The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2

Se esta é a primeira vez que você tem contato com a ideia de um auditor interno, você provavelmente está confuso: Por que eu preciso de outro controle? Quem vai pagar por isso? Quem devo contratar para fazer esse trabalho? É um desperdício de tempo…

Bem, não precisa ser tão ruim, além de cumprir com as normas ISO 27001 e BS 25999-2, a auditoria interna pode ser bastante útil para outras questões comerciais (estejam elas relacionadas à segurança da informação e continuidade de negócios, ou não).

O objetivo das auditorias internas é descobrir problemas que poderiam ficar escondidos e, portanto, prejudicar os negócios. Sejamos realistas: cometer erros é humano, por isso é impossível ter um sistema sem erros. No entanto, é possível ter um sistema que melhora a si mesmo e aprende com seus erros. As auditorias internas são uma parte crucial de um sistema assim.

Existem algumas maneiras de realizar uma auditoria interna:

a) Contratar um auditor interno em tempo integral – isso é adequado apenas para grandes organizações que têm trabalho suficiente para esse funcionário (alguns tipos de organizações – bancos, por exemplo – são obrigados por lei empregar pessoas para essa função)

b) Contratar auditores internos que trabalhem meio período – esta é a situação mais comum. As organizações usam seus próprios funcionários para realizar auditorias internas, paralelamente às funções de seu trabalho regular. Uma coisa importante para observar: a fim de evitar conflitos de interesse (os auditores não podem auditorar seu próprio trabalho), deve haver pelo menos dois auditores internos, para que um possa analisar o trabalho regular do outro.

c) Contratar um auditor interno de fora da organização – embora esta pessoa não seja um funcionário da organização, ainda assim é uma auditoria interna, pois a auditoria é realizada pela própria organização, de acordo com suas regras. Normalmente isso é feito por uma pessoa que tem conhecimento nessa área (um consultor independente etc.).

No entanto, com base na minha experiência como auditor, a triste verdade é que a maioria das organizações realizam auditorias internas apenas para satisfazer o organismo de certificação. O resultado dessas auditorias internas são algumas inconformidades que não se aprofundam nos problemas reais do sistema de gestão da segurança da informação (SGSI) ou do sistema de gestão da continuidade de negócios (SGCN). Isso é um desperdício de tempo. Se as empresas investem o tempo de seus auditores internos para realizar essas tarefas, elas devem tirar benefícios disso.

Mas como, então, abordar as auditorias internas da forma correta? Aqui estão algumas ideias:

  1. A gerência deve ver a auditoria interna como uma das melhores ferramentas para melhorar o sistema, não apenas como um meio para obter a certificação.
  2. O auditor interno deve ser qualificado. Isso significa que deve ter experiência em segurança da informação, tecnologia da informação e técnicas de auditoria. Isso não significa que o auditor deve ser um especialista nessas áreas.
  3. A auditoria interna deve ser realizada de forma positiva – o objetivo deve ser melhorar o sistema, e não culpar os funcionários pelos seus erros.

Vendo o lado positivo, como auditor de certificação, conheci algumas organizações que realizam auditorias internas da maneira certa. Apesar de os funcionários se sentirem um pouco desconfortáveis por ter alguém verificando suas atividades, logo perceberam os benefícios dessa abordagem: os problemas se tornaram transparentes e eram resolvidos mais rapidamente.

Leer hoe u een interne controle uitvoert in deze gratis ISO 27001 Internal Auditor Online Course.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.