ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como se prepara para uma auditoria interna da ISO 27001

    Muitas pessoas simplesmente correm para preparar uma lista de verificação e realizar a auditoria interna da ISO 27001 – quanto mais cedo este trabalho “inútil” for realizado, melhor. Mas, tal correria apenas criará outros problemas, e tornará a auditoria interna mais longa do que o necessário.

    Assim, vejamos o que você tem que preparar para tornar este trabalho mais eficiente. E, este trabalho é realmente uma perda de tempo?

    Que tipo de auditor interno você deveria empregar?

    Existem algumas formas de se realizar uma auditoria interna:

    1. Empregar um auditor interno de tempo integral. Isto é adequado apenas para organizações de grande porte que teriam trabalho suficiente para este tipo de auditor (alguns tipos de organização – ex.: bancos – são obrigados por lei a ter tais funções).
    2. Empregar auditores internos de tempo parcial. Esta é a situação mais comum – as organizações usam seus próprios empregados para realizar auditorias internas, que fazem isso quando requerido (ex.: duas vezes ao ano) juntamente com seu trabalho regular. Uma coisa importante a se prestar atenção: de forma a se evitar qualquer conflito de interesses (auditores não podem auditor seu próprio trabalho), deveriam existir ao menos dois auditores internos de forma que um possa auditar o trabalho regular do outro. Veja também: Qualificações para um auditor interno da ISO 27001.
    3. Empregar um auditor interno de for a da organização. Embora esta não seja uma pessoa empregada da organização, ela ainda é considerada um auditor interno porque a auditoria é realizada pela própria organização, de acordo com suas próprias regras. Geralmente, isto é feito por uma pessoa que possui conhecimento nesta área (consultor independente ou similar). Veja também: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.

    Opções a considerar

    Dependendo se você já implementou a ISO 9001 (ou alguma outra norma de gestão ISO), e de qual perfil de auditor interno você tem, você tem algumas opções listadas abaixo. Você deveria também estudar a legislação, porque alguns setores (ex.: financeiro) tem regras especiais com relação a auditorias internas .

    • Realizar uma auditoria ou uma série de auditorias durante o ano. Se você é uma organização de pequeno porte, uma única auditoria durante o período de um ano será o suficiente; contudo, se você é uma organização de grande porte, você pode querer se planejar para realizar uma auditoria em um departamento em janeiro, em outro departamento em fevereiro, etc.
    • Usar as mesmas regras e auditor para outras normas. Se você já implementou a ISO 9001, você pode de fato usar o mesmo procedimento de auditoria interna – você não precisa criar um novo documento apenas para a ISSO 27001. Adicionalmente, o mesmo auditor pode realizar auditorias internas para todos estes sistemas ao mesmo tempo – se tal pessoa tem conhecimento de todas estas normas, e um conhecimento médio sobre TI, ele ou ela será perfeitamente capaz de fazer a chamada auditoria interna integrada, assim economizando tempo para todos.
    • Escrever um procedimento de auditoria interna e uma lista de verificação, ou não. Um procedimento escrito que definiria como a auditoria interna é realizada não é obrigatório; contudo, é certamente recomendado. Normalmente, os empregados não estão muito familiarizados com auditorias internas,assim é uma boa coisa ter algumas regras básicas por escrito – a menos, é claro, que auditoria seja uma coisa que você faça diariamente. É o mesmo com a lista de verificação de auditoria interna – não é obrigatório, mas é certamente útil para iniciantes. Veja também: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

    Documentação requerida

    Você deveria ter os seguintes documentos com relação a sua auditoria interna :

    • Procedimento de auditoria interna (não obrigatório) – este procedimento define as regras básicas para realizar a auditoria: como selecionar os auditores, como as auditorias são planejadas, os elementos da condução da auditoria, as atividades de acompanhamento (follow-up), e como reportar as auditorias.
    • Programa de auditoria interna (obrigatório) – este é onde as auditorias são planejadas no nível anual, incluindo seus critérios e escopo.
    • Checklist de auditoria interna (não obrigatório) – esta é uma lista de verificação que ajuda o auditor interno a não esquecer algo durante a auditoria interna.
    • Relatório de auditoria interna (obrigatório) – este é onde o auditor interno reportará as não conformidades e outras descobertas.

    O papel da alta administração

    A alta administração também se envolve nas auditorias internas – desde a aprovação do procedimento e indicação do auditor interno, até a aceitação do programa de auditoria e leitura do relatório de auditoria interna. Estas atividades não deveriam ser delegadas para níveis inferiores da hierarquia, porque isto poderia colocar o auditor em um conflito de interesses, a além disso, algumas informações importantes podem não encontrar seu caminho até a alta administração.

    E, mais importante de tudo, a alta administração deveria tomar uma decisão consciente de que eles aceitarão e apoiarão a auditoria interna como algo que é útil para o negócio.

    O propósito da auditoria interna

    À primeira vista, a auditoria interna provavelmente se parece com uma sobrecarga onerosa. Contudo, auditorias internas podem possibilitar a você descobrir problemas (i.e., não conformidades) que de outra forma permaneceriam escondidas e assim impactariam negativamente seu negócio. Sejamos realistas – é da natureza humana cometer erros, assim é impossível ter um sistema sem erros; contudo, é possível ter um sistema que melhora a si mesmo e aprende com seus erros.

    Auditorias internas são uma parte crucial de tal sistema – elas serão aquelas a dizer a você se o seu sistema realmente funciona ou não.

    Este artigo é um trecho do livro  Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your OwnClique aqui para ver quais outros tópicos são abordados…

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Dejan Kosutic
    Autor
    Dejan Kosutic
    Dejan possui um grande número de certificações, Consultor de Gestão Certificado, Auditor Líder ISO 27001, Auditor Líder ISO 9001 e Associate Business Continuity Professional. Dejan lidera nossa equipe na gestão de diversos websites especializados em apoiar profissionais de ISO e TI no entendimento e implementação bem sucedida de normas internacionais. Dejan obteve seu MBA na Henley Management College, e possui larga experiência e setores de investimento, seguro e bancário. Ele é reconhecido por sua expertise em normas internacionais para continuidade de negócio e segurança da informação – ISO 22301 e ISO 27001 – e pela autoria de diversos tutoriais web, kits de documentação e livros relacionados a estes assuntos.