Como este tema funciona na sua empresa
Auditoria gera achados pontuais comunicados informalmente por mensagem ou conversa. Severidade não é classificada de forma estruturada. O fornecedor corrige por boa vontade, sem prazo formal ou registro. Quando há recorrência, falta histórico que permita escalar para multa ou rescisão com base contratual.
Achados começam a ser classificados (crítico, importante, menor) e comunicados por e-mail formal. Há template de relatório e plano de ação solicitado ao fornecedor. O acompanhamento usa planilha de pendências, com prazos vinculados a multas contratuais nos casos importantes e críticos.
Todos os achados entram em ferramenta GRC ou sistema próprio de auditoria, com workflow de classificação, CAR (Corrective Action Request), prazos parametrizados e dashboard de status. Há política formal de tratamento, escalação automática para o comitê de auditoria e integração com faturamento para descontos automáticos.
Achados de auditoria
são as não conformidades, observações e oportunidades de melhoria identificadas durante uma auditoria de fornecedor, registradas formalmente com classificação de severidade, descrição objetiva, evidência, prazo de correção e mecanismo de acompanhamento até o encerramento, servindo como base para ações corretivas, multas contratuais ou rescisão.
Por que classificar achados antes de comunicar
Auditar é só o primeiro passo. O valor real do processo aparece na forma como os achados são tratados depois — porque é nesse momento que o fornecedor entende o que precisa mudar, em que prazo e com que consequência. Sem classificação clara, todos os achados parecem ter o mesmo peso, e o fornecedor não sabe priorizar. Um vidro com mancha e um ASO vencido recebem o mesmo tratamento, o que banaliza o achado grave e desperdiça energia no menor.
A classificação por severidade é o critério organizador. Ela determina o tom da comunicação, o prazo de correção, a consequência contratual e a necessidade de escalação. Padrões internacionais como a ISO 19011, que orienta auditorias de sistemas de gestão, e a metodologia do Institute of Internal Auditors (IIA) trabalham com três a quatro níveis de severidade. No contexto de Facilities, três níveis costumam ser suficientes: crítico, importante e menor.
Os três níveis de severidade
A separação entre crítico, importante e menor não é apenas conceitual — cada nível dispara um fluxo distinto de comunicação, prazo e consequência. Definir esses critérios antes do auditor entrar em campo evita que a classificação seja arbitrária ou dependa do humor do dia.
Crítico (alto risco)
Achados que afetam segurança das pessoas, indicam fraude, violam legislação ou expõem a empresa a passivo trabalhista significativo. Exemplos típicos: indício de trabalho análogo a escravo, acidente grave por negligência documentada, fraude em medição ou faturamento, violação reiterada de NR, atestado médico falsificado. Não há prazo de correção — a ação é imediata, e o contrato pode prever rescisão sem ônus para o contratante.
Importante (médio risco)
Achados que afetam qualidade do serviço, podem escalar ou geram não conformidade documental relevante. Exemplos: ASO vencido, certidão negativa fora da validade, jornada irregular consistente, SLA descumprido de forma recorrente, deficiência operacional documentada. Prazo típico de correção: 5 a 15 dias úteis. Penalidade contratual aplicável (multa de 2% a 5% do faturamento mensal, conforme cláusula específica).
Menor (baixo risco)
Detalhes que não afetam funcionalidade ou conformidade material. Exemplos: vidro com mancha, registro de visita ilegível, pequeno atraso em entrega de relatório, inconsistência de dados em planilha. Prazo de correção: 1 a 5 dias. Sem penalidade — apenas observação registrada para acompanhamento de recorrência.
Matriz de decisão — como classificar de forma consistente
Para evitar subjetividade na classificação, vale usar uma matriz com cinco critérios: impacto em segurança, impacto em conformidade legal, frequência (raro, ocasional, recorrente), visibilidade (interna ou para clientes externos) e custo de correção. Cada critério é pontuado em três níveis, e a combinação determina a classificação final.
Um exemplo prático: papel higiênico em falta no banheiro é baixo em segurança, baixo em conformidade, ocasional, com visibilidade média e custo baixo — classifica como menor. ASO vencido é alto em segurança (funcionário pode ter condição não detectada), alto em conformidade (NR-7 obrigatória), raro em frequência (primeira ocorrência), baixo em visibilidade externa e custo médio para corrigir — classifica como importante. Fraude em medição é baixo em segurança, alto em conformidade, recorrente, média visibilidade e alto custo (reembolso) — classifica como crítico, com possibilidade de rescisão.
A matriz não substitui o julgamento, mas dá um critério rastreável. Quando o fornecedor questiona a classificação, o gestor pode mostrar a planilha e explicar como chegou ao resultado.
Comunicação escrita versus comunicação verbal
A regra prática é separar o momento da auditoria conjunta do momento do relatório formal. Durante a auditoria, o tom deve ser colaborativo: o auditor mostra o que encontrou, o fornecedor explica o contexto e juntos discutem causa raiz e ação. Esse momento é verbal, presencial, com poucas pessoas — e gera o consenso necessário para que o plano de ação seja realista.
O relatório escrito vem depois, com tom formal, sem ambiguidade, e funciona como evidência. Em caso de passivo trabalhista futuro ou rescisão contratual, o relatório é o documento que prova que a empresa contratante exerceu diligência razoável. Por isso, a comunicação primária deve ser sempre escrita (e-mail, ata, relatório anexo). O contato verbal serve para esclarecer dúvidas e construir relação, mas não substitui o registro formal.
Estrutura do relatório formal de achados
Um bom relatório de achados tem estrutura previsível, que se repete em todas as auditorias. Isso facilita a leitura pelo fornecedor e a arquivamento pelo contratante. Os campos essenciais são:
Cabeçalho
Identificação da auditoria (data, fornecedor, escopo, auditores presentes), referência ao contrato e cláusulas aplicáveis.
Lista de achados
Para cada achado: descrição objetiva do que foi encontrado, classificação de severidade, evidência (foto, documento, registro), impacto (por que importa), ação requerida (o que o fornecedor deve fazer), prazo (data exata) e forma de validação (como o contratante vai confirmar a correção).
Próximas etapas
Confirmação de recebimento (48 horas), envio do plano de ação pelo fornecedor (5 dias úteis), validação pelo contratante (5 dias úteis), validação final na data do prazo. Caso achado crítico não seja resolvido, menção explícita à possibilidade de rescisão conforme cláusula contratual.
Assinatura
Nome e cargo do auditor responsável, contato para discussão.
Corrective Action Request (CAR) — o instrumento de follow-up
O CAR é o documento padrão da indústria para tratar achados — vem da metodologia da ISO 9001 e é amplamente usado em auditorias de fornecedores. Cada achado importante ou crítico gera um CAR numerado (CAR-2025-001, CAR-2025-002), que segue um ciclo previsível.
O CAR contém: descrição do achado, classificação, análise de causa raiz preenchida pelo fornecedor (não apenas "o que foi feito errado", mas "por que foi feito errado"), ação corretiva proposta (corrige o evento específico), ação preventiva proposta (evita recorrência), prazo, responsável pelo fornecedor, e campo de validação preenchido pelo contratante.
A diferença entre ação corretiva e preventiva é central. Se o achado é "ASO de João vencido", a ação corretiva é renovar o ASO do João. A ação preventiva é criar processo para alertar com 30 dias de antecedência sobre todos os ASO da equipe. Sem a preventiva, o achado tende a se repetir.
Adote um modelo simples de planilha com colunas: data, achado, severidade, prazo, status. Comunique por e-mail com texto padrão. Não precisa de CAR formal — basta numerar o achado e acompanhar até o "concluído".
Padronize o template de CAR em Word ou Google Docs, com numeração sequencial. Mantenha um registro mestre em planilha compartilhada com auditores e gerentes. Defina prazos de classe (crítico imediato, importante 10 dias, menor 5 dias).
Implemente ferramenta GRC (SAP GRC, MetricStream, ServiceNow GRC) que automatiza geração de CAR, envia alertas de prazo, escala para o comitê de auditoria e integra ao faturamento para descontos automáticos. Dashboard em tempo real para o gerente de auditoria.
O ciclo de acompanhamento — do achado ao fechamento
O acompanhamento é o que separa auditoria de teatro. Sem follow-up, achados viram lista que ninguém lê. Um ciclo completo passa por cinco etapas: confirmação de recebimento, plano de ação, acompanhamento interim, validação na data do prazo e comunicação de resultado.
A confirmação de recebimento é o primeiro filtro. Se o fornecedor não responde em 48 horas, há sinal de desorganização interna que merece atenção. A escalação é progressiva: novo e-mail no terceiro dia, telefonema no quinto, contato com nível superior no sétimo. O acompanhamento interim faz sentido para prazos superiores a 30 dias — uma checagem rápida no meio do caminho ("como está indo? Há bloqueios?") ajuda o fornecedor a manter o ritmo e mostra que o assunto não foi esquecido.
A validação final precisa ser na data exata do prazo, não depois. Pode ser presencial (inspeção no local) ou documental (envio de comprovante). O resultado é binário: conforme ou não-conforme. Não há "parcial" — se a ação não foi concluída, o achado segue aberto, com novo prazo e penalidade aplicada conforme contrato.
Quando o fornecedor não cumpre — escalação progressiva
A escalação progressiva existe porque a maioria dos atrasos não é má-fé. É desorganização, perda de prioridade ou bloqueio operacional que o fornecedor não conseguiu comunicar. A sequência típica:
No dia do prazo, se a evidência não chegou, envio formal solicitando resposta em 5 dias adicionais. Cinco dias depois, telefonema direto ao responsável: "Qual é o status? Como podemos ajudar?". Se ainda não há resolução, comunicação formal com penalidade contratual aplicada (multa de 2% a 5%, conforme cláusula) e novo prazo de 10 dias. Caso o achado siga em aberto, início do processo de rescisão por não conformidade reiterada, com base na cláusula resolutiva do contrato.
A documentação dessa escalação é fundamental. Se a rescisão for contestada, o histórico de comunicações mostra que a empresa contratante deu oportunidades razoáveis de correção antes de romper o contrato.
Documentação para arquivo — o que guardar e por quanto tempo
O conjunto mínimo a arquivar para cada auditoria inclui: relatório original, fotos e evidências coletadas, e-mail de comunicação ao fornecedor, confirmação de recebimento, plano de ação enviado, trocas de mensagens relevantes, evidência de validação (foto, documento, comprovante), comunicação de resultado e, se houve penalidade, nota de débito ou desconto aplicado em fatura.
O prazo de retenção recomendado é de cinco anos, alinhado com o prazo prescricional trabalhista do artigo 11 da CLT. Em casos de contratos com alto risco de passivo (terceirização de atividade fim, vigilância armada), pode ser prudente reter por mais tempo. A organização em pastas por fornecedor e ano facilita consultas posteriores.
O valor dessa documentação aparece quando há litígio. A Súmula 331 do TST estabelece responsabilidade subsidiária do tomador de serviços por verbas trabalhistas inadimplidas. Para afastar essa responsabilidade ou comprovar diligência razoável, o histórico de auditorias é a prova mais forte. A Lei 12.846/2013 (Lei Anticorrupção) também exige programa de integridade, e o tratamento estruturado de achados é parte central desse programa.
Integração com SLA e contrato
O contrato precisa prever, em cláusula específica, as consequências de cada nível de severidade. Sem essa previsão, a aplicação de multa pode ser contestada juridicamente. A cláusula típica diz: "Não conformidades classificadas como menores serão tratadas como observação, sem penalidade. Não conformidades importantes ensejam aplicação de multa de [X]% do valor mensal do contrato, por evento. Não conformidades críticas autorizam, a critério do contratante, rescisão imediata sem ônus, sem prejuízo de eventual ressarcimento."
O SLA, por sua vez, define os indicadores objetivos que serão verificados (taxa de presença, tempo de resposta, índice de qualidade) e os limiares que disparam não conformidade. A auditoria operacional valida o SLA na prática; a auditoria documental valida conformidade legal e contratual. Os dois fluxos alimentam o mesmo processo de classificação e tratamento de achados.
Sinais de que sua empresa precisa estruturar o tratamento de achados
Se você se reconhece em três ou mais cenários abaixo, é provável que o processo atual deixe achados sem encerramento ou exponha a empresa a passivo evitável.
- Achados de auditoria são comunicados por mensagem informal, sem classificação de severidade.
- Não há prazo formal para correção — o fornecedor decide quando pode.
- Falta histórico organizado por fornecedor e por achado, dificultando identificar recorrências.
- Multas contratuais previstas raramente são aplicadas, mesmo em não conformidades repetidas.
- A mesma falha aparece em auditorias consecutivas, sem que ninguém analise causa raiz.
- Em caso de rescisão, falta documentação que sustente a decisão perante o jurídico.
- O fornecedor questiona a classificação e não há critério claro para defender a posição.
- O contrato não vincula severidade dos achados a consequências financeiras objetivas.
Caminhos para estruturar o tratamento de achados
O grau de formalidade do processo deve ser proporcional ao volume de fornecedores e ao risco do contrato. Há dois caminhos principais.
Viável quando há equipe de Facilities com pelo menos um auditor dedicado ou compartilhado.
- Perfil necessário: profissional com conhecimento em ISO 19011, auditoria interna ou compliance
- Quando faz sentido: empresa com 10 a 50 fornecedores de Facilities e contratos relevantes
- Investimento: 4 a 8 semanas para padronizar templates, treinar equipe e criar planilha mestre
Recomendado para empresas grandes ou em fase de implementação de programa de integridade.
- Perfil de fornecedor: consultoria de compliance, auditor independente, implementadora de GRC
- Quando faz sentido: mais de 50 fornecedores, exigência regulatória ou de governança
- Investimento típico: R$ 30.000 a R$ 150.000 para projeto inicial; ferramenta GRC a partir de R$ 3.000/mês
Precisa estruturar o tratamento de achados de auditoria de fornecedores?
Se você quer implantar um processo formal de classificação, comunicação e acompanhamento de achados, o oHub conecta você a consultorias de compliance, auditores independentes e fornecedores de plataformas GRC. Descreva seu desafio e receba propostas de quem entende de auditoria de fornecedores.
Encontrar fornecedores de Facilities no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Qual a diferença entre achado crítico e importante?
Achado crítico afeta segurança, indica fraude ou viola lei — exige ação imediata e pode ensejar rescisão. Achado importante afeta qualidade do serviço ou conformidade documental — admite prazo de correção entre 5 e 15 dias, com possível multa contratual.
O que é Corrective Action Request (CAR)?
É o documento padrão da metodologia ISO 9001 usado para tratar achados de auditoria. Cada CAR contém descrição, classificação, análise de causa raiz, ação corretiva, ação preventiva, prazo e validação. Permite acompanhar até o encerramento do achado.
Quanto tempo guardar a documentação de auditorias?
O prazo recomendado é de cinco anos, alinhado ao prazo prescricional trabalhista do artigo 11 da CLT. Em contratos de alto risco, como terceirização de atividade fim ou vigilância armada, pode ser prudente reter por mais tempo para sustentar a diligência prevista na Súmula 331 do TST.
Posso aplicar multa sem cláusula contratual específica?
Não com segurança jurídica. A aplicação de multa exige previsão expressa no contrato, vinculada a indicadores objetivos. A cláusula padrão associa cada nível de severidade a uma consequência: observação para menor, multa percentual para importante, rescisão possível para crítico.
O fornecedor pode contestar a classificação do achado?
Sim, e o contratante deve estar preparado para sustentar a decisão. A matriz de severidade documentada (impacto em segurança, conformidade, frequência, visibilidade, custo) torna a classificação rastreável e defensável. Se houver erro de classificação, é melhor revisar do que insistir.
Fontes e referências
- ISO 19011:2018 — Diretrizes para auditoria de sistemas de gestão.
- Súmula 331 do Tribunal Superior do Trabalho — Responsabilidade subsidiária na terceirização.
- Lei 12.846/2013 — Lei Anticorrupção — Programa de integridade.
- Ministério do Trabalho e Emprego — Normas Regulamentadoras.
- Institute of Internal Auditors (IIA) — Padrões internacionais de auditoria interna.