Académique Documents
Professionnel Documents
Culture Documents
Nº
DOCUMENTOS MANDATÓRIOS DO IAF PARA A APLICAÇÃO NIT-DICOR-054 09
DA ABNT NBR ISO/IEC 17021-1
APROVADA EM PÁGINA
NOV/2017 01/56
SUMÁRIO
1 Objetivo
2 Campo de Aplicação
3 Responsabilidade
4 Histórico das Revisões
5 Documentos Complementares
6 Siglas
7 Documentos Mandatórios do IAF para Aplicação da ABNT NBR ISO/IEC 17021-1
Anexo A – Documento Mandatório do IAF para a Certificação de Multisites baseada em
amostragem (IAF MD 1:2007)
Anexo B – Documento Mandatório do IAF para a Transferência da Certificação Acreditada
de Sistemas de Gestão (IAF MD 2:2017)
Anexo C – Documento Mandatório do IAF para Procedimentos Avançados de Supervisão e
Recertificação (PASR) (IAF MD 3:2008)
Anexo D – Documento Mandatório do IAF para o uso de Técnicas de Auditoria Apoiadas
por Computador (TAAC) para Certificação Acreditada de Sistemas de Gestão
(IAF MD 4:2008)
Anexo E – Documento Mandatório do IAF para Determinação do Tempo de Auditoria de
SGQ e SGA (IAF MD 5:2015)
Anexo F – Documento Mandatório do IAF para Avaliação do Organismo de Certificação
para Gestão da Competência em Conformidade com a ISO/IEC 17021:2011 (IAF
MD 10:2013)
Anexo G – Documento Mandatório do IAF para a aplicação da ISO/IEC 17021 em auditorias
de sistemas de gestão integrados (IAF MD 11:2013)
Anexo H – Documento Mandatório do IAF para a aplicação da ISO/IEC 17021 no setor de
Gestão de Serviços (ISO/IEC 20000-1) - (IAF MD 18:2015)
Anexo I – Documento Mandatório do IAF para a Auditoria e Certificação de um Sistema de
Gestão operado por uma organização multi-site (quando a amostragem do site
não é aplicável) – (IAF MD 19:2016)
1 OBJETIVO
Este documento apresenta a tradução livre dos seguintes documentos mandatórios do IAF, para a
consistente aplicação do ABNT NBR ISO/IEC 17021-1:
IAF MD 1:2007 IAF Mandatory Document for the Certification of Multiple Sites Based on Sampling;
IAF MD 2:2017 IAF Mandatory Document for the Transfer of Accredited Certification of
Management Systems;
IAF MD 3:2008 IAF Mandatory Document for Advanced Surveillance and Recertification
Procedures;
IAF MD 4:2008 IAF Mandatory Document for the use of Computer Assisted Auditing Techniques
(“CAAT”) for Accredited Certification of Management Systems;
IAF MD 5:2015 IAF Mandatory Document for Determination of Audit Time of Quality and
Environmental Management Systems;
IAF MD 10:2013 IAF Mandatory Document for Assessment of Certification Body Management of
Competence in Accordance with ISO/IEC 17021:2011;
IAF-MD 11:2013 IAF Mandatory Document for the Application of ISO/IEC 17021 for Audits of
Integrated Management Systems;
IAF-MD 18:2015 IAF Mandatory Document for the Application of ISO/IEC 17021:2011 in the Service
Management Sector (ISO/IEC 20000-1);
REV. PÁGINA
NIT-DICOR-054
09 2/56
IAF-MD 19:2016 IAF Mandatory Document for the Audit and Certification of a Management System
operated by a Multi-Site Organization (where application of site sampling is not
appropriate)
2 CAMPO DE APLICAÇÃO
Esta norma aplica-se à Dicor.
3 RESPONSABILIDADE
A responsabilidade pela revisão desta norma é da Dicor
5 DOCUMENTOS COMPLEMENTARES
Nota: As normas referenciadas são utilizadas nas suas últimas revisões, conforme disponível no site
da ABNT (www.abnt.org.br).
IAF MD 1:2007 IAF Mandatory Document for the Certification of Multiple Sites Based
on Sampling
IAF MD 2:2017 IAF Mandatory Document for the Transfer of Accredited Certification
of Management Systems;
IAF MD 3:2008 IAF Mandatory Document for Advanced Surveillance and
Recertification Procedures;
REV. PÁGINA
NIT-DICOR-054
09 3/56
IAF MD 4:2008 IAF Mandatory Document for the use of Computer Assisted Auditing
Techniques (“CAAT”) for Accredited Certification of Management
Systems;
IAF MD 5:2015 IAF Mandatory Document for Determination of Audit Time of Quality
and Environmental Management Systems;
IAF MD 10:2013 IAF Mandatory Document for Assessment of Certification Body
Management of Competence in Accordance with ISO/IEC
17021:2011;
IAF-MD 11:2013 IAF Mandatory Document for the Application of ISO/IEC 17021 for
Audits of Integrated Management Systems
IAF-MD 18:2015 IAF Mandatory Document for the Application of ISO/IEC 17021:2011
in the Service Management Sector (ISO/IEC 20000-1)
IAF-MD 19:2016 IAF Mandatory Document for the Audit and Certification of a
Management System operated by a Multi-Site Organization (where
application of site sampling is not appropriate)
6 SIGLAS
A tradução livre dos documentos IAF MD 1:2007, IAF MD 2:2007, IAF MD 3:2008; IAF MD 4:2008;
IAF MD 5:2015; IAF MD 10:2013, IAF MD 11:2013, IAF MD 18:2015 e IAF-MD 19:2016 estão
apresentadas nos Anexos a esta norma.
O International Accreditation Forum, Inc. (IAF) opera programas para a acreditação de organismos
que fornecem serviços de avaliação da conformidade. Tais acreditações facilitam o comércio e
reduzem a demanda para certificação múltipla.
A acreditação reduz o risco para os negócios e seus clientes ao assegurar a eles que os Organismos
de Avaliação da Conformidade (OACs) acreditados são competentes para realizarem o trabalho que
eles desempenham dentro do seu escopo de acreditação. Exige-se que os Organismos de
REV. PÁGINA
NIT-DICOR-054
09 4/56
Acreditação (OAs), membros do IAF, e seus OACs acreditados atendam às normas internacionais
apropriadas e aos documentos mandatórios do IAF para a consistente aplicação dessas normas.
Um MLA para a acreditação de OACs para normas, incluindo a ISO/IEC 17020 para organismos
de inspeção, a ISO/IEC 17021-1 para organismos de certificação de sistemas de gestão, a
ISO/IEC 17024 para organismos de certificação de pessoas e a ISO/IEC 17065 para organismos
de certificação de produtos, é considerado uma estrutura para o MLA. Uma estrutura para o MLA
fornece confiança que OACs acreditados são igualmente dignos de confiança no desempenho
das atividades de avaliação da conformidade.
Um MLA para a acreditação de OACs que também inclui a norma de avaliação da conformidade
específica ou esquema, como o escopo da acreditação, fornece confiança na equivalência da
certificação.
Um MLA do IAF fornece a confiança necessária para a aceitação da certificação pelo mercado. Uma
organização ou pessoa com certificação para uma norma específica ou esquema que é acreditado
por um OA signatário do MLA do IAF pode ser reconhecido mundialmente facilitando
consequentemente o comércio internacional.
_______________________
/ANEXOS
REV. PÁGINA
NIT-DICOR-054
09 5/56
Este documento é mandatório para a consistente aplicação da cláusula 9.1.5 da ABNT NBR ISO/IEC
17021 e é baseado na diretriz previamente fornecida no Anexo 3 do IAF GD2:2005 e IAF GD6:2003
cláusula G.5.3.5 - G.5.3.13. Todas as cláusulas da ABNT NBR ISO/IEC 17021:2007 continuam a ser
aplicadas e este documento não substitui qualquer dos requisitos daquela norma. Este documento
mandatório não é exclusivamente para Sistemas de Gestão da Qualidade (SGQ) e Sistemas de
Gestão Ambiental (SGA) e pode ser utilizado para outros sistemas de gestão. Contudo normas
pertinentes podem fornecer requisitos específicos para multisites ou impedir o uso de amostragem
(ex. ISO/IEC 27006, ISO/TS 22003).
0. INTRODUÇÃO
0.2 Normalmente, convém que a auditoria inicial para certificação e subsequentes auditorias de
supervisão e recertificação ocorram em todo site da organização que deve ser coberto pela
certificação. Entretanto, quando a atividade de uma organização sujeita à certificação for realizada de
forma similar em sites diferentes, estando todos sujeitos ao controle e autoridade da organização, um
organismo de certificação poderá utilizar procedimentos apropriados para amostragem dos sites na
auditoria inicial e subsequentes auditorias de supervisão e recertificação. Este documento refere-se
às condições sob as quais a certificação multisite é aceita para organismos de certificação
acreditados incluindo o cálculo do tamanho da amostra e duração da auditoria.
0.3 Este documento não se aplica a auditorias de organizações que tenham multisites onde
fundamentalmente dissimilares processos ou atividades são usados nos sites diferentes, ou numa
combinação de sites, embora eles possam estar sob o mesmo sistema de gestão. As condições sob
as quais os organismos de certificação podem fazer qualquer redução na auditoria completa normal
de todos os sites, nestas circunstâncias, têm que ser justificadas em cada site onde a redução é
proposta.
0.5 Quando uma organização é considerada uma candidata para certificação com base na
amostragem, o organismo de certificação deve ter arranjos para explicar a aplicação deste
documento para a organização antes do início da auditoria.
1. DEFINIÇÕES
1.1. Organização
O termo organização é usado para designar qualquer empresa ou outra organização que possua um
sistema de gestão sujeito à auditoria e certificação.
REV. PÁGINA
NIT-DICOR-054
09 6/56
1.2. Site
Um site é uma locação permanente onde uma organização realiza trabalho ou serviço.
Um site temporário é aquele estabelecido por uma organização para desempenhar trabalho
específico ou serviço por um período de tempo finito e que não se tornará um site permanente (p. ex.
site de construção).
Um novo site ou grupo de sites que serão adicionados a uma rede multisite certificada existente.
Uma organização multisite é definida como uma organização que tenha uma função central
identificada (daqui por diante designada como escritório central - mas não necessariamente a sede
da organização), onde determinadas atividades são planejadas, controladas ou gerenciadas, e uma
rede de escritórios locais ou filiais (sites), onde tais atividades são executadas completa ou
parcialmente.
2. APLICAÇÃO
2.1 Site
2.1.1 Um site pode incluir todos os terrenos nos quais atividades sob o controle de uma organização
numa dada locação são realizadas incluindo qualquer armazenamento conectado ou associado de
matéria-prima, subprodutos, produtos intermediários, produtos finais e resíduos, e qualquer
equipamento ou infraestrutura envolvidos nas atividades, fixos ou não. Alternativamente, quando
requerido por lei, definições estabelecidas por regimes de licenciamento nacional ou local devem ser
aplicados.
2.1.2 Quando não é viável definir a locação (p. ex. para serviços), convém que a cobertura da
certificação leve em conta as atividades da sede da organização, bem como a entrega dos seus
serviços. Quando pertinente, o organismo de certificação pode decidir que a auditoria de certificação
seja conduzida somente onde a organização entrega seus serviços. Em tais casos, todas as
interfaces com seu escritório central devem ser identificadas e auditadas.
2.2.1 Sites temporários que estão cobertos pelo sistema de gestão da organização podem estar
sujeitos à auditoria com base amostral para fornecer evidência da operação e eficácia do sistema de
gestão. Eles podem, contudo, ser incluídos dentro do escopo de uma certificação multisite, sujeita a
acordo entre o organismo de certificação e a organização cliente. Quando incluído no escopo, tais
sites devem ser identificados como temporários.
2.3.1 A organização multisite não precisa ser uma entidade legal única, porém todos os sites devem
ter um vínculo legal ou contratual com o escritório central da organização e devem estar sujeitos a
um sistema de gestão comum, o qual é formulado, estabelecido e sujeito à supervisão contínua e
auditorias internas pelo escritório central. Isto significa que o escritório central tem direito de requerer
REV. PÁGINA
NIT-DICOR-054
09 7/56
que os sites implementem ações corretivas, quando necessárias, em qualquer site. Quando for
aplicável, convém que esta condição seja estabelecida no contrato formal entre o escritório central e
os sites.
3.0.1 Os processos de todos os sites têm que ser essencialmente do mesmo tipo e têm de ser
operados por métodos e procedimentos similares. Quando alguns dos sites sob consideração
conduzem processos similares, mas em menor número que os demais processos, eles podem ser
elegíveis para inclusão na certificação multisite, desde que os sites que conduzem a maior parte dos
processos ou processos críticos sejam sujeitos à auditoria completa.
3.0.2 Organizações que conduzem seus negócios através de processos vinculados em locações
diferentes são também elegíveis para amostragem, desde que sejam atendidas todas as outras
cláusulas deste documento. Quando os processos em cada locação não são similares, mas são
claramente vinculados, o plano de amostragem deve incluir no mínimo um exemplo de cada
processo conduzido pela organização (p.ex. fabricação de componentes eletrônicos em uma
locação, montagem dos mesmos componentes – pela mesma empresa em muitas outras locações).
3.0.3 O sistema de gestão da organização deve estar sob uma plano controlado e administrado
centralmente e estar sujeito à análise crítica da administração central. Todos os sites pertinentes
(inclusive a função de administração central) devem estar sujeitos ao programa de auditoria interna
da organização e todos devem ter sido auditados de acordo com esse programa, antes do organismo
de certificação iniciar sua auditoria.
3.0.4 Deve ser demonstrado que o escritório central da organização estabeleceu um sistema de
gestão de acordo com a norma de sistema de gestão pertinente sob auditoria e que toda a
organização atende aos requisitos da norma. Deve-se incluir a análise dos regulamentos pertinentes.
3.0.5 Convém que a organização demonstre sua capacidade para coleta e análise de dados
(inclusive, mas não limitado aos itens listados a seguir) de todos os sites, inclusive do escritório
central, e sua autoridade e capacidade para iniciar alteração organizacional, se necessário:
Documentação do sistema e mudanças do sistema;
Análise crítica pela administração;
Reclamações;
Avaliação de ações corretivas;
Planejamento de auditoria interna e avaliação do resultado;
Mudanças nos aspectos e impactos associados para sistemas de gestão ambiental
(SGA) e
Requisitos legais diferentes.
3.0.6 Nem todas as organizações que se encaixam na definição de “organização multisite” serão
elegíveis para amostragem.
REV. PÁGINA
NIT-DICOR-054
09 8/56
3.0.7 Nem todas as normas de sistemas de gestão são adequadas na consideração para certificação
multisite. Por exemplo, amostragem multisite poderia não ser adequada quando a auditoria de
fatores locais variáveis é um requisito da norma. Regras específicas aplicam-se, também, para
alguns esquemas, por exemplo, aqueles que incluem séries automotiva (TS 16949) e aeroespacial
(AS 9100), e os requisitos de tais esquemas devem ter prioridade.
4.0.1 O organismo de certificação deve fornecer informações para a organização sobre a aplicação
deste documento e as normas pertinentes de sistema de gestão, antes de começar o processo de
auditoria, e convém não prosseguir se quaisquer das provisões não forem atendidas. Antes de
começar o processo de auditoria, convém que o organismo de certificação informe à organização
que o certificado não será emitido se durante a auditoria inicial forem detectadas não conformidades.
4.1.1 Convém que os procedimentos do organismo de certificação assegurem que a análise crítica
inicial de contrato identifica a complexidade e escala das atividades cobertas pelo sistema de gestão,
sujeitas à certificação, bem como quaisquer diferenças entre os sites como base para a
determinação do nível de amostragem.
4.1.2 O organismo de certificação deve identificar a função central da organização que tem contrato
legal e vigente para o fornecimento das atividades de certificação.
4.1.3 O organismo de certificação deve verificar, em cada caso individual, em que extensão os sites
de uma organização operam substancialmente o mesmo tipo de processos, de acordo com os
mesmos procedimentos e métodos. Veja a cláusula 3.0.1 para sites que conduzem processos
similares, mas em menor número que os demais processos, e a cláusula 3.0.2 para sites envolvendo
processos conectados. Somente após uma verificação completa, que confirme, pelo organismo de
certificação, de que todos os sites propostos para inclusão no multisite atendem às provisões de
elegibilidade, é que os procedimentos de amostragem poderão ser aplicados a cada site
individualmente.
4.1.4 Se nem todos os sites de uma organização de serviço, onde a atividade sujeita à certificação
estiver sendo realizada, estiverem prontos para serem submetidos à certificação ao mesmo tempo, o
organismo de certificação deve solicitar à organização que informe, com antecedência, quais os sites
que ela quer incluir no certificado e aqueles que serão excluídos.
REV. PÁGINA
NIT-DICOR-054
09 9/56
4.2 Auditoria
4.2.1 O organismo de certificação deve ter procedimentos documentados para lidar com as auditorias
sob seu procedimento multisite. Tais procedimentos devem estabelecer o modo que o organismo de
certificação se convence de que o mesmo sistema de gestão controla as atividades em todos os sites
e que os critérios de elegibilidade para a organização na cláusula 3 anterior são atendidos. Este
requisito também é aplicável a um sistema de gestão onde são usados documentos eletrônicos,
controle de processo ou outros processos eletrônicos. O organismo de certificação deve justificar e
registrar as razões para prosseguir com a abordagem multisite.
4.2.2 Se mais de uma equipe auditora estiver envolvida na auditoria ou supervisão da rede, convém
que o organismo de certificação designe um único auditor líder cuja responsabilidade seja a de
consolidar as constatações de todas as equipes auditoras e produzir um relatório de síntese.
4.3.1 Quando não conformidades, conforme definido na cláusula 9.1.15 da ABNT NBR ISO/IEC
17021, forem encontradas em qualquer site individual, seja por meio de auditoria interna da
organização ou de auditoria pelo organismo de certificação, convém realizar uma investigação para
determinar se os outros sites podem ser afetados. Portanto, convém que o organismo de certificação
requeira que a organização analise criticamente as não conformidades para determinar se elas
indicam uma deficiência geral do sistema aplicável ou não a todos os sites. Em caso positivo,
convém que ação corretiva seja realizada e verificada tanto no escritório central como nos sites
individuais afetados. Em caso negativo, convém que a organização seja capaz de demonstrar ao
organismo de certificação a justificativa para limitar seu acompanhamento da ação corretiva.
4.3.2 O organismo de certificação deve requerer a evidência dessas ações e deve aumentar sua
frequência de amostragem e/ou o tamanho da amostra até estar convencido de que o controle foi
restabelecido.
4.3.3 Durante o processo de tomada de decisão, se qualquer site tiver uma não conformidade,
conforme definido na cláusula 9.1.15 (b) da ABNT NBR ISO/IEC 17021, a certificação deve ser
negada a toda rede de sites listada, pendente de ação corretiva satisfatória.
4.3.4 Não deve ser admissível que, para superar o obstáculo levantado pela existência de uma não
conformidade em um único site, a organização procure excluir do escopo o site "problemático”
durante o processo de certificação. Tal exclusão pode somente ser acordada com antecedência
(Veja cláusula 4.1.4).
4.4.1 Documentos de certificação podem ser emitidos, cobrindo múltiplos sites desde que cada site
incluído no escopo da certificação tenha sido auditado individualmente pelo organismo de
certificação ou auditado utilizando-se abordagem de amostragem definida neste documento.
4.4.2 O organismo de certificação deve fornecer documentos de certificação aos clientes certificados
por qualquer meio a sua escolha. Tais documentos de certificação devem atender em todos os
aspectos à ABNT NBR ISO/IEC 17021.
4.4.3 Estes documentos devem conter o nome e endereço do escritório central da organização e
uma lista de todos os sites os quais os documentos de certificação se relacionam. O escopo ou outra
referência nestes documentos deve tornar claro que as atividades certificadas são realizadas pela
rede de sites da lista. Se o escopo de certificação dos sites só for emitido como parte do escopo
geral da organização, sua aplicabilidade a todos os sites deve ser claramente estabelecida. Quando
REV. PÁGINA
NIT-DICOR-054
09 10/56
sites temporários são incluídos no escopo, tais sites devem ser identificados como temporários nos
documentos de certificação.
4.4.4 Documentos de certificação poderão ser emitidos para a organização para cada site coberto
pela certificação com a condição de que estes contenham o mesmo escopo ou um subescopo
daquele escopo, e que inclua uma referência clara aos documentos de certificação principais.
4.4.6 A lista de sites deve ser mantida atualizada pelo organismo de certificação. Para esse fim, o
organismo de certificação deve solicitar à organização que informe sobre o fechamento de qualquer
dos sites cobertos pela certificação. A falha no fornecimento dessas informações será considerada
pelo organismo de certificação como mau uso da certificação, e convém que o organismo aja
consequentemente de acordo com os seus procedimentos.
4.4.7 Sites adicionais podem ser adicionados a uma certificação existente como resultado das
atividades de supervisão ou recertificação ou aumento de escopo. O organismo de certificação deve
ter procedimentos documentados para a adição de novos sites.
5 AMOSTRAGEM
5.1 Metodologia
5.1.1 Convém que a amostra seja parcialmente seletiva, com base nos fatores estabelecidos abaixo
e parcialmente não seletiva, e que resulte na seleção de uma gama de diferentes sites, sem excluir o
elemento aleatório de amostragem.
5.1.2 Convém que pelo menos 25% da amostra seja selecionada aleatoriamente.
5.1.3 Levando em consideração os critérios mencionados a seguir, convém que o restante seja
escolhido de forma que as diferenças entre os sites selecionados, no período de validade do
certificado, sejam as maiores possíveis.
5.1.4 Os critérios de seleção do site poderão incluir entre outros os seguintes aspectos:
Resultados de auditorias internas de site e análises críticas ou certificação prévia;
Registros de reclamações e outros aspectos pertinentes de ação corretiva e preventiva;
Variações significativas no tamanho dos sites;
Variações nas mudanças de tendência e procedimentos de trabalho;
Complexidade do sistema de gestão e processos conduzidos nos sites;
Modificações desde a última auditoria de certificação;
Maturidade do sistema de gestão e conhecimento da organização;
Questões ambientais e extensão dos aspectos e impactos associados para sistemas de gestão
ambiental (SGA);
Diferenças de cultura, idioma e requisitos regulatórios; e
Dispersão geográfica.
5.1.5 Não é obrigatório que esta seleção seja feita no início do processo de auditoria. Ela também
pode ser feita quando a auditoria no escritório central tiver sido concluída. Em qualquer caso, o
escritório central deve ser informado sobre os sites a serem incluídos na amostra. O envio destas
informações pode ser feito com pouca antecedência, mas convém que permita tempo adequado para
a preparação para a auditoria.
REV. PÁGINA
NIT-DICOR-054
09 11/56
5.2.2 O organismo de certificação deve ter registros sobre cada solicitação de amostragem multisite
justificando que ele está operando de acordo com este documento.
5.2.3 O cálculo a seguir é um exemplo baseado no exemplo de uma atividade de pequeno a médio
risco com menos de 50 empregados em cada site. O número mínimo de sites a serem visitados por
auditoria é de:
Auditoria inicial: convém que o tamanho da amostra seja a raiz quadrada do número de sites
remotos: (y=x), arredondado ao número inteiro superior.
Auditoria de supervisão: convém que o tamanho da amostra anual seja a raiz quadrada do
número de sites remotos com 0,6 como um coeficiente (y=0,6 x), arredondado ao número inteiro
superior.
Auditoria de Recertificação: convém que o tamanho da amostra seja o mesmo de uma
auditoria inicial. Não obstante, quando o sistema de gestão demonstrar ser eficaz num período de
três anos, o tamanho da amostra poderá ser reduzido por um fator de 0,8, isto é: (y=0,8 x),
arredondado ao número inteiro superior.
5.2.4 Convém que o organismo de certificação defina dentro do seu sistema de gestão os níveis de
risco das atividades, como aplicado acima.
5.2.5 O escritório central também deve ser auditado durante cada auditoria inicial de certificação e no
mínimo anualmente como parte da supervisão.
5.2.6 Convém que o tamanho ou a frequência da amostra seja aumentado quando a análise de risco
do organismo de certificação da atividade coberta pelo sistema de gestão, sujeito à certificação,
indicar circunstâncias especiais em relação a fatores tais como:
O tamanho dos sites e número de empregados (p.ex. mais de 50 empregados num site);
A complexidade do nível de risco da atividade e do sistema de gestão;
Variações nas práticas de trabalho (p.ex. trabalho em turno);
Variações nas atividades empreendidas;
Significância e extensão dos aspectos e impactos associados para sistemas de gestão ambiental
(SGA);
Registros de reclamações e outros aspectos pertinentes de ação corretiva e preventiva;
Quaisquer aspectos multinacionais;
Resultados de auditorias internas e análise crítica.
5.2.7 Quando a organização tiver um sistema hierárquico de filiais (p. ex. escritório sede (central),
escritórios nacionais, escritórios regionais, filiais locais), o modelo de amostragem para a auditoria
inicial, conforme definido anteriormente, se aplica a cada nível.
Exemplos:
1 escritório sede: visitado em cada ciclo de auditoria
(inicial ou supervisão ou recertificação)
4 escritórios nacionais: amostra = 2: mínimo 1, aleatoriamente
27 escritórios regionais: amostra = 6: mínimo 2, aleatoriamente
1700 filiais locais: amostra = 42: mínimo 11, aleatoriamente.
REV. PÁGINA
NIT-DICOR-054
09 12/56
5.3.1 O tempo utilizado na auditoria de cada site individual é outro elemento importante a ser
considerado, e o organismo de certificação deve estar preparado para justificar o tempo utilizado nas
auditorias multisite quanto à sua política global de alocação de tempo de auditoria.
5.3.2 Normalmente, convém que o número de homens dia por site, incluindo o escritório central, seja
calculado para cada site, utilizando-se o mais recente documento publicado pelo IAF para o cálculo
de homens.dia, para a norma pertinente.
5.3.3 Podem ser aplicadas reduções que levem em consideração as cláusulas que não sejam
pertinentes ao escritório central e/ou sites locais. As razões para a justificativa de tais reduções
devem ser registradas pelo organismo de certificação.
Nota: Sites que conduzem a maior parte dos processos ou processos críticos não estão sujeitos à
redução (cláusula 3.0.1).
5.3.4 Convém que o tempo total utilizado na auditoria inicial e supervisão, que é a soma total do
tempo utilizado em cada site adicionado ao do escritório central, nunca seja menor do que aquele
que teria sido calculado para o tamanho e a complexidade da operação, caso todo o trabalho tivesse
sido realizado em um único site (isto é, com todos os empregados da empresa no mesmo site).
5.4.1 Na solicitação de um grupo novo de sites para juntar-se a uma rede de multisites já certificada,
convém que cada grupo novo de sites seja considerado como um conjunto independente para a
determinação do tamanho da amostra. Após a inclusão do grupo novo no certificado, convém que os
novos sites sejam acumulados aos outros já existentes para determinar o tamanho da amostra para
futuras auditorias de supervisão ou recertificação.
/ANEXO B
REV. PÁGINA
NIT-DICOR-054
09 13/56
Este documento é mandatório para a consistente aplicação da cláusula 9.1.3 da ABNT NBR ISO/IEC
17021-1:2015. Todas as cláusulas da ABNT NBR ISO/IEC 17021-1:2015 continuam a ser aplicadas
e este documento não substitui qualquer dos requisitos daquela norma.
0. INTRODUÇÃO
0.1 Este documento fornece critérios normativos sobre a transferência de certificação de sistemas de
gestão acreditada entre organismos de certificação. Os critérios podem, também, ser aplicados no
caso de aquisição de organismos de certificação acreditados por um signatário do MLA do IAF.
1. DEFINIÇÃO
2. REQUISITOS MÍNIMOS
2.1 Acreditação
2.1.1 Somente certificações cobertas pela acreditação de um signatário do MLA do IAF ou signatário
do MLA Regional no nível 3 e, onde aplicável, níveis 4 e 5, devem ser elegíveis para transferência.
As organizações portadoras de certificações que não estejam cobertas por tais acreditações devem
ser tratadas como novos clientes.
2.1.2 Somente certificações acreditadas válidas devem ser transferidas. Certificações que estejam
em vias de serem suspensas não devem ser aceitas para transferência.
2.1.3 Em casos onde a certificação foi concedida por um organismo de certificação que tenha
cessado a negociação ou que a acreditação expirou, esteja suspenso ou cancelado, a transferência
deve ser finalizada no prazo de 6 meses ou no vencimento da certificação, o que vier primeiro.
REV. PÁGINA
NIT-DICOR-054
09 14/56
2.2.1 O organismo de certificação receptor deve ter um processo para obter informações suficientes
a fim de tomar a decisão pela certificação e informar ao cliente da transferência do processo. Esta
informação deve incluir, no mínimo, disposições relativas ao ciclo de certificação.
2.2.2 O organismo de certificação deve realizar a revisão da certificação do cliente a ser transferido.
Esta revisão deve ser conduzida por uma análise da documentação e onde identificado como
necessário por esta análise, por exemplo, identificação de não conformidades maiores deve incluir
uma pré-visita de transferência ao cliente para confirmar a validade da certificação.
2.2.4 A análise deve abranger minimamente os seguintes aspectos e as evidências devem ser
documentadas:
(i) confirmação de que as atividades certificadas do cliente estão cobertas e válidas pelo escopo da
acreditação do organismo de certificação receptor;
(ii) confirmação de que o escopo acreditado do organismo de certificação emissor está coberto pelo
escopo de acreditação do MLA do IAF;
(iv) que o site ou sites que desejam a transferência da certificação possuem uma certificação
acreditada válida;
(v) relatórios de auditoria da certificação inicial ou recertificação mais recentes, e o relatório da última
supervisão; o status de todas as não conformidades críticas evidenciadas nos relatórios ou outros
meios disponíveis, documentação relevante relacionada ao processo de certificação. Se esses
relatórios de auditoria não estiverem disponíveis ou se a auditoria de supervisão ou recertificação
não tiver sido finalizada, como exigido pelo programa de auditoria do organismo de certificação
emissor, então a organização deve ser tratada como um novo cliente;
(viii) qualquer envolvimento atual do cliente a ser transferido com órgãos regulamentadores
relevantes para o escopo da certificação em relação à conformidade legal.
2.3.1 De acordo com o requisito 9.5.2 da ABNT NBR ISO/IEC 17021-1:2015, o organismo de
certificação receptor não deve aceitar a transferência até que:
REV. PÁGINA
NIT-DICOR-054
09 15/56
(i) tenha sido verificada a implementação de correções e ações corretivas em relação a todas as não
conformidades críticas maiores, e
(ii) tenham sido aceitos os planos de correção e ação corretiva para todas as não conformidades
menores pendentes do cliente solicitante da transferência.
A justificativa para esta decisão deve ser explicada ao solicitante da transferência e deve ser
documentada pelo organismo de certificação receptor e os registros mantidos.
2.3.3 O processo normal de tomada de decisão deve seguir de acordo com o requisito 9.5 da ABNT
NBR ISO/IEC 17021-1:2015 incluindo o fato de que o pessoal responsável pela tomada de decisão
deve ser diferente daquele que realizou a análise crítica da pré-transferência.
NOTA: O organismo de certificação receptor pode citar a data da certificação inicial da organização
nos documentos de certificação com a indicação de que a organização foi certificada por outro
organismo de certificação antes de uma determinada data.
Se o organismo de certificação receptor teve que tratar o solicitante como um novo cliente, como
resultado da análise crítica da pré-transferência, o ciclo de certificação deve começar com a decisão
pela certificação.
2.3.5 O organismo de certificação receptor deve tomar a decisão pela certificação antes que qualquer
auditoria de supervisão ou recertificação tenha sido iniciada.
2.4.2 O cliente solicitante da transferência deve autorizar que o organismo de certificação emissor
forneça as informações solicitadas pelo organismo de certificação receptor. O organismo de
certificação emissor não deve suspender ou cancelar o certificado da organização após a notificação
de que a organização está em processo de transferência para o organismo de certificação receptor,
se o cliente continua cumprindo com os requisitos de certificação.
/ANEXO C
REV. PÁGINA
NIT-DICOR-054
09 16/56
0 INTRODUÇÃO
0.1 Nos casos em que uma organização estabeleceu confiança em seu sistema de gestão (SGQ
e/ou SGA), ao demonstrar regularmente eficácia durante um período, o organismo de certificação,
sob consulta com a organização, poderá decidir aplicar os Procedimentos Avançados de Supervisão
e Reavaliação (PASR) possibilitados por este documento. Tal programa avançado de supervisão e
reavaliação poderá ter um grau de confiança maior (mas não total) nos processos de auditoria
interna e análise crítica pela administração da organização, incluir tópicos específicos para
supervisão, levar em consideração entradas específicas de projeto da organização e/ou usar outros
métodos, conforme apropriado, para demonstrar conformidade do sistema de gestão.
0.2 O objetivo deste documento é assegurar o fornecimento de uma auditoria mais eficaz e eficiente
de organizações que possuam um registro de desempenho comprovado mantendo, ao mesmo
tempo, a integridade dos respectivos certificados de sistema de gestão acreditados.
0.3 Este documento estabelece os requisitos mínimos para a aplicação do PASR. Os organismos de
certificação poderão implementar procedimentos ou ações que sejam mais restritivas do que as
contidas aqui, desde que um pedido justificável da organização para o PASR não seja indevido ou
injustamente restringido.
1 REQUISITOS MÍNIMOS
1.1 Pré-requisito
a) que esteve operando um programa de certificação acreditado para o sistema de gestão pertinente
(SGQ e/ou SGA) por no mínimo um ciclo completo de acreditação.
b) que é competente para elaborar um programa de PASR para cada organização individual, no
sistema de gestão pertinente (SGQ e/ou SGA), de acordo com os requisitos da cláusula 7.3 da NBR
ISO 9001:2000, e utilizando os critérios de entrada de projeto mencionados na cláusula 1.3.2 a
seguir.
NOTA: A referência é feita aqui à NBR ISO 9001 visto que ela especifica os requisitos para o
organismo de certificação elaborar um programa para PASR, indiferentemente se ele estiver
operando certificação de SGQ ou SGA.
REV. PÁGINA
NIT-DICOR-054
09 17/56
A competência do organismo de certificação em atender ao item 1.1 (b) anterior deve ser avaliada
pelo organismo de acreditação. Se a avaliação for bem sucedida, deve-se incluir uma referência
específica à aprovação para PASR para SGQ e/ou SGA, conforme pertinente, no escopo de
acreditação do organismo de certificação.
a) O organismo de certificação deve confirmar que o sistema de gestão da organização teve sua
conformidade demonstrada com os requisitos da(s) norma(s) aplicável(is) por um período de no
mínimo um ciclo completo de certificação incluindo as auditorias inicial, de supervisão e de
recertificação.
(i) Para um SGQ, estes indicadores de desempenho devem abordar, no mínimo, a capacidade
demonstrada da organização em fornecer regularmente produtos que atendam aos requisitos de
regulamentos aplicáveis e do cliente (veja a cláusula 1.1 da NBR ISO 9001:2000), e deve
incorporar requisitos para a melhoria contínua da eficácia do SGQ.
NOTA: Para um SGQ, entende-se por “indicador” a característica a ser medida e por “meta” os
requisitos quantitativos/qualitativos a serem atendidos.
(ii) Para um SGA, estes indicadores de desempenho devem abordar, no mínimo, a capacidade
demonstrada da organização em alcançar sua política, objetivos e metas ambientais e em atender
aos requisitos legais aplicáveis e a outros relacionados com seus aspectos ambientais (veja a
cláusula 4.3.2 da ABNT NBR ISO 14001:2004), e devem incorporar requisitos para a melhoria
contínua e prevenção da poluição.
NOTA: Para um SGA, entende-se por “indicador” a característica a ser medida e por “meta”,
usada no contexto de meta de desempenho, os requisitos quantitativos/qualitativos a serem
atendidos, que é considerada como sendo idêntica à “meta ambiental”, conforme definido na
ABNT NBR ISO 14001.
REV. PÁGINA
NIT-DICOR-054
09 18/56
e) O organismo de certificação deve ter arranjos executáveis legalmente com a organização para que
esta ofereça acesso às informações pertinentes. Para um SGQ, estas informações são todos os
dados de satisfação do cliente coletados ou disponíveis de outra forma. Para um SGA, estas
informações são todas as comunicações pertinentes de partes externas interessadas, e em particular
de autoridade(s) regulamentadora(s) pertinente(s). Quando for necessário que o organismo de
certificação comunique-se diretamente com a fonte de tais informações para validá-las, devem ser
aplicadas políticas e procedimentos de confidencialidade em comum acordo.
g) O organismo de certificação deve ter acordos contratuais vigentes que o permitam aumentar o
escopo, frequência e duração de suas auditorias no caso de uma deterioração da capacidade da
organização em atender às metas de desempenho combinadas.
Além dos critérios de entrada específicos da organização, o projeto de cada PASR individual deve
abordar os itens a seguir:
a) A frequência e duração das auditorias do organismo de certificação devem ser suficientes para
permitir que o organismo de certificação atenda a este documento de critérios, incluindo os itens b) e
c) a seguir, entre outros.
Para cada utilização proposta do PASR, o organismo de certificação deve determinar o tempo básico
de auditor (sem aplicar o PASR) usando os Documentos pertinentes dos Critérios Normativos ou da
Diretriz do IAF e, se aplicável, o Anexo A deste documento (IAF MD1: 2007) para amostragem de
multisites. Se o organismo de certificação planejar um programa PASR individual que reduza o
tempo de auditor a menos de 70% deste nível básico, o organismo de certificação deve justificar tais
reduções e solicitar aprovação específica para o organismo de acreditação antes de sua
implementação.
NOTA: os Documentos Mandatórios do IAF aplicáveis a tempo de auditor para SGQ e SGA estão em
desenvolvimento. Até que tais documentos estejam disponíveis, convém que o Anexo 2 do IAF GD2/
Anexo E da NIT-Dicor-054 (e, quando aplicável o Anexo A) continuem a ser aplicados para definir o
tempo total de auditoria (Fase 1 + Fase 2).
A saída de projeto para cada aplicação do programa PASR do organismo de certificação deve incluir
o constante nos itens de (a) a (f), a seguir:
1.5 Certificados
O organismo de certificação não deve diferenciar entre as metodologias com PASR e sem PASR nos
certificados que ele emitir.
/ANEXO D
REV. PÁGINA
NIT-DICOR-054
09 20/56
Este documento é mandatório para a consistente aplicação da ABNT NBR ISO/IEC 17021 quando
técnicas de auditoria apoiadas por computador são usadas como parte da metodologia de auditoria.
O uso de TAAC não é mandatório, mas se o organismo de certificação e seu cliente optarem por
usarem TAAC é mandatório que eles atendam a este documento e estejam aptos a demonstrar
conformidade ao organismo de acreditação.
0 INTRODUÇÃO
0.1 Como as tecnologias da informação e comunicação se tornam cada vez mais sofisticadas, é
importante para os organismos de certificação estar aptos a utilizarem “Técnicas de Auditoria
Apoiadas por Computador” para melhorar a eficácia e a eficiência da auditoria, e para apoiar e
manter a integridade do processo de auditoria.
NOTA: Diretriz sobre o uso de Técnicas de auditoria apoiadas por computador podem ser obtidas a
partir do site do Grupo de Práticas de Auditoria da ISO/IAF
www.iso.org/tc176/ISO9001AuditingPracticesGroup
0.2 Tais “Técnicas de Auditoria Apoiadas por Computador” (TAAC”) podem incluir, por exemplo:
Teleconferência,
Reuniões pela web,
Comunicações interativas pela web,
Acesso eletrônico remoto à documentação do sistema de gestão e/ou processos do sistema de
gestão.
a) Fornecer uma metodologia que seja suficientemente flexível e não-prescritiva em natureza para
satisfazer as necessidades da indústria, permitindo às organizações clientes e seus respectivos
organismos de certificação a utilizarem o TAAC para melhorar o processo de auditoria convencional,
e
b) Para assegurar que controles adequados estão nos locais com suficiente supervisão do
organismo de acreditação para evitar abusos e para prevenir pressões comerciais excessivas que
possam comprometer a integridade do processo de certificação.
1. REQUISITOS
1.1 Confidencialidade
1.2.1 Além dos requisitos da cláusula 9.1.2 da ABNT NBR ISO/IEC 17021, o plano de auditoria deve
identificar quaisquer técnicas de auditoria apoiadas por computador que serão utilizadas.
REV. PÁGINA
NIT-DICOR-054
09 21/56
1.2.2 Além dos requisitos da cláusula 9.1.3 da ABNT NBR ISO/IEC 17021, ao TAAC deve ser dada
atenção específica à habilidade dos auditores em entender e utilizar as tecnologias da informação
empregadas pela organização cliente para gerenciar seus processos de sistema de gestão.
1.2.3 Além dos requisitos da cláusula 9.1.4 da ABNT NBR ISO/IEC 17021, se o organismo de
certificação utilizar TAAC, isto pode ser considerado como parcialmente contribuindo para o total do
tempo do auditor nas instalações. Se atividades de auditoria remota representam mais do que 30%
do tempo planejado do auditor nas instalações, o organismo de certificação deve justificar o plano de
auditoria e obter aprovação específica do organismo de acreditação antes da sua implementação.
NOTAS:
1) Espera-se que esta “aprovação específica” seja feita inicialmente caso a caso, mas não exclui
uma “aprovação por completo” do organismo de acreditação para o organismo de certificação ir
além de 30% de redução uma vez que organismo de certificação tenha demonstrado que o seu
processo é robusto.
2) O tempo de auditor nas instalações refere-se ao tempo de auditor nas instalações alocado para
sites individuais. Auditorias eletrônicas de sites remotos são consideradas auditorias remotas,
mesmo se a auditoria eletrônica for conduzida fisicamente de outra instalação da organização do
cliente.
1.2.4 Além dos requisitos da cláusula 9.1.10 da ABNT NBR ISO/IEC 17021, os relatórios de auditoria
devem indicar a extensão na qual as TAAC são usadas na condução da auditoria e como isso
contribui para a eficácia e eficiência da auditoria.
1.2.5 Além dos requisitos da cláusula 9.2.21 da ABNT NBR ISO/IEC 17021, alínea a, quando o
organismo de certificação se propõe a utilizar TAAC como parte da auditoria, a análise da solicitação
deve incluir a verificação de que a organização do cliente tem a infraestrutura necessária para apoiar
esta abordagem.
1.2.6 Além dos requisitos da cláusula 9.3.2.2 da ABNT NBR ISO/IEC 17021, com relação ao uso das
TAAC, a organização deve ser fisicamente visitada, no mínimo, anualmente.
1.2.7 Além dos requisitos da cláusula 9.9.2 da ABNT NBR ISO/IEC 17021, os registros devem indicar
a extensão na qual as TAAC são usadas nas realizações da auditoria e da certificação.
/ANEXO E
REV. PÁGINA
NIT-DICOR-054
09 22/56
0. INTRODUÇÃO
2. O OAC deve identificar a duração da auditoria para a Fase 1 e Fase 2 da auditoria inicial,
auditorias de manutenção e auditorias de recertificação para cada cliente candidato e cliente
certificado.
3. Este documento obrigatório não estipula mínimo/máximo de tempo, mas fornece uma estrutura
que deve ser documentada em procedimentos e utilizada dentro de um Organismo de Certificação
para determinar a duração apropriada da auditoria, tendo em conta as especificidades do cliente a
ser auditado.
4. Para fins de aprovação, deve notar-se que não conformidade a este documento (e/ou as tabelas
incluídas) em casos individuais não faz levar automaticamente à não conformidade com a ISO/IEC
17021. No entanto, esta situação poderia ser motivo para uma investigação mais aprofundada para a
integralidade da auditoria. Uma atenção especial deve ser dada para investigar os motivos para o
desvio a partir deste documento obrigatório.
1. DEFINIÇÃO
Nota 1: Processos que devem ser realizados em um ambiente físico não podem ser considerados
como Site Virtual, por exemplo: Armazenagem, fabricação, testes físicos, laboratórios, instalação ou
reparos para produtos físicos;
Nota 2: Um site virtual (por exemplo intranet da empresa) é considerado um único site para o cálculo
de tempo de auditoria.
Atividades de alto risco (por exemplo: nuclear, médica, farmacêutica, alimentos, construção)
normalmente requerem mais tempo de auditoria. Atividades de médio risco (por exemplo: fabricação
simples) são suscetíveis de exigir um tempo médio para realizar uma auditoria eficaz e atividade de
baixo risco, um menor tempo. (Ver Anexo A, Tabela SGQ 2).
REV. PÁGINA
NIT-DICOR-054
09 24/56
2. APLICAÇÃO
2.1.1 O tempo de auditoria para todos os tipos de auditorias inclui o tempo total no local das
instalações do cliente (físico ou virtual) e o tempo gasto fora do local de realização de planejamento,
revisão de documentos, interação com o pessoal do cliente e elaboração de relatórios.
2.1.2 A duração da auditoria de certificação de sistema de gestão (1.7) normalmente não deveria ser
menor que 80% do tempo de auditoria calculado seguindo a metodologia da Seção 3. Isto se aplica à
auditoria inicial, supervisão e recertificação.
2.1.3 Viagem (em rota ou entre sites) e quaisquer paradas não estão incluídas na duração da
auditoria de sistema de gestão no local.
Nota: Ver 1.8. Pode haver um requisito legal local para inclusão de pausa para almoço.
2.2.2 O número de auditor dias alocado não deve ser reduzido na fase de planejamento quando
houver uma programação maior de horas por dia de trabalho. Considerações podem ser feitas para
permitir uma auditoria eficiente das atividades quando houver deslocamento que podem exigir horas
adicionais em um dia de trabalho.
2.2.3 Se o cálculo do resultado for um número decimal, o número de dias deve ser ajustado para o
meio-dia mais próximo (por exemplo: 5,3 auditor dia torna-se 5,5 auditor dia. 5,2 auditor dia torna-se
5,0 auditor dia).
2.2.4 Para ajudar a garantir a eficácia da auditoria, o Organismo de Certificação deve também
considerar a composição e tamanho da equipe de auditoria (por exemplo: ½ dia com 2 auditores
pode não ser tão eficaz quanto um auditor dia com 1 auditor ou um auditor dia com 1 auditor líder e 1
especialista técnico é mais eficaz que 1 auditor dia sem o especialista técnico).
Nota 2: Organismos de Certificação que trabalhem essencialmente com indústrias de alto risco ou
complexas são suscetíveis de ter uma média maior que as das tabelas e OC que trabalham
principalmente com indústrias de baixo risco são suscetíveis a ter uma média mais baixa que as
das tabelas.
REV. PÁGINA
NIT-DICOR-054
09 25/56
2.3.2 A justificativa para determinar o número efetivo de pessoal deve estar disponível para a
organização cliente e para o Organismo de Acreditação para revisão durante suas avaliações e a
pedido do Organismo de Acreditação.
3.1 A metodologia usada como base para cálculo do tempo de auditoria de sistemas de gestão
para uma auditoria inicial (Fase 1 + Fase 2) envolve o entendimento das tabelas e figuras no Anexo
A e Anexo B para auditorias SGQ e SGA, respectivamente. O Anexo A (SGQ) é baseado unicamente
no número efetivo de pessoal (ver Cláusula 2.3 para orientação do cálculo do número efetivo de
pessoal) e no nível de risco, mas não fornece a duração mínima ou máxima do tempo da auditoria.
Adicionalmente ao número efetivo de pessoal, o Apêndice B (SGA) está baseado também na
complexidade ambiental da organização e não fornece a duração mínima ou máxima do tempo da
auditoria.
Nota: A prática normal é que o tempo gasto na Fase 2 exceda o tempo gasto na Fase 1.
3.2 Usando um multiplicador adequado, as mesmas tabelas e figuras podem ser usadas como
base no cálculo do tempo de auditoria para auditorias de supervisão (Cláusula 5) e auditoria de
REV. PÁGINA
NIT-DICOR-054
09 26/56
3.3 O Organismo de Certificação deve ter procedimentos que forneçam o tempo adequado de
alocação para a auditoria de relevantes processos do cliente. Experiências têm demonstrado que
fora o número de pessoal, o tempo requerido para realização de uma auditoria eficaz depende de
outros fatores tanto para SGQ e SGA. Estes fatores são abordados com maior profundidade na
Cláusula 8.
3.4 Este documento mandatório enumera as disposições que devem ser consideradas quando se
estabelece uma quantidade de tempo necessário para realização da auditoria. Estes e outros fatores
precisam ser examinados durante o processo de análise crítica dos Organismos de Certificação e
após a Fase 1, ao longo do ciclo de certificação e recertificação, pelos seus potenciais impactos na
determinação do tempo de auditoria independentemente do tipo de auditoria. Portanto, as tabelas,
figuras e diagramas para SGQ e SGA, os quais demonstram a relação entre o número efetivo de
pessoal e a complexidade, não podem ser utilizadas isoladamente. Essas tabelas e figuras
fornecem a estrutura para o planejamento de auditoria e, portanto, ajustes necessários devem ser
feitos para a determinação do tempo de auditoria para todos os tipos de auditorias.
3.5 Para auditorias SGQ, a Figura SGQ 1 fornece o guia visual para realizar ajustes no tempo de
auditoria calculados da Tabela SGQ1 e fornece também a estrutura para um processo que deve ser
usado para o planejamento de auditorias, identificando o ponto de partida baseado no número efetivo
de pessoal de todos os turnos.
3.6 Para uma auditoria de SGA, é adequado basear o tempo de auditoria no número efetivo de
pessoal da organização e na natureza, número e gravidade dos aspectos ambientais da organização
e do setor da indústria. É recomendável que as Tabelas SGA1 e SGQ2, que fornecem a estrutura
para o processo, sejam utilizadas no planejamento da auditoria. O tempo de auditoria de sistema de
gestão deve ser ajustado com base em quaisquer fatores significativos que se apliquem
exclusivamente à organização a ser auditada.
3.7 O ponto de partida para a determinação do tempo de auditoria deve ser identificado com base
no número efetivo de pessoal, em seguida, ajustado para os fatores significativos aplicados aos
clientes a serem auditados e atribuindo a cada fator uma ponderação aditiva ou subtrativa para
modificar a figura base. Em cada situação, a base para estabelecer o tempo de auditoria de sistema
de gestão, incluindo ajustes feitos, deve ser registrada. O Organismo de Certificação deve assegurar
que qualquer variação no tempo de auditoria não levará a um comprometimento da eficácia das
auditorias. Para processos de realização do produto ou serviço operados em regime de turno, a
extensão da auditoria de cada turno pelo Organismo de Certificação depende dos processos
realizados em cada turno e do nível de controle de cada turno que é demonstrado pelo cliente. Para
a implementação de uma auditoria eficaz, pelo menos um dos turnos deve ser amostrado. A
justificativa para a não realização de auditoria em outros turnos deve ser documentada (por exemplo:
aqueles que estão fora do horário regular de expediente).
3.8 Determinações do tempo de auditoria de sistemas de gestão, usando as tabelas ou figuras dos
Anexos A e B, não incluem o tempo de "auditores em treinamento" ou o tempo de especialistas
técnicos.
3.9 A redução do tempo de auditoria de sistema de gestão não deve exceder 30% do tempo
estabelecido nas tabelas SGQ 1 ou SGA 1.
Nota: A Cláusula 3.9 pode não se aplicar às situações descritas no IAF MD1 para locais individuais
em operações multilocais onde a amostragem de sites seja permitida. Nesta situação, um número
limitado de processos está presente em tais locais e a implementação de todos os requisitos
relevantes das normas de sistemas de gestão pode ser verificada.
REV. PÁGINA
NIT-DICOR-054
09 27/56
4.2 As Tabelas SGQ 1 e SGA 1 fornecem um ponto de partida para estimar o tempo de auditoria
de uma auditoria inicial (Fase 1 + Fase 2) para auditorias SGQ e SGA, respectivamente.
4.5 Auditorias de certificação podem incluir técnicas remotas de auditoria, tais como colaboração
baseada na web interativa, reuniões por web, teleconferências e/ou verificação eletrônica de
processos do cliente (ver IAF MD4). Essas atividades devem ser identificadas no planejamento da
auditoria, e o tempo gasto nessas atividades pode ser considerado como contribuindo para a
duração total da auditoria de sistema de gestão. Se o Organismo de Certificação planejar uma
auditoria na qual as atividades remotas representem mais de 30% da duração previstas no local da
auditoria planejada, o Organismo de Certificação deverá justificar o plano de auditoria e manter os
registros de justificativa que devem estar disponíveis para o Organismo de Acreditação para
avaliação (ver IAF MD4).
Nota 3: É improvável que a duração de uma auditoria Fase 2 seja menor do que um (1) Auditor Dia.
5. SUPERVISÃO
Durante os três anos iniciais do ciclo de certificação, o tempo de auditoria de supervisão para uma
determinada organização deve ser proporcional ao tempo de auditoria gasto na auditoria de
certificação inicial (Fase 1 + Fase 2), com a quantidade total de tempo gasto anualmente em
supervisão sendo cerca de 1/3 do tempo de auditoria gasto na auditoria de certificação inicial. O
Organismo de Certificação deve obter uma atualização de dados dos clientes relacionados com seu
sistema de gestão como parte de cada auditoria de supervisão. O planejamento do tempo de
auditoria de supervisão deve ser revisto de tempos em tempos, pelo menos a cada auditoria de
supervisão e sempre no momento da recertificação, levando em conta as mudanças na organização,
maturidade do sistema, etc. A evidência de revisão, incluindo os ajustes para o tempo de auditoria,
devem ser registrados.
Nota: É improvável que uma auditoria de supervisão dure menos do que um (1) Auditor Dia.
REV. PÁGINA
NIT-DICOR-054
09 28/56
6. RECERTIFICAÇÃO
Recomenda-se que o tempo de auditoria de recertificação seja calculado com base na informação
atualizada do cliente e seja, normalmente, cerca de 2/3 do tempo de auditoria que seria necessário
para uma auditoria de certificação inicial (Fase 1 + Fase 2) da organização, se uma auditoria inicial
fosse realizada no momento da recertificação (i.e. não 2/3 do tempo de auditoria de certificação
inicial original). O tempo de auditoria de sistema de gestão deve levar em conta o resultado da
avaliação de desempenho do sistema (ABNT NBR ISO/IEC 17021 requisito 9.4.1.2). A avaliação do
desempenho do sistema em si não faz parte do tempo de auditoria para as auditorias de
recertificação.
Nota: É improvável que uma auditoria de recertificação dure menos do que um (1) Auditor Dia.
Para o segundo e subsequentes ciclos de certificação, o OC pode optar por planejar um programa
individualizado de supervisão e recertificação (ver IAF MD3 de Supervisão Avançada e
Procedimentos de Recertificação - ASRP) com a aprovação do Organismo de Acreditação. Se uma
abordagem definida no MD3 não for escolhida, o tempo de auditoria de sistema de gestão deveria
ser calculado como indicado nas Cláusulas 5 e 6.
Os fatores adicionais que precisam ser considerados incluem os abaixo, mas não se limitam a:
Nota 1: Fatores de subtração podem ser utilizados uma única vez para cada cálculo para cada
organização cliente.
9. SITES TEMPORÁRIOS
9.2 Os sites temporários podem variar de locais principais de gerenciamento de projetos para
locais de serviços / instalações menores. A necessidade de visitar esses locais e a extensão da
amostragem deveria ser baseada em uma avaliação de riscos da falha do SGQ para controlar a
saída do produto ou serviço, ou o SGA para controlar aspectos e impactos ambientais associados às
operações do cliente. A amostra de locais selecionados deveria representar a gama de necessidades
de competências do cliente e as variações de serviços, ter dado atenção aos tamanhos e tipos de
atividades, e as várias fases de projetos em andamento assim como os aspectos e impactos
REV. PÁGINA
NIT-DICOR-054
09 30/56
ambientais associados.
9.3 Normalmente são realizadas auditorias no local de sites temporários. No entanto, os métodos
seguintes podem ser considerados como alternativos para substituir algumas auditorias no local:
i) Entrevistas ou acompanhamento de reuniões da organização com clientes e/ou seus
fornecedores, em pessoa ou por teleconferência;
ii) Análise da documentação das atividades do site temporário;
iii) Acesso remoto ao site eletrônico que contenha registros ou outras informações que sejam
relevantes para a avaliação do sistema de gestão e o(s) site(s) temporário(s);
iv) Utilização de vídeo e teleconferência ou outras tecnologias que permitam uma auditoria
eficaz e que possa ser realizada remotamente.
9.4 Em cada caso, o método de auditoria deve ser devidamente documentado e justificado em
termos da sua eficácia.
10.1 No caso de um sistema de gestão operado sobre múltiplos sites, é necessário estabelecer se a
amostragem é permitida ou não.
10.2 Para a certificação de múltiplos sites onde a amostragem não for permitida, requisitos
detalhados serão melhor abordados em um novo IAF MD quando estiver disponível. O ponto de
partida para se calcular o tempo de auditoria de sistema de gestão é o total envolvido em todos os
sites, consistentes com a Tabela SGQ1 e Tabela SGQ2 para Sistema de Gestão da Qualidade e
Tabela SGA1 e Tabela SGA2 para Sistema de Gestão Ambiental.
A proporção de tempo total gasto em cada site deve levar em conta situações onde certos
processos de sistemas de gestão não são relevantes para o site.
10.3 Para a certificação de múltiplos sites onde a amostragem for permitida, requisitos detalhados
serão melhor abordados no IAF MD 1. O ponto de partida para calcular o tempo de auditoria de
sistema de gestão é o total envolvido para cada um dos sites amostrados.
O IAF MD 1 deve ser usado para selecionar sites a serem amostrados antes de se aplicar o IAF MD
5 para cada site selecionado. O tempo total nunca deveria ser menor ao que teria sido calculado para
o tamanho e complexidade da operação se todo o trabalho tivesse sido realizado em único site (IAF
MD1 – cláusula 5.3.4).
11.2 O Organismo de Certificação irá auditar e avaliar a eficácia do Sistema de Gestão dos seus
clientes na gestão de qualquer atividade fornecida e os riscos que isto representa no atendimento
aos objetivos, clientes e requisitos de conformidade.
REV. PÁGINA
NIT-DICOR-054
09 31/56
Número
Número Efetivo de Tempo de Auditoria Tempo de Auditoria
Efetivo de
Pessoal Fase 1 + Fase 2 (dias) Fase 1 + Fase 2 (dias)
Pessoal
1-5 1.5 626-875 12
6-10 2 876-1175 13
11-15 2.5 1176-1550 14
16-25 3 1551-2025 15
26-45 4 2026-2675 16
46-65 5 2676-3450 17
66-85 6 3451-4350 18
86-125 7 4351-5450 19
126-175 8 5451-6800 20
176-275 9 6801-8500 21
276-425 10 8501-10700 22
426-625 11 >10700 Seguir progressão acima
Nota 1: O número de pessoal da Tabela SGQ 1 deveria ser entendido como sequência contínua
ao invés de uma sequência escalonada. Ou seja, se plotados em um gráfico, a linha deveria
começar com os valores na faixa inferior e terminar no ponto final de cada faixa. O ponto inicial
do gráfico deve ser 1 pessoa em 1,5 dia.
Ponto de partida da
Tabela SGQ 1
Muitos processos
Responsabilidade do projeto
Poucos processos Grande escopo
Escopo pequeno
Processos Únicos
Processo repetitivo
Pequeno Simples Pequeno Complexo
Estas categorias de risco não são definitivas, elas são apenas exemplos que poderiam ser
utilizados por um Organismo de Certificação ao determinar a categoria de risco de uma auditoria.
Alto Risco
Onde a falha do produto ou serviço causa uma catástrofe econômica ou põe vidas em
risco. Exemplos incluem, mas não se limitam a:
Médio Risco
Baixo Risco
Nota 1: Espera-se que atividades de negócios definidas como baixo risco possam exigir menos
tempo de auditoria que o tempo calculado utilizando a Tabela SGQ1, atividades definidas como
médio risco terão o tempo calculado usando a Tabela SGQ1, e atividades de alto risco terão um
tempo maior.
Número Número
Tempo de Auditoria Tempo de Auditoria
Efetivo de Efetivo de
Fase 1 + Fase 2 (dias) Fase 1 + Fase 2 (dias)
Pessoal Pessoal
Alta Média Baixa Limitada Alta Média Baixa Limitado
1-5 3 2.5 2.5 2.5 626-875 17 13 10 6.5
6-10 3.5 3 3 3 876-1175 19 15 11 7
11-15 4.5 3.5 3 3 1176-1550 20 16 12 7.5
16-25 5.5 4.5 3.5 3 1551-2025 21 17 12 8
26-45 7 5.5 4 3 2026-2675 23 18 13 8.5
46-65 8 6 4.5 3.5 2676-3450 25 19 14 9
66-85 9 7 5 3.5 3451-4350 27 20 15 10
86-125 11 8 5.5 4 4351-5450 28 21 16 11
126-175 12 9 6 4.5 5451-6800 30 23 17 12
176-275 13 10 7 5 6801-8500 32 25 19 13
276-425 15 11 8 5.5 8501-10700 34 27 20 14
426-625 16 12 9 6 >10700 Seguir progressão acima
Nota 1: O tempo de auditoria é mostrado para complexidade de auditorias alta, média, baixa e
limitada.
Nota 2: O número de empregados da Tabela SGA 1 deve ser visto como um processo contínuo
ao invés de uma mudança escalonada.
– hotéis/restaurantes
Baixa – produtos de madeira, excluindo a fabricação de placas, tratamento e
impregnação da madeira
– produtos de papel, excluindo impressão despolpação e fabricação de
papel
– borracha e plástico moldagem por injeção, conformação e
montagem, excluindo fabricação de artigos de borracha e de
matérias-primas de plástico que são parte dos produtos químicos
– fabricação e formação de metal quente e frio, excluindo o
tratamento de superfície e outros tratamentos de base química e
produção primária
– montagem engenharia mecânica em geral, excluindo o
tratamento de superfície e outros tratamentos de base química
– atacado e varejo
– montagem de equipamentos elétricos e eletrônicos, excluindo
fabricação de placas de circuito impresso
Casos – nuclear
Especiais – geração de eletricidade nuclear
– armazenamento de grandes quantidades de material perigoso
– administração pública
– autoridades locais
– organizações com produtos ou serviços sensíveis ambientais,
instituições financeiras
A Tabela SGA 1 abrange as quatro categorias de complexidade acima: alta, média, baixa e
limitada. A Tabela SGA 2 fornece a ligação entre as categorias de cinco complexidades acima e
os setores de indústria que normalmente se enquadram nessa categoria.
/ANEXO F
REV. PÁGINA
NIT-DICOR-054
09 38/56
1. INTRODUÇÃO
O objetivo deste documento é fornecer uma abordagem harmonizada para como Organismos de
Acreditação avaliam um Organismo de Certificação (OC) na gestão de competência em
conformidade com a ISO/IEC 17021:2011.
2. DEFINIÇÕES
2.1 Processo de Certificação: a totalidade das funções relativas à certificação desde a recepção do
pedido até a concessão e a manutenção da certificação;
2.2 Função da Certificação: um estágio do processo de certificação, como, por exemplo, a revisão
da aplicação, auditoria, decisão da certificação (ref.: ISO/IEC 17021:2011 Anexo A);
2.3 Resultados pretendidos: as saídas de uma função de certificação que cumpram os requisitos
da norma ISO/IEC 17021:2011 e os objetivos do processo de certificação dos OCs.
3. GERAL
3.1 O OA deve verificar se o OC pode demonstrar que todo o pessoal envolvido na realização
das funções de certificação possua a competência requerida.
3.2 O OA deve verificar se o OC já tem definido seu processo de certificação, bem como os
resultados que deverão ser atingidos para cada função da certificação. A avaliação dos OAs para as
competências dos OCs devem ser baseadas em:
Por exemplo, no caso de revisão da solicitação, para determinar que o OC tenha os membros
da equipe de auditoria competentes, podem alocar e determinar o tempo de auditoria, o OA
deve verificar se o OC:
a) Definiu a intenção de resultados (ver (d) abaixo) para esta função no processo de
certificação;
b) Definiu os critérios efetivos de competência para o pessoal realizar esta função;
c) Pode fornecer evidências objetivas de que o pessoal que executa esta função demonstrou
haver cumprido os critérios de competência; e
d) Que os resultados desta função do processo de certificação alcançou os objetivos
pretendidos, por:
i) fornecer evidências de que a área(s) técnica(s) da organização a ser auditada
foi/foram corretamente alocada(s);
ii) fornecer evidência de que os auditores atribuídos possuem a competência
necessária para a área técnica apropriada; e
iii) fornecer evidências de que o tempo adequado foi alocado para a auditoria, com
base na análise das informações prestadas pelo requerente / cliente certificado e
de auditorias anteriores.
3.7 O OA deve verificar se o OC tem registros apropriados da execução de seus processos para
determinação e avaliação de competência e que o OC pode demonstrar se seus métodos de
avaliação são eficazes e alcançaram os resultados pretendidos.
4. ÁREAS TÉCNICAS
4.1 O OA deve verificar se o OC definiu as áreas técnicas que prevê a certificação acreditada e
que estas cobrem o escopo total da acreditação do OC. É de responsabilidade do OC determinar as
áreas técnicas em que atua, com base em comunhão de processos, impactos e aspectos ambientais,
risco, etc.
(a) As áreas técnicas não precisam necessariamente serem definidas usando escopos
de acreditação. É possível que um único âmbito de acreditação possa incluir mais
de uma área técnica, por exemplo, no âmbito IAF 38 * Saúde e Trabalho Social
REV. PÁGINA
NIT-DICOR-054
09 40/56
poderia incluir:
Serviços Veterinários
Serviços Hospitalares
Práticas médicas e dentais
Serviços de cuidados
Trabalho social
(b) Em alguns casos, uma única área técnica pode se referir a mais de um escopo de
acreditação. Por exemplo, a fabricação de sacos de plástico para uso em
embalagens poderia relacionar-se tanto no âmbito do SGQ escopo IAF 9 empresas
de impressão e escopo SGQ escopo IAF 14 borracha e produtos plásticos.
(a) foram formulados em termos de competência (ou seja, quais são os conhecimentos
e as habilidades necessários para aquela área técnica);
(b) cobrir todos os aspectos relevantes dessa área técnica, ou seja, ter todo o
conhecimento relevante (por exemplo, os requisitos legais, processos, produtos,
técnicas de controle) para aquela área técnica ter sido identificada.
5.2 O OA deve verificar o processo dos OCs para determinar critérios de competência, identificar
o conhecimento e as habilidades necessárias para o pessoal que executa todas as funções de
certificação em cada uma de suas áreas técnicas e para cada norma de sistema de gestão ou
especificação.
6. PROCESSOS DE AVALIAÇÃO
6.2 O OA deve verificar se o OC ao contratar pessoal externo, os mesmos foram avaliados como
competentes por outro OC acreditado, ainda assim deve executar sua própria avaliação sob seus
próprios critérios de competência. O OC pode levar em conta a avaliação (quando o histórico
completo da avaliação estiver disponível) por outro OC acreditado, porém, não apenas confiar nele,
ao realizar sua própria avaliação.
REV. PÁGINA
NIT-DICOR-054
09 42/56
6.4 Onde um esquema de certificação de pessoal não é acreditado, pode ser usado apenas
como uma indicação de que o pessoal tem certo conhecimento e habilidade, e o OA deve verificar
se o OC realizou a sua própria avaliação de competência em relação aos critérios abrangidos pelo
esquema.
ANEXO INFORMATIVO
Exemplos de resultados pretendidos de funções de certificação.
/ANEXO G
REV. PÁGINA
NIT-DICOR-054
09 44/56
Este documento é obrigatório para a aplicação consistente da ISO/IEC 17021 pelos Organismos
de Certificação (OC) ao planejar e realizar Auditorias de Sistemas de Gestão Integrados (SGI).
0. INTRODUÇÃO
Este documento fornece requisitos para a aplicação da ISO/IEC 17021 para o planejamento e
realização de auditorias de SGI e, se for o caso, a certificação do sistema de gestão de uma
organização contra dois ou mais conjuntos de critérios/normas de auditoria. Todas as cláusulas da
ISO/IEC 17021 continuam a ser aplicadas e este documento não acrescenta ou substitui qualquer
um dos requisitos nesta norma.
0.1. Este documento pode não ser aplicável a normas setoriais específicas baseadas na norma ISO
9001.
0.2. Deve ser ressaltado que o Anexo ao final deste documento também faz parte destes requisitos,
devendo ser entendido dessa forma.
1. DEFINIÇÕES
1.2. Sistema Integrado de Gestão: Um sistema de gestão único para gerenciar vários aspectos do
desempenho organizacional para atender aos requisitos de mais de uma norma de gestão, em um
determinado nível de integração (1.3). Um sistema de gestão pode consistir em um sistema
combinado de diversos sistemas de gestão distintos, para cada conjunto de critérios de
auditoria/normas, até um Sistema Integrado de Gestão compartilhando em um único sistema,
documentação, elementos de sistema de gestão e responsabilidades.
1.3. Nível de Integração: nível em que uma organização utiliza um sistema de gestão único para
gerenciar múltiplos aspectos do desempenho organizacional para atender aos requisitos de mais de
um sistema de gestão padrão. Integração refere-se ao sistema de gestão, sendo capaz de integrar a
documentação, elementos do sistema de gestão adequado e responsabilidades em relação a dois ou
mais conjuntos de padrões/critérios de auditoria.
Nota: Critérios de auditoria representam as normas de sistema de gestão utilizadas como base para
certificação e avaliação da conformidade (ex. ISO 9001, ISO 14001, ISO/IEC 20000, ISO 22000,
ISO/IEC 27001 etc.).
2. APLICAÇÃO
2.1.1. Ao definir o programa de auditoria, seja considerado o nível de integração dos sistemas de
gestão.
REV. PÁGINA
NIT-DICOR-054
09 45/56
2.1.2. Os planos de auditoria cubram todas as áreas e atividades aplicáveis para cada
norma/especificação do sistema de gestão abrangidos pelo âmbito de aplicação da auditoria, e sejam
conduzidas por auditores competentes.
2.1.3. A equipe de auditoria como um todo atenda aos requisitos de competência, estabelecidos
pelo Organismo de Certificação, para cada área técnica, relevantes para cada norma/especificação
de sistema gestão abrangida pelo escopo da auditoria do SIG.
2.1.4. A auditoria será conduzida por um líder, competente em pelo menos uma das
normas/especificações de auditoria.
2.1.5. Tempo suficiente seja alocado para realizar uma auditoria completa e eficaz do sistema de
gestão da organização para o sistema de gestão das normas/especificações abrangidas pelo âmbito
da auditoria.
2.1.5.1. Ao determinar o tempo de auditoria para uma auditoria de um SIG abrangendo duas ou mais
normas de sistema de gestão/especificações, por exemplo, A + B + C, o Organismo de Certificação
deve:
a) calcular o tempo de auditoria necessário para cada norma/especificação de sistema
de gestão separadamente (aplicação de todos os fatores relevantes previstos pelos
documentos e/ou regras do esquema de certificação para cada padrão, ex., IAF MD5,
ISO/TS 22003, ISO/IEC 27006);
b) calcular o ponto de partida (T) para a duração da auditoria do SIG, adicionando a
soma das partes individuais (ex. T = A + B + C);
c) ajustar a figura do ponto de partida, considerando os fatores que podem aumentar ou
reduzir (ver Anexo 1) o tempo necessário para a auditoria.
2.1.5.2. A auditoria de um SIG pode resultar em aumento do tempo de auditoria, mas quando
resultar em sua redução, esta não poderá ultrapassar a 20% do ponto de partida T (2.1.5.1b).
2.1.5.3. A figura de ponto de partida e a justificativa para o acréscimo ou redução de tempo devem
ser documentados.
2.2. Os documentos aplicáveis existentes (por exemplo, documentos obrigatórios IAF) relativos a
normas/especificações de auditorias de sistemas de gestão devem ser considerados ao elaborar a
programação de auditorias e planos de auditoria para um SIG.
2.4. Relatórios de auditoria podem ser integrados ou separados, no que diz respeito aos sistemas de
gestão auditados. Cada constatação apontada em um relatório integrado deve ser rastreável em
relação à norma/especificação de sistema de gestão correspondente.
2.5. O Organismo de Certificação deve considerar o impacto que uma não conformidade encontrada
em relação a uma das normas/especificações do sistema de gestão terá sobre a conformidade com
outras normas/especificações do sistema de gestão.
O Organismo de Certificação deve confirmar que o nível de integração permaneça inalterado durante
todo o ciclo de certificação, para assegurar que os tempos de duração de auditoria estabelecidos
ainda continuam aplicáveis.
Se a certificação com base em uma ou mais normas/especificações de sistema de gestão for objeto
de suspensão, redução ou cancelamento, o Organismo de Certificação deve avaliar o impacto disto
sobre a certificação nas outras normas/especificações de sistema de gestão.
A figura 1 ilustra a redução (%) no tempo de duração de uma auditoria integrada e sua relação com:
Eixo Vertical: nível de integração do sistema de gestão de uma organização (ver abaixo) que deve
incluir a consideração da capacidade da organização auditada em responder a perguntas com multi-
aspectos. Um Sistema Integrado de Gestão resulta de quando uma organização utiliza um sistema
de gestão único para gerenciar vários aspectos do desempenho organizacional. Este é caracterizado
por (mas não se limita a):
1. Um conjunto integrado de documentação, incluindo instruções de trabalho para um bom nível de
desenvolvimento, conforme apropriado;
2. Análises críticas da direção considerando a estratégia geral e o plano de negócios;
3. Uma abordagem integrada de auditorias internas;
4. Uma abordagem integrada de políticas e objetivos;
5. Uma abordagem integrada de processos de sistemas;
6. Uma abordagem integrada de mecanismos de aperfeiçoamento (ações corretivas e preventivas;
monitoramento e melhoria contínua); e
7. Gestão integrada de suporte e responsabilidades.
O Organismo de Certificação tem que decidir o percentual de nível de integração baseado na medida
pela qual o sistema de gestão da organização atenda aos critérios acima.
e com
Eixo Horizontal: a medida dada como uma razão a ser multiplicada por um fator de 100 a fim de se
obter o valor usado como percentual, na qual cada membro individual da equipe de auditoria está
qualificado:
Exemplo:
Uma equipe de auditoria integrada composta de três auditores que abrangem três diferentes normas
de sistema de gestão. Um auditor está qualificado para todas as três normas, um auditor está
qualificado para duas das normas e outro auditor está qualificado para uma única norma.
O valor percentual a ser utilizado para o eixo horizontal é:
Este documento é obrigatório para a aplicação consistente da ISO/IEC 17021. Todas as cláusulas da
ISO/IEC 17021 permanecem aplicáveis e este documento não substitui nenhum dos requisitos
daquela norma.
1. ESCOPO
Este documento oferece orientação para organismos que fornecem auditoria e certificação de
sistemas de gestão de serviços de tecnologia da informação (SGSTI, ISO/IEC 20000-1:2011), e
especifica requisitos adicionais aos requisitos contidos na ISO/IEC 17021. Ele é voltado basicamente
a auxiliar na acreditação de organismos que fornecem certificação de SGSTI.
2. REFERÊNCIAS NORMATIVAS
ISO/IEC 20000-1:2011 Tecnologia da Informação – Gestão de Serviços – Parte 1: Requisitos de
Sistemas de Gestão de Serviços
3. TERMOS E DEFINIÇÕES
4. PRINCÍPIOS
Os princípios da ISO/IEC 17021, Cláusula 4, permanecem aplicáveis.
5. REQUISITOS GERAIS
Os requisitos da ISO/IEC 17021, Cláusula 5, permanecem aplicáveis.
6. REQUISITOS ESTRUTURAIS
Os requisitos da ISO/IEC 17021, Cláusula 6, permanecem aplicáveis.
7. REQUISITOS DE RECURSOS
Nota: ISO/IEC 17021 Anexo A - Os requisitos específicos de SGSTI e orientações, a seguir, são
aplicáveis.
Os requisitos da ISO/IEC 17021, Cláusula 7.2.8, permanecem aplicáveis. Além disso, os requisitos
específicos de SGSTI e orientações a seguir, também são aplicáveis.
Desenvolvimento profissional contínuo pode, por exemplo, incluir, mas não se restringir, a:
i. experiência profissional complementar;
ii. participação em cursos de treinamento;
iii. coaching;
iv. estudo individual; e
v. participação em eventos, seminários ou outras atividades relevantes.
8. REQUISITOS DE INFORMAÇÃO
8.5. Confidencialidade
Os requisitos da ISO/IEC 17021, Cláusula 8.5, permanecem aplicáveis. Além disso, os requisitos
específicos de SGSTI e orientações, a seguir, são aplicáveis.
9. REQUISITOS DE PROCESSO
9.1.2. Os requisitos da ISO/IEC 17021, Cláusula 9.1.2, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
A equipe auditora deve auditar o SGSTI da organização cliente coberto pelo escopo definido, contra
todos os requisitos de certificação aplicáveis. O Organismo de Certificação deve assegurar que o
escopo e limites do SGSTI da organização cliente estejam claramente definidos em termos das
características do negócio, da organização, de sua localização, bens e tecnologia e nos termos da
REV. PÁGINA
NIT-DICOR-054
09 50/56
ISO/IEC 20000-3. O organismo de certificação deve confirmar que a organização cliente segue os
requisitos declarados no escopo de seu SGSTI.
9.1.4. Os requisitos da ISO/IEC 17021, Cláusula 9.1.4, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações a seguir, são aplicáveis.
O tempo alocado deve considerar os seguintes fatores específicos de SGSTI:
i. tamanho do escopo do SGSTI;
ii. complexidade do SGSTI e a complexidade do(s) serviço(s) prestado(s) pela organização
cliente;
iii. natureza do(s) negócios realizado(s) no âmbito do escopo do SGSTI;
iv. extensão e diversidade da tecnologia utilizada na implementação dos diversos componentes
do SGSTI;
v. número de sites;
vi. desempenho previamente demonstrado do SGSTI;
vii. abrangência dos SLAs e acordos de terceira parte utilizados dentro do escopo do SGSTI;
viii. normas e regulamentos aplicáveis à certificação; e
ix. número de outras partes envolvidas, tais como fornecedores, grupos internos ou
consumidores agindo como fornecedores, envolvidos na prestação dos serviços.
9.1.5. Os requisitos da ISO/IEC 17021, Cláusula 9.1.5, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
9.1.10. Os requisitos da ISO/IEC 17021, Cláusula 9.1.10, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
9.2.3.1.1. Os requisitos da ISO/IEC 17021, Cláusula 9.2.3.1.1, permanecem aplicáveis. Além disso,
os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
Nesta fase da auditoria, o Organismo de Certificação deve obter documentação sobre o projeto do
SGSTI abrangendo a documentação requerida na Cláusula 4.3.1 da ISO/IEC 20000-1.
REV. PÁGINA
NIT-DICOR-054
09 51/56
O objetivo da auditoria fase 1 é dar foco no planejamento da auditoria fase 2 a partir do entendimento
do SGSTI obtido no contexto das políticas e objetivos de SGSTI da organização cliente e, em
particular, sobre o estágio de preparação da organização cliente para auditoria.
A auditoria fase 1 deve incluir, mas não se restringir à análise da documentação. O Organismo de
Certificação deve acertar com a organização cliente quando e onde a análise da documentação será
realizada. Em qualquer caso, a análise da documentação deve ser concluída antes do início da
auditoria fase 2.
O Organismo de Certificação deve manter a organização cliente ciente dos demais tipos de
informação e registros que podem ser requeridos para verificação detalhada durante a auditoria fase
2.
Os requisitos da ISO/IEC 17021, Cláusula 9.2.3.2, permanecem aplicáveis. Além disso, os requisitos
específicos de SGSTI e orientações, a seguir, são aplicáveis.
/ANEXO I
REV. PÁGINA
NIT-DICOR-054
09 52/56
1. INTRODUÇÃO
2. DEFINIÇÕES
2.1 Organização
Pessoa ou grupo de pessoas que tem suas próprias funções com responsabilidades, autoridades e
relacionamentos para alcançar seus objetivos.(Fonte: Definição 3.1 do Anexo SL de Diretivas ISO)
Nota 1: Um exemplo desse site virtual é uma organização de design e desenvolvimento com todos
os funcionários executando trabalho localizado remotamente, trabalhando em um ambiente em
nuvem.
Nota 2: Um site não pode ser considerado um site virtual onde os processos devem ser executados
em um ambiente físico, por exemplo, armazenagem, fabricação, testes físicos, laboratórios,
instalação ou reparação de produtos físicos.
Nota 3: Um site virtual é considerado um único site para o propósito de cálculo do Tempo de
Auditoria.
REV. PÁGINA
NIT-DICOR-054
09 53/56
Nota: Tais processos, às vezes, são referenciados como “processos principais ou de maior valor
agregado”, normalmente abordados no Anexo SL nos termos da Cláusula 8.
3. ANÁLISE DA ABRANGÊNCIA
Este documento aborda auditoria (para fins de certificação da terceira parte) de uma Organização
que realiza atividades planejadas, controladas e realizadas por uma rede multi-sites,
independentemente de serem permanentes, temporários ou virtuais.
Qualquer site pode realizar total ou parcialmente as atividades abrangidas pelo escopo do Sistema
de Gestão.
No entanto, este documento aborda a situação em que a aplicação da amostragem multi-site não é
apropriada durante o planejamento e a condução da auditoria. Podem haver várias razões para isso,
tais como:
Quaisquer considerações legais relativas ao sistema de gestão da organização que sejam aplicadas
a uma única entidade jurídica ou múltiplas entidades legais são geralmente irrelevantes para a
auditoria de sistema de gestão, e, salvo indicação em contrário, não estão cobertos no presente
documento.
É o Sistema de Gestão da organização que deve ser auditado e certificado; além disso, por
definição, uma auditoria do Sistema de Gestão é baseada apenas em uma amostragem de
informação disponível.
Se tomarmos o exemplo de uma auditoria SGQ de uma organização de fabricação com 4 diferentes
linhas de produção. Todos os 4 precisarão ser auditados independentemente do fato de estarem em
um site único ou em locais a quilômetros de distância; mesmo se a logística da auditoria necessite
ser adequada às distâncias geográficas, o tempo de auditoria no local não deve variar
significativamente.
- determinar os fatores críticos a serem avaliados para uma auditoria eficiente e efetiva,
dependendo do tipo de sistema de gestão que está sendo auditado;
- selecionar os membros da equipe de auditoria tendo em conta o acima;
- atribuição de tempo de auditoria no local suficiente
4.1 Geral
4.1.1 Todos os requisitos adequados da ISO/IEC 17021-1 devem ser aplicados, além das
Metodologias abaixo.
4.2.1 A organização deve identificar a sua função central responsável pelo sistema de gestão.
4.2.2 A função central deve ter autoridade organizacional para definir, estabelecer e manter o
sistema de gestão.
4.2.3 O sistema de gestão da organização deve estar sujeito a uma análise crítica.
4.2.4 Todos os sites devem estar sujeitos ao programa de auditoria interna da organização.
4.2.5 A função central será responsável por garantir que os dados sejam coletados e analisados de
todos os sites e deve ser capaz de demonstrar sua autoridade e capacidade de iniciar mudanças
organizacionais conforme exigido, no entanto, não limitado a:
4.3.1 O Organismo de certificação deve obter informações relevantes sobre a organização para:
- determinar o escopo do sistema de gestão que está sendo operado e o escopo solicitado da
certificação;
- compreender os acordos legais e contratuais que ligam os diferentes sites implementando o
Sistema de Gestão;
- entender “o que acontece e onde”, ou seja, determinar interfaces entre os diferentes sites e
atividades e identificar qualquer duplicação de atividades em sites separados;
- levar em consideração outros fatores relevantes (ver também IAF MD5, ISO/IEC TS 17023);
- determinar o tempo de auditoria e determinar a competência da equipe de auditoria necessária;
- determinar o programa de auditoria.
Nota: técnicas de auditoria remotas podem ser usadas, desde que os processos a serem auditados
sejam de tal natureza que a auditoria remota seja apropriada (veja ISO/IEC 17021-1).
i. Incluir durante cada auditoria todos os Processos Primários, conforme desempenho de cada
site;
ii. Incluir todos os processos de Avaliação e Melhoria do Desempenho durante cada Auditoria
inicial e de recertificação e pelo menos uma outra vez durante uma auditoria de supervisão em
cada ciclo de certificação;
iii. Incluir os Processos Secundários da seguinte maneira:
4.3.5 Quando forem usadas equipes de auditoria consistindo em mais de um membro será
responsabilidade do Organismo de Certificação, em conjunto com o Líder da Equipe, identificar a
competência técnica necessária para cada parte da auditoria e para cada site e alocar membros da
equipe apropriados para cada parte da auditoria.
Nota: Os processos não primários referidos aqui significam a Avaliação de Desempenho E Melhoria
de processos, bem como os Processos Secundários.
No resultado da auditoria inicial, a equipe auditora deve documentar quais processos foram
auditados em cada site. Esta informação será usada para alterar planos de auditoria para posteriores
auditorias de manutenção.
REV. PÁGINA
NIT-DICOR-054
09 56/56
4.6.1 O Organismo de certificação deve atribuir tempo suficiente no local para auditar todos os
Processos Primários bem como outros processos em cada site (ver 4.5). Os Processos Secundários
podem ser amostrados desde que seja realizada uma amostragem significativa para avaliar a
conformidade com os requisitos de sistema de gestão (veja também o requisito 9.6.2.2 da ISO/IEC
17021-1). O Organismo de Certificação deve garantir que a seleção dos processos auditados ao
longo do ciclo de 3 anos é razoavelmente representativa do Sistema de Gestão.
4.6.2 A quantidade do tempo de auditoria atribuído a cada site deve depender se esse site está
executando Processos Primários ou não.
O Organismo de certificação deve levar em consideração quais processos foram auditados e em qual
site durante o Ciclo atual.
5.1 As normas ISO relevantes, documentos IAF (principalmente IAF MD5) e, onde necessário,
quaisquer requisitos aplicáveis do esquema, em conjunto com os requisitos neste documento devem
ser utilizados para calcular o tempo total de auditoria para o Sistema de Gestão, independentemente
do número de sites.
Este tempo de auditoria nunca deve ser inferior ao que teria sido calculado para o tamanho e
complexidade da operação se todo o trabalho tivesse sido realizado em um único site (isto é, com
todos os funcionários da empresa no mesmo site).
Nota: é improvável que a abordagem “um terço” para o tempo de auditoria de manutenção e os “dois
terços”, para o tempo de auditoria de recertificação em sites únicos, sejam adequados, e deve-se ter
em consideração o tempo necessário para reunião de abertura e encerramento no local, processos
duplicados, variedade de Processos Primários a serem auditados, etc., como indicado no IAF MD5
para logística complicada.
6. DOCUMENTOS DE CERTIFICAÇÃO
6.1 O documento de certificação deve refletir o escopo da certificação e os sites, entidades jurídicas
auditadas e certificadas pelo Organismo de certificação.
________________________________________