O processo de auditoria consiste em avaliar a conformidade dos requisitos normativos em comparação com o processo de implementação da empresa, sempre levando em contato o julgamento profissional do auditor.
A norma ISO 19011:2018 – Diretrizes para auditoria de sistemas de gestão preconiza o seguinte:
“Convém que os auditores apliquem seu julgamento profissional durante o processo de auditoria e evitem se concentrar em requisitos específicos de cada Seção da norma, a fim de alcançar o resultado pretendido do sistema de gestão.”
“Algumas Seções de normas de sistema de gestão da ISO não se prestam prontamente à auditoria em termos de comparação entre um conjunto de critérios e o conteúdo de um procedimento ou instrução de trabalho.”
Nestas duas afirmações a Norma estabelece a necessidade de o auditor ter mente aberta para uma correta diligência e julgamento profissional, alertando para que o auditor não prenda somente aos requisitos das normas. A ISO 19001 continua e alerta para necessidade do julgamento profissional em um correto processo de julgamento profissional:
“Nestas situações, convém que os auditores usem seu julgamento profissional para determinar se a intenção da Seção foi atendida ou não.”
Sempre em todas as minhas palestras e treinamentos utilizo a seguinte afirmação “As normas de sistemas de gestão estabelecem O QUE DEVE ser feito, o COMO ser feito depende das organizações”. Em algum momento, alguns profissionais entendem dessa afirmação que o COMO pode ser feito de qualquer forma, esquecendo realmente do processo de julgamento profissional por parte do auditor em um processo de auditoria.
O julgamento profissional é de fundamental importância para avaliar se como o sistema de gestão foi implementado atende os requisitos da norma de referência. Aqui pontuo alguns exemplos:
Em uma auditoria recente de ISO 27001 um dos nossos auditores apontou não conformidade no Anexo A.9.1 Controle de Acesso, realmente o processo implementado não atendia mantinha os processos em conformidade. Porém, o auditado argumentou que o como implementar dependia da empresa e não do julgamento do auditor.
Esse é um caso clássico que a organização esquece que o julgamento profissional cabe ao auditor do processo, obviamente coberto por toda atenção aos requisitos normativos e com toda a abertura ao cliente de um processo de apelação, caso necessário.
Portanto, reafirmo e complemento: as normas de sistemas de gestão estabelecem O QUE DEVE ser feito, o COMO ser feito depende das organizações, a ser avaliado pelo julgamento profissional do auditor.