Certificação ISO 27001: O que fazer após receber o relatório de auditoria?

Para aqueles que já operam um Sistema de gestão, como um SGSI baseado na ISO 27001, o evento da auditoria de certificação já é conhecido: o auditor chega, realiza a abertura da auditoria, avalia processos e registros, declara o resultado e elabora o relatório de auditoria, encerrando esta fase do processo de auditoria. Contudo, por que eu disse “esta fase da auditoria”? Ela ainda não acabou?

Dependendo do conteúdo do relatório, pode haver muito trabalho para a organização fazer, e para ajudá-lo a obter o maior valor possível deste relatório, e não esquecer alguns assuntos cruciais, vejamos o que você pode encontrar nele.

Principais partes de um relatório de auditoria

De forma geral, um relatório de auditoria é composto de:

  • Dados de identificação: identificador e data do relatório, período da auditoria, equipe de auditoria, etc.
  • Escopo: a unidade organizacional, processo ou produto que foi auditado
  • Critérios de avaliação: a referência usada para realizar a auditoria
  • Trilhas de evidência: uma breve descrição sobre o que foi auditado (nomes de processos, locais, evidências, etc.)
  • Resultados: conclusões da equipe de auditoria, que incluem:
    • Situação da recomendação
    • Não conformidades
    • Oportunidade de melhoria

Também falarei um pouco sobre o uso de informações do relatório de auditoria na análise crítica pela direção.

Situação da recomendação

O resultado mais importante do relatório da auditoria de certificação, que informa se o SGSI da organização está em conformidade com os requisitos da ISO 27001, e assegura a certificação. As situações possíveis são “recomendado”, “recomendado com apresentação de plano de ação” e “não recomendado”.

Uma situação de “recomendado” significa que nenhuma não conformidade foi identificada durante a auditoria. Para os outros dois tipos, a diferença entre elas refere-se ao tipo de não conformidades identificadas, que eu apresentarei na próxima seção, assim como o que você deveria fazer para obter a certificação do seu SGSI.

Não conformidades

Não conformidades ocorrem quando a organização não cumpre o que é requisitado pela norma, pela sua própria documentação, ou por um terceiro. Alguns exemplos de não conformidades são:

  • Falta de um registro específico definido como requerido pela organização
  • Uma prática usual adotada e mantida pela organização, mas que não está documentada (e.g.: desenvolvimento de protótipo por uma empresa de design)
  • Um processo que é requerido pela norma e que não está sendo executado apropriadamente (e.g.: análise crítica pela administração)

Uma vez que não conformidades são falhas em atender requisitos do Sistema de gestão, a organização deve, de acordo com a cláusula 10.1 da ISO 27001 (não conformidades e ações corretivas):

  1. Reagir de forma apropriada para controlá-las e corrigi-las,
  2. Tratar as consequências,
  3. Avaliar a necessidade de eliminar ou controlar as causas,
  4. Implementar ações corretivas para tratar as causas,
  5. Revisar a eficácia das ações corretivas, e
  6. Alterar o SGSI da organização sempre que necessário.

Para propósitos da auditoria de certificação, não conformidades são classificadas como maiores ou menores, o que define as ações a serem feitas.

Uma não conformidade menor é um desvio que não compromete a gestão do SGSI, e leva a situação de “recomendado com apresentação de plano de ação”. Para este tipo de não conformidade, um simples plano de ação deverá ser definido e enviado ao auditor. Após o recebimento e aprovação do plano, o auditor procede com a recomendação para certificação do SGSI. Perceba que você tem um prazo para enviar este plano (de 5 a 10 dias), e que na próxima auditoria os resultados do plano serão avaliados pelo auditor.

Por outro lado, não conformidades maiores são problemas que comprometem as operações do SGSI como um todo, resultando na situação de “não recomendado”. Uma vez identificadas, a organização deve corrigir não conformidades maiores antes que a auditoria de certificação possa prosseguir. E uma vez que estes problemas normalmente levam tempo para serem corrigidos, será preciso uma nova visita do auditor para terminar o processo. Bons processos de monitoramento (veja a cláusula 9 da ISO 27001) são uma excelente forma de evitar tais problemas.

Para mais explicações sobre não conformidades maiores e menores, veja este artigo: Não conformidades maiores vs. menores na auditoria de certificação.

Oportunidades de melhoria

Estas são situações onde, no ponto de vista do auditor, uma organização pode aumentar a pertinência, adequação ou eficácia de seu SGSI. Exemplos de oportunidade de melhoria são:

  • Incorporação de tecnologias novas ou atualizadas (e.g.: adoção de soluções de criptografia)
  • Adoção/exclusão de atividades em processos do negócio (e.g.: inclusão de pontos de verificação em atividades críticas ou exclusão de atividades que não afetam os resultados do negócio)

Uma vez que uma auditoria é baseada em amostras para se avaliar a conformidade, o que representa apenas uma fração da realidade da organização, não há requisito normativo demandando que uma organização trate oportunidades de melhoria, mas elas sempre deveriam ser analisadas para se determinar seu valor para a organização e se vale a pena implementá-las.

O relatório de auditoria na análise crítica da administração

Uma vez que resultados de auditoria são entradas requeridas para a análise crítica pela direção (cláusula 9.3 c) 3)), a organização deverá estar preparada para apresentar para a administração as não conformidades identificadas, os planos de ação definidos e a avalição de oportunidades de melhoria.

Nesta situação, não apenas as informações do relatório de auditoria são úteis, mas também informações providas por aqueles que acompanharam o processo de auditoria (o guia do auditor e o pessoal que foi auditado). Eles podem dar uma percepção sobre aspectos não identificados pelo auditor, mas que podem ser fontes de vulnerabilidades ou oportunidades de melhoria adicionais. Por exemplo, ao entender o método do auditor para seguir uma trilha de auditoria, a equipe pode identificar que seu processo de backup pode falhar em um cenário específico e elaborar um plano para prevenir que isso aconteça.

Explore todas as informações de auditoria disponíveis para sua vantagem

Além do valor para o processo de certificação, considero o relatório de auditoria uma das fontes de informação mais valiosas para melhorar qualquer sistema de gestão. O fato da auditoria ser realizada por alguém normalmente de fora das etapas do processo (e.g.: um auditor interno, um consultor, ou um auditor de certificação) significa que prover uma visão diferente e renovada das práticas adotadas pelas atividades operacionais e de gestão da organização

Para ajudá-lo a rastrear e lidar com todas as suas não-conformidades encontradas durante a auditoria de certificação, e as ações corretivas necessárias, você pode usar este Conformio compliance software.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001