{"id":4364,"date":"2015-05-20T08:40:45","date_gmt":"2015-05-20T08:40:45","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/015\/05\/20\/certificacao-iso-27001-o-que-fazer-apos-receber-o-relatorio-de-auditoria\/"},"modified":"2022-12-29T09:09:01","modified_gmt":"2022-12-29T09:09:01","slug":"certificacao-iso-27001-o-que-fazer-apos-receber-o-relatorio-de-auditoria","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2015\/05\/20\/certificacao-iso-27001-o-que-fazer-apos-receber-o-relatorio-de-auditoria\/","title":{"rendered":"Certifica\u00e7\u00e3o ISO 27001: O que fazer ap\u00f3s receber o relat\u00f3rio de auditoria?"},"content":{"rendered":"<p>Para aqueles que j\u00e1 operam um Sistema de gest\u00e3o, como um SGSI baseado na <a href=\"\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener\">ISO 27001<\/a>, o <a href=\"\/27001academy\/pt-br\/documentation\/procedimento-de-auditoria-interna\/\" target=\"_blank\" rel=\"noopener\">evento da auditoria de certifica\u00e7\u00e3o<\/a>\u00a0j\u00e1 \u00e9 conhecido: o auditor chega, realiza a abertura da auditoria, avalia processos e registros, declara o resultado e elabora o <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/anexo-2-relatorio-de-auditoria-interna\/\" target=\"_blank\" rel=\"noopener\">relat\u00f3rio de auditoria<\/a>, encerrando esta fase do processo de auditoria. Contudo, por que eu disse \u201cesta fase da auditoria\u201d? Ela ainda n\u00e3o acabou?<\/p>\n<p>Dependendo do conte\u00fado do relat\u00f3rio, pode haver muito trabalho para a organiza\u00e7\u00e3o fazer, e para ajud\u00e1-lo a obter o maior valor poss\u00edvel deste relat\u00f3rio, e n\u00e3o esquecer alguns assuntos cruciais, vejamos o que voc\u00ea pode encontrar nele.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Principais partes de um relat\u00f3rio de auditoria<\/h2>\n<p>De forma geral, um relat\u00f3rio de auditoria \u00e9 composto de:<\/p>\n<ul>\n<li>Dados de identifica\u00e7\u00e3o: identificador e data do relat\u00f3rio, per\u00edodo da auditoria, equipe de auditoria, etc.<\/li>\n<li>Escopo: a unidade organizacional, processo ou produto que foi auditado<\/li>\n<li>Crit\u00e9rios de avalia\u00e7\u00e3o: a refer\u00eancia usada para realizar a auditoria<\/li>\n<li>Trilhas de evid\u00eancia: uma breve descri\u00e7\u00e3o sobre o que foi auditado (nomes de processos, locais, evid\u00eancias, etc.)<\/li>\n<li>Resultados: conclus\u00f5es da equipe de auditoria, que incluem:\n<ul>\n<li style=\"padding-top: 5px;\">Situa\u00e7\u00e3o da recomenda\u00e7\u00e3o<\/li>\n<li>N\u00e3o conformidades<\/li>\n<li>Oportunidade de melhoria<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Tamb\u00e9m falarei um pouco sobre o uso de informa\u00e7\u00f5es do relat\u00f3rio de auditoria na an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Situa\u00e7\u00e3o da recomenda\u00e7\u00e3o<\/h2>\n<p>O resultado mais importante do relat\u00f3rio da auditoria de certifica\u00e7\u00e3o, que informa se o SGSI da organiza\u00e7\u00e3o est\u00e1 em conformidade com os requisitos da ISO 27001, e assegura a certifica\u00e7\u00e3o. As situa\u00e7\u00f5es poss\u00edveis s\u00e3o \u201crecomendado\u201d, \u201crecomendado com apresenta\u00e7\u00e3o de plano de a\u00e7\u00e3o\u201d e \u201cn\u00e3o recomendado\u201d.<\/p>\n<p>Uma situa\u00e7\u00e3o de \u201crecomendado\u201d significa que nenhuma n\u00e3o conformidade foi identificada durante a auditoria. Para os outros dois tipos, a diferen\u00e7a entre elas refere-se ao tipo de n\u00e3o conformidades identificadas, que eu apresentarei na pr\u00f3xima se\u00e7\u00e3o, assim como o que voc\u00ea deveria fazer para obter a certifica\u00e7\u00e3o do seu SGSI.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">N\u00e3o conformidades<\/h2>\n<p>N\u00e3o conformidades ocorrem quando a organiza\u00e7\u00e3o n\u00e3o cumpre o que \u00e9 requisitado pela norma, pela sua pr\u00f3pria documenta\u00e7\u00e3o, ou por um terceiro. Alguns exemplos de n\u00e3o conformidades s\u00e3o:<\/p>\n<ul>\n<li>Falta de um registro espec\u00edfico definido como requerido pela organiza\u00e7\u00e3o<\/li>\n<li>Uma pr\u00e1tica usual adotada e mantida pela organiza\u00e7\u00e3o, mas que n\u00e3o est\u00e1 documentada (e.g.: desenvolvimento de prot\u00f3tipo por uma empresa de design)<\/li>\n<li>Um processo que \u00e9 requerido pela norma e que n\u00e3o est\u00e1 sendo executado apropriadamente (e.g.: an\u00e1lise cr\u00edtica pela administra\u00e7\u00e3o)<\/li>\n<\/ul>\n<p>Uma vez que n\u00e3o conformidades s\u00e3o falhas em atender requisitos do Sistema de gest\u00e3o, a organiza\u00e7\u00e3o deve, de acordo com a cl\u00e1usula 10.1 da ISO 27001 (n\u00e3o conformidades e a\u00e7\u00f5es corretivas):<\/p>\n<ol style=\"padding-left: 5px;\">\n<li>Reagir de forma apropriada para control\u00e1-las e corrigi-las,<\/li>\n<li>Tratar as consequ\u00eancias,<\/li>\n<li>Avaliar a necessidade de eliminar ou controlar as causas,<\/li>\n<li>Implementar a\u00e7\u00f5es corretivas para tratar as causas,<\/li>\n<li>Revisar a efic\u00e1cia das a\u00e7\u00f5es corretivas, e<\/li>\n<li>Alterar o SGSI da organiza\u00e7\u00e3o sempre que necess\u00e1rio.<\/li>\n<\/ol>\n<p>Para prop\u00f3sitos da auditoria de certifica\u00e7\u00e3o, n\u00e3o conformidades s\u00e3o classificadas como maiores ou menores, o que define as a\u00e7\u00f5es a serem feitas.<\/p>\n<p>Uma n\u00e3o conformidade menor \u00e9 um desvio que n\u00e3o compromete a gest\u00e3o do SGSI, e leva a situa\u00e7\u00e3o de \u201crecomendado com apresenta\u00e7\u00e3o de plano de a\u00e7\u00e3o\u201d. Para este tipo de n\u00e3o conformidade, um simples <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/documentation\/formulario-de-acao-corretiva-ou-preventiva\/\" target=\"_blank\" rel=\"noopener\">plano de a\u00e7\u00e3o<\/a>\u00a0dever\u00e1 ser definido e enviado ao auditor. Ap\u00f3s o recebimento e aprova\u00e7\u00e3o do plano, o auditor procede com a recomenda\u00e7\u00e3o para certifica\u00e7\u00e3o do SGSI. Perceba que voc\u00ea tem um prazo para enviar este plano (de 5 a 10 dias), e que na pr\u00f3xima auditoria os resultados do plano ser\u00e3o avaliados pelo auditor.<\/p>\n<p>Por outro lado, n\u00e3o conformidades maiores s\u00e3o problemas que comprometem as opera\u00e7\u00f5es do SGSI como um todo, resultando na situa\u00e7\u00e3o de \u201cn\u00e3o recomendado\u201d. Uma vez identificadas, a organiza\u00e7\u00e3o deve corrigir n\u00e3o conformidades maiores <strong><em>antes<\/em><\/strong> que a auditoria de certifica\u00e7\u00e3o possa prosseguir. E uma vez que estes problemas normalmente levam tempo para serem corrigidos, ser\u00e1 preciso uma nova visita do auditor para terminar o processo. Bons processos de monitoramento (veja a cl\u00e1usula 9 da ISO 27001) s\u00e3o uma excelente forma de evitar tais problemas.<\/p>\n<p>Para mais explica\u00e7\u00f5es sobre n\u00e3o conformidades maiores e menores, veja este artigo: <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2014\/06\/04\/nao-conformidades-maiores-vs-menores-na-auditoria-de-certificacao\/\" target=\"_blank\" rel=\"noopener\">N\u00e3o conformidades maiores vs. menores na auditoria de certifica\u00e7\u00e3o<\/a>.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Oportunidades de melhoria<\/h2>\n<p>Estas s\u00e3o situa\u00e7\u00f5es onde, no ponto de vista do auditor, uma organiza\u00e7\u00e3o pode aumentar a pertin\u00eancia, adequa\u00e7\u00e3o ou efic\u00e1cia de seu SGSI. Exemplos de oportunidade de melhoria s\u00e3o:<\/p>\n<ul>\n<li>Incorpora\u00e7\u00e3o de tecnologias novas ou atualizadas (e.g.: ado\u00e7\u00e3o de solu\u00e7\u00f5es de criptografia)<\/li>\n<li>Ado\u00e7\u00e3o\/exclus\u00e3o de atividades em processos do neg\u00f3cio (e.g.: inclus\u00e3o de pontos de verifica\u00e7\u00e3o em atividades cr\u00edticas ou exclus\u00e3o de atividades que n\u00e3o afetam os resultados do neg\u00f3cio)<\/li>\n<\/ul>\n<p>Uma vez que uma auditoria \u00e9 baseada em amostras para se avaliar a conformidade, o que representa apenas uma fra\u00e7\u00e3o da realidade da organiza\u00e7\u00e3o, n\u00e3o h\u00e1 requisito normativo demandando que uma organiza\u00e7\u00e3o trate oportunidades de melhoria, mas elas sempre deveriam ser analisadas para se determinar seu valor para a organiza\u00e7\u00e3o e se vale a pena implement\u00e1-las.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">O relat\u00f3rio de auditoria na an\u00e1lise cr\u00edtica da administra\u00e7\u00e3o<\/h2>\n<p>Uma vez que resultados de auditoria s\u00e3o entradas requeridas para a an\u00e1lise cr\u00edtica pela dire\u00e7\u00e3o (cl\u00e1usula 9.3 c) 3)), a organiza\u00e7\u00e3o dever\u00e1 estar preparada para apresentar para a administra\u00e7\u00e3o as n\u00e3o conformidades identificadas, os planos de a\u00e7\u00e3o definidos e a avali\u00e7\u00e3o de oportunidades de melhoria.<\/p>\n<p>Nesta situa\u00e7\u00e3o, n\u00e3o apenas as informa\u00e7\u00f5es do relat\u00f3rio de auditoria s\u00e3o \u00fateis, mas tamb\u00e9m informa\u00e7\u00f5es providas por aqueles que acompanharam o processo de auditoria (o guia do auditor e o pessoal que foi auditado). Eles podem dar uma percep\u00e7\u00e3o sobre aspectos n\u00e3o identificados pelo auditor, mas que podem ser fontes de vulnerabilidades ou oportunidades de melhoria adicionais. Por exemplo, ao entender o m\u00e9todo do auditor para seguir uma trilha de auditoria, a equipe pode identificar que seu processo de backup pode falhar em um cen\u00e1rio espec\u00edfico e elaborar um plano para prevenir que isso aconte\u00e7a.<\/p>\n<h2 style=\"padding-top: 10px; padding-bottom: 10px;\">Explore todas as informa\u00e7\u00f5es de auditoria dispon\u00edveis para sua vantagem<\/h2>\n<p>Al\u00e9m do valor para o processo de certifica\u00e7\u00e3o, considero o relat\u00f3rio de auditoria uma das fontes de informa\u00e7\u00e3o mais valiosas para melhorar qualquer sistema de gest\u00e3o. O fato da auditoria ser realizada por algu\u00e9m normalmente de fora das etapas do processo (e.g.: um <a href=\"https:\/\/staging.advisera.com\/27001academy\/pt-br\/blog\/2015\/03\/31\/qualificacoes-para-um-auditor-interno-da-iso-27001\/\" target=\"_blank\" rel=\"noopener\">auditor interno<\/a>, um <a href=\"https:\/\/staging.advisera.com\/27001academy\/blog\/2013\/03\/25\/5-criteria-for-choosing-a-iso-22301-iso-27001-consultant\/\" target=\"_blank\" rel=\"noopener\">consultor<\/a>, ou um <a href=\"https:\/\/staging.advisera.com\/blog\/2021\/01\/11\/how-to-choose-an-iso-certification-body\/\" target=\"_blank\" rel=\"noopener\">auditor de certifica\u00e7\u00e3o<\/a>) significa que prover uma vis\u00e3o diferente e renovada das pr\u00e1ticas adotadas pelas atividades operacionais e de gest\u00e3o da organiza\u00e7\u00e3o<\/p>\n<p><em>Para ajud\u00e1-lo a rastrear e lidar com todas as suas n\u00e3o-conformidades encontradas durante a auditoria de certifica\u00e7\u00e3o, e as a\u00e7\u00f5es corretivas necess\u00e1rias, voc\u00ea pode usar este\u00a0<\/em><a href=\"\/conformio\/\" target=\"_blank\" rel=\"noopener\">Conformio compliance software<\/a>.<\/p>\n<p>N\u00f3s agradecemos a <a href=\"https:\/\/br.linkedin.com\/in\/rhandleal\/\" target=\"_blank\" rel=\"noopener\">Rhand Leal<\/a> pela tradu\u00e7\u00e3o para o portugu\u00eas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Para aqueles que j\u00e1 operam um Sistema de gest\u00e3o, como um SGSI baseado na ISO 27001, o evento da auditoria de certifica\u00e7\u00e3o\u00a0j\u00e1 \u00e9 conhecido: o auditor chega, realiza a abertura da auditoria, avalia processos e registros, declara o resultado e elabora o relat\u00f3rio de auditoria, encerrando esta fase do processo de auditoria. Contudo, por que &#8230;<\/p>\n","protected":false},"author":41,"featured_media":4365,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-4364","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4364","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=4364"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/4364\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/4365"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=4364"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=4364"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=4364"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}