Auditoria interna de SST: não conformidades, CAPA e evidências (módulo M28)
A auditoria interna de SST é a verificação periódica e documentada de que o sistema de gestão de saúde e segurança do trabalho cumpre a NR-01, as demais normas aplicáveis e a política interna da organização. No SIGSSST, ela é o módulo M28: planeja auditorias por norma ou tema, registra evidências, abre não conformidades (NCs) com criticidade e transforma cada NC em ação corretiva rastreável no plano de ação — sem que o histórico possa ser apagado.
Resumo rápido
- O módulo M28 é o SSOT (dono do dado) dos planos e execuções de auditoria interna e das não conformidades que elas identificam.
- Toda NC exige criticidade (baixa, média, alta ou crítica) e justificativa, e vira automaticamente uma ação corretiva no plano de ação (M03), com referência à origem por ID.
- Fechar uma auditoria ou uma NC exige evidência: os relatórios são assinados e arquivados no acervo de documentos (M11), e o histórico não é apagável — só cancelado ou retificado com trilha.
- As entradas da auditoria vêm da matriz de requisitos legais (M18) e da correlação com a ISO 45001 (M24); os resultados alimentam os indicadores (M10) e os prazos recorrentes (M09).
- Base normativa: a NR-01 pede acompanhamento e avaliação contínua do GRO, e a ISO 45001:2018 exige auditorias internas a intervalos planejados (cláusula 9.2).
O que é a auditoria interna de SST
Auditoria interna de SST é um processo independente e documentado para verificar, a intervalos planejados, se o sistema de gestão de SST está implementado, é eficaz e atende aos requisitos legais e à política da empresa. Diferente da fiscalização externa, ela é conduzida pela própria organização para encontrar e corrigir desvios antes que virem acidente, autuação ou não conformidade em certificação.
No SIGSSST, o módulo M28 é o dono (SSOT) de dois objetos: a AuditoriaInterna (com plano, escopo, data de execução, status e relatório vinculado ao acervo de documentos) e a NC_Auditoria (a não conformidade ligada a um requisito, com criticidade, descrição e status). O ciclo de status acompanha o trabalho real: planejada, em execução, relatório em revisão, NC aberta, concluída ou cancelada.
Planejamento anual e checklists por norma/tema
A auditoria começa por um programa anual. Cada auditoria é cadastrada com um plano (campo obrigatório) e um escopo (unidade, setor, processo ou norma), associada a um checklist por norma ou tema — por exemplo, NR-01, gestão de EPI, terceiros e contratadas ou riscos psicossociais. O planejamento distribui as auditorias ao longo do ano, e a periodicidade recorrente alimenta o cronograma de vencimentos (M09), que agenda automaticamente a próxima execução.
Os critérios não são reinventados a cada ciclo: eles vêm da matriz de requisitos legais (M18), que consolida NRs, leis e convenções coletivas aplicáveis, e da matriz de correlação com a ISO 45001 (M24). Assim, o checklist da auditoria reflete sempre a versão vigente dos requisitos.
Execução: registro de evidências e não conformidades
Na execução, o auditor percorre o checklist e registra o resultado de cada item com a evidência correspondente — documento, foto, laudo ou registro de outro módulo. Quando um item não atende ao requisito, abre-se uma não conformidade (NC).
Cada NC é obrigada a ter criticidade (baixa, média, alta ou crítica) e uma descrição que a fundamenta, além da referência ao requisito auditado (M18/M24). Essa exigência evita NCs vagas e permite priorizar a correção pelo risco. As evidências coletadas são referenciadas no acervo documental (M11) por ID, sem duplicar arquivos.
NCs e ações corretivas integradas ao plano (M03)
Toda NC de auditoria gera automaticamente uma ação no plano de ação do PGR (M03), mantendo o vínculo de origem (origem_modulo igual a M28 e o ID da NC). É o mesmo motor que trata as não conformidades do checklist (M01) e das inspeções de segurança (M20): a correção não fica presa em um relatório — entra no fluxo com responsável, prazo e status.
A ação segue a lógica de CAPA (ação corretiva e preventiva): trata a causa, não apenas o sintoma. Concluir uma ação exige evidência mínima registrada no M11, e o plano dispara notificações de vencimento, atraso e escalonamento hierárquico até o encerramento.
Relatórios assinados e acompanhamento de CAPAs
Ao fim de cada auditoria, o M28 gera um relatório que é assinado e arquivado como documento no acervo (M11). O acompanhamento das CAPAs — as ações abertas a partir das NCs — permanece visível até que cada uma seja verificada e encerrada com evidência de eficácia.
O fechamento é condicionado: uma auditoria com NC aberta não migra para concluída sem que as ações estejam encaminhadas. Isso preserva a rastreabilidade completa do achado à correção comprovada.
Entradas: requisitos legais (M18) e correlação ISO (M24)
A qualidade da auditoria depende de critérios corretos. O M28 recebe as entradas dos módulos que definem o que deve ser verificado e onde estão as provas:
- Matriz de requisitos legais (M18): catálogo versionado de NRs, leis, CCT e normas aplicáveis por empresa, unidade e atividade — define o que auditar e a base normativa de cada item.
- Correlação ISO 45001 × NR-01 × módulos (M24): prepara auditorias e certificação integradas, ligando cada requisito ISO aos módulos do sistema.
- Acervo de documentos e evidências (M11): fonte única das provas, referenciadas por ID e sem duplicidade.
- Módulos operacionais auditados (M01 a M20): checklist, riscos, treinamentos, EPI, inspeções e ocorrências como matéria da auditoria.
Indicadores (M10) e histórico não apagável
Os resultados da auditoria alimentam os indicadores de SST (M10): número de NCs por criticidade, percentual de ações concluídas no prazo e conformidade geral entram nos painéis e servem de insumo para a análise crítica pela direção (M19).
O histórico de auditorias e NCs é preservado por princípio: não há exclusão operacional. Um registro só pode ser cancelado ou retificado, sempre com trilha de auditoria (quem, quando e por quê). Essa imutabilidade é o que dá valor probatório ao acervo diante de fiscalização, cliente ou organismo certificador.
Base normativa (NR-01 e ISO 45001, cláusula 9.2)
A NR-01 (Portaria MTE nº 765, de 15/05/2025) estrutura o Gerenciamento de Riscos Ocupacionais (GRO) e exige que a organização acompanhe e avalie continuamente suas ações de prevenção. As auditorias internas periódicas de conformidade e as análises críticas do sistema de gestão são os mecanismos de controle e de evidência desse acompanhamento — os relatórios de auditoria são registros esperados, com frequência tipicamente semestral ou anual.
A exigência formal de auditoria interna a intervalos planejados vem da ISO 45001:2018, cláusula 9.2 (auditoria interna), complementada pela cláusula 10.2 (incidente, não conformidade e ação corretiva) e pelas diretrizes da ISO 19011:2018 para condução de auditorias. O M28 operacionaliza esse ciclo para empresas que buscam conformidade NR-01 e, quando aplicável, certificação ISO 45001.
Perguntas frequentes
O que é auditoria interna de SST?
É a verificação periódica, conduzida pela própria organização, de que o sistema de gestão de saúde e segurança do trabalho atende à NR-01, às demais normas aplicáveis e à política interna. Ela identifica não conformidades e gera ações corretivas antes de fiscalizações externas ou incidentes.
Qual a diferença entre auditoria interna (M28), checklist de conformidade (M01) e análise crítica (M19)?
O checklist M01 avalia a conformidade item a item da NR-01 com score. A auditoria interna M28 é um processo mais amplo, com planejamento por norma ou tema, evidências e NCs auditadas. A análise crítica M19 é a avaliação do sistema pela direção. Os três se conectam: as NCs viram ações no plano de ação (M03) e os indicadores do M10 alimentam a análise crítica.
O que é CAPA na auditoria?
CAPA é a ação corretiva e preventiva. Cada não conformidade encontrada na auditoria gera uma CAPA no plano de ação (M03), com responsável, prazo e evidência de execução, tratando a causa do desvio e não apenas o sintoma.
A auditoria interna é obrigatória na NR-01?
A NR-01 exige o acompanhamento e a avaliação contínua do GRO, e o manual de implementação trata as auditorias internas periódicas e as análises críticas como mecanismos de controle e de evidência. A exigência formal de auditoria interna a intervalos planejados é da ISO 45001:2018 (cláusula 9.2), relevante para quem busca certificação.
O histórico de auditorias pode ser apagado?
Não. Planos, execuções e NCs não têm exclusão operacional; um registro só pode ser cancelado ou retificado, sempre com trilha de auditoria. Isso preserva o valor probatório das evidências diante de fiscalização ou certificação.
De onde vêm os critérios auditados?
Da matriz de requisitos legais (M18), que consolida NRs, leis e convenções aplicáveis, e da matriz de correlação com a ISO 45001 (M24). As evidências são referenciadas no acervo de documentos (M11), sempre na versão vigente dos requisitos.
Testar grátis com Google