Neifer FrançaAuditoria interna ISO 37001 é um processo fundamental para o sistema de gestão antissuborno, onde não podemos confundir com a auditoria interna de controles internos do programa de compliance, contemplado na terceira linha de defesa.
A auditoria interna ISO 37001 é um processo sistemático, independente e documentado, para obter evidência de auditoria e avaliá-la objetivamente, para determinar a extensão na qual a ISO 37001 e políticas internas são atendidas. Essa é uma definição padrão de auditoria conforme item 3.20 da ISO 37001 e aqui explico do que se trata e os principais pontos dessa definição, bem como do requisito de auditoria interna ISO 37001.
Processo sistemático
No caso da auditoria interna ISO 37001, está é conduzida pela própria organização ou por uma parte externa, um consultor por exemplo, em seu nome. A Norma trata como processo sistemático porque há a necessidade aqui de um processo definido para atender os requisitos da Norma e de acordo com a ISO 19011, portanto para aplicar esse processo para realização da auditoria.
Independente
O princípio básico para realização de auditoria é a independência. Em uma auditoria interna ISO 37001 o auditor interno não pode auditar seu próprio trabalho, portanto caso os auditores internos estejam relacionados com as atividades do programa de compliance antissuborno, estes devem ser obrigatoriamente serem auditados por alguém da empresa que esteja fora do processo, ou contratar um auditor independente.
Documentado
O requisito 9.2.2 e) determina que a organização deve reter informação documentada como evidência do programa de auditoria e dos resultados de auditoria interna ISO 37001. O programa de auditoria é estabelecido na organização normalmente com um cronograma/plano de acordo com a ISO 19011, e os resultados são evidenciados por meio de relatório de auditoria detalhado contendo as conformidades e não conformidades apontadas no processo.
Competência
O item 9.2.2 c) trata sobre a competência dos auditores responsáveis pela auditoria interna ISO 37001. Um auditor competente é aquele que tem conhecimento específico em técnicas de auditoria e na norma de referência, no caso, da ISO 37001. A QMS promove periodicamente a formação de Lead Implementer and Internal Auditor ISO 37001, essa formação capacita o profissional em duas competências, implementadores líderes e auditores internos, e pode ser usada como critério de competência para auditoria interna ISO 37001.
Para finalizar, ressalto que a auditoria interna ISO 37001 de forma eficaz deve ser razoável e proporcional ao contexto da organização e ter um nível de detalhamento suficiente para que as evidências objetivas sejam avaliadas e a conformidade avaliada.
Gabriela Maluf
Adicionar Comentário