• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2

    Se esta é a primeira vez que você tem contato com a ideia de um auditor interno, você provavelmente está confuso: Por que eu preciso de outro controle? Quem vai pagar por isso? Quem devo contratar para fazer esse trabalho? É um desperdício de tempo…

    Bem, não precisa ser tão ruim, além de cumprir com as normas ISO 27001 e BS 25999-2, a auditoria interna pode ser bastante útil para outras questões comerciais (estejam elas relacionadas à segurança da informação e continuidade de negócios, ou não).

    O objetivo das auditorias internas é descobrir problemas que poderiam ficar escondidos e, portanto, prejudicar os negócios. Sejamos realistas: cometer erros é humano, por isso é impossível ter um sistema sem erros. No entanto, é possível ter um sistema que melhora a si mesmo e aprende com seus erros. As auditorias internas são uma parte crucial de um sistema assim.

    Existem algumas maneiras de realizar uma auditoria interna:

    a) Contratar um auditor interno em tempo integral – isso é adequado apenas para grandes organizações que têm trabalho suficiente para esse funcionário (alguns tipos de organizações – bancos, por exemplo – são obrigados por lei empregar pessoas para essa função)

    b) Contratar auditores internos que trabalhem meio período – esta é a situação mais comum. As organizações usam seus próprios funcionários para realizar auditorias internas, paralelamente às funções de seu trabalho regular. Uma coisa importante para observar: a fim de evitar conflitos de interesse (os auditores não podem auditorar seu próprio trabalho), deve haver pelo menos dois auditores internos, para que um possa analisar o trabalho regular do outro.

    c) Contratar um auditor interno de fora da organização – embora esta pessoa não seja um funcionário da organização, ainda assim é uma auditoria interna, pois a auditoria é realizada pela própria organização, de acordo com suas regras. Normalmente isso é feito por uma pessoa que tem conhecimento nessa área (um consultor independente etc.).

    No entanto, com base na minha experiência como auditor, a triste verdade é que a maioria das organizações realizam auditorias internas apenas para satisfazer o organismo de certificação. O resultado dessas auditorias internas são algumas inconformidades que não se aprofundam nos problemas reais do sistema de gestão da segurança da informação (SGSI) ou do sistema de gestão da continuidade de negócios (SGCN). Isso é um desperdício de tempo. Se as empresas investem o tempo de seus auditores internos para realizar essas tarefas, elas devem tirar benefícios disso.

    Mas como, então, abordar as auditorias internas da forma correta? Aqui estão algumas ideias:

    1. A gerência deve ver a auditoria interna como uma das melhores ferramentas para melhorar o sistema, não apenas como um meio para obter a certificação.
    2. O auditor interno deve ser qualificado. Isso significa que deve ter experiência em segurança da informação, tecnologia da informação e técnicas de auditoria. Isso não significa que o auditor deve ser um especialista nessas áreas.
    3. A auditoria interna deve ser realizada de forma positiva – o objetivo deve ser melhorar o sistema, e não culpar os funcionários pelos seus erros.

    Vendo o lado positivo, como auditor de certificação, conheci algumas organizações que realizam auditorias internas da maneira certa. Apesar de os funcionários se sentirem um pouco desconfortáveis por ter alguém verificando suas atividades, logo perceberam os benefícios dessa abordagem: os problemas se tornaram transparentes e eram resolvidos mais rapidamente.

    Para aprender sobre o processo de auditoria interna, por favor veja este curso online gratuito: ISO 27001:2013 Internal Auditor Course.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.
    Tag: #ISO 27001