas pertinentes e informe(m)
los canales de comunicación externos e internos periodicamente de seu progresso, usando canais
establecidos; de comunicação externos e internos estabelecidos;
b) definir los objetivos, el alcance y los criterios para b) especifique(m) objetivos, escopo e critérios para
cada auditoría individual; cada auditoria individual;
c) seleccionar los métodos de auditoría (véase A.1); c) selecione(m) métodos de auditoria (ver A.1);
d) coordinar y programar las auditorías y otras d) coordene(m) e agende(m) auditorias e outras
actividades pertinentes al programa de auditoría; atividades pertinentes ao programa de auditoria;
e) asegurarse de que los equipos auditores tienen e) assegure(m) que as equipes de auditoria tenham
la competencia necesaria (véase 5.5.4); a competência necessária (ver 5.5.4);
f) proporcionar los recursos necesarios individuales f) forneça(m) recursos individuais e globais
y globales para los equipos auditores (véase 5.4.4); necessários para as equipes de auditoria
(ver 5.4.4);
j) revisar el programa de auditoría a fin de identificar j) analise(m) criticamente o programa de auditoria
oportunidades para mejorarlo (véase 5.7). para identificar oportunidades para sua melhoria
(ver 5.7).
5.5.2 Definición de los objetivos, el alcance y los 5.5.2 Definindo os objetivos, escopo e critérios
criterios para una auditoría individual para uma auditoria individual
Cada auditoría individual debería basarse en unos Convém que cada auditoria individual seja baseada
objetivos, un alcance y unos criterios de auditoría em objetivos, escopo e critérios de auditoria
definidos. Estos deberían ser coherentes con los especificados. Convém que esses sejam coerentes
objetivos globales del programa de auditoría. com os objetivos globais do programa de auditoria.
18
NM ISO 19011:2018
Los objetivos de la auditoría definen qué es lo que Os objetivos da auditoria determinam o que é para
se va a lograr con la auditoría individual y pueden ser realizado pela auditoria individual e podem
incluir lo siguiente: incluir o seguinte:
El alcance de la auditoría debería ser coherente con Convém que o escopo de auditoria seja coerente
el programa de auditoría y con los objetivos de la com o programa e os objetivos da auditoria. Ele
auditoría. Incluye factores tales como las inclui fatores como locais, funções, atividades e
ubicaciones, las funciones, las actividades y los processos a serem auditados, assim como o
procesos que se van a auditar, así como el periodo período de tempo coberto pela auditoria.
de tiempo cubierto por la auditoría.
Los criterios de auditoría se utilizan como una Os critérios de auditoria são usados como uma
referencia frente a la cual se determina la referência em relação à qual a conformidade é
conformidad. Pueden incluir uno o más de los determinada. Estes podem incluir um ou mais dos
siguientes: políticas aplicables, procesos, seguintes: políticas aplicáveis, processos, procedi-
procedimientos, criterios de desempeño incluyendo mentos, critérios de desempenho, incluindo
objetivos, requisitos legales y reglamentarios, objetivos, requisitos estatutários e regulamentares,
requisitos del sistema de gestión, información requisitos do sistema de gestão, informação relativa
relativa al contexto y a los riesgos y oportunidades ao contexto e aos riscos e oportunidades como
según determine el auditado (incluyendo los determinado pelo auditado (incluindo requisitos de
requisitos de las partes interesadas pertinentes partes interessadas pertinentes externas/internas),
externas/internas), códigos de conducta sectoriales códigos de conduta setoriais ou outros arranjos
u otros acuerdos planificados. planejados.
Cuando se audita más de una disciplina a la vez, es Quando mais de uma disciplina está sendo
importante que los objetivos, el alcance y los auditada ao mesmo tempo, é importante que os
criterios de la auditoría sean coherentes con los objetivos, o escopo e os critérios de auditoria sejam
programas de auditoría pertinentes para cada coerentes com os programas de auditorias
disciplina. Algunas disciplinas pueden tener un pertinentes para cada disciplina. Algumas
alcance que incorpore a toda la organización, y disciplinas podem ter um escopo que reflita a
19
NM ISO 19011:2018
otras pueden tener un alcance que abarque a un organização inteira, e outras podem ter um escopo
subconjunto de la organización. que reflita um subconjunto da organização inteira.
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían seleccionar y programa de auditoria selecione(m) e determine(m)
determinar los métodos para llevar a cabo la os métodos para conduzir uma auditoria eficaz e
auditoría de manera eficaz y eficiente, dependiendo eficientemente, dependendo dos objetivos, escopo
de los objetivos, el alcance y los criterios de la e critérios de auditoria estabelecidos.
auditoría definidos.
Las auditorías pueden llevarse a cabo en el sitio, Auditorias podem ser realizadas no local,
remotamente, o como una combinación. El uso de remotamente ou como uma combinação. Convém
estos métodos debería estar adecuadamente que o uso destes métodos seja adequadamente
equilibrado, basándose, entre otros, en la equilibrado, baseado em, entre outras,
consideración de los riesgos y oportunidades consideração de riscos e oportunidades
asociados. associadas.
Cuando dos o más organizaciones auditoras llevan Quando duas ou mais organizações de auditoria
a cabo una auditoría conjunta del mismo auditado, conduzem uma auditoria conjunta do mesmo
las personas responsables de la gestión de los auditado, convém que as pessoas que gerenciam
diferentes programas de auditoría deberían estar os diferentes programas de auditorias estejam de
de acuerdo en los métodos de auditoría y acordo sobre os métodos de auditoria e considerem
considerar las implicaciones para la provisión de implicações para alocar recursos e planejar a
recursos y la planificación de la auditoría. Si un auditoria. Se um auditado operar dois ou mais
auditado opera dos o más sistemas de gestión de sistemas de gestão de diferentes disciplinas,
disciplinas diferentes, pueden incluirse auditorías auditorias combinadas podem ser incluídas no
combinadas en el programa de auditoría. programa de auditoria.
5.5.4 Selección de los miembros del equipo 5.5.4 Selecionando os membros da equipe de
auditor auditoria
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían designar a los programa de auditoria indique(m) os membros da
miembros del equipo auditor, incluyendo al líder del equipe de auditoria, incluindo o líder da equipe e
equipo y a cualquier experto técnico necesario para quaisquer especialistas necessários para a
la auditoría específica. auditoria específica.
Un equipo auditor debería seleccionarse teniendo Convém que uma equipe de auditoria seja
en cuenta las competencias necesarias para selecionada levando em conta a competência
alcanzar los objetivos de la auditoría individual necessária para alcançar os objetivos da auditoria
dentro del alcance definido. Si sólo hay un auditor, individual no escopo determinado. Se houver
el auditor debería realizar todas las tareas somente um auditor, convém que o auditor realize
aplicables a un líder de equipo auditor. todas as obrigações aplicáveis de um líder de
equipe de auditoria.
NOTA El Capítulo 7 contiene orientación sobre la determinación NOTA A Seção 7 contém orientações para determinar a
de las competencias requeridas para los miembros del equipo competência necessária para os membros da equipe de
auditor y describe los procesos para evaluar auditores. auditoria e descreve os processos para avaliar os auditores.
Para asegurar la competencia global del equipo Para assegurar a competência global da equipe de
auditor, deberían llevarse a cabo los siguientes auditoria, convém realizar os seguintes passos:
pasos:
- la selección de los miembros del equipo auditor, - seleção dos membros da equipe de auditoria, de
de tal manera que la competencia necesaria esté modo que a competência necessária esteja
presente en el equipo auditor. presente na equipe de auditoria.
20
NM ISO 19011:2018
a) la competencia global del equipo auditor a) competência global necessária da equipe de
necesaria para lograr los objetivos de la auditoría, auditoria para alcançar os objetivos de auditoria,
teniendo en cuenta el alcance y los criterios de la levando em conta o escopo e os critérios de
auditoría; auditoria;
h) el tipo y la complejidad de los procesos a auditar. h) tipo e complexidade dos processos a serem
auditados.
Cuando proceda, las personas responsables de la Quando apropriado, convém que a(s) pessoa(s)
gestión del programa de auditoría deberían que gerencia(m) o programa de auditoria
consultar con el líder del equipo sobre la consulte(m) o líder da equipe sobre a composição
composición del equipo auditor. da equipe de auditoria.
Si los auditores del equipo auditor no cubren la Se a competência necessária não for coberta pelos
competencia necesaria, los expertos técnicos con auditores na equipe de auditoria, convém que
competencia adicional deberían estar disponibles especialistas com competência adicional sejam
para apoyar al equipo. colocados à disposição para apoiar a equipe.
Los auditores en formación pueden incluirse en el Auditores em treinamento podem ser incluídos na
equipo auditor, pero deberían participar bajo la equipe de auditoria, mas convém que participem
dirección y orientación de un auditor. sob a direção e orientação de um auditor.
21
NM ISO 19011:2018
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían asignar a un líder programa de auditoria designe(m) a
del equipo auditor la responsabilidad de llevar a responsabilidade por conduzir a auditoria individual
cabo la auditoría individual. a um líder de equipe de auditoria.
La asignación debería hacerse con tiempo Convém que a atribuição seja feita em tempo
suficiente antes de la fecha programada de la suficiente antes da data agendada da auditoria,
auditoría, para asegurarse de la planificación eficaz para assegurar o planejamento eficaz da auditoria.
de la auditoría.
Para asegurarse de la realización eficaz de las Para assegurar a condução eficaz das auditorias
auditorías individuales, debería proporcionarse al individuais, convém que a seguinte informação seja
líder del equipo auditor la siguiente información: fornecida ao líder da equipe de auditoria:
d) los procesos de la auditoría y los métodos d) processos de auditoria e métodos associados;
asociados;
f) los detalles de contacto del auditado, las f) detalhes de contato do auditado, e locais, período
ubicaciones, el marco temporal y la duración de las de tempo e duração das atividades de auditoria a
actividades de auditoría que se van a llevar a cabo; serem conduzidas;
g) los recursos necesarios para llevar a cabo la g) recursos necessários para conduzir a auditoria;
auditoría;
h) la información necesaria para evaluar y abordar h) informação necessária para avaliar e abordar
los riesgos y oportunidades identificados para el riscos e oportunidades identificados para o alcance
logro de los objetivos de la auditoría; dos objetivos de auditoria;
i) la información que apoya a los líderes de los i) informação que apoie o(s) líder(es) da equipe de
equipos auditores en sus interacciones con el auditoria em suas interações com o auditado para
auditado para la eficacia del programa de auditoría. a eficácia do programa de auditoria.
La información sobre la asignación también debería Convém que a informação de atribuição também
cubrir lo siguiente, cuando sea apropiado: abranja o seguinte, conforme apropriado:
- el idioma de trabajo y del informe de la auditoría, - idioma de trabalho e de relato da auditoria quando
cuando sea diferente del idioma del auditor o del este for diferente do idioma do auditor ou do
auditado, o de ambos; auditado, ou de ambos;
- el contenido requerido del informe de la auditoría - saída de relato de auditoria como requerido e a
y a quién debería distribuirse; quem será distribuída;
- cualquier acuerdo sobre seguridad, salud y medio - quaisquer arranjos de saúde, segurança e meio
ambiente para los auditores; ambiente para os auditores;
22
NM ISO 19011:2018
- cualquier acción a revisar, por ejemplo las - quaisquer ações a serem analisadas criticamente,
acciones de seguimiento de una auditoría previa; por exemplo, ações de acompanhamento de uma
auditoria anterior;
- la coordinación con otras actividades de auditoría, - coordenação com outras atividades de auditoria,
por ejemplo cuando equipos distintos están por exemplo, quando equipes diferentes estão
auditando procesos similares o relacionados en auditando processos similares ou relacionados a
ubicaciones diferentes, o en el caso de una diferentes locais ou no caso de auditoria conjunta.
auditoría conjunta.
Cuando se lleva a cabo una auditoría conjunta es Quando uma auditoria conjunta for conduzida, é
importante alcanzar un acuerdo entre las importante alcançar acordo entre as organizações
organizaciones que llevan a cabo las auditorías, que conduzem auditorias, antes que a auditoria
antes de que la auditoría comience, sobre las comece, sobre as responsabilidades específicas de
responsabilidades específicas de cada parte, cada parte, particularmente em relação à
especialmente en lo que concierne a la autoridad autoridade do líder de equipe indicado para a
del líder del equipo auditor designado para la auditoria.
auditoría.
5.5.6 Gestión de los resultados del programa de 5.5.6 Gerenciando os resultados do programa
auditoría de auditoria
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían asegurarse de que programa de auditoria assegure(m) que as
se realizan las siguientes actividades: seguintes atividades sejam realizadas:
a) la evaluación del cumplimiento de los objetivos a) avaliação do alcance dos objetivos para cada
para cada auditoría dentro del programa de auditoria no programa de auditoria;
auditoría;
c) la revisión de la eficacia de las acciones tomadas c) análise crítica da eficácia de ações tomadas para
para tratar los hallazgos de auditoría; abordar constatações de auditoria;
Las personas responsables de la gestión del Convém que a pessoa que gerencia o programa de
programa de auditoría deberían considerar, cuando auditoria considere, quando apropriado:
sea apropiado:
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían asegurarse de que programa de auditoria assegure(m) que os registros
se generan, gestionan y conservar registros de la de auditoria sejam gerados, gerenciados e
23
NM ISO 19011:2018
- aquellos que abordan los riesgos y - aqueles que abordam riscos e oportunidades
oportunidades y las cuestiones externas e do programa de auditoria e questões externas e
internas pertinentes del programa de auditoría; internas pertinentes;
b) Los registros relacionados con cada auditoría, b) Registros relacionados a cada auditoria, como:
tales como:
c) Los registros relacionados con el equipo auditor c) Registros relacionados à equipe de auditoria,
que cubran temas tales como: abrangendo tópicos como:
- los criterios para la selección de los equipos - critérios para a seleção de equipes de auditoria
auditores y los miembros del equipo y la e membros da equipe, e formação de equipes
formación de los equipos auditores; de auditoria;
La forma y el nivel de detalle de los registros Convém que a forma e ao nível de detalhe dos
deberían demostrar que se han alcanzado los registros demonstrem que os objetivos do
objetivos del programa de auditoría. programa de auditoria foram alcançados.
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían asegurar la programa de auditoria assegure(m) a avaliação de:
evaluación de:
24
NM ISO 19011:2018
b) el desempeño de los miembros del equipo b) desempenho dos membros da equipe de
auditor, incluyendo el líder del equipo auditor y los auditoria, incluindo o líder da equipe de auditoria e
expertos técnicos; os especialistas;
c) la capacidad de los equipos auditores para c) capacidade das equipes de auditoria de
implementar el plan de auditoría; implementar o plano de auditoria;
Algunos factores pueden indicar la necesidad de Alguns fatores podem indicar a necessidade de
modificar el programa de auditoría. Estos pueden modificar o programa de auditoria. Estes podem
incluir cambios en: incluir mudanças para:
- las normas, y otros requisitos con los que la - normas e outros requisitos com os quais a
organización está comprometida; organização está comprometida;
5.7 Revisión y mejora del programa de auditoría 5.7 Analisando criticamente e melhorando o
programa de auditoria
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría y el cliente de la auditoría programa de auditoria e o cliente de auditoria
deberían revisar el programa de auditoría para analisem criticamente o programa de auditoria para
evaluar si se han alcanzado sus objetivos. Las avaliar se os seus objetivos foram alcançados.
lecciones aprendidas de la revisión del programa de Convém que as lições apreendidas a partir da
auditoría deberían usarse como entradas para la análise crítica do programa de auditoria sejam
mejora del programa. usadas como entradas para a melhoria do
programa.
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían asegurar lo programa de auditoria assegure(m) o seguinte:
siguiente:
25
NM ISO 19011:2018
- la presentación de informes de los resultados del - relatos dos resultados do programa de auditoria e
programa de auditoría y la revisión con el cliente de análise crítica com o cliente de auditoria e partes
la auditoría y las partes interesadas pertinentes, interessadas pertinentes, conforme apropriado.
según sea apropiado.
La revisión del programa de auditoría debería Convém que a análise crítica do programa de
considerar lo siguiente: auditoria considere o seguinte:
a) los resultados y tendencias del seguimiento del a) resultados e tendências do monitoramento do
programa de auditoría; programa de auditoria;
b) la conformidad con los procesos del programa de b) conformidade com os processos do programa de
auditoría y con la información documentada auditoria e informação documentada pertinente;
pertinente;
e) los métodos de auditoría alternativos o nuevos; e) métodos novos ou alternativos de auditoria;
f) los métodos alternativos o nuevos para evaluar a f) métodos novos ou alternativos para avaliar
los auditores; auditores;
g) la eficacia de las acciones para abordar los g) eficácia de ações para abordar os riscos e
riesgos y oportunidades, y cuestiones internas y oportunidades e questões internas e externas
externas, asociados con el programa de auditoría; associadas ao programa de auditoria;
Este Capítulo contiene orientación sobre la Esta Seção contém orientação para preparar e
preparación y realización de una auditoría conduzir uma auditoria específica como parte de
específica como parte de un programa de auditoría. um programa de auditoria. A Figura 2 fornece uma
La Figura 2 proporciona una visión general de las visão geral das atividades executadas em uma
actividades desempeñadas en una auditoría típica. auditoria típica. A extensão na qual as disposições
El grado de aplicación de las disposiciones de este desta Seção são aplicáveis depende dos objetivos
Capítulo depende de los objetivos y del alcance de e do escopo da auditoria específica.
la auditoría específica.
26
NM ISO 19011:2018
designado (véase 5.5.5) hasta que la auditoría equipe de auditoria designado (ver 5.5.5) até que a
finalice (véase 6.6). auditoria seja concluída (ver 6.6).
Para iniciar una auditoría, deberían considerarse Para iniciar uma auditoria, convém que os passos
los pasos de la Figura 1; sin embargo, la secuencia da Figura 1 sejam considerados; entretanto, a
puede diferir dependiendo del auditado, de los sequência pode variar, dependendo do auditado,
procesos y de las circunstancias específicas de la do processo e das circunstâncias específicas da
auditoría. auditoria.
6.2.2 Establecimiento del contacto con el 6.2.2 Estabelecendo contato com o auditado
auditado
El líder del equipo auditor debería asegurarse de Convém que o líder da equipe de auditoria
que se establece contacto con el auditado para: assegure que seja feito contato com o auditado
para:
a) confirmar los canales de comunicación con los a) confirmar canais de comunicação com os
representantes del auditado; representantes do auditado;
b) confirmar la autoridad para llevar a cabo la b) confirmar a autoridade para conduzir a auditoria;
auditoría;
c) proporcionar información pertinente sobre los c) fornecer informação pertinente sobre os
objetivos de la auditoría, el alcance, los criterios, los objetivos, escopo, critérios, métodos de auditoria e
métodos y la composición del equipo auditor, composição da equipe de auditoria, incluindo
incluyendo a los expertos técnicos; quaisquer especialistas;
d) solicitar acceso a la información pertinente con d) solicitar acesso à informação pertinente para
propósitos de planificación, incluyendo información propósitos de planejamento, incluindo informação
sobre los riesgos y oportunidades que la sobre os riscos e oportunidades que a organização
organización ha identificado y la manera en que se tenha identificado e como eles serão abordados;
abordan;
f) confirmar lo acordado con el auditado respecto al f) confirmar o acordo com o auditado relativo à
grado de difusión y al tratamiento de la información extensão da divulgação e ao tratamento de
confidencial; informação confidencial;
g) hacer los preparativos para la auditoría g) fazer arranjos para a auditoria, incluindo o
incluyendo el calendario; agendamento;
j) determinar cualquier área de interés, inquietud o j) determinar quaisquer áreas de interesse,
los riesgos para el auditado en relación con la preocupação ou riscos para o auditado em relação
auditoría específica; à auditoria específica;
k) resolver las cuestiones relativas a la composición k) resolver questões relativas à composição da
del equipo auditor con el auditado o el cliente de la equipe de auditoria com o auditado ou o cliente de
auditoría. auditoria.
27
NM ISO 19011:2018
a) la información suficiente y apropiada para a) informação apropriada e suficiente para planejar
planificar y llevar a cabo la auditoría; e conduzir a auditoria;
c) el tiempo y los recursos adecuados para llevar a c) tempo e recursos adequados para conduzir a
cabo la auditoría. auditoria.
NOTA Los recursos incluyen el acceso adecuado y apropiado a NOTA Recursos incluem acesso à tecnologia da informação e
tecnologías de la información y las comunicaciones. comunicação adequados e apropriados.
Cuando la auditoría no es viable, debería Quando a auditoria não for viável, convém que seja
proponerse al cliente de la auditoría una alternativa, proposta uma alternativa ao cliente de auditoria, em
de acuerdo con el auditado. comum acordo com o auditado.
La información documentada pertinente del sistema Convém que a informação documentada pertinente
de gestión del auditado debería revisarse a fin de: do sistema de gestão do auditado seja analisada
criticamente para:
- reunir información para comprender las - reunir informação para entender as operações do
operaciones del auditado y preparar las actividades auditado e preparar as atividades da auditoria e
de auditoría y los documentos de trabajo de documentos de trabalho de auditoria aplicáveis (ver
auditoría aplicables (véase 6.3.4), por ejemplo, 6.3.4), por exemplo, sobre processos e funções;
sobre procesos, funciones;
- establecer una visión general de la extensión de - estabelecer uma visão geral da extensão da
la información documentada para determinar la informação documentada para determinar possível
posible conformidad con los criterios de auditoría y conformidade com os critérios de auditoria e
detectar las posibles áreas de inquietud, como detectar possíveis áreas de preocupação, como
deficiencias, omisiones o conflictos. deficiências, omissões ou conflitos.
La información documentada debería incluir, pero Convém que a informação documentada inclua,
no limitarse a: documentos y registros del sistema mas não se limite a: documentos e registros de
de gestión, así como a informes de auditoría sistema de gestão, assim como relatórios de
previos. La revisión debería tener en cuenta el auditorias anteriores. Convém que a análise crítica
contexto de la organización del auditado, leve em conta o contexto da organização do
incluyendo su tamaño, naturaleza y complejidad, y auditado, incluindo seu tamanho, natureza e
sus riesgos y oportunidades relacionados. También complexidade, e seus riscos e oportunidades
debería tener en cuenta el alcance, los criterios y relacionados. Convém que ela também leve em
los objetivos de la auditoría. conta o escopo, critérios e objetivos da auditoria.
NOTA Se proporciona orientación sobre cómo verificar NOTA Orientação sobre como verificar informação é fornecida
información en A.5. em A.5.
28
NM ISO 19011:2018
6.3.2.1 Enfoque basado en riesgos para la 6.3.2.1 Abordagem baseada em risco para
planificación planejamento
El líder del equipo auditor debería adoptar un Convém que o líder da equipe de auditoria adote
enfoque basado en riesgos para planificar la uma abordagem baseada em risco para planejar a
auditoría, con base en la información del programa auditoria, com base na informação no programa de
de auditoría y en la información documentada auditoria e na informação documentada fornecida
proporcionada por el auditado. pelo auditado.
b) las técnicas de muestreo apropiadas (véase A.6); b) técnicas de amostragem apropriadas (ver A.6);
c) las oportunidades para mejorar la eficacia y c) oportunidades para melhorar a eficácia e a
eficiencia de las actividades de auditoría; eficiência das atividades de auditoria;
d) los riesgos para el logro de los objetivos de la d) riscos para alcançar os objetivos da auditoria
auditoría generados por una planificación ineficaz criados por um planejamento de auditoria ineficaz;
de la auditoría;
e) los riesgos para el auditado generados al realizar e) riscos para o auditado criados pela realização da
la auditoría. auditoria.
Los riesgos para el auditado pueden originarse por Riscos para o auditado podem resultar da presença
la presencia de los miembros del equipo auditor que dos membros da equipe de auditoria influenciando
influyen adversamente en las disposiciones del adversamente os arranjos do auditado para saúde
auditado para la seguridad y salud, el medio e segurança, meio ambiente e qualidade e seus
ambiente y la calidad, y sus productos, servicios, produtos, serviços, pessoal ou infraestrutura (por
personal o infraestructura del auditado (por exemplo, contaminação em instalações de sala
ejemplo, contaminación de espacios limpios). limpa).
Para las auditorías combinadas, debería prestarse Para auditorias combinadas, convém que particular
especial atención a las interacciones entre los atenção seja dada às interações entre os processos
procesos operativos y los objetivos y prioridades operacionais e quaisquer objetivos e prioridades
que concurren en los distintos sistemas de gestión. concorrentes dos diferentes sistemas de gestão.
29
NM ISO 19011:2018
auditorías internas y externas. La planificación de la entre auditorias internas e externas. Convém que o
auditoría debería ser lo suficientemente flexible planejamento de auditoria seja suficientemente
para permitir los cambios que pueden hacerse flexível para permitir mudanças que possam se
necesarios a medida que las actividades de tornar necessárias conforme as atividades de
auditoría se vayan llevando a cabo. auditoria progridam.
c) los criterios de auditoría y cualquier información c) critérios de auditoria e qualquer informação
documentada; documentada de referência;
d) las ubicaciones (físicas y virtuales), las fechas, el d) locais (físicos e virtuais), datas, tempo e duração
horario y la duración previstos de las actividades de estimados das atividades de auditoria a serem
auditoría que se van a llevar a cabo, incluyendo las conduzidas, incluindo reuniões com a direção do
reuniones con la dirección del auditado; auditado;
f) los métodos de auditoría que se van a usar, f) métodos de auditoria a serem usados, incluindo
incluyendo el grado en que se necesita el muestreo a extensão na qual a amostragem de auditoria seja
de la auditoría para obtener las evidencias de necessária para obter evidências suficientes de
auditoría suficientes; auditoria;
g) los roles y responsabilidades de los miembros g) papéis e responsabilidades dos membros da
del equipo auditor, así como los guías y los equipe de auditoria, assim como dos guias e
observadores o intérpretes; observadores ou intérpretes;
h) la asignación de los recursos apropiados basada h) alocação de recursos apropriados, baseada na
en la consideración de los riesgos y oportunidades consideração dos riscos e oportunidades
relacionados con las actividades que se han de relacionados às atividades que serão auditadas;
auditar.
- las acciones específicas a tomar para abordar los - quaisquer ações específicas a serem tomadas
riesgos en el logro de los objetivos de la auditoría y para abordar riscos para se alcançarem os
las oportunidades que surjan; objetivos de auditoria e oportunidades que surjam;
30
NM ISO 19011:2018
- la coordinación con otras actividades de auditoría, - coordenação com outras atividades de auditoria,
en el caso de una auditoría conjunta. no caso de uma auditoria conjunta.
Los planes de auditoría deberían presentarse al Convém que os planos de auditoria sejam
auditado. Cualquier cuestión sobre los planes de apresentados ao auditado. Convém que quaisquer
auditoría debería resolverse entre el líder del questões em relação ao plano de auditoria sejam
equipo auditor, el auditado y, si fuera necesario, las solucionadas entre o líder da equipe de auditoria, o
personas responsables de la gestión del programa auditado e, se necessário, a(s) pessoa(s) que
de auditoría. gerencia(m) o programa de auditoria.
6.3.3 Asignación de las tareas al equipo auditor 6.3.3 Atribuindo trabalho para a equipe de
auditoria
El líder del equipo auditor, consultando con el Convém que o líder da equipe de auditoria, em
equipo auditor, debería asignar a cada miembro del consulta à equipe de auditoria, atribua
equipo la responsabilidad para auditar procesos, responsabilidade a cada membro da equipe para
actividades, funciones o lugares específicos y, auditar processos, atividades, funções ou locais
según sea apropiado, la autoridad para la toma de específicos e, conforme apropriado, autoridade
decisiones. Tales asignaciones deberían tener en para tomar decisão. Convém que as atribuições
cuenta la imparcialidad, la objetividad y la levem em conta a imparcialidade, objetividade e
competencia de los auditores y el uso eficaz de los competência dos auditores, e o uso eficaz de
recursos, así como los diferentes roles y recursos, assim como diferentes funções e
responsabilidades de los auditores, los auditores en responsabilidades dos auditores, auditores em
formación y los expertos técnicos. treinamento e especialistas.
El líder del equipo auditor debería realizar Convém que reuniões da equipe de auditoria sejam
reuniones del equipo auditor, cuando sea realizadas, conforme apropriado, pelo líder da
apropiado, para distribuir las asignaciones de equipe de auditoria, para alocar as atribuições de
trabajo y decidir los posibles cambios. Los cambios trabalho e decidir as possíveis mudanças. As
en las asignaciones de trabajo pueden hacerse a mudanças nas atribuições de trabalho podem ser
medida que la auditoría se va llevando a cabo para feitas conforme a auditoria progrida, para assegurar
asegurar el logro de los objetivos de la auditoría. o alcance dos objetivos de auditoria.
Los miembros del equipo auditor deberían recopilar Convém que os membros da equipe de auditoria
y revisar la información pertinente a las tareas de coletem e analisem criticamente a informação
auditoría asignadas y preparar la información pertinente às suas atribuições de auditoria e
documentada para la auditoría, usando cualquier preparem informação documentada para a
medio apropiado. La información documentada auditoria, usando qualquer meio apropriado. A
para la auditoría puede incluir, pero no se limita a: informação documentada para a auditoria pode
incluir, mas não está limitada a:
El uso de estos medios no debería restringir la Convém que o uso destes meios não restrinja a
extensión de las actividades de auditoría, que extensão das atividades de auditoria, que podem
31
NM ISO 19011:2018
NOTA Se proporciona orientación sobre la preparación de NOTA Orientação para preparar documentos de trabalho de
documentos de trabajo de auditoría en A.13. auditoria é dada em A.13.
Los guías y los observadores pueden acompañar al Guias e observadores podem acompanhar a equipe
equipo auditor con la aprobación del líder del de auditoria com aprovações do líder da equipe de
equipo auditor, del cliente de la auditoría y/o del auditoria, cliente da auditoria e/ou auditado, se
auditado, según se requiera. Ellos no deberían requerido. Não convém que eles influenciem ou
influir ni interferir en la realización de la auditoría. Si interfiram na condução da auditoria. Se isso não
esto no se puede asegurar, el líder del equipo puder ser assegurado, convém que o líder da
auditor debería tener el derecho de negarse a que equipe de auditoria tenha o direito de negar que os
los observadores tomen parte en ciertas observadores estejam presentes durante certas
actividades de auditoría. atividades de auditoria.
Para los observadores, cualquier disposición para Para os observadores, convém que quaisquer
el acceso, la seguridad y salud, el medio ambiente, arranjos para acesso, saúde e segurança, meio
la seguridad física y la confidencialidad debería ambiente, segurança e confidencialidade sejam
gestionarse entre el cliente de la auditoría y el gerenciados entre o cliente de auditoria e o
auditado. auditado.
Los guías, designados por el auditado, deberían Convém que os guias designados pelo auditado
asistir al equipo auditor y actuar cuando lo solicite auxiliem a equipe de auditoria e ajam por
el líder del equipo auditor o el auditor al que han solicitação do líder da equipe de auditoria ou auditor
sido asignados. Sus responsabilidades deberían ao qual eles tiverem sido atribuídos. Convém que
incluir lo siguiente: suas responsabilidades incluam o seguinte:
a) ayudar a los auditores a identificar a las personas a) auxiliar os auditores na identificação de pessoas
que participarán en las entrevistas y a confirmar los para participar de entrevistas e na confirmação de
horarios y las ubicaciones; horários e locais;
b) acordar el acceso a ubicaciones específicas del b) arranjar acesso aos locais específicos do
auditado; auditado;
c) asegurarse de que los miembros del equipo c) assegurar que as regras relativas aos arranjos
auditor y los observadores conocen y respetan las para acesso específicos do local, saúde e
32
NM ISO 19011:2018
d) ser testigos de la auditoría en nombre del d) testemunhar a auditoria em nome do auditado,
auditado, cuando sea apropiado; quando apropriado;
a) confirmar el acuerdo de todos los participantes a) confirmar o acordo de todas os participantes (por
(por ejemplo, auditado, equipo auditor) sobre el exemplo, auditado, equipe de auditoria) com o
plan de auditoría; plano de auditoria;
b) presentar al equipo auditor y sus roles; b) apresentar a equipe de auditoria e suas funções;
c) asegurarse de que se pueden realizar todas las c) assegurar que todas as atividades planejadas de
actividades de auditoría planificadas. auditoria possam ser realizadas.
Debería celebrarse una reunión de apertura con la Convém que uma reunião de abertura seja
dirección del auditado y, cuando sea apropiado, con realizada com a direção do auditado e, onde
aquellos responsables de las funciones o de los apropriado, aqueles responsáveis pelas funções ou
procesos que se van a auditar. Durante la reunión, processos a serem auditados. Durante a reunião,
debería proporcionarse la oportunidad de realizar convém que seja dada uma oportunidade para
preguntas. perguntas.
El grado de detalle debería ser coherente con la Convém que o grau de detalhe seja coerente com
familiaridad del auditado con el proceso de a familiaridade do auditado com o processo da
auditoría. En muchos casos, por ejemplo, en auditoria. Em muitas situações, por exemplo, em
auditorías internas en una organización pequeña, la auditorias internas em uma pequena organização,
reunión de apertura puede consistir simplemente en a reunião de abertura pode simplesmente consistir
comunicar que se está realizando una auditoría y em comunicar que uma auditoria está sendo
explicar la naturaleza de la auditoría. conduzida e explicar a natureza da auditoria.
Para otras situaciones de auditoría, la reunión Para outras situações de auditoria, a reunião pode
puede ser formal y se debería conservar registro de ser formal, e convém que registros de presença
los asistentes. El líder del equipo auditor debería sejam mantidos. Convém que a reunião seja
presidir la reunión. presidida pelo líder da equipe de auditoria.
Según sea apropiado, se debería considerar la Convém considerar introduzir o seguinte, conforme
presentación de: apropriado:
- los métodos de auditoría para gestionar riesgos - métodos de auditoria para gerenciar riscos para a
para la organización que puedan resultar de la organização que podem resultar da presença dos
presencia de los miembros del equipo auditor. membros da equipe de auditoria.
Según sea apropiado, se debería considerar la Convém que seja considerada a confirmação dos
confirmación de lo siguiente: seguintes itens, conforme apropriado:
33
NM ISO 19011:2018
- los canales de comunicación formal entre el - canais formais de comunicação entre a equipe de
equipo auditor y el auditado; auditoria e o auditado;
- el idioma que se va a utilizar durante la auditoría; - idioma a ser usado durante a auditoria;
- que durante la auditoría se mantiene informado al - que o auditado será mantido informado do
auditado del progreso de la misma; progresso da auditoria durante a auditoria;
- los acuerdos pertinentes para el equipo auditor - arranjos pertinentes de acesso, saúde e
relativos al acceso, seguridad y salud, seguridad segurança, segurança, emergência e outros
física, emergencia y otros acuerdos; arranjos para a equipe de auditoria;
- las actividades en el sitio que pueden tener - atividades no local que possam impactar a
impacto en la realización de la auditoría. condução da auditoria.
Según sea apropiado, se debería considerar la Convém que seja considerado apresentar
presentación de la información sobre los siguientes informação sobre os seguintes itens, conforme
elementos: apropriado:
- las condiciones bajo las cuales la auditoría puede - condições sob as quais a auditoria pode ser
darse por terminada; encerrada;
- cómo tratar los posibles hallazgos durante la - como lidar com possíveis constatações
auditoría; encontradas durante a auditoria;
- cualquier sistema de retroalimentación del - qualquer sistema para feedback do auditado sobre
auditado sobre los hallazgos o conclusiones de la as constatações ou conclusões da auditoria,
auditoría, incluyendo las quejas o apelaciones. incluindo reclamações ou apelações.
Durante la auditoría, puede ser necesario llegar a Durante a auditoria, pode ser necessário fazer
acuerdos formales para la comunicación dentro del arranjos formais para comunicação entre a equipe
equipo auditor, así como con el auditado, el cliente de auditoria, assim como com o auditado, o cliente
de la auditoría, y potencialmente con las partes de auditoria e com partes potencialmente
interesadas externas (por ejemplo autoridades interessadas externas (por exemplo,
reglamentarias), especialmente cuando los regulamentadores), especialmente onde, os
requisitos legales y reglamentarios exijan la requisitos estatutários e regulamentares requerem
comunicación obligatoria de las no conformidades. mandatoriamente relatar não conformidades.
El equipo auditor debería reunirse periódicamente Convém que a equipe de auditoria se comunique
para intercambiar información, evaluar el progreso periodicamente para trocar informação, avaliar o
de la auditoría, y reasignar las tareas entre los progresso da auditoria e reatribuir trabalho entre os
miembros del equipo auditor, según sea necesario. membros da equipe de auditoria, se necessário.
Durante la auditoría, el líder del equipo auditor Durante a auditoria, convém que o líder da equipe
debería comunicar periódicamente los progresos, de auditoria comunique periodicamente o
los hallazgos importantes y cualquier inquietud al progresso da auditoria, quaisquer constatações
34
NM ISO 19011:2018
Cuando las evidencias de auditoría disponibles Quando a evidência de auditoria disponível indicar
indican que los objetivos de la misma no son que os objetivos de auditoria são inatingíveis,
alcanzables, el líder del equipo auditor debería convém que o líder da equipe de auditoria relate as
informar de las razones al cliente de la auditoría y razões ao cliente da auditoria e ao auditado, para
al auditado para determinar las acciones determinação da ação apropriada. Tal ação pode
apropiadas. Estas acciones pueden incluir cambios incluir mudanças no planejamento da auditoria,
en la planificación de la auditoría, en los objetivos objetivos ou escopo da auditoria ou encerramento
de la auditoría o en su alcance, o dar por terminada da auditoria.
la auditoría.
Los métodos de auditoría elegidos para una Os métodos de auditoria escolhidos para uma
auditoría dependen de los objetivos de auditoría auditoria dependem dos objetivos, escopo e
definidos, el alcance y los criterios, así como la critérios de auditoria estabelecidos, assim como
duración y la ubicación. La ubicación es el lugar en duração e local. O local é onde a informação
el que la información necesaria para la actividad necessária para a atividade específica de auditoria
específica de auditoría está disponible para el está disponível para a equipe de auditoria. Isso
equipo auditor. Esto puede incluir ubicaciones pode incluir locais físicos e virtuais.
físicas y virtuales.
El lugar, el momento y la manera en que se accede Onde, quando e como acessar a informação de
a la información de auditoría es crucial para la auditoria é crucial para a auditoria. Isso é
auditoría. Esto es independiente del lugar en el que independente de onde a informação é criada, usada
se crea, usa y/o almacena la información. Es e/ou armazenada. Com base nestas questões, os
necesario determinar los métodos de auditoría métodos de auditoria necessitam ser determinados
basándose en estas cuestiones (véase la (ver Tabela A.1). A auditoria pode usar uma mistura
Tabla A.1). La auditoría puede usar una mezcla de de métodos. Além disso, circunstâncias de auditoria
métodos. Además, las circunstancias de la podem significar que os métodos necessitam ser
auditoría pueden implicar que los métodos modificados durante a auditoria.
necesiten cambiar durante la auditoría.
- determinar la conformidad del sistema con los - determinar a conformidade do sistema, até onde
criterios de auditoría, sobre la base de la documentada, com os critérios de auditoria;
documentación disponible;
35
NM ISO 19011:2018
- reunir información para apoyar las actividades de - reunir informação para apoiar as atividades de
auditoría. auditoria.
NOTA Se proporciona orientación sobre cómo verificar la NOTA Orientação sobre como verificar a informação é fornecida
documentación en A.5. em A.5.
La revisión puede combinarse con otras actividades A análise crítica pode ser combinada com as outras
de auditoría y puede continuar a lo largo de la atividades de auditoria e pode continuar ao longo
auditoría, siempre que no vaya en detrimento de la da auditoria, desde que isso não seja prejudicial à
eficacia de la realización de la auditoría. eficácia da condução da auditoria.
Durante la auditoría, la información pertinente a los Convém que, durante a auditoria, informação
objetivos, el alcance y los criterios de la misma, pertinente aos objetivos, escopo e critérios de
incluyendo la información relativa a las auditoria, incluindo informação relativa às
interrelaciones entre funciones, actividades y interfaces entre funções, atividades e processos,
procesos, debería recopilarse mediante un seja coletada por meio de amostragem apropriada
muestreo apropiado y debería verificarse, en la e convém que seja verificada, até onde praticável.
medida de lo posible.
NOTA 1 Para verificar la información, véase A.5. NOTA 1 Para verificar informação, ver A.5.
NOTA 2 Se proporciona orientación sobre el muestreo en A.6. NOTA 2 Orientação sobre amostragem é dada em A.6.
Sólo debería aceptarse como evidencia de la Convém que somente informação que possa estar
auditoría la información que puede estar sujeta a sujeita a algum grau de verificação seja aceita
algún grado de verificación. Cuando el grado de como evidência de auditoria. Onde o grau de
verificación es bajo, el auditor debería utilizar su verificação for baixo, convém que o auditor use seu
juicio profesional para determinar el grado de julgamento profissional para determinar o grau de
fiabilidad que se puede depositar en la información confiança que pode ser depositado nela como
como evidencia. Debería registrarse la evidencia evidência. Convém que a evidência de auditoria
que conduce a hallazgos de la auditoría. Si, durante que leve a constatações de auditoria seja
la recopilación de evidencias objetivas, el equipo registrada. Se, durante a coleta de evidência
auditor es consciente de cualesquiera objetiva, a equipe de auditoria tomar ciência de
circunstancias o riesgos u oportunidades nuevos o quaisquer circunstâncias novas ou modificadas, ou
que han cambiado, el equipo debería abordarlos en riscos ou oportunidades, convém que eles sejam
consecuencia. convenientemente abordados pela equipe.
La Figura 2 proporciona una visión general de un A Figura 2 fornece uma visão geral de um processo
proceso típico, desde la recopilación de información típico, desde coletar informação até alcançar as
hasta las conclusiones de la auditoría. conclusões da auditoria.
36
NM ISO 19011:2018
Fuente de información / Fonte de informação
Conclusiones de la auditoría /
Conclusões de auditoria
Los métodos para recopilar la información incluyen, Métodos para coletar informação incluem o, mas
pero sin limitarse a, lo siguiente: não estão limitados ao, seguinte:
- entrevistas; - entrevistas;
- observaciones; - observações;
NOTA 3 Se proporciona orientación sobre la selección de las NOTA 3 Orientação sobre a seleção de fontes de informação e
fuentes de información y la observación en A.14. de observação é dada em A.14.
NOTA 4 Se proporciona orientación sobre las visitas a la NOTA 4 Orientação sobre visitas à localização do auditado é
ubicación del auditado en A.15. dada em A.15.
NOTA 5 Se proporciona orientación sobre la realización de NOTA 5 Orientação sobre a condução de entrevistas é dada em
entrevistas en A.17. A.17.
La evidencia de la auditoría debería evaluarse Convém que a evidência de auditoria seja avaliada
frente a los criterios de auditoría para determinar los em relação aos critérios de auditoria para
hallazgos de la auditoría. Los hallazgos de la determinar as constatações de auditoria. As
37
NM ISO 19011:2018
El equipo auditor debería reunirse, según sea Convém que a equipe de auditoria se reúna como
necesario, para revisar los hallazgos de la auditoria necessário para analisar criticamente as
en etapas apropiadas durante la auditoría. constatações de auditoria em estágios apropriados
durante a auditoria.
NOTA 1 Se proporciona orientación adicional sobre la NOTA 1 Orientação adicional sobre a identificação e avaliação
identificación y evaluación de los hallazgos de la auditoría en de constatações de auditoria é dada em A.18.
A.18.
NOTA 2 La conformidad o no conformidad con los criterios de NOTA 2 Conformidade ou não conformidade com critérios de
auditoría relacionados con requisitos legales o reglamentarios u auditoria relacionados aos requisitos estatutários ou
otros requisitos, se denomina en algunas ocasiones regulamentares ou outros requisitos é algumas vezes referida
cumplimiento o no cumplimiento. como compliance ou não compliance.
El equipo auditor debería reunirse antes de la Convém que a equipe de auditoria conferencie
reunión de cierre para: antes da reunião de encerramento para:
38
NM ISO 19011:2018
Las conclusiones de la auditoría deberían tratar Convém que as conclusões de auditoria abordem
aspectos tales como los siguientes: questões como as seguintes:
a) el grado de conformidad con los criterios de a) extensão da conformidade com os critérios de
auditoría y la robustez del sistema de gestión, auditoria e robustez do sistema de gestão, incluindo
incluyendo la eficacia del sistema de gestión para a eficácia do sistema de gestão em alcançar os
cumplir los resultados previstos, la identificación de resultados pretendidos, a identificação de riscos e
riesgos y la eficacia de las acciones tomadas por el eficácia das ações tomadas pelo auditado para
auditado para abordar los riesgos; abordar riscos;
c) el logro de los objetivos de la auditoría, cobertura c) alcance dos objetivos de auditoria, cobertura do
del alcance de la auditoría y cumplimiento de los escopo de auditoria e atendimento de critérios de
criterios de la auditoría; auditoria;
La reunión de cierre debería realizarse para Convém que seja realizada uma reunião de
presentar los hallazgos y las conclusiones de la encerramento para apresentar as constatações e
auditoría. conclusões de auditoria.
La reunión de cierre debería estar presidida por el Convém que a reunião de encerramento seja
líder del equipo auditor y los representantes de la presidida pelo líder da equipe de auditoria, com a
dirección del auditado deberían asistir y, cuando participação da direção do auditado, e inclua, como
sea aplicable, debería incluir: aplicável:
- a los responsables de las funciones o procesos - aqueles responsáveis pelas funções ou processos
que se han auditado; que foram auditados;
- a otras partes interesadas pertinentes, según lo - outras partes interessadas pertinentes, como
determinen el cliente de la auditoría y/o el auditado. determinado pelo cliente da auditoria e/ou pelo
auditado.
Si es aplicable, el líder del equipo auditor debería Se aplicável, convém que o líder da equipe de
advertir al auditado de las situaciones encontradas auditoria alerte ao auditado sobre situações
durante la auditoría que pueden disminuir la encontradas durante a auditoria que possam
confianza en las conclusiones de la auditoría. Si diminuir a confiança que pode ser depositada nas
está definido en el sistema de gestión o por acuerdo conclusões de auditoria. Se for especificado no
con el cliente de la auditoría, los participantes sistema de gestão ou por acordo com o cliente de
deberían acordar el periodo de tiempo para un plan auditoria, convém que os participantes acordem o
de acción que trate los hallazgos de la auditoría. período de tempo para um plano de ação abordar
constatações de auditoria.
39
NM ISO 19011:2018
El grado de detalle debería tener en cuenta la Convém que o grau de detalhe leve em conta a
eficacia del sistema de gestión para alcanzar los eficácia do sistema de gestão em alcançar os
objetivos del auditado, incluyendo consideraciones objetivos do auditado, incluindo consideração de
sobre su contexto y los riesgos y oportunidades. seu contexto e riscos e oportunidades.
La familiaridad del auditado con el proceso de Convém que também seja levada em consideração
auditoría también debería tenerse en cuenta durante a reunião de encerramento a familiaridade
durante la reunión de cierre, para asegurarse de do auditado com o processo de auditoria, para
que se proporciona el nivel correcto de detalle a los assegurar que o nível correto de detalhe seja
participantes. fornecido aos participantes.
Para algunas situaciones de auditoría, la reunión Para algumas situações de auditoria, a reunião
puede ser formal y las actas, incluyendo los pode ser formal e convém que atas, incluindo
registros de asistencia, deberían conservarse. En registros de presença, sejam conservadas. Em
otras situaciones, por ejemplo, en auditorías outras situações, por exemplo, auditorias internas,
internas, la reunión de cierre puede ser menos a reunião de encerramento pode ser menos formal
formal y consistir sólo en comunicar los hallazgos e consistir apenas em comunicar as constatações
de la auditoría y las conclusiones de la misma. de auditoria e as conclusões de auditoria.
Cuando sea apropiado, en la reunión de cierre Conforme apropriado, convém que o seguinte seja
debería explicarse al auditado lo siguiente: explicado ao auditado na reunião de encerramento:
a) advertir que la evidencia de la auditoría a) aviso de que a evidência de auditoria coletada
recopilada se basó en una muestra de la foi baseada em uma amostragem da informação
información disponible y no es necesariamente disponível e que não é necessariamente totalmente
totalmente representativa de la eficacia global de representativa da eficácia global dos processos do
los procesos del auditado; auditado;
c) la manera en que deberían tratarse los hallazgos c) como convém que a constatação de auditoria
de auditoría basándose en el proceso acordado; seja abordada no processo acordado;
Cualquier opinión divergente relativa a los Convém que quaisquer opiniões divergentes
hallazgos de la auditoría o las conclusiones entre el relativas às constatações ou conclusões de
equipo auditor y el auditado debería discutirse y, si auditoria entre a equipe de auditoria e o auditado
es posible, resolverse. Si no se resuelve, deberían sejam discutidas e, se possível, resolvidas. Se não
registrarse todas las opiniones. resolvidas, convém que isso seja registrado.
40
NM ISO 19011:2018
El líder del equipo auditor debería informar de las Convém que o líder da equipe de auditoria relate as
conclusiones de la auditoría de acuerdo con el conclusões de auditoria de acordo com o programa
programa de auditoría. El informe de la auditoría de auditoria. Convém que o relatório de auditoria
debería proporcionar un registro completo, preciso, forneça um registro completo, exato, conciso e
conciso y claro de la auditoría, y debería incluir o claro da auditoria, e convém que inclua ou se refira
hacer referencia a lo siguiente: ao seguinte:
e) las fechas y ubicaciones donde se realizaron las e) datas e locais onde as atividades de auditoria
actividades de auditoría; foram conduzidas;
i) una declaración del grado en el que se han i) uma declaração sobre o grau no qual os critérios
cumplido los criterios de la auditoría; de auditoria foram atendidos;
j) cualquier opinión divergente sin resolver entre el j) quaisquer opiniões divergentes não resolvidas
equipo auditor y el auditado; entre a equipe de auditoria e o auditado;
k) las auditorías, por naturaleza, son un ejercicio de k) auditorias por natureza são um exercício de
muestreo; como tales, hay un riesgo de que las amostragem; como tal, há um risco de que a
evidencias de la auditoría examinadas no sean evidência de auditoria examinada não seja
representativas. representativa.
El informe de la auditoría también puede incluir o O relatório de auditoria pode também incluir ou se
hacer referencia a lo siguiente, cuando sea referir ao seguinte, conforme apropriado:
apropiado:
- cualquier área dentro del alcance de la auditoría - quaisquer áreas no escopo da auditoria não
no cubierta, incluyendo cualquier cuestión sobre la cobertas, incluindo quaisquer questões de
disponibilidad de las evidencias, los recursos o la disponibilidade de evidência, recursos ou
confidencialidad, con las justificaciones confidencialidade, com justificativas relacionadas;
relacionadas;
41
NM ISO 19011:2018
- una declaración sobre la naturaleza confidencial - uma declaração da natureza confidencial dos
de los contenidos; conteúdos;
El informe de la auditoría debería emitirse en el Convém que o relatório de auditoria seja emitido em
periodo de tiempo acordado. Si se retrasa, las um período de tempo acordado. Se ele estiver
razones deberían comunicarse al auditado y a las atrasado, convém que as razões sejam
personas responsables de la gestión del programa comunicadas ao auditado e à(s) pessoa(s) que
de auditoría. gerencia(m) o programa de auditoria.
El informe de la auditoría debería estar fechado, Convém que o relatório de auditoria seja datado,
revisado y aceptado, según sea apropiado, de analisado criticamente e aceito, conforme
acuerdo con el programa de auditoría. apropriado, de acordo com o programa de auditoria.
A continuación, el informe de la auditoría debería Convém que o relatório de auditoria seja então
distribuirse a las partes interesadas pertinentes distribuído às partes interessadas pertinentes
definidas en el programa de auditoría o en el plan especificadas no programa de auditoria ou plano de
de auditoría. auditoria.
La auditoría finaliza cuando se hayan realizado A auditoria é concluída quando todas as atividades
todas las actividades de auditoría planificadas, o si de auditoria planejadas tiverem sido realizadas ou,
se ha acordado de otro modo con el cliente de la de outro modo, tiver sido acordado com o cliente de
auditoría (por ejemplo, podría haber una situación auditoria (por exemplo, pode haver uma situação
inesperada que impida que la auditoría se finalice inesperada que impeça a auditoria ser concluída de
de acuerdo con el plan de auditoría). acordo com o plano de auditoria).
Salvo que se requiera por ley, el equipo auditor y A menos que requerido por lei, não convém que a
las personas responsables de la gestión del equipe de auditoria e a(s) pessoa(s) que
programa de auditoría no deberían revelar ninguna gerencia(m) o programa de auditoria divulguem
información obtenida durante la auditoría ni el qualquer informação obtida durante a auditoria, ou
informe de la auditoría a ninguna otra parte, sin la o relatório de auditoria, para qualquer outra parte
aprobación explícita del cliente de la auditoría y, sem a aprovação explícita do cliente da auditoria e,
cuando sea apropiado, la del auditado. Si se onde apropriado, a aprovação do auditado. Se a
requiere revelar el contenido de un documento de divulgação do conteúdo de um documento de
la auditoría, el cliente de la auditoría y el auditado auditoria for requerida, convém que o cliente da
deberían ser informados tan pronto como sea auditoria e o auditado sejam informados assim que
posible. possível.
42
NM ISO 19011:2018
Las lecciones aprendidas de la auditoría pueden Lições apreendidas da auditoria podem identificar
identificar los riesgos y oportunidades para el riscos e oportunidades para o programa de
programa de auditoría y para el auditado. auditoria e o auditado.
Los resultados de la auditoría pueden, dependiendo O resultado da auditoria pode, dependendo dos
de los objetivos de la auditoría, indicar la necesidad objetivos da auditoria, indicar a necessidade para
de correcciones, o de acciones correctivas, u correções ou para ações corretivas ou
oportunidades para la mejora. Tales acciones oportunidades para melhoria. Tais ações são
generalmente son decididas y emprendidas por el usualmente decididas e realizadas pelo auditado
auditado en un intervalo de tiempo acordado. em um período de tempo acordado. Conforme
Cuando sea apropiado, el auditado debería apropriado, convém que o auditado mantenha a(s)
mantener informadas a las personas responsables pessoa(s) que gerencia(m) o programa de auditoria
de la gestión del programa de auditoría y/o al e/ou a equipe de auditoria informadas da situação
equipo auditor sobre el estado de estas acciones. destas ações.
Debería verificarse si se completaron las acciones Convém que a conclusão e a eficácia destas ações
y su eficacia. Esta verificación puede ser parte de sejam verificadas. Esta verificação pode ser parte
una auditoría posterior. Debería presentarse un de uma auditoria subsequente. Convém que os
informe con los resultados a la persona resultados sejam relatados à pessoa que gerencia
responsable de la gestión del programa de o programa de auditoria e relatados ao cliente de
auditoría, y al cliente de la auditoría para la revisión auditoria para análise crítica pela direção.
por la dirección.
43
NM ISO 19011:2018
El resultado del proceso de evaluación debería Convém que o resultado do processo de avaliação
proporcionar la base para lo siguiente: forneça uma base para o seguinte:
- la selección de los miembros del equipo auditor - seleção dos membros da equipe de auditoria
(como se describe en 5.5.4); (como descrito em 5.5.4);
En los Apartados 7.3, 7.4 y 7.5 se describe un Um processo para avaliação dos auditores e líderes
proceso para evaluar a los auditores y a los líderes de equipes de auditoria está descrito em 7.3, 7.4 e
de equipos auditores. 7.5.
Los auditores y los líderes de equipos auditores Convém que auditores e líderes de equipes de
deberían ser evaluados respecto a los criterios auditoria sejam avaliados em relação aos critérios
establecidos en los Apartados 7.2.2 y 7.2.3, así estabelecidos em 7.2.2 e 7.2.3, assim como aos
como respecto a los criterios establecidos en el critérios estabelecidos em 7.1.
Apartado 7.1.
Al decidir la competencia necesaria para una Ao decidir a competência necessária para uma
auditoría, se debería considerar el conocimiento y auditoria, convém que o conhecimento e as
las habilidades de un auditor relacionados con lo habilidades de um auditor relacionados ao seguinte
siguiente: sejam considerados:
c) las disciplinas del sistema de gestión que se va a c) disciplinas do sistema de gestão a serem
auditar; auditadas;
d) la complejidad y los procesos del sistema de d) complexidade e processos do sistema de gestão
gestión que se va a auditar; a serem auditados;
44
NM ISO 19011:2018
e) los tipos y niveles de riesgos y oportunidades e) tipos e níveis de riscos e oportunidades
abordados por el sistema de gestión; abordados pelo sistema de gestão;
f) los objetivos y extensión del programa de f) objetivos e extensão do programa de auditoria;
auditoría;
h) otros requisitos, tales como los impuestos por el h) outros requisitos, como aqueles impostos pelo
cliente de la auditoría u otras partes interesadas cliente de auditoria ou outras partes interessadas
pertinentes, cuando sea apropiado. pertinentes, onde apropriado.
Esta información debería compararse con lo Convém que esta informação seja conciliada com
enumerado en el Apartado 7.2.3. aquela listada em 7.2.3.
Los auditores deberían poseer los atributos Convém que os auditores possuam os atributos
necesarios que les permitan actuar de acuerdo con necessários para possibilitá-los a agir de acordo
los principios de la auditoría tal como se describe com os princípios de auditoria, como descrito na
en el Capítulo 4. Los auditores deberían demostrar Seção 4. Convém que aos auditores demonstrem
un comportamiento profesional durante el comportamento profissional durante o desempenho
desempeño de las actividades de auditoría. Los das atividades de auditoria. Comportamento
comportamientos profesionales deseados incluyen profissional desejado inclui ser:
ser:
a) ético, es decir, imparcial, sincero, honesto y a) ético, isto é, ser justo, verdadeiro, sincero,
discreto; honesto e discreto;
b) de mentalidad abierta, es decir, dispuesto a b) mente aberta, isto é, estar disposto a considerar
considerar ideas o puntos de vista alternativos; ideias ou pontos de vista alternativos;
c) diplomático, es decir, con tacto en las relaciones c) diplomático, isto é, ser sensível ao lidar com
con las personas; pessoas;
d) observador, es decir, activamente consciente del d) observador, isto é, observar ativamente o
entorno físico y las actividades; ambiente físico e as atividades;
e) perceptivo, es decir, consciente y capaz de e) perceptivo, isto é, estar consciente e ser capaz
entender las situaciones; de entender situações;
f) versátil, es decir, capaz de adaptarse fácilmente f) versátil, isto é, ser capaz de prontamente se
a diferentes situaciones; adaptar a diferentes situações;
g) tenaz, es decir, persistente y orientado hacia el g) tenaz, isto é, ser persistente focado em alcançar
logro de los objetivos; objetivos;
h) decidido, es decir, capaz de alcanzar h) decisivo, isto é, ser capaz de alcançar
conclusiones oportunas basadas en el análisis y el conclusões em tempo hábil com base em raciocínio
razonamiento lógico; lógico e análise;
i) seguro de sí mismo, es decir, capaz de actuar y i) autoconfiante, isto é, ser capaz de agir e
funcionar independientemente a la vez que funcionar independentemente enquanto interage
interactúa eficazmente con otros; eficazmente com outros;
j) capaz de actuar con firmeza, es decir, capaz de j) capaz de agir com firmeza, isto é, ser capaz de
actuar de manera responsable y ética, aunque atuar responsavelmente e eticamente, mesmo que
estas acciones puedan no ser siempre populares y estas ações possam não ser sempre populares e
en alguna ocasión puedan causar desacuerdos o possam algumas vezes resultar em desacordo ou
alguna confrontación; confrontação;
45
NM ISO 19011:2018
k) abierto a la mejora, es decir, dispuesto a k) aberto a melhorias, isto é, ser disposto a
aprender de las situaciones; aprender com situações;
l) abierto a las diferencias culturales, es decir, l) culturalmente sensível, isto é, ser observador e
observador y respetuoso con la cultura del respeitoso com a cultura do auditado;
auditado;
m) colaborador, es decir, que interactúa m) colaborativo, isto é, interagir eficazmente com
eficazmente con los demás, incluyendo los outros, incluindo os membros da equipe de
miembros del equipo auditor y el personal del auditoria e o pessoal do auditado.
auditado.
a) los conocimientos y las habilidades necesarios a) conhecimento e habilidades necessários para
para lograr los resultados previstos de las alcançar os resultados pretendidos das auditorias
auditorías que se espera que lleven a cabo; que se espera que eles desempenhem;
b) competencia genérica, y un cierto nivel de b) competência genérica e um nível de
conocimientos y habilidades específicos de la conhecimento e habilidades de disciplinas e setores
disciplina y del sector. específicos.
Los líderes del equipo auditor deberían tener los Convém que os líderes das equipes de auditoria
conocimientos y habilidades adicionales necesarios tenham conhecimento e habilidades adicionais
para dirigir al equipo auditor. necessários para fornecer liderança à equipe de
auditoria.
Los auditores deberían tener conocimientos y Convém que os auditores tenham conhecimento e
habilidades en las áreas señaladas a continuación. habilidades nas áreas delineadas abaixo.
a) Principios, procesos y métodos de auditoría: los a) Princípios, processos e métodos de auditoria:
conocimientos y habilidades en esta área permiten conhecimento e habilidades nesta área possibilitam
al auditor asegurarse de que las auditorías se o auditor a assegurar que as auditorias sejam
realizan de manera coherente y sistemática. desempenhadas de maneira coerente e
sistemática.
Un auditor debería ser capaz de: Convém que um auditor seja capaz de:
- llevar a cabo la auditoría dentro del horario - desempenhar a auditoria dentro do calendário
acordado; acordado;
46
NM ISO 19011:2018
- auditar un proceso de principio a fin, incluyendo - auditar um processo do início ao fim, incluindo
las interrelaciones con otros procesos y las as inter-relações com outros processos e
diferentes funciones, cuando sea apropiado; diferentes funções, onde apropriado;
- evaluar los factores que pueden afectar a la - avaliar aqueles fatores que possam afetar a
fiabilidad de los hallazgos y conclusiones de la confiabilidade das constatações e conclusões
auditoría; de auditoria;
47
NM ISO 19011:2018
- los aspectos culturales y sociales del auditado. - aspectos culturais e sociais do auditado.
d) Requisitos legales y reglamentarios aplicables y d) Requisitos regulamentares e estatutários
otros requisitos: los conocimientos y las habilidades aplicáveis e outros requisitos: conhecimento e
en esta área permiten al auditor ser consciente de habilidades nesta área possibilitam o auditor a estar
los requisitos de la organización y trabajar de consciente de, e trabalhar de acordo com, os
acuerdo con ellos. Los conocimientos y las requisitos da organização. Convém que
habilidades específicos de la jurisdicción o de las conhecimento e habilidades específicos para a
actividades, procesos, productos y servicios del jurisdição ou para as atividades, processos,
auditado deberían cubrir lo siguiente: produtos e serviços do auditado abranjam o
seguinte:
NOTA Ser consciente de los requisitos legales y reglamentarios NOTA Consciência dos requisitos estatutários e regulamentares
no implica ser experto en temas legales, y una auditoría de un não implica especialização em leis e não convém que uma
sistema de gestión no debería tratarse como una auditoría de auditoria de sistema de gestão seja tratada como uma auditoria
cumplimiento legal. de compliance.
Los equipos auditores deberían tener la Convém que as equipes de auditoria tenham
competencia colectiva apropiada en la disciplina y competência coletiva apropriada da disciplina e do
en el sector específico para auditar los tipos setor específicos para auditar os tipos particulares
particulares de sistemas de gestión y sectores. de sistemas de gestão e setores.
a) los requisitos y principios del sistema de gestión, a) requisitos e princípios de sistema de gestão e
y su aplicación; suas aplicações;
b) los fundamentos de las disciplinas y sectores b) fundamentos da(s) disciplina(s) e setor(es)
relacionados con las normas de sistemas de relacionados às normas de sistema de gestão,
gestión aplicados por el auditado; como aplicados pelo auditado;
d) los principios, los métodos y las técnicas d) princípios, métodos e técnicas pertinentes à
pertinentes para la disciplina y el sector, tales que disciplina e setor, tais que o auditor possa
48
NM ISO 19011:2018
el auditor pueda determinar y evaluar los riesgos y determinar e avaliar os riscos e oportunidades
oportunidades asociados con los objetivos de la associados aos objetivos da auditoria.
auditoría.
7.2.3.4 Competencia genérica del líder de un 7.2.3.4 Competência genérica de líder de equipe
equipo auditor de auditoria
A fin de facilitar la realización eficiente y eficaz de Para facilitar a condução eficiente e eficaz da
la auditoría, un líder de equipo auditor debería tener auditoria, convém que um líder de equipe de
la competencia para: auditoria tenha competência para:
a) planificar la auditoría y asignar tareas de a) planejar a auditoria e atribuir tarefas de auditoria
auditoría de acuerdo con la competencia específica de acordo com a competência específica dos
de los miembros individuales del equipo auditor; membros individuais da equipe de auditoria;
b) discutir las cuestiones estratégicas con la alta b) discutir questões estratégicas com a Alta
dirección del auditado para determinar si han Direção do auditado para determinar se ela
considerado estas cuestiones al evaluar los riesgos considerou estas questões ao avaliar seus riscos e
y oportunidades; oportunidades;
- hacer un uso eficaz de los recursos durante la - fazer uso eficaz dos recursos durante a
auditoría; auditoria;
- dirigir a los miembros del equipo auditor; - orientar os membros da equipe de auditoria;
- prevenir y resolver los conflictos y problemas - prevenir e resolver conflitos e problemas que
que puedan ocurrir durante la auditoría, possam ocorrer durante a auditoria, incluindo
incluyendo aquellos dentro del equipo auditor, aqueles na equipe de auditoria, se necessário.
cuando sea necesario.
f) liderar el equipo auditor para alcanzar las f) liderar a equipe de auditoria para alcançar as
conclusiones de la auditoría; conclusões de auditoria;
49
NM ISO 19011:2018
Los líderes de equipos auditores deberían Convém que líderes da equipe de auditoria
comprender los requisitos de cada una de las entendam os requisitos de cada uma das normas
normas de sistemas de gestión que se auditan y de sistema de gestão que estão sendo auditadas e
reconocer los límites de su competencia en cada reconheçam os limites de sua competência em
una de las disciplinas. cada uma das disciplinas.
NOTA Las auditorías de múltiples disciplinas llevadas a cabo de NOTA Auditorias de múltiplas disciplinas feitas simultaneamente
manera simultánea pueden realizarse como una auditoría podem ser feitas como uma auditoria combinada ou como uma
combinada o como una auditoría de un sistema de gestión auditoria de sistema de gestão integrada que abranja múltiplas
integrado que cubre múltiples disciplinas. disciplinas.
La competencia del auditor puede obtenerse A competência de auditor pode ser adquirida
usando una combinación de lo siguiente: usando uma combinação do seguinte:
b) experiencia en una función técnica, de dirección b) experiência em uma posição técnica, gerencial
o profesional pertinente que involucre el ejercicio de ou profissional pertinente, envolvendo o exercício
juicio, la toma de decisiones, la solución de de julgamento, tomada de decisão, solução de
problemas y la comunicación con miembros de la problema e comunicação com gerentes,
dirección, profesionales, pares, clientes y otras profissionais, pares, clientes e outras partes
partes interesadas pertinentes; interessadas pertinentes;
NOTA La culminación exitosa de un curso de formación NOTA A conclusão com sucesso de um curso de treinamento
dependerá del tipo de curso. Para cursos con un componente de dependerá do tipo do curso. Para cursos com componente de
examen puede suponer aprobar exitosamente el examen. Para exame, isso pode significar ser aprovado no exame. Para outros
otros cursos, puede significar participar en el curso y cursos, isso pode significar participar no curso e concluí-lo.
completarlo.
7.2.5 Logro de la competencia del líder del 7.2.5 Alcançando a competência do líder da
equipo auditor equipe de auditoria
Un líder de equipo auditor debería haber adquirido Convém que um líder da equipe de auditoria tenha
experiencia adicional en auditoría para desarrollar adquirido experiência adicional em auditoria para
la competencia descrita en el Apartado 7.2.3.4. desenvolver a competência descrita em 7.2.3.4.
Esta experiencia adicional debería haberse Convém que esta experiência adicional tenha sido
adquirido trabajando bajo la dirección y orientación adquirida trabalhando sob a direção e orientação de
de un líder de equipo auditor diferente. um líder de equipe de auditoria diferente.
Los criterios deberían ser cualitativos (tales como Convém que os critérios sejam qualitativos (como
haber demostrado el comportamiento deseado, los ter demonstrado comportamento, conhecimento ou
conocimientos o el desempeño de las habilidades, desempenho desejável das habilidades, em
en la formación o en el lugar de trabajo) y treinamento ou em local de trabalho) e quantitativos
cuantitativos (tales como los años de experiencia (como os anos de experiência de trabalho e
50
NM ISO 19011:2018
La evaluación debería llevarse a cabo usando dos Convém que a avaliação seja conduzida usando
o más de los métodos indicados en la Tabla 2. Al dois ou mais dos métodos dados na Tabela 2. Ao
utilizar la Tabla 2, se debería tener en cuenta lo usar a Tabela 2, convém que seja notado o
siguiente: seguinte:
a) los métodos señalados representan una variedad a) os métodos delineados representam uma gama
de opciones que pueden no ser aplicables en todas de opções e podem não ser aplicáveis a todas
las situaciones; situações;
b) los diversos métodos señalados pueden diferir b) os vários métodos delineados podem variar
en su fiabilidad; quanto à sua confiabilidade;
c) debería utilizarse una combinación de métodos c) convém que uma combinação de métodos seja
para asegurar un resultado objetivo, coherente, usada para assegurar um resultado que seja
imparcial y fiable. objetivo, coerente, justo e confiável.
51
NM ISO 19011:2018
Tabla 2 - / Tabela 2 –
Métodos de evaluación del auditor / Métodos de avaliação de auditores
Método de evaluación /
Objetivos Ejemplos / Exemplos
Métodos de avaliação
Análisis de los registros de educación,
Revisión de registros / formación, laborales, credenciales
Análise crítica dos Verificar los antecedentes del auditor / profesionales y experiencia en auditorías /
Verificar a formação profissional do auditor Análise de registros de educação,
registros treinamento, emprego, credenciais
profissionais e experiência em auditar
Encuestas, cuestionarios, referencias
Proporcionar información sobre cómo se personales, recomendaciones, quejas,
Retroalimentación / percibe el desempeño del auditor / Fornecer evaluación del desempeño, revisión entre
Realimentação informação sobre como o desempenho do pares / Pesquisas, questionários, referências
auditor é percebido pessoais, testemunhos, reclamações, avaliação
de desempenho, análise crítica por pares
Evaluar el comportamiento profesional
deseado y las habilidades de comunicación,
para verificar la información y examinar los
conocimientos, y para obtener información
Entrevista adicional / Avaliar o comportamento Entrevistas personales / Entrevista pessoal
profissional e a habilidade de comunicação
desejados para verificar informação e testar
conhecimento e para adquirir informação
adicional
Evaluar el comportamiento profesional
deseado y la aptitud para aplicar los Juego de roles, auditorías en presencia de un
conocimientos y habilidades / Avaliar o testigo, desempeño en una situación real /
Observación / Observação
comportamento profissional desejado e a Desempenho de funções, auditorias de
capacidade para aplicar conhecimento e testemunho e desempenho no trabalho
habilidades
Evaluar el comportamiento deseado y los
Exámenes orales y escritos, exámenes
conocimientos y habilidades y su aplicación /
Examen / Teste psicotécnicos / Exames orais e escritos,
Avaliar o comportamento e conhecimento e
testes psicométricos
habilidades desejados e sua aplicação
Revisión del informe de la auditoría,
Proporcionar información sobre el desempeño
entrevistas con el líder del equipo auditor, el
del auditor durante las actividades de
equipo auditor y, si es apropiado,
Revisión después de la auditoría, identificar fortalezas y
retroalimentación del auditado / Análise crítica
auditoria / Análise crítica oportunidades para la mejora / Fornecer
do relatório de auditoria, entrevistas com o
pós-auditoria informações sobre o desempenho do auditor
líder da equipe de auditoria e com, a equipe
durante as atividades de auditoria, identificar
de auditoria e, se apropriado, feedback do
forças e oportunidades para melhoria
auditado
La información recopilada sobre el auditor bajo Convém que a informação coletada sobre o auditor
evaluación debería compararse con los criterios em avaliação seja comparada em relação aos
establecidos en el Apartado 7.2.3. Cuando un critérios estabelecidos em 7.2.3. Quando um
auditor bajo evaluación del que se espera que auditor em avaliação do qual se espera participação
participe en un programa de auditoría no cumple los no programa de auditoria não preenche os critérios,
criterios, entonces debería adquirir formación convém que, então, sejam realizados treinamentos,
adicional, experiencia laboral o experiencia en trabalhos ou experiências em auditoria adicionais e
auditorías, y debería realizarse posteriormente una que seja realizada uma reavaliação subsequente.
nueva evaluación.
Los auditores y los líderes de equipos auditores Convém que os auditores e líderes da equipe de
deberían mejorar su competencia de manera auditoria melhorem continuamente sua
52
NM ISO 19011:2018
Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían establecer los programa de auditoria estabeleça(m) mecanismos
mecanismos adecuados para la evaluación adequados para a avaliação contínua do
continua del desempeño de los auditores, y de los desempenho dos auditores e líderes da equipe de
líderes de equipos auditores. auditoria.
a) los cambios en las necesidades de la persona y a) mudanças nas necessidades das pessoas e da
de la organización responsable de la realización de organização responsável pela condução da
la auditoría; auditoria;
c) las normas pertinentes, incluyendo documentos c) normas pertinentes, incluindo documentos de
de orientación/apoyo, y otros requisitos; orientação/apoio e outros requisitos;
53
NM ISO 19011:2018
Anexo A
(informativo)
Orientación adicional destinada a los auditores que planifican y realizan las auditorías
Una auditoría puede realizarse usando una Uma auditoria pode ser realizada usando uma
variedad de métodos de auditoría. En este anexo variedade de métodos de auditoria. Uma explicação
puede encontrarse una explicación de los métodos sobre os métodos mais comuns usados em
de auditoría usados comúnmente. Los métodos de auditoria pode ser encontrada neste Anexo. Os
auditoría elegidos para una auditoría dependen de métodos de auditoria escolhidos para uma auditoria
los objetivos de la auditoría, el alcance y los dependem dos objetivos, escopo e critérios de
criterios definidos, así como de la duración y la auditoria estabelecidos, assim como da duração e
ubicación. También deberían considerarse la localização. Convém que a disponibilidade do
competencia disponible de los auditores y cualquier auditor com competência e qualquer incerteza que
incertidumbre que surja de la aplicación de los surja da aplicação dos métodos de auditoria sejam
métodos de auditoría. Aplicar una variedad y também consideradas. Aplicar uma variedade e
combinación de diferentes métodos de auditoría combinação de diferentes métodos de auditoria
puede optimizar la eficiencia y eficacia del proceso pode otimizar a eficiência e a eficácia do processo
de auditoría y sus resultados. de auditoria e do seu resultado.
La realización de una auditoría implica una O desempenho de uma auditoria envolve uma
interacción entre personas dentro del sistema de interação entre pessoas no sistema de gestão que
gestión que se audita y la tecnología utilizada para está sendo auditado e a tecnologia usada para
llevar a cabo la auditoría. La Tabla A.1 proporciona conduzir a auditoria. A Tabela A.1 fornece
ejemplos de métodos de auditoría que pueden exemplos de métodos de auditoria que podem ser
usarse, por separado o en combinación, para lograr usados, individualmente ou em combinação, para
los objetivos de la auditoría. Si una auditoría alcançar os objetivos de auditoria. Se uma auditoria
supone el uso de un equipo auditor con múltiples envolver o uso de uma equipe de auditoria com
miembros, pueden usarse métodos in situ y múltiplos membros, métodos presenciais ou
métodos remotos simultáneamente. remotos podem ser usados simultaneamente.
NOTA Se proporciona información adicional sobre visitar las NOTA Informação adicional para visitar locais físicos é dada em
ubicaciones físicas en A.15. A.15.
54
NM ISO 19011:2018
55
NM ISO 19011:2018
A.2 Enfoque a procesos para la auditoría A.2 Abordagem de processo para auditar
Los auditores deberían aplicar su juicio profesional Convém que os auditores apliquem julgamento
durante el proceso de auditoría y evitar profissional durante o processo de auditoria e
concentrarse en los requisitos específicos de cada evitem se concentrar em requisitos específicos de
capítulo de la norma en detrimento de alcanzar el cada Seção da norma, às expensas de alcançar o
resultado previsto del sistema de gestión. Algunos resultado pretendido do sistema de gestão.
capítulos de las normas de sistemas de gestión de Algumas Seções de normas de sistema de gestão
ISO no se prestan fácilmente a la auditoría en da ISO não se prestam prontamente à auditoria em
términos de comparación entre un conjunto de termos de comparação entre um conjunto de
criterios y el contenido de un procedimiento o una critérios e o conteúdo de um procedimento ou
instrucción de trabajo. En estas situaciones, los instrução de trabalho. Nestas situações, convém
auditores deberían usar su juicio profesional para que os auditores usem seu julgamento profissional
determinar si la intención del capítulo se ha para determinar se a intenção da Seção foi
cumplido. atendida.
Los auditores deberían centrarse en el resultado Convém que os auditores estejam focados no
previsto del sistema de gestión a lo largo del resultado pretendido do sistema de gestão ao longo
proceso de auditoría. Aunque son importantes los do processo de auditoria. Enquanto processos e o
procesos y lo que deberían lograr, lo que cuenta es que eles alcançam são importantes, o resultado do
el resultado del sistema de gestión y su sistema de gestão e o seu desempenho são o que
desempeño. También es importante considerar el conta. Também é importante considerar o nível da
nivel de integración de los diferentes sistemas de integração de diferentes sistemas de gestão e seus
gestión y sus resultados previstos. resultados pretendidos.
En la medida de lo posible, los auditores deberían Até onde praticável, convém que os auditores
considerar si la información proporciona evidencia considerem se a informação fornece evidência
objetiva suficiente para demostrar que se han objetiva suficiente para demonstrar que os
cumplido los requisitos, como ser: requisitos estão sendo atendidos, assim como se a
informação é:
56
NM ISO 19011:2018
a) completa (todo el contenido esperado está en la a) completa (todo o conteúdo esperado está
información documentada); contido na informação documentada);
b) correcta (el contenido es conforme con otras b) correta (o conteúdo está conforme com outras
fuentes fiables, tales como normas y reglamentos); fontes confiáveis, como normas e
regulamentações);
c) coherente (la información documentada es
coherente consigo misma y con documentos c) coerente (a informação documentada é coerente
relacionados); em si e coerente com documentos relacionados);
d) actual (el contenido está actualizado). d) atual (o conteúdo está atualizado).
El muestreo para la auditoría tiene lugar cuando no Amostragem de auditoria é realizada quando não é
es práctico o no es rentable examinar toda la prático ou oneroso examinar todas as informações
información disponible durante la auditoría, por disponíveis durante uma auditoria, por exemplo,
ejemplo, los registros son demasiado numerosos o registros são muito numerosos ou muito dispersos
están demasiado dispersos geográficamente para geograficamente para justificar o exame de cada
justificar el examen de cada elemento de la item na população. Amostragem de auditoria de
población. El muestreo para la auditoría de una uma grande população é o processo de selecionar
población grande es el proceso de seleccionar menos de 100 % dos itens no conjunto total de
menos del 100% de los elementos dentro del dados disponíveis (população) para obter e avaliar
conjunto total de datos disponibles (población) para evidências sobre alguma característica daquela
obtener y evaluar la evidencia sobre alguna população, para formar uma conclusão relativa à
característica de esa población, para formar una população.
conclusión sobre la población.
El riesgo asociado con el muestreo es que las O risco associado à amostragem é que as amostras
muestras pueden no ser representativas de la podem não ser representativas da população da
población de la que se seleccionan. Por tanto, la qual elas são selecionadas. Portanto, a conclusão
conclusión del auditor puede estar sesgada y ser do auditor pode ser tendenciosa e diferente daquela
diferente de la que se alcanzaría si se examinara que seria alcançada se a população inteira fosse
toda la población. Puede haber otros riesgos examinada. Pode haver outros riscos, dependendo
dependiendo de la variabilidad dentro de la da variabilidade na população a ser amostrada e do
población de la que se va a realizar el muestreo y método escolhido.
del método elegido.
57
NM ISO 19011:2018
d) determinar el tamaño de la muestra a tomar; d) determinar o tamanho da amostra a ser tomada;
f) recopilar, evaluar, informar y documentar los f) compilar, avaliar, relatar e documentar
resultados. resultados.
Al realizar el muestreo, debería considerarse la Quando da amostragem, convém que seja dada
calidad de los datos disponibles, ya que un consideração à qualidade dos dados disponíveis,
muestreo de datos insuficientes o imprecisos no uma vez que amostragem insuficiente e dados
dará un resultado útil. La selección de una muestra imprecisos não fornecerão um resultado útil.
apropiada debería basarse en el método de Convém que a seleção de uma amostra apropriada
muestreo y en el tipo de datos requeridos, por seja baseada no método de amostragem e no tipo
ejemplo, para inferir un patrón de comportamiento de dados requeridos, por exemplo, para inferir um
particular o realizar inferencias sobre una padrão particular de comportamento ou extrair
población. inferências sobre uma população.
El informe de la muestra seleccionada podría tener Relatar a amostra selecionada pode levar em conta
en cuenta el tamaño de la muestra, el método de o tamanho da amostra, método de seleção e
selección y las estimaciones hechas basadas en la estimativas feitas com base na amostra e no nível
muestra y el nivel de confianza. de confiança.
Las auditorías pueden utilizar el muestreo basado Auditorias podem usar amostragem com base em
en juicio (véase A.6.2) o muestreo estadístico julgamento (ver A.6.2) ou amostragem estatística
(véase A.6.3). (ver A.6.3).
Para el muestreo basado en juicio puede Para amostrar com base em julgamento, pode ser
considerarse lo siguiente: considerado o seguinte:
a) la experiencia de auditorías previas dentro del a) experiência anterior de auditoria no escopo de
alcance de la auditoría; auditoria;
b) la complejidad de los requisitos (incluyendo los b) complexidade de requisitos (incluindo requisitos
requisitos legales y reglamentarios) para lograr los estatutários e regulamentares) para alcançar os
objetivos de la auditoría; objetivos de auditoria;
d) el grado de cambio en la tecnología, el factor d) grau de mudança em tecnologia, fator humano
humano o el sistema de gestión; ou sistema de gestão;
58
NM ISO 19011:2018
f) la salida del seguimiento de los sistemas de f) saída de monitoramento de sistemas de gestão.
gestión.
Un inconveniente del muestreo basado en juicio es Um obstáculo para a amostragem com base em
que puede no haber una estimación estadística del julgamento é que pode não existir estimativa
efecto de la incertidumbre en los hallazgos de la estatística do efeito da incerteza nas constatações
auditoría y en las conclusiones alcanzadas. da auditoria e nas conclusões alcançadas.
Si se decide utilizar muestreo estadístico, el plan de Se for decidido usar amostragem estatística,
muestreo debería basarse en los objetivos de la convém que o plano de amostragem seja baseado
auditoría y en lo que se conoce sobre las nos objetivos de auditoria e no que é conhecido
características de la población global de la que se sobre as características da população global da
toman las muestras. qual é para as amostras devem serem coletadas.
El plan de muestreo debería tener en cuenta si es Convém que o plano de amostragem leve em conta
probable que los resultados que se examinan estén se os resultados que estão sendo examinados têm
basados en atributos o basados en variables. Por probabilidade de serem baseados em atributo ou
ejemplo, cuando se evalúa la conformidad de los baseados em variável. Por exemplo, ao avaliar
formularios completados con los requisitos conformidade de formulários preenchidos em
establecidos en un procedimiento, podría usarse un relação aos requisitos estabelecidos em um
enfoque basado en atributos. Cuando se examina procedimento, pode ser usada uma abordagem
la ocurrencia de incidentes de inocuidad de los com base em atributo. Ao examinar a ocorrência de
alimentos o el número de infracciones de incidentes de segurança de alimentos ou o número
seguridad, es probable que sea más apropiado un de violações de segurança, uma abordagem com
enfoque basado en variables. base em variável seria provavelmente mais
apropriada.
Los elementos que pueden afectar al plan de Elementos que podem afetar o plano de
muestreo de la auditoría son: amostragem de auditoria são:
59
NM ISO 19011:2018
Cuando se utiliza el muestreo estadístico, los Quando amostragem estatística é usada, convém
auditores deberían documentar apropiadamente el que os auditores documentem apropriadamente o
trabajo realizado. Esto debería incluir una trabalho realizado. Convém que isso inclua uma
descripción de la población que se pretende descrição da população que se destina a ser
muestrear, los criterios de muestreo utilizados para amostrada, os critérios de amostragem usados
la evaluación (por ejemplo, qué es una muestra para a avaliação (por exemplo, o que é uma
aceptable), los parámetros estadísticos y los amostra aceitável), os parâmetros e métodos
métodos que se utilizaron, el número de muestras estatísticos que foram utilizados, o número de
evaluadas y los resultados obtenidos. amostras avaliadas e os resultados obtidos.
El equipo auditor debería considerar si el auditado Convém que a equipe de auditoria considere se o
dispone de procesos eficaces para: auditado possui processos eficazes para:
a) identificar sus requisitos legales y reglamentarios a) identificar seus requisitos estatutários e
y otros requisitos con los que está comprometido; regulamentares e outros requisitos com os quais
esteja comprometido;
b) gestionar sus actividades, productos y servicios b) gerenciar suas atividades, produtos e serviços
para lograr el cumplimiento de estos requisitos; para alcançar compliance com estes requisitos;
1) dispone de un proceso eficaz para identificar 1) tem um processo eficaz para identificar
cambios en los requisitos de cumplimiento y para mudanças em requisitos de compliance e para
considerarlos como parte de la gestión del cambio; considerá-las parte do gerenciamento de mudança;
2) dispone de personas competentes para 2) tem pessoas competentes para gerenciar seus
gestionar sus procesos de cumplimiento; processos de compliance;
4) incluye los requisitos de cumplimiento en su 4) inclui requisitos de compliance em seu programa
programa de auditoría interna; de auditoria internas;
5) trata todas las instancias de no cumplimiento; 5) aborda quaisquer situações de não compliance;
60
NM ISO 19011:2018
Muchas normas de sistemas de gestión requieren Muitas normas de sistemas de gestão requerem
que una organización determine su contexto, que uma organização determine seu contexto,
incluyendo las necesidades y expectativas de las incluindo as necessidades e expectativas de partes
partes interesadas pertinentes y las cuestiones interessadas pertinentes e questões externas e
externas e internas. Para hacer esto, una internas. Para fazer isto, uma organização pode
organización puede usar varias técnicas de análisis usar várias técnicas para análise e planejamento
y planificación estratégicas. estratégicos.
Los auditores deberían confirmar que se han Convém que os auditores confirmem que
desarrollado los procesos adecuados para esto, y processos adequados foram desenvolvidos para
que se usan eficazmente, de manera que sus isto e são usados eficazmente, de modo que seus
resultados proporcionan una base fiable para resultados forneçam uma base confiável para
determinar el alcance y el desarrollo del sistema de determinar o escopo e o desenvolvimento do
gestión. Para hacer esto, los auditores deberían sistema de gestão. Para fazer isso, convém que os
tener en consideración la evidencia objetiva relativa auditores considerem evidência objetiva
a lo siguiente: relacionada ao seguinte:
b) la idoneidad y la competencia de las personas b) adequação e competência das pessoas que
que contribuyen a los procesos; contribuem para o(s) processo(s);
d) la aplicación de los resultados para determinar el d) aplicação dos resultados para determinar o
alcance y el desarrollo del sistema de gestión; escopo e o desenvolvimento do sistema de gestão;
e) las revisiones periódicas del contexto, según sea e) análise crítica periódica de contexto, conforme
apropiado. apropriado.
Los auditores deberían tener el conocimiento Convém que os auditores tenham conhecimento de
pertinente específico del sector y una comprensión setor específico pertinente e entendimento das
de las herramientas de gestión que las ferramentas de gestão que organizações podem
organizaciones pueden usar con el fin de hacer usar para fazer um julgamento relativo à eficácia
juicios con respecto a la eficacia de los procesos dos processos usados para determinar o contexto.
usados para determinar el contexto.
Muchas normas de sistemas de gestión tienen Muitas normas de sistema de gestão aumentaram
requisitos adicionales para la alta dirección. os requisitos para a Alta Direção.
Los auditores deberían obtener evidencia objetiva Convém que os auditores obtenham evidência
del grado en el que la alta dirección está implicada objetiva sobre o grau de envolvimento da Alta
en la toma de decisiones relativas al sistema de Direção na tomada de decisão relacionada ao
gestión y la manera en que demuestra el sistema de gestão e como ela demonstra
compromiso para asegurar su eficacia. Esto puede comprometimento para assegurar sua eficácia. Isto
lograrse revisando los resultados de los procesos pode ser alcançado analisando criticamente os
pertinentes (por ejemplo las políticas, los objetivos, resultados de processos pertinentes (por exemplo,
los recursos disponibles, las comunicaciones de la políticas, objetivos, recursos disponíveis,
61
NM ISO 19011:2018
Los auditores también deberían intentar entrevistar Convém que os auditores também visem
a la alta dirección para confirmar que tienen una entrevistar a Alta Direção para confirmar se ela tem
comprensión adecuada de las cuestiones um entendimento suficiente das questões da
específicas de la disciplina pertinentes para su disciplina específica pertinentes para seu sistema
sistema de gestión, junto con el contexto en el que de gestão, junto com o contexto em que sua
opera su organización, de manera que puedan organização opera, para que ela possa assegurar
asegurar que el sistema de gestión alcanza sus que o sistema de gestão alcance os seus
resultados previstos. resultados pretendidos.
Los auditores no deberían centrarse en el liderazgo Não convém que os auditores apenas foquem na
sólo al nivel de la alta dirección, sino que deberían liderança no nível da Alta Direção, mas convém
auditar el liderazgo y el compromiso a otros niveles também auditar liderança e comprometimento em
de dirección, según sea apropiado. outros níveis de gestão, conforme apropriado.
- asegurarse de que los riesgos y oportunidades se - assegurar que riscos e oportunidades sejam
determinan y gestionan correctamente; corretamente determinados e gerenciados;
- revisar la manera en que la organización aborda - analisar criticamente como a organização aborda
los riesgos y oportunidades que ha determinado. seus riscos e oportunidades determinados.
Una auditoría del enfoque de una organización a la Não convém que uma auditoria da abordagem de
determinación de riesgos y oportunidades no uma organização para a determinação de riscos e
debería desempeñarse como una actividad aislada. oportunidades seja realizada como uma atividade
Debería estar implícita durante toda la auditoría de independente. Convém que esteja implícita durante
un sistema de gestión, incluso durante la entrevista toda a auditoria de um sistema de gestão, inclusive
con la alta dirección. Un auditor debería actuar de ao entrevistar a Alta Direção. Convém que um
acuerdo con los siguientes pasos y recopilar auditor aja de acordo com os seguintes passos e
evidencias objetivas de la siguiente manera: colete evidência objetiva como a seguir:
a) entradas usadas por la organización para a) entradas usadas pela organização para
determinar sus riesgos y oportunidades, que determinar seus riscos e oportunidades, os quais
pueden incluir: podem incluir:
- las fuentes potenciales de riesgos como los - fontes potenciais de risco, como aspectos
aspectos ambientales y los peligros para la ambientais e perigos de segurança etc.
seguridad, etc.
62
NM ISO 19011:2018
b) método por el que se evalúan los riesgos y b) método pelo qual riscos e oportunidades são
oportunidades, que puede diferir entre disciplinas y avaliados, que pode variar entre disciplinas e
sectores. setores.
Cuando una organización ha combinado varios Se uma organização tiver combinado vários
sistemas de gestión en un único sistema de gestión sistemas de gestão em um único sistema de gestão
para cumplir sus propias necesidades, el auditor para atender as suas próprias necessidades,
debería observar cuidadosamente cualquier convém que o auditor olhe cuidadosamente para
superposición concerniente a la consideración del qualquer sobreposição relativa à consideração do
ciclo de vida. ciclo de vida.
63
NM ISO 19011:2018
a) ¿Qué registro de auditoría se creará utilizando a) Qual registro de auditoria será criado usando
este documento de trabajo? este documento de trabalho?
b) ¿Con qué actividad de la auditoría está b) Qual atividade de auditoria está ligada a este
relacionado este documento de trabajo en documento de trabalho específico?
particular?
c) ¿Quién será el usuario de este documento de c) Quem será o usuário deste documento de
trabajo? trabalho?
d) ¿Qué información se necesita para preparar este d) Qual informação é necessária para preparar este
documento de trabajo? documento de trabalho?
Para las auditorías combinadas, deberían Para auditorias combinadas, convém que
desarrollarse documentos de trabajo para evitar la documentos de trabalho sejam desenvolvidos para
duplicación de actividades de auditoría mediante: evitar a duplicação de atividades de auditoria, por:
Las fuentes de información seleccionadas pueden As fontes de informação selecionadas podem variar
variar de acuerdo con el alcance y la complejidad de acordo com o escopo e a complexidade da
de la auditoría y pueden incluir lo siguiente: auditoria, e podem incluir o seguinte:
a) entrevistas con empleados y con otras personas; a) entrevistas com empregados e outras pessoas;
d) registros, tales como registros de inspección, d) registros, como registros de inspeção, atas de
actas de reuniones, informes de auditoría, registros reuniões, relatórios de auditoria, registros de
de programas de seguimiento y resultados de programa de monitoramento e os resultados de
mediciones; medições;
64
NM ISO 19011:2018
f) información sobre los planes de muestreo del f) informação sobre os planos de amostragem do
auditado y sobre cualquier procedimiento para el auditado e sobre quaisquer procedimentos para o
control de los procesos de muestreo y medición; controle de amostragem e processos de medição;
g) informes de otras fuentes, por ejemplo, g) relatórios de outras fontes, por exemplo,
retroalimentación del cliente, encuestas y feedback de clientes, medições e pesquisas
mediciones externas, otra información pertinente externas, outra informação pertinente de partes
de partes externas y la calificación de los externas e classificações de fornecedores
proveedores externos; externos;
Para minimizar la interferencia entre las actividades Para minimizar a interferência entre atividades de
de auditoría y los procesos de trabajo del auditado auditoria e os processos de trabalho do auditado, e
y para asegurar la salud y la seguridad del equipo para assegurar a saúde e segurança da equipe de
auditor durante la visita, debería considerarse lo auditoria durante uma visita, convém que seja
siguiente: considerado o seguinte:
- proporcionar la información adecuada a los - fornecer informação suficiente aos auditores sobre
auditores sobre seguridad física, salud (por segurança, saúde (por exemplo, quarentena),
ejemplo, cuarentena), cuestiones de seguridad y assuntos de saúde ocupacional e segurança e
salud en el trabajo y normas culturales y horas de normas culturais e horário de trabalho para a visita,
trabajo para la visita, incluyendo la vacunación y incluindo vacinação e liberações requeridas e
autorizaciones requeridas y recomendadas, si es recomendadas, se aplicável;
aplicable;
- confirmar con el auditado que cualquier equipo de - confirmar com o auditado que qualquer
protección personal (EPP) estará disponible para el equipamento de proteção individual (EPI) requerido
equipo auditor, si es aplicable; estará disponível para a equipe de auditoria, se
aplicável;
- confirmar los acuerdos con el auditado sobre el - confirmar os arranjos com o auditado, relativos ao
uso de dispositivos móviles y cámaras, incluyendo uso de dispositivos celulares e câmeras, incluindo
la grabación de información como fotografías de gravar informação como fotografias de locais e
ubicaciones y equipos, copias de capturas de equipamento, cópias de captura de tela ou
pantalla o fotocopias de documentos, vídeos de fotocópias de documentos, vídeos de atividades e
actividades y entrevistas, teniendo en cuenta las entrevistas, levando em consideração assuntos de
cuestiones de seguridad y confidencialidad; segurança e confidencialidade;
- excepto para auditorías ad hoc no programadas, - assegurar que o pessoal que está sendo visitado
asegurarse de que el personal visitado será será informado sobre o escopo e objetivos de
informado sobre los objetivos y el alcance de la auditoria, exceto para auditorias ad hoc não
auditoría. planejadas.
- evitar cualquier interrupción innecesaria de los - evitar qualquer distúrbio desnecessário dos
procesos operativos; processos operacionais;
- asegurarse de que el equipo auditor está - assegurar que a equipe de auditoria esteja usando
utilizando el EPP correctamente (si procede); EPI apropriadamente (se aplicável);
65
NM ISO 19011:2018
- adaptar el tamaño del equipo auditor y el número - adaptar o tamanho da equipe de auditoria e o
de guías y observadores de acuerdo con el alcance número de guias e observadores de acordo com o
de la auditoría, para evitar interferencias con los escopo da auditoria, para evitar interferência com
procesos operativos tanto como sea posible; os processos operacionais até onde praticável;
- no tocar ni manipular ningún equipo, a menos que - não tocar ou manipular qualquer equipamento, a
se permita explícitamente, incluso cuando se tenga menos que seja explicitamente permitido, mesmo
la competencia o se esté autorizado; quando competente ou licenciado;
- si tiene lugar un incidente durante la visita in situ, - se um incidente ocorrer durante a visita no local,
el líder del equipo auditor debería revisar la convém que o líder da equipe de auditoria analise
situación con el auditado y, si es necesario, con el criticamente a situação com o auditado e, se
cliente de la auditoría y llegar a un acuerdo sobre si necessário, com o cliente da auditoria, para chegar
la auditoría se debería interrumpir, volver a a um acordo sobre se convém que a auditoria seja
programar o continuar; interrompida, reagendada ou continuada;
- cuando se toman notas, evitar recopilar - ao fazer anotações, evitar coletar informação
información personal a menos que lo requieran los pessoal, a menos que requerido pelos objetivos de
objetivos de la auditoría o los criterios de auditoría. auditoria ou pelos critérios de auditoria.
- asegurarse de que el equipo auditor está usando - assegurar que a equipe de auditoria esteja usando
los protocolos de acceso remoto acordados, protocolos de acesso remoto incluindo dispositivos
incluyendo los dispositivos, software, etc. requeridos, software etc.;
requeridos;
- si sucede un incidente durante el acceso remoto, - se um incidente ocorrer durante o acesso remoto,
el líder del equipo auditor debería revisar la convém que o líder da equipe de auditoria verifique
situación con el auditado y, si es necesario, con el a situação com o auditado e, se necessário, com o
cliente de la auditoría, y llegar a un acuerdo sobre cliente de auditoria, e chegue a um acordo sobre se
si la auditoría se debería interrumpir, reprogramar o convém que a auditoria seja interrompida,
continuar; reagendada ou continuada;
66
NM ISO 19011:2018
adelante, una vez que haya pasado la necesidad de posterior, uma vez que a necessidade de sua
su conservación. retenção tenha cessado.
Las auditorías virtuales se realizan cuando una Auditorias virtuais são conduzidas quando uma
organización desempeña trabajo o proporciona un organização realiza trabalho ou fornece um serviço
servicio usando un entorno en línea que permite a usando um ambiente online que permita que
las personas con independencia de la ubicación pessoas executem processos independentemente
física, ejecutar procesos (por ejemplo, la intranet de de locais físicos (por exemplo, intranet da
la empresa, una “computación en la nube”). A veces organização, uma “nuvem computacional”).
se refiere a la auditoría de una ubicación virtual Auditoria de um local virtual é algumas vezes
como auditoría virtual. Las auditorías remotas referida como auditoria virtual. Auditorias remotas
hacen referencia al uso de tecnología para recopilar se referem ao uso de tecnologia para coletar
información, entrevistar a un auditado, etc., cuando informação, entrevistar um auditado etc., quando
los métodos “cara a cara” no son posibles o métodos “cara a cara” não são possíveis ou
deseables. desejáveis.
Una auditoría virtual sigue el proceso estándar de Uma auditoria virtual segue o processo-padrão de
auditoría a la vez que se usa la tecnología para auditoria ao usar tecnologia para verificar evidência
verificar las evidencias objetivas. El auditado y el objetiva. Convém que o auditado e a equipe de
equipo auditor deberían asegurar los requisitos auditoria assegurem requisitos apropriados de
tecnológicos apropiados para las auditorías tecnologia para auditorias virtuais, podendo incluir:
virtuales, que pueden incluir:
- asegurarse de que el equipo auditor está usando - assegurar que a equipe de auditoria esteja usando
los protocolos de acceso remoto acordados, protocolos de acesso remoto acordados, incluindo
incluyendo los dispositivos, software, etc. dispositivos requeridos, software etc.;
requeridos;
La competencia del auditor debería incluir: Convém que a competência de auditor inclua:
- habilidades técnicas para usar los equipos - habilidades técnicas para usar equipamento
electrónicos apropiados y otras tecnologías durante eletrônico apropriado e outra tecnologia ao auditar;
la auditoría;
- los riesgos asociados con las auditorías virtuales - riscos associados com auditorias virtuais ou
o remotas; remotas;
67
NM ISO 19011:2018
- pedir permiso por adelantado para tomar capturas - pedido de permissão com antecedência para fazer
de pantalla de documentos o cualquier tipo de cópias de captura de tela de documentos ou
grabación, y considerar las cuestiones de qualquer tipo de gravações, considerando assuntos
confidencialidad y seguridad; de confidencialidade e segurança;
Las entrevistas son un medio importante para Entrevistas são um meio importante de coletar
recopilar información y deberían llevarse a cabo de informação e convém que sejam realizadas de
un modo adaptado a la situación y a la persona maneira adaptada à situação e à pessoa
entrevistada, sea cara a cara o por otros medios de entrevistada, presencialmente ou por outros meios
comunicación. Sin embargo, el auditor debería de comunicação. Entretanto, convém que o auditor
considerar lo siguiente: considere o seguinte:
a) las entrevistas deberían mantenerse con a) convém que entrevistas sejam realizadas com
personas de los niveles y funciones apropiados que pessoas de níveis e funções apropriadas que
desempeñan actividades o tareas dentro del realizam atividades ou tarefas no escopo de
alcance de la auditoría; auditoria;
b) las entrevistas normalmente deberían llevarse a b) convém que entrevistas sejam normalmente
cabo durante la jornada de trabajo normal y, cuando conduzidas durante o horário normal de trabalho e,
sea posible, en el lugar de trabajo normal de la quando praticável, no local de trabalho da pessoa
persona entrevistada; que está sendo entrevistada;
c) debería intentarse que la persona entrevistada c) convém que sejam feitas tentativas para colocar
esté cómoda antes de la entrevista y durante la a pessoa que está sendo entrevistada à vontade
misma; antes e durante a entrevista;
d) debería explicarse la razón de la entrevista y d) convém que seja explicada a razão para a
cualquier toma de notas; entrevista e qualquer anotação;
e) las entrevistas pueden iniciarse solicitando a las e) entrevistas podem ser iniciadas pedindo às
personas que describan su trabajo; pessoas que descrevam seu trabalho;
f) debería seleccionarse cuidadosamente el tipo de f) convém que o tipo de questão usado seja
preguntas utilizado (por ejemplo, preguntas cuidadosamente selecionado (por exemplo,
abiertas, cerradas, inductivas, indagaciones questões abertas, fechadas, perguntas
apreciativas); importantes, investigação apreciativa);
h) los resultados de la entrevista deberían h) convém que os resultados de entrevistas sejam
resumirse y revisarse con la persona entrevistada; resumidos e analisados criticamente com a pessoa
entrevistada;
i) debería agradecerse a las personas entrevistadas i) convém agradecer às pessoas entrevistadas por
su participación y cooperación. sua participação e cooperação.
68
NM ISO 19011:2018
d) el grado en que se han realizado las actividades d) extensão na qual as atividades de auditoria
de auditoría planificadas y en que se han logrado planejadas são realizadas e os resultados
los resultados planificados; planejados são alcançados;
e) los hallazgos que excedan la práctica normal, o e) constatações que excedam a prática normal, ou
las oportunidades de mejora; oportunidades para melhoria;
g) la categorización (si existe) de los hallazgos de g) classificação (se houver) das constatações de
la auditoría. auditoria.
Para los registros de conformidad, debería Para registros de conformidade, convém que seja
considerarse lo siguiente: considerado o seguinte:
a) la descripción de o la referencia a los criterios de a) descrição dos critérios de auditoria em relação
auditoría respecto a los cuales se muestra la aos quais a conformidade for apresentada ou
conformidad; referência a eles;
b) la evidencia de la auditoría para respaldar la b) evidência de auditoria para apoiar conformidade
conformidad y la eficacia, si es aplicable; e eficácia, se aplicável;
Para los registros de no conformidad, debería Para registros de não conformidades, convém que
considerarse lo siguiente: seja considerado o seguinte:
a) la descripción de los criterios de auditoría o la a) descrição dos critérios de auditoria ou referência
referencia a los mismos; a eles;
69
NM ISO 19011:2018
Durante una auditoría es posible identificar Durante uma auditoria, é possível identificar
hallazgos relacionados con múltiples criterios. constatações relacionadas aos múltiplos critérios.
Cuando un auditor identifica un hallazgo vinculado Quando um auditor identifica uma constatação
a un criterio en una auditoría combinada, el auditor relacionada a um critério em uma auditoria
debería considerar el posible impacto en los combinada, convém que o auditor considere o
criterios correspondientes o similares de otros possível impacto sobre os critérios
sistemas de gestión. correspondentes ou similares dos outros sistemas
de gestão.
a) hallazgos separados para cada criterio; o a) separar as constatações para cada critério; ou
b) un único hallazgo, combinando las referencias a b) uma simples constatação, combinando as
los múltiples criterios. referências aos múltiplos critérios.
70
NM ISO 19011:2018
Bibliografía
Bibliografia
_____________ _____________
1) 1)
Véase: Ver:
www.iso.org/tc176/ISO9001AuditingPracticesGroup www.iso.org/tc176/ISO9001AuditingPracticesGroup
71
NM ISO 19011:2018