A Norma NBR ISO 19011:2012
Transcrição
A Norma NBR ISO 19011:2012
Coleção Risk Tecnologia Manual de Auditoria de Sistemas de Gestão (ISO 9001, ISO 14001, OHSAS 18001, etc.) Baseado nas novas normas NBR ISO 19011:2012 e NBR ISO/IEC 17021:2011 REVISÃO TÉCNICA: Francesco De Cicco – Diretor-Executivo do QSP – Centro da Qualidade, Segurança e Produtividade para o Brasil e América Latina. Todos os direitos reservados. É expressamente proibida a reprodução total ou parcial desta publicação, sem a prévia autorização do editor. Copyright 2012 by Risk Tecnologia Editora Ltda. Fone: (11) 3704-3200. 2003. 2ª Edição - Agosto de 2012. Risk Tecnologia Risk Tecnologia 2 Índice 1 Introdução à Auditoria 1.1. Apresentação 1.2. O que é uma auditoria? 1.3. Por que realizar auditorias? 1.4. Quando realizar auditorias? 1.5. Que resultados uma auditoria pode apresentar? 1.6. Classes de auditoria 1.7. Escopo e profundidade 1.8. Tipos de auditoria 1.9. PPP 2 Papéis, Responsabilidades e Habilidades do Auditor 2.1. Papéis e responsabilidades do auditor 2.2. Papéis e responsabilidades do líder da equipe de auditoria 2.3. Habilidades e competências de auditores 2.4. Deveres do coordenador de auditorias 3 Processo de Auditoria Externa 3.1 Planejamento 3.2 Realização 3.3 Relato 3.4 Follow-up 4 Processo de Auditoria Interna 4.1 Planejamento e preparação 4.2 Realização 4.3 Relato 4.4 Follow-up 4.5 Monitoramento e análise crítica 5 Técnicas de Entrevista 5.1 Introdução 5.2 Finalidade das perguntas 5.3 Estilo de fazer perguntas 5.4 Tipos de perguntas 5.5 Conclusão 5.6 Exemplos de perguntas Risk Tecnologia 3 6 Entrevista da Auditoria 6.1 Introdução 6.2 Preparação do ambiente para uma entrevista eficaz 6.3 Etapas da entrevista da auditoria 6.4 Ouvir ativamente 6.5 Como lidar com as perguntas do auditado 7 Como Administrar Situações Difíceis da Auditoria 8 Elaboração do Relatório da Auditoria 9 Amostra de Entrevista de Auditoria Interna Apêndices A B C D E Modelos de Formulários A Norma NBR ISO 19011:2012 A Norma NBR ISO/IEC 17021:2011 Frequência para Análise Crítica de Processo Glossário Complementar AMOSTRA: veja a seguir Risk Tecnologia 4 5 Técnicas de Entrevista 5.1 Introdução Os auditores podem ter diversas atitudes durante uma entrevista. Essas atitudes irão influenciar não somente o tipo de perguntas utilizadas para coletar informações, mas também a maneira como as perguntas serão feitas. Se o auditor tiver uma abordagem do tipo ‘inspetor’, ele tornará a entrevista uma caça às bruxas, procurando erros e discrepâncias em relação aos procedimentos. Quando o auditor assume essa postura em uma entrevista (ou tem a reputação de fazê-lo), ele pode fazer com que o auditado fique na defensiva, seja hostil ou tente esconder algo. Por outro lado, se o auditor realizar a entrevista com uma atitude ‘participativa’, ou seja, em busca de ajuda, opiniões, sugestões e cooperação, aumenta a possibilidade de que o auditado se mostre aberto, sincero e à vontade. É importante lembrar que a entrevista de uma auditoria é um exercício de comunicação e que a comunicação é um processo de duas vias. Fazer o tipo certo de perguntas é uma das chaves para facilitar a entrevista, de modo a atingir seu objetivo. 5.2 Finalidade das perguntas O auditor faz perguntas com o intuito de: • Coletar as informações necessárias • Esclarecer o que compreendeu • Verificar se o que ouviu está correto 5.3 Estilo de fazer perguntas Os auditores que têm uma abordagem participativa utilizam perguntas que envolvem o auditado, mas também adotam um estilo ou tom que é adequado à finalidade da pergunta. Um auditor com abordagem participativa faz as perguntas de modo a: • Fazer com que o auditado perceba que o auditor está realmente interessado na resposta • Ser simpático e não assumir uma postura arrogante ou que menospreze o auditado • Ser profissional sem ser frio nem indiferente • Dar tempo para que o auditado formule sua resposta, e não fazer as perguntas ininterrupta e rapidamente, o que poderia soar como um interrogatório ou sabatina • Mostrar-se natural e agir de acordo com as respostas do auditado, em vez de esforçar-se inflexivelmente e seguir uma lista de perguntas definidas previamente, que tenham que ser feitas independentemente de sua pertinência • Ser firme e persistente com um auditado difícil ou evasivo, sem ‘facilitar sua vida’ Risk Tecnologia 5 5.4 Tipos de perguntas Como mencionado anteriormente, o objetivo da realização de entrevistas é coletar as informações necessárias. As 3 perguntas mais apropriadas para que isso seja conseguido são: 1. Perguntas abertas 2. Perguntas elucidativas 3. Perguntas fechadas Os tipos de perguntas a evitar são: 4. Perguntas indutivas 5. Perguntas provocativas 6. Perguntas múltiplas Perguntas Apropriadas 1. Perguntas Abertas Perguntas abertas têm a finalidade de estimular o raciocínio e fazer com que o auditado fale. As perguntas abertas têm que ser formuladas de modo que seu objetivo fique claro e não ambíguo ou confuso. Perguntas abertas eficazes deixam o auditado à vontade e o estimulam a falar abertamente sobre suas opiniões e sobre como as atividades são realizadas. Esse tipo de pergunta permite que o auditado fale mais e diminui o número de perguntas que o auditor precisa fazer. As perguntas abertas geralmente começam com: Como, O que, Quando, Onde, Por que, Diga-me, Mostre-me, Descreva Exemplos: “Diga-me qual procedimento você segue.” “Mostre-me como isso funciona.” “Como esses resultados de ensaios são processados?” “Onde este formulário foi elaborado?” “O que você faz quando ...?” Perguntas a Evitar 1. Perguntas Indutivas Perguntas indutivas ou perguntas respondidas sugerem ao auditado a resposta ‘certa’ ou ‘politicamente correta’ que ele deve dar. Esse tipo de pergunta deve ser evitado, pois pode distorcer muito o tipo de informação obtida. O auditado é influenciado a projetar uma imagem o mais favorável possível de si mesmo, ainda que essa imagem não seja verdadeira. Exemplos: “Essa amostra é sempre coletada às 3 da tarde, não é?” “Eu imagino que você saiba que isso infringe a legislação de segurança.” “É claro, isso seria óbvio para você, esta é a etiqueta errada.” Risk Tecnologia 6 5.6 Exemplos de perguntas O que: “O que acontece no próximo processo?” “O que acontece se não for aprovado?” “O que acontece em seguida?” “O que você faz quando...?” “O que você faz se os números não batem?” Por que: “Por que essas peças não estão na área de quarentena?” “Por que isso poderia causar problema?” “Por que você não leva em consideração a ‘data solicitada’?” Quando: “Quando você envia os registros de mercadorias para o setor administrativo?” “Quando você aprova o pedido?” “Quando você informa ao seu supervisor?” “Quando esses medicamentos são ministrados?” “Quando esses materiais são enviados para a produção sem inspeção?” Como: “Como a documentação é obtida?” “Como esse medidor identifica peças maiores do que o previsto?” “Como o operador é instruído?” “Como você obtém a aprovação do cliente?” “Como é definida a frequência para esterilizar esta área?” Mostre-me: “Mostre-me uma cópia do procedimento.” “Mostre-me os registros de alta do paciente.” “Mostre-me os registros de calibração deste instrumento.” “Mostre-me como você executa essa operação.” “Mostre-me os registros de pH do efluente.” “Mostre-me onde você arquiva os pedidos de compras.” “Mostre-me os registros dos impostos sobre a folha de pagamento do último ano fiscal.” Diga-me: “Diga-me como você processa o pedido de um cliente.” “Diga-me como a amostra é aprovada.” “Diga-me quem participa das reuniões de análise crítica.” “Diga-me onde você arquiva os registros de incidentes.” “Diga-me como são avaliadas as necessidades de treinamento de cada pessoa.” 6 Entrevista da Auditoria 6.1 Introdução A Entrevista da Auditoria pode ser uma experiência ameaçadora e que causa ansiedade tanto para o auditado quanto para o auditor. Os auditados normalmente ficam preocupados com a forma como serão vistos pelo auditor, por seus gerentes e por eles próprios caso sejam ‘reprovados’. O auditor tem que ter muita habilidade para se relacionar com as pessoas, para que possa estabelecer credibilidade, confiança e segurança. Embora haja a necessidade de ser Risk Tecnologia 7 formal e objetivo, o auditor também deve ser respeitável e demonstrar empatia com o auditado. Deve-se lembrar que é a qualidade da relação estabelecida entre o auditado e o auditor ou a equipe de auditoria que irá proporcionar uma comunicação aberta e direta. O objetivo é estabelecer uma relação de colaboração que propicie um fluxo adequado de informações, e que faça com que os auditados acreditem que o auditor está realmente interessado em conhecer a forma como executam o processo e que não está lá somente para ‘pegá-los’. Demonstrar respeito e empatia em relação ao auditado pode ser mais fácil na teoria do que na prática. É importante que o auditor compreenda seus valores e atitudes pessoais e reconheça quanto eles interferem no processo da entrevista. Essa interferência pode ocorrer de duas maneiras: 1. Com o auditor impondo seus valores e atitudes ao auditado e, dessa forma, perdendo sua objetividade e imparcialidade. Por exemplo, uma experiência anterior em que o auditor recebeu produtos ruins daquela área. 2. Com o auditado projetando para o auditor seus valores, atitudes e insegurança e o auditor levando isso para o lado pessoal. Por exemplo, o auditado fica irritado e o auditor reage passivamente, amenizando a situação e evitando abordar o problema. 6.4 Ouvir ativamente Embora fazer as perguntas certas seja essencial para facilitar a entrevista da auditoria, só isso não basta. Ouvir as respostas do auditado ativamente permite ao auditor saber quando interromper uma série de perguntas ou quando partir para a busca de informações diferentes. O auditor transmite uma mensagem forte de valorização do auditado, não somente por ouvir, mas também por entender o que é dito. Ouvir tentando entender requer a utilização do corpo todo. Dar uma resposta verbal e não-verbal, bem como fazer perguntas eficazes, são componentes do processo de ouvir ativamente. Um ouvinte ativo aprende a ir além da interpretação das palavras, interpretando os sentimentos ocultos do auditado, bem como suas idéias e preocupações não expressas ou expressas parcialmente. Quando o auditor ouve ativamente, ele transmite ao auditado sua sinceridade ao refletir com ele o que foi dito ou percebido. 6.5 Como lidar com as perguntas do auditado Se o auditado fizer perguntas, nem sempre é conveniente respondê-las, especialmente se elas se referirem diretamente ao procedimento que está sendo auditado. Convém que o auditor devolva a pergunta ao auditado, sem fazer isso com muita frequência, para não dar a impressão de que o auditor não tem resposta para nada. Por exemplo: Risk Tecnologia [Auditado] “O que o procedimento pede para eu fazer na sequência?” [Auditado] “O que você acha que eu poderia modificar na execução desse processo?” 8 7 Como Administrar Situações Difíceis da Auditoria Apesar de toda a preparação, planejamento e boa-vontade de sua parte como Líder da Equipe de Auditoria, ainda assim é possível que você enfrente situações nas quais a auditoria não transcorra da maneira planejada. O auditor pode ter informado que "Esta auditoria irá analisar o processo/procedimento, e não você como indivíduo" e, mesmo assim, se deparar com atitudes hostis, evasivas, não-cooperativas ou com um estado de nervosismo óbvio. Como lidar com esse tipo de situação e o que fazer ou dizer? A primeira coisa que deve ser aqui ressaltada é que todo comportamento tem um motivo. Normalmente, as pessoas reagem com estilos de comunicação passivos ou agressivos, quando se sentem vulneráveis ou ansiosas. O objetivo de ambos os estilos de comunicação é defender e proteger o indivíduo de alguma ameaça que tenha sido identificada. E por que as pessoas se sentem vulneráveis e ansiosas? 9 Amostra de Entrevista de Auditoria Interna Auditoria de Processo de um Procedimento de Processamento de Pedidos Auditora: “Bom dia, Paulo. Eu estou aqui para analisar criticamente o procedimento de Processamento de Pedidos” Auditado: “Bom dia, Márcia. O William me disse que você viria fazer algumas perguntas. Sente-se, por favor. Em que posso ajudá-la?” Auditora: “Você pode me explicar como você recebe os pedidos de compra dos clientes e o que você faz com eles?” Auditado: “Os pedidos são recebidos de três maneiras: por e-mail, por fax ou por telefone. Quando eu recebo um e-mail ou fax, verifico os dados, tais como nome do cliente, endereço para entrega, data solicitada, código do produto, descrição e quantidade solicitada. Depois passo essas informações para o computador. Se tiver sido recebido por e-mail, salvo-o na pasta do cliente no diretório ‘Pedidos Digitados’. Se for um fax, escaneio-o para a pasta do cliente e destruo o original.” Auditora: “O que você faz se identificar algum erro no pedido?” Auditado: “Ligo para o cliente e faço as alterações no e-mail ou fax antes de digitar as informações no computador.” Auditora: “Posso ver alguns pedidos que você processou no início desta semana?” Auditado: “Claro. Este é o diretório de ‘Pedidos Digitados’. Você gostaria de verificar algum cliente em especial?” Auditora: “Não. Vou selecionar este aqui e este outro.” (A auditora verifica alguns emails e fax e anota os números dos pedidos, o nome dos clientes e as datas em sua Lista de Verificação). “Ótimo. Estão OK. Obrigada, Paulo.” “E o que você faz se o pedido for recebido por telefone?” (continua...) Risk Tecnologia 9 Apêndice B A Norma NBR ISO 19011:2012 NBR ISO 19011:2012 | Projeto Final Diretrizes para auditoria de sistemas de gestão APRESENTAÇÃO 1) Este Projeto de Revisão foi elaborado pela Comissão de Estudo de Tecnologia de Suporte (CE-25:000.03) do Comitê Brasileiro da Qualidade (ABNT/CB-25). 2) Este Projeto de Revisão/Emenda é previsto para cancelar e substituir a edição anterior (ABNT NBR 19011:2002), quando aprovado, sendo que nesse ínterim a referida norma continua em vigor; 3) Previsto para ser equivalente à ISO 19011:2011; 4) Não tem valor normativo; 5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta informação em seus comentários, com documentação comprobatória; 6) Este Projeto de Norma será diagramado conforme as regras de editoração da ABNT quando de sua publicação como Norma Brasileira. NOTAS: ** Este projeto final da NBR ISO 19011:2012 corresponde a cerca de 95% do texto oficial da norma, que foi publicada pela ABNT em abril de 2012. ** A norma oficial é comercializada exclusivamente pela ABNT: http://www.abnt.org.br. Risk Tecnologia 10 Frequência para Análise Crítica de Processo Apêndice D A tabela a seguir pode ser utilizada para avaliar o nível de risco de um processo e estabelecer a frequência das auditorias. • Gravidade = Nível de impacto que o processo tem sobre os resultados do negócio 1 = Não grave, 10 = Extremamente grave • Estabilidade = O quanto um processo é estável ou não apresenta problemas 1 = Instável, 10 = Muito estável • Repetitividade = Com que frequência o processo ocorre Muito frequente = Muitas vezes ao dia Frequente = Muitas vezes ao mês Ocasional = Algumas vezes ao ano Infrequente = Uma vez ao ano ou menos ou apenas em circunstâncias especiais • Risco = Nível de risco que um processo tem sobre o negócio Mínimo, Baixo, Normal, Alto, Extremo • Período para Análise Crítica = Intervalo para análise crítica com base no nível de risco 1, 2, 3, 4, 6, 9, 12, 15, 18 ou 24 meses Selecione a gravidade e a estabilidade do processo e a frequência de repetição, para identificar o nível de risco e o período para análise crítica recomendável. Gravidade Estabilidade 1a2 1 a 10 3 1a3 Repetitividade Risco Período Muito frequente Frequente Ocasional Infrequente Muito frequente Frequente Ocasional Infrequente Mínimo Mínimo Mínimo Mínimo Baixo Baixo Baixo Baixo 12 meses 15 meses 18 meses 24 meses 6 meses 9 meses 12 meses 18 meses PARA ADQUIRIR O MANUAL: (11) 3704-3129 | http://loja.risktecnologia.com.br Risk Tecnologia 11