A certificação ISO/IEC 27001 é hoje um dos diferenciais mais importantes para empresas que desejam demonstrar seu compromisso com a segurança da informação. Mas como funciona o processo de auditoria? Quais são os tipos de auditoria existentes? E como se preparar para ser um auditor líder reconhecido internacionalmente?

Neste artigo, vamos explorar todos esses aspectos com base em experiências práticas de profissionais que atuam diariamente com auditorias e certificações de sistemas de gestão de segurança da informação (SGSI).

🎬Assita à aula do Prof. Daniel Cadorin

 

O que é um Sistema de Gestão de Segurança da Informação (SGSI)?

Antes de falarmos sobre auditoria, é fundamental entender o que será auditado. O SGSI é composto por políticas, procedimentos, diretrizes e recursos associados às atividades de segurança da informação de uma organização. O sistema se baseia no famoso tripé da segurança: confidencialidade, integridade e disponibilidade.

Confidencialidade garante que as informações sejam acessíveis apenas a pessoas autorizadas. Integridade assegura a precisão e completude dos dados. Disponibilidade significa que sistemas e informações estarão acessíveis quando necessário.

Uma das grandes vantagens de implementar um SGSI é que ele segue o ciclo PDCA (Plan-Do-Check-Act), permitindo um processo de melhoria contínua. A empresa planeja, implementa, monitora e melhora constantemente seus controles de segurança.

Os 3 Tipos de Auditoria

Existem três tipos principais de auditoria que uma organização pode passar:

1. Auditoria de Primeira Parte (Auditoria Interna)

É a autoavaliação da organização. Pode ser realizada por colaboradores internos treinados como auditores ou por profissionais terceirizados contratados especificamente para esse fim. É importante destacar que mesmo quando terceirizada, continua sendo uma auditoria interna – a empresa apenas contratou um especialista externo para conduzi-la.

A auditoria interna é um requisito obrigatório para empresas que buscam ou mantêm a certificação ISO 27001. Ela não substitui a auditoria de certificação, mas prepara a organização e permite identificar não conformidades antes da auditoria externa.

2. Auditoria de Segunda Parte

Ocorre quando um cliente audita seu fornecedor (ou vice-versa). Com o aumento das exigências de segurança da informação na cadeia de fornecimento, esse tipo de auditoria tem se tornado cada vez mais comum. Empresas estão exigindo que seus fornecedores demonstrem conformidade com padrões de segurança, e a auditoria de segunda parte é uma das formas de verificar isso.

3. Auditoria de Terceira Parte (Auditoria de Certificação)

É a auditoria formal conduzida por um organismo certificador acreditado. Somente essa auditoria pode resultar na emissão de um certificado ISO 27001 reconhecido. O organismo certificador deve ser independente e imparcial, e jamais pode prestar consultoria à empresa que está auditando.

O Processo de Certificação: Passo a Passo

O processo de certificação ISO 27001 segue um ciclo bem definido. Observe o diagrama abaixo que ilustra as etapas:

Figura: Ciclo do Processo de Certificação ISO 27001

PASSO 1 - Orçamento e Contratação: A empresa solicita orçamentos de diferentes organismos certificadores e escolhe aquele que melhor atende suas necessidades. Após a definição, é estabelecido o contrato.

PASSO 2 - Pré-Auditoria (Opcional): Algumas empresas optam por contratar uma pré-auditoria com a certificadora. É importante destacar que essa pré-auditoria NÃO substitui a auditoria interna obrigatória. É apenas uma verificação prévia para avaliar o nível de preparação da empresa.

PASSO  3 - Auditoria Fase 1: Foco na revisão documental do sistema de gestão. O auditor avalia políticas, procedimentos, declaração de aplicabilidade, processo de gestão de riscos e demais documentos obrigatórios.

PASSO 4 - Auditoria Fase 2: Verificação prática da implementação. O auditor realiza entrevistas, coleta evidências, faz visitas físicas (quando necessário) e verifica se o que está documentado é realmente praticado.

PASSO 5 - Tratamento de Não Conformidades: Se forem identificadas não conformidades menores, a empresa tem um prazo para apresentar um plano de ação. Não conformidades maiores podem impedir a recomendação para certificação até serem resolvidas (geralmente 30 dias).

PASSO 6 - Recomendação e Emissão do Certificado: Se aprovado, o auditor recomenda a certificação. O organismo certificador avalia tecnicamente o relatório e emite o certificado, que tem validade de 3 anos.

PASSO 7 - Auditorias de Vigilância (Anos 2 e 3): Anualmente, são realizadas auditorias de manutenção para verificar se o sistema continua funcionando. Essas auditorias cobrem uma amostra dos processos, não todos como na certificação inicial.

PASSO 8 - Recertificação: Ao final do terceiro ano, a empresa passa por uma auditoria de recertificação, que avalia novamente todos os processos do escopo, renovando o certificado por mais 3 anos.

O que é Ser um Auditor Líder?

O auditor líder é um profissional capacitado e qualificado para conduzir auditorias de primeira, segunda e terceira parte. Ele é responsável por liderar equipes de auditoria, emitir relatórios técnicos e, no caso de auditorias de certificação, recomendar ou não a empresa para certificação.

Este profissional atua com autonomia técnica e precisa demonstrar domínio sobre normas, metodologias de auditoria e técnicas de coleta de evidências. Além disso, deve possuir habilidades comportamentais essenciais.

Competências Essenciais do Auditor Líder

  • Comportamento Pessoal: Ético, mente aberta, diplomático, observador, perceptivo, versátil, tenaz, decisivo, autoconfiante, aberto à melhoria e colaborativo. O auditor não pode ser aquele profissional "cara fechada" que intimida o auditado – isso prejudica o processo e não agrega valor.
  • Conhecimentos Técnicos: Domínio dos princípios de auditoria, métodos e processos de auditoria, normas de sistemas de gestão, e requisitos regulamentares aplicáveis ao setor.
  • Habilidades de Liderança: Capacidade de planejamento, gerenciamento de projetos de auditoria, liderança de equipes e elaboração de relatórios técnicos claros e objetivos.
  • Especialização Setorial: Competência apropriada no setor específico que irá auditar. Por exemplo, auditorias em empresas de tecnologia podem requerer conhecimentos em desenvolvimento de software, cloud computing e infraestrutura de TI.

Como se Tornar um Auditor Líder Reconhecido?

Para se tornar um auditor líder com reconhecimento internacional, é necessário seguir alguns passos fundamentais:

  1. Buscar capacitação em cursos reconhecidos: O curso deve ter no mínimo 30 a 40 horas de duração e ser baseado nas normas ISO 19011 (diretrizes para auditoria de sistemas de gestão) e ISO 17021 (requisitos para organismos de certificação).
  2. Escolher cursos ministrados por auditores experientes: A troca de experiências práticas é fundamental. Quanto mais casos reais e exemplos o instrutor compartilhar, mais preparado o aluno estará para situações reais de auditoria.
  3. Obter certificado reconhecido internacionalmente: Procure cursos acreditados por organismos como a Exemplar Global, IRCA, RAC e PECB. Certificados de organismos reconhecidos têm validade mundial e são requisitos para atuar como auditor em certificadoras de renome.
  4. Acumular experiência prática: Antes de liderar auditorias de certificação, é comum que o profissional atue como auditor observador, acompanhando auditores líderes experientes para aprender na prática.

Normas Essenciais para o Auditor

Existem normas específicas que todo auditor de sistemas de gestão de segurança da informação deve conhecer:

  • ISO 19011: Fornece orientações sobre como gerenciar um programa de auditoria, planejar e conduzir auditorias, e sobre as competências necessárias dos auditores. Traz os sete princípios fundamentais da auditoria: integridade, apresentação justa, devido cuidado profissional, confidencialidade, independência, abordagem baseada em evidência e abordagem baseada em risco.
  • ISO 17021: Define os requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão. É a norma que os organismos certificadores devem seguir.
  • ISO/IEC 27006: Complementa a ISO 27001, adaptando as regras de auditoria especificamente para sistemas de gestão de segurança da informação. Inclui orientações sobre cálculo de tempo de auditoria baseado no tamanho da organização.
  • ISO/IEC 27007: Guia específico para auditoria de SGSI, fornecendo direcionamentos práticos para auditorias da norma ISO 27001.

Constatações de Auditoria: Tipos e Consequências

Durante uma auditoria, o auditor pode fazer diferentes tipos de constatações:

Não Conformidade Maior: Indica que o sistema de gestão não está funcionando adequadamente. Impede a recomendação para certificação ou pode resultar na suspensão do certificado existente. A empresa tem geralmente 30 dias para corrigir.

Não Conformidade Menor: O sistema de gestão está funcionando, mas precisa de correções. A empresa pode apresentar um plano de ação e trabalhar na correção durante o próximo ciclo. Se não tratada, pode se tornar uma não conformidade maior na próxima auditoria.

Oportunidade de Melhoria: O processo atende minimamente aos requisitos, mas pode ser melhorado. Não é obrigatório implementar, mas é altamente recomendado. São sugestões baseadas na experiência do auditor que podem agregar valor ao sistema de gestão.

Conheça a formação ISO/IEC 27001 Lead Auditor

A TIexames oferece uma formação completa acreditada internacionalmente pela Exemplar Global, o que garante reconhecimento mundial para o profissional que obtém essa certificação.

Quem é a Exemplar Global?

A Exemplar Global é um dos organismos de acreditação mais respeitados no mundo para certificação de pessoas em áreas como sistemas de gestão, auditoria e qualidade. Fundada a partir da fusão do RABQSA (Registrar Accreditation Board Quality Society of Australasia) com o IAQG (Americas Aerospace Quality Group), a Exemplar Global estabelece padrões rigorosos para programas de treinamento e certificação de auditores.

Quando um curso de auditor líder é acreditado pela Exemplar Global, isso significa que o programa de treinamento passou por uma avaliação criteriosa e atende a padrões internacionais de qualidade. Para o profissional, isso representa:

  • Reconhecimento internacional: O certificado é aceito em qualquer país do mundo, abrindo portas para atuar em organismos certificadores de renome internacional como Bureau Veritas, DNV, BSI, QMS, TÜV, entre outros.
  • Credibilidade profissional: Empresas e organismos certificadores dão preferência a auditores formados por instituições acreditadas, pois há garantia de que o profissional recebeu treinamento adequado e padronizado.
  • Requisito para certificadoras: A maioria dos organismos de certificação exige que seus auditores possuam formação em cursos acreditados por entidade competente como pré-requisito para integrar suas equipes de auditoria.
  • Diferencial competitivo: Em um mercado cada vez mais exigente, ter uma certificação reconhecida internacionalmente diferencia o profissional de outros que possuem apenas cursos sem acreditação.

Investir em uma formação acreditada pela Exemplar Global não é apenas um diferencial curricular — é o passaporte para uma carreira sólida e reconhecida no mercado de auditoria de sistemas de gestão de segurança da informação.

Conheça nossa formação de Auditor Líder da ISO/IEC 27001