Procedimento de Intervenção das Equipas Auditoras em Auditorias a Sistemas de Gestão

Transcrição

1 1 Objectivo Definir as regras a ter em consideração no agendamento, planeamento e realização de auditorias de Certificação de Sistemas e emissão dos respectivos pareceres. 2 Âmbito Esta instrução de trabalho aplica-se a todas as auditorias de concessão, renovação e acompanhamento ou extraordinárias. 3 Referências ISO/IEC OGC0009 (IPAC) 4 Descrição 4.1 Agendamento das auditorias A nomeação das Equipas Auditoras nas auditorias de concessão/renovação é efectuada inserindo na Intranet a constituição das mesmas. Os auditores são automaticamente notificados pela Intranet, competindo ao Auditor Coordenador (AC) entrar em contacto com o Cliente para agendamento da data. Quando o AC insere a data acordada na Intranet, no Separador - Agendamento Auditorias no formato dia mês - ano automaticamente, gera um alerta para o escritório da EIC. O programa de auditorias é efectuado no início de cada ciclo de certificação, onde constam as actividades a desenvolver em cada ano, nomeadamente tempo e locais a auditar (separador agendamentos intranet), processos (separador comentários intranet) e âmbito (separador Formulário Principal intranet.) Relativamente aos locais, os mesmos poderão ser fixos ou temporários. No caso dos fixos, cabe à EIC determinar no programa quantos e quais serão, relativamente aos temporários, cabe à EIC determinar no programa quantos serão, cabendo à EA a escolha dos mesmos. Pode proceder-se a alterações pontuais em caso de necessidade (a pedido devidamente justificado do Cliente, do Auditor, por incompatibilidade de datas, ou outras). Os clientes são relembrados da data limite de realização da (s) auditoria (s) seguinte (s) (coincidente com a data de previsão registada na Intranet) na carta onde são informados da decisão sobre a auditoria de concessão/renovação ou seja, 12/24 meses sobre o último dia da auditoria de concessão (2ª fase) ou de eventual auditoria de seguimento. Os AC devem contactar os clientes, no mínimo com dois meses de antecedência, para acordar as datas das auditorias de acompanhamento. Em qualquer altura do ano, a EA pode visualizar, no programa informático - Intranet, o Plano de Acompanhamento das auditorias alocadas. As equipas devem informar a EIC da sua disponibilidade logo que possível. Em qualquer tipo de auditoria, a data deve ser confirmada pelo AC através de um , do qual tem que ser dado conhecimento ao escritório da EIC. Pág 1 de 13

2 4.2 Planeamento das Auditorias Generalidades O Plano de Auditoria deve ser efectuado de acordo com o modelo próprio da EIC, indicando as horas previstas de início e de fim de cada actividade, os processos que serão auditados (sempre que possível indicar de acordo com a terminologia utilizada pela organização auditada), os locais onde se desenvolverá a auditoria (ex. Sede no Porto, loja de Famalicão, obra XPTO em Bragança), bem como os elementos da Equipa Auditora presentes. No caso de Equipa Auditora com vários elementos, o Auditor Coordenador deve confirmar a possibilidade do Cliente acompanhar os elementos separadamente, uma vez que deve-se garantir a separação da EA em qualquer fase do ciclo, bem como assegurar tendo sempre em atenção ao mencionado no Guia Interpretativo ISO/IEC OGC009: O conceito de homem-dia implica que cada auditor esteja a actuar autonomamente e a entrevistar interlocutores diferentes... Os Peritos Técnicos só podem auditar acompanhados de auditor ou auditor coordenador. O Auditor Coordenador deve acautelar a competência dos elementos da equipa auditora quando prevê os diferentes processos/actividades/áreas a serem auditadas, estando a informação sobre tempos/disciplina de cada auditor nos comentários do respectivo processo. Qualquer dúvida deve ser esclarecida com o escritório da EIC. Está prevista ainda a presença de auditores na qualidade de formação (quer como técnico quer como coordenador). Nestas situações o auditor em formação, será acompanhado pelo auditor Coordenador ou Técnico. Especial cuidado deve ser tomado por Auditores Coordenadores em auditorias de SGI (Sistemas Integrados) em organizações com múltiplas actividades, acautelando as valências técnicas de cada auditor. Ao planear uma auditoria deve ter-se em conta que um dia de auditoria na organização são 8 horas de trabalho, não podendo aumentar o nº de horas para dar resposta ao dimensionamento da auditoria, i.e., se a dimensão é 1,5 homem/dia, o plano não pode ser feito com 1 dia de auditoria de 12 horas. O tempo gasto em deslocações não é contabilizado como tempo de auditoria. Nas auditorias com múltiplos locais, o Separador - Formulário Principal indica todos os locais no âmbito em certificação/certificado, no Separador Agendamento Auditorias entrando em cada uma das auditorias previstas estão indicados o nº de locais a auditar (mínimos). Na elaboração do plano, o Auditor Coordenador (AC) deverá ter em consideração as indicações descritas no agendamento da auditoria (intranet) em causa bem como orientações dadas pelo back-office. A orientação tem a preocupação de seleccionar de entre os locais os mais representativos, procurando abranger uma amostra que permita concluir da aplicação uniforme do SG em toda a organização, tendo em consideração aspectos logísticos e tempo de transporte e dialogando com o Cliente para esclarecer qualquer dúvida que possa surgir. Quando a selecção do AC não coincida com as orientações do back-office esta tem que ser previamente aprovada. Nas auditorias de renovação e acompanhamento, a escolha da amostra deve ser efectuada procurando abranger locais ainda não auditados, a não ser que em auditorias anteriores se tenham constatado não conformidades das quais seja necessário verificar a eficácia da Pág 2 de 13

3 implementação ou tenha havido reclamações de terceiros só susceptíveis de verificar em locais já auditados. No caso de organizações com locais temporários (ex: Clientes, Obras) deve o Auditor Coordenador solicitar antecipadamente a lista de locais temporários à data da auditoria, procurando avaliar qual os locais mais relevantes a serem avaliados Planeamento de auditorias a organizações com múltiplos locais Considera-se uma organização com múltiplos locais aquela que possui uma sede e vários locais com actividades similares. Para auditar deve-se tomar uma amostra dos múltiplos locais. Neste caso os diversos locais são incluídos no certificado. O procedimento de amostragem deve aplicar-se no planeamento da auditoria. A Equipa Auditora (EA) deve confirmar o princípio da homogeneidade de todos os locais. Essa confirmação deve ser validada durante a auditoria de 1ª Fase. Amostragem dos Locais A amostra será composta de locais seleccionados para que, no seu conjunto, representem todos os tipos de locais existentes. Tendo em conta os critérios, o número de locais auditados durante o período de validade do certificado deve ser o maior possível. A EA, ao planear a auditoria, deve ter em conta o seguinte: Pelo menos 25% da amostra deve ser aleatória; Em cada local seleccionado, devem-se auditar todos os requisitos do sistema que sejam aplicáveis; A sede tem que ser auditada em todas as auditorias (concessão, acompanhamento e renovação); Quando a organização tenha um sistema hierárquico de delegações (ex. oficina central, oficinas nacionais, sucursais) a amostragem deve ser aplicada a cada nível; Os critérios de selecção dos locais (efectuados no programa) devem ter em consideração, nomeadamente, os seguintes critérios: Resultados de auditorias anteriores; Registos de reclamações ou outros aspectos relevantes em relação a acções correctivas ou preventivas; Variações significativas na dimensão dos locais; Variações significativas nos procedimentos de trabalho; Modificações significativas desde a última auditoria; Dispersão geográfica. O número de locais mínimos a visitar em cada uma das auditorias, assim como a metodologia (sumária) do Processo de Auditoria, são as seguintes: Auditoria de Concessão O tamanho da amostra tem que ser igual à raiz quadrada do nº de locais (sem contar com a sede), arredondando-se o resultado até ao número inteiro superior. Exemplo: 1 sede sempre auditada Pág 3 de 13

4 8 stands amostra 3 32 oficinas amostra 6 Auditoria de Acompanhamento O tamanho da amostra tem que ser igual à raiz quadrada do nº de locais (sem contar com a sede), multiplicado por 0,6, arredondando o resultado até ao nº inteiro imediatamente superior. Auditoria de Renovação Em princípio o tamanho da amostra pode ser igual ao da auditoria de concessão. No entanto, na maioria das situações, se o sistema demonstrou eficiência (ausência de auditorias extraordinárias durante o ciclo de certificação), o tamanho da amostra deve ser reduzido multiplicando por 0,8 a raiz quadrada do nº de locais (sem contar com a sede), arredondando o resultado até ao nº inteiro imediatamente superior. O tamanho mínimo da amostra pode ser revisto em função da análise de risco das actividades cobertas pelo certificado e tomando em consideração os seguintes factores: O tamanho e nº de colaboradores de cada local; A complexidade das actividades e do(s) sistema(s); Possíveis variações nos procedimentos de trabalho de local para local; Possíveis variações nas actividades desenvolvidas em diferentes locais; Registos de reclamações e não conformidades detectadas; Para a certificação de SGA, além dos requisitos mencionados anteriormente, deve-se ter em conta, aquando da revisão do nº de locais: os riscos potenciais associados; os requisitos legais relativos ao ambiente; os aspectos ambientais identificados em cada local; as instalações incluídas dentro de cada local Planeamento de auditorias a organizações com locais temporários Consideram-se organizações com locais temporários nas seguintes situações: 1) Locais onde a organização realiza as suas actividades para um projecto ou contrato específico, tais como: Obras de construção; Manutenção de edifícios e instalações industriais; Operações de depuração. 2) Caso em que uma pessoa ou um pequeno núcleo realiza as suas actividades nas instalações do cliente ou noutras especificadas pelo cliente, ou realiza as suas actividades com grande mobilidade, tais como: Reparação de electrodomésticos; Montagem, instalação ou reparação de elevadores; Instalação de uma fotocopiadora; Instalação de software; Visitas comerciais; Segurança; Limpezas. Pág 4 de 13

5 Neste tipo de organizações pode-se planear a auditoria com base numa amostra dos locais temporários onde se realizam actividades quase idênticas. A sede é auditada anualmente. A gestão de auditorias deste tipo de organização efectua-se tendo em conta o leque de capacidades da organização (ex. obras de engenharia civil, obras de construção civil, instalações, etc) e a fase em que se encontram os diferentes projectos em curso (ex. revisão do contrato, planeamento, preparação do local, construção, manutenção, etc.), o tamanho dos projectos em curso e os riscos associados a cada projecto. Para se poder aplicar o critério da amostragem a uma organização com estas características, a empresa deve aplicar o mesmo sistema de gestão a todos os projectos. Neste caso os locais não são incluídos no certificado. Para decidir sobre o nº de locais a auditar (tamanho da amostra) deve-se usar o seguinte critério: Tamanho da amostra igual a 0,3 x a raiz quadrada do nº de locais temporários à data da auditoria, arredondado ao inteiro superior com um valor mínimo de 2 e máximo de 20. Para seleccionar os locais devem utilizar-se os seguintes critérios: - Criticidade das actividades que se estão a realizar no momento da auditoria; - Fase do projecto; - Abrangência da capacidade da empresa; - Localização dos projectos; - Grau de implicação da empresa e do seu cliente. Todos os locais temporários são auditáveis, existam ou não obrigações contratuais ente a organização e o seu cliente no que respeita ao sistema de gestão da qualidade e/ou ambiente. Caso particular na certificação ambiental Na certificação ambiental de organizações de tratamento de resíduos ou depuração de águas, considerando o seu risco elevado, pode aplicar-se aos grupos de locais similares (aspectos e actividades) a seguinte amostra: Se a organização tem X locais, a amostra será de X=Y, seleccionado de acordo com os critérios: a) Locais que não foram auditados na 1ª Fase, a não ser que existam problemas importantes nestes; b) De entre estes seleccionam-se os que têm um período maior de concessão do contrato para realização das actividades; c) Da amostra restante Z=X-Y faz-se um grupo de Z e relativamente a estes locais solicita-se à organização que ponha à disposição da EIC a seguinte documentação: Contrato; Manual de Exploração; Plano de Vigilância Ambiental; Modificação destes documentos (se aplicável); Identificação de requisitos e legais e outros; Evidências da avaliação do cumprimento dos requisitos legais e outros. A documentação será analisada pela EA com o objectivo de detectar se existe falta de coerência entre os documentos, ou de verificar se cumpre os requisitos aplicáveis. Se necessário pode aumentar-se o tamanho da amostra para garantir confiança no sistema. Pág 5 de 13

6 Auditoria de Acompanhamento O tamanho da amostra tem que ser igual à raiz quadrada do nº de locais (sem contar com a sede), multiplicado por 0,15 arredondando o resultado até ao nº inteiro imediatamente superior, com mínimo de 1 local. Auditoria de Renovação Em princípio, o tamanho da amostra pode ser igual ao da auditoria de concessão. No entanto, na maioria das situações, se o sistema demonstrou eficiência (ausência de auditorias extraordinárias durante o ciclo de certificação), o tamanho da amostra deve ser reduzido multiplicando por 0,2 a raiz quadrada do nº de locais (sem contar com a sede), arredondando o resultado até ao nº inteiro imediatamente superior, com mínimo de 2 locais Planeamento de auditorias a organizações com vários locais considerados independentes Consideram-se as organizações em que o risco associado à gestão do sistema (de qualidade ou ambiental) faz com que não se possa aplicar o critério da amostragem, já que o mesmo não seria suficiente para ter a adequada confiança no funcionamento dos sistemas. Assim, para a gestão ambiental, não se pode aplicar o critério da amostragem a organizações pertencentes aos códigos industriais (C e D do código NACE) e consideram-se locais independentes, mesmo que pertençam à mesma empresa. 4.3 Requisitos mínimos a auditar Auditoria de Concessão Na 1ª fase da Auditoria de Concessão têm que se levar a cabo as seguintes acções: Avaliar a documentação do Sistema do Cliente; Avaliar a localização do cliente e as condições específicas do local e trocar informações com o pessoal do cliente para determinar o grau de preparação para a Auditoria de Concessão: 2ª fase; Avaliar o estado do cliente e a sua compreensão no que refere aos requisitos da norma, em particular com respeito à identificação de aspectos chave ou significativos de desempenho, de processos, de objectivos e do funcionamento do sistema de gestão; Avaliar as auditorias internas e a revisão pela gestão a serem planeadas e executadas, e se o nível de implementação do sistema de gestão comprova que o cliente está preparado para a Auditoria de Concessão: 2ª Fase. Reunir a informação necessária no que refere ao âmbito do sistema de gestão, aos processos e à(s) localização(ões) do cliente, bem como aos aspectos estatutários e regulamentares relacionados, incluindo o seu cumprimento (por exemplo, aspectos da qualidade, ambientais e legais aplicáveis ao funcionamento da organização cliente, riscos associados, etc); Analisar a afectação de recursos para a Auditoria de Concessão: 2ª fase; Permitir o planeamento da Auditoria de Concessão: 2ª Fase, obtendo uma compreensão suficiente do sistema de gestão do cliente e do seu funcionamento no local, no contexto de possíveis aspectos significativos; Na 2ª Fase da Auditoria de Concessão devem ser auditados todos os requisitos da Norma, acompanhando as acções correctivas/preventivas, decorrentes das NC registadas na 1ª fase da auditoria, com vista ao seu encerramento. Pág 6 de 13

7 Tanto na 1ª como na 2ª fase de Concessão, poderá existir Não Conformidades no Sistema. A sua existência requer resposta por parte do cliente e futura análise quer da EA, como da Supervisão Técnica/Comissão de Decisão. Auditoria de Acompanhamento Os requisitos que são obrigatoriamente auditados nas auditorias de acompanhamento são os mencionados no Anexo I. Auditoria de Renovação O objectivo da renovação é o de assegurar que, periodicamente, o Sistema certificado continua a cumprir na totalidade os requisitos da norma de referência - incluindo a melhoria contínua - e que os objectivos e política da qualidade estabelecidos, entre outros, são ainda apropriados e atingidos. Na Auditoria de Renovação devem ser auditados todos os requisitos da Norma, efectuando o acompanhamento das acções correctivas/preventivas decorrentes das NC registadas durante o ciclo anterior, com vista ao seu encerramento e considerando: A eficácia do SG na sua totalidade, face às alterações internas e externas e à sua contínua relevância e aplicabilidade ao âmbito da certificação; O compromisso demonstrado para manter a eficácia e melhoria do SG, de modo a melhor o desempenho global; Se o funcionamento do SG certificado contribui para alcançar a política e os objectivos da organização. Em qualquer tipo de auditoria, o AC deve enviar atempadamente o plano da auditoria, no limite com três dias de antecedência, dando simultaneamente conhecimento do mesmo ao escritório da EIC. 4.4 Realização da Auditoria A execução da auditoria corresponde à avaliação do sistema implementado, nas instalações do Cliente, verificando a sua organização, o grau de implementação dos procedimentos, como são conduzidos os processos e a manutenção dos registos que constituem evidências históricas das operações. No caso de a EA ser composta, para além do Coordenador, por outros auditores com competências técnicas demonstradas, o Coordenador deverá estabelecer a divisão da EA. Os auditores tecnicamente competentes no código EA/NACE correspondente à actividade do Cliente devem sempre avaliar os processos correspondentes às seguintes funções: Infra-estruturas; Ambiente de Trabalho; Realização do Produto; Controlo do Produto não Conforme. Quando da EA faz parte um Perito Técnico, este não pode actuar autónomo, devendo o Auditor Coordenador/Auditor Técnico acompanhar toda a avaliação. A auditoria inicia-se com uma reunião de apresentação entre a EA e os representantes do Cliente com responsabilidades no Sistema. Na reunião inicial, coordenada pelo Auditor Coordenador, deverá ser analisado e confirmado o âmbito da certificação, o plano da auditoria, as pessoas que irão ser contactadas, devendo ser solicitado ao Cliente a nomeação de responsáveis para acompanhar continuamente a auditoria. Pág 7 de 13

8 4.4.1 Relatório de Auditoria No final da auditoria, a EA reúne-se para elaborar o relatório final. A auditoria termina com a realização de uma reunião final entre a EA e a Gestão da Organização Cliente. A metodologia de preenchimento do relatório de auditoria, está descrita na IG 07. Nesta reunião, o Auditor Coordenador deve informar o Cliente das principais constatações, das não conformidades assinaladas e da sequência do processo - nomeadamente a obrigatoriedade da resposta do Cliente. O Auditor Coordenador assegura que o original do relatório é assinado pela EA e pelo Cliente. A cópia do relatório é entregue ao Cliente. O original é enviado para a EIC pelo Auditor Coordenador. Caso seja possível o relatório deve ser preenchido directamente na Intranet, exportado para Word e impresso para assinatura. Se o relatório não for preenchido na Intranet aquando da auditoria, logo que possível deverá ser registado informaticamente na Intranet Separador Relatório de Auditoria, devendo também ser deixado o respectivo pdf nas instalações do cliente. Após conclusão da auditoria, a EA tem de enviar à EIC, no prazo máximo de 3 dias, a seguinte documentação: MG 55 Relatório de Auditoria de Certificação (original); MG 67 Lista de Documentos e Referências Analisadas (aplicável ao Relatório de Auditoria de Certificação) ; Nota de Honorários MH 06; MH 08 Termo de Confidencialidade e Conflito de Interesses MG 56 Registo de Ocorrências em Auditoria ; Versão Digital do Relatório A documentação fornecida é arquivada em pasta própria, como suporte para o acompanhamento do processo Parecer da EA Após recepção da resposta do Cliente (via postal/fax ou ), a EIC faz upload da mesma na intranet, no separador Documentação, sendo todos os membros da Equipa Auditora notificados por que a mesma se encontra disponível na intranet para consulta. A emissão do parecer final é de responsabilidade do Auditor Coordenador, considerando a opinião de cada membro da equipa. O parecer não deverá ser emitido em prazo superior a 7 dias calendário. Caso necessário deverá o Auditor Coordenador solicitar, através de , esclarecimentos ou evidências ao Cliente, enviando o mesmo com conhecimento do escritório da EIC. O parecer deve ser emitido, em nome de toda a EA, preenchendo na Intranet, Separador Parecer EA/ST/CD. Quando informar o escritório de que o parecer se encontra emitido, o AC deverá enviar a troca de s com os outros elementos da equipa para fundamentar a posição como sendo a final de toda a EA. O parecer da EA deve fazer uma análise global sobre o sistema de gestão auditado e, em face da resposta analisada, deve propor: Concessão da certificação Pág 8 de 13

9 ou Auditoria de Seguimento, quando for necessário fazer a avaliação da implementação das acções correctivas no Cliente por impossibilidade de estas poderem ser fechadas documentalmente, ou quando o sistema e a resposta não permitam verificar a implementação em conformidade com os requisitos do referencial normativo; A EA deve enviar à EIC, no prazo máximo de uma semana, a seguinte documentação: - Registos da auditoria; - Documentação do cliente que lhe foi fornecida pela EIC ou a que teve acesso durante a realização da auditoria, incluindo a resposta do Cliente ao relatório. No escritório, todo o processo, incluindo a proposta da EA, é analisado, sendo depois tomada uma decisão final. 4.5 Auditorias Extraordinárias A EIC pode desencadear uma auditoria extraordinária decorrente de uma das seguintes situações: Necessidade de verificar a implementação de acções correctivas decorrentes de não conformidades detectadas em auditoria; Reclamação/informação apresentada por entidade externa à EIC de que o SQ do Cliente não cumpre com os requisitos do referencial aplicável; Alterações introduzidas pelo Cliente que afectam a sua actividade e têm impacto no funcionamento do seu SQ. A constituição da EA, auditoria e relatório seguem o procedimento definido para os acompanhamentos. 4.6.Extensão do âmbito (inclusão de novos locais/actividades/processos) Quando uma organização certificada deseja incluir novo(s) local(ais)/actividade(s)/processo(s) no âmbito do certificado, este(s) deve(m) ser auditado(s) antes de inclusão no certificado, pelo que o Cliente tem que, antecipadamente, enviar um Pedido de Extensão à EIC. A dimensão da auditoria e constituição da EA terá em conta o novo âmbito. No caso de novos locais, se coincidir com uma auditoria de acompanhamento ou renovação, esta situação não será considerada para dimensionar o tamanho da amostra. Uma vez incluído no certificado, o novo local considerar-se-á dentro do grupo total para cálculo do tamanho da amostra para as próximas auditorias de acompanhamento ou renovação. Pág 9 de 13

10 Anexo I Os requisitos, por referencial, que são obrigatoriamente auditados nas auditorias de acompanhamento são: Requisitos ISO Comprometimento da Gestão 5.3 Política da qualidade 5.4 Planeamento 5.6 Revisão pela gestão Comunicação com o Cliente, nomeadamente sobre os aspectos que se prendem com o registo e tratamento de Reclamações de terceiros 7.5 Produção e fornecimento do serviço 8.2 Monitorização e medição 8.5 Melhoria Requisitos ISO Política Ambiental 4.3 Planeamento Controlo Operacional Preparação e capacidade de resposta a emergências Avaliação da Conformidade Não conformidades, AC e AP Auditoria Interna 4.6 Revisão pela Gestão Pág 10 de 13

11 Requisitos ISO Requisitos gerais 5.3 Planeamento do Sistema da Segurança Alimentar 5.8 Revisão pela gestão 7.2 Programa de pré-requisitos (PPRs); 7.3 Etapas preliminares à análise de perigos 7.4 Análise de perigos 7.5 Estabelecimento de programas pré requisitos operacionais 7.6 Estabelecimento do plano HACCP 7.8 Planeamento da verificação 7.9 Sistema de rastreabilidade 7.10 Controlo das não conformidades 8.3 Controlo da medição e monitorização 8.4 Verificação do sistema de gestão da segurança alimentar 8.5 Melhoria Requisitos NP IDI Política de Investigação, Desenvolvimento e Inovação Revisão pela Gestão 4.3 Planeamento da Investigação, Desenvolvimento e Inovação Actividades IDI 4.5 Avaliação de Resultados e Melhoria Pág 11 de 13

12 Requisitos OHSAS 18001:2007/NP 4397: Política da SST 4.3 Planeamento Controlo Operacional Prevenção e resposta a emergências Avaliação da Conformidade Investigação de incidentes, não conformidades, acções correctivas e acções preventivas Auditoria Interna 4.6 Revisão pela Gestão Requisitos NP : Política da responsabilidade social 3.5 Planeamento operacional Requisitos legais e outros Aspectos da responsabilidade social Controlo operacional Monitorização e medição Avaliação da Conformidade Não conformidades Auditoria Interna Revisão pela Gestão Pág 12 de 13

13 Requisitos ISO\IEC Establish the ISMS (Estabelecer o SG Segurança de Informação) - ISO/IEC 27006:2007 ( , a) Implement and operate the ISMS (Implementação e operação do SG Segurança de Informação) Monitor and review the ISMS (Manutenção e revisão do SG Segurança de Informação) Maintain and improve the ISMS (Manutenção e melhoria do SG Segurança de Informação) 5.1 Management commitment (Comprometimento da Gestão) 6 Internal ISMS audits (Auditoria(s) Interna(s) SG Segurança de Informação) - ISO/IEC 27006: a) 7 Management review of the ISMS (Revisão pela Gestão do SG Segurança de Informação) - ISO/IEC 27006: a) 8 ISMS improvement (Melhoria SG Segurança Informação) - ISO/IEC 27006: a) Rever a implementação de todos os controlos do Anexo A da ISO/IEC 27001: 2005, identificados como aplicáveis no SG Segurança de Informação (conforme recomendação do Anexo D Ponto D.1 da ISO/IEC 27006:2007) Pág 13 de 13