Muitas pessoas simplesmente correm para preparar uma lista de verificação e realizar a auditoria interna da ISO 27001 – quanto mais cedo este trabalho “inútil” for realizado, melhor. Mas, tal correria apenas criará outros problemas, e tornará a auditoria interna mais longa do que o necessário.
Assim, vejamos o que você tem que preparar para tornar este trabalho mais eficiente. E, este trabalho é realmente uma perda de tempo?
Que tipo de auditor interno você deveria empregar?
Existem algumas formas de se realizar uma auditoria interna:
- Empregar um auditor interno de tempo integral. Isto é adequado apenas para organizações de grande porte que teriam trabalho suficiente para este tipo de auditor (alguns tipos de organização – ex.: bancos – são obrigados por lei a ter tais funções).
- Empregar auditores internos de tempo parcial. Esta é a situação mais comum – as organizações usam seus próprios empregados para realizar auditorias internas, que fazem isso quando requerido (ex.: duas vezes ao ano) juntamente com seu trabalho regular. Uma coisa importante a se prestar atenção: de forma a se evitar qualquer conflito de interesses (auditores não podem auditor seu próprio trabalho), deveriam existir ao menos dois auditores internos de forma que um possa auditar o trabalho regular do outro. Veja também: Qualificações para um auditor interno da ISO 27001.
- Empregar um auditor interno de for a da organização. Embora esta não seja uma pessoa empregada da organização, ela ainda é considerada um auditor interno porque a auditoria é realizada pela própria organização, de acordo com suas próprias regras. Geralmente, isto é feito por uma pessoa que possui conhecimento nesta área (consultor independente ou similar). Veja também: 5 criteria for choosing an ISO 22301 / ISO 27001 consultant.
Opções a considerar
Dependendo se você já implementou a ISO 9001 (ou alguma outra norma de gestão ISO), e de qual perfil de auditor interno você tem, você tem algumas opções listadas abaixo. Você deveria também estudar a legislação, porque alguns setores (ex.: financeiro) tem regras especiais com relação a auditorias internas .
- Realizar uma auditoria ou uma série de auditorias durante o ano. Se você é uma organização de pequeno porte, uma única auditoria durante o período de um ano será o suficiente; contudo, se você é uma organização de grande porte, você pode querer se planejar para realizar uma auditoria em um departamento em janeiro, em outro departamento em fevereiro, etc.
- Usar as mesmas regras e auditor para outras normas. Se você já implementou a ISO 9001, você pode de fato usar o mesmo procedimento de auditoria interna – você não precisa criar um novo documento apenas para a ISSO 27001. Adicionalmente, o mesmo auditor pode realizar auditorias internas para todos estes sistemas ao mesmo tempo – se tal pessoa tem conhecimento de todas estas normas, e um conhecimento médio sobre TI, ele ou ela será perfeitamente capaz de fazer a chamada auditoria interna integrada, assim economizando tempo para todos.
- Escrever um procedimento de auditoria interna e uma lista de verificação, ou não. Um procedimento escrito que definiria como a auditoria interna é realizada não é obrigatório; contudo, é certamente recomendado. Normalmente, os empregados não estão muito familiarizados com auditorias internas,assim é uma boa coisa ter algumas regras básicas por escrito – a menos, é claro, que auditoria seja uma coisa que você faça diariamente. É o mesmo com a lista de verificação de auditoria interna – não é obrigatório, mas é certamente útil para iniciantes. Veja também: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.
Documentação requerida
Você deveria ter os seguintes documentos com relação a sua auditoria interna :
- Procedimento de auditoria interna (não obrigatório) – este procedimento define as regras básicas para realizar a auditoria: como selecionar os auditores, como as auditorias são planejadas, os elementos da condução da auditoria, as atividades de acompanhamento (follow-up), e como reportar as auditorias.
- Programa de auditoria interna (obrigatório) – este é onde as auditorias são planejadas no nível anual, incluindo seus critérios e escopo.
- Checklist de auditoria interna (não obrigatório) – esta é uma lista de verificação que ajuda o auditor interno a não esquecer algo durante a auditoria interna.
- Relatório de auditoria interna (obrigatório) – este é onde o auditor interno reportará as não conformidades e outras descobertas.
O papel da alta administração
A alta administração também se envolve nas auditorias internas – desde a aprovação do procedimento e indicação do auditor interno, até a aceitação do programa de auditoria e leitura do relatório de auditoria interna. Estas atividades não deveriam ser delegadas para níveis inferiores da hierarquia, porque isto poderia colocar o auditor em um conflito de interesses, a além disso, algumas informações importantes podem não encontrar seu caminho até a alta administração.
E, mais importante de tudo, a alta administração deveria tomar uma decisão consciente de que eles aceitarão e apoiarão a auditoria interna como algo que é útil para o negócio.
O propósito da auditoria interna
À primeira vista, a auditoria interna provavelmente se parece com uma sobrecarga onerosa. Contudo, auditorias internas podem possibilitar a você descobrir problemas (i.e., não conformidades) que de outra forma permaneceriam escondidas e assim impactariam negativamente seu negócio. Sejamos realistas – é da natureza humana cometer erros, assim é impossível ter um sistema sem erros; contudo, é possível ter um sistema que melhora a si mesmo e aprende com seus erros.
Auditorias internas são uma parte crucial de tal sistema – elas serão aquelas a dizer a você se o seu sistema realmente funciona ou não.
Este artigo é um trecho do livro Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your Own. Clique aqui para ver quais outros tópicos são abordados…
Nós agradecemos a Rhand Leal pela tradução para o português.