Grupo de Práticas em Auditorias ISO 9001
Guia sobre:
Auditando Sistemas de Gestão Eletrônicos (SGE)
1. Introdução
A crescente dependência das organizações das mídias eletrônicas para a operação e controle de seus sistemas de gestão, requerem que os organismos de certificação / registro e seus auditores busquem novos métodos para assegurar que as auditorias sejam efetivas e eficientes. Eles necessitam redefinir a maneira pela qual os processos e documentos relacionados (registros, inclusive), são avaliados para verificar a conformidade com os critérios de auditoria.
Este documento foi desenvolvido para fornecer cinco linhas gerais para a realização de auditorias de sistemas de gestão que são ou inteiramente eletrônicos ou tem um auto grau de documentação em midia eletronica. Ele tambem fornece indicações para auditores e organismos de certificação /registro que devem ser considerado como um complemento para as atividades normais de preparação e planejamento que devem ocorrer antes de uma auditoria
Este documento está focado nos requisitos da ISO 9001 onde existe a possibilidade do uso de registros e documentos eletrônicos e também onde o acesso a tais registros ou documentos possam ser controlados por sistemas eletrônicos
Este documento é voltado para auditores de sistemas de gestão que tenham um amplo e variado espectro de experiência prática relacionada a sistemas de gestão eletronicos (SGE) , ou seja sistemas de gestão que são dependentes de dados e documentos eletrônicos e aplicações E de “software” para a sua operação normal. Este documento é escrito num estilo que também permite que o mesmo seja usado por aqueles que tenham, apenas, uma experiência limitada com computadores e SGE.
Seja ela uma entidade de certificação, de registro, ou uma função de auditoria interna, a organização que conduz a auditoria (“organização auditora”), é responsável para assegurar a efetividade do processo de auditoria do SGE. Este documento utiliza o guia apresentado na ISO 19011 e sugere sistemáticas que podem ser usadas por auditores da ISO 9001 e outras normas de gestão de sistemas, a fim de verificar a conformidade com a norma de referência. Os auditores e as organizações de auditoria, devem fazer os ajustes necessários para assegurar uma sistemática apropriada quando seguirem os passos do processo de auditoria indicados na ISO 19011.
Deve ser observado que a proficiência na auditoria de SGE, não deve ser encarada como uma escusa para reduzir a duração das auditorias, mas como uma forma de otimizar a efetividade e a eficiência da auditoria.
Não é intenção deste documento, fornecer um guia para auditar os controles associados com a segurança das informações do SEG. Aqueles interessados em controles adicionais, associados com a segurança das informações devem se utilizar da ISO/IEC 17799 que é uma norma abrangente para esses assuntos.
2. Iniciação e Planejamento da Auditoria
Durante a fase de iniciação da auditoria (auditoria estágio 1), a organização auditora deve avaliar a estrutura da organização a ser auditada e o grau de controle eletrônico de seu sistema de gestão. Uma organização que se distribui por vários locais, com um SGE centralizado, ou uma organização “virtual”, irão requerer planos e métodos de auditorias, distintos daquelas organizações com uma única unidade física.
A organização auditora e o auditado, devem concordar com a forma com que os auditores irão acessar e utilizar o SGE. Isso pode envolver a consideração:
· da permissão de acesso aos membros da equipe de auditoria e da oportunidade que os mesmos se familiarizem com o SGE do auditado (prevendo-se tempo suficiente, no plano de auditoria, para essa familiarização);
· da política do auditado para o uso de sua infra-estrutura de tecnologia da informação;
· de instruções para acessar e as permissões de segurança necessárias para o acesso aos registros e documentos organizacionais pertinentes;
· das salvaguardas e processos para assegurar que os auditores respeitarão a confidencialidade dos documentos e registros eletrônicos, durante e após a auditoria
A organização auditora deve assegurar que sua equipe de auditoria tem a competência suficiente para executar uma avaliação efetiva do SEG.
3. Análise de Documento
Dependendo se o auditado possui, ou não, a habilidade para tornar a sua documentação disponível através de alguma aplicação da internet, ou através de sua transmissão por correio eletrônico, a organização auditora pode conduzir parte ou toda a sua análise da documentação “off-site”, seja “on line”, seja através do “download” de documentação eletrônica enviada por e-mail.
Dependendo de fatores técnicos ou de razões de segurança, pode não ser factível conduzir uma análise completa do SGE “on line” ou via transmissão por correio eletrônico de documentos eletrônicos antes da chegada no local da auditoria. Em tais casos, as atividades de preparação da auditoria que requeiram uma análise de documentação eletrônica, precisarão ser realizadas nas instalações do auditado, durante a auditoria de estágio 1.
4. Execução de Atividades no local (on site)
A forma de auditoria para sistemas eletrônicos de gestão, dependerão de quanto da evidência necessária para determinar a conformidade com os requisitos aplicáveis, estão na forma de documentos eletrônicos.
Durante as atividades, no sítio, essas devem incluir a verificação “in loco” dos processos sob auditoria. Contudo, com a utilização de um SEG, para se obter a evidência de que um requisito desse processo esteja sendo cumprido, pode ser necessária a visita a um centro computacional que pode, ou não, estar localizado próximo ao local de realização do processo.
Quando o centro computacional estiver em áreas remotas, não accessíveis a partir do local onde, fisicamente, se realiza o processo, o tempo de auditoria nesse local pode ser reduzido. Contudo, o tempo total de avaliação não precisa, necessariamente, ser reduzido também, dado que a análise da evidência eletrônica pode acontecer antes ou após se confirmar a existência física do processo.
Quando o centro computacional estiver localizado em local distante, deve ser dada consideração especial ao tempo necessário para ir e voltar do local de realização física do processo.
Quando o processo depender de intervenção humana, o auditor deve avaliar os métodos empregados para a interação entre o processo físico e os meios eletrônicos, para assegura a precisão da informação associada.
5. Auditando o Controle de Documentos Eletrônicos
Os documentos eletrônicos que estabelecem as políticas e procedimentos do sistema de gestão, podem estar numa variedade de formatos de arquivos, dependendo do “software” que é utilizado pela organização para gerar os documentos. Formatos de arquivos eletrônicos incluem, texto, html, pdf, etc. Planilhas e formatos de banco de dados, também são considerados documentos eletrônicos, sujeitos aos elementos de controle do sistema de gestão sob auditoria.
Considerando-se a relativa facilidade com que os usuários podem criar planilhas eletrônicas e outros documentos eletrônicos, os auditores devem se assegurar que as políticas de controle que se aplicam à gestão dos documentos do sistema, em geral, são também empregados para os documentos eletrônicos, através de procedimentos apropriados.
As organizações precisam utilizar métodos apropriados e efetivos, dentro do ambiente eletrônico, para assegurar análise, aprovação, publicação e distribuição adequadas de sua documentação do sistema de gestão. Esses métodos devem ser consistentes com aqueles usados para o desenvolvimento e modificação de documentos eletrônicos.
Em muitos casos, medidas de controle de documentos podem ser características padrões das aplicações de “sofware”, utilizados para sua criação. Assim, os auditores devem conhecer essas medidas de controle do software, já que as mesmas são utilizadas como base para a conformidade com a norma de gestão aplicável.
Dado o aumento de capacidade para modificar, atualizar, reformatar e, portanto, melhorar os documentos dentro de um sistema eletrônico de gestão, os auditores devem ter uma atenção particular para os elementos de controle, tais como identificação dos documentos e o nível das revisão dos mesmos (graus de aprovação)
Visto que as midias eletrônicas facilitam um maior grau de modificações de documentos, os auditores devem verificar se os controles empregados para a gestão de documentos obsoletos, são levados em consideração pelas políticas e procedimentos de controle.
Os auditores devem verificar que a documentação do SGE existe para proporcionar orientação aos usuários, em relação aos aspectos de controle e funcionalidade associados com os documentos eletrônicos. Adicionalmente requisitos relativos ao “ponto de uso”, associados com as normas aplicáveis ao sistema de gestão, devem, típicamente, serem referenciadas pelas políticas de acesso a documentos da organização. Os auditores devem compreender as políticas e procedimentos da organização relacionadas a privilégios de usuários à medida em que esses privilégios tornam-se fatores importantes para realizar, adequadamente, os processos da organização.
A comunicação eletrônica externa com fornecedores, cliente e e outras partes interessadas, pode envolver a troca de documentos. Considerando-se que esses documentos externos podem conter parâmetros chaves que especificam o funcionamento dos processos da organização, os auditores devem verificar o grau com que esses documentos são formalmente introduzidos e controlados dentro do sistema de gestão eletrônica.
6. Auditando o Controle dos Registros Eletrônicos
Os registros eletrônicos consistem dos dados de saída dos processos, combinados com os formatos eletrônicos que contem os dados. Esses formatos eletrônicos vão desde planilhas simples até aplicações de bancos de dados mais complexos.
Os auditores devem estar alertas para o fato de que os elementos de controle que a organização estabelece para os formulários eletrônicos não são, necessáriamente, os mesmos que ela aplica aos registros eletrônicos. Por exemplo, com respeito à “identificação”, no caso de formulários eletrônicos, o termo se refere ao nome do próprio formulário. Quando “identificação” é considerada no caso de um registro eletrônico, refere-se ao uso do formulário eletrônico para um conjunto de dados específico.
Os auditores devem analisar os métodos empregados pela organização para capturar dados, a fim de se assegurar que as atividades de entrada de dados apresentam confiança adequada em relação à sua precisão.
Quando se avaliar os controles da organização, em relação à guarda dos registros, os auditores devem verificar se a organização tem uma correta compreensão de sua capacidade de guarda, versus:
· a proporção da geração de registros;
· as políticas de retenção dos registros e tempos de guarda associados; e
· a proporção da eliminação dos registros,
tendo em vista que esses fatores podem impactar o funcionamento do SGE.
Considerando-se que a base de conhecimento e o desempenho da organização podem estar, quase inteiramente, em registros eletrônicos, os auditores devem avaliar os métodos da organização para manter a segurança das informações contidas em meios eletrônicos. Para mis informações sobre “Segurança de Informações”, veja-se a norma ISO / IEC 17799.
7. Recursos Organizacionais
À medida que as organizações migram o SGE, o papel das funções da Tecnologia de Informação(TI) tornam-se mais vitais. Os auditores devem verificar se a organização tem utilizados recursos adequados de TI (incluindo infra-estrutura) para garantir que o SGE opera continua e efetivamente.
Os auditores devem verifiar também se a organização definiu apropriadamente o nível de interação, suporte e envolvimento do pessoal de TI nos assuntos associados com o estabelecimento, documentação, implementação e manutenção do SGE.
Como parte da verificação da desingnação de recursos apropriados, os auditores devem avaliar como a orgnização define a competência requerida pelo pessoal para operar hardware e software para o funcionamento do SGE.
Durante o estabelecimento do SGE, é comum que sistemas paralelos (cópias em papel e eletrônicas) sejam utilizads durante um certo período de tempo, para permitir a adaptação dos usuários. Nesses casos o auditor deve verificar a sistemática da organização para assegurar que o SGE está sendo assimilado e utilizado pelo pessoal da organização.
A complexidade das infra-estruturas de TI, entre as organizações, irá variar, dependendo da natureza e complexidade do negócio. Os auditores devem verificar as políticas e procedimentos para a manutenção do sistema das estruturas de TI. Os auditores, também, devem verificar como a organização trata os incidentes de “downtime” (queda do sistema), visto que esses incidentes impactarão o funcionamento normal do SGE. O auditores devem avaliar se a organização possui, ou não, sistemas formais de “backup” (redundância), e se esses são avaliados, periódicamente e testados quanto à sua adequação.
Em relação a softwares, os auditores devem verificar os controles estabelecidos para os softwares internos, os softwares externos, licença de softwares e atualição dos softwares. Desde que um software possa ser considerado um documento eletrônico dinâmico, o guia apresentado acima, para a auditoria de documentos, também é aplicável.
Considerando a extesão do uso de softwares pelas organizações para os SGE, os auditores devem analisar a funcionalidade das aplicações e suas relações com os elementos dos sistemas de gestão, definidos nos critérios aplicáveis.
Como fatores ambientais podem impactar o funcionamento de uma plataforma de IT, as organziações devem tomar medidas de proteção contra tais fatores. Isso pode incluir desde a necessidade de instalações adequdas até a necessidade de fornecimento ininterrupto de energia. Os auditores devem avaliar se os controles da organização levam em conta aspcetos tais como manutenção da instalação, controles de temperatura e de humindade, etc. na medida em que os mesmos são necessários para a operação do SEC.
8. Comunicação Eletrônica Interna e Externa
À medida que as opções disponíveis e a facilidade do uso de comunicação eletrônica aumenta, as organizações devem se assegurar que a documentação do sistema de gestão leva em conta esses meios, como necessários, para garantir a consistência no seu uso, para satisfazer os requisitos de seus SEC e a norma aplicável ao sistema de gestão.
Quando intranets, correio eletrônico e mensagens instantâneas são utilizadas para satisfazer os requisitos do SEC, os auditores devem verificar que os procedimentos e politicas, levam em conta as circunstâncias sob as quais esses meios podem ser empregados. Adicionalmente, se os resultados da comunicação eletrônica interna são usados para satisfazer os requisitos da auditoria, então os auditores devem verificar se as políticas e procedimentos para o controle desses registros estão sendo aplicados.
Quando a organização depende de sua infra-estrutura de TI para a comunicação eletrônica com seus clientes (por exemplo, para o comércio eletrônico), fornecedores ( “procurement” eletrônico), “sites” externos e outras partes interessadas, o auditor deve verificar que a metodologia, políticas e procedimentos para tais comunicações e transações associadas são formalmente consideradas dentro do SEC.
9. Sistemas de Gestão com “Sites” Múltiplos
Organizações que operarm através de múltiplos “sites” (ou de um local central para “sites” satélites), usualmente se comunicam e dividem políticas procedimentos e dados de processos, com seus vários locais, através de meios eletrônicos, tais como internet, extranet, e-mails e mensagens eletrônicas.
.
Quando a plataforma de TI e suas aplicações asssociadas de software são usadas para compartilhar informações pertinentes ao critério de auditoria, os auditores devem conhecer os diversos métodos de comunicação através de rede, empregado pela organização, na medida em que for necessário para se assegurar que o SEC atende os critérios de auditoria.
Os auditores devem verificar se os controles relacionados à gestão, compreendendo múltiplos sites, são adequadamente considerados e estabelecidos nas políticas e procedimentos das organizações.
10. Competência do Auditor
A confiabilidade do processo de auditoria dos SEC dependem da habilidade dos auditores em compreender as tendências da TI, à medida em que as organizações dependem cada vez mais nos softwares para monitarar e contralar suas operações.
As organizações de auditoria devem tomar as medidas necessárias, incluindo o fornecimento de treinamento, para cuidar das necssidades individuais e gerais da sua base de auditores com relação a:
· Tendências gerais da TI que podem impactar a operação dos sistemas de gestão
· Considerações específicas de auditoria para cada compromisso de auditoria que é assumido
Como as inovações em TI são relativamente rápidas, quando comparadas com as modificações nos critérios de auditoria, os auditores e organizações de auditoria são confrontadas com a necessidade de se ter um conhecimento prático dessas tendências e como elas podem ser aplicáveis e utilizadas dentro do SGE.
À luz das inovações que influenciam o funcionamento de um SGE, as organizações de auditoria devem determinar se a experiência necessária para serem efetivos em uma determinada auditoria, existe na equipe de auditoria em si, ou se a assistência de um expert poderá ser necessária.
Este documento é uma tradução livre daquele produzido pelo “ISO 9001 Auditing Practices Group” (Grupo de Práticas em Auditorias ISO 9001) e é apresentado, apenas, como informação em português. Os documentos originais, bem como apresentações do Grupo de Práticas de Auditorias podem ser obtidos, na sua versão original, em inglês, nos sites:
www.iaf.nu
www.iso.org/tc176/ISO9001AuditingPracticesGroup
OBSERVAÇÃO:
Este documento não é adotado formalmente pela International Organization for Standardization (ISO) , Comitê Técnico ISO 176, ou pelo Forum Internacional de Acreditação (IAF)
As informações nele contidas estão disponíveis para propósitos educacionais e de comunicação. O Grupo de Práticas de Auditoria ISO 9001, não possui nenhuma responsabilidade por quaisquer erros, omissões ou outras responsabilidades que possam advir do uso das informações contidas neste documento.
|
