ISO 19011.

ISO 19011 é a norma de diretrizes para auditoria de sistemas de gestão. Genérica, aplica-se igualmente a auditorias ISO 27001, 9001 e 22301. Define os princípios de auditoria, a gestão do programa, o ciclo de auditoria e a competência dos auditores. O curso Lead Auditor ensina-a; os auditores que encontra no terreno foram formados com base nela.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit & complianceAll entries

A perspetiva da Cyber Academy

ISO 19011 é a norma de diretrizes para auditoria de sistemas de gestão. Genérica, aplica-se igualmente a auditorias ISO 27001, 9001 e 22301. Define os princípios de auditoria, a gestão do programa, o ciclo de auditoria e a competência dos auditores. O curso Lead Auditor ensina-a; os auditores que encontra no terreno foram formados com base nela.

O que a ISO 19011 realmente abrange

A ISO 19011 é o documento de referência para quem planeja, conduz ou gere auditorias de sistemas de gestão. Ela é deliberadamente genérica, de modo que os mesmos princípios se aplicam quer você esteja auditando um sistema de gestão da segurança da informação em relação à ISO 27001, um sistema de qualidade em relação à ISO 9001 ou a continuidade de negócio em relação à ISO 22301. Em vez de lhe indicar os requisitos que uma organização deve cumprir, ela explica como olhar para esses requisitos na qualidade de auditor : como construir um programa de auditoria, como conduzir uma auditoria individual da reunião de abertura à de encerramento, e como julgar se as pessoas que realizam a auditoria são competentes.

A norma organiza a auditoria em torno de um pequeno conjunto de princípios. A integridade e a apresentação imparcial mantêm as constatações honestas. O devido cuidado profissional e a confidencialidade protegem as pessoas e as informações envolvidas. Uma abordagem baseada em evidências significa que as conclusões se apoiam em registros e observações verificáveis, não em impressões ; e o pensamento baseado em risco acrescentado nas revisões recentes leva os auditores a concentrar o esforço onde mais importa para os objetivos.

Programa de auditoria, ciclo da auditoria e competência

Uma forma útil de ler a ISO 19011 é vê-la como três camadas aninhadas. No topo está o programa de auditoria, o conjunto de auditorias planejadas ao longo de um período e a gestão desse programa : definir objetivos, atribuir recursos, monitorar resultados e melhorar ao longo do tempo. Dentro dele está a auditoria individual e o seu ciclo :

  • Iniciar a auditoria e confirmar a sua viabilidade com o auditado.
  • Preparar as atividades de auditoria, incluindo a análise documental e o plano de auditoria.
  • Conduzir a auditoria no local ou remotamente : reunião de abertura, coleta e verificação de evidências, geração de constatações.
  • Relatar, incluindo as conclusões e a reunião de encerramento.
  • Concluir a auditoria e realizar qualquer acompanhamento das ações corretivas.

A terceira camada é a competência do auditor. A ISO 19011 apresenta a competência como uma combinação de comportamento pessoal, conhecimentos e habilidades genéricas de auditoria e conhecimentos específicos de uma disciplina, e em seguida descreve como avaliá-la e mantê-la. É por isso que um profissional de segurança não pode simplesmente ler a norma uma única vez. A competência é algo que se constrói por meio de formação, observação de auditorias e prática contínua.

Onde os profissionais a encontram

Na prática, você encontra a ISO 19011 em dois papéis. Como auditado, ela explica o que um auditor competente fará e não fará, o que ajuda você a preparar evidências e a contestar constatações pouco sólidas. Como auditor, interno ou voltado a fornecedores, é o manual que você segue para tornar as auditorias repetíveis e defensáveis. O curso de Lead Auditor ensina esta norma juntamente com os requisitos do sistema que está sendo auditado, e os auditores externos que você encontra durante a certificação foram formados com o mesmo material.

Frequently asked questions

01A ISO 19011 é a mesma coisa que a ISO/IEC 17021-1 ?

Não. A ISO 19011 dá diretrizes para auditar qualquer sistema de gestão, incluindo auditorias de primeira e de segunda parte. A ISO/IEC 17021-1 estabelece os requisitos para os organismos de certificação que realizam auditorias de certificação de terceira parte. Elas compartilham conceitos mas servem a propósitos diferentes.

02A minha organização pode ser certificada na ISO 19011 ?

Não. É um documento de diretrizes, não uma norma de requisitos, portanto não há nada em relação a que certificar. Você a aplica para conduzir melhores auditorias e para desenvolver auditores competentes.

03A ISO 19011 se aplica às auditorias ISO 27001 ?

Sim. A ISO 19011 é genérica e se aplica às auditorias de segurança da informação tanto quanto às auditorias de qualidade ou de continuidade. Para uma auditoria 27001 você combina o seu método de auditoria com os requisitos e controles específicos da norma de segurança.

04Quem precisa conhecer a ISO 19011 ?

Auditores internos, auditores de fornecedores, gestores de programa de auditoria e qualquer pessoa que prepara ou recebe uma auditoria. Uma certificação de Lead Auditor é construída em torno dela.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.