Auditoria interna da qualidade: como planejar e executar (ISO 9001 9.2)
A auditoria interna da qualidade é a avaliação sistemática e documentada com que a própria organização verifica, a intervalos planejados, se o seu sistema de gestão da qualidade (SGQ) atende aos requisitos e é eficaz na prática — uma exigência da ISO 9001:2015 no item 9.2. No SGQ — Plataforma de Conformidade Inteligente, o módulo de Auditorias (M28) conduz esse trabalho do programa anual à execução: você planeja cada auditoria com escopo, responsável e data, registra os achados como não conformidades vinculadas por identificador e leva cada uma até a ação corretiva (CAPA) e a verificação de eficácia. Tudo fica rastreável, isolado por organização e pronto para alimentar o painel de conformidade — que é calculado por evidência, nunca declarado à mão.
Resumo rápido
- A auditoria interna avalia, a intervalos planejados, se o SGQ está conforme os requisitos e é eficaz na prática — exigência explícita da ISO 9001:2015, cláusula 9 (avaliação de desempenho), item 9.2.
- O módulo de Auditorias (M28) registra três tipos — interna, externa e de fornecedor — cada um com código, título, escopo, responsável, data planejada e status (planejada, em execução, concluída ou cancelada).
- O programa anual de auditorias é o conjunto de auditorias planejadas do ciclo, acompanhado pela lista paginada com busca por código, título ou responsável e filtro por status.
- Cada achado vira uma não conformidade (M20) com origem "auditoria", vinculada à auditoria por ID; a NC abre uma CAPA (M03) com prazo por severidade — crítica 7, maior 14, menor 30 dias — e segue até a verificação de eficácia (eficaz encerra; ineficaz reabre o tratamento).
- Auditorias, não conformidades e CAPA formam o núcleo operacional do plano Essential; quando a NC está ligada a um requisito da biblioteca, a NC e a CAPA passam a contar como evidência no painel de conformidade.
- Tudo é multiempresa: cada consulta é filtrada por organização, o acesso é controlado por perfil (ACL m28 e m20) e as operações ficam registradas em trilha auditável.
O que é a auditoria interna da qualidade
Auditoria interna da qualidade é a avaliação de primeira parte — conduzida pela própria organização — que verifica, de forma sistemática e documentada, se o sistema de gestão da qualidade está conforme os requisitos aplicáveis (os da norma e os da própria empresa) e se é efetivamente implementado e mantido. É a auditoria que antecede e prepara a certificação, e que mantém o sistema saudável entre os ciclos de recertificação.
No SGQ, o módulo de Auditorias (M28) organiza esse trabalho em registros rastreáveis: planejamento, execução e registro dos achados, com encaminhamento direto para o tratamento das não conformidades. Os achados não ficam soltos em planilha — são vinculados por identificador à auditoria que os originou, o que preserva a cadeia do achado até a ação corretiva e a evidência.
Programa anual e planejamento de auditorias
O programa anual de auditorias é o conjunto de auditorias planejadas ao longo do ciclo. A ISO 9001, no item 9.2.2, pede que a organização estabeleça e mantenha um programa de auditoria que defina frequência, métodos, responsabilidades e requisitos de planejamento e relato, considerando a importância dos processos, as mudanças que afetam a organização e os resultados de auditorias anteriores.
No SGQ, cada auditoria planejada é um registro com data planejada e status, e a lista paginada — com busca por código, título ou responsável e filtro por status — dá a visão do programa em andamento: o que está planejado, em execução, concluído ou cancelado. É assim que o planejamento de auditoria interna deixa de ser um calendário à parte e passa a viver dentro do sistema.
Escopo, responsável, data planejada e status
Ao planejar uma auditoria interna — ou de qualquer tipo — você define os campos que tornam o registro auditável:
- Código e título: identificação única da auditoria.
- Escopo: o que será auditado — processos, áreas e os requisitos que servem de critério.
- Responsável: quem conduz a auditoria, com objetividade e imparcialidade.
- Data planejada: quando está prevista, base para acompanhar o programa.
- Status: planejada, em execução, concluída ou cancelada.
O escopo e os critérios definidos funcionam como o roteiro (checklist) da auditoria: cada item verificado que apresente desvio é registrado como não conformidade. O relatório final pode ser vinculado como documento controlado (M11), mantendo a evidência versionada.
Conduzir a auditoria e registrar achados
Ao iniciar os trabalhos, mude o status da auditoria para "em execução" e conduza a avaliação conforme o escopo e os critérios. Cada desvio observado — uma evidência que não atende ao requisito — é um achado. No SGQ, o achado não fica em anotação avulsa: é registrado como não conformidade com origem "auditoria" e vínculo por identificador à auditoria em curso.
Concluída a avaliação, a auditoria recebe o status "concluída" e o relatório é arquivado como documento controlado, servindo de informação documentada — a evidência de que o programa foi executado.
Do achado à não conformidade vinculada
Quando a auditoria aponta um desvio, o achado vira uma não conformidade (NC) com origem "auditoria", ligada por ID à auditoria que o originou. O sistema valida que a auditoria vinculada pertence à mesma organização, preservando o isolamento multiempresa. A partir daí, a NC segue o ciclo de melhoria contínua:
- Severidade: menor, maior ou crítica.
- Abertura de CAPA: a NC gera uma ação corretiva (plano de ação, M03) de forma idempotente — chamar duas vezes não duplica a ação.
- Prazo por severidade: crítica em 7 dias, maior em 14 e menor em 30, contados a partir da abertura; crítica e maior nascem com prioridade alta.
- Verificação de eficácia: resultado eficaz encerra a NC; ineficaz reabre o tratamento para nova ação.
Auditoria de fornecedor e auditoria externa
O mesmo módulo cobre os três cenários mais comuns de um sistema de gestão da qualidade, sem duplicar cadastro. O tipo é um atributo do registro, então listas, filtros e relatórios separam auditorias internas das demais:
- Interna (primeira parte): a organização audita o próprio sistema, geralmente antes da certificação.
- Externa (terceira parte): auditoria conduzida por organismo certificador ou por cliente, acompanhada na mesma base.
- De fornecedor: avaliação de fornecedores e contratadas, útil para homologação e qualificação da cadeia de suprimentos.
As não conformidades também registram a sua origem — auditoria, processo, cliente, fornecedor ou outro — de modo que um achado de auditoria de fornecedor ou uma reclamação de cliente entra no mesmo fluxo de tratamento, com rastreabilidade até a ação corretiva.
Base normativa: ISO 9001:2015, item 9.2
A auditoria interna é uma exigência explícita da ISO 9001:2015, na cláusula 9 (avaliação de desempenho), item 9.2. O item 9.2.1 determina que a organização realize auditorias internas a intervalos planejados para verificar se o SGQ está conforme os requisitos da própria organização e da norma e se é efetivamente implementado e mantido.
O item 9.2.2 detalha as obrigações: planejar, estabelecer, implementar e manter um programa de auditoria; definir os critérios e o escopo de cada auditoria; selecionar auditores e conduzir as auditorias assegurando objetividade e imparcialidade; reportar os resultados à direção; executar as correções e ações corretivas apropriadas sem demora indevida; e reter informação documentada como evidência do programa e dos resultados. O SGQ apoia cada um desses pontos: escopo e responsável no registro da auditoria, achados que viram não conformidades e ações corretivas, e o relatório guardado como documento controlado.
Da auditoria à melhoria contínua (NC → CAPA)
As não conformidades e as ações corretivas conectam a auditoria (item 9.2) à melhoria — cláusula 10 da ISO 9001, item 10.2 (não conformidade e ação corretiva). O SGQ fecha esse loop de ponta a ponta: a NC abre a CAPA, a CAPA é tratada dentro do prazo por severidade e a verificação de eficácia decide se a NC é encerrada ou se o tratamento reabre para nova ação — com toda a operação registrada em trilha auditável.
O fluxo tem API REST sob /api/sgq: listar, criar e atualizar auditorias e não conformidades, além dos endpoints que abrem a CAPA e registram a eficácia. O acesso é protegido em duas camadas — entitlement do módulo (M28 para auditorias, M20 para não conformidades) e controle por perfil via tags (m28 e m20) — e todas as consultas são filtradas por organização, de modo que os dados de auditoria de uma empresa nunca aparecem para outra.
Auditorias, não conformidades e CAPA compõem o núcleo operacional do plano Essential, ao lado dos documentos controlados. O resultado alimenta o painel de conformidade e sustenta a preparação para a certificação ISO e a análise crítica pela direção.
Como planejar e executar uma auditoria interna da qualidade no SGQ
- Montar o programa anual. Planeje as auditorias do ciclo criando um registro para cada uma, com código, título, tipo (interna, externa ou de fornecedor), escopo, responsável e data planejada; o status inicial é "planejada".
- Definir escopo e critérios. Para cada auditoria, delimite o que será avaliado — processos, áreas — e os critérios (os requisitos da norma auditada), que servem de roteiro da avaliação.
- Conduzir a auditoria. Ao iniciar os trabalhos, mude o status para "em execução" e conduza a avaliação conforme o escopo e os critérios, assegurando objetividade e imparcialidade dos auditores.
- Registrar os achados como não conformidades. Cada desvio vira uma não conformidade com origem "auditoria", vinculada à auditoria por identificador, com severidade menor, maior ou crítica.
- Abrir a CAPA. Gere a ação corretiva a partir da não conformidade; o prazo é definido pela severidade — crítica 7, maior 14, menor 30 dias — e a NC passa para o status em tratamento.
- Verificar a eficácia. Registre o resultado da ação: eficaz encerra a não conformidade; ineficaz reabre o tratamento para nova ação.
- Concluir e arquivar o relatório. Finalize a auditoria com status "concluída" e vincule o relatório como documento controlado (M11), preservando a evidência do programa.
Perguntas frequentes
O que é auditoria interna da qualidade?
É a avaliação de primeira parte, sistemática e documentada, com que a própria organização verifica, a intervalos planejados, se o seu sistema de gestão da qualidade atende aos requisitos e é eficaz na prática. É a auditoria que prepara a certificação e mantém o sistema saudável entre os ciclos, exigida pela ISO 9001:2015 no item 9.2.
Como montar o programa de auditoria interna?
O programa é o conjunto de auditorias planejadas do ciclo. No SGQ, cada auditoria planejada é um registro com data planejada e status, e você acompanha o programa pela lista, com busca por código, título ou responsável e filtro por status. A ISO 9.2.2 pede considerar a importância dos processos, as mudanças e os resultados de auditorias anteriores ao definir frequência, métodos e responsabilidades.
O que é um checklist de auditoria interna no SGQ?
O checklist é o roteiro derivado do escopo e dos critérios da auditoria — ou seja, os requisitos da norma auditada. No SGQ, o escopo e o responsável ficam no registro da auditoria, e cada item verificado que apresente desvio é registrado como não conformidade vinculada à auditoria por identificador.
Qual a diferença entre auditoria interna, externa e de fornecedor?
A interna é de primeira parte: a organização audita o próprio sistema. A externa é de terceira parte, conduzida por organismo certificador ou por cliente. A de fornecedor avalia fornecedores e contratadas para homologação e qualificação. No SGQ, o tipo é um atributo do mesmo registro, então listas e relatórios separam cada um sem duplicar cadastro.
Qual é a base normativa da auditoria interna?
A ISO 9001:2015, cláusula 9 (avaliação de desempenho), item 9.2. O 9.2.1 exige auditorias a intervalos planejados para verificar conformidade e eficácia; o 9.2.2 exige programa de auditoria, definição de critérios e escopo, auditores objetivos e imparciais, relato à direção, correções e ações corretivas sem demora indevida e retenção de informação documentada como evidência.
A auditoria interna no SGQ substitui a auditoria de certificação?
Não. O SGQ organiza o sistema de gestão e reúne as evidências — auditorias, não conformidades, CAPAs e documentos — numa base única e rastreável; a auditoria de certificação e a consultoria continuam a cargo de terceiros. O resultado do trabalho interno é o que sustenta a preparação para a certificação e a análise crítica pela direção.
Acessar o sistema