A possibilidade de realizar auditorias remotas em sistemas de gestão da segurança da informação, prevista na última atualização publicada pelo Fórum Internacional de Acreditação (IAF), em 2018, começou a ser amplamente utilizada no Brasil em 2020, com o início da crise sanitária global.
Com a revisão da norma ABNT ISO 19011, no mesmo ano, o método permitiu às empresas brasileiras continuarem inovando e oferecendo ao mercado sistemas confiáveis, principalmente em tempos em que a tecnologia foi considerada salvaguarda para a sobrevivência de muitas delas, se aperfeiçoou e, mesmo após a pandemia, não deve retroceder.
Um estudo do Registro Internacional de Auditores Certificados (IRCA) estima que no prazo de três a cinco anos, 30% das formações de auditores serão focadas em auditoria remota. As previsões também apontam que há espaço para que pelo menos um terço das atividades de auditoria seja realizada à distância, por meio da utilização de sistemas comuns, como Skype for Business, Webex ou Zoom.
Apesar da flexibilização, as auditorias remotas devem continuar seguindo os mesmos critérios do modelo presencial, tais como análise de documentos, entrevistas com os responsáveis, avaliação do processo de produção, bem como uma implementação antecipada de tecnologias de comunicação integrada para garantir que todos os testes sejam realizados à distância.
Embora a norma ISO 19011 não contemple auditorias de terceira parte, ou comumente conhecidas como auditorias de certificação, a norma ISO/IEC 17021-1, que regulamenta essa atividade, também autoriza a aplicação remota, desde que estabelecidos alguns critérios de segurança, tais como controle operacional, preparação do plano e um processo de abertura e encerramento.
Assim, as empresas auditadas remotamente que tiveram seus sistemas de gestão avaliados poderão também solicitar a certificação para manter sua competitividade em um dos poucos setores que segue crescendo, apesar da crise.
Redução de Custos
As auditorias remotas resultam em economia de tempo e de custos com deslocamentos, sem contar o maior envolvimento dos auditados no processo, já que em visitas presenciais pode haver interrupções e desvios do objetivo final. Em suma, a auditoria à distância entrega mais valor aos envolvidos na operação, garantindo a confiança e a integridade do relatório final.
Mas, a despeito das vantagens, é necessário que o organismo de auditoria e certificação não considere esse modelo apenas como uma medida de economia, antes avalie de maneira imparcial as diferentes opções para identificar quando uma visita presencial se faz necessária.
Aspectos como a implementação de ações corretivas em casos de não conformidade e a verificação da eficácia dos sistemas auditados são pontos que merecem atenção especial quanto ao modelo de auditoria empregado.
As análises técnicas e de viabilidade das tecnologias utilizadas para avaliação remota são outro fator que pesa na decisão, além de questões como a proteção e segurança dos dados. Por essa razão, a ampliação e a eficácia das auditorias remotas dependem, em grande parte, da qualificação e preparação técnica dos profissionais auditores.
As empresas de certificação que desejam ampliar seu leque de serviços precisam se adaptar e adequar seus processos de acordo com a realidade do mercado, investindo em profissionais qualificados tecnicamente, que sejam capazes de realizar uma avaliação isenta, que não apenas cumpra os critérios, mas que se posicione como um usuário da solução que será comercializada. Mais do que uma relação entre auditor e auditado, trata-se de uma responsabilidade social e econômica.
Mayara Zunckeller, gerente de operações de Sistemas de Gestão DA TÜV Rheinland South America.