Segurança
A auditoria interna tem como objetivo verificar se o Sistema de Gestão de Segurança e Privacidade da Informação (SGSPI) está em conformidade com os requisitos das normas ISO 27001:2013 e ISO 27701:2022. Trata-se de uma atividade formal e documentada, conduzida por profissional habilitado e independente das áreas auditadas. A auditoria se baseia na coleta de evidências objetivas, buscando assegurar que:
- Os processos estejam sendo executados conforme instruções documentadas;
- O SGSPI seja eficaz para alcançar os objetivos e políticas de segurança e privacidade da informação da organização.
Estrutura do Programa de Auditoria
O Auditor Líder é responsável por estabelecer, documentar, implementar e manter o programa de auditoria interna. Esse programa deve cobrir um período mínimo de 12 meses, contemplando:
- Unidades e tópicos a serem auditados;
- Situação de cada auditoria (realizada, prevista, parcial ou completa).
Tratamento de Não Conformidades
Após a auditoria, eventuais não conformidades devem ser formalizadas por meio de uma Solicitação de Ação Corretiva (SAC), emitida em até duas semanas após a conclusão.
Fluxo de tratamento:
- Apresentação da SAC: entregue pela equipe de Qualidade ao gestor da área auditada.
- Elaboração do Plano de Ação: gestor tem até 15 dias para identificar a causa da não conformidade, definir responsáveis, prazos e ações corretivas.
- Análise da Qualidade: o plano é avaliado quanto à eficácia e pode passar por ajustes ou auditorias de acompanhamento.
- Implementação e verificação: o gestor é responsável por garantir a execução no prazo. Caso haja impedimentos, deve informar previamente para readequação do cronograma.
- Encerramento: quando comprovada a eficácia, a Qualidade formaliza o encerramento da SAC. Se ineficaz, o processo é reiniciado com nova análise de causa.
Importância da Auditoria Interna
Esse processo garante que o SGSPI esteja em constante aprimoramento, fortalecendo a conformidade regulatória, a mitigação de riscos e a confiança de clientes e parceiros.
