NIT Dicor 54 - 10

NORMA Nº REV.
Nº
DOCUMENTOS MANDATÓRIOS DO IAF PARA A APLICAÇÃO NIT-DICOR-054 10
DA ABNT NBR ISO/IEC 17021-1
APROVADA EM PÁGINA
JUN/2019 1/83
SUMÁRIO
1 Objetivo
2 Campo de Aplicação
3 Responsabilidade
4 Histórico das Revisões
5 Documentos Complementares
6 Siglas
7 Documentos Mandatórios do IAF para Aplicação da ABNT NBR ISO/IEC 17021-1
Anexo A – Documento Mandatório para Auditoria e Certificação de um Sistema de Gestão
operado por uma organização multi-site (IAF MD 1:2018)
Anexo B – Documento Mandatório do IAF para a Transferência de Certificação Acreditada de
Sistemas de Gestão (IAF MD 2:2017)
Anexo C – Documento Mandatório do IAF para Procedimentos Avançados de Supervisão e
Recertificação (PASR) (IAF MD 3:2008)
Anexo D – Documento mandatório do IAF para o uso de Tecnologias de Informação e
Comunicação (TIC) para fins de auditoria/avaliação (IAF MD 4:2018)
Anexo E – Documento Mandatório do IAF para Determinação do Tempo de Auditoria de SGQ
e SGA (IAF MD 5:2015)
Anexo F – Documento Mandatório do IAF para avaliação da Gestão de Competência do
Organismo de Certificação conforme a ISO/IEC 17021:2011 (IAF MD 10:2013)
Anexo G – Documento Mandatório do IAF para a aplicação da ISO/IEC 17021 em auditorias de
sistemas de gestão integrados (IAF MD 11:2013)
Anexo H – Documento Mandatório do IAF para a aplicação da ISO/IEC 17021 no setor de
Gestão de Serviços (ISO/IEC 20000-1) - (IAF MD 18:2015)
Anexo I – Aplicação da ISO/IEC 17021-1 para a Certificação de Sistemas de Gestão de Saúde
e Segurança (OSS) - (IAF MD 22:2018)
1 OBJETIVO
Este documento apresenta a tradução livre dos seguintes documentos mandatórios do IAF, para a
consistente aplicação do ABNT NBR ISO/IEC 17021-1:
IAF MD 1:2018 IAF Mandatory Document for the Audit and Certification of a Management System
Operated by a Multi-Site Organization;
IAF MD 2:2017 IAF Mandatory Document for the Transfer of Accredited Certification of Management
Systems;
IAF MD 3:2008 IAF Mandatory Document for Advanced Surveillance and Recertification Procedures;
IAF MD 4:2018 IAF Mandatory Document for the Use of Information and Communication Technology
(ICT) for Auditing/Assessment Purposes
IAF MD 5:2015 IAF Mandatory Document for Determination of Audit Time of Quality and
Environmental Management Systems;
IAF MD 10:2013 IAF Mandatory Document for Assessment of Certification Body Management of
Competence in Accordance with ISO/IEC 17021:2011;
IAF-MD 11:2013 IAF Mandatory Document for the Application of ISO/IEC 17021 for Audits of Integrated
Management Systems;
IAF-MD 18:2015 IAF Mandatory Document for the Application of ISO/IEC 17021:2011 in the Service
Management Sector (ISO/IEC 20000-1);
IAF-MD 22:2018 Application of ISO/IEC 17021-1 for the Certification of Occupational Health and Safety
Management Systems (OH&SMS)
REV. PÁGINA
NIT-DICOR-054
10 2/83
2 CAMPO DE APLICAÇÃO
Esta norma aplica-se à Dicor.
3 RESPONSABILIDADE
A responsabilidade pela revisão desta norma é da Dicor.
4 HISTÓRICO DAS REVISÕES
Revisão Data Itens revisados

9 NOV/2017 - Alteração do Anexo B
10 JUN/2019 - Atualização integral dos Anexos A e D;
- Revisão de tradução do Anexo B;
- Exclusão do Anexo I correspondente ao IAF MD 19, cancelado pelo
IAF;
- Inclusão do Anexo I correspondente ao IAF MD 22.
5 DOCUMENTOS COMPLEMENTARES
ABNT NBR ISO 14001 Sistemas de gestão ambiental - Requisitos com orientações para uso
ABNT NBR ISO 14065 Gases do efeito estufa - Requisitos para organismos de validação e
verificação de gases de efeito estufa para uso em acreditação e outras
formas de reconhecimento
ABNT NBR ISO 19011 Diretrizes para auditoria de sistemas de gestão
ABNT NBR ISO 9001 Sistemas de gestão da qualidade - Requisitos
ABNT NBR ISO/IEC 17011 Avaliação da conformidade - Requisitos para os organismos de
acreditação que acreditam organismos de avaliação da conformidade
ABNT NBR ISO/IEC 17020 Avaliação da conformidade - Requisitos para o funcionamento de
diferentes tipos de organismos que executam inspeção
ABNT NBR ISO/IEC 17021-1 Avaliação de conformidade - Requisitos para organismos que
fornecem auditoria e certificação de sistemas de gestão. Parte 1.
ABNT NBR ISO/IEC 17024 Avaliação da conformidade - Requisitos gerais para organismos que
certificam pessoas
ABNT NBR ISO/IEC 17025 Requisitos gerais para a competência de laboratórios de ensaio e
calibração
ABNT NBR ISO/IEC 17065 Avaliação da conformidade - Requisitos para organismos de
certificação de produtos, processos e serviços
ABNT NBR ISO/IEC 20000-1 Tecnologia da informação — Gestão de serviços; Parte 1: Requisitos
do sistema de gestão de serviços
AS 9100 Sistema de Gestão Aeroespacial
IAF MD 01 IAF Mandatory Document for the Audit and Certification of a
Management System Operated by a Multi-Site Organization
IAF MD 02 IAF Mandatory Document for the Transfer of Accredited Certification of
Management Systems
IAF MD 03 Advanced Surveillance and Recertification Procedures (ASRP)
IAF MD 04 IAF Mandatory Document for the Use of Information and
Communication Technology (ICT) for Auditing/Assessment Purposes
IAF MD 05 Determination of Audit Time of Quality, Environmental, and
Occupational Health & Safety Management Systems
IAF MD 10 IAF Mandatory Document for Assessment of Certification Body
Management of Competence in Accordance with ISO/IEC 17021: 2011
REV. PÁGINA
NIT-DICOR-054
10 3/83
IAF MD 11 IAF Mandatory Document for the Application of ISO/IEC 17021-1 for
Audits of Integrated Management Systems
IAF MD 18 Application of ISO/IEC 17021:2011 in the Service Management Sector
(ISO/IEC 20000-1)
IAF MD 22 Application of ISO/IEC 17021-1 for the Certification of Occupational
Health and Safety Management Systems (OH&SMS)
ISO 45001 Occupational health and safety management systems -- Requirements
with guidance for use
ISO 50003 Sistemas de gestão de energia - Requisitos para organismos de
auditoria e certificação de sistemas de gestão de energia
ISO 9000 Sistemas de gestão da qualidade - Fundamentos e vocabulário
ISO/IEC 20000-3 Information technology -- Service management-- Part 3: Guidance on
scope definition and applicability of ISO/IEC 20000-1
ISO/IEC 27006 Information technology -- Security techniques -- Requirements for
bodies providing audit and certification of information security
management systems
ISO/IEC TS 17022 Conformity assessment - Requirements and recommendations for
content of a third-party audit report on management systems
ISO/IEC TS 17023 Conformity assessment -- Guidelines for determining the duration of
management system certification audits
ISO/TS 22003 Food safety management systems -- Requirements for bodies
providing audit and certification of food safety management systems
Nota: As normas referenciadas são utilizadas nas suas últimas revisões, conforme disponível no site
da ABNT (www.abnt.org.br).
6 SIGLAS
ABNT Associação Brasileira de Normas Técnicas

CAAT Técnicas de Auditoria Assistidas por Computador
Dicor Divisão de Acreditação de Organismos de Certificação
EA European Accreditation
IAF International Accreditation Forum
IEC International Electrotechnical Commission
ISO International Organization for Standardization
MD Mandatory Document
MLA Multilateral Recognition Arrangements
NBR Norma Brasileira
Nit Norma Inmetro Técnica
OA Organismo de Acreditação
OAC Organismo de Avaliação da Conformidade
OC Organismo de Certificação
OSS Organismos de Certificação de Sistemas de Gestão de Segurança e Saúde Ocupacional
PASR Procedimentos Avançados de Supervisão e Reavaliação
SGA Sistema de Gestão Ambiental
SGI Sistema de Gestão Integrado
SGQ Sistema de Gestão da Qualidade
SGSTI Sistema de Gestão de Serviços de Tecnologia da Informação
SLA Service-Level Agreement
SSO Saúde e Segurança Ocupacional
TIC Tecnologia de Informação e Comunicação
REV. PÁGINA
NIT-DICOR-054
10 4/83
7 DOCUMENTOS MANDATÓRIOS DO IAF PARA APLICAÇÃO DA ABNT NBR ISO/IEC 17021-1
A tradução livre dos documentos IAF MD 1:2018, IAF MD 2:2017, IAF MD 3:2008; IAF MD 4:2018; IAF
MD 5:2015; IAF MD 10:2013, IAF MD 11:2013, IAF MD 18:2015 e IAF MD 22:2018 estão apresentadas
como Anexos desta norma.
O International Accreditation Forum, Inc. (IAF) facilita o comércio e apoia órgãos reguladores ao operar
um acordo mundial de reconhecimento mútuo entre Organismos de Acreditação (OAs) para que os
resultados emitidos pelos Organismos de Avaliação da Conformidade (OACs) acreditados pelos
membros do IAF sejam aceitos globalmente.
A acreditação reduz o risco para as empresas e seus clientes, assegurando-lhes que os OAC
acreditados têm competência para realizar o trabalho que desempenham dentro do seu escopo de
acreditação. Os OAs que são membros do IAF e os OAC acreditados por eles são obrigados a cumprir
as normas internacionais apropriadas e os documentos aplicáveis do IAF para a aplicação coerente
dessas normas.
Os OA signatários do Acordo Multilateral de Reconhecimento (MLA) do IAF são avaliados

regularmente por uma equipe de pares designada para fornecer confiança na operação de seus
esquemas de acreditação. A estrutura e o escopo do MLA do IAF estão detalhados no IAF PR 4 -
Structure of IAF MLA and Endorsed Normative Documents.
O MLA do IAF está estruturado em cinco níveis: o Nível 1 especifica critérios obrigatórios que se
aplicam a todos os OA - ISO/IEC 17011. A combinação de uma atividade de Nível 2 e os documentos
normativos correspondentes de Nível 3 é chamada de escopo principal do MLA. e a combinação dos
documentos normativos relevantes de Nível 4 (se aplicável) e Nível 5 é chamada de sub-escopo do
MLA.
 O escopo principal do MLA inclui atividades por ex. certificação de produtos e documentos
obrigatórios associados, por ex. ISO/IEC 17065. As atestações realizadas pelos OAC em nível
do escopo principal são consideradas igualmente confiáveis.
 O sub escopo do MLA inclui requisitos de avaliação de conformidade, por ex. ISO 9001 e
requisitos específicos do esquema, quando aplicável, por ex. ISO TS 22003. As atestações
realizadas pelos OAC em nível de subescopo são consideradas equivalentes.
O MLA do IAF fornece a confiança necessária para a aceitação pelo mercado dos resultados da
avaliação de conformidade. Um certificado emitido, dentro do escopo do MLA do IAF, por um
organismo acreditado por um signatário do MLA do IAF pode ser reconhecido mundialmente,
facilitando, assim, o comércio internacional.
Introdução aos Documentos Mandatórios do IAF
O termo "convém" é usado neste documento para indicar meios reconhecidos de atender aos requisitos
da norma. O Organismo de Avaliação da Conformidade (OAC) pode atendê-los de forma equivalente,
contanto que possa demonstrá-los ao Organismo de Acreditação (OA).
O termo "deve" é usado neste documento para indicar aquelas disposições que, refletindo os requisitos
da norma pertinente, são obrigatórias.
/ANEXO A
REV. PÁGINA
NIT-DICOR-054
10 5/83
ANEXO A - DOCUMENTO MANDATÓRIO PARA AUDITORIA E CERTIFICAÇÃO DE UM

SISTEMA DE GESTÃO OPERADO POR UMA ORGANIZAÇÃO MULTI-SITE (IAF MD 1:2018)
0. INTRODUÇÃO
Este documento é para auditoria e, se apropriado, certificação de um único sistema de gestão operado
por organizações multi-site. Dependendo do esquema de certificação, pode haver requisitos
específicos relacionados à amostragem permitida, particularmente a amostragem de locais. O objetivo
deste documento é garantir que a auditoria forneça confiança adequada na implementação do sistema
de gestão com base na norma de referência, em todos os locais listados no documento de certificação,
e que a auditoria seja prática e viável em termos econômicos e operacionais.
Este novo documento obrigatório destina-se à aplicação em organizações multi-site que satisfaçam os
critérios estabelecidos a seguir. Ele faz referência a outros documentos do IAF, notadamente o IAF
MD 5: Determinação do Tempo de Auditoria de Sistemas de Gestão da Qualidade e Ambiental
Pretende-se que a certificação de organizações de site único continue implementando o IAF MD 5,

mas em caso de qualquer conflito entre os IAF MD 1 e MD 5 para organizações multi-site, os requisitos
do MD 1 terão precedência até que o MD 5 seja revisado.
Após a publicação desta revisão do IAF MD 1, a versão anterior do MD 1, assim como o MD 19:
“Documento Mandatório do IAF para Auditoria e Certificação de um Sistema de Gestão operado por
uma Organização Multi-Site (onde a aplicação de amostragem do site não é apropriada)”, ambos foram
cancelados. No entanto, reconhece-se que, por razões práticas e operacionais, pode ser necessário
que alguns organismos de certificação planejem uma transição (por exemplo, para atualizar uma
ferramenta de software). Consequentemente, eles devem entrar em acordo com seu Organismo de
Acreditação sobre quaisquer acordos específicos relacionados a tal transição e realizar a transição
sem atraso indevido ou vantagem comercial.
1. ESCOPO
Este documento é obrigatório aos Organismos de Certificação de Sistemas de Gestão para aplicação
coerente da Seção 9 da ISO/IEC 17021-1:2015 Avaliação de conformidade - Requisitos para
organismos que fornecem auditoria e certificação de sistemas de gestão - Parte 1: Requisitos, para
todas as situações, exceto quando especificado pelo esquema de certificação, envolvendo a auditoria
e certificação de um único Sistema de Gestão operado por organizações multi-site. Todas as cláusulas
da ISO/IEC 17021-1 mantém-se aplicáveis e este documento não substitui nenhum dos requisitos
dessa norma.
Nota: Um único sistema de gestão pode atender aos requisitos de várias normas de sistemas de gestão.
No entanto, esquemas ou normas de referência também podem fornecer requisitos específicos para
auditoria e certificação multi-site (por exemplo, ISO/IEC 27006 Tecnologia da informação - Técnicas
de segurança - Requisitos para órgãos que fornecem auditoria e certificação de sistemas de
gerenciamento de segurança da informação, ISO/TS 22003 Sistemas de Gestão da Segurança -
Requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão de segurança
de alimentos, ISO 50003 Sistemas de Gestão de Energia - Requisitos para organismos que fornecem
auditoria e certificação de sistemas de gestão de energia). Nestes casos, os requisitos específicos
terão precedência sobre os requisitos destacados neste documento.
Este documento não se aplica a organizações multi-site onde vários sistemas de gestão são
implantados pela organização, neste caso, cada site deve ser considerado como uma organização de
site único e auditado de acordo.
REV. PÁGINA
NIT-DICOR-054
10 6/83
Este documento não deve ser usado em situações em que organizações independentes são reunidas
por outra organização independente (por exemplo, empresa de consultoria) sob o guarda-chuva de um
único sistema de gestão.
2. DEFINIÇÕES
2.1 Organização
Pessoa ou grupo de pessoas que tem suas próprias funções com responsabilidades, autoridades e
relacionamentos para atingir seus objetivos.
(Fonte: definição 3.1 do Anexo SL da ISO/IEC Directives)
2.2 Site Permanente

Local (físico ou virtual) em que uma organização cliente realiza um trabalho ou a partir do qual um
serviço é fornecido de forma contínua.
(Fonte: Adaptado da ISO/IEC TS 17023:2013 Conformity assessment - Guidelines for determining the
duration of management system certification audits)
2.3 Site Temporário

Local (físico ou virtual) em que uma organização cliente realiza um trabalho específico ou a partir do
qual um serviço é fornecido por um período de tempo finito e que não se destina a se tornar um site
permanente.
(Fonte: ISO/IEC TS 17023:2013)
2.4 Organização Multisite
Uma organização que tenha uma função central identificada (daqui por diante designada como uma
organização coberta por um único sistema de gestão), que compreende uma localidade central
identificada (não necessariamente a sede da organização) na qual determinados processos/ atividades
são planejados e controlados, e um número de sites (permanente, temporário ou virtual) nos quais tais
processos/atividades são total ou parcialmente realizados.
2.5 Escritório Central

Função responsável pelo controle central do sistema de gestão (consulte a Seção 5).
2.6 Site Virtual

Local virtual onde uma organização cliente realiza atividades ou fornece serviços usando um ambiente
on-line, permitindo que pessoas de diferentes locais físicos executem processos.
Nota 1: Um site virtual não pode ser considerado como tal, se os processos devem ser executados
em um ambiente físico, por exemplo, armazenagem, laboratórios de ensaios físicos, instalação ou
reparos em produtos físicos.
Nota 2: Um exemplo de tal site virtual é uma organização de projeto e desenvolvimento com todos os
funcionários localizados remotamente e executando atividades, em um ambiente de nuvem.
Nota 3: Um site virtual (por exemplo, a intranet de uma organização) é considerado um único site para
fins de cálculo do tempo de auditoria.
Nota 4: Para mais informações, veja também IAF MD 4: Uso de Técnicas de Auditoria Assistidas por
Computador ("CAAT") para Certificação Acreditada de Sistemas de Gestão.
REV. PÁGINA
NIT-DICOR-054
10 7/83
2.7 Subescopo
O escopo de site único.
Nota: o escopo de site único pode ser o mesmo que o escopo completo da organização multi-site, mas
também pode ser apenas uma pequena parte do escopo da organização muti-site.
Nota: A definição acima de “subescopo” deve ser usada para fins de implementação dos requisitos
deste documento (em contraste com o uso do termo na página 4 deste documento, onde é feita
referência a “subescopo” no contexto de acreditação e não de certificação).
2.8 Alta Administração

Pessoa ou grupo de pessoas que dirige e controla uma organização em seu mais alto nível. A
organização multi-site não precisa ser uma entidade legal única, porém todos os sites devem ter um
vínculo legal ou contratual com o escritório central da organização e devem estar sujeitos a um sistema
de gestão comum, o qual é formulado, estabelecido e sujeito à supervisão contínua e auditorias
internas pelo escritório central. Isto significa que o escritório central tem direito de exigir que os sites
implementem ações corretivas, quando necessárias, em qualquer site. Quando for aplicável, convém
que esta condição seja estabelecida no contrato formal entre o escritório central e os sites.
(Fonte: ISO 9000:2015 Sistemas de gestão da qualidade - Fundamentos e vocabulário)
3. APLICAÇÃO
3.1 Site
3.1.1 Um site pode incluir todos os locais em que processos/atividades sob o controle de uma
organização em um determinado local são realizados, incluindo qualquer armazenamento em conexão
ou associado de matérias-primas, subprodutos, produtos intermediários, produtos finais e resíduos, e
qualquer equipamento ou infraestrutura envolvidos em processos/atividades, fixos ou não.
Alternativamente, quando exigido por lei, definições estabelecidas em regimes de licenciamento
nacionais ou locais devem ser aplicadas.
3.1.2 Quando não for possível definir um local (por exemplo, para serviços), o escopo da certificação
deve levar em conta os processos/atividades da matriz da organização, bem como a prestação dos
serviços. Quando relevante, o Organismo de Certificação pode decidir que a auditoria de certificação
será realizada apenas aonde a organização presta serviços. Nesses casos, todas as interfaces com a
função central devem ser identificadas e auditadas.
3.2 Site temporário
3.2.1 Sites temporários cobertos pelo sistema de gestão da organização devem estar sujeitos à
auditoria com base em amostragem para fornecer evidências da operação e eficácia do sistema de
gestão. Porém, podem ser incluídos no escopo de uma certificação multi-site e no documento de
certificação, mediante acordo entre o Organismo de Certificação e a organização cliente. Quando sites
temporários constarem do documento de certificação, devem estar identificados como tal.
3.3 Organização Multi-site
3.3.1 Uma organização multi-site não precisa ser uma entidade legal única, porém todos os sites
devem ter um vínculo legal ou contratual com a função central da organização e devem estar sujeitos
a um sistema de gestão único, o qual é formulado, estabelecido e sujeito à supervisão contínua e
auditorias internas pelo escritório central. Isso significa que a função central tem direito de exigir que
os sites implementem ações quando necessário em qualquer site. Se aplicável, isto deve ser
estabelecido no acordo formal entre a função central e os sites.
REV. PÁGINA
NIT-DICOR-054
10 8/83
4. JUSTIFICATIVA PARA A ABORDAGEM PROPOSTA
4.1 Este documento trata da auditoria de um sistema de gestão único operado por uma organização
multi-site.
4.2 Qualquer site pode executar total ou parcialmente os processos/atividades cobertos pelo escopo
do sistema de gestão, e os diferentes sites podem pertencer à mesma pessoa jurídica ou não.
4.3 Quaisquer considerações legais relativas ao sistema de gestão da organização que englobe uma
única entidade legal ou várias entidades jurídicas são geralmente irrelevantes para a auditoria do
sistema de gestão e, salvo indicação em contrário, não são abrangidas por este documento.
4.4 O sistema de gestão da organização é que deve ser auditado e certificado. Além disso, por
definição, uma auditoria do sistema de gestão baseia-se apenas em uma amostra limitada da
informação disponível. No entanto, deve ser demonstrado que o sistema de gestão é capaz de alcançar
os resultados pretendidos em todos os locais envolvidos.
4.5 Portanto, é lógico começar por abordar a organização e a implementação de seu sistema de
gestão, e qual tipo de amostragem pode ser apropriada, se houver.
4.6 No caso de uma organização multi-site em que cada site executa processos/atividades muito
similares, há uma clara razão para se adotar a abordagem de “Amostragem por Site” (por exemplo,
uma cadeia de lojas franqueadas ou uma rede de agências bancárias). Por outro lado, este documento
também aborda casos em que a amostragem de sites não é apropriada.
Pode haver várias razões para isso:
 todos os sites executam processos/atividades significativamente diferentes em relação ao escopo
do sistema de gestão;
 o cliente prefere que cada site seja auditado; ou
 existe um esquema setorial ou requisito regulamentar que estipula que cada site deve ser auditado
sistematicamente.
Entre estes dois casos extremos, há muitas organizações multi-site em que parte de seus locais
executam processos/atividades similares, enquanto outros locais são dedicados a processos muito
específicos, não executados em outras partes da organização. Como em qualquer processo de
amostragem, a amostragem adequada de sites limita a amostragem apenas aos locais realizando
processos/atividades similares, que fazem parte da organização escopo.
5. ELEGIBILIDADE PARA CERTIFICAÇÃO DE UMA ORGANIZAÇÃO MULTI-SITE
5.1 A organização deve ter um sistema de gestão único.
5.2 A organização deve identificar sua função central. A função central faz parte da organização e não
deve ser subcontratada a uma organização externa.
5.3 A função central deve ter autoridade organizacional para definir, estabelecer e manter o sistema
de gestão único.
5.4 O sistema de gestão único da organização deve estar sujeito à análise crítica da função central.
5.5 Todos os sites devem se submeter ao programa de auditoria interna da organização.

REV. PÁGINA
NIT-DICOR-054
10 9/83
5.6 A função central deve ser responsável por garantir que os dados de todos os sites sejam coletados
e analisados e deve ser capaz de demonstrar sua autoridade e capacidade para realizar mudanças
organizacionais necessárias em relação, mas não limitadas a:
i) alterações do sistema e de sua documentação;

ii) análise crítica da administração;
iii) reclamações;
iv) avaliação de ações corretivas;
v) planejamento de auditoria interna e avaliação dos resultados; e
vi) requisitos estatutários e regulamentares relacionados a normas aplicáveis.
Nota: A função central é onde o controle operacional e a autoridade da alta administração da organização são
exercidas sobre todos os sites. Não há necessidade de estabelecer a função central em um único site.
6. METODOLOGIAS
6.1 Metodologia para Auditoria de uma Organização Multi-site usando Amostragem de Site
6.1.1 Condições
6.1.1.1 A amostragem de um conjunto de sites é permitida quando os sites executam

processos/atividades muito semelhantes.
6.1.1.2 Nem todas as organizações que cumprem a definição de “organização multi-site” serão
elegíveis para amostragem.
6.1.1.3 Nem todas as normas de sistemas de gestão são adequadas para abordagem de certificação
multi-site. Por exemplo, a amostragem multi-site seria inadequada onde a auditoria de fatores locais
variáveis fosse um requisito de norma. Requisitos específicos também se aplicam a alguns esquemas,
por exemplo, aqueles que incluem o setor aeroespacial (AS 9100) ou automotivo (IATF 16949). Os
requisitos de tais esquemas devem ter precedência.
6.1.1.4 Os Organismos de Certificação devem ter procedimentos documentados para restringir a

amostragem onde a amostragem de site for inadequada para assegurar confiança suficiente na
eficácia do sistema de gestão sob auditoria. Tais restrições devem ser definidas pelo Organismo de
Certificação com relação a:
 setores ou processos/atividades do escopo (ou seja, com base na avaliação dos riscos ou da
complexidade associada a esse setor ou atividade);
 tamanho dos sites elegíveis para auditoria multi-site;
 variações na implementação local do sistema de gestão para abordar processos/atividades
distintos ou sistemas contratuais ou regulatórios distintos; e
 uso de sites temporários que operem sob o sistema de gestão da organização, mesmo que não
estejam relacionados nos documentos de certificação.
6.1.2 Amostragem
6.1.2.1 A amostra deve ser parcialmente seletiva com base nos fatores descritos abaixo e parcialmente
aleatória, e deve resultar na seleção de uma variedade representativa de diferentes locais, garantindo
que todos os processos cobertos pelo escopo da certificação sejam auditados.
6.1.2.2 Pelo menos 25% da amostra deve ser selecionada de modo aleatório.
REV. PÁGINA
NIT-DICOR-054
10 10/83
6.1.2.3 Levando em consideração as disposições mencionadas abaixo, o restante deverá ser

selecionado de forma que as diferenças entre os locais selecionados durante o período de validade do
certificado sejam tão grandes quanto possível.
6.1.2.4 A seleção de sites deve considerar, entre outros, os seguintes aspectos:
 resultados de auditorias internas e análises críticas ou auditorias de certificação anteriores;

 registros de reclamações e outros aspectos relevantes de ação corretiva e preventiva;
 mudanças significativas no tamanho dos sites;
 mudanças nos padrões de turnos e procedimentos de trabalho;
 complexidade do sistema de gestão e processos realizados nos sites;
 mudanças desde a última auditoria de certificação;
 maturidade do sistema de gestão e conhecimento da organização;
 questões ambientais e extensão dos aspectos e impactos associados aos sistemas de gestão
ambiental;
 diferenças na cultura, idioma e requisitos regulamentares;
 dispersão geográfica; e
 se os sites são permanentes, temporários ou virtuais.
6.1.2.5 Esta seleção não precisa ser feita no início do processo de auditoria. Também pode ser feita
quando a auditoria da função central estiver concluída. Em qualquer caso, a função central, dos locais
a serem incluídos na amostra, deve ser informada. Isso pode ocorrer em prazo relativamente curto,
mas deve permitir tempo suficiente para a preparação para a auditoria.
6.1.3 Tamanho da Amostra
6.1.3.1 O Organismo de Certificação deve ter um procedimento documentado para determinar o

tamanho da amostra. Isso deve levar em conta todos os fatores descritos nesta seção.
6.1.3.2 O Organismo de Certificação deve ter registros em cada aplicação de amostragem para cada
organização multi-site, justificando que está operando de acordo com este documento.
6.1.3.3 O número mínimo de sites a serem visitados por auditoria será:
 Auditoria inicial: o tamanho da amostra deve ser a raiz quadrada do número de sites: (y = √x),
arredondado para o próximo número inteiro, onde y = número de sites a serem amostrados e x
= número total de sites.
 Auditoria de supervisão: o tamanho da amostra anual deve ser a raiz quadrada do número de
locais com 0,6 como coeficiente (y = 0,6 √x), arredondado para o próximo número inteiro.
 Auditoria de recertificação: o tamanho da amostra deve ser o mesmo que para uma auditoria
inicial. No entanto, se o sistema de gestão se mostrou eficaz ao longo do ciclo de certificação, o
tamanho da amostra pode ser reduzido para, y = 0,8 √x, arredondado para o próximo número
inteiro.
6.1.3.4 A função central (conforme detalhado na Seção 5) deve ser auditada durante a certificação
inicial e em todas as auditorias de recertificação, e pelo menos uma vez por ano como parte da
supervisão.
6.1.3.5 O tamanho ou a frequência da amostra deve ser aumentada, se a análise de risco do

processo/atividade coberto pelo sistema de gestão, sujeito à certificação realizada pelo organismo de
certificação, indicar circunstâncias especiais em relação a fatores tais como:
REV. PÁGINA
NIT-DICOR-054
10 11/83
 o tamanho dos sites e número de funcionários;

 a complexidade ou nível de risco do processo/atividade e do sistema de gestão;
 mudanças nas práticas de trabalho (por exemplo, trabalho em turnos);
 mudanças nos processos/atividades realizadas;
 registros de reclamações e outros aspectos relevantes de ação corretiva e preventiva;
 quaisquer aspectos multinacionais; e
 resultados de auditorias internas e análises críticas pela alta administração.
6.1.3.6 Quando a organização possuir um sistema hierárquico de filiais (por exemplo, escritório
principal (central), escritórios nacionais, escritórios regionais, filiais locais), o modelo de amostragem
para auditoria inicial, conforme definido acima, aplica-se a cada nível.
Exemplo:
- 1 escritório sede: visitado em cada ciclo de auditoria (inicial, na supervisão ou na recertificação)

- 4 escritórios nacionais: amostra = 2; no mínimo 1 de forma aleatória
- 27 escritórios regionais: amostra = 6; mínimo 2 de forma aleatória
- 1700 filiais locais: amostra = 42; mínimo 11 de forma aleatória
A amostra de escritórios regionais deve incluir pelo menos um escritório regional controlado por cada
escritório nacional. A amostra de filiais locais deve incluir pelo menos uma filial local controlada por
cada escritório regional. Isto pode resultar no tamanho da amostra em cada nível que exceda o
tamanho mínimo da amostra calculado de acordo com o parágrafo 6.1.3.3.
6.1.3.7 O processo de amostragem deve fazer parte da gestão do programa de auditoria. A qualquer
momento (ou seja, antes de planejar a auditoria de supervisão ou quando qualquer site da organização
alterar sua estrutura ou no caso de aquisição de novos sites que serão adicionados ao escopo de
certificação), o Organismo de Certificação deve revisar a amostragem prevista no programa de
auditoria, a fim de estabelecer a necessidade de ajustar o tamanho da amostra antes de auditar a
amostra, a fim de manter a certificação.
6.1.4 Sites Adicionais
6.1.4.1 Na solicitação de inclusão de novos sites ou de um novo grupo de sites para se juntar a uma
organização multi-site já certificada, o Organismo de Certificação determinará as atividades
necessárias a serem realizadas antes de incluir os novos sites no certificado. Isso deve incluir a
consideração de auditar ou não os novos sites. Após a inclusão dos novos sites no certificado, o
tamanho da amostra para futuras auditorias de supervisão ou recertificação deve ser determinado.
6.2 Metodologia para Auditoria de Organizações Multi-site quando a Amostragem de Sites

usando a Seção 6.1 não for apropriada
6.2.1 O programa de auditoria deve consistir em uma auditoria inicial e auditoria de recertificação de
todos os sites. Nas auditorias de acompanhamento, 30% dos locais, arredondado para o próximo
inteiro, devem ser cobertos em um ano civil. Cada auditoria incluirá a função central. Os locais
selecionados para a segunda auditoria de supervisão normalmente serão diferentes dos locais
selecionados para a primeira auditoria de supervisão.
6.2.2 O programa de auditoria deve ser planejado para assegurar que todos os processos cobertos
pelo escopo de certificação sejam auditados ao longo de cada ciclo.
REV. PÁGINA
NIT-DICOR-054
10 12/83
6.2.3 Sites Adicionais
Quando houver solicitação de um novo site para se juntar a uma organização multi-site já certificada,
o site deve ser auditado antes de ser incluído no certificado, além de sua supervisão ser planejada no
programa de auditoria. Após a inclusão do novo local no certificado, ele deve ser adicionado aos
anteriores para determinar o tempo de auditoria para futuras auditorias de supervisão ou recertificação.
6.3 Metodologia para Auditoria de Organizações Multi-site que incluem uma combinação de
sites que podem ser amostrados e outros sites que não podem ser amostrados
O programa de auditoria deve ser estabelecido usando a Seção 6.1 para os sites que podem ser
amostrados e a Seção 6.2 para a parte restante da organização onde a Seção 6.1 não é adequada.
7. AUDITORIA E CERTIFICAÇÃO
O Organismo de Certificação deve ter procedimentos documentados para realizar auditorias sob a
abordagem multi-site. Tais procedimentos devem estabelecer a maneira como o Organismo de
Certificação se assegura de que o sistema de gestão único controla os processos/atividades em todos
os locais, e é realmente aplicado em todos os sites. O Organismo de Certificação deve justificar e
registrar a justificativa para prosseguir com qualquer abordagem para a auditoria e certificação de uma
organização multi-site.
7.1 Solicitação e Análise Crítica da Solicitação
7.1.1 O Organismo de Certificação deverá obter as informações necessárias sobre a organização

solicitante para:
 confirmar que um sistema de gestão único está implantado em toda a organização;

 determinar o escopo do sistema de gestão que está sendo operado e o escopo de certificação
solicitado e, se aplicável, subescopos;
 compreender as disposições legais e contratuais de cada site;
 entender “o que acontece onde”, ou seja, os processos/atividades realizados em cada local e
identificar a função central;
 determinar o grau de centralização do processo/atividades que são realizados em todos os sites
(por exemplo, compras);
 determinar interfaces entre os diferentes sites;
 determinar quais sites são elegíveis para amostragem (ou seja, onde processos/atividades muito
semelhantes são realizados) e aqueles que não são elegíveis;
 levar em consideração outros fatores relevantes (ver também IAF MD 4, IAF MD 5, IAF MD 11:
Documento mandatório do IAF para Aplicação da ISO/IEC 17021 para Auditorias de Sistemas
de Gestão Integrados (SGI), ISO/IEC TS 17023);
 determinar o tempo de auditoria para a organização;
 determinar a competência da equipe de auditoria necessária; e
 identificar a complexidade e a escala dos processos/atividades (por exemplo, um ou muitos)
abrangidos pelo sistema de gestão.
REV. PÁGINA
NIT-DICOR-054
10 13/83
7.2 Programa de Auditoria
7.2.1 Além do requisito da ISO/IEC 17021-1:2015, cláusula 9.1.3, o programa de auditoria deverá
incluir, pelo menos, ou fazer referência ao seguinte:
 processos/atividades fornecidos em cada site;
 identificação dos sites que podem ser amostrados e quais não são; e
 identificação de sites cobertos por amostragem e quais não são.
7.2.2 Ao determinar o programa de auditoria, o Organismo de Certificação deve prever tempo adicional
suficiente para atividades que não fazem parte do tempo de auditoria calculado, como viajar,
comunicação entre os membros da equipe de auditoria, reuniões pós-auditoria etc. devido às
características da organização a ser auditada.
Nota: Técnicas de auditoria remota podem ser usadas, desde que os processos a serem auditados
sejam de tal natureza que a auditoria remota seja apropriada (ver ISO/IEC 17021-1 e IAF MD 4)
7.2.3 Quando equipes de auditoria que consistem de mais de um membro forem usadas a qualquer
momento, será responsabilidade do Organismo de Certificação, em conjunto com o líder da equipe,
identificar a competência técnica requerida para cada parte da auditoria e em cada site, e alocar
membros da equipe apropriados para cada parte da auditoria.
7.3 Cálculo do tempo de auditoria
7.3.1 Uma organização que satisfaça os critérios de elegibilidade pode consistir em sites que podem
ser amostrados, sites que não podem ser amostrados ou uma combinação de ambos. O tempo de
auditoria deve ser suficiente para realizar uma auditoria efetiva, independentemente da composição
da organização.
A menos que seja impedido por esquemas específicos, a redução do tempo de auditoria por local
amostrado não deve ser superior a 50%.
Por exemplo, 30% é a redução máxima no tempo de auditoria permitido pelo IAF MD 5, enquanto 20%
deve ser considerada a redução máxima permitida para os processos de sistema de gestão único
executados pela função central e quaisquer possíveis processos centralizados (por exemplo,
compras).
O tempo de auditoria por site selecionado (seja proveniente da metodologia de amostragem como em
6.1, ou sem amostragem como em 6.2 ou da metodologia mista como em 6.3), incluindo elementos da
função central, se aplicável, deve ser calculado para cada local usando o documento mandatório do
IAF correspondente (por exemplo, IAF MD 5 para sistemas de gestão ambiental e de qualidade, IAF
MD 11 para sistemas de gestão integrados) e, quando necessário, quaisquer requisitos aplicáveis do
esquema setorial para o cálculo de homens-dia.
7.4 Plano de Auditoria
7.4.1 Além do requisito da ISO/IEC 17021-1:2015, cláusula 9.2.3, o Organismo de Certificação deve,
pelo menos, considerar o seguinte, ao preparar o plano de auditoria:
 escopo e subescopo de certificação para cada site;
 norma de sistema de gestão para cada site, se várias normas do sistema de gestão estiverem
sendo consideradas;
 processos/atividades a serem auditadas;
 tempo de auditoria para cada site; e
 equipe de auditoria alocada.
REV. PÁGINA
NIT-DICOR-054
10 14/83
7.5 Auditoria Inicial: Fase 1
Durante a Fase 1, a equipe de auditoria deve preencher as informações para:

 confirmar o programa de auditoria;
 planejar a Fase 2, levando em consideração os processos/atividades a serem auditados em cada
site; e
 confirmar que a equipe de auditoria da Fase 2 possui a competência necessária.
7.6 Auditoria Inicial: Fase 2
No resultado da auditoria inicial, a equipe de auditoria deve documentar quais processos foram
auditados em cada site visitado. Esta informação será usada para alterar o programa de auditoria e os
planos de auditoria para auditorias de supervisão subsequentes.
7.7 Não conformidades e certificação
7.7.1 Quando não conformidades, conforme definidas na ISO/IEC 17021-1, forem encontradas em
qualquer site individual, seja através da auditoria interna da organização ou da auditoria pelo
Organismo de Certificação, uma análise deve ser realizada para determinar se os outros sites podem
ser afetados. Portanto, o Organismo de Certificação exigirá que a organização analise as não
conformidades para determinar se indicam ou não uma deficiência geral do sistema aplicável a outros
locais. Se for determinado que sim, ações corretivas devem ser executadas e verificadas tanto na
função central quanto nos locais afetados individualmente. Se for determinado que não, a organização
deve ser capaz de demonstrar ao Organismo de Certificação uma justificativa para limitar sua ação
corretiva de acompanhamento.
7.7.2 O Organismo de Certificação deve exigir evidências dessas ações e aumentar sua
frequência de amostragem e/ou o tamanho da amostra até que tenha confiança de que o controle
foi restabelecido.
7.7.3 No momento do processo de tomada de decisão, se qualquer local tiver uma não
conformidade maior, a certificação deve ser negada para toda a organização multi-site de locais
relacionados, aguardando uma ação corretiva satisfatória.
7.7.4 Não será admissível que, para superar o obstáculo gerado pela existência de uma não
conformidade em um único site, a organização queira excluir do escopo o site "problemático"
durante o processo de certificação.
7.8 Documentos de Certificação
7.8.1 O documento de certificação deve refletir o escopo da certificação e os sites e/ou entidades
legais (quando aplicável) cobertos pela certificação multi-site.
7.8.2 Os documentos de certificação devem conter o nome e endereço de todos os sites, refletindo
a organização à qual os documentos de certificação se referem. O escopo ou outra referência
nesses documentos deve deixar claro que as atividades certificadas são realizadas pelos sites
relacionados.
No entanto, se as atividades de um site incluírem apenas um subconjunto do escopo da

organização, o documento de certificação deve incluir o subescopo do site. Quando sites
temporários são relacionados nos documentos de certificação, esses sites devem ser identificados
como temporários.
REV. PÁGINA
NIT-DICOR-054
10 15/83
7.8.3 Quando forem emitidos documentos de certificação para um site, eles devem incluir:
 informação de que o sistema de gestão de toda a organização é que está certificado;

 as atividades realizadas neste site específico/entidade legal, que está coberto pela certificação;
 a rastreabilidade com o certificado principal, por ex. um código; e
 uma declaração informando que “a validade deste certificado depende da validade do certificado
principal”.
Sob nenhuma circunstância, este documento de certificação pode ser emitido em nome do site/
entidade legal, ou sugerir que este site/entidade legal é certificado (a organização cliente que está
certificada), nem deve incluir uma declaração de conformidade de processos/atividades do site em
relação ao documento normativo.
7.8.4 O documento de certificação será cancelado em sua totalidade se qualquer um dos sites não
cumprir as disposições necessárias para a manutenção da certificação.
7.9 Auditorias de Supervisão
7.9.1 A supervisão de organizações multi-site com amostragem por sites deve ser auditada de
acordo com a Seção 6.1. O tempo de auditoria por site deve ser calculado de acordo com a
Cláusula 7.3 acima.
7.9.2 A supervisão de organizações multi-site que não podem ser amostradas por site de acordo
com a Seção 6.1 é baseada na auditoria de 30% dos sites mais a função central. Os locais
selecionados para a segunda supervisão de um ciclo de certificação normalmente não incluirão
quaisquer locais amostrados como parte da primeira auditoria de supervisão. O tempo de auditoria
por site deve ser calculado de acordo com a Cláusula 7.3 acima.
7.10 Auditorias de Recertificação
7.10.1 A recertificação de organizações multi-site por amostragem de sites deve ser auditada de
acordo com a Seção 6.1. O tempo de auditoria por site deve ser calculado de acordo com a
7.10.2 A recertificação de organizações multi-site que não podem ser amostradas por site deve
ser auditada de acordo com a auditoria inicial, ou seja, todos os sites auditados mais a função
central. O tempo de auditoria por site e função central deve ser calculado de acordo com a
Fim do Documento Mandatório do IAF para Auditoria e Certificação de um Sistema de Gestão

Operado por uma Organização Multi-Site
/ANEXO B
REV. PÁGINA
NIT-DICOR-054
10 16/83
ANEXO B - DOCUMENTO MANDATÓRIO DO IAF PARA A TRANSFERÊNCIA DA

CERTIFICAÇÃO ACREDITADA DE SISTEMAS DE GESTÃO (IAF MD 2:2017)
Este documento é mandatório para a consistente aplicação da cláusula 9.1.3 da ABNT NBR ISO/IEC
17021-1:2015. Todas as cláusulas da ABNT NBR ISO/IEC 17021-1:2015 continuam a ser aplicadas e
este documento não substitui qualquer dos requisitos daquela norma.
0. INTRODUÇÃO
Este documento fornece critérios normativos sobre a transferência de certificação de sistemas de

gestão acreditada entre organismos de certificação. Os critérios podem, também, ser aplicados no
caso de aquisição de organismos de certificação acreditados por um signatário do MLA do IAF.
O objetivo deste documento é assegurar a manutenção da integridade das certificações de sistema de

gestão acreditadas, emitidas por um organismo de certificação, se transferidas posteriormente para
outro organismo semelhante.
O documento fornece critérios mínimos para a transferência de certificação. Os organismos de

certificação poderão implementar procedimentos ou ações que sejam mais restritivas do que as
contidas aqui, desde que a liberdade da organização cliente em escolher um organismo de certificação
não seja indevida ou injustamente restringida.
1. DEFINIÇÃO
1.1 Transferência de Certificação
A transferência de certificação é definida como o reconhecimento da existência e validade de uma

certificação de sistema de gestão, concedida por um organismo de certificação acreditado (daqui por
diante denominado "organismo de certificação emissor”), por outro organismo de certificação
acreditado (daqui por diante denominado "organismo de certificação receptor”), com a finalidade de
emitir sua própria certificação.
A certificação múltipla (certificação simultânea por mais de um organismo de certificação) não se

encaixa na definição anterior e não é encorajada pelo IAF.
2. REQUISITOS MÍNIMOS
2.1 Elegibilidade de uma Certificação para Transferência
2.1.1 Somente certificações cobertas pela acreditação de um signatário do MLA do IAF ou signatário
do MLA Regional no nível 3 e, onde aplicável, níveis 4 e 5, devem ser elegíveis para transferência. As
organizações portadoras de certificações que não estejam cobertas por tais acreditações devem ser
tratadas como novos clientes.
2.1.2 Somente certificações acreditadas válidas devem ser transferidas. Certificações que estejam em
vias de serem suspensas não devem ser aceitas para transferência.
2.1.3 Nos casos em que a certificação tiver sido concedida por um organismo de certificação que tenha
encerrado suas atividades ou cuja acreditação expirou, tenha sido suspensa ou cancelada, a
transferência deve ser concluída dentro de 6 meses ou no vencimento da certificação, o que ocorrer
REV. PÁGINA
NIT-DICOR-054
10 17/83
primeiro. Nesses casos, o organismo de certificação receptor deverá informar ao Organismo de

Acreditação, sob cuja acreditação pretende emitir a certificação, antes de realizar a transferência.
2.2. Análise Crítica pré-transferência
2.2.1 O organismo de certificação receptor deve possuir um procedimento para obter informações
suficientes a fim de tomar a decisão de certificação e informar ao cliente da transferência deste
processo. Essas informações devem incluir, no mínimo, disposições relativas ao ciclo de certificação.
2.2.2 O organismo de certificação deve realizar uma análise crítica da certificação a ser transferida do
cliente. A análise crítica realizada deve incluir uma análise da documentação e se esta análise
identificar como necessária, por exemplo, a identificação de não conformidades maiores, deve ser
incluída uma visita pré-transferência ao cliente para confirmar a validade da certificação.
Nota: a visita pré-transferência não é uma auditoria.
2.2.3 O organismo de certificação receptor deve determinar os critérios de competência para o pessoal
envolvido na análise crítica de pré-transferência. A análise crítica pode ser conduzida por uma ou mais
pessoas. O indivíduo ou grupo que realizar a visita de pré-transferência deve ter a mesma competência
requerida para uma equipe de auditoria adequada ao escopo da certificação que está sendo analisado.
2.2.4 A análise crítica deve cobrir minimamente os aspectos a seguir, e a análise e suas constatações
devem ser totalmente documentadas:
i) confirmação de que a certificação do cliente se enquadra no escopo acreditado do organismo de

certificação emissor e receptor;
ii) confirmação de que o escopo acreditado do organismo de certificação emissor está coberto pelo
escopo de MLA do seu organismo de acreditação;
iii) as razões para solicitar uma transferência;
iv) que o site ou sites que desejam transferir a certificação possuam uma certificação acreditada
válida;
v) os relatórios de auditoria da certificação inicial ou da recertificação mais recente, e o relatório da
última supervisão; o status de todas as não conformidades pendentes que possam ter surgido
delas, e qualquer outra documentação relevante relacionada ao processo de certificação. Se
esses relatórios de auditoria não estiverem disponíveis ou se a auditoria de supervisão ou de
recertificação não tiver sido concluída como exigido pelo programa de auditoria do organismo de
certificação emissor, a organização deve ser tratada como um novo cliente;
vi) reclamações recebidas e ações tomadas;
vii) considerações relevantes para estabelecer um plano de auditoria e um programa de auditoria. O
programa de auditoria estabelecido pelo organismo de certificação emissor deve ser revisado, se
disponibilizado. Ver requisito 2.3.4 deste documento; e
viii) qualquer compromisso vigente do cliente a ser transferido com os órgãos reguladores relevantes
para o escopo da certificação em relação à conformidade legal.
2.3 Transferência de Certificação
2.3.1 De acordo com o requisito 9.5.2 da ABNT NBR ISO/IEC 17021-1:2015, o organismo de
certificação receptor não deve conceder a certificação para o cliente transferido até que:
i) tenha verificado a implementação de correções e ações corretivas em relação a todas as não

conformidades críticas maiores pendentes, e
ii) tenha aceito os planos de correção e ação corretiva para todas as não conformidades menores
pendentes.
REV. PÁGINA
NIT-DICOR-054
10 18/83
2.3.2 Se a análise crítica de pré-transferência (análise documental e/ou visita de pré-transferência)

identificar questões que impeçam a conclusão da transferência, o organismo de certificação receptor
deve tratar o cliente solicitante da transferência como um cliente novo.
A justificativa para esta decisão deve ser comunicada ao solicitante da transferência e documentada
pelo organismo de certificação receptor e os registros mantidos.
2.3.3 O processo normal de tomada de decisão deve ser seguido conforme o requisito 9.5 da ABNT
NBR ISO/IEC 17021-1:2015, inclusive de modo que o pessoal responsável pela tomada de decisão
deve ser diferente daquele que realizou a análise crítica de pré-transferência.
2.3.4 Se não forem identificados problemas na análise crítica de pré-transferência, o ciclo de

certificação deve basear-se no ciclo de certificação anterior e o organismo de certificação receptor
deve estabelecer um programa de auditoria para o restante do ciclo de certificação.
NOTA: O organismo de certificação receptor pode citar a data de certificação inicial da organização
nos documentos de certificação com a indicação de que a organização foi certificada por um outro
organismo de certificação antes de uma determinada data.
Se o organismo de certificação receptor tiver que tratar o solicitante como um novo cliente, como
resultado da análise crítica de pré-transferência, o ciclo de certificação deve se iniciar com a decisão
de certificação.
2.3.5 O organismo de certificação receptor deve tomar a decisão de certificação antes de qualquer
auditoria de supervisão ou recertificação ser iniciada.
2.4 Cooperação entre Organismos de Certificação Emissor e Receptor
2.4.1 A cooperação entre organismos de certificação emissor e receptor é essencial para o processo
efetivo de transferência e a integridade da certificação. Quando solicitado, o organismo de certificação
emissor deve fornecer ao organismo de certificação receptor todos os documentos e informações
exigidas por este documento. Quando não for possível a comunicação com o organismo de certificação
emissor, o organismo de certificação receptor deve registrar as razões e envidar todos os esforços
para obter as informações necessárias por meio de outras fontes.
2.4.2 O cliente solicitante da transferência deve autorizar o organismo de certificação emissor a

fornecer as informações solicitadas pelo organismo de certificação receptor. O organismo de
certificação emissor não deve suspender ou cancelar o certificado da organização após a notificação
de que a organização está em processo de transferência para o organismo de certificação receptor,
se o cliente continuar a satisfazer os requisitos de certificação.
2.4.3 O organismo de certificação receptor e/ou o cliente transferente devem entrar em contato com o
organismo de acreditação do organismo de certificação emissor, se este organismo:
i) não fornecer as informações solicitadas ao organismo de certificação receptor, ou
ii) suspender ou cancelar a certificação do cliente transferente sem justa causa.
2.4.4 O organismo de acreditação deve ter um processo para tratar da situação, incluindo a suspensão
ou cancelamento da acreditação, quando o organismo de certificação emissor não cooperar com o
organismo de certificação receptor, ou suspender ou cancelar a certificação do cliente transferido sem
justa causa.
2.4.5 Assim que o organismo receptor tiver emitido a certificação, deverá informar ao OC emissor.
/ANEXO C
REV. PÁGINA
NIT-DICOR-054
10 19/83
ANEXO C - DOCUMENTO MANDATÓRIO DO IAF PARA PROCEDIMENTOS AVANÇADOS DE

SUPERVISÃO E RECERTIFICAÇÃO (PASR) (IAF MD 3:2008)
Este documento fornece critérios normativos para procedimentos avançados de supervisão e

recertificação (PASR), para a consistente aplicação da cláusula 9.1.1 da ABNT NBR ISO/IEC
17021:2007, para determinar ajustes subsequentes no programa de auditoria. Este documento
considera somente Sistemas de Gestão da Qualidade (SGQ) e Sistemas de Gestão Ambiental (SGA),
os quais os membros do IAF têm experiência na implementação de PASR ou de suas metodologias
predecessoras. O uso de PASR não é mandatório, mas se um organismo de acreditação desejar
permitir seu organismo de certificação acreditado e seu(s) cliente(s) optarem pelo uso de PASR, é um
requisito do IAF que o organismo de certificação e seu(s) cliente(s) atendam a este documento e
estejam aptos a demonstrar conformidade ao organismo de acreditação.
0 INTRODUÇÃO
0.1 Nos casos em que uma organização estabeleceu confiança em seu sistema de gestão (SGQ e/ou
SGA), ao demonstrar regularmente eficácia durante um período, o organismo de certificação, sob
consulta com a organização, poderá decidir aplicar os Procedimentos Avançados de Supervisão e
Reavaliação (PASR) possibilitados por este documento. Tal programa avançado de supervisão e
reavaliação poderá ter um grau de confiança maior (mas não total) nos processos de auditoria interna
e análise crítica pela administração da organização, incluir tópicos específicos para supervisão, levar
em consideração entradas específicas de projeto da organização e/ou usar outros métodos, conforme
apropriado, para demonstrar conformidade do sistema de gestão.
0.2 O objetivo deste documento é assegurar o fornecimento de uma auditoria mais eficaz e eficiente
de organizações que possuam um registro de desempenho comprovado mantendo, ao mesmo tempo,
a integridade dos respectivos certificados de sistema de gestão acreditados.
0.3 Este documento estabelece os requisitos mínimos para a aplicação do PASR. Os organismos de
certificação poderão implementar procedimentos ou ações que sejam mais restritivas do que as
contidas aqui, desde que um pedido justificável da organização para o PASR não seja indevido ou
injustamente restringido.
1 REQUISITOS MÍNIMOS
1.1 Pré-requisito
A fim de utilizar o PASR, o organismo de certificação deve primeiramente demonstrar para um

organismo de acreditação signatário do MLA do IAF:
a) que esteve operando um programa de certificação acreditado para o sistema de gestão pertinente
(SGQ e/ou SGA) por no mínimo um ciclo completo de acreditação.
b) que é competente para elaborar um programa de PASR para cada organização individual, no
sistema de gestão pertinente (SGQ e/ou SGA), de acordo com os requisitos da cláusula 7.3 da
ABNT NBR ISO 9001:2000, e utilizando os critérios de entrada de projeto mencionados na cláusula
1.3.2 a seguir.
NOTA: A referência é feita aqui à ABNT NBR ISO 9001 visto que ela especifica os requisitos para o
organismo de certificação elaborar um programa para PASR, indiferentemente se ele estiver operando
certificação de SGQ ou SGA.
REV. PÁGINA
NIT-DICOR-054
10 20/83
1.2 Escopo de acreditação
A competência do organismo de certificação em atender ao item 1.1 (b) anterior deve ser avaliada pelo
organismo de acreditação. Se a avaliação for bem-sucedida, deve-se incluir uma referência específica
à aprovação para PASR para SGQ e/ou SGA, conforme pertinente, no escopo de acreditação do
organismo de certificação.
1.3 Critérios de elegibilidade e de entrada de projeto
O organismo de certificação deve informar ao organismo de acreditação antes de cada nova utilização
do PASR para cada organização específica, e deve ser capaz de demonstrar que os critérios
constantes a seguir nas cláusulas 1.3.1 e 1.3.2 foram satisfeitos:
1.3.1 Critérios de elegibilidade
a) O organismo de certificação deve confirmar que o sistema de gestão da organização teve sua
conformidade demonstrada com os requisitos da(s) norma(s) aplicável(is) por um período de no
mínimo um ciclo completo de certificação incluindo as auditorias inicial, de supervisão e de
recertificação.
NOTA: O resultado da primeira auditoria de recertificação (sem aplicar PASR) da organização,

conduzida ao final de um ciclo de certificação de três anos, poderá servir de base para o organismo
de certificação confirmar que a conformidade foi demonstrada.
b) Todas as não conformidades levantadas durante o ciclo de certificação imediatamente antes da

utilização do PASR devem ter sido resolvidas com sucesso.
c) Para um SGA, o organismo de certificação deve confirmar que a organização estabeleceu

conformidade com os requisitos legais aplicáveis e que não teve quaisquer sanções impostas
pela(s) autoridade(s) regulamentadora(s) pertinente(s) durante o período citado no item a) anterior.
d) O organismo de certificação deve ter combinado com a organização, indicadores de desempenho

adequados, pelos quais possa julgar a eficácia contínua do sistema de gestão, e deve assegurar
que a organização atende coerentemente às metas de desempenho combinadas.
(i) Para um SGQ, estes indicadores de desempenho devem abordar, no mínimo, a capacidade
demonstrada da organização em fornecer regularmente produtos que atendam aos requisitos de
regulamentos aplicáveis e do cliente (veja a cláusula 1.1 da ABNT NBR ISO 9001:2000), e deve
incorporar requisitos para a melhoria contínua da eficácia do SGQ.
NOTA: Para um SGQ, entende-se por “indicador” a característica a ser medida e por “meta” os
requisitos quantitativos/qualitativos a serem atendidos.
(ii) Para um SGA, estes indicadores de desempenho devem abordar, no mínimo, a capacidade
demonstrada da organização em alcançar sua política, objetivos e metas ambientais e em
atender aos requisitos legais aplicáveis e a outros relacionados com seus aspectos ambientais
(veja a cláusula 4.3.2 da ABNT NBR ISO 14001:2004), e devem incorporar requisitos para a
melhoria contínua e prevenção da poluição.
NOTA: Para um SGA, entende-se por “indicador” a característica a ser medida e por “meta”, usada
no contexto de meta de desempenho, os requisitos quantitativos/qualitativos a serem atendidos,
que é considerada como sendo idêntica à “meta ambiental”, conforme definido na ABNT NBR ISO
14001.
REV. PÁGINA
NIT-DICOR-054
10 21/83
e) O organismo de certificação deve ter arranjos executáveis legalmente com a organização para que
esta ofereça acesso às informações pertinentes. Para um SGQ, estas informações são todos os
dados de satisfação do cliente coletados ou disponíveis de outra forma. Para um SGA, estas
informações são todas as comunicações pertinentes de partes externas interessadas, e em
particular de autoridade(s) regulamentadora(s) pertinente(s). Quando for necessário que o
organismo de certificação comunique-se diretamente com a fonte de tais informações para validá-
las, devem ser aplicadas políticas e procedimentos de confidencialidade em comum acordo.
f) O organismo de certificação deve verificar se o processo de auditoria interna da organização vem

sendo gerenciado de acordo com a diretriz constante na ABNT NBR ISO 19011, em particular
quanto à competência do auditor definida na cláusula 7. O processo de auditoria interna deve ser
coordenado e integrado o suficiente para fornecer uma avaliação do sistema de gestão como um
todo, e não só o desempenho isolado dos componentes.
g) O organismo de certificação deve ter acordos contratuais vigentes que o permitam aumentar o
escopo, frequência e duração de suas auditorias no caso de uma deterioração da capacidade da
organização em atender às metas de desempenho combinadas.
1.3.2 Critérios de entrada de projeto
Além dos critérios de entrada específicos da organização, o projeto de cada PASR individual deve
abordar os itens a seguir:
a) A frequência e duração das auditorias do organismo de certificação devem ser suficientes para
permitir que o organismo de certificação atenda a este documento de critérios, incluindo os itens b)
e c) a seguir, entre outros.
Para cada utilização proposta do PASR, o organismo de certificação deve determinar o tempo básico
de auditor (sem aplicar o PASR) usando os Documentos pertinentes dos Critérios Normativos ou da
Diretriz do IAF e, se aplicável, o Anexo A deste documento (IAF MD1:2007) para amostragem de
multisites. Se o organismo de certificação planejar um programa PASR individual que reduza o tempo
de auditor a menos de 70% deste nível básico, o organismo de certificação deve justificar tais reduções
e solicitar aprovação específica para o organismo de acreditação antes de sua implementação.
NOTA: os Documentos Mandatórios do IAF aplicáveis a tempo de auditor para SGQ e SGA estão em
desenvolvimento. Até que tais documentos estejam disponíveis, convém que o Anexo 2 do IAF GD2/
Anexo E da NIT-Dicor-054 (e, quando aplicável o Anexo A) continuem a ser aplicados para definir o
tempo total de auditoria (Fase 1 + Fase 2).
b) Além de auditar um número estatisticamente significativo de amostras dos processos do sistema

de gestão da organização para confirmar a adequação e eficácia do processo de auditoria interna,
o organismo de certificação deve ele próprio continuar a realizar, pelo menos, as seguintes
atividades a cada auditoria de supervisão e recertificação no local (com outras atividades definidas
pelo PASR; consulte a cláusula 1.4 abaixo):
 Entrevistar a alta direção e o representante da administração;

 Avaliar as entradas e saídas da análise crítica pela administração, incluindo a verificação
da capacidade da organização em atender às metas de desempenho combinadas;
 Analisar criticamente o processo de auditoria interna, incluindo os procedimentos e
registros de auditorias internas, e a competência dos auditores internos;
 Analisar criticamente os planos de ações corretivas e preventivas e verificar sua
implementação eficaz.
REV. PÁGINA
NIT-DICOR-054
10 22/83
c) O organismo de certificação deve assegurar que todos os requisitos de uma certificação acreditada
(incluindo os requisitos da ABNT NBR ISO/IEC 17021:2007 e de qualquer programa aplicável ao
setor) continuam a ser atendidos.
1.4 Saídas de projeto
A saída de projeto para cada aplicação do programa PASR do organismo de certificação deve incluir
o constante nos itens de (a) a (f), a seguir:
a) a extensão na qual o organismo de certificação utilizará os processos de auditoria interna e análise

crítica pela administração da organização para complementar as atividades do organismo de
certificação;
b) os critérios para atestar as auditorias internas da organização, incluindo amostragem dos processos
e dos auditores a serem auditados;
c) os critérios para aceitar e monitorar a competência dos auditores internos da organização e o método
de relatar os resultados da auditoria interna;
d) os critérios para ajustes contínuos do programa de avaliação, levando em consideração a
capacidade demonstrada da organização ao longo do tempo em atender às metas de desempenho
combinadas;
e) os componentes do sistema de gestão que serão necessariamente auditados pelo organismo de
certificação a cada auditoria de supervisão e recertificação (veja cláusula 1.3.2 b); e
f) os critérios específicos de competência dos auditores do organismo de certificação e, quando
aplicável, dos especialistas técnicos.
1.5 Certificados
O organismo de certificação não deve diferenciar entre as metodologias com PASR e sem PASR nos
certificados que ele emitir.
/ANEXO D
REV. PÁGINA
NIT-DICOR-054
10 23/83
ANEXO D - DOCUMENTO MANDATÓRIO DO IAF PARA O USO DE TECNOLOGIAS DE

INFORMAÇÃO E COMUNICAÇÃO (TIC) PARA FINS DE AUDITORIA/AVALIAÇÃO
(IAF MD 4:2018)
0 INTRODUÇÃO
0.1 À medida em que a Tecnologia da Informação e Comunicação (TIC) se torna cada vez mais
sofisticada, é importante poder utilizá-la para melhorar a eficácia e a eficiência das
auditorias/avaliações, e para apoiar e manter a integridade do processo de auditoria/avaliação.
0.2 A TIC pode ser usada para coleta, armazenamento, recuperação, processamento, analisar e
transmitir informações. Isso inclui software e hardware tais como smartphones, dispositivos portáteis,
laptops, desktops, drones, câmeras de vídeo, tecnologia wearable, inteligência artificial e outros. O uso
de TIC pode ser apropriado para auditoria/avaliação tanto local como remota.
0.3 Exemplos do uso de TIC em auditorias/avaliações podem incluir, não se limitando a:
 reuniões por meio de teleconferência, incluindo áudio, vídeo e compartilhamento de dados;

 auditoria/avaliação de documentos e processos de certificação/acreditação por meio de acesso
eletrônico remoto, de forma síncrona (em tempo real) ou assíncrona (quando aplicável);
 gravação de informações e evidências por meio de câmeras still, ou gravações de áudio/vídeo;
 permissão de acesso visual/áudio a locais remotos ou potencialmente perigosos.
0.4 Os objetivos do uso eficaz de TIC para auditoria/avaliação são:
i) Fornecer uma metodologia para o uso de TIC suficientemente flexível e de natureza não prescritiva
para otimizar o processo de auditoria/avaliação;
ii) Assegurar que controles adequados estejam em vigor para evitar abusos que possam
comprometer a integridade do processo de auditoria/avaliação;
iii) Adotar princípios de segurança e sustentabilidade.
Devem ser tomadas medidas para garantir que a segurança e a confidencialidade sejam mantidas
durante as atividades de auditoria/ avaliação.
0.5 Outros esquemas, documentos normativos e normas de avaliação de conformidade podem impor
limitações ao uso de TIC para auditoria/avaliação e podem ter precedência sobre este documento.
1. ESCOPO
Este documento obrigatório permite a aplicação coerente do uso da tecnologia da informação e

comunicação como parte da metodologia de auditoria/avaliação. O escopo deste documento abrange
a auditoria/avaliação de sistemas de gestão, pessoas e produtos e é aplicável a organismos de
avaliação de conformidade e organismos de acreditação. O uso de TIC não é obrigatório e pode ser
usado para outros tipos de atividades de avaliação de conformidade, mas se usado como parte da
metodologia de auditoria/avaliação, é obrigatório estar em conformidade com este documento.
2. REFERÊNCIAS NORMATIVAS
Para as finalidades deste documento, as referências normativas abaixo são aplicáveis, dependendo
da atividade de avaliação da conformidade. Para referências datadas, somente a edição citada se
aplica. Para referências sem data, aplica-se a última edição do documento referenciado (incluindo
quaisquer alterações). Limitado a:
REV. PÁGINA
NIT-DICOR-054
10 24/83
 IAF MD 5 - Determinação do tempo de auditoria de Sistemas de Gestão da Qualidade e Ambiental

 ABNT NBR ISO/IEC 17011 - Avaliação da Conformidade - Requisitos para Organismos de
Acreditação que certificam Organismos de Avaliação da Conformidade
 ABNT NBR ISO/IEC 17021-1 - Avaliação da Conformidade - Requisitos para Organismos que
fornecem auditoria e certificação de Sistemas de Gestão - Parte 1: Requisitos
 ABNT NBR ISO/IEC 17065 - Avaliação da conformidade - Requisitos para organismos que
fornecem certificação de produtos, processos e serviços
 ABNT NBR ISO/IEC 17024 - Avaliação de conformidade - Requisitos gerais para organismos que
fornecem certificação de pessoas
Este MD também pode ser utilizado com outras normas de avaliação da conformidade, tais como:
 ABNT NBR ISO 14065 - Gases de efeito estufa - Requisitos para organismos de validação e
verificação de gases de efeito estufa para uso em acreditação ou outras formas de reconhecimento
 ABNT NBR ISO/IEC 17020 - Avaliação da conformidade - Requisitos para operação de vários tipos
de organismos que realizam inspeções
 ABNT NBR ISO/IEC 17025 - Requisitos gerais para a competência de laboratórios de ensaio e
calibração
Além disso, orientações sobre auditoria/avaliação com uso de TIC podem ser obtidas em:
 ABNT NBR ISO/IEC 17020 - Avaliação da conformidade - Requisitos para operação de vários tipos
de organismos que realizam inspeções
 ABNT NBR ISO/IEC 17025 - Requisitos gerais para a competência de laboratórios de ensaio e
calibração
 ISO/IAF APG - Grupo de Práticas de Auditoria - “Documentação eletrônica de sistemas de
informação” www.iso.org/tc176/ISO9001AuditingPracticesGroup
 IAF ID 12 - Princípios de Avaliação Remota
 ABNT NBR ISO 19011 - Diretrizes para auditoria de sistemas de gestão
3. DEFINIÇÕES
3.1 Site virtual

Local virtual onde uma organização cliente executa trabalho ou fornece um serviço usando um
ambiente on-line que permite que pessoas executem processos independentemente de locais físicos.
Nota 1: Não pode ser considerado site virtual, um local onde os processos devem ser executados em
um ambiente físico, por exemplo, armazenagem, fabricação, laboratórios de ensaios físicos, instalação
ou reparos de produtos físicos.
Nota 2: Um site virtual (por exemplo, a intranet da empresa) é considerado um site único para o cálculo
de tempo de auditoria/avaliação.
4. REQUISITOS
4.1 Segurança e Confidencialidade
4.1.1 A segurança e a confidencialidade das informações eletrônicas ou transmitidas eletronicamente

são particularmente importantes quando se utiliza TIC para fins de auditoria/avaliação.
REV. PÁGINA
NIT-DICOR-054
10 25/83
4.1.2 A utilização de TIC para efeitos de auditoria/avaliação deve ser mutuamente acordada pelo
organismo a ser auditado/avaliado e o organismo que realiza a auditoria/avaliação de acordo com as
medidas e regulamentos de segurança da informação e proteção de dados antes de ser utilizada em
auditoria/avaliação.
4.1.3 No caso de descumprimento destas medidas ou discordância sobre as medidas de segurança

da informação e de proteção de dados adotadas, o organismo que executa as atividades de
auditoria/avaliação deve usar outros métodos para realizar a auditoria/avaliação.
4.1.4 Quando não houver acordo para o uso de TIC para auditoria/avaliação, outros métodos devem
ser usados para cumprir os objetivos de auditoria/avaliação.
4.2 Requisitos de processos
4.2.1 O organismo deve identificar e documentar os riscos e oportunidades que possam ter impacto
na eficácia da auditoria/avaliação para cada uso de TIC sob as mesmas condições, incluindo a seleção
das tecnologias e como elas são gerenciadas.
4.2.2 Quando o uso de TIC é proposto para atividades de auditoria/avaliação, a análise crítica da
solicitação deve incluir uma verificação de que o cliente e o organismo que realiza a auditoria/avaliação
dispõem da infraestrutura necessária para apoiar a utilização das TIC propostas.
4.2.3 Considerando os riscos e oportunidades identificados em 4.2.1, o plano de auditoria/avaliação

deve identificar como a TIC será utilizada e até que ponto será usada para os objetivos da
auditoria/avaliação, para otimizar a eficácia e eficiência da auditoria/avaliação, mantendo a integridade
do processo de auditoria/avaliação.
4.2.4 Ao utilizar TIC, auditores/avaliadores e outras pessoas envolvidas (por exemplo, especialistas
técnicos) devem ter competência e capacidade para compreender e utilizar as tecnologias de
informação e comunicação empregadas para alcançar os resultados desejados das
auditorias/avaliações. O auditor/avaliador também deve estar ciente dos riscos e oportunidades das
tecnologias da informação e comunicação utilizadas e dos impactos que eles podem ter na validade e
objetividade das informações coletadas.
4.2.5 O uso de TIC para auditoria/avaliação pode contribuir para o tempo de auditoria/avaliação, pois
um planejamento adicional pode ser necessário e produzir impacto na duração da auditoria/avaliação.
Nota: Ao determinar o tempo/duração da auditoria/avaliação, devem ser consultadas as Referências

Normativas para requisitos adicionais que possam impactar a aplicação de TIC. O impacto sobre a
duração da auditoria/ avaliação com uso de TIC não se limita a este MD.
4.2.6 Os relatórios de auditoria/avaliação e registros relacionados devem indicar a extensão do uso de

TIC na condução de auditorias/avaliações e a eficácia deste uso na consecução dos objetivos de
auditoria/avaliação.
4.2.7 Se locais virtuais estiverem incluídos no escopo, o documento de certificação/acreditação deve

observar que os sites virtuais estão incluídos e as atividades executadas nos locais virtuais devem ser
identificadas.
Fim do Documento Obrigatório do IAF para o uso de Tecnologia da Informação e Comunicação (TIC)
para fins de Auditoria/Avaliação
/ANEXO E
REV. PÁGINA
NIT-DICOR-054
10 26/83
ANEXO E
Documento Obrigatório do IAF para determinação do tempo de auditorias de SGQ e SGA (IAF
MD 5:2015)
Este documento é obrigatório para a aplicação coerente da ABNT NBR ISO/IEC 17021-1 para as
auditorias de sistemas de gestão da qualidade e ambiental. Todas as cláusulas da ABNT NBR
ISO/IEC 17021-1 continuam a ser aplicadas e este documento não substitui nenhum dos requisitos
nesta norma. Embora o número de funcionários (permanente, temporário e parcial) do cliente seja
usado como ponto de partida quando se considera o período de auditoria, esta não é a única
consideração, também deverão ser levados em conta outros fatores que afetam o tempo de auditoria,
incluindo todas as listadas na ABNT NBR ISO/IEC 17021-1.
0. INTRODUÇÃO
0.1. Este documento fornece disposições obrigatórias e orientação para que os organismos de
certificação desenvolvam os seus próprios procedimentos documentados para determinar a
quantidade de tempo necessário para a auditoria de clientes de diferentes tamanhos e complexidade
ao longo de um amplo espectro de atividades. Pretende-se que isso vai levar a consistência de duração
da auditoria entre os Organismos de Certificação, bem como entre os clientes semelhantes do mesmo
Organismo.
0.2. O OAC deve identificar a duração da auditoria para a Fase 1 e Fase 2 da auditoria inicial, auditorias
de supervisão e auditorias de recertificação para cada cliente candidato e cliente certificado.
0.3. Este documento obrigatório não estipula mínimo/máximo de tempo, mas fornece uma estrutura
que deve ser documentada em procedimentos e utilizada dentro de um Organismo de Certificação
para determinar a duração apropriada da auditoria, tendo em conta as especificidades do cliente a ser
auditado.
0.4. Para fins de aprovação, deve notar-se que não conformidade a este documento (e/ou as tabelas
incluídas) em casos individuais não faz levar automaticamente à não conformidade com a ABNT NBR
ISO/IEC 17021. No entanto, esta situação poderia ser motivo para uma investigação mais aprofundada
para a integralidade da auditoria. Uma atenção especial deve ser dada para investigar os motivos para
o desvio a partir deste documento obrigatório.
0.5. Se forem encontradas inconsistências a este documento obrigatório com regularidade, isso
poderia formar uma base para a não conformidade com a ABNT NBR ISO/IEC 17021 considerando
assim que o Organismo de Certificação não pode dar uma garantia razoável de que ele fornece às
suas equipes de auditoria o tempo para realizar uma auditoria suficientemente completa como parte
do processo de certificação.
1. DEFINIÇÃO
1.1 Esquema de Certificação de Sistema de Gestão

Sistema de avaliação da conformidade relacionado com sistemas de gestão para os mesmos requisitos
especificados, regras específicas e processos aplicáveis.
1.2 Organização Cliente

Entidade ou parte definida de uma entidade que opera um sistema de gestão.
1.3 Site Permanente

Local (físico ou virtual) onde uma organização cliente (1.2) realiza um trabalho ou fornece um serviço
em uma base contínua.
REV. PÁGINA
NIT-DICOR-054
10 27/83
1.4 Site Virtual

Local virtual onde uma organização cliente executa trabalho ou fornece um serviço usando um
ambiente on-line permitindo que as pessoas, independente da localização física, possam executar
processos.
Nota 1: Processos que devem ser realizados em um ambiente físico não podem ser considerados
como Site Virtual, por exemplo: armazenagem, fabricação, testes físicos, laboratórios, instalação ou
reparos para produtos físicos;
Nota 2: Um site virtual (por exemplo intranet da empresa) é considerado um único site para o cálculo
de tempo de auditoria.
1.5 Site Temporário

Local (físico ou virtual) onde uma organização cliente (1.2) realiza um trabalho específico ou
proporciona um serviço por um período de tempo finito e que não se destina a tornar-se um Site
Permanente.
1.6 Tempo de auditoria

Tempo necessário para planejar e realizar uma auditoria completa e eficaz do sistema de gestão da
organização cliente (ABNT NBR ISO/IEC 17021-1).
1.7 Duração da Auditoria de Certificação de Sistema de Gestão

Parte do Tempo de Auditoria (1.6) utilizado na condução das atividades de auditoria desde a reunião
de abertura até a reunião de encerramento, inclusive.
Nota: Atividades de auditoria normalmente incluem:
• condução da reunião de abertura;

• análise de documentos enquanto conduz a auditoria;
• atribuir papéis e responsabilidades aos guias e observadores;
• coleta e verificação de informações;
• constatações gerais da auditoria;
• elaboração das conclusões de auditoria;
• condução da reunião de encerramento.
1.8 Auditor Dia

A duração de um auditor dia é normalmente 8 horas e pode ou não incluir tempo de locomoção e
almoço dependendo da legislação local.
1.9 Número Efetivo de Pessoal

O número efetivo de pessoal consiste em todo o pessoal envolvido no escopo da certificação, incluindo
aqueles que trabalham em cada turno. Pessoal não permanente (por exemplo: pessoal contratado),
assim como pessoal que trabalhe em tempo parcial, deve ser incluído neste número (referenciado em
2.3 para cálculo do número de pessoal efetivo).
1.10 Categoria de Risco (Somente para Sistema de Gestão da Qualidade - SGQ)

Para sistema de gestão da qualidade, as disposições contidas neste documento são baseadas em três
categorias, dependendo dos riscos associados a falhas de produto ou serviço da organização cliente.
Estas categorias podem ser consideradas como alto, médio ou baixo risco.
Atividades de alto risco (por exemplo: nuclear, médica, farmacêutica, alimentos, construção)
normalmente requerem mais tempo de auditoria. Atividades de médio risco (por exemplo: fabricação
simples) são suscetíveis de exigir um tempo médio para realizar uma auditoria eficaz e atividade de
baixo risco, um menor tempo (Ver Anexo A, Tabela SGQ 2).
REV. PÁGINA
NIT-DICOR-054
10 28/83
1.11 Complexidade da Categoria (somente SGA)

Para os sistemas de gestão ambiental, as disposições contidas neste documento se baseiam em cinco
categorias de complexidade de natureza primária, número e gravidade dos aspectos ambientais de
uma organização que fundamentalmente afetam o tempo de auditoria (Ver Anexo B, Tabela SGA 2).
2. APLICAÇÃO
2.1 Tempo de Auditoria
2.1.1 O tempo de auditoria para todos os tipos de auditorias inclui o tempo total no local das instalações
do cliente (físico ou virtual) e o tempo gasto fora do local de realização de planejamento, revisão de
documentos, interação com o pessoal do cliente e elaboração de relatórios.
2.1.2 A duração da auditoria de certificação de sistema de gestão (1.7) normalmente não deveria ser
menor que 80% do tempo de auditoria calculado seguindo a metodologia da Seção 3. Isto se aplica à
auditoria inicial, supervisão e recertificação.
2.1.3 Viagem (em rota ou entre sites) e quaisquer paradas não estão incluídas na duração da auditoria
de sistema de gestão no local.
Nota: Ver 1.8. Pode haver um requisito legal local para inclusão de pausa para almoço.
2.2 Auditor Dia(s)
2.2.1 As tabelas SGQ 1 e SGA 1 apresentam a média do tempo de auditoria de certificação de sistema
de gestão calculado em auditor dia(s). Ajustes nacionais de números de dias podem ser necessários
para cumprir a legislação local no que se refere à locomoção, pausa para almoço e horas trabalhadas,
isto para atingir o mesmo total de números de auditoria das Tabelas SGQ 1 e SGA 1.
2.2.2 O número de auditor dias alocado não deve ser reduzido na fase de planejamento quando houver
uma programação maior de horas por dia de trabalho. Considerações podem ser feitas para permitir
uma auditoria eficiente das atividades quando houver deslocamento que possa exigir horas adicionais
em um dia de trabalho.
2.2.3 Se o cálculo do resultado for um número decimal, o número de dias deve ser ajustado para o
meio-dia mais próximo (por exemplo: 5,3 auditor dia torna-se 5,5 auditor dia. 5,2 auditor dia torna-se
5,0 auditor dia).
2.2.4 Para ajudar a garantir a eficácia da auditoria, o Organismo de Certificação deve também
considerar a composição e tamanho da equipe de auditoria (por exemplo: ½ dia com 2 auditores pode
não ser tão eficaz quanto um auditor dia com 1 auditor ou um auditor dia com 1 auditor líder e 1
especialista técnico é mais eficaz que 1 auditor dia sem o especialista técnico).
Nota 1: O Organismo de acreditação pode requerer que o Organismo de Certificação demonstre que
a média do tempo de auditoria de clientes específicos não é significativamente nem mais nem menos
que o tempo de auditoria calculado das tabelas SGQ1 e SGA2.
Nota 2: Organismos de Certificação que trabalhem essencialmente com indústrias de alto risco ou
complexas são suscetíveis de ter uma média maior que as das tabelas e OC que trabalham
principalmente com indústrias de baixo risco são suscetíveis a ter uma média mais baixa que as das
tabelas.
REV. PÁGINA
NIT-DICOR-054
10 29/83
2.3 Cálculo do Número Efetivo de Pessoal
2.3.1 O número efetivo de pessoal, como definido acima, é usado como base de cálculo para o tempo
de auditoria de sistema de gestão. Considerações para determinar o número efetivo de empregados
incluem pessoal de tempo parcial ou pessoal com atividades parciais ao escopo, aqueles trabalhando
em turnos, administrativos, ou todas as categorias de pessoal de escritório, processos repetitivos,
e o emprego de um grande número de mão-de-obra não especializada em alguns países.
2.3.2 A justificativa para determinar o número efetivo de pessoal deve estar disponível para a
organização cliente e para o Organismo de Acreditação para revisão durante suas avaliações e a
pedido do Organismo de Acreditação.
2.3.3 Pessoal de Tempo Parcial e pessoal com atividades parciais no escopo

Dependendo das horas trabalhadas, o número de pessoal de período parcial e pessoal limitado ao
escopo poderá ser reduzido ou acrescido e convertido para um número equivalente de pessoal de
período integral (por exemplo: 30 pessoas trabalhando em tempo parcial 4 horas/ dia equivalem a 15
pessoas trabalhando em período integral).
2.3.4 Processo repetitivo dentro do escopo

Quando uma elevada porcentagem de pessoal executa certas atividades/posições que são
consideradas repetitivas (por exemplo: limpeza, segurança, transporte, vendas, call centers etc.), é
permitida a redução coerente e consistente do número de pessoal, a ser feita de empresa para
empresa, com base no escopo de certificação. Os métodos incorporados para redução devem ser
documentados para incluir quaisquer considerações de atividades/posições de risco.
2.3.5 Empregados que trabalham em turno

O Organismo de Certificação deve determinar a duração ou época da auditoria para melhor avaliar a
eficácia do sistema de gestão para todos os escopos de atividades do cliente, incluindo a necessidade
de auditar fora do horário normal de trabalho e variados padrões de turno. Isto deve ser acordado com
o cliente.
2.3.6 Mão-de-obra não especializada temporária

Esta situação normalmente só se aplica em países com um baixo nível de tecnologia onde mão-de-
obra não qualificada temporária pode ser empregada em considerável número em substituição a
processos automatizados. Nestas circunstâncias, uma redução de empregados efetivos pode ser feita,
mas a consideração dos processos é mais importante que o número de empregados. Esta redução é
incomum e a justificativa para isto deve ser registrada e colocada à disposição do Organismo de
Acreditação nas avaliações.
3. METODOLOGIA PARA DETERMINAR O TEMPO DE AUDITORIA DE SISTEMAS DE GESTÃO
3.1 A metodologia usada como base para cálculo do tempo de auditoria de sistemas de gestão para
uma auditoria inicial (Fase 1 + Fase 2) envolve o entendimento das tabelas e figuras no Anexo A e
Anexo B para auditorias SGQ e SGA, respectivamente. O Anexo A (SGQ) é baseado unicamente no
número efetivo de pessoal (ver Cláusula 2.3 para orientação do cálculo do número efetivo de pessoal)
e no nível de risco, mas não fornece a duração mínima ou máxima do tempo da auditoria.
Adicionalmente ao número efetivo de pessoal, o Apêndice B (SGA) está baseado também na
complexidade ambiental da organização e não fornece a duração mínima ou máxima do tempo da
auditoria.
Nota: A prática normal é que o tempo gasto na Fase 2 exceda o tempo gasto na Fase 1.
3.2 Usando um multiplicador adequado, as mesmas tabelas e figuras podem ser usadas como base
no cálculo do tempo de auditoria para auditorias de supervisão (Cláusula 5) e auditoria de recertificação
(Cláusula 6).
REV. PÁGINA
NIT-DICOR-054
10 30/83
3.3 O Organismo de Certificação deve ter procedimentos que forneçam o tempo adequado de
alocação para a auditoria de relevantes processos do cliente. Experiências têm demonstrado que fora
o número de pessoal, o tempo requerido para realização de uma auditoria eficaz depende de outros
fatores tanto para SGQ e SGA. Estes fatores são abordados com maior profundidade na Cláusula 8.
3.4 Este documento mandatório enumera as disposições que devem ser consideradas quando se
estabelece uma quantidade de tempo necessário para realização da auditoria. Estes e outros fatores
precisam ser examinados durante o processo de análise crítica dos Organismos de Certificação e após
a Fase 1, ao longo do ciclo de certificação e recertificação, pelos seus potenciais impactos na
determinação do tempo de auditoria independentemente do tipo de auditoria. Portanto, as tabelas,
figuras e diagramas para SGQ e SGA, os quais demonstram a relação entre o número efetivo de
pessoal e a complexidade, não podem ser utilizadas isoladamente. Essas tabelas e figuras fornecem
a estrutura para o planejamento de auditoria e, portanto, ajustes necessários devem ser feitos para a
determinação do tempo de auditoria para todos os tipos de auditorias.
3.5 Para auditorias SGQ, a Figura SGQ 1 fornece o guia visual para realizar ajustes no tempo de
auditoria calculados da Tabela SGQ1 e fornece também a estrutura para um processo que deve ser
usado para o planejamento de auditorias, identificando o ponto de partida baseado no número efetivo
de pessoal de todos os turnos.
3.6 Para uma auditoria de SGA, é adequado basear o tempo de auditoria no número efetivo de
pessoal da organização e na natureza, número e gravidade dos aspectos ambientais da organização
e do setor da indústria. É recomendável que as Tabelas SGA1 e SGQ2, que fornecem a estrutura para
o processo, sejam utilizadas no planejamento da auditoria. O tempo de auditoria de sistema de gestão
deve ser ajustado com base em quaisquer fatores significativos que se apliquem exclusivamente à
organização a ser auditada.
3.7 O ponto de partida para a determinação do tempo de auditoria deve ser identificado com base
no número efetivo de pessoal, em seguida, ajustado para os fatores significativos aplicados aos
clientes a serem auditados e atribuindo a cada fator uma ponderação aditiva ou subtrativa para
modificar a figura base. Em cada situação, a base para estabelecer o tempo de auditoria de sistema
de gestão, incluindo ajustes feitos, deve ser registrada. O Organismo de Certificação deve assegurar
que qualquer variação no tempo de auditoria não levará a um comprometimento da eficácia das
auditorias. Para processos de realização do produto ou serviço operados em regime de turno, a
extensão da auditoria de cada turno pelo Organismo de Certificação depende dos processos realizados
em cada turno e do nível de controle de cada turno que é demonstrado pelo cliente. Para a
implementação de uma auditoria eficaz, pelo menos um dos turnos deve ser amostrado. A justificativa
para a não realização de auditoria em outros turnos deve ser documentada (por exemplo: aqueles que
estão fora do horário regular de expediente).
3.8 Determinações do tempo de auditoria de sistemas de gestão, usando as tabelas ou figuras dos
Anexos A e B, não incluem o tempo de "auditores em treinamento" ou o tempo de especialistas
técnicos.
3.9 A redução do tempo de auditoria de sistema de gestão não deve exceder 30% do tempo
estabelecido nas tabelas SGQ 1 ou SGA 1.
Nota: A Cláusula 3.9 pode não se aplicar às situações descritas no IAF MD1 para locais individuais
em operações multilocais onde a amostragem de sites seja permitida. Nesta situação, um número
limitado de processos está presente em tais locais e a implementação de todos os requisitos relevantes
das normas de sistemas de gestão pode ser verificada.
REV. PÁGINA
NIT-DICOR-054
10 31/83
4. AUDITORIA INICIAL DE SISTEMAS DE GESTÃO (Fase 1 mais Fase 2)
4.1 A determinação do tempo de auditoria de sistema de gestão envolvendo uma combinação de

atividades realizadas fora do local (Cláusula 2.1) não deveria reduzir o total da duração da auditoria do
sistema de gestão no local para menos de 80% do tempo de auditoria calculado seguindo a
metodologia das Tabelas da Seção 3. Sempre que um tempo de auditoria adicional for necessário para
o planejamento e/ou redação do relatório, isto não poderá ser considerado como justificativa para a
redução da duração do tempo de auditoria do sistema de gestão no local.
4.2 As Tabelas SGQ 1 e SGA 1 fornecem um ponto de partida para estimar o tempo de auditoria de
uma auditoria inicial (Fase 1 + Fase 2) para auditorias SGQ e SGA, respectivamente.
4.3 O tempo de auditoria estipulado pelo organismo de certificação e a justificativa para a

determinação devem ser registradas. Este cálculo deve incluir detalhes sobre o tempo atribuído para
cobrir todos os escopos de certificação.
4.4 O Organismo de Certificação deve fornecer para a organização cliente a determinação do tempo
de auditoria e as justificativas registradas como parte do contrato de certificação e deve ser
disponibilizado ao Organismo de Acreditação, quando solicitado.
4.5 Auditorias de certificação podem incluir técnicas remotas de auditoria, tais como colaboração
baseada na web interativa, reuniões por web, teleconferências e/ou verificação eletrônica de processos
do cliente (ver IAF MD4). Essas atividades devem ser identificadas no planejamento da auditoria, e o
tempo gasto nessas atividades pode ser considerado como contribuindo para a duração total da
auditoria de sistema de gestão. Se o Organismo de Certificação planejar uma auditoria na qual as
atividades remotas representem mais de 30% da duração prevista no local da auditoria planejada, o
Organismo de Certificação deverá justificar o plano de auditoria e manter os registros de justificativa
que devem estar disponíveis para o Organismo de Acreditação para avaliação (ver IAF MD4).
Nota 1: Duração de auditorias de certificação de sistemas de gestão refere-se ao tempo de auditoria

alocado destinado para sites individuais. Auditorias eletrônicas de sites remotos são consideradas
auditorias remotas, mesmo se a auditoria eletrônica for fisicamente realizada nas instalações da
organização (física ou virtual).
Nota 2: Independentemente das técnicas de auditoria remotas utilizadas, a organização do cliente

deve ser fisicamente visitada, pelo menos uma vez ao ano, onde houver um local físico.
Nota 3: É improvável que a duração de uma auditoria Fase 2 seja menor do que um (1) Auditor Dia.
5. SUPERVISÃO
Durante os três anos iniciais do ciclo de certificação, o tempo de auditoria de supervisão para uma
determinada organização deve ser proporcional ao tempo de auditoria gasto na auditoria de
certificação inicial (Fase 1 + Fase 2), com a quantidade total de tempo gasto anualmente em supervisão
sendo cerca de 1/3 do tempo de auditoria gasto na auditoria de certificação inicial. O Organismo de
Certificação deve obter uma atualização de dados dos clientes relacionados com seu sistema de
gestão como parte de cada auditoria de supervisão. O planejamento do tempo de auditoria de
supervisão deve ser revisto de tempos em tempos, pelo menos a cada auditoria de supervisão e
sempre no momento da recertificação, levando em conta as mudanças na organização, maturidade do
sistema etc. A evidência de revisão, incluindo os ajustes para o tempo de auditoria, devem ser
registrados.
Nota: É improvável que uma auditoria de supervisão dure menos do que um (1) Auditor Dia.
REV. PÁGINA
NIT-DICOR-054
10 32/83
6. RECERTIFICAÇÃO
Recomenda-se que o tempo de auditoria de recertificação seja calculado com base na informação
atualizada do cliente e seja, normalmente, cerca de 2/3 do tempo de auditoria que seria necessário
para uma auditoria de certificação inicial (Fase 1 + Fase 2) da organização, se uma auditoria inicial
fosse realizada no momento da recertificação (i.e. não 2/3 do tempo de auditoria de certificação inicial
original). O tempo de auditoria de sistema de gestão deve levar em conta o resultado da avaliação de
desempenho do sistema (ABNT NBR ISO/IEC 17021 requisito 9.4.1.2). A avaliação do desempenho
do sistema em si não faz parte do tempo de auditoria para as auditorias de recertificação.
Nota: É improvável que uma auditoria de recertificação dure menos do que um (1) Auditor Dia.
7. SEGUNDO E SUBSEQUENTES CICLOS DE CERTIFICAÇÃO INDIVIDUALIZADOS
Para o segundo e subsequentes ciclos de certificação, o OC pode optar por planejar um programa
individualizado de supervisão e recertificação (ver IAF MD3 de Supervisão Avançada e Procedimentos
de Recertificação - ASRP) com a aprovação do Organismo de Acreditação. Se uma abordagem
definida no MD3 não for escolhida, o tempo de auditoria de sistema de gestão deveria ser calculado
como indicado nas Cláusulas 5 e 6.
8. FATORES PARA AJUSTE DO TEMPO DE AUDITORIA DE SISTEMAS DE GESTÃO (SGQ E

SGA)
Os fatores adicionais que precisam ser considerados incluem os abaixo, mas não se limitam a:
i) Aumento no tempo de auditoria de sistemas de gestão
a. Logística complicada envolvendo mais de um edifício ou locação onde o trabalho é

realizado, por exemplo, um Centro de Design em separado, deve ser auditado;
b. Colaboradores que falam mais de um idioma (requerendo intérprete ou impedindo os
auditores de trabalharem individualmente);
c. Local muito grande para o número de pessoal (por exemplo, uma floresta);
d. Alto grau de regulação (exemplo: alimentos, drogas, aeroespacial, energia nuclear, etc);
e. O sistema abrange processos altamente complexos ou número relativamente elevado
de atividades exclusivas;
f. Atividades que requeiram visitas a sites temporários a fim de confirmar as atividades do
site permanente, cujo sistema de gestão é objeto de certificação.
g. Funções ou processos terceirizados.
ii) Aumento no tempo de auditoria de Sistemas de Gestão da Qualidade somente

a. Atividades consideradas de alto risco (ver Anexo A, Tabela SGQ 2).
iii) Aumento no tempo de auditoria para Sistemas de Gestão Ambiental somente:

a. Maior sensibilidade do meio ambiente receptor comparado ao local típico do setor
industrial;
b. Opiniões das partes interessadas;
c. Aspectos indiretos necessitando de aumento de tempo da auditoria;
d. Aspectos ambientais adicionais ou incomuns, ou ainda condições regulamentadas para
o setor.
e. Riscos de acidentes ambientais e impactos que surjam ou possam surgir em
consequência de incidentes, acidentes, situações de emergência potencial e problemas
ambientais anteriores que a organização tenha contribuído.
REV. PÁGINA
NIT-DICOR-054
10 33/83
iv) Diminuição do tempo de auditoria de Sistemas de Gestão:

a. O cliente não é “responsável pelo projeto” ou outros elementos padrão que não estejam
cobertos pelo escopo (apenas SGQ);
b. Local muito pequeno para o número de pessoas (ex.: apenas complexo de escritórios);
c. Maturidade do sistema de gestão;
d. Conhecimento prévio do sistema de gestão do cliente (ex.: já certificado por uma outra
norma pelo mesmo Organismo de Certificação);
e. Preparação do cliente para a certificação (ex.: já certificado ou reconhecido por outro
esquema de terceira parte);
Nota: se a auditoria for conduzida de acordo com o IAF MD11, esta justificativa é inválida
como redução e será calculada como integração.
f. Alto nível de automação;
g. Onde os colaboradores incluem um número de pessoas que trabalham “fora do local”,
por exemplo, vendedores, motoristas, pessoal de manutenção, etc, e é possível auditar
substancialmente o cumprimento de suas atividades com o sistema através de análise
de registros;
h. Atividades consideradas de baixo risco (ver Anexo A, Tabela SGQ2 para exemplos e
Tabela SGA2). Atividades de baixa complexidade, por exemplo:
 Processos que envolvam atividades similares e repetitivas (ex.: Serviços,
somente);
 Atividades idênticas realizadas em todos os turnos com evidências
adequadas de desempenho equivalente em todos os turnos;
 Onde uma proporção significativa dos colaboradores executam uma função
simples. Processos repetitivos dentro do escopo (quando os empregados
realizam atividades repetitivas);
Todos os atributos do sistema do cliente, processos e produtos/serviços devem ser considerados

e um ajuste feito para aqueles fatores que poderiam justificar maior ou menor tempo de auditoria
para uma auditoria eficaz. Fatores adicionais podem ser compensados por fatores de subtração.
Nota 1: Fatores de subtração podem ser utilizados uma única vez para cada cálculo para cada
organização cliente.
Nota 2: Outros fatores a serem considerados no cálculo do tempo de auditoria de sistemas de

gestão integrados são abordados no IAF MD 11.
9. SITES TEMPORÁRIOS
9.1 Em situações em que o requerente de certificação ou cliente certificado forneça seu(s) produto(s)
ou serviço(s) em sites temporários, esses locais devem ser incorporados nos programas de auditoria.
9.2 Os sites temporários podem variar de locais principais de gerenciamento de projetos para locais
de serviços / instalações menores. A necessidade de visitar esses locais e a extensão da amostragem
deveria ser baseada em uma avaliação de riscos da falha do SGQ para controlar a saída do produto
ou serviço, ou o SGA para controlar aspectos e impactos ambientais associados às operações do
cliente. A amostra de locais selecionados deveria representar a gama de necessidades de
competências do cliente e as variações de serviços, ter dado atenção aos tamanhos e tipos de
atividades, e as várias fases de projetos em andamento assim como os aspectos e impactos
ambientais associados.
REV. PÁGINA
NIT-DICOR-054
10 34/83
9.3 Normalmente são realizadas auditorias no local de sites temporários. No entanto, os métodos
seguintes podem ser considerados como alternativos para substituir algumas auditorias no local:
i) Entrevistas ou acompanhamento de reuniões da organização com clientes e/ou seus
fornecedores, em pessoa ou por teleconferência;
ii) Análise da documentação das atividades do site temporário;
iii) Acesso remoto ao site eletrônico que contenha registros ou outras informações que sejam
relevantes para a avaliação do sistema de gestão e o(s) site(s) temporário(s);
iv) Utilização de vídeo e teleconferência ou outras tecnologias que permitam uma auditoria
eficaz e que possa ser realizada remotamente.
9.4 Em cada caso, o método de auditoria deve ser devidamente documentado e justificado em
termos da sua eficácia.
10. TEMPO DE AUDITORIAS MULTI-SITES
10.1 No caso de um sistema de gestão operado sobre múltiplos sites, é necessário estabelecer se a
amostragem é permitida ou não.
10.2 Para a certificação de múltiplos sites onde a amostragem não for permitida, requisitos detalhados
serão melhor abordados em um novo IAF MD quando estiver disponível. O ponto de partida para se
calcular o tempo de auditoria de sistema de gestão é o total envolvido em todos os sites, consistentes
com a Tabela SGQ1 e Tabela SGQ2 para Sistema de Gestão da Qualidade e Tabela SGA1 e Tabela
SGA2 para Sistema de Gestão Ambiental.
A proporção de tempo total gasto em cada site deve levar em conta situações onde certos processos
de sistemas de gestão não são relevantes para o site.
10.3 Para a certificação de múltiplos sites onde a amostragem for permitida, requisitos detalhados
serão melhor abordados no IAF MD 1. O ponto de partida para calcular o tempo de auditoria de sistema
de gestão é o total envolvido para cada um dos sites amostrados.
O IAF MD 1 deve ser usado para selecionar sites a serem amostrados antes de se aplicar o IAF MD 5
para cada site selecionado. O tempo total nunca deveria ser menor ao que teria sido calculado para o
tamanho e complexidade da operação se todo o trabalho tivesse sido realizado em único site (IAF MD1
– cláusula 5.3.4).
11. CONTROLE DE FUNÇÕES OU PROCESSOS PRESTADOS EXTERNAMENTE

(TERCEIRIZAÇÃO)
11.1 Se uma organização terceiriza parte de suas funções ou processos, é responsabilidade do

Organismo de Certificação obter evidências que a organização efetivamente determinou o tipo e
extensão de controles a serem aplicados a fim de assegurar que funções ou processos externamente
prestados não prejudiquem a eficácia do Sistema de Gestão incluindo a capacidade da organização
para entregar consistentemente produtos e serviços a seus clientes ou controlar aspectos ambientais
e o comprometimento com a conformidade com os requisitos legais.
11.2 O Organismo de Certificação irá auditar e avaliar a eficácia do Sistema de Gestão dos seus
clientes na gestão de qualquer atividade fornecida e os riscos que isto representa no atendimento aos
objetivos, clientes e requisitos de conformidade.
REV. PÁGINA
NIT-DICOR-054
10 35/83
Anexo A – SISTEMAS DE GESTÃO DA QUALIDADE
Tabela SGQ 1 – Sistemas de Gestão da Qualidade
Relação entre o Número Efetivo de Pessoal e Tempo de Auditoria

(somente para Auditoria Inicial)
Número Efetivo de Tempo de Auditoria Fase Número Efetivo de Tempo de Auditoria Fase
Pessoal 1 + Fase 2 (dias) Pessoal 1 + Fase 2 (dias)
1-5 1,5 626-875 12

6-10 2 876-1175 13
11-15 2.5 1176-1550 14
16-25 3 1551-2025 15
26-45 4 2026-2675 16
46-65 5 2676-3450 17
66-85 6 3451-4350 18
86-125 7 4351-5450 19
126-175 8 5451-6800 20
176-275 9 6801-8500 21
276-425 10 8501-10700 22
426-625 11 >10700 Seguir progressão acima
Nota 1: O número de pessoal da Tabela SGQ 1 deveria ser entendido como sequência contínua
ao invés de uma sequência escalonada. Ou seja, se plotados em um gráfico, a linha deveria
começar com os valores na faixa inferior e terminar no ponto final de cada faixa. O ponto inicial
do gráfico deve ser 1 pessoa em 1,5 dia.
Nota 2: O procedimento dos Organismos de Certificação pode fornecer o cálculo do tempo de auditoria
para um número de pessoal superior a 10,700. Este tempo deve seguir a progressão da Tabela SGQ1
de uma forma consistente.
Nota 3: Ver também cláusulas 1.9 e 2.3.

REV. PÁGINA
NIT-DICOR-054
10 36/83
Figura SGQ 1 – Relação entre Complexidade e Tempo de Auditoria
Grande Simples Grande Complexo

Multisite Multilocais
Poucos processos Muitos processos
Grande escopo
Processo repetitivo
Processos Únicos
Escopo pequeno
Responsabilidade do projeto
- Distribuição Organizacional
Ponto de partida da
Tabela SGQ 1
Muitos processos
Responsabilidade do projeto
Poucos processos Grande escopo
Escopo pequeno
Processos Únicos
Processo repetitivo
Pequeno Simples Pequeno Complexo
Complexidade do sistema do cliente

REV. PÁGINA
NIT-DICOR-054
10 37/83
Tabela SGQ 2 – Exemplos de categorias de Risco
Estas categorias de risco não são definitivas, elas são apenas exemplos que poderiam ser
utilizados por um Organismo de Certificação ao determinar a categoria de risco de uma auditoria.
Alto Risco
Onde a falha do produto ou serviço causa uma catástrofe econômica ou põe vidas em
risco. Exemplos incluem, mas não se limitam a:
Alimentos; produtos farmacêuticos; aeronaves; construção naval; componentes e

estruturas de suporte de carga; atividades de construção complexa; equipamentos
elétricos e gás; serviços médicos e de saúde; pesca; combustível nuclear; químicos;
produtos químicos e fibras.
Médio Risco
Onde a falha no produto ou serviço poderia causar danos ou doenças. Exemplos incluem,
mas não se limitam a:
Componentes e estruturas de suporte sem carga; atividades de construção simples; metal

básico e produtos fabricados; produtos não metálicos; mobiliário; equipamento óptico;
laser e serviços pessoais.
Baixo Risco
Onde a falha do produto ou serviço é improvável causar danos ou doenças. Exemplos

incluem, mas não se limitam a:
Têxteis e vestuários; celulose; papel e produtos de papel; edição; serviços de escritório;

educação; varejo; hotéis e restaurantes.
Nota 1: Espera-se que atividades de negócios definidas como baixo risco possam exigir menos
tempo de auditoria que o tempo calculado utilizando a Tabela SGQ1, atividades definidas como
médio risco terão o tempo calculado usando a Tabela SGQ1, e atividades de alto risco terão um
tempo maior.
Nota 2: Se a companhia está fornecendo uma mistura de atividades de negócio (exemplo:

companhia de construção que constrói construção simples – médio risco – e pontes – alto risco),
cabe ao Organismo de Certificação determinar o correto tempo de auditoria, levando em
consideração o número de pessoal envolvido em cada atividade.
REV. PÁGINA
NIT-DICOR-054
10 38/83
Anexo B – SISTEMAS DE GESTÃO AMBIENTAL
Tabela SGA 1 – Relação entre o Efetivo Número de Pessoal, Complexidade e Tempo de

Auditoria
(Somente para Auditoria Inicial – Fase 1 + Fase 2)
Número Número
Tempo de Auditoria Tempo de Auditoria
Efetivo de Efetivo de
Fase 1 + Fase 2 (dias) Fase 1 + Fase 2 (dias)
Pessoal Pessoal
Alta Média Baixa Limitada Alta Média Baixa Limitado
1-5 3 2,5 2,5 2,5 626-875 17 13 10 6.5
6-10 3,5 3 3 3 876-1175 19 15 11 7
11-15 4,5 3,5 3 3 1176-1550 20 16 12 7,5
16-25 5,5 4,5 3,5 3 1551-2025 21 17 12 8
26-45 7 5,5 4 3 2026-2675 23 18 13 8,5
46-65 8 6 4,5 3,5 2676-3450 25 19 14 9
66-85 9 7 5 3,5 3451-4350 27 20 15 10
86-125 11 8 5,5 4 4351-5450 28 21 16 11
126-175 12 9 6 4,5 5451-6800 30 23 17 12
176-275 13 10 7 5 6801-8500 32 25 19 13
276-425 15 11 8 5,5 8501-10700 34 27 20 14
426-625 16 12 9 6 >10700 Seguir progressão acima
Nota 1: O tempo de auditoria é mostrado para complexidade de auditorias alta, média, baixa e
limitada.
Nota 2: O número de empregados da Tabela SGA 1 deve ser visto como um processo contínuo
ao invés de uma mudança escalonada.
Note 3: O procedimento do Organismo de Certificação pode fornecer o cálculo do tempo de auditoria

para um número de pessoal superior a 10,700. Este tempo deve seguir a progressão da Tabela SGA 1
de uma forma consistente.
REV. PÁGINA
NIT-DICOR-054
10 39/83
Tabela SGA 2 – Exemplos de conexão entre os setores de negócios e categorias de

complexidade dos aspectos ambientais
Categorias de Setor de Negócio

complexidade
Alta – indústria extrativa

– extração de petróleo e gás
– curtimento de têxteis e vestuário
– parte da fabricação de papel, incluindo processo de reciclagem
– refino de petróleo
– químicos e farmacêuticos
– produções primárias – metais
– processamentos não metálicos e produtos que abrangem cerâmica e
cimento
– geração de energia elétrica à base de carvão
– construção civil e demolição
– processamento de resíduos perigosos e não perigosos, por
exemplo incineração etc.
– processamento de efluentes e esgoto
Média – pesca / agricultura / silvicultura

– têxteis e de vestuário, exceto para couro
– fabricação de placas, tratamento / impregnação de madeira e produtos
de madeira
– produção de papel e impressão, excluindo despolpamento
– processamento não-metálicos e produtos de cobertura de vidro , argila,
cal etc.
– tratamento superficial e outros tratamentos à base de produtos químicos
para metais fabricados , excluindo a produção primária
– tratamento superficial e outros tratamentos à base de químicos para a
engenharia mecânica geral
– produção de placas de circuito impresso para a indústria eletrônica
– fabricação de equipamentos de transporte - rodoviário, ferroviário,
aéreo, marítimo
– geração de eletricidade não à base de carvão e de distribuição
– produção de gás, armazenamento e distribuição (extração é graduada
como alta)
– captação de água, tratamento e distribuição, incluindo a gestão do rio
(nota: tratamento de efluentes comercial é classificado como alta)
– varejo e atacado de combustíveis fósseis
– processamento de alimentos e de tabaco
– transporte e distribuição por mar, ar, terra
– agência imobiliária comercial, gestão imobiliária, limpeza industrial,
limpeza e higiene, limpeza a seco normalmente parte dos serviços
prestados às empresas
– reciclagem, compostagem, aterro (de resíduos não perigosos)
– ensaios técnicos e laboratoriais
– cuidados de saúde/hospitais/veterinária
– serviços de lazer e serviços pessoais, excluindo os hotéis/restaurantes
REV. PÁGINA
NIT-DICOR-054
10 40/83
Categorias de Setor de Negócio

complexidade
– hotéis/restaurantes
Baixa – produtos de madeira, excluindo a fabricação de placas, tratamento e
impregnação da madeira
– produtos de papel, excluindo impressão, despolpação e fabricação de
papel
– borracha e plástico moldagem por injeção, conformação e
montagem, excluindo fabricação de artigos de borracha e de
matérias-primas de plástico que são parte dos produtos químicos
– fabricação e formação de metal quente e frio, excluindo o
tratamento de superfície e outros tratamentos de base química e
produção primária
– montagem, engenharia mecânica em geral, excluindo o
tratamento de superfície e outros tratamentos de base química
– atacado e varejo
– montagem de equipamentos elétricos e eletrônicos, excluindo
fabricação de placas de circuito impresso
Limitada – as atividades sociais e de gestão, HQ e gestão das sociedades

gestoras de participações
– serviços de gestão de transporte e de distribuição sem frota real
para gerenciar
– telecomunicações
– serviços de negócios em geral, exceto agência comercial de
imóveis, gestão de imóveis, limpeza industrial, limpeza e higiene,
limpeza a seco
– serviços de educação
Casos – nuclear
Especiais – geração de eletricidade nuclear
– armazenamento de grandes quantidades de material perigoso
– administração pública
– autoridades locais
– organizações com produtos ou serviços sensíveis ambientais,
instituições financeiras
Categorias da complexidade dos aspectos ambientais
As disposições previstas neste documento baseiam-se em cinco categorias de complexidade

primárias de natureza e gravidade dos aspectos ambientais de uma organização que afetam
fundamentalmente o tempo de auditoria. São elas:
Alta – aspectos ambientais com significante natureza e gravidade (tipicamente os tipos de

organizações de fabricação ou processamento com impactos significativos em vários dos
aspectos ambientais);
REV. PÁGINA
NIT-DICOR-054
10 41/83
Média – aspectos ambientais com natureza e gravidade média (normalmente organizações de

fabricação com impactos significativos em alguns dos aspectos ambientais);
Baixa – aspectos ambientais com baixa natureza e gravidade (tipicamente organizações de

montagem com um ambiente com poucos aspectos significativos );
Limitada – aspectos ambientais com limitada natureza e gravidade (normalmente as organizações

de um ambiente tipo escritório);
Especial – Estes requerem consideração adicional e exclusiva no estágio de planejamento de

auditoria.
A Tabela SGA 1 abrange as quatro categorias de complexidade acima: alta, média, baixa e
limitada. A Tabela SGA 2 fornece a ligação entre as categorias de cinco complexidades acima e
os setores de indústria que normalmente se enquadram nessa categoria.
O Organismo de Certificação deveria reconhecer que nem todas as organizações em um setor

específico vão sempre pertencer a mesma categoria de complexidade. O Organismo de
Certificação deve permitir a flexibilidade em seu processo de análise crítica de contrato para
garantir que as atividades específicas da organização sejam consideradas na determinação da
categoria de complexidade. Por exemplo, apesar de muitas empresas do setor químico serem
classificadas como "alta complexidade", uma organização que tenha apenas uma mistura livre de
reação química ou emissão e/ou operação de negociação poderia ser classificada como "médio"
ou mesmo de "baixa complexidade". O Organismo de Certificação deve documentar todos os
casos onde eles têm reduzido a categoria de complexidade de uma organização em um setor
específico.
A Tabela SGA 1 não abrange a categoria de "complexidade especial" e o tempo de auditoria de

sistema de gestão deve ser desenvolvido e justificado individualmente nesses casos.
/ANEXO F
REV. PÁGINA
NIT-DICOR-054
10 42/83
ANEXO F
Documento Mandatório do IAF para avaliação da Gestão de Competência do Organismo de
Certificação conforme a ISO/IEC 17021:2011 (IAF MD 10:2013)
1. INTRODUÇÃO
O objetivo deste documento é fornecer uma abordagem harmonizada de como Organismos de

Acreditação avaliam um Organismo de Certificação (OC) na gestão de competência em conformidade
com a ISO/IEC 17021:2011.
2. DEFINIÇÕES
Para os propósitos deste documento, devem ser aplicadas as seguintes definições:
2.1 Processo de Certificação: a totalidade das funções relativas à certificação desde a recepção
do pedido até a concessão e a manutenção da certificação;
2.2 Função da Certificação: um estágio do processo de certificação, como, por exemplo, a revisão
da aplicação, auditoria, decisão da certificação (ref.: ISO/IEC 17021:2011 Anexo A);
2.3 Resultados pretendidos: as saídas de uma função de certificação que cumpram os requisitos
da norma ISO/IEC 17021:2011 e os objetivos do processo de certificação dos OC.
3. GERAL
3.1 O OA deve verificar se o OC pode demonstrar que todo o pessoal envolvido na realização das
funções de certificação possui a competência requerida.
3.2 O OA deve verificar se o OC já tem definido seu processo de certificação, bem como os resultados
que deverão ser atingidos para cada função da certificação. A avaliação dos OA para as competências
dos OC devem ser baseadas em:
(a) Processos documentados dos OC para determinar os critérios de competência;

(b) Os resultados dos processos para determinar os critérios de competência;
(c) Avaliações do pessoal dos OC;
(d) Levar em conta os resultados pretendidos de cada função de certificação e se foram ou não
alcançados.
3.3 As funções de certificação para as quais o OA deve verificar se o OC determinou os critérios de

competência incluem, mas não estão limitadas a:
(a) Analisar a solicitação (ver exemplo no 3.5 abaixo);

(b) Estabelecer o programa de auditoria;
(c) Agendar as auditorias;
(d) Alocar as equipes de auditoria;
(e) Auditar e relatar;
(f) Relatar análises e decisões de certificação; e
(g) Supervisão da certificação.
O Anexo A deste documento é informativo e fornece exemplos de resultados pretendidos das funções
de certificação acima. O OC poderá identificar outros resultados pretendidos através destas funções
de certificação.
REV. PÁGINA
NIT-DICOR-054
10 43/83
3.4 O OA deve verificar se o OC possui critérios de competência determinados para:
(a) Gestão para inspecionar o processo de certificação;

(b) Membros do seu comitê para salvaguardarem imparcialidade;
(c) Pessoal realizando auditorias internas; e
(d) O pessoal responsável pela avaliação e monitoramento da competência e desempenho dos
que executam funções de certificação.
3.5 O OA deve considerar a evidência objetiva do OC alcançar os resultados pretendidos para todas as
funções de certificação (ver Anexo A deste documento) como uma indicação da eficácia de seus
processos para determinação e avaliação de competência. O OA deve considerar evidência objetiva do
OC em não atingir resultados pretendidos para quaisquer funções de certificação como uma indicação
de que os processos de determinação e avaliação de competência podem ser ineficazes.
Nota: O fracasso do OC em atingir os resultados pretendidos para a função de uma

certificação em particular poderia ser também uma indicação de que os procedimentos dos
OC para aquela função eram ineficazes ou não foram implementados.
Por exemplo, no caso de revisão da solicitação, para determinar que o OC tenha os membros
da equipe de auditoria competentes, para poder alocar e determinar o tempo de auditoria, o
OA deve verificar se o OC:
a) definiu a intenção de resultados (ver (d) abaixo) para esta função no processo de
certificação;
b) definiu os critérios efetivos de competência para o pessoal realizar esta função;
c) pode fornecer evidências objetivas de que o pessoal que executa esta função demonstrou
haver cumprido os critérios de competência; e
d) que os resultados desta função do processo de certificação alcançaram os objetivos
pretendidos, por:
i) fornecer evidências de que a área(s) técnica(s) da organização a ser auditada

foi/foram corretamente alocada(s);
ii) fornecer evidência de que os auditores atribuídos possuem a competência
necessária para a área técnica apropriada; e
iii) fornecer evidências de que o tempo adequado foi alocado para a auditoria, com base
na análise das informações prestadas pelo requerente / cliente certificado e de
auditorias anteriores.
3.6 O OA deve avaliar o processo e os procedimentos estabelecidos pelo OC para determinar critérios
de competência e para avaliar a competência a fim de verificar que o pessoal avaliado como competente
realmente atingiu os resultados previstos para todas as funções de certificação.
3.7 O OA deve verificar se o OC tem registros apropriados da execução de seus processos para
determinação e avaliação de competência e que o OC pode demonstrar se seus métodos de avaliação
são eficazes e alcançaram os resultados pretendidos.
4. ÁREAS TÉCNICAS
4.1 O OA deve verificar se o OC definiu as áreas técnicas que prevê a certificação acreditada e que
estas cobrem o escopo total da acreditação do OC. É de responsabilidade do OC determinar as áreas
técnicas em que atua, com base em comunhão de processos, impactos e aspectos ambientais, risco
etc.
REV. PÁGINA
NIT-DICOR-054
10 44/83
(a) As áreas técnicas não precisam necessariamente ser definidas usando escopos de
acreditação. É possível que um único âmbito de acreditação possa incluir mais de
uma área técnica, por exemplo, no âmbito IAF 38 * Saúde e Trabalho Social poderia
incluir:
Serviços Veterinários
Serviços Hospitalares
Práticas médicas e dentais
Serviços de cuidados
Trabalho social
Da mesma forma, o escopo IAF 28 * Construção pode compreender atividades que

vão desde pintura e decoração para grandes projetos de construção e engenharia
civil.
* Ver IAF ID1:2010 Documentos Informativos para escopos de Acreditação SGQ.
(b) Em alguns casos, uma única área técnica pode se referir a mais de um escopo de
acreditação. Por exemplo, a fabricação de sacos de plástico para uso em
embalagens poderia relacionar-se tanto no âmbito do SGQ escopo IAF 9 empresas
de impressão e escopo SGQ escopo IAF 14 borracha e produtos plásticos.
4.2 O OA deverá verificar se os critérios documentados da área técnica de competência do OC:
(a) foram formulados em termos de competência (ou seja, quais são os conhecimentos
e as habilidades necessários para aquela área técnica);
Nota: Em certos casos, por exemplo, no caso de um médico, a evidência de qualificação

profissional e de registro com a autoridade nacional relevante pode ser considerada
como parte da evidência de competência da área técnica.
(b) cobrir todos os aspectos relevantes dessa área técnica, ou seja, ter todo o
conhecimento relevante (por exemplo, os requisitos legais, processos, produtos,
técnicas de controle) para aquela área técnica ter sido identificada.
4.3 O OA deve procurar evidências de que o OC é capaz de demonstrar competência em todas as

funções de certificação em toda área técnica, alcançando os resultados pretendidos para cada função
de certificação. O OA deve procurar evidências de que o OC tem processos que possam assegurar que
pode executar de forma consistente.
5. DETERMINAÇÃO DOS CRITÉRIOS DE COMPETÊNCIA
5.1 O OA deve verificar se o OC tem documentado o conhecimento necessário para estabelecer e

manter os critérios de competência para cada área técnica. Esta experiência pode ser fornecida por um
recurso externo.
5.2 O OA deve verificar o processo dos OC para determinar critérios de competência, identificar o
conhecimento e as habilidades necessárias para o pessoal que executa todas as funções de certificação
em cada uma de suas áreas técnicas e para cada norma de sistema de gestão ou especificação.
(a) Para algumas funções de certificação atribuídas a indivíduos em particular, a

competência pode ser incorporada na concepção do processo. Por exemplo, o
sistema de TI do OC pode conter detalhes de auditores e das áreas técnicas para as
REV. PÁGINA
NIT-DICOR-054
10 45/83
quais tenham sido avaliadas como competentes e pode indicar que os auditores têm
competência para realizar uma auditoria de uma determinada organização. Quando
for este o caso, o OA deve verificar se o processo do OC está adequadamente
controlado e é capaz de alcançar os resultados pretendidos.
Nota: Controles apropriados podem incluir definição de níveis de autoridades, controle

de senha etc.
(b) Não é necessário que o pessoal envolvido na revisão de solicitações, seleção de

equipes de auditoria, determinação de tempos de auditoria, revisão dos relatórios e
tomada de decisões de certificação tenha a mesma profundidade de competência,
em todas as áreas, como auditores. Por exemplo, referindo-se ao Anexo A da ABNT
NBR ISO/IEC 17021, o pessoal de revisão dos relatórios e que tomam as decisões
de certificação são obrigados a ter competência equivalente a dos auditores no
conhecimento dos processos do OC, mas não no conhecimento do setor de negócio
do cliente ou no conhecimento dos princípios, práticas e técnicas de auditorias.
(c) Os indivíduos designados para desempenhar funções de certificação não precisam,
necessariamente, possuir todas as competências requeridas, fornecendo ao OC
demonstração de que tem a competência coletiva para desempenhar essas funções.
Por exemplo, o tomador de decisão de certificação não precisa ser competente em
todos os setores de negócio do cliente, mas se o relatório foi revisto por um
especialista técnico independente a competência coletiva pode ser observada.
(d) A competência necessária em uma equipe de auditoria pode variar dependendo do
escopo da auditoria. Por exemplo, o âmbito de uma visita de acompanhamento pode
ser mais estreito do que para uma avaliação inicial. O OA deve verificar se o OC
possui um processo que assegure que as equipes de auditoria tenham a competência
coletiva necessária em auditar aquela avaliação em particular.
6. PROCESSOS DE AVALIAÇÃO
6.1 O OA deve verificar se o OC tem processo documentado para avaliar inicialmente a competência e
avaliar a competência continuada de todos os envolvidos na gestão e no desempenho de todas as
funções de certificação. O OA deve procurar evidências objetivas de que o OC avaliou este pessoal de
acordo com os seus próprios processos documentados.
(a) O Anexo B da Norma ABNT NBR ISO/IEC 17021, sendo informativo e não normativo, fornece
orientações úteis sobre alguns métodos que podem ser utilizados por um OC na avaliação da
competência. No entanto, o OC é livre para usar outros métodos de avaliação de competência.
Qualquer que seja o método utilizado pelo OC para avaliação da competência, o OA deve
verificar se o OC pode demonstrar se esses métodos são eficazes na demonstração de
competência.
(b) O OC deve levar em conta, mas não depender apenas, de um histórico de capacidade
comprovada de pessoal atingindo os resultados pretendidos para as tarefas que lhes foram
confiadas. O OA deve verificar se esta capacidade comprovada é baseada na realização de uma
avaliação dos resultados da função de certificação apropriada, por exemplo, registros do OC,
relatórios ou outras informações, o que poderá contribuir para a evidência de que o pessoal tenha
o conhecimento e as habilidades exigidas pelos critérios de competência documentados.
6.2 O OA deve verificar se o OC ao contratar pessoal externo, se os mesmos foram avaliados como
competentes por outro OC acreditado, ainda assim deve executar sua própria avaliação sob seus
próprios critérios de competência. O OC pode levar em conta a avaliação (quando o histórico completo
da avaliação estiver disponível) por outro OC acreditado, porém, não apenas confiar nele, ao realizar
sua própria avaliação.
REV. PÁGINA
NIT-DICOR-054
10 46/83
6.3 A Certificação em um sistema de certificação de pessoal, acreditado para a ABNT NBR ISO/IEC
17024 pode ser usada como demonstração de competência do pessoal, na medida em que estejam
abrangidos pelo âmbito do esquema. O OA deve procurar evidências de que o OC determinou quais
dos seus critérios de competência não são abrangidos pelo escopo do esquema do pessoal de
certificação e que o OC realizou sua própria avaliação contra estes critérios.
6.4 Onde um esquema de certificação de pessoal não for acreditado, pode ser usado apenas como
uma indicação de que o pessoal tem certo conhecimento e habilidade, e o OA deve verificar se o OC
realizou a sua própria avaliação de competência em relação aos critérios abrangidos pelo esquema.
6.5 O OA deve verificar se o OC é capaz de identificar quando um indivíduo deixa de estar disponível
para o OC e causa um impacto sobre a competência geral do OC. Por exemplo, é possível que um
auditor, competente em uma área técnica específica, deixando o emprego de um OC pode resultar em
já não ser capaz de demonstrar competência em uma determinada área técnica. Sob tais
circunstâncias, o OA deve procurar evidências de que o OC identificou as limitações à sua competência
geral e os efeitos sobre as certificações existentes.
REV. PÁGINA
NIT-DICOR-054
10 47/83
ANEXO INFORMATIVO
Exemplos de resultados pretendidos de funções de certificação.
FUNÇÃO DE RESULTADOS PRETENDIDOS

CERTIFICAÇÃO
Análise da Solicitação  âmbito da competência do OC;
 o escopo proposto é definido com precisão consistente com o
produto/serviço do requerente e o sistema de gestão;
 a(s) área(s) técnica(s) da organização a ser auditada foi
(foram) corretamente identificada(s) e alocada(s);
 foram designados auditores suficientes;
 os auditores designados possuem a competência requerida
para:
• executar as funções que lhes foram designadas, por
exemplo, auditor líder;
• para executar os processos e operações que lhes foram
designados;
• o sistema de gestão padrão relevante;
• o esquema de certificação, quando apropriado;
 o tempo adequado foi alocado e justificado para a auditoria, em
linha com IAF MD1 e IAF MD5 (para SGQ e SGA) ou de outros
requisitos específicos para os sistemas de certificação
particulares, com base em análise das informações prestadas
pelo requerente/cliente certificado.
 pedidos de transferência de certificação são tratados em
conformidade com os resultados do IAF MD 2.
Estabelecendo  o cronograma de supervisão e auditorias de recertificação está
o programa de em linha com a norma ABNT NBR ISO/IEC 17021;
auditoria  a aplicação correta da IAF MD 1 para multi sites.
Agendamento das  o programa de auditoria em conformidade com a norma ABNT
auditorias NBR ISO/IEC 17021;
 a duração e as datas da auditoria foram acordadas com o
cliente.
Alocação das equipes  A competência coletiva da equipe de auditoria está consistente
de auditoria com os produtos e processos do cliente.
Planejamento da  o plano de auditoria é consistente com o escopo proposto de
auditoria certificação e do tipo de auditoria e reflete a organização,
processos e operação do cliente;
 o plano de auditoria aloca tempo suficiente para uma auditoria
completa;
 são alocadas tarefas adequadas à competência dos membros
da equipe de auditoria.
REV. PÁGINA
NIT-DICOR-054
10 48/83
Auditando e  a execução da auditoria é realizada efetivamente:

reportando • abertura e fechamento de reuniões são realizadas;
• técnicas de coleta de evidências de auditoria são eficazes;
• membros da equipe de auditoria tomam notas adequadas de
evidências de auditoria;
• técnicas de amostragem são utilizadas de forma eficaz;
• membros da equipe de auditoria chegam a conclusões
consistentes com a evidência de auditoria.
 o conteúdo do relatório de auditoria cumpre com os requisitos
da ISO/IEC TS 17022:2012.
 nova auditoria é realizada quando necessário.
 a recomendação de certificação é consistente com os
resultados da auditoria, o escopo da auditoria e do âmbito da
certificação.
Revisão de relatórios  verificação de quaisquer alterações desde a revisão da
e decisões de aplicação;
certificação  confirmação se o tempo de auditoria estava correto;
 confirmação de que aos membros da equipe de auditoria foram
atribuídas tarefas de auditoria apropriada à sua competência;
 confirmação de que o relatório de auditoria cumpre os
requisitos da ISO/IEC TS 17022:2012;
 confirmar se a recomendação está consistente com os achados
da auditoria;
• evidência documental está disponível onde o revisor técnico
independente teve motivos para discutir/esclarecer algum
aspecto do conteúdo do relatório ou recomendação
associada.
Manutenção da  o programa de auditoria foi seguido e funções de supervisão e
certificação recertificação foram realizadas em tempo hábil;
 amostragem adequada de relatórios de supervisão para
revisão;
 as alterações foram revisadas e verificadas para não afetar
negativamente a certificação;
 intensificação demonstrada no caso de não conformidades que
podem levar à suspensão ou retirada de certificação;
 auditorias de recertificação oportuna e decisões de
recertificação antes de expirarem.
/ANEXO G
REV. PÁGINA
NIT-DICOR-054
10 49/83
ANEXO G
DOCUMENTO MANDATÓRIO DO IAF PARA A APLICAÇÃO DA ISO/IEC 17021 EM AUDITORIAS
DE SISTEMAS DE GESTÃO INTEGRADOS (IAF MD 11:2013)
Este documento é obrigatório para a aplicação consistente da ABNT NBR ISO/IEC 17021 pelos
Organismos de Certificação (OC) ao planejar e realizar Auditorias de Sistemas de Gestão
Integrados (SGI).
0. INTRODUÇÃO
Este documento fornece requisitos para a aplicação da ABNT NBR ISO/IEC 17021 para o
planejamento e realização de auditorias de SGI e, se for o caso, a certificação do sistema de gestão
de uma organização contra dois ou mais conjuntos de critérios/normas de auditoria. Todas as cláusulas
da ABNT NBR ISO/IEC 17021 continuam a ser aplicadas e este documento não acrescenta ou substitui
qualquer um dos requisitos nesta norma.
0.1. Este documento pode não ser aplicável a normas setoriais específicas baseadas na norma ISO
9001.
0.2. Deve ser ressaltado que o Anexo ao final deste documento também faz parte destes requisitos,
devendo ser entendido dessa forma.
1. DEFINIÇÕES
Para os efeitos deste documento, aplicam-se as seguintes definições:
1.1. Auditoria de Sistema Integrado de Gestão: auditoria do sistema de gestão de uma organização
realizada simultaneamente com base em dois ou mais conjuntos de critérios de auditoria/normas.
1.2. Sistema Integrado de Gestão: Um sistema de gestão único para gerenciar vários aspectos do
desempenho organizacional para atender aos requisitos de mais de uma norma de gestão, em um
determinado nível de integração (1.3). Um sistema de gestão pode consistir em um sistema combinado
de diversos sistemas de gestão distintos, para cada conjunto de critérios de auditoria/normas, até um
Sistema Integrado de Gestão compartilhado em um único sistema, documentação, elementos de
sistema de gestão e responsabilidades.
1.3. Nível de Integração: nível em que uma organização utiliza um sistema de gestão único para
gerenciar múltiplos aspectos do desempenho organizacional para atender aos requisitos de mais de
um sistema de gestão padrão. Integração refere-se ao sistema de gestão, sendo capaz de integrar a
documentação, elementos do sistema de gestão adequado e responsabilidades em relação a dois ou
mais conjuntos de padrões/critérios de auditoria.
Nota: Critérios de auditoria representam as normas de sistema de gestão utilizadas como base para
certificação e avaliação da conformidade (ex. ABNT NBR ISO 9001, ABNT NBR ISO 14001, ABNT NBR
ISO/IEC 20000, ABNT NBR ISO 22000, ABNT NBR ISO/IEC 27001 etc.).
2. APLICAÇÃO
2.1. O Organismo de Certificação deve assegurar que:
2.1.1. Ao definir o programa de auditoria, seja considerado o nível de integração dos sistemas de
gestão.
REV. PÁGINA
NIT-DICOR-054
10 50/83
2.1.2. Os planos de auditoria cubram todas as áreas e atividades aplicáveis para cada
norma/especificação do sistema de gestão abrangidos pelo âmbito de aplicação da auditoria, e sejam
conduzidas por auditores competentes.
2.1.3. A equipe de auditoria como um todo atenda aos requisitos de competência, estabelecidos pelo
Organismo de Certificação, para cada área técnica, relevantes para cada norma/especificação de
sistema gestão abrangida pelo escopo da auditoria do SIG.
2.1.4. A auditoria será conduzida por um líder, competente em pelo menos uma das
normas/especificações de auditoria.
2.1.5. Tempo suficiente seja alocado para realizar uma auditoria completa e eficaz do sistema de
gestão da organização para o sistema de gestão das normas/especificações abrangidas pelo âmbito
da auditoria.
2.1.5.1. Ao determinar o tempo de auditoria para uma auditoria de um SGI abrangendo duas ou mais
normas de sistema de gestão/especificações, por exemplo, A + B + C, o Organismo de Certificação
deve:
a) calcular o tempo de auditoria necessário para cada norma/especificação de sistema de
gestão separadamente (aplicação de todos os fatores relevantes previstos pelos documentos
e/ou regras do esquema de certificação para cada padrão, ex., IAF MD5, ISO/TS 22003,
ISO/IEC 27006);
b) calcular o ponto de partida (T) para a duração da auditoria do SIG, adicionando a soma das
partes individuais (ex. T = A + B + C);
c) ajustar a figura do ponto de partida, considerando os fatores que podem aumentar ou reduzir
(ver Anexo 1) o tempo necessário para a auditoria.
Os fatores de redução devem incluir, mas não se limitar a:

i) A extensão do nível de integração do sistema de gestão da organização;
ii) A capacidade do pessoal da organização em responder perguntas sobre mais de uma
norma de sistema de gestão; e
iii) A disponibilidade de auditor(es) competente(s) para examinar mais de um sistema de
gestão padrão/especificação.
Os fatores de acréscimo devem incluir, mas não se limitar a:

i) A complexidade da auditoria de um SIG, em comparação com auditorias de sistemas
de gestão únicos.
d) informar ao cliente que a duração da auditoria de SGI baseada no nível de integração

declarado do sistema de gestão da organização pode estar sujeita a ajustes com base na
confirmação do nível de integração na auditoria de fase 1 e em auditorias subsequentes.
2.1.5.2. A auditoria de um SGI pode resultar em aumento do tempo de auditoria, mas quando resultar
em sua redução, esta não poderá ultrapassar 20% do ponto de partida T (2.1.5.1b).
2.1.5.3. A figura de ponto de partida e a justificativa para o acréscimo ou redução de tempo devem ser
documentados.
2.2. Os documentos aplicáveis existentes (por exemplo, documentos obrigatórios IAF) relativos a
normas/especificações de auditorias de sistemas de gestão devem ser considerados ao elaborar a
programação de auditorias e planos de auditoria para um SIG.
2.3. Todos os requisitos aplicáveis de cada norma/especificação de sistema de gestão pertinentes ao

escopo do SGI deverão ser auditados.
REV. PÁGINA
NIT-DICOR-054
10 51/83
2.4. Relatórios de auditoria podem ser integrados ou separados, no que diz respeito aos sistemas de
gestão auditados. Cada constatação apontada em um relatório integrado deve ser rastreável em
relação à norma/especificação de sistema de gestão correspondente.
2.5. O Organismo de Certificação deve considerar o impacto que uma não conformidade encontrada
em relação a uma das normas/especificações do sistema de gestão terá sobre a conformidade com
outras normas/especificações do sistema de gestão.
3. AUDITORIA INICIAL E CERTIFICAÇÃO
3.1. Solicitação do Cliente

Deverá incluir informações relativas ao nível de integração, incluindo o nível de integração de
documentos, elementos do sistema de gestão e responsabilidades (ver Anexo 1).
3.2. Auditoria de Fase 1

Durante a Auditoria de Fase 1, a equipe de auditoria deve confirmar o nível de integração do SIG. O
Organismo de Certificação deve rever e modificar, se necessário, o tempo de duração da auditoria
baseado nas informações fornecidas durante a etapa de análise da solicitação.
4. ATIVIDADES DE SUPERVISÃO E RECERTIFICAÇÃO
O Organismo de Certificação deve confirmar que o nível de integração permaneça inalterado durante
todo o ciclo de certificação, para assegurar que os tempos de duração de auditoria estabelecidos ainda
continuam aplicáveis.
5. SUSPENSÃO, REDUÇÃO, CANCELAMENTO
Se a certificação com base em uma ou mais normas/especificações de sistema de gestão for objeto
de suspensão, redução ou cancelamento, o Organismo de Certificação deve avaliar o impacto disto
sobre a certificação nas outras normas/especificações de sistema de gestão.
Figura 1 – REDUÇÃO DO TEMPO DE AUDITORIA
A figura 1 ilustra a redução (%) no tempo de duração de uma auditoria integrada e sua relação com:
REV. PÁGINA
NIT-DICOR-054
10 52/83
Eixo Vertical: nível de integração do sistema de gestão de uma organização (ver abaixo) que deve
incluir a consideração da capacidade da organização auditada em responder a perguntas com multi-
aspectos.
Um Sistema Integrado de Gestão resulta de quando uma organização utiliza um sistema de gestão
único para gerenciar vários aspectos do desempenho organizacional. Este é caracterizado por (mas
não se limita a):
1. Um conjunto integrado de documentação, incluindo instruções de trabalho para um bom nível de
desenvolvimento, conforme apropriado;
2. Análises críticas da direção considerando a estratégia geral e o plano de negócios;
3. Uma abordagem integrada de auditorias internas;
4. Uma abordagem integrada de políticas e objetivos;
5. Uma abordagem integrada de processos de sistemas;
6. Uma abordagem integrada de mecanismos de aperfeiçoamento (ações corretivas e preventivas;
monitoramento e melhoria contínua); e
7. Gestão integrada de suporte e responsabilidades.
O Organismo de Certificação tem que decidir o percentual de nível de integração baseado na medida
pela qual o sistema de gestão da organização atenda aos critérios acima.
e com
Eixo Horizontal: a medida dada como uma razão a ser multiplicada por um fator de 100 a fim de se
obter o valor usado como percentual, na qual cada membro individual da equipe de auditoria está
qualificado:
100 ((X1-1) + (X2-1) + (X3-1) + (Xn-1))

Z(Y-1)
Onde
X1, 2, 3…n é o número de normas nas quais um auditor está qualificado para o escopo relevante da
auditoria integrada;
Y é o número de normas de sistema de gestão a ser coberto pela auditoria integrada;
Z é o número de auditores.
Exemplo:
Uma equipe de auditoria integrada composta de três auditores que abrangem três diferentes normas de
sistema de gestão. Um auditor está qualificado para todas as três normas, um auditor está qualificado
para duas das normas e outro auditor está qualificado para uma única norma.
O valor percentual a ser utilizado para o eixo horizontal é:
100 ((3-1) + (2-1) + (1-1)) = 50 %

3(3-1)
Dada a competência disponível de cada auditor em mais de um conjunto de critérios/normas de

auditoria, ganhos de eficiência irão para o cômputo da possível redução de tempo na fórmula acima.
Estes incluem:
1. Tempo ganho com a realização de uma única reunião de abertura e encerramento;
2. Tempo ganho pela elaboração de um único relatório de auditoria integrada;
3. Tempo ganho com otimização da logística;
4. Tempo ganho em reuniões de equipe de auditores; e
5. Tempo ganho auditando elementos comuns, simultaneamente, por exemplo, controle de
documentos.
/ANEXO H
REV. PÁGINA
NIT-DICOR-054
10 53/83
ANEXO H
APLICAÇÃO DA ABNT NBR ISO/IEC 17021:2011 NO SETOR DE GESTÃO DE SERVIÇOS (ABNT
NBR ISO/IEC 20000-1) - (IAF MD 18:2015)
Este documento é obrigatório para a aplicação consistente da ABNT NBR ISO/IEC 17021. Todas as
cláusulas da ABNT NBR ISO/IEC 17021 permanecem aplicáveis e este documento não substitui
nenhum dos requisitos daquela norma.
1. ESCOPO
Este documento oferece orientação para organismos que fornecem auditoria e certificação de sistemas
de gestão de serviços de tecnologia da informação (SGSTI, ABNT NBR ISO/IEC 20000-1:2011) e
especifica requisitos adicionais aos requisitos contidos na ABNT NBR ISO/IEC 17021. Ele é voltado
basicamente a auxiliar na acreditação de organismos que fornecem certificação de SGSTI.
ABNT NBR ISO/IEC 20000-1:2011Tecnologia da Informação – Gestão de Serviços – Parte 1:

Requisitos de Sistemas de Gestão de Serviços
ABNT NBR ISO/IEC 17021:2011 Avaliação da Conformidade – Requisitos para organismos que
fornecem auditoria e certificação de sistemas de gestão
3. TERMOS E DEFINIÇÕES
Os termos e definições da ABNT NBR ISO/IEC 17021, Cláusula 3, e da ABNT NBR ISO/IEC 20000-1
permanecem aplicáveis.
4. PRINCÍPIOS
Os princípios da ABNT NBR ISO/IEC 17021, Cláusula 4, permanecem aplicáveis.
5. REQUISITOS GERAIS
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusula 5, permanecem aplicáveis.
6. REQUISITOS ESTRUTURAIS
7. REQUISITOS DE RECURSOS
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusulas 7.1 a 7.2.7 permanecem aplicáveis.
Nota: ABNT NBR ISO/IEC 17021 Anexo A - Os requisitos específicos de SGSTI e orientações, a
seguir, são aplicáveis.
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusula 7.2.8, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações a seguir, também são aplicáveis.
REV. PÁGINA
NIT-DICOR-054
10 54/83
O OAC deve oferecer oportunidade de desenvolvimento profissional contínuo para o pessoal de

certificação, de modo a manter e aprimorar sua competência na certificação ABNT NBR ISO/IEC
20000. Em particular, o organismo deve assegurar que os auditores se mantenham permanentemente
atualizados no conhecimento de práticas de gestão de serviços e de requisitos regulatórios relevantes.
O desenvolvimento profissional contínuo pode, por exemplo, incluir, mas não se restringir, a:
i. experiência profissional complementar;
ii. participação em cursos de treinamento;
iii. coaching;
iv. estudo individual; e
v. participação em eventos, seminários ou outras atividades relevantes.
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusulas 7.2.9 a 7.5, permanecem aplicáveis.
8. REQUISITOS DE INFORMAÇÃO
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusulas 8.1 a 8.4, permanecem aplicáveis.
8.5. Confidencialidade
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusula 8.5, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
Antes da auditoria de certificação, o Organismo de Certificação deve solicitar à organização cliente

que informe se quaisquer registros do SGSTI não estarão disponíveis para análise pela equipe de
auditoria, por conterem informações confidenciais ou sensíveis, e que seja apresentada uma
justificativa correspondente. O Organismo de Certificação deve determinar e registrar se o SGSTI pode
ser adequadamente auditado na ausência destas informações confidenciais e detalhar o racional
correspondente. Se o Organismo de Certificação concluir que não será possível auditar
adequadamente o SGSTI sem analisar os registros confidenciais ou sensíveis indicados, deverá alertar
a organização cliente que a auditoria de certificação não poderá se realizar até que sejam concedidas
garantias de acesso adequado.
Nota: Alternativamente, um intermediário que possua competência adequada e o necessário nível de

acesso para ver as informações confidenciais ou sensíveis pode ser utilizado para conferir os registros
e confirmar, ou não, a informação requerida. Este intermediário deve ser aceito tanto pelo OAC quanto
pelo seu cliente. Entretanto, este intermediário deve possuir independência em relação à organização
cliente.
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusula 8.6, permanecem aplicáveis.
9. REQUISITOS DE PROCESSO
9.1. Requisitos gerais
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusulas 9.1.1 e 9.1.3, permanecem aplicáveis.
9.1.2. Os requisitos da ABNT NBR ISO/IEC 17021, Cláusula 9.1.2, permanecem aplicáveis. Além
disso, os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
A equipe auditora deve auditar o SGSTI da organização cliente coberto pelo escopo definido, contra
todos os requisitos de certificação aplicáveis. O Organismo de Certificação deve assegurar que o
escopo e limites do SGSTI da organização cliente estejam claramente definidos em termos das
REV. PÁGINA
NIT-DICOR-054
10 55/83
características do negócio, da organização, de sua localização, bens e tecnologia e nos termos da

ISO/IEC 20000-3. O organismo de certificação deve confirmar que a organização cliente segue os
requisitos declarados no escopo de seu SGSTI.
disso, os requisitos específicos de SGSTI e orientações a seguir, são aplicáveis.
O tempo alocado deve considerar os seguintes fatores específicos de SGSTI:
i. tamanho do escopo do SGSTI;
ii. complexidade do SGSTI e a complexidade do(s) serviço(s) prestado(s) pela organização
cliente;
iii. natureza do(s) negócios realizado(s) no âmbito do escopo do SGSTI;
iv. extensão e diversidade da tecnologia utilizada na implementação dos diversos componentes
do SGSTI;
v. número de sites;
vi. desempenho previamente demonstrado do SGSTI;
vii. abrangência dos SLA e acordos de terceira parte utilizados dentro do escopo do SGSTI;
viii. normas e regulamentos aplicáveis à certificação; e
ix. número de outras partes envolvidas, tais como fornecedores, grupos internos ou
consumidores agindo como fornecedores, envolvidos na prestação dos serviços.
Os requisitos do documento mandatório IAF MD1 para Certificação de multisites baseada em

Amostragem, Cláusulas 0 a 5.2, permanecem aplicáveis. Quando uma organização multisite opera
alguns processos ou atividades distintos em diferentes sites, ou uma combinação de sites, o
Organismo de Certificação precisa justificar e documentar o racional utilizado para qualquer
amostragem que decida implementar durante a certificação do sistema de gestão. Isto deve
demonstrar como pode ser obtido o mesmo nível de confiança na conformidade do sistema de gestão
por entre todos os sites. Também deve ser dada atenção à auditoria de “localizações virtuais”, p. ex.
sites temporários, sites online etc., onde a amostragem pode ser, ou não, adequada.
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusulas 9.1.6 a 9.1.9, permanecem aplicáveis.
O relatório de auditoria de certificação deve trazer informações sobre a identificação, avaliação e

gestão de riscos dos serviços da organização cliente de TI.
9.2. Auditoria inicial e certificação

9.2.3. Auditoria de certificação inicial
9.2.3.1. Auditoria fase 1
9.2.3.1.1. Os requisitos da ABNT NBR ISO/IEC 17021, Cláusula 9.2.3.1.1, permanecem aplicáveis.
Além disso, os requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
Nesta fase da auditoria, o Organismo de Certificação deve obter documentação sobre o projeto do
SGSTI abrangendo a documentação requerida na Cláusula 4.3.1 da ABNT NBR ISO/IEC 20000-1.
REV. PÁGINA
NIT-DICOR-054
10 56/83
O objetivo da auditoria fase 1 é dar foco no planejamento da auditoria fase 2 a partir do entendimento
do SGSTI obtido no contexto das políticas e objetivos de SGSTI da organização cliente e, em particular,
sobre o estágio de preparação da organização cliente para auditoria.
A auditoria fase 1 deve incluir, mas não se restringir à análise da documentação. O Organismo de
Certificação deve acertar com a organização cliente quando e onde a análise da documentação será
realizada. Em qualquer caso, a análise da documentação deve ser concluída antes do início da
auditoria fase 2.
Os resultados da auditoria fase 1 devem ser documentados em um relatório escrito. O Organismo de

Certificação deve analisar o relatório de auditoria fase 1 para decidir se prosseguirá com a auditoria
fase 2, e para selecionar os membros da equipe de auditoria fase 2 com a necessária competência.
O Organismo de Certificação deve manter a organização cliente ciente dos demais tipos de informação
e registros que podem ser requeridos para verificação detalhada durante a auditoria fase 2.
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusulas 9.2.3.1.2 e 9.2.3.1.3, permanecem aplicáveis.
9.2.3.2. Auditoria fase 2
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusula 9.2.3.2, permanecem aplicáveis. Além disso, os
requisitos específicos de SGSTI e orientações, a seguir, são aplicáveis.
A auditoria deve manter foco nos seguintes aspectos da organização cliente:

i. requisitos de documentação relacionados na Cláusula 4.3.1 da ABNT NBR ISO/IEC 20000-1;
ii. eficácia dos controles de execução, monitoramento, medição e análise dos objetivos de
planos e processos de gestão de serviços;
iii. auditorias internas e análises críticas do SGSTI; e
iv. responsabilidade da administração pelas políticas.
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusulas 9.2.4 e 9.2.5, permanecem aplicáveis.
Os requisitos da ABNT NBR ISO/IEC 17021, Cláusulas 9.3 a 9.9, permanecem aplicáveis.
10. REQUISITOS DE SISTEMAS DE GESTÃO PARA ORGANISMOS DE CERTIFICAÇÃO
Fim do documento obrigatório do IAF sobre a aplicação da ABNT NBR ISO/IEC 17021:2011 no Setor
de Gestão de Serviços (ABNT NBR ISO/IEC 20000-1).
/ANEXO I
REV. PÁGINA
NIT-DICOR-054
10 57/83
ANEXO I - APLICAÇÃO DA ABNT NBR ISO/IEC 17021-1 PARA A CERTIFICAÇÃO DE SISTEMAS

DE GESTÃO DE SAÚDE E SEGURANÇA OCUPACIONAL (OSS) - (IAF MD 22:2018)
0. INTRODUÇÃO
Este documento é obrigatório para a aplicação coerente da ABNT NBR ISO/IEC 17021-1:2015 para
a acreditação de Organismos de Certificação que fornecem certificação de Sistemas de Gestão de
Saúde e Segurança Ocupacional (OSS). Todas as cláusulas e Anexos da ABNT NBR ISO/IEC
17021-1:2015 mantém-se aplicáveis, e este documento não substitui nenhum dos requisitos dessa
norma.
Este documento não se aplica apenas à certificação da OHSAS 18001, mas também deve ser usado
para certificação para outros esquemas de OSS, como a norma ISO 45001 e outras. A legislação
nacional prevalecerá em caso de conflito com este documento.
Este documento também inclui cinco apêndices obrigatórios que incluem requisitos específicos de
Sistemas de Gestão de Saúde e Segurança Ocupacional aos seguintes documentos ISO, IAF e EA:
Apêndice Documento fonte

Apêndice A - Conhecimento e Habilidades Específicas para Anexo A da ABNT NBR ISO/IEC
Funções de Certificação em Sistemas de Gestão de Saúde e 17021-1:2015
Segurança Ocupacional
Apêndice B - Determinação do Tempo de Auditoria de IAF MD5:2015
Sistemas de Gestão de Saúde e Segurança Ocupacional
Apêndice C - Conformidade Legal como parte da Certificação EA-7/04 M:2017
Acreditada de Sistemas de Gestão de Saúde e Segurança
Ocupacional
Apêndice D - Escopo de Acreditação IAF-ID1:2014
Apêndice E - Testemunhando Atividades para a Acreditação IAF MD17:2015

de Organismos de Certificação de Sistemas de Gestão de
Saúde e Segurança Ocupacional
Este documento segue a estrutura da ABNT NBR ISO/IEC 17021-1:2015.
Os critérios específicos são identificados pela letra "G", seguido de um número de referência que
incorpora a cláusula de requisitos relacionada da ABNT NBR ISO/IEC 17021-1:2015.
Em todos os casos, uma referência no texto deste documento à "cláusula XX" refere-se a uma
cláusula da ABNT NBR ISO/IEC 17021-1:2015, a menos que especificado de outra forma.
1. ESCOPO
Nenhum requisito adicional.

REV. PÁGINA
NIT-DICOR-054
10 58/83
3. TERMOS E DEFINIÇÕES
G 3.3 Alguns serviços específicos oferecidos ou fornecidos na área de Saúde e Segurança

Ocupacional a clientes certificados ou buscando certificação em OSS pelo Organismo de Certificação
são considerados como consultoria em OSS. Estes incluem, sem se limitar a:
i) exercer o papel de coordenador de Saúde e Segurança Ocupacional,

ii) elaborar relatórios de segurança,
iii) realizar análises de risco,
iv) realizar inspeções de Saúde e Segurança Ocupacional e auditorias internas,
v) comunicar-se com autoridades reguladoras em nome do cliente,
vi) prestar assistência no desenvolvimento de Sistema de Gestão de Saúde e Segurança
Ocupacional de uma organização, e
vii) realizar investigação de acidentes e incidentes.
4. PRINCÍPIOS
G 4.1.2 Além de trabalhadores permanentes e temporários gerencias e não gerenciais, e seus

representantes, as partes interessadas em uma certificação de OSS incluem, sem se limitar a:
i) autoridades legais e reguladoras (locais, regionais, nacionais ou internacionais),

ii) organizações relacionadas,
iii) fornecedores, contratados e subcontratados,
iv) organizações de trabalhadores (sindicatos) e organizações de empregadores,
v) proprietários, acionistas, clientes, visitantes, familiares de trabalhadores, comunidade local e
vizinhos da organização, e público em geral,
vi) clientes, médicos e outros serviços comunitários, meios de comunicação, academias,
associações empresariais e organizações não-governamentais (ONG), e
vii) organizações de saúde e segurança ocupacional e profissionais de saúde e segurança
ocupacional (por exemplo, médicos e enfermeiros).
5. REQUISITOS GERAIS
G 5.2.3 (nota 2)
Os principais interessados podem incluir as partes adicionais mencionadas na cláusula G.4.1.2.
6. REQUISITOS ESTRUTURAIS
7. REQUISITOS DE RECURSOS
G 7.1.2 (na nota)
Para os Sistemas de Gestão de Saúde e Segurança Ocupacional, o termo “área técnica” está
relacionado a aspectos comuns de processos ou serviços e seus riscos associados que podem expor
os trabalhadores a riscos de saúde e segurança.
REV. PÁGINA
NIT-DICOR-054
10 59/83
8. REQUISITOS DE INFORMAÇÃO
G 8.5.3 Os acordos legalmente exigíveis também requerem que o cliente certificado informe ao
Organismo de Certificação, sem demora, a ocorrência de um incidente sério ou a violação da
regulamentação que exija o envolvimento da autoridade regulatória competente.
9. REQUISITOS DE PROCESSO
9.1 Atividades de pré-certificação
G 9.1.1 As informações fornecidas ao Organismo de Certificação pelo representante autorizado da

organização solicitante sobre seus processos e atividades devem também incluir a identificação das
principais ameaças e riscos de OSS associados aos processos, os principais materiais perigosos
usados nos processos e quaisquer obrigações legais relevantes decorrentes da legislação aplicável
de OSS.
A solicitação deve conter informações detalhadas do pessoal que trabalha nas próprias instalações,
ou que trabalha longe das instalações da organização.
G 9.1.4 O tempo de auditoria das auditorias de OSS deve ser determinado de acordo com o Apêndice
B deste documento.
Se o cliente prestar serviços nas instalações de outra organização, o OAC deverá verificar se o Sistema
de Gestão de Saúde e Segurança Ocupacional do cliente cobre essas atividades externas
(independente das obrigações de saúde e segurança ocupacional da outra organização). Ao
determinar o tempo a ser gasto na auditoria, o OAC deve considerar a auditoria periódica de qualquer
local da organização onde esses funcionários trabalhem. A decisão de se todos os sites devem ser
auditados dependerá de vários fatores, tais como riscos de OSS associados às atividades executadas,
contratos firmados, certificação por outro OAC acreditado, sistema de auditoria interna, estatísticas
sobre acidentes e quase acidentes. A justificativa para tal decisão deve ser registrada.
G 9.1.5 No caso de Sistema de Gestão de Saúde e Segurança Ocupacional operado em vários locais,
é necessário estabelecer se a amostragem é permitida ou não, baseada na avaliação do nível de riscos
de OSS associados à natureza das atividades e processos realizados em cada site relacionado no
escopo de certificação. O racional dessas decisões, o cálculo do tempo de auditoria e a frequência de
visitas a cada site devem ser consistentes com os requisitos da cláusula B.10 do Anexo B e devem ser
documentados para cada cliente.
Se houver múltiplos sites que não realizam as mesmas atividades, processos e riscos de OSS, a
amostragem não é apropriada.
Embora um site realize processos semelhantes ou produza produtos similares a outros locais, o OAC
deve levar em conta as diferenças entre as operações de cada local (tecnologia, equipamentos,
quantidade de materiais perigosos usados e armazenados, ambiente de trabalho, instalações etc.).
Quando a amostragem for permitida, o organismo de certificação deve assegurar que a amostra de
locais a serem auditados seja representativa dos processos, atividades e riscos de OSS existentes na
organização a ser auditada.
Os sites temporários cobertos pelo sistema de gestão de saúde e segurança ocupacional operado pela
organização estão sujeitos a auditoria em base amostral para fornecer evidência da operação e
eficácia do sistema de gerenciamento (ver cláusula B.9 do Apêndice B).
REV. PÁGINA
NIT-DICOR-054
10 60/83
9.2 Planejando Atividades
G 9.2.1.2 b) Para a determinação da capacidade do sistema de gestão para garantir que o cliente
atenda aos requisitos estatutários, regulamentares e contratuais aplicáveis, deve ser adotada a
abordagem descrita no Apêndice C.
G.9.2.1.3 O sistema de gestão de saúde e segurança ocupacional deve incluir atividades, produtos e
serviços dentro do controle ou influência da organização que possam afetar o desempenho de OH &
SMS da organização.
Sites temporários, por exemplo, locais de construção, devem ser cobertos pelo sistema de gestão de
saúde e segurança ocupacional da organização que detém o controle desses sites,
independentemente de onde eles estejam localizados.
9.3 Certificação Inicial
9.4 Realização de auditorias
G 9.4.4.2 A equipe de auditoria deve entrevistar o seguinte pessoal:
i) gestor com a responsabilidade legal pela Saúde e Segurança Ocupacional,

ii) representantes dos empregados com responsabilidade pela Saúde e Segurança Ocupacional,
iii) pessoal responsável pelo monitoramento da saúde dos empregados, por exemplo, médicos e
enfermeiros. Justificativas em caso de entrevistas realizadas remotamente devem ser
registradas,
iv) gerentes e funcionários permanentes e temporários.
Outros funcionários que devem ser considerados para serem entrevistados são:
i) gerentes e empregados que exercem atividades relacionadas à prevenção de riscos à Saúde

e Segurança no Trabalho, e
ii) gestores e funcionários dos prestadores de serviços.
G 9.4.5.3 O Organismo de Certificação deve ter procedimentos detalhando as ações a serem tomadas
no caso de identificar uma não conformidade contra requisitos regulamentares relevantes. Esses
procedimentos devem incluir a exigência de que tais não conformidades sejam imediatamente
comunicadas à organização que está sendo auditada.
G 9.4.7.1 O representante da organização deve ser solicitado a convidar o gestor legalmente

responsável pela saúde e segurança ocupacional, o pessoal responsável pelo monitoramento da
saúde dos funcionários e o representante dos funcionários responsável pela saúde e segurança
ocupacional para participarem da reunião de encerramento. A justificativa em caso de ausência deve
ser registrada.
9.5 Decisão de Certificação

REV. PÁGINA
NIT-DICOR-054
10 61/83
9.6 Manutenção da Certificação
G 9.6.4.2 Independentemente do envolvimento da autoridade reguladora competente, uma auditoria

extraordinária pode ser necessária caso o Organismo de Certificação tome ciência de que houve um
incidente sério relacionado à saúde e segurança ocupacional, por exemplo, um acidente grave, ou uma
violação grave da regulamentação, a fim de investigar se o sistema de gestão não foi impactado e
funcionou efetivamente. O Organismo de Certificação deve documentar o resultado de sua
investigação.
9.6.5.2 Informações sobre incidentes, como um acidente grave, ou uma violação grave da
regulamentação, que exija o envolvimento da autoridade regulatória competente, fornecida pelo cliente
certificado (ver G 8.5.3) ou coletadas diretamente pela equipe de auditoria durante a condução da
auditoria extraordinária, (G 9.6.4.2) deve fornecer subsídios para que o Organismo de Certificação
decida sobre as ações a serem tomadas, incluindo a suspensão ou cancelamento da certificação, nos
casos em que seja demonstrado que o sistema falhou seriamente em atender aos requisitos de
certificação de saúde e segurança ocupacional. Tais requisitos devem fazer parte dos acordos
contratuais entre o OAC e a organização.
9.7 Apelações
9.8 Reclamações
9.9 Registros de clientes
10. Requisitos do sistema de gestão para os organismos de certificação

REV. PÁGINA
NIT-DICOR-054
10 62/83
APÊNDICE A (normativo)
CONHECIMENTO E HABILIDADES ESPECÍFICAS PARA FUNÇÕES DE CERTIFICAÇÃO
EM OSS
Este Apêndice ao anexo A da ABNT NBR ISO/IEC 17021-1:2015 é obrigatório. Este documento foi
substituído após a publicação da ISO/IEC TS 17021-10
As cláusulas A.1.n a seguir referem-se aos critérios de conhecimento e habilidades listados na primeira
coluna e especificados sob a letra X nas outras colunas da Tabela A.1, para cada função de
certificação. Tais critérios são explicados em mais detalhes com referência ao texto seguindo a tabela
referenciada pelo número entre parênteses.
A.1.1 Conhecimento das práticas de gestão empresarial:

 sem orientação adicional para os parágrafos A.2.1.
A.1.2 O conhecimento dos princípios, práticas e técnicas de auditoria deve incluir a norma ABNT NBR
ISO/IEC 17021-1:2015, e orientação fornecida neste documento:
 sem orientação adicional para os parágrafos A.2.2 e A.3.1.
A.1.3 O conhecimento de normas/documentos normativos específicos do sistema de gestão deve

incluir, sem se limitar a:
 terminologia de saúde e segurança ocupacional,

 legislação de saúde e segurança ocupacional válida em países onde o Organismo de
Certificação está realizando auditorias,
 normas de certificação de sistema de gestão de saúde e segurança ocupacional aplicáveis
(como OHSAS 18001, ISO 45001 ou outras normas),
 métodos de monitoramento, medição, avaliação de desempenho de SSO e da conformidade
de sistema de gestão de saúde e segurança ocupacional,
 entrevistas e outras ferramentas de avaliação, e
 orientação e metodologias de análise de riscos de saúde e segurança ocupacional.
O nível de conhecimento deve ser suficiente para atender aos diferentes requisitos especificados nos
parágrafos A.2.3, A.3.2 e A.4.1 para cada função de certificação.
A.1.4 Conhecimento dos processos do Organismo de Certificação:
 sem orientação adicional para os parágrafos A.2.4, A.3.3 e A.4.2.
A.1.5 O conhecimento do setor de negócios do cliente deve incluir:

 riscos de saúde e segurança ocupacional e controles específicos para o setor empresarial.
O nível de conhecimento deve ser suficiente para atender aos diferentes requisitos especificados nos
parágrafos A.2.5, A.3.4 e A.4.3 para cada função de certificação.
REV. PÁGINA
NIT-DICOR-054
10 63/83
A.1.6 O conhecimento dos produtos, processos e organização do cliente deve incluir:
 leis e regulamentos de saúde e segurança ocupacional aplicáveis, específicos do país, em

cada área técnica da organização a ser certificada, e
 riscos de acidentes, incidentes e doenças ocupacionais (lista não exaustiva): aspectos
fisiológicos, psicológicos e sociais; aspectos ergonômicos; fatores químicos e biológicos;
fatores físicos (por exemplo, vibração, ruído, eletricidade, fogo e explosão, exposição à
radiação e campos magnéticos); ambiente de trabalho (iluminação, temperatura, umidade);
equipamentos, dispositivos, maquinaria; e sistemas técnicos.
O nível de conhecimento deve ser suficiente para satisfazer os diferentes requisitos especificados nos
parágrafos A.2.6 e A.4.4 para cada função de certificação.
A.1.7 Habilidades linguísticas apropriadas para todos os níveis dentro da organização do cliente:
 sem orientação adicional para o parágrafo A.2.7.
A.1.8 Habilidades de anotação e redação de relatórios:

A.1.9 Habilidades de apresentação

A.1.10 Habilidades de entrevista

A.1.11 Habilidades de gestão de auditoria

REV. PÁGINA
NIT-DICOR-054
10 64/83
APÊNDICE B (normativo)
DETERMINAÇÃO DO TEMPO DE AUDITORIA DE SISTEMAS DE GESTÃO DA SAÚDE E
SEGURANÇA OCUPACIONAL
Este apêndice é obrigatório para a aplicação coerente das cláusulas relevantes da norma ABNT NBR
ISO/IEC 17021-1:2015 e os requisitos adicionais do IAF-MD5: 2015 para auditorias de sistemas de
gestão de saúde e segurança ocupacional.
Neste Apêndice, nenhuma cláusula da ABNT NBR ISO/IEC 17021-1:2015 é substituída.
O IAF MD5 é aplicável com as modificações detalhadas aqui:
 todas as cláusulas modificadas incorporam todos os requisitos relevantes das cláusulas

relacionadas do IAF-MD5:2015, e
 todas as cláusulas não modificadas não foram incluídas neste Apêndice, a menos que sejam
necessárias para assegurar uma melhor compreensão das cláusulas alteradas relacionadas
(por exemplo, cláusulas B.5 e B.6, referidas na cláusula alterada B.3.2).
B.1 DEFINIÇÕES
B.1.9 Número efetivo de pessoal

O número efetivo de pessoal consiste de todo o pessoal (permanente, temporário e de meio período)
envolvido no escopo de certificação, incluindo aqueles que trabalham em cada turno. Quando incluído
no escopo da certificação, deve também incluir pessoal de contratados/subcontratados que executam
atividades relacionadas ao trabalho ou ao trabalho que estão sob o controle ou influência da
organização, que podem afetar o desempenho do sistema de gestão de saúde e segurança
ocupacional da organização.
B.1.12 Categoria de complexidade baseada no risco de saúde e segurança ocupacional

Para sistema de gestão de saúde e segurança ocupacional, as disposições especificadas neste
documento baseiam-se em três categorias principais de complexidade com base na natureza, número
e gravidade dos riscos de saúde e segurança ocupacional de uma organização que afetam
fundamentalmente o tempo de auditoria (ver Tabela SSO 2).
B.2 APLICAÇÃO
B.2.2 Dia(s) de auditoria
B.2.2.1 A Tabela SSO 1 apresenta o tempo médio de auditorias de certificação de sistema de gestão
de saúde e segurança ocupacional calculado em dias de auditoria, com base em 8 horas por dia.
Ajustes nacionais no número de dias podem ser necessários para cumprir a legislação local para
viagens, pausas para almoço e horário de trabalho para atingir o mesmo número total de dias de
auditoria da Tabela SSO 1.
B.2.3 Cálculo do número efetivo de pessoal
B.2.3.1 O número efetivo de pessoal, conforme definido acima, é usado como base para o cálculo do
tempo de auditoria para OSS. As considerações para determinar o número efetivo de funcionários
incluem pessoal de meio período, pessoas que trabalham em turnos, administrativos e todas as
categorias de auxiliares de escritório, e processos similares ou repetitivos (ver B.2.3.4). “No caso de
operações sazonais (por exemplo, atividades de colheita, pousadas turísticas e hotéis etc.), o cálculo
do número efetivo de pessoal deve basear-se no pessoal normalmente presente nas operações de
REV. PÁGINA
NIT-DICOR-054
10 65/83
picos de trabalho”. Reduções devidas ao emprego de grande número de trabalhadores não

qualificados não devem ser feitas sem levar em consideração o risco associado (ver B.2.3.6).
B.2.3.4 Processos semelhantes ou repetitivos dentro do escopo
i) Quando uma alta porcentagem de pessoal desempenha certas atividades/posições

consideradas similares ou idênticas porque estão expostas a riscos semelhantes de saúde e
segurança (por exemplo, limpeza, segurança, vendas, central de atendimento etc.) uma
redução no número de pessoas aplicada coerente e consistentemente numa relação de
empresa para empresa dentro do escopo da certificação pode ser permitida.
ii) Para grupos de trabalhadores que realizam trabalhos repetitivos que podem reduzir a atenção
e elevar o nível associado de risco de SSO (por exemplo, montagem, embalagem, triagem
etc.), os métodos incorporados para possíveis reduções devem ser documentados para incluir
a avaliação do risco de SSO de quaisquer atividades / cargos de trabalhadores.
B.2.3.5 Funcionários do turno de trabalho
O organismo deve determinar o momento da auditoria que melhor avaliará a implementação efetiva do
sistema de gestão de saúde e segurança ocupacional para o escopo completo das atividades do
cliente, incluindo a necessidade de auditar fora do horário normal de trabalho e de auditar vários
padrões de turno. Isso deve ser acordado com o cliente.
O organismo deve assegurar que qualquer variação no tempo de auditoria não comprometa a eficácia
das auditorias (ver também a cláusula B 3.7).
B.2.3.6 Pessoal temporário não qualificado
Este requisito normalmente só se aplica em países com um baixo nível de tecnologia, onde pessoal
temporário não qualificado pode ser empregado em números consideráveis para substituir processos
automatizados. Nestas circunstâncias, uma redução no número efetivo de pessoal pode ser feita para
outros esquemas de certificação (SGQ, SGA). Esta redução é, em princípio, considerada como não
aplicável ao sistema de gestão de saúde e segurança ocupacional, uma vez que o emprego de pessoal
não qualificado temporário pode ser uma fonte de riscos de SSO. Se, em casos excepcionais, for feita
uma redução, a justificativa para isso deverá ser registrada e disponibilizada ao organismo de
acreditação na avaliação.
B.3 METODOLOGIA PARA DETERMINAR O TEMPO DE AUDITORIA DE OSS
B.3.1 A metodologia utilizada como base para o cálculo do tempo de auditoria de OSS para uma
auditoria inicial (Fase 1 + Fase 2) envolve a compreensão das tabelas do Anexo C do Apêndice B. O
Anexo C é baseado no número efetivo de pessoal (vide Cláusula B.2.3 para orientação sobre o cálculo
do número efetivo de pessoal) e na categoria de risco de SSO associada ao setor de negócios da
organização, e não fornece um tempo mínimo ou máximo de auditoria. A Tabela OSS 2 mostra a
ligação entre os setores de negócios e as categorias de complexidade de SSO, com base em riscos
de SSO.
Nota: a prática normal é que o tempo gasto na Fase 2 exceda o tempo gasto na Fase 1.
B.3.2 Usando um multiplicador adequado, a mesma tabela e figura podem ser usadas como base para
o cálculo do tempo de auditoria para auditorias de supervisão (Cláusula B.5) e auditorias de
recertificação (cláusula B.6).
REV. PÁGINA
NIT-DICOR-054
10 66/83
B.3.3 O organismo deve ter processos que permitam a alocação de tempo adequado para a auditoria
de processos relevantes do cliente. A experiência demonstra que, além do número de pessoal, o tempo
necessário para uma auditoria eficaz de sistema de gestão de saúde e segurança ocupacional
depende de outros fatores. Esses fatores são explorados com mais profundidade na cláusula B.8.
B.3.4 Este documento obrigatório enumera as disposições que devem ser consideradas ao estabelecer
a quantidade de tempo necessária para realizar uma auditoria. Este e outros fatores precisam ser
examinados durante o processo de análise crítica da solicitação pelo organismo, e após a Fase 1, e
durante todo o ciclo de certificação e na recertificação, pelo seu potencial impacto na determinação do
tempo de auditoria, independentemente do tipo de auditoria. Portanto, as tabelas relevantes OSS 1 e
OSS 2, que demonstram a relação entre o número efetivo de pessoal e as categorias de risco de SSO,
não podem ser usadas isoladamente. Essas tabelas fornecem a estrutura para futuros planejamentos
de auditoria e para fazer ajustes no tempo de auditoria para todos os tipos de auditorias.
B.3.6 Para uma auditoria de OSS, é apropriado basear o tempo de auditoria no número efetivo de
pessoal da organização e na natureza, número e gravidade dos riscos de SSO da organização típica
naquele setor industrial. As tabelas OSS 1 e OSS 2 fornecem uma estrutura para o processo que deve
ser usado para planejamento. O tempo de auditoria dos sistemas de gestão deve então ser ajustado
com base em quaisquer fatores significativos aplicáveis exclusivamente à organização a ser auditada.
B.3.7 O ponto de partida para determinar o tempo de auditoria de OSS deve ser identificado com base
no número efetivo de pessoal, ajustado por fatores significativos aplicáveis ao cliente a ser auditado,
atribuindo a cada fator uma ponderação aditiva ou subtrativa para alterar o cálculo inicial. Em todas as
situações, a base para o estabelecimento do tempo de auditoria de OSS, incluindo os ajustes feitos,
deve ser documentada.
O organismo deve garantir que qualquer variação no tempo de auditoria não comprometa a eficácia
das auditorias. Quando os processos de manufatura de produtos ou serviços operam em regime de
turnos, o tamanho da auditoria de cada turno pelo organismo depende dos processos realizados em
cada turno, levando em consideração os riscos associados de SSO e o nível de controle de cada turno
demonstrado pelo cliente. Para auditar a implementação efetiva, pelo menos um dos turnos dentro e
outro fora do horário normal de trabalho deve ser auditado durante o primeiro ciclo de certificação.
Durante as auditorias de supervisão dos ciclos subsequentes, o organismo pode decidir não auditar o
segundo turno com base na maturidade reconhecida do SSO da organização. Ajustes para retardar o
tempo de início da auditoria são recomendados sempre que possível, para cobrir ambos os turnos
dentro do tempo de auditoria de 8 horas. A justificativa para não auditar os demais turnos deve ser
documentada levando-se em conta o risco de não fazê-lo.
B.3.8 O tempo de auditoria de OSS determinado utilizando-se as tabelas deste Apêndice não deve
incluir o tempo de “auditores em treinamento”, observadores ou o tempo de especialistas técnicos.
B.3.9 A redução do tempo de auditoria de OSS não deve exceder 30% dos tempos estabelecidos na
Tabela OSS 1.
REV. PÁGINA
NIT-DICOR-054
10 67/83
B.4 AUDITORIAS INICIAIS DE CERTIFICAÇÃO DE OSS (FASE 1 + FASE 2)
B.4.2 A Tabela OSS 1 fornece um ponto de partida para estimar o tempo de uma auditoria inicial (Fase
1 + Fase 2) para OSS.
B.4.5 As auditorias de certificação podem incluir técnicas de auditoria remota, como colaboração
interativa baseada na web; reuniões web, teleconferências e/ou verificação eletrônica de processos do
cliente. Essas atividades remotas, que se limitarão a revisar documentos/registros e a entrevistar
funcionários e trabalhadores, devem ser identificadas no plano de auditoria. O tempo gasto nessas
atividades pode ser considerado como contribuindo para a duração total das auditorias dos sistemas
de gestão.
Se o organismo planejar uma auditoria para a qual as atividades de auditoria remota representem mais
de 30% da duração planejada para a auditoria de sistema de gestão presencial, o organismo deverá
justificar o plano de auditoria e manter os registros dessa justificativa, os quais devem estar disponíveis
para análise crítica pelo Organismo de Acreditação (ver IAF MD4). As atividades e controles de risco
de SSO não podem ser testemunhados remotamente assim.
Nota 1: A duração das auditorias de sistema de gestão refere-se à duração das auditorias de sistema
de gestão atribuídas a sites individuais. Auditorias eletrônicas de sites virtuais ou remotos são
consideradas auditorias remotas, mesmo que a auditoria eletrônica seja realizada fisicamente na
localização da organização do cliente (física ou virtual).
Nota 2: Independentemente das técnicas de auditoria remota utilizadas, a organização do cliente deve
ser visitada fisicamente, pelo menos, anualmente, onde houver essa localização física.
Nota 3: É improvável que uma auditoria de Fase 2 leve menos de um (1) dia de auditoria.
B.5 SUPERVISÃO
Durante o ciclo de certificação inicial de três anos, o tempo de auditoria para as auditorias de
supervisão de uma determinada organização deve ser proporcional ao tempo de auditoria gasto na
auditoria de certificação inicial (Fase 1 + Fase 2), sendo o tempo total gasto anualmente em supervisão
aproximadamente 1/3 do tempo de auditoria gasto na auditoria de certificação inicial. O organismo
deve obter uma atualização dos dados do cliente relacionados ao seu sistema de gestão como parte
de cada auditoria de supervisão. O tempo de auditoria planejado para uma auditoria de supervisão
deve ser revisto pelo menos a cada auditoria de supervisão e de recertificação para levar em conta
mudanças na organização, maturidade do sistema etc. A evidência da revisão incluindo quaisquer
ajustes no tempo de auditoria das auditorias de sistemas de gestão deve ser registrada.
Nota: É improvável que uma auditoria de supervisão leve menos de um (1) dia de auditoria.
B.6 RECERTIFICAÇÃO
O tempo de auditoria para a auditoria de recertificação deve ser calculado com base nas informações
atualizadas do cliente e normalmente é aproximadamente 2/3 do tempo de auditoria que seria
necessário para uma auditoria de certificação inicial (Fase 1 + Fase 2) da organização, se tal auditoria
inicial fosse realizada no momento da recertificação (ou seja, e não 2/3 do tempo original gasto na
auditoria inicial). O tempo de auditoria de sistemas de gestão deve levar em conta o resultado da
análise de desempenho do sistema (ABNT NBR ISO/IEC 17021-1). A análise de desempenho do
sistema não faz parte do tempo de auditoria para auditorias de recertificação.
Nota: É improvável que uma auditoria de recertificação leve menos de um (1) dia de auditoria.
REV. PÁGINA
NIT-DICOR-054
10 68/83
B.7 SEGUNDO CICLO DE CERTIFICAÇÃO E SUBSEQUENTES INDIVIDUALIZADOS
Não aplicável para OSS.
B.8 FATORES PARA AJUSTES DO TEMPO DE AUDITORIA DE OSS
B.8.1 Os fatores adicionais que devem ser considerados incluem, sem se limitar a:
i) Aumento do tempo de auditoria de OSS:
a. logística complexa envolvendo mais de um prédio ou local onde o trabalho é realizado, por
exemplo, um Centro de Projeto separado deve ser auditado,
b. pessoal falando mais de um idioma (exigindo intérprete(s) ou impedindo que os auditores
individuais trabalhem de forma independente),
c. local muito grande para o número de pessoas (por exemplo, uma floresta),
d. alto grau de regulação (por exemplo, aeroespacial, energia nuclear, refinaria e indústria
química, navios de pesca, mineração, alimentos, drogas etc.),
e. O sistema abrange processos altamente complexos ou um número relativamente alto de
atividades exclusivas,
f. atividades que exigem a visita de sites temporários para confirmar as atividades do(s)
local(is) permanente(s) cujo sistema de gestão está em certificação,
g. pontos de vista das partes interessadas,
h. taxa de acidentes e doenças ocupacionais acima da média para o setor empresarial,
i. se houver público presente no site da organização (por exemplo, hospitais, escolas,
aeroportos, portos, estações de trem, transporte público),
j. a organização está enfrentando processos judiciais relacionados a SSO (dependendo da
gravidade e do impacto do risco envolvido),
k. grande presença temporária de muitas empresas (sub)contratadas e seus funcionários
causando um aumento na complexidade ou riscos de SSO (por exemplo, paralisações
periódicas ou recuperação de refinarias, fábricas de produtos químicos, usinas de aço e outros
grandes complexos industriais),
l. quando substâncias perigosas estiverem presentes em quantidades que exponham a
instalação a risco de grandes acidentes industriais, de acordo com as regulamentações
nacionais aplicáveis e/ou com a documentação de análise de risco,
m. organização com sites incluídos no escopo em outros países que não o país da matriz (se
a legislação e o idioma não forem bem conhecidos).
ii) Redução do tempo de auditoria de OH & SMS:
a. maturidade do sistema de gestão,

b. conhecimento prévio do sistema de gestão da organização do cliente (por exemplo, já
certificada em outro sistema voluntário de OSS pelo mesmo organismo),
c. preparação do cliente para a certificação de SSO (por exemplo, já sujeita a auditorias
periódicas pela Autoridade Nacional para um esquema governamental OSS compulsório),
d. local muito pequeno para o número efetivo de pessoal (por exemplo, apenas complexo de
escritórios).
REV. PÁGINA
NIT-DICOR-054
10 69/83
Todos os atributos do sistema, processos e produtos/serviços do cliente devem ser considerados e um

ajuste adequado deve ser feito para os fatores que podem justificar mais ou menos tempo de auditoria
para uma auditoria eficaz. Fatores aditivos podem ser compensados por fatores subtrativos.
Qualquer decisão tomada em relação aos requisitos desta cláusula deverá ser registrada.
Nota 1: Fatores de subtração podem ser usados apenas uma vez para cada cálculo, para cada
organização do cliente.
Nota 2: Fatores adicionais a serem considerados no cálculo do tempo de auditoria dos sistemas de
gestão integrados são abordados no IAF MD 11.
B.9 SITES TEMPORÁRIOS
B.9.2 Os sites temporários podem variar de grandes sites de gerenciamento de projetos a pequenos
sites de serviço/instalação. A necessidade de visitar tais sites e o tamanho da amostragem devem ser
baseados em uma avaliação dos riscos de falha do sistema de gestão para controlar os riscos de SSO
associados às operações do cliente. Os sites incluídos na amostragem devem representar o escopo
de certificação do cliente, tamanhos e tipos de atividades e processos, tipo de riscos envolvidos e
riscos associados de SSO e estágios de projetos em andamento.
B.9.3 Normalmente, auditorias on-site de sites temporários deveriam ser realizadas. No entanto, os
seguintes métodos podem ser considerados como alternativas para substituir apenas partes de
auditorias on-site não relacionadas ao controle operacional e outras atividades de gestão de OSS:
i) entrevistas ou reuniões de progresso com o cliente e/ou seus clientes pessoalmente ou por
teleconferência,
ii) análise de documentação de atividades de sites temporários,
iii) acesso remoto a sites eletrônicos que mantenham registros ou outras informações
relevantes para a avaliação de sistemas de gestão de saúde e segurança ocupacional e
do(s) site(s) temporário(s),
iv) uso de videoconferência, teleconferência e outras tecnologias que permitam a realização de
auditorias remotas eficazes.
B.10 TEMPO DE AUDITORIA DE UM SISTEMA DE GESTÃO DE SSO MULTI-SITE
B.10.1 No caso de um sistema de gestão de SSO operado por uma organização multi-site, o organismo
deve estabelecer se a amostragem de sites é permitida ou não, com base na avaliação do nível de
riscos de saúde e segurança ocupacional associados às atividades e processos realizados em cada
site incluído no âmbito da certificação. Os registros de tais avaliações e fundamentos das decisões
tomadas devem ser disponibilizados ao organismo de acreditação em sua avaliação.
B.10.2 Os requisitos para a certificação de sistema de gestão de OSS operado por uma organização
multi-site, tanto quando a amostragem é permitida ou quando a amostragem não é permitida, são
abordados em mais detalhes pelos diferentes cenários fornecidos no novo documento IAF MD 1 para
auditoria e certificação de um sistema de gestão operado por uma organização multi-site, na qual todas
as referências aos requisitos do MD5 do IAF devem ser entendidas como modificadas por este
Apêndice B.
A proporção do tempo total gasto em cada site deve levar em conta situações em que certos processos
do sistema de gerenciamento não são relevantes para o site.
REV. PÁGINA
NIT-DICOR-054
10 70/83
B.10.3 Combinado com a cláusula B.10.2
B.11 CONTROLE DE FUNÇÕES OU PROCESSOS FORNECIDOS EXTERNAMENTE

(OUTSOURCING)
B.11.1 Se uma organização terceiriza parte de suas funções ou processos, é responsabilidade do

organismo obter evidência de que a organização determinou efetivamente o tipo e a extensão dos
controles a serem aplicados para assegurar que as funções ou processos fornecidos externamente
não afetam adversamente a eficácia do sistema de gestão de SSO, incluindo a capacidade da
organização de controlar seus riscos e compromissos de SSO para cumprir os requisitos legais.
B.11.2 O organismo irá auditar e avaliar a eficácia do sistema de gestão de SSO da organização para
gerenciar qualquer atividade prestada e o risco que ela representa para o desempenho de SSO de
suas próprias atividades e processos e requisitos de conformidade. Isso pode incluir a coleta de
feedback dos fornecedores sobre o nível de eficácia, com base:
 nos critérios aplicados pela organização para a avaliação, seleção, monitoramento do

desempenho e reavaliação desses prestadores externos com base em sua capacidade de
fornecer funções ou processos de acordo com os requisitos especificados, em conformidade
com os requisitos legais, e
 no risco de que os provedores externos possam afetar adversamente a capacidade da
organização de controlar seus próprios riscos de saúde e segurança ocupacional.
B.11.3 Mesmo que a auditoria completa do sistema de gestão do fornecedor não seja necessária, o
organismo deve considerar os processos ou funções incluídos no escopo do sistema de gestão de
SSO da organização, que foram terceirizados para provedores externos, para planejar e realizar uma
auditoria eficaz.
B.11.4. O organismo deve ser capaz de estabelecer isso durante a preparação do programa de
certificação e verificá-lo depois durante a auditoria inicial e antes de cada auditoria de supervisão e
recertificação.
REV. PÁGINA
NIT-DICOR-054
10 71/83
ANEXO A - SISTEMAS DE GESTÃO DA QUALIDADE

(NÃO APLICÁVEL)
ANEXO B - SISTEMAS DE GESTÃO AMBIENTAL

(NÃO APLICÁVEL)
ANEXO C - SISTEMAS DE GESTÃO DA SAÚDE E SEGURANÇA OCUPACIONAL
TABELA OSS 1 - Sistemas de Gestão de Saúde e Segurança Ocupacional

Relação entre Número Efetivo de Pessoal,
Categoria de Complexidade dos Riscos de SSO e Tempo de Auditoria
(somente Auditoria Inicial - Fase 1 + Fase 2)
Número efetivo Tempo de Auditoria Número efetivo Tempo de Auditoria

de pessoal Fase 1 + Fase 2 (dias) de pessoal Fase 1 + Fase 2 (dias)
Alto Médio Baixo Alto Médio Baixo
1-5 3 2,5 2,5 626-875 17 13 10
6-10 3,5 3 3 876-1175 19 15 11
11-15 4,5 3,5 3 1176-1550 20 16 12
16-25 5,5 4,5 3,5 1551-2025 21 17 12
26-45 7 5,5 4 2026-2675 23 18 13
46-65 8 6 4,5 2676-3450 25 19 14
66-85 9 7 5 3451-4350 27 20 15
86-125 11 8 5.5 4351-5450 28 21 16
126-175 12 9 6 5451-6800 30 23 17
176-275 13 10 7 6801-8500 32 25 19
276-425 15 11 8 8501-10700 34 27 20
426-625 16 12 9 > 10700 Seguir a progressão acima
Nota 1: O tempo de auditoria é exibido para auditorias de alto, médio e baixo risco SSO.
Nota 2: O número de pessoas na Tabela OSS 1 deve ser visto como um continuum em vez de uma
mudança escalonada. Se desenhada como um gráfico, a linha deve começar com os valores na banda
inferior. O ponto de partida do gráfico deve ser 1 pessoa consumindo 2,5 dias como acima. Se, após
o cálculo, o resultado for um número decimal, o número de dias deve ser ajustado para o meio dia
mais próximo (por exemplo, 5,3 dias de auditoria se tornam 5,5 dias de auditoria; 5,2 dias de auditoria
se tornam 5 dias de auditoria).
Nota 3: Veja também as cláusulas B.1.9 e B.2.3.
REV. PÁGINA
NIT-DICOR-054
10 72/83
TABELA OSS 2 - Exemplos de ligação entre setores de negócios e

Categorias de Complexidade de Riscos de SSO
Categorias de
complexidade de Setores de Negócios
riscos de SSO
 pesca (offshore, dragagem costeira e mergulho)
 mineração e pedreiras
 fabricação de coque e produtos petrolíferos refinados
 extração de petróleo e gás
 curtimento de tecidos e roupas
 fabricação de polpa de papel, incluindo processamento de reciclagem de
papel
 refino de petróleo
 produtos químicos (incluindo pesticidas, fabricação de baterias e
acumuladores) e produtos farmacêuticos
 fabricação de fibra de vidro
 produção, armazenamento e distribuição de gás
 geração e distribuição de eletricidade
 nuclear
 armazenamento de grandes quantidades de material perigoso
 processamento não metálico e produtos que abrangem cerâmica, concreto,
cimento, cal, gesso etc.
Alta  produções primárias de metais
 moldagem a quente e a frio e fabricação de metal
 fabricação e montagem de estruturas metálicas
 estaleiros navais (dependendo das atividades podem ser médios)
 indústria aeroespacial
 indústria automotiva
 fabricação de armas e explosivos
 reciclagem de resíduos perigosos
 processamento de resíduos perigosos e não perigosos, por ex. incineração
etc.
 processamento de efluentes e esgotos
 construção e demolição industrial e civil (incluindo a conclusão de obras
com instalações elétricas, hidráulicas e de ar condicionado)
 matadouros
 transporte e distribuição de mercadorias perigosas (por terra, ar e água)
 atividades de defesa/gestão de crises
 serviços de saúde/hospitais/veterinários/obras sociais
 aquicultura (reprodução, criação e colheita de plantas e animais em todos
os tipos de ambientes aquáticos)
 pesca (pesca em alto mar é considerada Alta)
 agricultura/silvicultura (dependendo das atividades pode ser Alta)
 alimentos, bebidas e processamento de tabaco
Média  têxteis e vestuário, exceto para curtimento
 fabricação de madeira e produtos de madeira, incluindo fabricação de
placas de tratamento/impregnação de madeira
 produção de papel e produtos de papel, excluindo a polpa
 processamento não metálico e de produtos que abrangem vidro, cerâmica,
argila etc.
REV. PÁGINA
NIT-DICOR-054
10 73/83
 montagem de engenharia mecânica geral

 fabricação de produtos metálicos
 tratamento superficial ou outro tratamento quimicamente baseado para
produtos fabricados em metal, excluindo a produção primária e para a
engenharia mecânica geral (dependendo do tratamento e do tamanho do
componente pode ser Alta)
 produção de placas de circuitos impressos para a indústria de eletrônicos
 moldagem, conformação e montagem por injeção de borracha e plástico
 montagem de equipamentos elétricos e eletrônicos
 fabricação e manutenção de equipamentos de transporte - rodoviário,
ferroviário e aéreo (dependendo do seu tamanho, pode ser Alta)
 reciclagem, compostagem, aterro (de resíduos não perigosos)
 captação, purificação e distribuição de água, incluindo a gestão dos rios
(nota: o tratamento de efluentes comerciais é classificado como Alta)
 venda em atacado e varejo de combustível fóssil (dependendo da
quantidade de combustível, pode ser Alta)
 transporte de passageiros (por via aérea, terrestre e marítima)
 transporte e distribuição de mercadorias não perigosas (por terra, ar e
água)
 limpeza industrial, limpeza e higiene, limpeza a seco normalmente parte de
serviços gerais de negócios
 pesquisa e desenvolvimento em ciências naturais e exatas (dependendo do
setor de negócios pode ser Alta). Ensaios técnicos e laboratórios
 hotéis, serviços de lazer e serviços pessoais exceto restaurantes
 serviços educacionais (dependendo do objeto das atividades de ensino
pode ser Alta ou Baixa)
 gestão de atividades empresariais, gestão de empresas e de holdings
 atacado e varejo (dependendo do produto, pode ser Média ou Alta, por
exemplo, combustível)
 serviços gerais de empresas, exceto limpeza industrial, limpeza e higiene,
limpeza a seco e serviços educacionais).
 gestão de serviços de transporte e distribuição - sem gerenciamento de
frota
Baixa  serviços de engenharia (pode ser Média dependendo do tipo de serviços)
 serviços de telecomunicações e correios
 restaurantes e campings
 agência imobiliária comercial, gestão imobiliária
 pesquisa e desenvolvimento em ciências sociais e humanas
 administração pública, autoridades locais
 instituições financeiras, agências de publicidade
REV. PÁGINA
NIT-DICOR-054
10 74/83
Categorias de complexidade dos riscos de SSO

As disposições especificadas neste documento baseiam-se em três categorias principais de
complexidade de riscos de SSO, com base na natureza e gravidade dos riscos de SSO de uma
organização que afetam fundamentalmente o tempo do auditor. Esses são:
 Alta - riscos de SSO de natureza e gravidade significativas (geralmente indústria da construção
civil, fabricação pesada ou organizações de processamento),
 Média - riscos de SSO de natureza e gravidade médias (geralmente, organizações de fabricação
leves com alguns riscos significativos) e
 Baixa - riscos de SSO de natureza e gravidade baixas (geralmente organizações baseadas em
escritórios).
A Tabela OSS 1 abrange as três categorias de complexidade de riscos de SSO acima.
A Tabela OSS 2 fornece a ligação entre as três categorias de complexidade de riscos de SSO acima
e os setores de negócios que tipicamente se enquadram nessa categoria.
O organismo deve entender que nem todas as organizações em um setor específico estarão sempre
na mesma categoria de risco de SSO. O organismo deve permitir flexibilidade em seu procedimento
de análise de contratos para garantir que as atividades específicas da organização sejam consideradas
na determinação das categorias de complexidade dos riscos de SSO.
Por exemplo, embora muitos negócios em construção naval devam ser classificados como “Alto risco”,
uma organização que teria apenas pequenos barcos de fibra de carbono com atividades de menor
complexidade poderia ser classificada como “Média”.
O organismo deve documentar todos os casos em que reduziu a categoria de complexidade dos riscos
de segurança saúde ocupacional de uma organização em um setor de negócios específico.
Nota: A categoria de complexidade do risco de SSO de uma organização também pode estar
associada às consequências de uma falha do sistema de gestão de SSO para controlar riscos:
 Alta - quando a falha na gestão de risco pode colocar vidas em risco ou resultar em ferimentos ou
doença graves,
 Média - em que a falha na gestão de risco pode resultar em ferimentos ou doenças, e
 Baixa - quando a falha na gestão de risco pode resultar em ferimentos ou doenças leves.
REV. PÁGINA
NIT-DICOR-054
10 75/83
APÊNDICE C (normativo)
CONFORMIDADE LEGAL COMO PARTE DA CERTIFICAÇÃO ACREDITADA DE
SISTEMAS DE GESTÃO DE SAÚDE E SEGURANÇA OCUPACIONAL
C.0 INTRODUÇÃO
C.01 Considerando diversos pontos de vista, a seguinte definição para “conformidade legal” é usada:
“Conformidade com a lei, de tal forma que o resultado pretendido seja realizado”.
Embora a certificação de um sistema de gestão de Segurança e Saúde Ocupacional contra os

requisitos da norma de Segurança e Saúde Ocupacional aplicável não seja uma garantia de
conformidade legal (nem o é qualquer outro meio de controle, incluindo o governo ou outro tipo de
controle e/ou inspeções de conformidade legal ou outras formas de certificação ou verificação), é uma
ferramenta comprovada e eficiente para alcançar e manter essa conformidade legal.
Reconhece-se que a certificação acreditada de um sistema de gestão de Segurança e Saúde

Ocupacional deve demonstrar que um terceiro independente (Organismo de Certificação) avaliou e
confirmou que a organização possui um sistema de gestão de Segurança e Saúde Ocupacional
comprovadamente eficaz para garantir o cumprimento de suas políticas estabelecidas, incluindo a
conformidade legal.
Não conformidades em aberto ou potenciais contra requisitos legais aplicáveis podem evidenciar a
falta de controle gerencial dentro da organização e de seu sistema de gestão de Segurança e Saúde
Ocupacional, e a conformidade com a norma deve ser cuidadosamente analisada.
C.02 Este Apêndice destina-se a estender para sistemas de gestão de Segurança e Saúde
Ocupacional, a aplicabilidade de requisitos selecionados do documento EA-7/04 M:2017
“Conformidade Legal como parte da certificação acreditada ABNT NBR ISO 14001:2015”, rev.
03/05/2017. Tais requisitos descrevem a relação entre a certificação acreditada do sistema de gestão
de Segurança e Saúde Ocupacional de uma organização e o grau de conformidade da organização
com os requisitos legais aplicáveis de SSO.
C.1 COMO UM ORGANISMO DE CERTIFICAÇÃO DEVE AUDITAR UM SISTEMA DE GESTÃO DE

SSO COM RESPEITO À CONFORMIDADE LEGAL
C.1.1 Por meio do processo de avaliação da conformidade, um Organismo de Certificação avaliará a

conformidade de uma organização com os requisitos de uma norma de Saúde e Segurança
Operacional relacionados à conformidade legal e não concederá certificação até que a conformidade
com esses requisitos possa ser demonstrada.
Após a certificação, as auditorias subsequentes de supervisão e reavaliação conduzidas pelo

Organismo de Certificação devem ser coerentes com a metodologia de auditoria acima.
C.1.2 Com relação ao equilíbrio entre a análise de documentos e registros e a avaliação da

implementação do sistema de gestão de Segurança e Saúde Ocupacional durante as atividades
operacionais (por exemplo, visita às instalações e outros locais de trabalho), o Organismo de
Certificação deve assegurar que seja realizada uma auditoria adequada da eficácia do sistema de
gestão de Segurança e Saúde Ocupacional.
C.1.3 Não existe uma fórmula para definir quais devem ser as proporções relativas, pois a situação é
diferente em todas as organizações. No entanto, existem algumas indicações de um problema que
ocorre com alguma frequência é dedicar muito tempo de auditoria a uma avaliação em escritório.
REV. PÁGINA
NIT-DICOR-054
10 76/83
Isso poderia levar a uma avaliação inadequada da eficácia do sistema de gestão de Segurança e
Saúde Ocupacional em relação a questões de conformidade legal e, potencialmente, a negligenciar
um baixo desempenho, levando à perda de confiança das partes interessadas no processo de
certificação.
O Organismo de Certificação deve, através de um programa de supervisão adequado, assegurar que

a conformidade está sendo mantida durante o ciclo de certificação, normalmente de três anos. Os
auditores do Organismo de Certificação devem verificar a gestão da conformidade legal com base na
demonstração da implementação do sistema e não confiar apenas nos resultados planejados ou
esperados.
C.1.4 Qualquer organização que não demonstrar seu compromisso inicial ou contínuo com a
conformidade legal, não deve ser certificada ou manter-se certificada pelo Organismo de Certificação
como em conformidade com os requisitos da norma de Saúde e Segurança Ocupacional.
C.1.5 A não conformidade deliberada ou consistente deve ser considerada uma falha grave no apoio
ao cumprimento da política de alcançar a conformidade legal e deve impedir a concessão de certificado
ou fazer com que um certificado de uma norma de Saúde e Segurança Ocupacional existente seja
suspenso ou cancelado.
C.1.6 Se as instalações e áreas de trabalho estiverem sujeitas a fechamento, os riscos de SSO mudam,
pois pode não haver mais riscos para os funcionários, mas pode haver novos riscos aplicáveis ao
público (por exemplo, em caso de falta de atividades de manutenção e supervisão). O Organismo de
Certificação deve verificar se o sistema de gestão continua atendendo à norma de saúde e segurança
ocupacional e está eficazmente implementado em relação às instalações e áreas de trabalho fechadas
e, em caso contrário, deve suspender o certificado.
C.2. CRITÉRIOS DE CONFORMIDADE PARA A DECISÃO DE CERTIFICAÇÃO
C.2.1 A conformidade legal total é esperada pelas partes interessadas e interessados de uma
organização que reivindica conformidade com uma norma de sistema de gestão de saúde e segurança
ocupacional. O valor percebido de uma certificação acreditada neste campo está intimamente
relacionado com a satisfação obtida pelas partes interessadas em relação à conformidade legal.
C.2.2 A organização deve ser capaz de demonstrar que alcançou a conformidade com os requisitos
legais de SSO que são aplicáveis a ela por meio de sua própria avaliação de conformidade antes da
certificação concedida pelo Organismo de Certificação.
C.2.3 Se a organização pode não estar em conformidade legal, deve ser capaz de demonstrar que
acionou um plano de implementação para alcançar a conformidade total dentro de uma data indicada,
apoiada por um acordo documentado com o regulador, sempre que possível para as diferentes
condições nacionais. A implementação bem-sucedida deste plano deve ser considerada prioritária
dentro da gestão de saúde e segurança ocupacional.
C.2.4 Excepcionalmente, o Organismo de Certificação ainda pode conceder a certificação, mas deve
buscar evidência objetiva de que o sistema de gestão de saúde e segurança ocupacional da
organização:
a. é capaz de alcançar o cumprimento exigido através da implementação total do plano de
implementação acima mencionado, dentro do prazo estabelecido,
b. abordou todos os perigos e riscos de SSO para trabalhadores e outras pessoas expostas e que
não há atividades, processos ou situações que possam ou poderiam levar a ferimentos graves
e/ou problemas de saúde, e
c. Durante o período de transição, implementou as ações necessárias para garantir que o risco
de SSO seja mitigado e controlado.
REV. PÁGINA
NIT-DICOR-054
10 77/83
C.2.5 Através dos requisitos da ABNT NBR ISO/IEC 17021-1, cláusula 9.4.8.3 a) e com os resultados
pretendidos explicitamente declarados na norma aplicável de saúde e segurança ocupacional, o
Organismo de Certificação deve assegurar que os seus relatórios de auditoria contenham uma
declaração sobre a conformidade e a eficácia do sistema de gestão de saúde e segurança ocupacional
da organização, juntamente com um resumo das evidências em relação à capacidade do sistema de
gestão de saúde e segurança ocupacional cumprir suas obrigações de conformidade.
C.3 RESUMO
C.3.1 A certificação acreditada de sistema de gestão de saúde e segurança ocupacional de uma

organização indica a conformidade com os requisitos da norma aplicável de saúde e segurança
ocupacional e inclui um demonstrado e efetivo comprometimento com a conformidade com requisitos
legais aplicáveis.
C.3.2 O controle da conformidade legal pela organização é um componente importante da avaliação

do sistema de gestão de saúde e segurança ocupacional e é de responsabilidade da organização.
C.3.3 Deve-se ressaltar que os auditores do Organismo de Certificação não são inspetores do
regulador de SSO. Eles não devem fornecer "afirmações" ou "declarações" de conformidade legal. No
entanto, eles podem "atestar a avaliação da conformidade legal" para avaliar a conformidade com a
norma aplicável de saúde e segurança ocupacional.
C.3.4 A certificação acreditada de um sistema de gestão de saúde e segurança ocupacional atendendo

aos requisitos de uma norma de saúde e segurança ocupacional não pode ser uma garantia absoluta
e contínua de conformidade legal, mas tampouco qualquer certificação ou esquema legal garante a
conformidade legal contínua. No entanto, um sistema de gestão de saúde e segurança ocupacional é
uma ferramenta comprovada e eficaz para alcançar e manter a conformidade legal e fornece à alta
administração informações relevantes e oportunas sobre o status de conformidade legal da
organização.
C.3.5 Uma norma de sistema de gestão de saúde e segurança ocupacional requer o compromisso de
atender aos requisitos legais. A organização deve ser capaz de demonstrar que alcançou a
conformidade com seus requisitos legais aplicáveis através de sua própria avaliação de conformidade
antes da certificação de concessão do Organismo de Certificação.
C.3.6 A certificação de um sistema de gestão de saúde e segurança ocupacional em conformidade

com os requisitos de uma norma de saúde e segurança ocupacional confirma que o sistema de gestão
de SSO demonstrou ser eficaz em cumprir seus compromissos de política, incluindo cumprimento das
obrigações de conformidade legal e fornece a base e suporte para a conformidade legal continuada
de uma organização.
C.3.7 A fim de manter a confiança das partes interessadas e interessados nos atributos acima da
certificação acreditada de um sistema de gestão de SSO, o Organismo de Certificação deve garantir
que o sistema demonstre ser eficaz antes de conceder, manter ou continuar a certificação.
C.3.8 O sistema de gestão de SSO pode atuar como uma ferramenta para o diálogo entre a
organização e reguladores de SSO e formar a base para uma parceria de confiança, substituindo as
relações históricas entre "eles e nós". Os reguladores de SSO e o público devem ter confiança em
organizações que possuem um certificado acreditado de norma de sistema de gestão de SSO e ser
capazes de percebê-los como capazes de gerenciar constantemente e coerentemente sua
conformidade legal.
REV. PÁGINA
NIT-DICOR-054
10 78/83
APÊNDICE D (normativo)
ESCOPO DE ACREDITAÇÃO
D.1 O escopo de acreditação de um Organismo de Certificação de Sistemas de Gestão de SSO deve

ser expresso em termos de um ou mais elementos da lista de atividades econômicas relatadas no
Anexo do documento IAF-ID1:2014, conforme alterado para OSS na tabela a seguir.
Modelo para os Escopos de Acreditação de OSS
Escopo de Acreditação de OSS

NACE - Divisão/
Descrição do setor
Nº Grupo/Classe Exemplos de riscos comuns de SSO (1)
econômico/atividade
(rev.2)
1 Agricultura, silvicultura e 01, 02, 03 Exposição a pesticidas, perigos biológicos e
pesca químicos, veículos e equipamentos móveis
agrícolas, máquinas, trabalho em altura,
manuseamento manual, doenças
respiratórias, zoonoses, ruído, esforço
repetitivo etc.
2 Mineração e extração 05, 06, 07, 08, 09 Queda de pedras, fogo, explosão, veículos
móveis, máquinas, quedas de altura,
aprisionamento e eletrocussão, ruído,
vibração, exposição ao radônio, exposição à
sílica cristalina, poeira de carvão, produtos
químicos perigosos, trabalho em espaços
confinados etc.
3 Produtos alimentícios, 10, 11, 12 Exposição a pesticidas, perigos biológicos e
bebidas e tabaco químicos, veículos e equipamentos móveis,
ferramentas, máquinas, áreas frias (freezer),
mídia quente, estresse repetitivo etc.
4 Têxteis e produtos 13, 14 Máquinas e equipamentos, exposição a
têxteis corantes e produtos químicos, poeira e
flocos de lã, incêndio, explosão, carga e
descarga de peso, ruído etc.
5 Couro e produtos de 15 Exposição ao cromo e outros produtos
couro químicos perigosos, máquinas,
equipamentos pressurizados, locais de
trabalho inseguros, carga e descarga de
peso, ruído etc.
6 Madeira e produtos de 16 Exposição a produtos químicos perigosos,
madeira pó de madeira, várias máquinas e
ferramentas, fogo, explosão etc.
7 Polpa, papel e produtos 17 Exposição a produtos químicos perigosos,
de papel instalações e equipamentos pressurizados,
máquinas, incêndio, explosão, locais de
trabalho inseguros (radiação de calor,
poeira), ruído etc.
8 Editoras 58.1, 59.2 Terminal de Vídeo Display (TVD), postura
corporal, iluminação, esforço repetitivo etc.
9 Empresas de impressão 18 Exposição a produtos químicos perigosos,
máquinas, ruído
REV. PÁGINA
NIT-DICOR-054
10 79/83

NACE - Divisão/
(rev.2)
10 Fabricação de coque e 19 Exposição a produtos químicos perigosos,
produtos refinados de máquinas, instalações e equipamentos,
petróleo equipamentos pressurizados, incêndio,
explosão, trabalho em espaços confinados,
trabalho em altura, ruído, explosão, pó de
carvão etc.
11 Combustível nuclear 24.46, 20.13 Exposição à radiação/ radioatividade,
(somente no exposição a produtos químicos perigosos,
escopo de material instalações e equipamentos etc.
radioativo)
12 Química, produtos 20 (exceto escopo Exposição a produtos químicos perigosos,
químicos e fibras de material máquinas, instalações e equipamentos,
radioativo) equipamentos pressurizados, incêndio,
explosão, trabalho em espaços confinados,
trabalho em altura, ruído, explosão, poeira
etc.
13 Farmacêuticos 21 Exposição a riscos biológicos e químicos,
exposição a radiações, instalações e
equipamentos pressurizados, incêndio,
explosão, trabalho em espaços confinados
etc.
14 Produtos de borracha e 22 Máquinas, instalações e equipamentos
plástico pressurizados, exposição a riscos químicos,
fogo, explosão, ruído etc.
15 Produtos Minerais Não 23, exceto 23.5 Máquinas, equipamentos e equipamentos
Metálicos pressurizados, eletricidade, fogo, explosão
produtos químicos perigosos, ruído, tinta e
revestimentos etc.
16 Concreto, Cimento, Cal, 23.5, 23.6 Trabalhos em solo e escavações em altura,
Gesso etc. instalações e máquinas móveis,
manuseamento manual, ruído, vibração,
poeira, eletricidade, fogo, explosão etc.
17 Metais Básicos e 24, exceto 24.46, Máquinas, instalações e equipamentos,
Produtos Manufaturados 25, exceto 25.4, equipamentos pressurizados, incêndio,
de Metal 33.11 explosão, produtos químicos perigosos,
trabalho em altura, ruído, pintura e
revestimentos, radiação etc.
18 Máquinas e 25.4, 28, 30.4, Máquinas, instalações e equipamentos,
Equipamentos 33.12, 33.2 equipamentos pressurizados, produtos
químicos perigosos, tintas e revestimentos,
ruído, vibração, manuseio manual, fogo,
explosão etc.
19 Equipamentos Óticos e 26, 27, 33.13, Máquinas, instalações e equipamentos,
Elétricos 33.14, 95.1 equipamentos pressurizados, eletricidade,
radiação, produtos químicos perigosos,
ruído, vibração, manuseio manual etc.
REV. PÁGINA
NIT-DICOR-054
10 80/83

NACE - Divisão/
(rev.2)
20 Construção Naval 30.1, 33.15 Máquinas, instalações e equipamentos,
equipamentos pressurizados, produtos
químicos perigosos, ruído, vibração,
manuseio manual, trabalho em altura,
trabalho espaços confinados, fogo, explosão,
radiação, tintas e revestimentos etc.
Máquinas, instalações e equipamentos,
21 Aeroespacial 30.3, 33.16 químicos perigosos, tintas e revestimentos,
ruído, vibração, radiação, manuseio manual,
fogo, explosão etc.
Outros equipamentos de 29, 30.2, 30.9, equipamentos pressurizados, produtos
22
transporte 33.17 químicos perigosos, tintas e revestimentos,
tintas e revestimentos, ruído, vibração,
Fabricação, não
23 classificada em outro 31, 32, 33.19
químicos perigosos, ruído, vibração,
setor
manuseio manual, tintas e revestimentos etc.
Trânsito, máquinas, exposição a perigos
químicos e biológicos, escorregões,
24 Reciclagem 38.3
tropeções, quedas, radiação, esforço
repetitivo, ruído, incêndio, explosão etc.
Instalações e equipamentos, eletricidade,
Fornecimento de Energia exposição a campos eletromagnéticos,
25 35.1
Elétrica máquinas, produtos químicos perigosos,
ruído, vibração, trabalho em altura etc.
Equipamentos pressurizados, máquinas,
incêndio e explosão associados à perda de
26 Abastecimento de Gás 35.2 contenção de gases, toxicidade, ruído,
vibração, trabalho em espaços confinados,
trabalhos em altura etc.
Instalações e equipamentos, máquinas,
exposição a riscos químicos, ruído, vibração,
27 Abastecimento de Água 35.3, 36
trabalho em altura, trabalho em espaços
confinados, infecção por legionella etc.
28 Construção Civil 41, 42, 43 Trabalhos no solo e escavações, trabalhos
em altura, acidentes com equipamentos
móveis, quedas de altura, guindastes de
torre, instalações e maquinários móveis,
trabalhos temporários, manuseio manual,
ruído, vibração, poeira, tintas e
revestimentos, eletricidade (cabos elétricos e
subterrâneos) fogo etc.
29 Comércio de atacado e 45, 46, 47, 95.2 Máquinas, ferramentas, produtos químicos
varejo; Conserto de perigosos, ruído, vibração, manuseio
veículos automotores, manual, produtos químicos etc.
motocicletas e bens de
uso pessoal e doméstico
REV. PÁGINA
NIT-DICOR-054
10 81/83

NACE - Divisão/
Descrição do setor Exemplos de riscos comuns
Nº Grupo/Classe
econômico/atividade de SSO (1)
(rev.2)
30 Hotéis e Restaurantes 55, 56 Escorregões e tropeções,
objetos quentes, áreas frias
(freezers), objetos
pontiagudos, produtos
químicos, resíduos biológicos,
infecção por legionella etc.
31 Transporte, Armazenagem e 49, 50, 51, 52, 53, 61 Tráfego, velocidade,
Comunicação capotamento, colisão, ser
atingido por um veículo em
movimento, quedas de
veículos, manuseio manual,
escorregões e tropeções
32 Intermediação financeira; Bens 64, 65, 66, 68, 77 TVD, postura corporal,
Imóveis; Locação iluminação, estresse repetitivo
etc.
33 Tecnologia da Informação 58.2, 62, 63.1 TVD, postura corporal,
iluminação, estresse repetitivo
etc.
34 Serviços de Engenharia 71, 72, 74 exceto TVD, grande variação em
74.2 e 74.3 função do serviço específico.
35 Outros Serviços 69, 70, 73, 74.2, Ampla variação em função do
74.3, 78, 80, 81, 82 serviço específico.
36 Administração Pública 84 TVD, postura corporal,
iluminação, ergonomia,
grande variação etc.
37 Educação 85 TVD, iluminação, ergonomia,
stress, ruído etc.
38 Saúde e Serviço Social 75, 86, 87, 88 Exposição a riscos biológicos,
radioatividade, contaminação
de doenças, manipulação de
peso etc.
39 Outros Serviços Sociais 37, 38.1, 38.2, 39, Máquinas, exposição a riscos
59.1, 60, 63.9, 79, químicos e biológicos,
90, 91, 92, 93, 94, 96 escorregões, tropeções,
quedas, estresse repetitivo,
ruído, grande variação em
função do serviço específico.
Nota 1: Exemplos de perigos comuns não devem ser incluídos no escopo da acreditação.
Nota 2: Nenhum nível de risco foi atribuído para cada código do IAF. Cada organismo de acreditação
deve ser responsável por definir o nível de risco de cada escopo, levando em consideração a legislação
local, os riscos de SSO e os requisitos definidos no Apêndice B.
Nota 3: As seções T e U da NACE Rev. 2, incluindo os códigos NACE 97, 98 e 99, não estão incluídas
na tabela.
Nota 4: O uso de escopos de SSO para descrever “áreas técnicas” para um sistema de gestão de
saúde e segurança ocupacional, conforme mencionado na ISO/IEC 17021-1:2015, cláusula 7.1.2, é
limitado. Embora o escopo 11 “Combustível Nuclear” possa constituir um descritor legítimo para uma
área técnica, poucos dos outros títulos o são.
REV. PÁGINA
NIT-DICOR-054
10 82/83
APÊNDICE E (normativo)
TESTEMUNHANDO ATIVIDADES PARA ACREDITAÇÃO DE ORGANISMOS DE CERTIFICAÇÃO
DE SISTEMAS DE GESTÃO DE SAÚDE E SEGURANÇA OCUPACIONAL (OSS)
Coerentemente com o IAF MD 17 (que é totalmente aplicável), este apêndice especifica a

testemunha a ser realizada em Sistemas de Gestão de Saúde e Segurança Ocupacional
(OSS).
Todos os códigos do IAF (ver IAF ID1) foram fundidos em uma série de clusters técnicos para
OSS considerados relevantes para o propósito deste documento.
A abordagem específica para amostragem de escopos é detalhada na seção 4 do IAF MD17.
IAF Descrição do setor/atividade econômica, de Código(s)

Cluster técnico
cod. acordo com o IAF ID 1 crítico(s)
Agricultura,
1 Agricultura, silvicultura e pesca 1
Silvicultura e Pesca
3 Produtos Alimentícios, Bebidas e Tabaco
Alimentação 3
30 Hotéis e Restaurantes
17 Limitado a "Produtos Manufaturados de Metal "
18 Máquinas e Equipamentos
19 Equipamentos Óticos e Elétricos
Mecânica 20 e 21
20 Construção Naval
21 Aeroespacial
22 Outros Equipamentos de Transportes
7 Limitado a “Produtos de Papel”
Papel 8 Editoras 9
9 Empresas de Impressão
28 Construção
Construção 28
34 Serviços de Engenharia
4 Têxteis e Produtos Têxteis
4 (com
5 Couro e Produtos de Couro
Produção de Bens curtume) e
6 Madeira e Produtos de Madeira
5 ou 6
23 Fabricação, não classificada em outra parte
7 Limitado à “Polpa e Fabricação de Papel”
10 Fabricação de coque e produtos refinados de petróleo
12 Química, Produtos Químicos e Fibras
7 e 10 e 12
13 Farmacêuticos
Química e 13 e 16
14 Produtos de Borracha e Plástico
ou 17
15 Produtos Minerais Não Metálicos
16 Concreto, Cimento, Cal, Gesso etc.
17 Limitado à “Produção de Metais Básicos”
Mineração e
2 Mineração e Extrativismo 2
Extrativismo
25 Fornecimento de Energia Elétrica
Fornecimento 26 Abastecimento de Gás 25 ou 26
27 Abastecimento de Água
REV. PÁGINA
NIT-DICOR-054
10 83/83
IAF Descrição do setor/atividade econômica, Código(s)

Cluster técnico
cod. de acordo com o IAF ID 1 crítico(s)
31 (limitado a
mercadorias
31 Transporte, Armazenagem e Comunicação
perigosas) e
Transportes e Gestão 24 ou 39
de Resíduos 24 Reciclagem (limitado a
NACE 37,
39 Outros Serviços Sociais 38.1, 38.2,
39)
Comércio de atacado e varejo; conserto de veículos
29 automotores, motocicletas e bens de uso pessoal e
doméstico
32 Intermediação Financeira; Bens Imóveis; Locação 29 ou 35 ou
Serviços
33 Tecnologia da Informação 36
35 Outros Serviços
36 Administração Pública
37 Educação
Nuclear 11 Combustível Nuclear 11
Saúde 38 Saúde e Serviço social 38
Cada organismo de acreditação pode decidir designar diferentes códigos críticos dentro de cada
cluster técnico, de acordo com as regulamentações nacionais, as condições do mercado local e o seu
uso efetivo.
A justificativa técnica para essas modificações deve ser registrada.
Fim do documento obrigatório do IAF Aplicação da ISO/IEC 17021-1 para a Certificação de Sistemas
de Gestão de Segurança e Saúde Ocupacional (OSS)

NIT Dicor 54 - 10

Enviado por

Direitos autorais:

Formatos disponíveis

NIT Dicor 54 - 10

Enviado por

Dados do documento

Descrição original:

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

NIT Dicor 54 - 10

Enviado por

Direitos autorais:

Formatos disponíveis

NORMA Nº REV.

4 HISTÓRICO DAS REVISÕES

Revisão Data Itens revisados

ABNT Associação Brasileira de Normas Técnicas

7 DOCUMENTOS MANDATÓRIOS DO IAF PARA APLICAÇÃO DA ABNT NBR ISO/IEC 17021-1

Os OA signatários do Acordo Multilateral de Reconhecimento (MLA) do IAF são avaliados

Introdução aos Documentos Mandatórios do IAF

ANEXO A - DOCUMENTO MANDATÓRIO PARA AUDITORIA E CERTIFICAÇÃO DE UM

Pretende-se que a certificação de organizações de site único continue implementando o IAF MD 5,

2.2 Site Permanente

2.3 Site Temporário

(Fonte: ISO/IEC TS 17023:2013)

2.4 Organização Multisite

2.5 Escritório Central

2.6 Site Virtual

2.8 Alta Administração

3.2 Site temporário

3.3 Organização Multi-site

4. JUSTIFICATIVA PARA A ABORDAGEM PROPOSTA

5. ELEGIBILIDADE PARA CERTIFICAÇÃO DE UMA ORGANIZAÇÃO MULTI-SITE

5.1 A organização deve ter um sistema de gestão único.

5.5 Todos os sites devem se submeter ao programa de auditoria interna da organização.

i) alterações do sistema e de sua documentação;

6.1.1.1 A amostragem de um conjunto de sites é permitida quando os sites executam

6.1.1.4 Os Organismos de Certificação devem ter procedimentos documentados para restringir a

6.1.2.3 Levando em consideração as disposições mencionadas abaixo, o restante deverá ser

6.1.2.4 A seleção de sites deve considerar, entre outros, os seguintes aspectos:

 resultados de auditorias internas e análises críticas ou auditorias de certificação anteriores;

6.1.3 Tamanho da Amostra

6.1.3.1 O Organismo de Certificação deve ter um procedimento documentado para determinar o

6.1.3.3 O número mínimo de sites a serem visitados por auditoria será:

6.1.3.5 O tamanho ou a frequência da amostra deve ser aumentada, se a análise de risco do

 o tamanho dos sites e número de funcionários;

- 1 escritório sede: visitado em cada ciclo de auditoria (inicial, na supervisão ou na recertificação)

6.1.4 Sites Adicionais

6.2 Metodologia para Auditoria de Organizações Multi-site quando a Amostragem de Sites

6.2.3 Sites Adicionais

7.1 Solicitação e Análise Crítica da Solicitação

7.1.1 O Organismo de Certificação deverá obter as informações necessárias sobre a organização

 confirmar que um sistema de gestão único está implantado em toda a organização;

7.2 Programa de Auditoria

7.3 Cálculo do tempo de auditoria

7.4 Plano de Auditoria

7.5 Auditoria Inicial: Fase 1

Durante a Fase 1, a equipe de auditoria deve preencher as informações para:

7.6 Auditoria Inicial: Fase 2

7.7 Não conformidades e certificação

7.8 Documentos de Certificação

No entanto, se as atividades de um site incluírem apenas um subconjunto do escopo da

 informação de que o sistema de gestão de toda a organização é que está certificado;

7.9 Auditorias de Supervisão

7.10 Auditorias de Recertificação

Fim do Documento Mandatório do IAF para Auditoria e Certificação de um Sistema de Gestão

ANEXO B - DOCUMENTO MANDATÓRIO DO IAF PARA A TRANSFERÊNCIA DA

Este documento fornece critérios normativos sobre a transferência de certificação de sistemas de

O objetivo deste documento é assegurar a manutenção da integridade das certificações de sistema de

O documento fornece critérios mínimos para a transferência de certificação. Os organismos de

1.1 Transferência de Certificação