Auditoria de Fase 1 / Fase 2.

A certificação ISO inicial divide-se em fase 1 (revisão da documentação e prontidão, normalmente 1 a 2 dias) e fase 2 (auditoria de evidências operacionais, 2 a 5 dias). A fase 1 confirma que o sistema de gestão existe no papel; a fase 2 verifica se funciona na prática. A maioria das auditorias de fase 2 "reprovadas" resulta de problemas da fase 1 que ninguém corrigiu no intervalo.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit & complianceAll entries

A perspetiva da Cyber Academy

A certificação ISO inicial divide-se em fase 1 (revisão da documentação e prontidão, normalmente 1 a 2 dias) e fase 2 (auditoria de evidências operacionais, 2 a 5 dias). A fase 1 confirma que o sistema de gestão existe no papel; a fase 2 verifica se funciona na prática. A maioria das auditorias de fase 2 "reprovadas" resulta de problemas da fase 1 que ninguém corrigiu no intervalo.

Uma certificação acreditada face a uma norma de sistema de gestão como a ISO/IEC 27001 não é uma única visita. O organismo de certificação realiza uma auditoria inicial em duas etapas distintas, que respondem a duas perguntas diferentes. A etapa 1 pergunta se o sistema de gestão existe e está pronto para ser auditado. A etapa 2 pergunta se ele realmente funciona na prática. Tratar ambas como um único exame contínuo é a forma mais comum de as equipas serem apanhadas de surpresa, porque as duas etapas recompensam tipos de preparação completamente distintos.

O que a etapa 1 realmente verifica

A etapa 1 é uma análise do estado de preparação e da documentação, normalmente a mais curta das duas. O auditor lê os seus documentos essenciais, confirma que o âmbito é coerente e procura os artefactos obrigatórios exigidos pela norma. Para um SGSI isso significa a Declaração de Aplicabilidade, o processo de apreciação e tratamento do risco, a política de segurança, os registos de auditoria interna e de revisão pela gestão, e a evidência de que o sistema está em funcionamento há tempo suficiente para produzir dados. O entregável não é um certificado. É um resumo escrito das constatações e de quaisquer áreas de preocupação que se espera que encerre antes da etapa 2.

Na prática, a etapa 1 é o seu sistema de alerta precoce. O auditor assinala as lacunas enquanto ainda há tempo para as corrigir. As equipas que leem essas constatações como uma lista de tarefas chegam preparadas à etapa 2. As equipas que as arquivam e seguem em frente são as que depois têm dificuldades.

O que a etapa 2 verifica

A etapa 2 é a auditoria das evidências operacionais e costuma ser mais longa. O auditor passa do «a política diz que» para «mostre-me que aconteceu». Recolhe amostras de registos, entrevista as pessoas que operam os controlos, segue os incidentes e as revisões de acessos até ao encerramento, e testa se o processo documentado corresponde à realidade diária. É aqui que a Declaração de Aplicabilidade é cruzada com evidências operacionais reais, e onde os controlos fracos que pareciam corretos no papel se desfazem.

Etapa 1 e etapa 2 num relance

Como as duas etapas diferem no foco e no resultado
DimensãoEtapa 1Etapa 2
Pergunta centralO sistema existe e está pronto?O sistema opera de facto?
Entrada principalDocumentação e análise da conceçãoRegistos operacionais, entrevistas, amostragem
Duração típicaMais curta (focada na documentação)Mais longa (focada na evidência)
Resultado principalConstatações e áreas de preocupação a encerrarNão conformidades e decisão de certificação
O que recompensaDocumentação completa e coerenteDisciplina e evidência rastreável ao longo do tempo

O que os profissionais fazem entre as duas visitas

A janela entre a etapa 1 e a etapa 2 é o verdadeiro trabalho. As constatações da etapa 1 ainda não são não conformidades, pelo que não existe um plano formal de ações corretivas, mas são o auditor a dizer-lhe exatamente onde a etapa 2 vai sondar. As equipas sólidas convertem cada observação da etapa 1 num responsável, numa ação e num prazo, e depois asseguram-se de que a evidência que a encerra reside nos registos de que o auditor recolherá amostras. Mantêm também o sistema a funcionar normalmente em vez de encenarem uma limpeza pontual, porque a etapa 2 procura uma operação sustentada, não um instantâneo arrumado.

Quando a etapa 2 efetivamente levanta uma não conformidade, a resposta é a mesma disciplina que uma auditoria de acompanhamento espera: classificá-la honestamente como maior ou menor, planear a ação corretiva com um prazo, e abordar a causa raiz em vez do sintoma. A decisão de certificação segue-se assim que o organismo de certificação fica satisfeito de que essas ações se mantêm.

Frequently asked questions

01É possível reprovar na etapa 1 de uma auditoria ISO?

A etapa 1 normalmente não produz uma aprovação ou reprovação da forma como a etapa 2 produz. Em vez disso, produz constatações e áreas de preocupação. Se forem encontradas lacunas graves, o auditor pode adiar a etapa 2 até serem resolvidas, pelo que as questões não resolvidas da etapa 1 adiam efetivamente a certificação.

02Quanto tempo decorre entre a etapa 1 e a etapa 2?

O intervalo é definido pelo organismo de certificação e destina-se a dar-lhe tempo suficiente para encerrar as constatações da etapa 1, mas não tanto que o sistema se desvie. Use toda a janela para agir sobre as constatações em vez de esperar até mesmo antes da segunda visita.

03Qual é a diferença entre a etapa 1 e a etapa 2?

A etapa 1 é uma análise da documentação e do estado de preparação que confirma que o sistema de gestão existe no papel. A etapa 2 é uma auditoria operacional que verifica que o sistema realmente funciona, usando registos, entrevistas e amostragem.

04As não conformidades provêm apenas da etapa 2?

As não conformidades formais que afetam a decisão de certificação são normalmente levantadas na etapa 2. A etapa 1 produz constatações e áreas de preocupação, que são avisos a corrigir antes da etapa 2. Ignorá-las é como os problemas da etapa 1 se transformam em não conformidades da etapa 2.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.