Se esta \u00e9 a primeira vez que voc\u00ea tem contato com a ideia de um auditor interno, voc\u00ea provavelmente est\u00e1 confuso: Por que eu preciso de outro controle? Quem vai pagar por isso? Quem devo contratar para fazer esse trabalho? \u00c9 um desperd\u00edcio de tempo…<\/p>\n
Bem, n\u00e3o precisa ser t\u00e3o ruim, al\u00e9m de cumprir com as normas ISO 27001<\/a> e BS 25999-2<\/a>, a auditoria interna pode ser bastante \u00fatil para outras quest\u00f5es comerciais (estejam elas relacionadas \u00e0 seguran\u00e7a da informa\u00e7\u00e3o e continuidade de neg\u00f3cios, ou n\u00e3o).<\/p>\n O objetivo das auditorias internas \u00e9 descobrir problemas que poderiam ficar escondidos e, portanto, prejudicar os neg\u00f3cios. Sejamos realistas: cometer erros \u00e9 humano, por isso \u00e9 imposs\u00edvel ter um sistema sem erros. No entanto, \u00e9 poss\u00edvel ter um sistema que melhora a si mesmo e aprende com seus erros. As auditorias internas s\u00e3o uma parte crucial de um sistema assim.<\/p>\n Existem algumas maneiras de realizar uma auditoria interna:<\/p>\n a) Contratar um auditor interno em tempo integral \u2013 isso \u00e9 adequado apenas para grandes organiza\u00e7\u00f5es que t\u00eam trabalho suficiente para esse funcion\u00e1rio (alguns tipos de organiza\u00e7\u00f5es \u2013 bancos, por exemplo \u2013 s\u00e3o obrigados por lei empregar pessoas para essa fun\u00e7\u00e3o)<\/p>\n b) Contratar auditores internos que trabalhem meio per\u00edodo \u2013 esta \u00e9 a situa\u00e7\u00e3o mais comum. As organiza\u00e7\u00f5es usam seus pr\u00f3prios funcion\u00e1rios para realizar auditorias internas, paralelamente \u00e0s fun\u00e7\u00f5es de seu trabalho regular. Uma coisa importante para observar: a fim de evitar conflitos de interesse (os auditores n\u00e3o podem auditorar seu pr\u00f3prio trabalho), deve haver pelo menos dois auditores internos, para que um possa analisar o trabalho regular do outro.<\/p>\n c) Contratar um auditor interno de fora da organiza\u00e7\u00e3o \u2013 embora esta pessoa n\u00e3o seja um funcion\u00e1rio da organiza\u00e7\u00e3o, ainda assim \u00e9 uma auditoria interna, pois a auditoria \u00e9 realizada pela pr\u00f3pria organiza\u00e7\u00e3o, de acordo com suas regras. Normalmente isso \u00e9 feito por uma pessoa que tem conhecimento nessa \u00e1rea (um consultor independente etc.).<\/p>\n No entanto, com base na minha experi\u00eancia como auditor, a triste verdade \u00e9 que a maioria das organiza\u00e7\u00f5es realizam auditorias internas apenas para satisfazer o organismo de certifica\u00e7\u00e3o. O resultado dessas auditorias internas s\u00e3o algumas inconformidades que n\u00e3o se aprofundam nos problemas reais do sistema de gest\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o (SGSI) ou do sistema de gest\u00e3o da continuidade de neg\u00f3cios (SGCN). Isso \u00e9 um desperd\u00edcio de tempo. Se as empresas investem o tempo de seus auditores internos para realizar essas tarefas, elas devem tirar benef\u00edcios disso.<\/p>\n Mas como, ent\u00e3o, abordar as auditorias internas da forma correta? Aqui est\u00e3o algumas ideias:<\/p>\n Vendo o lado positivo, como auditor de certifica\u00e7\u00e3o, conheci algumas organiza\u00e7\u00f5es que realizam auditorias internas da maneira certa. Apesar de os funcion\u00e1rios se sentirem um pouco desconfort\u00e1veis por ter algu\u00e9m verificando suas atividades, logo perceberam os benef\u00edcios dessa abordagem: os problemas se tornaram transparentes e eram resolvidos mais rapidamente.<\/p>\n\n