{"id":10058,"date":"2016-07-12T10:35:48","date_gmt":"2016-07-12T10:35:48","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=10058"},"modified":"2022-12-29T08:40:27","modified_gmt":"2022-12-29T08:40:27","slug":"como-se-prepara-para-uma-auditoria-interna-da-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2016\/07\/12\/como-se-prepara-para-uma-auditoria-interna-da-iso-27001\/","title":{"rendered":"Como se prepara para uma auditoria interna da ISO 27001"},"content":{"rendered":"<p>Muitas pessoas simplesmente correm para preparar uma lista de verifica\u00e7\u00e3o e realizar a auditoria interna da <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>\u00a0\u2013 quanto mais cedo este trabalho \u201cin\u00fatil\u201d for realizado, melhor. Mas, tal correria apenas criar\u00e1 outros problemas, e tornar\u00e1 a auditoria interna mais longa do que o necess\u00e1rio.<\/p>\n<p>Assim, vejamos o que voc\u00ea tem que preparar para tornar este trabalho mais eficiente. E, este trabalho \u00e9 realmente uma perda de tempo?<\/p>\n<h2>Que tipo de auditor interno voc\u00ea deveria empregar?<\/h2>\n<p>Existem algumas formas de se realizar uma auditoria interna:<\/p>\n<ol class=\"alpha-list\">\n<li><strong>Empregar um auditor interno de tempo integral<\/strong><strong>.<\/strong> Isto \u00e9 adequado apenas para organiza\u00e7\u00f5es de grande porte que teriam trabalho suficiente para este tipo de auditor (alguns tipos de organiza\u00e7\u00e3o \u2013 ex.: bancos \u2013 s\u00e3o obrigados por lei a ter tais fun\u00e7\u00f5es).<\/li>\n<li><strong>Empregar auditores internos de tempo parcial<\/strong><strong>.<\/strong> Esta \u00e9 a situa\u00e7\u00e3o mais comum \u2013 as organiza\u00e7\u00f5es usam seus pr\u00f3prios empregados para realizar auditorias internas, que fazem isso quando requerido (ex.: duas vezes ao ano) juntamente com seu trabalho regular. Uma coisa importante a se prestar aten\u00e7\u00e3o: de forma a se evitar qualquer conflito de interesses (auditores n\u00e3o podem auditor seu pr\u00f3prio trabalho), deveriam existir ao menos dois auditores internos de forma que um possa auditar o trabalho regular do outro. Veja tamb\u00e9m: <a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2015\/03\/31\/qualificacoes-para-um-auditor-interno-da-iso-27001\/\">Qualifica\u00e7\u00f5es para um auditor interno da ISO 27001<\/a>.<\/li>\n<li><strong>Empregar um auditor interno de for a da organiza\u00e7\u00e3o.<\/strong> Embora esta n\u00e3o seja uma pessoa empregada da organiza\u00e7\u00e3o, ela ainda \u00e9 considerada um auditor interno porque a auditoria \u00e9 realizada pela pr\u00f3pria organiza\u00e7\u00e3o, de acordo com suas pr\u00f3prias regras. Geralmente, isto \u00e9 feito por uma pessoa que possui conhecimento nesta \u00e1rea (consultor independente ou similar). Veja tamb\u00e9m: <a href=\"https:\/\/advisera.com\/27001academy\/blog\/2013\/03\/25\/5-criteria-for-choosing-a-iso-22301-iso-27001-consultant\/\">5 criteria for choosing an ISO 22301 \/ ISO 27001 consultant<\/a>.<\/li>\n<\/ol>\n<h2>Op\u00e7\u00f5es a considerar<\/h2>\n<p>Dependendo se voc\u00ea j\u00e1 implementou a\u00a0<a href=\"https:\/\/advisera.com\/9001academy\/what-is-iso-9001\/\" target=\"_blank\" rel=\"noopener\">ISO 9001<\/a>\u00a0(ou alguma outra norma de gest\u00e3o ISO), e de qual perfil de auditor interno voc\u00ea tem, voc\u00ea tem algumas op\u00e7\u00f5es listadas abaixo. Voc\u00ea deveria tamb\u00e9m estudar a legisla\u00e7\u00e3o, porque alguns setores (ex.: financeiro) tem regras especiais com rela\u00e7\u00e3o a auditorias internas .<\/p>\n<ul>\n<li><strong>Realizar uma auditoria ou uma s\u00e9rie de auditorias durante o ano.<\/strong> Se voc\u00ea \u00e9 uma organiza\u00e7\u00e3o de pequeno porte, uma \u00fanica auditoria durante o per\u00edodo de um ano ser\u00e1 o suficiente; contudo, se voc\u00ea \u00e9 uma organiza\u00e7\u00e3o de grande porte, voc\u00ea pode querer se planejar para realizar uma auditoria em um departamento em janeiro, em outro departamento em fevereiro, etc.<\/li>\n<li><strong>Usar as mesmas regras e auditor para outras normas.<\/strong> Se voc\u00ea j\u00e1 implementou a ISO 9001, voc\u00ea pode de fato usar o mesmo procedimento de auditoria interna \u2013 voc\u00ea n\u00e3o precisa criar um novo documento apenas para a ISSO 27001. Adicionalmente, o mesmo auditor pode realizar auditorias internas para todos estes sistemas ao mesmo tempo \u2013 se tal pessoa tem conhecimento de todas estas normas, e um conhecimento m\u00e9dio sobre TI, ele ou ela ser\u00e1 perfeitamente capaz de fazer a chamada auditoria interna integrada, assim economizando tempo para todos.<\/li>\n<li><strong>Escrever um procedimento de auditoria interna e uma lista de verifica\u00e7\u00e3o, ou n\u00e3o.<\/strong> Um procedimento escrito que definiria como a auditoria interna \u00e9 realizada n\u00e3o \u00e9 obrigat\u00f3rio; contudo, \u00e9 certamente recomendado. Normalmente, os empregados n\u00e3o est\u00e3o muito familiarizados com auditorias internas,assim \u00e9 uma boa coisa ter algumas regras b\u00e1sicas por escrito \u2013 a menos, \u00e9 claro, que auditoria seja uma coisa que voc\u00ea fa\u00e7a diariamente. \u00c9 o mesmo com a lista de verifica\u00e7\u00e3o de auditoria interna \u2013 n\u00e3o \u00e9 obrigat\u00f3rio, mas \u00e9 certamente \u00fatil para iniciantes. Veja tamb\u00e9m: <a href=\"\/27001academy\/pt-br\/knowledgebase\/como-fazer-uma-lista-de-verificacao-para-auditoria-interna-da-iso-27001-iso-22301\/\">Como fazer uma Lista de Verifica\u00e7\u00e3o para Auditoria Interna da ISO 27001 \/ ISO 22301<\/a>.<\/li>\n<\/ul>\n<h2>Documenta\u00e7\u00e3o requerida<\/h2>\n<p>Voc\u00ea deveria ter os seguintes documentos com rela\u00e7\u00e3o a sua auditoria interna :<\/p>\n<ul>\n<li><a href=\"\/27001academy\/pt-br\/documentation\/procedimento-de-auditoria-interna\/\" target=\"_blank\" rel=\"noopener\">Procedimento de auditoria interna<\/a> (n\u00e3o obrigat\u00f3rio) \u2013 este procedimento define as regras b\u00e1sicas para realizar a auditoria: como selecionar os auditores, como as auditorias s\u00e3o planejadas, os elementos da condu\u00e7\u00e3o da auditoria, as atividades de acompanhamento (follow-up), e como reportar as auditorias.<\/li>\n<li><a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/anexo-1-programa-de-auditoria-interna-anual\/\" target=\"_blank\" rel=\"noopener\">Programa de auditoria interna<\/a> (obrigat\u00f3rio) \u2013 este \u00e9 onde as auditorias s\u00e3o planejadas no n\u00edvel anual, incluindo seus crit\u00e9rios e escopo.<\/li>\n<li><a href=\"\/27001academy\/pt-br\/documentation\/anexo-3-checklist-de-auditoria-interna\/\" target=\"_blank\" rel=\"noopener\">Checklist de auditoria interna<\/a>\u00a0(n\u00e3o obrigat\u00f3rio) \u2013 esta \u00e9 uma lista de verifica\u00e7\u00e3o que ajuda o auditor interno a n\u00e3o esquecer algo durante a auditoria interna.<\/li>\n<li><a href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/anexo-2-relatorio-de-auditoria-interna\/\" target=\"_blank\" rel=\"noopener\">Relat\u00f3rio de auditoria interna<\/a>\u00a0(obrigat\u00f3rio) \u2013 este \u00e9 onde o auditor interno reportar\u00e1 as n\u00e3o conformidades e outras descobertas.<\/li>\n<\/ul>\n<h2>O papel da alta administra\u00e7\u00e3o<\/h2>\n<p>A alta administra\u00e7\u00e3o tamb\u00e9m se envolve nas auditorias internas \u2013 desde a aprova\u00e7\u00e3o do procedimento e indica\u00e7\u00e3o do auditor interno, at\u00e9 a aceita\u00e7\u00e3o do programa de auditoria e leitura do relat\u00f3rio de auditoria interna. Estas atividades n\u00e3o deveriam ser delegadas para n\u00edveis inferiores da hierarquia, porque isto poderia colocar o auditor em um conflito de interesses, a al\u00e9m disso, algumas informa\u00e7\u00f5es importantes podem n\u00e3o encontrar seu caminho at\u00e9 a alta administra\u00e7\u00e3o.<\/p>\n<p>E, mais importante de tudo, a alta administra\u00e7\u00e3o deveria tomar uma decis\u00e3o consciente de que eles aceitar\u00e3o e apoiar\u00e3o a auditoria interna como algo que \u00e9 \u00fatil para o neg\u00f3cio.<\/p>\n<h2>O prop\u00f3sito da auditoria interna<\/h2>\n<p>\u00c0 primeira vista, a auditoria interna provavelmente se parece com uma sobrecarga onerosa. Contudo, auditorias internas podem possibilitar a voc\u00ea descobrir problemas (i.e., n\u00e3o conformidades) que de outra forma permaneceriam escondidas e assim impactariam negativamente seu neg\u00f3cio. Sejamos realistas \u2013 \u00e9 da natureza humana cometer erros, assim \u00e9 imposs\u00edvel ter um sistema sem erros; contudo, \u00e9 poss\u00edvel ter um sistema que melhora a si mesmo e aprende com seus erros.<\/p>\n<p>Auditorias internas s\u00e3o uma parte crucial de tal sistema \u2013 elas ser\u00e3o aquelas a dizer a voc\u00ea se o seu sistema realmente funciona ou n\u00e3o.<\/p>\n<p><em>Este artigo \u00e9 um trecho do livro<\/em>\u00a0\u00a0<strong>Secure &amp; Simple:<\/strong> <strong>A Small-Business Guide to Implementing ISO 27001 On Your Own<\/strong>.\u00a0<span id=\"hs-cta-wrapper-93545c06-4e4f-456b-81bf-42b4639a38aa\" class=\"hs-cta-wrapper\"><span id=\"hs-cta-93545c06-4e4f-456b-81bf-42b4639a38aa\" class=\"hs-cta-node hs-cta-93545c06-4e4f-456b-81bf-42b4639a38aa\"><a href=\"https:\/\/cta-redirect.hubspot.com\/cta\/redirect\/1983423\/93545c06-4e4f-456b-81bf-42b4639a38aa\" target=\"_blank\" rel=\"noopener\">Clique aqui para ver quais outros t\u00f3picos s\u00e3o abordados\u2026<\/a><\/span><\/span><br \/>\n<!-- end HubSpot Call-to-Action Code --><\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Muitas pessoas simplesmente correm para preparar uma lista de verifica\u00e7\u00e3o e realizar a auditoria interna da ISO 27001\u00a0\u2013 quanto mais cedo este trabalho \u201cin\u00fatil\u201d for realizado, melhor. Mas, tal correria apenas criar\u00e1 outros problemas, e tornar\u00e1 a auditoria interna mais longa do que o necess\u00e1rio. Assim, vejamos o que voc\u00ea tem que preparar para tornar &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[],"class_list":["post-10058","post","type-post","status-publish","format-standard","hentry","category-blog-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10058","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=10058"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10058\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=10058"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=10058"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=10058"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}