Auditoria interna da qualidade: o passo a passo completo (programa, checklist e relatório)
Existe auditoria interna que é ritual de sofrimento anual — todo mundo esconde o que pode, o auditor preenche o checklist, o relatório morre numa pasta. E existe auditoria interna que funciona como radar da gestão: acha o problema antes do cliente, antes do certificador e antes do prejuízo.
A diferença entre uma e outra é método. Este é o passo a passo completo.
Para que serve (de verdade) a auditoria interna
A auditoria interna (requisito 9.2 da ISO 9001) verifica duas coisas: se o sistema de gestão atende aos requisitos (da norma e da própria empresa) e se está implementado e mantido eficazmente. Traduzindo: o que está escrito acontece na prática? E o que acontece na prática gera resultado?
💡 Mentalidade correta: o auditado não é réu, e o auditor não é fiscal. Auditoria interna boa é serviço prestado ao dono do processo — ela entrega, de graça, o diagnóstico que o certificador cobraria caro para apontar.
Passo 1 — Monte o programa anual de auditorias
O programa é o calendário que distribui as auditorias no ano, definindo escopo, critérios, auditores e datas. Três variáveis definem a frequência de cada processo:
- Importância: processos que impactam diretamente o cliente ou requisitos legais são auditados com mais frequência;
- Mudanças: processo novo, sistema novo, gente nova → auditoria mais cedo;
- Histórico: setores com NCs recorrentes voltam para o topo da fila.
Passo 2 — Qualifique os auditores
Auditor interno precisa de treinamento registrado (norma + técnica de auditoria) e independência: ninguém audita o próprio setor. Em empresas pequenas, o caminho prático é formar uma dupla de auditores de áreas diferentes que se auditam cruzado — ou contratar um auditor externo para o ciclo.
Passo 3 — Prepare cada auditoria
Estude antes de entrar
Leia os procedimentos do processo, as NCs anteriores, os indicadores e o relatório da última auditoria. Auditor que chega sem contexto faz pergunta genérica e recebe resposta ensaiada.
Monte o checklist
O checklist organiza a verificação por requisito: o que vou perguntar, que evidência vou pedir, onde vou olhar. Ele guia — não engessa: os melhores achados quase sempre surgem de um "me mostra como você faz" fora do script. Estruture colunas de requisito/pergunta, evidência encontrada e status (conforme / NC / observação).
Envie a agenda
Comunique data, horário, escopo e o que deve estar disponível. Auditoria interna não precisa de pegadinha — o processo que só funciona avisado já revelou seu problema.
Passo 4 — Execute: a arte de auditar gente
- Abra a reunião em 10 minutos: escopo, critérios, método, horário da reunião de encerramento;
- Pergunte aberto: "como você faz o controle X?" rende mais que "você faz o controle X?" (que só rende "sim");
- Siga a trilha da evidência: peça o registro, confira a assinatura, compare com o padrão, rastreie um caso do início ao fim (técnica do rastreamento é imbatível);
- Anote fatos, não impressões: documento, data, item verificado — você precisará escrever a NC com precisão;
- Não discuta solução durante a auditoria: achado primeiro, tratativa depois — e quem define a ação é o dono do processo, não o auditor.
Passo 5 — Classifique os achados
| Tipo | O que é | Exemplo |
|---|---|---|
| NC maior | Falha total de requisito ou colapso sistêmico | Nenhum controle sobre documentos obsoletos em toda a fábrica |
| NC menor | Falha pontual que não derruba o sistema | Um formulário de liberação sem assinatura em um lote |
| Observação | Risco de virar NC se não cuidado | Registro em dia, mas dependente de uma única pessoa |
| Oportunidade de melhoria | Sugestão de ganho, sem requisito ferido | Digitalizar um controle manual que consome horas |
Escreva cada NC com a tríade requisito + evidência + descrição do desvio: "O procedimento PR-05 item 4.2 determina X; verificado no setor Y, em DD/MM, o registro Z apresentava W." NC bem escrita já nasce meio tratada.
Passo 6 — Relatório e fechamento do ciclo
O relatório sai rápido (até uma semana), objetivo e sem surpresa — tudo que está nele foi dito na reunião de encerramento. De lá, cada NC entra no fluxo de tratativa: correção, análise de causa, plano de ação e verificação de eficácia. O conjunto (resultados de auditoria + status das ações) alimenta a análise crítica da direção — fechando o PDCA do sistema.
Os erros que anulam o valor da auditoria
- Auditar só na véspera da certificação — vira simulado decorado, não radar;
- Checklist de "sim/não" preenchido na mesa, sem ir ao processo;
- Auditor sem independência (ou sem treinamento registrado) — NC clássica de certificador;
- Relatório sem consequência — achado que não vira tratativa ensina a empresa a ignorar auditoria;
- Tom de caça às bruxas — auditoria que humilha auditado garante que na próxima ninguém mostra nada.
✅ Métrica de maturidade: quando os setores começam a pedir para ser auditados — porque a auditoria acha problema cedo e ajuda a resolver — o sistema de gestão saiu do papel e entrou na cultura.
Perguntas frequentes
Quem pode ser auditor interno?
Qualquer colaborador com treinamento em auditoria (interpretação da norma + técnica de auditoria) e independência do setor auditado — ninguém audita o próprio trabalho. O treinamento precisa estar registrado: é uma das primeiras evidências que o certificador pede.
Com que frequência fazer auditoria interna?
A norma pede 'intervalos planejados'. O usual é cobrir todos os processos ao menos 1 vez por ano, com frequência maior para processos críticos ou com histórico de problemas. O programa deve considerar importância, mudanças e resultados anteriores.
Auditoria interna pode ser terceirizada?
Pode — é comum contratar auditor externo para fazer a auditoria interna (chamada auditoria de segunda parte em nome da empresa). O que não pode é deixar de existir: ela é requisito (9.2) e o ensaio geral da certificação.
Qual a diferença entre não conformidade maior e menor?
Maior: falha total de um requisito ou colapso sistêmico (ex.: nenhuma auditoria interna realizada). Menor: falha pontual que não compromete o sistema (ex.: um registro isolado sem preenchimento). Maiores impedem a certificação até serem tratadas; menores exigem plano de ação.