SGQ — Plataforma de Conformidade InteligenteAcessar o sistema

Auditorias da Qualidade: interna, externa e de fornecedor

A gestão de auditorias da qualidade no SGQ — Plataforma de Conformidade Inteligente reúne auditorias internas, externas e de fornecedores em um único módulo (M28), do planejamento à execução e ao registro dos achados. Cada achado de auditoria vira uma não conformidade vinculada por identificador, que abre uma ação corretiva (CAPA) e passa a contar como evidência no painel de conformidade — tudo rastreável e isolado por organização. Auditorias, não conformidades e CAPA formam o núcleo operacional do plano Essential, ao lado da gestão de documentos.

Resumo rápido

  • O módulo de Auditorias (M28) registra três tipos — interna, externa e de fornecedor — com planejamento, execução e registro dos achados na mesma base.
  • Cada auditoria tem código, título, tipo, escopo, responsável, data planejada e status (planejada, em execução, concluída ou cancelada); as listas têm busca por código, título ou responsável e filtro por status.
  • O achado vira não conformidade com origem "auditoria", vinculada por ID; a NC abre CAPA (plano de ação, M03) de forma idempotente, com prazo por severidade — crítica 7, maior 14 e menor 30 dias.
  • Auditoria, NC e CAPA podem ser vinculadas como evidência de um requisito normativo; o painel de conformidade é calculado (requisitos atendidos plenos ÷ total), nunca digitado à mão.
  • Base normativa: ISO 9001:2015, item 9.2 (auditoria interna), com o relatório guardado como documento controlado (M11).
  • API REST sob /api/sgq/auditorias e /api/sgq/nao-conformidades, com entitlement de módulo (M28 e M20), ACL por tags (m28 e m20, read/write) e isolamento multiempresa por organização.

O que é a gestão de auditorias da qualidade

Auditoria da qualidade é a avaliação sistemática, independente e documentada que verifica se o sistema de gestão atende aos requisitos aplicáveis e se é eficaz na prática. No SGQ, o módulo de Auditorias (M28) organiza esse trabalho em registros rastreáveis — planejamento, execução e registro dos achados — com encaminhamento direto para o tratamento das não conformidades. É o que faz de um software de auditoria da qualidade parte da operação, e não mais uma planilha paralela.

Cada auditoria é uma entidade própria, com código, título, tipo, escopo, responsável, data planejada e status. Os achados não ficam soltos: são registrados como não conformidades ligadas à auditoria por identificador, o que preserva a cadeia do achado até a ação corretiva e a evidência. A mesma estrutura serve à auditoria interna da qualidade, à auditoria externa e à de fornecedor.

Auditoria interna, externa e de fornecedor

O SGQ classifica cada auditoria em um de três tipos, alinhados à classificação usual de auditorias (primeira, segunda e terceira parte):

  • Interna (primeira parte): a própria organização audita o seu sistema de gestão para verificar conformidade e eficácia, em geral como preparação antes da certificação.
  • Externa: conduzida por terceiros — organismo de certificação ou cliente —, registrada e acompanhada na mesma base da organização auditada.
  • De fornecedor: avaliação de fornecedores e contratadas, útil para homologação e qualificação da cadeia de suprimentos.

O tipo é um atributo do registro, então listas, filtros e relatórios separam auditorias internas de externas e de fornecedor sem duplicar cadastro. É essa organização que torna a gestão de auditorias ISO 9001 previsível para quem conduz o programa ao longo do ano.

Planejamento: escopo, responsável, data e status

Ao planejar uma auditoria interna — ou de qualquer tipo — você define os campos que tornam o registro auditável:

  • Código e título: identificação única da auditoria.
  • Tipo: interna, externa ou de fornecedor.
  • Escopo: o que será auditado (processos, áreas, requisitos, normas).
  • Responsável: quem conduz a auditoria.
  • Data planejada: quando está prevista — base para acompanhar o programa ao longo do ano.
  • Status: planejada, em execução, concluída ou cancelada.

As listas de auditorias são paginadas e permitem busca por código, título ou responsável e filtro por status, o que facilita o planejamento de auditoria interna do início ao fim. Cada auditoria também pode referenciar um plano de ação (M03) e vincular o relatório final como documento controlado (M11), mantendo a evidência versionada.

Do achado de auditoria à não conformidade e CAPA

Quando uma auditoria aponta um desvio, o achado é registrado como não conformidade (NC) com origem "auditoria" e vínculo por ID à auditoria que o originou. O sistema valida que a auditoria vinculada pertence à mesma organização, preservando o isolamento multiempresa. A partir daí, a NC segue o ciclo de melhoria contínua:

  • Severidade: menor, maior ou crítica.
  • Abertura de CAPA: a NC gera uma ação corretiva (plano de ação, M03) de forma idempotente — acionar a rotina duas vezes não cria duas CAPAs.
  • Prazo por severidade: crítica em 7 dias, maior em 14 e menor em 30, contados a partir da abertura da CAPA; NCs crítica e maior nascem com prioridade alta.
  • Verificação de eficácia: possível só depois de a CAPA existir. Resultado eficaz encerra a NC e conclui a CAPA; ineficaz reabre o tratamento para nova ação.

Auditoria e evidência no painel de conformidade

Se a auditoria ou a não conformidade estiver ligada a um requisito de uma norma da biblioteca, ela passa a contar como evidência daquele requisito. O SGQ aceita cinco tipos de evidência vinculável: documento, auditoria, não conformidade, CAPA e treinamento. Assim, o próprio relatório de auditoria, a NC levantada e a CAPA que a trata sustentam o atendimento de um requisito, sem depender de declaração manual.

O painel de conformidade é sempre derivado: o percentual por norma é calculado como requisitos atendidos plenos dividido pelo total de requisitos — parciais, não atendidos e não avaliados não pontuam. Por isso o resultado de uma auditoria se reflete diretamente na prontidão para certificação, e nunca em um número editável à mão.

Auditoria interna na ISO 9001 (item 9.2)

A auditoria interna é uma exigência explícita da ISO 9001:2015, na cláusula 9 (avaliação de desempenho), item 9.2. A norma pede que a organização realize auditorias internas a intervalos planejados para verificar se o sistema de gestão da qualidade está conforme os seus próprios requisitos e os da norma, e se está efetivamente implementado e mantido.

O item 9.2.2 detalha o programa de auditoria: planejar, estabelecer, implementar e manter um ou mais programas; definir critérios e escopo de cada auditoria; selecionar auditores e conduzir auditorias assegurando objetividade e imparcialidade; reportar os resultados à gestão pertinente; tomar as correções e ações corretivas cabíveis sem demora indevida; e reter informação documentada como evidência.

O SGQ apoia cada um desses pontos: escopo e responsável ficam no registro da auditoria; os achados viram não conformidades e ações corretivas rastreáveis; e o relatório é guardado como documento controlado, servindo de informação documentada. As não conformidades e as CAPAs conectam a auditoria à cláusula 10 (melhoria), fechando o ciclo de correção.

API de auditorias, ACL e isolamento multiempresa

As auditorias e as não conformidades expõem uma API REST sob /api/sgq, útil para integrações e automações:

  • GET, POST e PUT em /api/sgq/auditorias (com GET por ID) — listar, consultar, criar e atualizar auditorias.
  • GET, POST e PUT em /api/sgq/nao-conformidades (com GET por ID) — listar, consultar, criar e atualizar não conformidades.
  • POST em /api/sgq/nao-conformidades/:id/abrir-capa — gerar a CAPA a partir da NC.
  • POST em /api/sgq/nao-conformidades/:id/eficacia — registrar a verificação de eficácia.

Os relacionamentos são sempre por identificador, nunca por texto livre: a auditoria referencia um plano de ação (M03) e um documento ou relatório (M11); a não conformidade referencia a auditoria de origem, a CAPA e, quando aplicável, o requisito normativo que vira evidência no painel.

O acesso é protegido em duas camadas independentes: o entitlement do módulo (M28 para auditorias, M20 para não conformidades), que decide se o recurso existe no plano da organização, e a ACL por perfil via tags (m28:read/m28:write e m20:read/m20:write), que decide o que cada pessoa pode fazer. Todas as consultas são filtradas por organização, de modo que os dados de auditoria de uma empresa nunca aparecem para outra.

Como planejar e executar uma auditoria da qualidade no SGQ

  1. Planejar a auditoria. Crie o registro com código, título, tipo (interna, externa ou de fornecedor), escopo, responsável e data planejada; o status inicial é "planejada".
  2. Executar a auditoria. Ao iniciar os trabalhos, mude o status para "em execução" e conduza a avaliação conforme o escopo e os critérios definidos.
  3. Registrar os achados como não conformidades. Cada desvio vira uma não conformidade com origem "auditoria", vinculada à auditoria por ID, com severidade menor, maior ou crítica.
  4. Abrir a CAPA. Gere a ação corretiva a partir da não conformidade; o prazo é definido pela severidade (crítica 7, maior 14, menor 30 dias) a partir da abertura da CAPA.
  5. Verificar a eficácia. Depois de a CAPA existir, registre o resultado: eficaz encerra a não conformidade e conclui a CAPA; ineficaz reabre o tratamento para nova ação.
  6. Concluir e arquivar o relatório. Finalize a auditoria com status "concluída" e vincule o relatório como documento controlado (M11), preservando a evidência para o painel de conformidade.

Perguntas frequentes

Quais tipos de auditoria o SGQ registra?

Três: interna (primeira parte), externa (por terceiros, como organismo de certificação ou cliente) e de fornecedor. O tipo é um atributo do registro, então é possível filtrar e relatar por tipo — inclusive a auditoria de fornecedores — sem duplicar cadastro.

A auditoria gera não conformidade automaticamente?

Cada achado é registrado como uma não conformidade com origem "auditoria", vinculada à auditoria por identificador. A partir daí, a NC abre uma CAPA e segue até a verificação de eficácia, mantendo a rastreabilidade do achado até a ação corretiva. A ligação é por ID; o sistema valida que a auditoria vinculada é da mesma organização.

Qual é o prazo da CAPA aberta a partir de um achado?

O prazo vem da severidade da não conformidade: crítica em 7 dias, maior em 14 e menor em 30, contados a partir da abertura da CAPA. NCs crítica e maior nascem com prioridade alta. A CAPA é criada como plano de ação (M03) de forma idempotente.

A auditoria conta como evidência no painel de conformidade?

Sim. Quando ligada a um requisito de uma norma da biblioteca, a auditoria, a não conformidade e a CAPA contam como evidência daquele requisito. O SGQ aceita cinco tipos de evidência: documento, auditoria, não conformidade, CAPA e treinamento. O percentual do painel é calculado a partir dessas evidências, nunca digitado à mão.

Em qual plano está o módulo de auditorias?

No plano Essential, ao lado de documentos, não conformidades e CAPA. É o núcleo operacional que toda empresa usa, antes das bibliotecas de requisitos e dos módulos adicionais do plano Professional.

Qual é a base normativa da auditoria interna?

A ISO 9001:2015 exige auditoria interna no item 9.2: auditorias a intervalos planejados, com programa definido, critérios, escopo, auditores imparciais, resultados reportados à gestão pertinente, correções e ações corretivas e retenção de informação documentada como evidência.

Como os dados de auditoria ficam isolados entre empresas?

A plataforma é multiempresa: cada consulta é filtrada por organização, o acesso é controlado por perfil (ACL por grupo e tags, M28 e M20) e as operações ficam registradas em trilha auditável. Os dados de auditoria de uma empresa nunca aparecem para outra.

SGQ — Plataforma de Conformidade Inteligente
Acessar o sistema