Como abordar um auditor durante a auditoria de certificação

Se você está se preparando para a auditoria de certificação, deve estar imaginando como abordar o auditor. Em minha opinião, a coisa mais importante é não esquecer que auditores também são pessoas, e não importa quão profissional eles sejam, eles sempre serão gratos se você os tratar de forma justa; por outro lado, trate-os mal e eles terão uma percepção negativa de você.

O que você não deveria fazer?

Aqui estão algumas coisas para se evitar:

  • Não evite as questões deles. Eles saberão de imediato se você está escondendo alguma coisa, ou se você quer desviar a discussão para outro assunto qualquer – esta é uma boa forma de torná-los desconfiados, porque eles pensarão que você está escondendo uma não conformidade.
  • Não minta. Quando eles descobrem que você está mentindo (e eles vão descobrir), eles perderão totalmente a confiança em você, e se tornarão ainda mais cuidadosos do que estavam antes.
  • Não os faça perder tempo. Não os leve para um lugar onde eles não querem ir, ou gaste tempo demasiado em coisas que eles querem passar de forma rápida. Isto fará com que fiquem nervosos, porque eles não serão capazes de repassar pontos que para eles são importantes.

A importância do relacionamento positivo

Então por que você deveria tratar o auditor de forma gentil em primeiro lugar? Porque existe uma área cinza nas “regras” onde você pode se beneficiar ao construir um relacionamento positivo. (Não se preocupe, por área cinza eu não quero dizer nada ilegal ou anti ético, como explicarei daqui a pouco.)

Auditores tem uma regra básica de que eles devem fazer auditoria, e não consultoria – isto significa que eles devem dizer a você se algo está bom ou ruim (isto é, se existem não conformidades ou não) e eles deveriam dar a você um explicação resumida sobre porque existe uma não conformidade ou porque algo é uma boa prática; contudo, não é permitido a eles dar a você sugestões detalhadas sobre como resolver seus problemas.

Você deveria estar ciente de que auditores de certificação já auditaram dúzias, se não centenas, de organizações e que eles já viram de tudo – desde as piores práticas possíveis até exemplos fantásticos de soluções inteligentes. Basicamente, eles são um enciclopédia ambulante sobre o que é bom e o que é ruim para a ISO 27001, ISO 22301, ou qualquer padrão em que você esteja se certificando.

Então o que é esta área cinza? Na verdade ela se refere ao tamanho de explicação resumida que mencionei – se você desenvolveu um relacionamento positivo, esta explicação resumida não será apenas umas poucas palavras, mas talvez umas poucas frases, o que pode ser o suficiente para fazer diversas ideias surgirem em sua cabeça que economizarão dinheiro e tempo depois. Por outro lado, se você tratar mal o auditor, ele irá (obviamente) manter suas explicações a um mínimo necessário, e lá se vai sua chance de aprender algo com ele.

O que eu deveria fazer em uma auditoria de certificação

Desta forma, você deveria fazer o seguinte para desenvolver um relacionamento positivo:

  • Responder as questões diretamente. Dar a eles respostas claras e de forma imediata, apoiadas por fatos.
  • Admitir que você tem um problema. Claro que você não irá contar a eles todos os seus problemas por iniciativa própria, mas se for perguntado de forma direta – diga a eles abertamente qual é o problema. Os auditores irão interpretar sua atitude como uma intenção genuína de melhorar o sistema – em tais situações eles podem identificar uma não conformidade, mas você quase que certamente os levará a discutir qual seria a melhor forma de fechar tal não conformidade.
  • Pergunte pela opinião deles. Eles podem não ter tempo para responder tais questões, mas ao mostrar seu entusiasmo pelo assunto, eles terão uma imagem positiva sobre você e sua organização.

Assim, se você abordar o auditor de forma positiva, você certamente terá não só um auditor mais satisfeito como também um profissional mais útil dos que você esperava.

Para saber mais sobre a auditoria de certificação, confira este livro: Preparing for ISO Certification Audit: A Plain English Guide.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.