ENTRE EM CONTATO 1-888-553-2256

The ISO 27001 & ISO 22301 Blog

Dejan Kosutic

Como se prepara para uma auditoria interna da ISO 27001

Muitas pessoas simplesmente correm para preparar uma lista de verificação e realizar a auditoria interna da ISO 27001 – quanto mais cedo este trabalho “inútil” for realizado, melhor. Mas, tal correria apenas criará outros problemas, e tornará a auditoria interna mais longa do que o necessário.

Assim, vejamos o que você tem que preparar para tornar este trabalho mais eficiente. E, este trabalho é realmente uma perda de tempo?

Que tipo de auditor interno você deveria empregar?

blogpost-banner-bia-pt

Existem algumas formas de se realizar uma auditoria interna:

  1. Empregar um auditor interno de tempo integral. Isto é adequado apenas para organizações de grande porte que teriam trabalho suficiente para este tipo de auditor (alguns tipos de organização – ex.: bancos – são obrigados por lei a ter tais funções).
  2. Empregar auditores internos de tempo parcial. Esta é a situação mais comum – as organizações usam seus próprios empregados para realizar auditorias internas, que fazem isso quando requerido (ex.: duas vezes ao ano) juntamente com seu trabalho regular. Uma coisa importante a se prestar atenção: de forma a se evitar qualquer conflito de interesses (auditores não podem auditor seu próprio trabalho), deveriam existir ao menos dois auditores internos de forma que um possa auditar o trabalho regular do outro. Veja também: Qualificações para um auditor interno da ISO 27001.
  3. Empregar um auditor interno de for a da organização. Embora esta não seja uma pessoa empregada da organização, ela ainda é considerada um auditor interno porque a auditoria é realizada pela própria organização, de acordo com suas próprias regras. Geralmente, isto é feito por uma pessoa que possui conhecimento nesta área (consultor independente ou similar). Veja também: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

Opções a considerar

Dependendo se você já implementou a ISO 9001 (ou alguma outra norma de gestão ISO), e de qual perfil de auditor interno você tem, você tem algumas opções listadas abaixo. Você deveria também estudar a legislação, porque alguns setores (ex.: financeiro) tem regras especiais com relação a auditorias internas .

  • Realizar uma auditoria ou uma série de auditorias durante o ano. Se você é uma organização de pequeno porte, uma única auditoria durante o período de um ano será o suficiente; contudo, se você é uma organização de grande porte, você pode querer se planejar para realizar uma auditoria em um departamento em janeiro, em outro departamento em fevereiro, etc.
  • Usar as mesmas regras e auditor para outras normas. Se você já implementou a ISO 9001, você pode de fato usar o mesmo procedimento de auditoria interna – você não precisa criar um novo documento apenas para a ISSO 27001. Adicionalmente, o mesmo auditor pode realizar auditorias internas para todos estes sistemas ao mesmo tempo – se tal pessoa tem conhecimento de todas estas normas, e um conhecimento médio sobre TI, ele ou ela será perfeitamente capaz de fazer a chamada auditoria interna integrada, assim economizando tempo para todos.
  • Escrever um procedimento de auditoria interna e uma lista de verificação, ou não. Um procedimento escrito que definiria como a auditoria interna é realizada não é obrigatório; contudo, é certamente recomendado. Normalmente, os empregados não estão muito familiarizados com auditorias internas,assim é uma boa coisa ter algumas regras básicas por escrito – a menos, é claro, que auditoria seja uma coisa que você faça diariamente. É o mesmo com a lista de verificação de auditoria interna – não é obrigatório, mas é certamente útil para iniciantes. Veja também: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

Documentação requerida

Você deveria ter os seguintes documentos com relação a sua auditoria interna :

  • Procedimento de auditoria interna (não obrigatório) – este procedimento define as regras básicas para realizar a auditoria: como selecionar os auditores, como as auditorias são planejadas, os elementos da condução da auditoria, as atividades de acompanhamento (follow-up), e como reportar as auditorias.
  • Programa de auditoria interna (obrigatório) – este é onde as auditorias são planejadas no nível anual, incluindo seus critérios e escopo.
  • Checklist de auditoria interna (não obrigatório) – esta é uma lista de verificação que ajuda o auditor interno a não esquecer algo durante a auditoria interna.
  • Relatório de auditoria interna (obrigatório) – este é onde o auditor interno reportará as não conformidades e outras descobertas.

O papel da alta administração

A alta administração também se envolve nas auditorias internas – desde a aprovação do procedimento e indicação do auditor interno, até a aceitação do programa de auditoria e leitura do relatório de auditoria interna. Estas atividades não deveriam ser delegadas para níveis inferiores da hierarquia, porque isto poderia colocar o auditor em um conflito de interesses, a além disso, algumas informações importantes podem não encontrar seu caminho até a alta administração.

E, mais importante de tudo, a alta administração deveria tomar uma decisão consciente de que eles aceitarão e apoiarão a auditoria interna como algo que é útil para o negócio.

O propósito da auditoria interna

À primeira vista, a auditoria interna provavelmente se parece com uma sobrecarga onerosa. Contudo, auditorias internas podem possibilitar a você descobrir problemas (i.e., não conformidades) que de outra forma permaneceriam escondidas e assim impactariam negativamente seu negócio. Sejamos realistas – é da natureza humana cometer erros, assim é impossível ter um sistema sem erros; contudo, é possível ter um sistema que melhora a si mesmo e aprende com seus erros.

Auditorias internas são uma parte crucial de tal sistema – elas serão aquelas a dizer a você se o seu sistema realmente funciona ou não.

Este artigo é um trecho do livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your OwnClique aqui para ver quais outros tópicos são abordados…

Nós agradecemos a Rhand Leal pela tradução para o português.

Caso tenha gostado deste artigo, inscreva se para receber atualizações

Melhore seu conhecimento com nossos recursos gratuitos sobre as normas ISO 27001 / ISO 22301.

Você pode cancelar sua inscrição a qualquer momento.

Para mais informações sobre quais dados nós coletamos, por que precisamos deles, o que nós fazemos com eles, por quanto tempo nós os mantemos, e quais são os seus direitos, veja esta Aviso de Privacidade.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

NOSSOS CLIENTES

NOSSOS PARCEIROS

  • Advisera é um Provedor Certificado TPECS da Exemplar Global para as Unidades de Competência em IS, QM, EM, TL e AU.
  • ITIL® é uma marca registrada da AXELOS Limited. É usada sob licença da AXELOS Limited. Todos os direitos reservados.
  • DNV GL Business Assurance é um dos principais provedores de certificações de sistema de gestão acreditados.