Se você está planejando sua auditoria interna da ISO 27001 ou ISO 22301 pela primeira vez, provavelmente está atordoado com a complexidade da norma e com o que você deveria verificar durante a auditoria. Então, você provavelmente está procurando por algum tipo de lista de verificação para ajudá-lo com esta tarefa. Eis a má notícia: não existe uma lista de verificação universal que poderia atender as necessidades de sua organização com perfeição, porque cada organização é muito diferente; mas a boa notícia é: você pode desenvolver uma lista de verificação personalizada muito facilmente.
As etapas da auditoria interna
Vejamos quais etapas você precisa cumprir para criar uma lista de verificação, e onde elas são utilizadas. A propósito, estas etapas são aplicáveis para auditorias internas de quaisquer normas de gestão, como por exemplo ISO 9001, ISO 14001, etc.:
- Análise crítica da documentação. Nesta etapa você tem que ler toda a documentação do seu Sistema de Gestão de Segurança da Informação ou Sistema de Gestão de Continuidade de Negócio (ou a parte do SGSI/SGCN que você está preste a auditar) de modo a: (1) tornar-se familiarizado com o processo do SGSI, e (2) para identificar se existem não conformidades na documentação em relação a ISO 27001 ou ISO 22301.
- Criação da lista de verificação. Basicamente, você prepara uma lista de verificação em paralelo com a análise crítica da documentação – você lê sobre os requisitos específicos escritos na documentação (políticas, procedimentos e planos), e escreve-os de forma que você possa verificá-los durante a auditoria em campo. Por exemplo, se a política de cópias de segurança requer que as cópias sejam feitas a cada 6 horas, então você deve anotar isto em sua lista de verificação, para lembrar-se de verificar se isto esta realmente sendo feito.
- Planejamento da auditoria em campo. Uma vez que haverão muitas coisas que você precisará verificar, você deveria planejar quais departamentos e /ou locais visitar e quando – e sua lista de verificação lhe dará uma ideia onde se concentrar mais.
- Realizando a auditoria em campo. A auditoria em campo, em contraposição a análise crítica da documentação, é muito prática – você deve andar pela organização e falar com empregados, verificar computadores e outros equipamentos, observar a segurança física, etc. Uma lista de verificação é crucial neste processo – se você não possuir nada em que se basear, certamente esquecerá de verificar muitas coisas importantes; da mesma forma, você precisa tomar notas detalhadas sobre o que encontrar.
- Reporte de resultados. Uma vez que você tenha terminado a auditoria em campo, você deve sumarizar todas as não conformidades que encontrou, e escrever um relatório de auditoria interna – e claro, sem a lista de verificação e as notas detalhadas você não será capaz de escrever um relatório preciso. Baseado neste relatório, você ou oura pessoa terão de abrir ações corretivas de acordo com o procedimento de ações corretivas.
- Acompanhamento. Em muitos casos, o auditor interno será aquele que irá verificar se todas as ações corretivas levantadas durante a auditoria interna foram fechadas – e novamente, sua lista de verificação e notas podem ser muito úteis para lembrá-lo das razões pelas quais levantou a não conformidade em primeiro lugar. Somente após as não conformidades serem fechadas é que o trabalho do auditor interno está encerrado.
Tornando sua lista de verificação útil para iniciantes
Desenvolver sua lista de verificação dependerá primariamente dos requisitos específicos de suas políticas e procedimentos.
Mas se você é novo neste mundo ISO, pode também adicionar a sua lista de verificação alguns requisitos básicos da ISO 27001 ou ISO 22301 de forma que você se sinta mais confortável quando iniciar sua primeira auditoria. Primeiro de tudo, você deve conseguir a norma; depois, a técnica é simples – você terá que ler cláusula por cláusula e escrever notas em sua lista de verificação sobre o que procurar.
A propósito, as normas são um pouco difíceis de ler – então, seria de muita ajuda se você pudesse participar de algum tipo de treinamento, porque desta forma você aprenderá sobre a norma de um modo mais eficaz. (Clique aqui para ver uma lista de webinars sobre a ISO 27001 e ISO 22301.)
O que incluir em sua lista de verificação
Normalmente, a lista de verificação para auditoria interna conteria 4 colunas:
- Referência – por exemplo, número da cláusula da norma, ou número da seção da política, etc.
- O que procurar – aqui é onde você escreve o que você iria procurar durante a auditoria em campo – com quem falar, quais questões fazer, quais registro procurar, quais instalações visitar, quais equipamentos verificar, etc.
- Conformidade – esta coluna você preencherá durante a auditoria em campo, e nela você irá determinar se a organização está em conformidade com o requisito. Em muitos casos será um simples Sim ou Não, mas às vezes ele pode ser Não Aplicável.
- Descobertas – esta é a coluna onde você escreverá o que encontrou durante a auditoria em campo – nomes de pessoas com que falou, citações sobre o que disseram, identificações e conteúdo de registros que examinou, descrição de instalações que visitou, observações sobre equipamentos que verificou, etc.
Não tenha medo
Realizar a auditoria interna não é assim tão difícil – ao invés disso, é bem direta: você precisa seguir o que é requisitado pela norma e o que é requisitado pela documentação do SGSI/SGCN, e identificar se os empregados estão agindo em conformidade com estas regras.
Se você preparou sua lista de verificação de forma apropriada, sua tarefa certamente será muito mais fácil.
Clique aqui para baixar uma amostra do ISO 27001 Internal Auditor Online Course.
Nós agradecemos a Rhand Leal pela tradução para o português.