Caro leitor: antes de você iniciar a leitura deste texto, chamo a atenção de que este não é um artigo resumido com alguns comentários sobre as principais mudanças da norma. Este tem a intenção de ser um texto completo, percorrendo, cláusula a cláusula da norma, destacando e comentando as suas mudanças em relação à versão anterior. Trata-se de documento para estudo aprofundado da nova versão da ISO 19011:2018.

 

Após ter sido publicada pela ISO – International Organization for Standardization em julho de 2018, a ISO 19011:2018 – Diretrizes para auditoria de sistemas de gestão – foi publicada no Brasil pela ABNT – Associação Brasileira de Normas Técnicas em dezembro de 2018, oficializando a terceira edição desta norma, que cancela e substitui a edição anterior (ABNT NBR ISO 19011:2012), a qual foi considerada “tecnicamente revisada” – o que, para efeitos práticos, significa que a antiga ISO 19011:2012 não tem mais aplicabilidade.

Motivos da Revisão

Dentre os vários motivos para a atualização da norma ISO 19011, estão o avanço nas tecnologias de informação e o uso de técnicas de auditoria apoiadas por computador (TAAC), o surgimento de outras normas de sistemas de gestão, bem como o alinhamento das mesmas em estrutura e terminologia com o advento das Diretivas ISO – Parte 1 – Anexo SL, que estabelece o High Level Structure (Estrutura de Alto Nível), que padroniza a estrutura da norma e títulos de subcláusulas, texto básico, termos e definições comuns, visando aumentar a compatibilidade e alinhamento com outros sistemas de gestão. Em termos práticos, a partir de então, todas as normas de sistemas de gestão, novas ou revisadas, deverão seguir o HLS.

O Anexo SL surgiu como resposta às organizações que precisavam de uma facilidade no processo de integração no Sistema de Gestão Integrado (SGI), estabelecendo uma base de desenvolvimento das novas versões, facilitando a integração ao certificar duas ou mais das Normas de Sistemas de Gestão. O Anexo SL se aplica a todas as Normas de Sistemas de Gestão, deixando todas sempre com a mesma estruturação, ou seja: do requisito 1 ao 10. O que poderá ser acrescido nas Normas ISO serão subcláusulas e textos específicos de cada disciplina ou segmento, dependendo exclusivamente de qual for a Norma e do escopo de cada uma.

A questão é que, com esta nova estrutura, e com a revisão das normas de sistemas de gestão, foram introduzidos nas normas de sistemas de gestão requisitos como abordagem baseada em riscos e oportunidades, necessidades e expectativas de partes interessadas, análise de contexto, alinhamento do sistema de gestão com a governança estratégica da organização, maior envolvimento da alta direção, dentre outros. E a ISO 19011 em sua revisão foi atualizada para considerar esta nova realidade.

Uma norma de diretrizes

Inicialmente, é importante frisar que esta é uma norma de diretrizes, e não de requisitos. O que isto significa na prática? Que não é uma norma auditável objetivamente para fins de certificação, ou seja, você não encontrará em seu texto os famosos verbos “deve”, presentes nas normas de requisitos. Em seu lugar, encontrará outras formas verbais, como, por exemplo, o verbo “convém”. Uma norma de diretrizes fornece orientações para as melhores práticas (não sendo obrigatória), podendo ser adotada em sua totalidade ou em partes por uma organização. Ainda, uma norma de diretrizes pode ser adaptada à realidade da organização. De fato, na sua seção de Introdução, a própria ISO 19011:2018 já declara este objetivo:

Este documento fornece orientação para todos os tamanhos e tipos de organizações e auditorias de variados escopos e dimensões, incluindo aquelas conduzidas por grandes equipes de auditoria, usualmente de organizações maiores, e aquelas conduzidas por auditores únicos, em organizações grandes ou pequenas. Convém que esta orientação seja adaptada conforme apropriado ao escopo, complexidade e dimensão do programa de auditoria.

Principais alterações, de forma resumida

De forma resumida, a informação oficial que a própria norma ISO 19011 declara em sua primeira página textual (seção “prefácio nacional”) sobre as principais diferenças em relação à segunda edição são as seguintes:

  • inclusão da abordagem baseada em risco aos princípios de auditoria;
  • ampliação da orientação sobre a gestão de um programa de auditoria, incluindo riscos do programa de auditoria;
  • ampliação da orientação para conduzir uma auditoria, particularmente na Seção sobre planejamento de auditoria;
  • ampliação dos requisitos genéricos de competência para auditores;
  • ajuste da terminologia para refletir o processo e não o objeto (“coisa”);
  • remoção do Anexo contendo requisitos de competência para auditar disciplinas específicas do sistema de gestão (devido ao grande número de normas particulares de sistemas de gestão, não seria prático incluir requisitos de competência para todas as disciplinas);
  • ampliação do Anexo A para fornecer orientação sobre (novos) conceitos de auditoria, como contexto organizacional, liderança e comprometimento, auditorias virtuais, compliance  e cadeia de suprimento.

Este capítulo detalhará as principais mudanças que a ISO 19011:2018 trouxe em relação à sua versão anterior, bem como o atual cenário de auditorias de 1ª, 2ª, e 3ª partes e sua comparação com outras normas de auditorias, notadamente a ABNT NBR ISO/IEC 17021-1:2016.

Relação 19011 x 17021

Para iniciar, é muito comum, até em cursos de auditor-líder, que as pessoas façam confusão com a aplicação das normas de auditoria. De fato, infelizmente vemos até hoje cursos de auditor-líder baseados na norma ISO 19011, o que, a nosso ver, é um equívoco técnico, pois, se os mesmos são concebidos para formar auditores tanto de 1ª, quando de 2ª e de, principalmente, 3ª partes (sendo este último o grande foco), a metodologia para realização da auditoria não poderia ser a da norma ISO 19011.

Explicando:

A norma ISO 19011 (mesmo a versão anterior) não é destinada à realização de auditorias de 3ª parte, ou seja, auditorias de certificação. A norma correta para estas auditorias é a ABNT NBR ISO/IEC 17021-1:2016, que substituiu sua versão anterior, a ABNT NBR ISO/IEC 17021-1:2011. E isto já era claro desde a versão anterior da norma ISO 19011, ou seja, já faz bastante tempo.

Importante também ressaltar que, apesar de não ser aplicável a auditorias de terceira parte, a ISO 19011 guarda considerável relação de coerência nos princípios e técnicas de auditorias, ou seja, no “como” realizar a auditoria com a norma ISO 17021, diferenciando-se agora principalmente nos itens que foram tema de sua revisão (as “novidades” como, por exemplo, a abordagem baseada em riscos) e, no que se refere à ISO 17021, esta segunta norma aborda temas que dizem respeito à rotina de uma certificadora, que é o seu foco (por exemplo, ciclos da certificação, procedimentos de tratamento de reclamação, uso da marca, além de requisitos do sistema de gestão da certificadora que são auditados pela acreditadora).

Importante esclarecer que a norma ISO 19011 não somente define o como se faz uma auditoria. Ela também fornece orientação sobre os princípios de auditoria, o gerenciamento de um programa de auditoria e sobre a competência e a avaliação de um auditor e de uma equipe de auditoria.

Isto posto, reafirmando que a nova versão da ISO 19011:2018 não alterou esta aplicabilidade, ou seja, continua não sendo aplicável para auditorias de certificação, passaremos a detalhar suas principais alterações.

Novidades Comentadas

A seguir, por seções da norma, as principais alterações comentadas:

Seção 3 – Termos e definições

3.1

auditoria

processo sistemático, independente e documentado para obter evidência objetiva (3.8) e avaliá-la objetivamente, para determinar a extensão na qual os critérios de auditoria (3.7) são atendidos.

Comentário: Esta definição está bem parecida com a anterior, exceto o termo ‘evidência objetiva’, que, na verdade, é um novo conceito trazido pela norma de 2018. Veremos a seguir.

3.8

evidência objetiva

dados que apoiam a existência ou a veracidade de alguma coisa

NOTA 1 de entrada: Evidência objetiva pode ser obtida por observação, medição, ensaio ou outros meios.

NOTA 2 de entrada: Evidência objetiva para o propósito de auditoria (3.1) geralmente consiste em registros, declarações de um fato ou outra informação que seja pertinente para os critérios de auditoria (3.7) e verificável.

3.9

evidência de auditoria

registros, apresentação de fatos ou outras informações pertinentes aos critérios de auditoria (3.7) e verificáveis

Comentário: A norma de 2012 utilizada apenas o conceito de evidência de auditoria, portanto o conceito de evidência objetiva é novo. Pode parecer confuso em uma primeira análise, mas ao observar a nota 2 da definição da evidência objetiva percebe-se que há uma ligação com a definição de evidência de auditoria. Ou seja, a evidência objetiva é genérica, e a evidência de auditoria é pertinente aos critérios de auditoria.

3.19

risco

efeito de incerteza

Nota 1 de entrada: Um efeito é um desvio do esperado – positivo ou negativo.

Nota 2 de entrada: Incerteza é o estado, ainda que parcial, de deficiência de informação, de compreensão ou de conhecimento relacionado a um evento, sua consequência ou sua probabilidade.

Nota 3 de entrada: Risco é frequentemente caracterizado pela referência a “eventos” potenciais (como definido no ABNT ISO Guia 73:2009, 3.5.1.3) e “consequências” (como definido no ABNT ISO Guia 73:2009, 3.6.1.3), ou uma combinação destes.

Nota 4 de entrada: Risco é frequentemente expresso em termos de uma combinação das consequências de um evento (incluindo mudanças em circunstâncias) e da “probabilidade” associada (como definido no ABNT ISO Guia 73:2009, 3.6.1.1) de ocorrências.

Comentário: Esta definição de risco é a definição que está presente nas normas revisadas após a introdução do anexo SL. Embora a definição inicialmente seja vaga, as notas são mais elucidativas, em particular a nota 4 trará mais conforto, principalmente aos que já convivem com as normas ISO 45001 e ISO 14001. Para os usuários das novas versões das normas de sistemas de gestão e da nova ISO 19011, recomenda-se o conhecimento da norma ISO 31000:2018 – Gestão de Riscos.

4     Princípios de auditoria

Comentário: Nesta seção a principal alteração foi a introdução de um novo princípio, o da abordagem baseada em risco. É importante notar que o principal objetivo destes princípios é declarado no parágrafo inicial da seção 4:

Aderência a estes princípios é um pré-requisito para serem fornecidas conclusões de auditoria que sejam pertinentes e suficientes, e para permitir que auditores trabalhando independentemente entre si cheguem a conclusões similares em circunstâncias similares.

g)   Abordagem baseada em risco: uma abordagem de auditoria que considera riscos e oportunidades

Convém que a abordagem baseada em risco influencie substancialmente o planejamento, a condução e o relato de auditorias, para assegurar que as auditorias sejam focadas em assuntos que sejam significativos para o cliente de auditoria e para alcançar os objetivos do programa de auditoria.

5      Gerenciando um programa de auditoria

5.1 Generalidades

Convém que a extensão de um programa de auditoria seja baseada no tamanho e natureza do auditado, assim como na natureza, funcionalidade, complexidade, tipo de riscos e oportunidades e nível de maturidade do(s) sistema(s) de gestão a ser(em) auditado(s).

Comentário: Foi inserido nos fatores que influenciam a tomada de decisão sobre a extensão do programa de auditoria o tipo de riscos e oportunidades e o nível de maturidade dos sistemas de gestão a serem auditados. Isto foi feito considerando a introdução destes temas nas novas versões das normas de sistemas de gestão, alinhadas com o anexo SL.

….

No caso de organizações menores ou menos complexas, o programa de auditoria pode ser dimensionado apropriadamente.

Para entender o contexto do auditado, convém que o programa de auditoria leve em conta:

  • questões externas e internas pertinentes do auditado;
  • necessidades e expectativas de partes interessadas pertinentes;
  • requisitos de segurança e confidencialidade da informação.

Comentário: Ainda no dimensionamento do programa de auditoria, a norma recomenda o entendimento do contexto do auditado (mais uma novidade das normas revisadas de sistemas de gestão). E complementa com temas que influenciam este contexto, temas estes também pertinentes às novas versões das normas de sistemas de gestão, tais como questões externas e internas e necessidades e expectativas de partes interessadas.

Convém que o programa de auditoria inclua informação e identifique recursos para permitir que as auditorias sejam conduzidas de forma eficaz e eficiente dentro dos prazos especificados. Convém que a informação inclua:

a) objetivos para o programa de auditoria;

b) riscos e oportunidades associados ao programa de auditoria (ver 5.3) e ações para abordá-los;

Comentário: A norma recomenda que o programa de auditoria inclua informação sobre riscos e oportunidades associados ao programa de auditoria. Este é a maior inovação da ISO 19011:2018. Neste ponto ela faz referência à cláusula 5.3 (Determinando e avaliando riscos e oportunidades do programa de auditoria), que é a mais importante novidade de toda a ISO 19011:2018.

5.1       Estabelecendo objetivos do programa de auditoria

Convém que o cliente da auditoria assegure que os objetivos do programa de auditoria sejam estabelecidos para direcionar o planejamento e a condução de auditorias, e convém que assegure que o programa de auditoria seja implementado eficazmente. Convém que os objetivos do programa de auditoria sejam coerentes com a direção estratégica do cliente da auditoria e apoiem a política e os objetivos do sistema de gestão.

Comentário: Alinhado com os objetivos das novas versões das normas de sistemas de gestão, que também requerem o alinhamento do sistema de gestão com gestão estratégica da organização, aqui a ISO 19011 recomenda que os objetivos do programa de auditoria sejam coerentes com a direção estratégica do cliente de auditoria. Ressaltando-se que nem sempre o cliente de auditoria é o auditado.

Estes objetivos podem ser baseados na consideração do seguinte:

a) necessidades e expectativas de partes interessadas pertinentes, externas e internas;

f) riscos e oportunidades identificados para o auditado;

Exemplos de objetivos de programa de auditoria podem incluir o seguinte:

—                  avaliar a capacidade do auditado de determinar seu contexto;

—                  avaliar a capacidade do auditado de determinar riscos e oportunidades e identificar e implementar ações eficazes para abordá-los.

—                  avaliar a compatibilidade e o alinhamento dos objetivos dos sistemas de gestão com a direção estratégica da organização.

Comentário: Neste item a norma exemplifica dentre os objetivos do programa de auditoria alguns itens alinhados às novas normas de sistemas de gestão, tais como contexto, riscos e oportunidades e alinhamento com a direção estratégica.

5.2       Determinando e avaliando riscos e oportunidades do programa de auditoria

Existem riscos e oportunidades relacionados ao contexto do auditado que podem estar associados a um programa de auditoria e podem afetar o alcance de seus objetivos. Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria identifique(m) e apresente(m) ao cliente da auditoria os riscos e oportunidades considerados ao desenvolver o programa de auditoria e requisitos de recurso, de modo que eles possam ser abordados apropriadamente.

Comentário: Esta é a principal inovação da ISO 19011:2018. Repare que os riscos e oportunidades devem ser identificados a partir do contexto do auditado (o que requer um conhecimento prévio do mesmo), associados ao programa de auditoria (o que requer um planejamento mais detalhado e cuidadoso do mesmo) e que possam afetar o alcance dos objetivos do programa de auditoria.

Portanto, aqui a norma trata dos riscos de não alcançar os objetivos do programa de auditoria. E a norma recomenda que estes riscos sejam identificados e apresentados ao cliente da auditoria, naturalmente antes de auditoria ser iniciada.

Podem existir riscos associados com o seguinte:

a)   planejamento, por exemplo, falha em estabelecer objetivos de auditoria pertinentes e em determinar a extensão, número, duração, locais e agenda das auditorias;

b)   recursos, por exemplo, dispor de tempo, equipamento e/ou treinamento insuficientes para desenvolver o programa de auditoria ou conduzir uma auditoria;

c)   seleção da equipe de auditoria, por exemplo, competência global insuficiente para conduzir auditorias eficazmente;

d)   comunicação, por exemplo, processos/canais de comunicação externa/interna ineficazes;

e)   implementação, por exemplo, coordenação ineficaz das auditorias no programa de auditoria ou não considerar segurança e confidencialidade da informação;

f) controle de informação documentada, por exemplo, determinação ineficaz da informação documentada necessária requerida por auditores e partes interessadas pertinentes, falha em proteger suficientemente registros de auditoria para demonstrar a eficácia do programa de auditoria;

g)   monitoramento, análise crítica e melhoria do programa de auditoria, por exemplo, monitoramento ineficaz de resultados do programa de auditoria;

h)   disponibilidade e cooperação do auditado e disponibilidade de evidência para ser amostrada.

Comentário: Aqui a norma elencou os principais riscos associados ao programa de auditoria, por categorias: riscos de planejamento, recursos, seleção da equipe auditora, comunicação, implementação, controle da informação documentada, monitoramento e melhoria do programa de auditoria e disponibilidade e cooperação do auditado.

Oportunidades para melhorar o programa de auditoria podem incluir:

—                   permitir que múltiplas auditorias sejam conduzidas em uma visita única;

—                   minimizar tempo e distância de viagem ao local;

—                   conciliar o nível de competência da equipe de auditoria ao nível de competência necessário para alcançar os objetivos da auditoria;

—                   alinhar datas de auditoria com a disponibilidade de pessoal-chave do auditado.

Comentário: Neste item a norma elenca oportunidades para melhorar o programa de auditoria

5.3       Estabelecendo o programa de auditoria

5.3.1       Papéis e responsabilidades da(s) pessoa(s) que gerencia(m) o programa de auditoria

Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria:

b) determine(m) as questões internas e externas e riscos e oportunidades que possam afetar o programa de auditoria e implemente(m) ações para abordá-los, integrando estas ações em todas as atividades de auditoria pertinentes, conforme apropriado;

Comentário: A norma recomenda que as pessoas que gerenciam o programa de auditoria, após determinarem as questões internas e externas e riscos e oportunidades do programa de auditoria, implementem ações para abordá-los (medidas de controle) em todas as atividades (onde aplicável) de auditoria. É como se fosse um “controle operacional”, na linguagem da ISO 14001/45001.

5.3.2       Competência da(s) pessoa(s) que gerencia(m) o programa de auditoria

Convém que a(s) pessoa(s) que gerencia(m) o programa de auditoria tenha(m) a competência necessária para gerenciar o programa e seus riscos e oportunidades associados e questões externas e internas eficaz e eficientemente, incluindo o conhecimento de:

a)   princípios de auditoria (ver Seção 4), métodos e processos (ver A.1 e A.2);

c) informação relativa ao auditado e seu contexto (por exemplo, questões externas/internas, partes interessadas pertinentes e suas necessidades e expectativas, atividades de negócios, produtos, serviços e processos do auditado);

Conforme apropriado, conhecimentos de gestão de risco, gestão de projeto e processo e tecnologia da informação e comunicação (TIC) podem ser considerados.

Comentário: Natural que estes temas, agora presentes nas novas versões das normas de sistemas de gestão, sejam inseridos como necessários na competência dos que gerenciam os programas de auditoria. Contexto, questões externas e internas, necessidades e expectativas de partes interessadas, riscos e oportunidades são exemplos. Além destes, a ISO 19011, alinhada com a evolução tecnológica, introduziu e incrementou o uso de técnicas de auditoria remota, então por isso a recomendação de competência de tecnologia da informação.

5.4.3 Estabelecendo a extensão do programa de auditoria

Outros fatores que impactam a extensão de um programa de auditoria podem incluir o seguinte:

j)    mudanças significativas para o contexto do auditado ou suas operações e riscos e oportunidades relacionadas;

k)   disponibilidade de tecnologias da informação e comunicação para apoiar atividades de auditoria, em particular o uso de métodos de auditoria remota (ver A.16);

m) riscos e oportunidades do negócio, incluindo ações para abordá-los.

Comentário: Na determinação da extensão do programa de auditoria a norma recomenda que sejam consideradas mudanças significativas no contexto do auditado e riscos e oportunidades correlatos (inerentes às novas versões de normas de sistemas de gestão), disponibilidades de tecnologias da informação e comunicação, inclusive uso de métodos de auditoria remota (esta é uma novidade da ISO 19011:2018, que reconhece o avanço tecnológico e o uso de ferramentas de informática no suporte a atividades de auditoria).

5.5.2       Definindo os objetivos, escopo e critérios para uma auditoria individual

Convém que cada auditoria individual seja baseada em objetivos, escopo e critérios de auditoria especificados. Convém que esses sejam coerentes com os objetivos globais do programa de auditoria.

Os objetivos da auditoria determinam o que é para ser realizado pela auditoria individual e podem incluir o seguinte:

f) avaliação da capacidade do sistema de gestão para estabelecer e alcançar objetivos e abordar riscos e oportunidades eficazmente, em um contexto em mudança, incluindo a implementação das ações relacionadas.

Comentário: Os objetivos de uma auditoria podem incluir a avaliação da capacidade do sistema de gestão de abordar riscos e oportunidades eficazmente. Novamente, há aqui o alinhamento com um tema introduzido nas novas versões das normas de sistemas de gestão.

6.3.1       Planejando a auditoria

6.3.1.1                         Abordagem baseada em risco para planejamento

Convém que o líder da equipe de auditoria adote uma abordagem baseada em risco para planejar a auditoria, com base na informação no programa de auditoria e na informação documentada fornecida pelo auditado.

Convém que o planejamento de auditoria considere os riscos das atividades de auditoria nos processos do auditado e forneça a base para o acordo entre o cliente de auditoria, a equipe de auditoria e o auditado, relativo à condução da auditoria. Convém que o planejamento facilite o agendamento e a coordenação eficientes das atividades de auditoria para alcançar os objetivos eficazmente.

Convém que a quantidade de detalhe fornecida no plano de auditoria reflita o escopo e a complexidade da auditoria, assim como o risco de não alcançar os objetivos da auditoria. Ao planejar a auditoria, convém que o líder da equipe de auditoria considere o seguinte:

d) riscos para alcançar os objetivos da auditoria criados por um planejamento de auditoria ineficaz;

e) riscos para o auditado criados pela realização da auditoria.

Riscos para o auditado podem resultar da presença dos membros da equipe de auditoria influenciando adversamente os arranjos do auditado para saúde e segurança, meio ambiente e qualidade e seus produtos, serviços, pessoal ou infraestrutura (por exemplo, contaminação em instalações de sala limpa).

Comentário: A abordagem de riscos para a auditoria é considerada no planejamento da mesma, com os seguintes fatores:

Riscos de a auditoria não alcançar seus objetivos, que pode ser por um planejamento ineficaz, pode ser por um fato superveniente, pode ser por uma falha de comunicação, dentre outros que gerem o risco de a auditoria não alcançar seus objetivos.

Riscos para o auditado criados pela auditoria – muito comuns, pois a simples presença dos auditores já afeta a rotina da empresa. Quando a equipe é grande e conta com trainees e observadores este risco é incrementado. Uma entrevista na produção pode aumentar a tensão e gerar um risco de acidente, por exemplo, ou de uma falha no trabalho (e um produto não conforme) decorrente do desvio de atenção ou nervosismo dos que observam a entrevista ou são entrevistados. Um auditor desavisado pode inadvertidamente esbarrar em uma máquina ou botoeira que aciona erradamente um equipamento, ou entrar em uma área classificada sem EPI, ou tocar em um material sem a devida proteção contra estática.

6.4.1.1       Conteúdo de conclusões de auditoria

Convém que as conclusões de auditoria abordem questões como as seguintes:

a) extensão da conformidade com os critérios de auditoria e robustez do sistema de gestão, incluindo a eficácia do sistema de gestão em alcançar os resultados pretendidos, a identificação de riscos e eficácia das ações tomadas pelo auditado para abordar riscos;

b)       implementação a eficaz, manutenção e melhoria do sistema de gestão

….

Comentário: Nas conclusões de auditoria, ao descrever a extensão da conformidade, agora a norma recomenda que se emita um parecer sobre os riscos e eficácia das ações tomadas pela organização auditada para abordá-los. Note que este é um parecer estratégico, geral, não se deve entrar em detalhes sobre cada risco aqui, e sim passar um panorama geral da gestão de riscos da organização.

7.1       Determinando a competência de auditor

7.1.1       Generalidades

Ao decidir a competência necessária para uma auditoria, convém que o conhecimento e as habilidades de um auditor relacionados ao seguinte sejam considerados:

…..

e) tipos e níveis de riscos e oportunidades abordados pelo sistema de gestão;

7.1.1.1       Conhecimento e habilidades genéricos de auditores do sistema de gestão

Convém que os auditores tenham conhecimento e habilidades nas áreas delineadas abaixo.

….

Convém que um auditor seja capaz de:

—              entender os tipos de riscos e oportunidades associados à auditoria e os princípios da abordagem baseada em risco para auditar;

….

c) A organização e seu contexto: conhecimento e habilidades nesta área possibilitam o auditor a entender a estrutura, propósito e práticas de gestão do auditado, e convém que abranjam o seguinte:

—              necessidades e expectativas de partes interessadas pertinentes que impactam o sistema de gestão;

—              tipo de organização, governança, tamanho, estrutura, funções e relacionamentos;

….

Comentário: Como dito anteriormente, com o advento do Anexo SL, as novas versões das normas de sistemas de gestão, como as tratadas neste livro (ISO 9001:2015, ISO 14001:2015, ISO 45001:2015) trouxeram os conceitos de abordagem baseada em risco e riscos e oportunidades, necessidades e expectativas de partes interessadas, análise de contexto, alinhamento do sistema de gestão com a governança estratégica da organização, maior envolvimento da alta direção, dentre outros. Portanto, a norma ISO 19011 atualizou os conceitos de competência e inseriu estes temas.

Artigo originalmente publicado no Linkedin por Marcello Couto: “Versão Completa: Novidades da ISO 19001:2018