Capítulo 4 – Auditorias Internas: As Boas e Más Práticas na Implantação da ISO 9001:2008 e o que muda com a versão 2015?

Por: Manoel Maurício de Souza

A execução de auditorias internas nas empresas certificadas ou em processo de certificação; seja na ISO 9001, ISO TS 16.949 ou outras normas de sistemas de gestão, quando é realizada por pessoal interno; além de ser mais caro para a empresa do que se fosse terceirizada; salvo raras exceções, é de baixa qualidade por vários motivos, entre eles, podemos destacar três:

• Tempo de treinamento muito curto e conteúdo muitas vezes não relacionado ao Sistema de Gestão da Qualidade (SGQ) da empresa: imaginar que alguém com 2 ou 3 dias de treinamento de auditoria; em seguida ou pouco tempo depois já pode sair fazendo auditorias, é como acreditar que alguém que sai formado numa faculdade de Administração já sabe administrar uma empresa; ou que um Engenheiro Civil, logo após se formar já pode sair fazendo projetos e se responsabilizando por obras e outras situações. Teoricamente podem, porém o que vai acontecer na prática tende a ser um desastre, dependendo da situação;
• Para fazer uma auditoria na Alta Direção e se necessário, o auditor interno ter que apontar uma não conformidade; primeiro, esse auditor tem que ser “corajoso”; segundo, a Alta Direção tem que ser bem receptiva para aceitar uma situação como essa; e terceiro, esse auditor tem que ser muito experiente no processo de gestão da qualidade para ter convicção suficiente, para fazer esse apontamento;
• Dependendo do porte da empresa, definir um auditor que tenha imparcialidade e não tenha inter-relação de suas responsabilidades com a do processo do auditado, fica quase impossível; e se a empresa conseguir, com o tempo o processo de auditoria fica viciado, ou seja as mesmas pessoas auditando os mesmos processos e muitas vezes, as mesmas pessoas. Desta forma, a execução da auditoria tem mais a finalidade de cumprir um requisito da norma, do que agregar valor ao Sistema de Gestão da Qualidade.

Porque é mais barato terceirizar a auditoria interna?
Vamos supor uma empresa que tenha cerca de 100 funcionários e que queira formar uma equipe de 10 auditores internos, num curso de 24 horas:

• Simulando um salário médio de R$ 2.500,00/mês (pessoal com nível técnico e/ou administrativo com uma boa experiência profissional), considerando 68% de encargos, isso daria um custo mensal para a empresa de R$ R$ 4.200,00 por funcionário. Como são 3 dias de curso e o mês tem 30 dias, esse valor é de 10% do custo mensal por funcionário (R$  420,00). Como são 10 funcionários, o custo da participação dos funcionários no curso seria de R$ 4.200,00;
• Supondo um valor de mercado de um curso de 3 dias de auditoria interna em R$ 4.800,00;
• Considerando que teríamos que utilizar tempo desse pessoal para fazer ao menos 1 dia de auditoria interna por ano, teríamos 80 horas de auditoria por ano. A um custo mensal de R$ 4.200,00 e jornada de 44 horas por semana (arredondando para 180 horas/ mês), o valor seria de R$ 1.867,00 de custo anual do pessoal para fazer auditoria interna;
• Supondo um ciclo de 3 anos de auditorias, pois é possível que a cada 3 anos, em função de rotatividade de pessoal e outros fatores, como mudança na norma, crescimento da empresa etc; a empresa precisará formar novos auditores, teremos um custo total a cada 3 anos de R$ 4.800,00 do curso, R$ 4.200,00 da participação do pessoal do curso e R$ 1.867,00 x 3 anos = R$ 5.601,00 do tempo do pessoal interno fazendo auditoria, teremos um custo total em 3 anos de R$ 14.601,00 para realização de auditorias internas, ou R$ 4.867,00 por ano.

Numa empresa com 100 funcionário, 3 dias são suficientes para fazer uma boa auditoria interna, com 1 auditor terceirizado. Considerando o valor de um ano para auditoria interna, R$ 4.867,00/ 24 horas, teríamos o valor de R$ 202,79 por hora.  Este valor é significativamente maior do que grande parte do que as consultorias cobram para fazer uma auditoria interna. Além desse custo, poderíamos ter outros: a pessoa que está auditando deixar de executar seus trabalhos ou fazer horas extras para cobrir aquele tempo; se a qualidade da auditoria não for boa, poderá haver não conformidades apontadas pelo organismo certificador e consequentemente custos para correção e outros custos.
Então a pergunta é: vale a pena treinar alguém que vai usar o treinamento 1 dia ou uma vez por ano?
Entendo que a empresa pode ter 1 ou 2 pessoas treinadas em auditorias para conhecer melhor a norma e acompanhar este requisito, mas não há necessidade de ter uma equipe. A empresa deve focar no seu negócio, que certamente não é realização de auditorias internas. Fazendo uma comparação semelhante, seria como se ela realizasse a calibração de seus equipamentos de medição, ao invés de terceirizar essa atividade.
Algumas práticas que tornam complexos e/ou onerosas as auditorias internas:

• Fazer um relatório de auditoria interna semelhante a do Organismo Certificador: com um resumo sobre a auditoria, evidências tanto das conformidades, como das não conformidades, classificação das não conformidades (Maior ou Menor) etc. É preciso entender que para o Organismo Certificador, auditoria é o serviço que ele presta e precisa comprovar que realizou de fato, pois é auditado pelos Organismos Acreditadores sobre isso. Já numa auditoria interna, o que interessa é saber quais são as não conformidades, independentemente de serem maiores ou menores, pois todas terão que ser analisadas e definidas ações para correção; e ter descritas as oportunidades de melhorias para saber, se a empresa irá ou não implantá-las. Para comprovar que tudo foi auditado, basta uma tabela tendo por exemplo, nas linhas os processos auditados e nas colunas as sessões que tem os requisitos (4. Sistema de Gestão da Qualidade, 5 Responsabilidade da Direção, 6. Gestão de … e 8. Medição Análise e Melhoria) e identificar quantas não conformidades houve por processo em cada sessão da norma e descrever apenas as não conformidades com as evidências. O mesmo pode ser feito para as oportunidades de melhorias ou observações. Vide abaixo:

• Abrir uma solicitação de ação corretiva, como um registro à parte para cada não conformidade e enviar ao gestor da área para identificar a causa e tomar ações corretivas: isso embora pareça o ideal, na prática é complicado, porque o pessoal em geral não sabe identificar a causa e definir ações corretivas adequadas para não conformidades (NC’s) do SGQ. Então, é melhor fazer uma tabela na qual as NC’s estão descritas, contendo campos para causas, ações corretivas, verificação da implantação e eficácia, onde o RD (Representante da Direção) ou Gestor da Qualidade junto com o Gestor da área, preencham em conjunto, tornando essa tarefa mais fácil e rápida;

O Auditor do Organismo Certificador não pode exigir que o relatório de auditorias internas tenha por exemplo as evidências de conformidades, a menos que conste como requisito do procedimento de auditoria interna da empresa. Se ele insistir em abrir uma não conformidade, faça aquela pergunta que todo auditor odeia: onde está escrito na norma, que tenho que descrever as evidências de conformidades, se tenho uma tabela resumo como esta mostrada anteriormente? Se ele colocar como uma oportunidade de melhoria, na sua análise descreva que é inviável porque a empresa não vai utilizar estas informações para melhorar os processos, bem como haverá um custo adicional para ficar escrevendo. Pode ficar “bonitinho” o relatório, mas na prática você vai usar a tabela resumo para fazer uma análise crítica da auditoria interna (processos e/ou sessões da norma com mais NC’s) e agir sobre as NC’s e Oportunidades de Melhorias (se for o caso).
O que acontece muito em auditorias pelos Organismos Certificadores, é que muitas empresas, por terem seus sistemas de gestão vulneráveis ou por não dominarem profundamente os requisitos da norma e como estão atendendo; acabam praticamente se subordinando aos auditores, aceitando e fazendo tudo que eles pedem, com medo que ele “fique nervoso” e comece a procurar “pelo em ovo”. Se a empresa tem um sistema consistente, ela se impõe junto ao auditor e consegue discutir (e deve) com ele, a forma como está atendendo ao requisito. Nenhum auditor pode obrigar a empresa a atender os requisitos do jeito dele, pois isso seria consultoria, o que ele não pode fazer. O papel dele, é verificar se a forma como a empresa executa suas atividades e processos, atende aos requisitos da norma, independentemente dele gostar ou não. Nem nas oportunidades de melhorias ele deve dizer “como”, mas apenas apontar o que poderia ser melhorado. É difícil ter um auditor de Organismo Certificador que não tenha uma postura adequada e imparcial, pois são treinados para isso, porém acontece. Neste caso, a empresa pode barrar uma próxima auditoria por este auditor, reclamando ao Organismo. Se o Organismo não atender, a empresa, também pode trocar de Organismo, mas isso dificilmente irá acontecer.
Já vi casos de empresas que argumentaram que tem receio de trocar o auditor, imaginando que o próximo poderá ser pior ainda, porque a empresa barrou um colega dele, mas posso garantir que isso é apenas imaginação, já que quem paga os auditores é a empresa certificada.
Um Sistema de Gestão da Qualidade não pode ser preparado para o auditor, mas sim desenvolvido para atender as necessidades da empresa.
 
O que muda na ISO DIS 9001:2015 em relação a Auditorias Internas?
Em geral os requisitos não mudaram, mas há alguns detalhes que foram incluídos como: os requisitos de planejamento e criação de relatórios deverão levar em consideração os objetivos da qualidade, a importância dos processos pertinentes, retroalimentação de clientes e as mudanças que impactam a organização. Sendo assim, uma auditoria por ano por exemplo, dificilmente atenderá adequadamente este requisito, pois se nesse intervalo a empresa passar por mudanças significativas, ou tiver um aumento de reclamações, alterações de objetivos e metas etc, possivelmente terá que considerar estes fatores nos planejamentos das auditorias.
O que deve e precisará mudar de fato, é o perfil dos Auditores, sejam eles internos ou dos Organismos Certificadores.
Com o fim das exigências dos procedimentos e manual da qualidade, deve acabar aquele tipo de auditoria “cara x crachá”, ou seja, está escrito o que é para fazer e consequentemente precisa ser feito o que está escrito. Isso tornava a atividade de auditoria mais simples. Com a mudança da norma, o que é para ser feito, não necessariamente estará escrito. Desta forma, os auditores precisarão ter um domínio maior da norma e principalmente de gestão por processo. Será mais difícil fazer auditorias por pedaços da norma ou requisitos específicos, pois será preciso entender não só a abrangência dos processos e como eles atendem aos requisitos, como também entender a concepção do sistema, baseado no contexto da organização.
Outro fator significativo para as auditorias internas, é o papel que precisará ser cobrado sobre Liderança e Comprometimento da Alta Direção e Gestores dos Processos, pois com a falta do requisito de ter um Representante da Direção (RD), as responsabilidades do RD foram distribuídas com os Gestores da Empresa, não só a Alta Direção, mas a média gerência ou chefia também. Auditar essas responsabilidades e requisitos, vai exigir que os auditores tenham muito mais experiência profissional, conhecimentos sobre gestão de negócios, foco em resultados, planos de ações estruturados para atingir objetivos e metas etc. É muito diferente de auditar uma documentação “quadradinha” e verificar se o pessoal está seguindo.
Se a empresa quiser, pode manter procedimentos, manual da qualidade e até o RD? Resposta: pode; porém se a norma mudou e a empresa não quer se alinhar a essas mudanças, possivelmente não entendeu os motivos das mudanças e não irá acompanhar a evolução da norma. Continuará certificada, mas é bem provável que tenha um sistema muito caro e com poucos resultados. O desafio é entender e acompanhar as mudanças nos conceitos de gestão da qualidade e implementa-los.
Talvez uma grande dúvida seja: Será que haverá Organismos de Certificação que não cobrarão da Direção seu papel de liderança e comprometimento, gestão por processos, análises de riscos, comunicação interna e externa e outros requisitos requeridos na versão 2015?
Minha resposta: eu não conheço! Se alguém descobrir, pode haver “interessados”!
 

“… se possível conseguir um sistema sem pessoas, é improvável que se aplicasse a palavra organização para descrevê-lo.”Blake & Moulton

 
 
Por: Manoel Maurício de Souza Araújo – Diretor Técnico da ACT Consultoria & Treinamento
Críticas, Sugestões e Comentários: contato@actconsultoria.com.br
Telefone: (11) 4227-2211