Checklist de auditoria interna ISO 9001: o que verificar em cada requisito
Existe uma diferença enorme entre "fazer a auditoria interna" e "passear pela empresa com uma prancheta". O que separa as duas é o checklist. Um bom checklist de auditoria transforma a norma — que é abstrata e cheia de "a organização deve" — em perguntas concretas que qualquer auditor consegue fazer no chão de fábrica, na sala da qualidade ou no escritório do RH.
Neste guia você tem um roteiro de checklist de auditoria interna da ISO 9001:2015 requisito por requisito, do 4 ao 10. Para cada bloco: o que perguntar, qual evidência pedir e onde a maioria das empresas tropeça. Não é para decorar — é para adaptar à sua realidade e usar como espinha dorsal do seu programa de auditoria. Se você ainda não montou o programa em si (quem audita, quando, com que frequência), vale ler antes o passo a passo da auditoria interna da qualidade; aqui o foco é o conteúdo do checklist.
Como usar este checklist de auditoria
Antes das perguntas, três regras que fazem a diferença entre um checklist útil e um formulário morto:
- Pergunta aberta + evidência. Não pergunte "vocês controlam documentos?" (a resposta é sempre "sim"). Pergunte "me mostra a versão vigente deste procedimento" e verifique. Auditoria é ver, não ouvir.
- Registre a evidência, não só o "OK". Ao lado de cada item, anote o que você viu (nome do documento, número do registro, data). É isso que sustenta o achado depois — e o que prova que a auditoria aconteceu de verdade.
- Classifique cada achado. Conforme, observação (oportunidade de melhoria) ou não conformidade. Todo item verificado recebe uma dessas marcações.
💡 Estruture o checklist em quatro colunas: requisito | o que verificar (pergunta) | evidência encontrada | situação. Essa tabela simples é 90% do que você precisa — e é exatamente o formato que um checklist pronto já entrega, poupando o trabalho de traduzir a norma em perguntas.
Requisito 4 — Contexto da organização
É onde o sistema se conecta ao negócio real. O que verificar:
- A organização determinou as questões internas e externas relevantes (contexto)? Existe evidência — uma análise, uma matriz SWOT, uma ata de reunião?
- As partes interessadas relevantes e seus requisitos foram identificados (clientes, órgãos reguladores, fornecedores)?
- O escopo do SGQ está definido, documentado e é coerente com o que a empresa faz? Exclusões estão justificadas?
- Os processos do sistema foram determinados, com suas entradas, saídas, sequência e interação (mapa de processos)?
Onde tropeça: contexto e partes interessadas viram um documento genérico feito uma vez e nunca revisado. O auditor esperto cruza isso com a realidade — se o mercado mudou e o documento não, é observação na certa.
Requisito 5 — Liderança
Aqui você audita a alta direção, não a qualidade. O que verificar:
- A política da qualidade está definida, é apropriada ao contexto, foi comunicada e as pessoas a compreendem (não precisam recitar, mas sabem o que significa no trabalho delas)?
- Os objetivos da qualidade derivam da política, são mensuráveis e têm responsáveis?
- A alta direção demonstra comprometimento? Busque evidência: participação na análise crítica, recursos liberados, prioridade dada às ações da qualidade.
- Papéis, responsabilidades e autoridades estão atribuídos e são conhecidos?
⚠️ O erro clássico do requisito 5 é a política pendurada na parede que ninguém entende. Pergunte a um operador o que a política da qualidade tem a ver com o trabalho dele. Se a resposta for "sei lá, isso é da qualidade", a comunicação falhou — e isso é achado de liderança, não de treinamento.
Requisito 6 — Planejamento
O coração do pensamento baseado em risco. O que verificar:
- Os riscos e oportunidades foram identificados a partir do contexto e das partes interessadas? Há ações planejadas para tratá-los?
- As ações para os riscos estão integradas aos processos — ou ficaram numa planilha isolada que não conversa com a operação?
- Os objetivos da qualidade têm plano: o que será feito, com que recursos, por quem, até quando e como avaliar o resultado?
- As mudanças no sistema são planejadas de forma controlada?
Onde tropeça: a matriz de riscos existe, mas é um exercício de fim de ano sem conexão com o dia a dia. Para auditar isso com profundidade, ajuda entender como o requisito funciona na prática — veja o guia de gestão de riscos na ISO 9001.
Requisito 7 — Apoio
É o requisito mais "recheado" — reúne recursos, pessoas, documentos. Divida a verificação:
| Item (7.x) | O que verificar |
|---|---|
| Recursos e infraestrutura | Máquinas, ambiente e recursos necessários estão disponíveis e adequados? |
| Recursos de monitoramento e medição | Instrumentos que afetam a qualidade são calibrados/verificados, com registro e identificação? |
| Competência (7.2) | As pessoas cujo trabalho afeta a qualidade têm competência? Há matriz de competências, registros de treinamento, avaliação de eficácia? |
| Conscientização (7.3) | As pessoas sabem da política, dos objetivos e da contribuição delas para a qualidade? |
| Comunicação (7.4) | A comunicação relevante (o quê, quando, com quem, como) está definida e acontece? |
| Informação documentada (7.5) | Documentos e registros estão controlados: versão vigente disponível, aprovação, proteção, retenção? |
Onde tropeça: a calibração vencida de um instrumento crítico e o controle de documentos falho são as duas não conformidades mais frequentes do requisito 7. Sobre a segunda, vale aprofundar em controle de documentos do SGQ — é onde a auditoria pega versão errada circulando.
Requisito 8 — Operação
O maior requisito, e o que mais varia de empresa para empresa (depende do que você produz ou entrega). O núcleo do checklist:
- Planejamento e controle operacional: os processos operam sob condições controladas, com critérios e recursos definidos?
- Requisitos do produto/serviço: o que o cliente pede é analisado criticamente antes de aceitar o pedido? Há registro dessa análise?
- Projeto e desenvolvimento (se aplicável): entradas, controles, saídas e mudanças estão controlados?
- Fornecedores externos (8.4): há critério de seleção e avaliação? Fornecedores são reavaliados? O que é comprado é conferido no recebimento?
- Produção e prestação de serviço: identificação e rastreabilidade, preservação, controle de mudanças, atividades pós-entrega?
- Saída não conforme (8.7): produto/serviço fora do especificado é identificado, segregado e tratado, com registro?
✅ No requisito 8, siga o fluxo real de um pedido: pegue uma ordem de venda ou de produção recente e a acompanhe do início ao fim (a chamada auditoria por trilha). Você verifica análise de requisitos, compras, produção, inspeção e entrega numa única linha — e enxerga onde o processo real diverge do documentado.
Requisito 9 — Avaliação de desempenho
É onde o sistema se mede. O que verificar:
- Monitoramento e medição: a empresa determinou o que precisa medir? Os indicadores da qualidade existem, são acompanhados e geram ação quando saem da meta?
- Satisfação do cliente: há método para captar a percepção do cliente (pesquisa, reclamações, devoluções) e ele é usado?
- Auditoria interna (9.2): existe programa, ela é realizada nos intervalos planejados, os auditores são independentes do que auditam, e os resultados viram ação?
- Análise crítica pela direção (9.3): acontece, cobre todas as entradas exigidas (desempenho, NCs, riscos, satisfação, recursos) e gera saídas/decisões registradas?
Onde tropeça: indicadores que ninguém olha e análise crítica que vira reunião protocolar sem decisão. Um KPI sem meta ou sem ação quando fura a meta é meia-verdade — ele existe no papel, mas não cumpre a função de avaliar desempenho.
Requisito 10 — Melhoria
Fecha o ciclo. O que verificar:
- Não conformidade e ação corretiva (10.2): as NCs são registradas, tratadas com análise de causa raiz e ação sobre a causa (não só o "apagar incêndio")? A eficácia da ação é verificada depois?
- Melhoria contínua (10.3): há evidência de que a empresa melhora o sistema ao longo do tempo — resultados de auditoria, análise crítica e ações se conectam num ciclo?
Onde tropeça: a ação corretiva que trata o sintoma e não a causa — o problema volta em três meses. Auditar aqui é abrir uma NC antiga e perguntar: a causa foi realmente atacada, e o problema reincidiu? Se você quer o método por trás disso, veja como fazer a tratativa de não conformidade corretamente.
Resumo: o checklist de auditoria em uma tabela
Para você levar no bolso, o mapa dos requisitos auditáveis e a evidência-chave de cada um:
| Req. | Bloco | Evidência-chave a pedir |
|---|---|---|
| 4 | Contexto | Análise de contexto, partes interessadas, escopo, mapa de processos |
| 5 | Liderança | Política e objetivos comunicados; comprometimento da direção |
| 6 | Planejamento | Riscos e oportunidades tratados; planos de objetivos |
| 7 | Apoio | Calibração, matriz de competências, controle de documentos |
| 8 | Operação | Análise de requisitos, avaliação de fornecedores, saída não conforme |
| 9 | Avaliação | Indicadores, satisfação, programa de auditoria, análise crítica |
| 10 | Melhoria | NCs com causa raiz e eficácia verificada |
⚠️ Um alerta que vale para todo o checklist: não confunda ter o documento com atender o requisito. A norma quer eficácia, não papelada. Uma matriz de riscos linda que ninguém usa, uma análise crítica sem decisão, um indicador sem ação — tudo isso é "documento existe, requisito não atendido". Um bom auditor persegue a evidência de que a coisa funciona, não só de que ela existe.
De onde tirar as perguntas (sem reinventar a roda)
Montar um checklist completo do zero — traduzindo cada "a organização deve" da norma em perguntas verificáveis — dá trabalho e é fácil esquecer itens. A saída inteligente é partir de um checklist pronto, alinhado aos requisitos, e adaptá-lo à sua realidade: ajustar as perguntas ao seu setor, tirar o que não se aplica, acrescentar seus pontos críticos. Você ganha a cobertura completa dos requisitos e economiza o trabalho braçal de estruturar a tabela.
Com o checklist na mão, a auditoria interna deixa de ser um ritual e vira o radar da gestão — o que acha o problema antes do cliente e antes do certificador. E se você usar o mesmo rigor da certificação na sua auditoria interna, a auditoria externa deixa de ser motivo de ansiedade: vira só a confirmação de um sistema que você já sabe que funciona. Para ver como esse checklist se encaixa no ciclo maior — programa, condução e relatório — volte ao guia da auditoria interna da qualidade.
Perguntas frequentes
Preciso de um checklist diferente para cada requisito da ISO 9001?
Não necessariamente um arquivo por requisito, mas o checklist precisa cobrir todos os requisitos aplicáveis (do 4 ao 10). O mais prático é um checklist único organizado por requisito, com as perguntas-chave e o espaço para anotar a evidência encontrada e a situação (conforme, observação, não conformidade). Assim você audita na ordem da norma e não esquece nenhum item.
O checklist de auditoria é obrigatório na ISO 9001?
A norma não exige o checklist com esse nome, mas exige (no 9.2) que a auditoria interna seja planejada e que você tenha critérios e escopo definidos. Na prática, o checklist é a ferramenta que operacionaliza isso: sem ele, a auditoria vira conversa solta e você não consegue provar o que foi verificado. É evidência de planejamento — quase todo certificador espera ver.
Qual a diferença entre uma não conformidade e uma observação na auditoria?
A não conformidade é o não atendimento de um requisito comprovado por evidência objetiva — exige tratativa formal e plano de ação. A observação (ou oportunidade de melhoria) é um ponto de atenção que ainda não descumpre a norma, mas pode virar problema se não for cuidado. Registrar observações é o que transforma a auditoria em ferramenta de melhoria, não só de fiscalização.
Posso usar o mesmo checklist da auditoria interna na auditoria de certificação?
O checklist da sua auditoria interna é seu — o auditor externo tem o método dele. Mas usar um checklist interno robusto, alinhado aos requisitos, é a melhor preparação possível: se você já verificou cada requisito com o mesmo rigor do certificador, a auditoria externa vira confirmação, não descoberta. A auditoria interna bem-feita é o ensaio geral da certificação.