Processos de Auditoria

PROGRAMA DE AUDITORIA

Após o cliente e a Green Hat firmarem o contrato de serviço, o cliente receberá o Programa de Auditoria Externa para o ciclo de certificação, com informações sobre:

  • Auditoria Inicial em duas fases;
  • Auditoria de Supervisão no 1º ano após decisão de certificação ou de recertificação (antes de completar 1 ano da decisão de certificação);
  • Auditoria de Supervisão no 2º ano após decisão de certificação ou de recertificação (em qualquer mês do ano corrente);
  • Auditoria de Recertificação no 3º ano após decisão de certificação (antes de completar 3 anos da decisão de certificação, data em que expira a certificação).

O primeiro ciclo de certificação inicia-se com a decisão de certificação. Os ciclos subsequentes iniciam-se com a decisão de recertificação. Caso o cliente já possua uma certificação em sistema de gestão concedida por outro organismo de certificação, o OC da Green Hat obtém e mantém evidências suficientes, justifica e registra quaisquer ajustes ao programa de auditoria existente e acompanha a implementação de ações corretivas de não conformidades anteriores.

Plano de Auditoria

Para cada auditoria, o cliente receberá o Plano de Auditoria Externa, o qual possui o cronograma previamente acordado e pode ser alterado no decorrer da auditoria conforme necessidade.

O OC da Green Hat fornece ao cliente, mediante solicitação, informações curriculares de cada membro da equipe auditora, com tempo suficiente para o cliente discordar da designação de qualquer membro da equipe e para o OC da Green Hat reconstituir a equipe em resposta a qualquer objeção válida.

O OC da Green Hat justifica e acorda previamente com o cliente sobre a presença tanto de observadores, quanto de especialistas durante atividades de auditoria.

O OC da Green Hat, ao designar auditores em treinamento para participar da auditoria, designa juntamente um auditor avaliador, o qual tem responsabilidade final pelas atividades e constatações do auditor em treinamento.

O OC da Green Hat acorda com o cliente, a presença de um guia para acompanhar cada auditor. Este guia é uma pessoa designada pelo cliente para auxiliar a equipe auditora, estabelecendo contatos e horários para entrevistas e organizando visitas para partes específicas do local ou da organização.

As atividades de certificação podem ser presenciais ou virtuais desde que previamente acordadas com o cliente.

Reunião de Abertura

Em cada auditoria, uma reunião de abertura é conduzida pelo auditor líder, momento em que são apresentados ao cliente, o Programa, o Plano, resultados de auditoria interna e de análise crítica anterior, e o método de comunicar as constatações, incluindo a classificação das constatações da auditoria.

Reunião de Encerramento

Em cada auditoria, uma reunião de encerramento é conduzida pelo auditor líder, momento em que são apresentadas ao cliente, as conclusões da auditoria de tal modo que elas sejam conhecidas e entendidas pelo cliente, as atividades pós auditoria e a recomendação da equipe auditora quanto à decisão de certificação do cliente.

Atividades Pós Auditoria

A conclusão do Relatório de Auditoria Externa deve ocorrer em até 5 dias úteis após a conclusão da auditoria.

O prazo para o cliente entregar os Planos de Ação de Correção e Ação Corretiva para as não conformidades é de 5 dias úteis após o recebimento do Relatório de Auditoria Externa.

O atendimento, por parte do cliente, das ‘Oportunidades de Melhoria’ não é mandatório, podem ser selecionadas ou não pela organização auditada.

A eficácia de correções e ações corretivas de ‘Não Conformidades Menores’ será verificada na auditoria externa subsequente pela equipe auditora.

A eficácia de correções e de ações corretivas de ‘Não Conformidade Maior’ será verificada pelo auditor líder na data informada pelo cliente. Esta eficácia será registrada em um adendo no Relatório de Auditoria Externa. Se o OC da Green Hat não conseguir constatar a eficácia das correções e ações corretivas de ‘Não Conformidade Maior’ no período de 6 meses após o último dia da auditoria, o cliente será submetido à outra auditoria antes de receber a recomendação de certificação.

O gestor do programa de auditoria tomará a decisão de certificação após analisar criticamente o resultado da auditoria e das evidências objetivas com base em Relatório de Auditoria Externa e Planos de Ação de Correção e Ação Corretiva avaliando se a organização, com base na avaliação de risco, implementou os controles aplicáveis e alcançou os objetivos de segurança da informação estabelecidos. Esta análise crítica é registrada em um adendo no Relatório de Auditoria Externa.

Decisão de Certificação

Diante de uma auditoria externa, o OC da Green Hat decide pela:

  • ‘Concessão’ ou ‘Recusa’ de Certificação, a qual ocorre em Auditoria Inicial;
  • Manutenção de Certificação, a qual ocorre com a:
    • ‘Renovação’ de Certificação em Auditoria de Supervisão, Especial ou Recertificação 
    • ‘Restauração’ de Certificação em Auditoria Especial de acompanhamento de ações após suspensão
  • ‘Suspensão’ de Certificação, a qual ocorre em Auditorias de Supervisão, de Recertificação ou Especial quando:
    • O Sistema de Gestão certificado tiver falhado persistentemente em atender aos requisitos de certificação
    • O cliente certificado não permitir que auditorias de supervisão, especiais ou de recertificação sejam realizadas nas frequências exigidas
    • O certificado do cliente estiver às vésperas de expirar, estando ele dentro do prazo de resolução de uma não conformidade maior

A suspensão é feita por um período de 6 meses. Dentro deste período, o cliente suspenso deve corrigir os problemas que ocasionaram a suspensão. O OC da Green Hat restaura a certificação suspensa tão logo constate que o problema foi resolvido. Caso o problema não seja corrigido dentro deste período, é feito o ‘Cancelamento’ da certificação ou apenas a ‘Redução do Escopo’.

O cliente pode solicitar voluntariamente uma suspensão.

SUPERVISÃO DE CLIENTE CERTIFICADO

Uma vez certificado, o cliente, além de ser submetido a auditorias de supervisão conforme seu Programa de Auditoria, é supervisionado por meio das ações abaixo, pelo gestor do Programa de Auditoria Externa:

  • Análise crítica de declarações públicas do cliente;
  • Solicitação de evidências da execução de atividades periódicas previstas na documentação do Sistema de Gestão do cliente.

Tipos de sistemas de gestão e esquemas de certificação nos quais a Green Hat opera

Auditoria Inicial e Certificação de Conformidade com o SGSI – Sistema de Gestão de Segurança da Informação da ABNT NBR ISO/IEC 27001:2013

Auditoria de Supervisão e Certificação de Conformidade com o SGSI – Sistema de Gestão de Segurança da Informação da ABNT NBR ISO/IEC 27001:2013

Auditoria de Recertificação de Conformidade com o SGSI – Sistema de Gestão de Segurança da Informação da ABNT NBR ISO/IEC 27001:2013

Auditoria Especial de Certificação de Conformidade com o SGSI – Sistema de Gestão de Segurança da Informação da ABNT NBR ISO/IEC 27001:2013

Auditoria Combinada de Certificação de Conformidade com o SGSI – Sistema de Gestão de Segurança da Informação da ABNT NBR ISO/IEC 27001:2013

Auditoria Integrada (inicial, de supervisão ou de recertificação) de conformidade com o SGSI – Sistema de Gestão de Segurança da Informação da ABNT NBR ISO/IEC 27001:2013 e outras normas de Sistema de Gestão ISO

Uso do nome do Organismo de Certificação da Green Hat e da marca de certificação ou logomarca

A Green Hat utiliza sua Marca de Certificação de Sistema de Gestão no Certificado de Conformidade que é emitido ao cliente certificado.

O cliente, por sua vez, pode fazer referência à Green Hat como seu organismo de certificação desde que, faça o uso da marca, tal como está no certificado e respeite as seguintes regras:

  • Essa marca não pode ser usada em um produto ou em embalagem do produto nem de qualquer outra maneira que possa ser interpretada como denotando conformidade de produto (incluindo serviço) ou processo;
  • A declaração em embalagem sobre o sistema de gestão certificado deve conter, no mínimo, referência a:
    • Identificação do cliente certificado;
    • Tipo de SG, norma aplicável e o escopo certificado;
    • Organismo de certificação da Green Hat
  • Essa marca não pode ser aplicada por clientes certificados a relatórios de laboratórios referentes a ensaio, calibração ou inspeção ou certificados;
  • A referência à certificação de seu sistema de gestão deve ser fidedigna a qual sistema de gestão e a qual escopo certificado, não permitindo que se induza a erro;
  • Em caso de cancelamento da certificação, o uso de todo material publicitário que faça referência à certificação deve ser interrompido;
  • Em caso de redução de escopo da certificação, todo material publicitário deve ser alterado.

A Green Hat exerce controle quanto à propriedade e, em caso de referências incorretas à condição de certificação ou ao uso enganoso de documentos de certificação, marcas ou relatórios de auditoria toma as seguintes ações, nessa ordem: pedido para correção com prazo de 30 dias, suspensão com prazo de 60 dias, cancelamento da certificação com prazo de 90 dias e, se necessário, ação legal.

Processos para tratamento de pedidos de informação, reclamações e apelações

Para solicitar auditoria e certificação o cliente deve preencher o formulário ‘Solicitação de Certificação’ encaminhado pelo time de vendas após um primeiro contato com a Green Hat.

Seu pedido será analisado e respondido por e-mail.

Para solicitar informações, fazer reclamações ou apelações preencha o formulário em https://greenhat.com.br/fale-conosco/
Você será notificado sobre o recebimento, andamento e encerramento do seu pedido de informação, reclamação ou apelação.

A Green Hat assegura que a pessoa que avalia e trata a Apelação ou Reclamação seja diferente da pessoa que realiza a auditoria, bem como assegura que não haja ação discriminatória contra o apelante ou reclamante.

GESTÃO de imparcialidade

Política do Sistema de Gestão do Organismo de Certificação da Green Hat
“Prover serviço de auditoria e certificação aos clientes com competência, coerência e imparcialidade“.

As decisões são baseadas em evidências objetivas de conformidade ou de não conformidade.

O OC – Organismo de Certificação da Green Hat:

  • Não permite que pressões comerciais, financeiras ou outras comprometam a imparcialidade, gerenciando conflitos de interesse e assegurando a objetividade da avaliação de conformidade;
  • Não presta serviço de consultoria ou auditoria interna em sistema de gestão.

Observação:

O fornecimento ao cliente, das informações genéricas abaixo, não é considerado consultoria:
Explicação do significado e da intenção dos critérios da auditoria
Falar sobre teorias, metodologias ou técnicas acompanhadas de exemplos podem ser necessárias para que o auditado entenda o que está sendo requerido em determinado critério. Porém, sempre observando que é esperado que a organização auditada já tenha conhecimento e entendimento dos requisitos da norma de referência.
  • Não terceiriza auditoria de certificação à organização de consultoria em sistema de gestão;

Exige que o seu pessoal envolvido nas atividades de auditoria e certificação, interno e externo, revele qualquer situação conhecida que possa oferecer conflito de interesse a si próprio ou ao organismo de certificação.

Os clientes que recebem de empresa do grupo da Green Hat, serviço de consultoria em implantação, em manutenção ou auditoria interna de SGSI – ISO 27001, ou ainda em consultoria que envolva outras normas ou metodologias com aplicação da norma ISO 27001, como por exemplo, da ISO 27701, podem ser certificados pelo OC da Green Hat somente se as pessoas da equipe de auditoria externa e do gestor do programa de auditoria externa forem distintas das pessoas que atuaram na consultoria. Empresa do mesmo grupo da Green Hat não pode ser certificada pelo OC da Green Hat em hipótese alguma.

A GREEN HAT exige do auditor, do especialista técnico e do gestor do programa a formalização de um Acordo para que estes se comprometam a cumprir as políticas e procedimentos definidos pela GREEN HAT e que notifiquem sobre qualquer relacionamento existente ou passado com qualquer organização que eles possam ser designados a auditar.

<span>%d</span> blogueiros gostam disto: