Se esta é a primeira vez que você tem contato com a ideia de um auditor interno, você provavelmente está confuso: Por que eu preciso de outro controle? Quem vai pagar por isso? Quem devo contratar para fazer esse trabalho? É um desperdício de tempo…
Bem, não precisa ser tão ruim, além de cumprir com as normas ISO 27001 e BS 25999-2, a auditoria interna pode ser bastante útil para outras questões comerciais (estejam elas relacionadas à segurança da informação e continuidade de negócios, ou não).
O objetivo das auditorias internas é descobrir problemas que poderiam ficar escondidos e, portanto, prejudicar os negócios. Sejamos realistas: cometer erros é humano, por isso é impossível ter um sistema sem erros. No entanto, é possível ter um sistema que melhora a si mesmo e aprende com seus erros. As auditorias internas são uma parte crucial de um sistema assim.
Existem algumas maneiras de realizar uma auditoria interna:
a) Contratar um auditor interno em tempo integral – isso é adequado apenas para grandes organizações que têm trabalho suficiente para esse funcionário (alguns tipos de organizações – bancos, por exemplo – são obrigados por lei empregar pessoas para essa função)
b) Contratar auditores internos que trabalhem meio período – esta é a situação mais comum. As organizações usam seus próprios funcionários para realizar auditorias internas, paralelamente às funções de seu trabalho regular. Uma coisa importante para observar: a fim de evitar conflitos de interesse (os auditores não podem auditorar seu próprio trabalho), deve haver pelo menos dois auditores internos, para que um possa analisar o trabalho regular do outro.
c) Contratar um auditor interno de fora da organização – embora esta pessoa não seja um funcionário da organização, ainda assim é uma auditoria interna, pois a auditoria é realizada pela própria organização, de acordo com suas regras. Normalmente isso é feito por uma pessoa que tem conhecimento nessa área (um consultor independente etc.).
No entanto, com base na minha experiência como auditor, a triste verdade é que a maioria das organizações realizam auditorias internas apenas para satisfazer o organismo de certificação. O resultado dessas auditorias internas são algumas inconformidades que não se aprofundam nos problemas reais do sistema de gestão da segurança da informação (SGSI) ou do sistema de gestão da continuidade de negócios (SGCN). Isso é um desperdício de tempo. Se as empresas investem o tempo de seus auditores internos para realizar essas tarefas, elas devem tirar benefícios disso.
Mas como, então, abordar as auditorias internas da forma correta? Aqui estão algumas ideias:
- A gerência deve ver a auditoria interna como uma das melhores ferramentas para melhorar o sistema, não apenas como um meio para obter a certificação.
- O auditor interno deve ser qualificado. Isso significa que deve ter experiência em segurança da informação, tecnologia da informação e técnicas de auditoria. Isso não significa que o auditor deve ser um especialista nessas áreas.
- A auditoria interna deve ser realizada de forma positiva – o objetivo deve ser melhorar o sistema, e não culpar os funcionários pelos seus erros.
Vendo o lado positivo, como auditor de certificação, conheci algumas organizações que realizam auditorias internas da maneira certa. Apesar de os funcionários se sentirem um pouco desconfortáveis por ter alguém verificando suas atividades, logo perceberam os benefícios dessa abordagem: os problemas se tornaram transparentes e eram resolvidos mais rapidamente.
Para aprender sobre o processo de auditoria interna, por favor veja este curso online gratuito: ISO 27001:2013 Internal Auditor Course.