Pubblicato il

FAQ Risolta – ISO 27001: Un audit interno dovrebbe essere fatto allo stesso modo di un audit di certificazione?

FAQ Risolta – ISO 27001: Un audit interno dovrebbe essere fatto allo stesso modo di un audit di certificazione?

Esiste una distinzione significativa tra un audit interno e un audit di certificazione intrapreso da un audit di certificazione da parte di un organismo di certificazione. Sono cose completamente diverse.

Un audit  intrapreso da parte di un organismo di certificazione è un processo molto formale che riguarda solo “se l’organizzazione è conforme ai requisiti di ISO27001”. Questo è tutto. Gli auditor non sono lì per aggiungere valore o per usare il loro giudizio e la loro esperienza. È un processo meccanico. Ci sono molte possibili interpretazioni di ISO27001 e non spetta al revisore di certificazione imporne una specifica. Controllano semplicemente che quella scelta soddisfi i requisiti di ISO27001.

Un “audit interno” non è affatto un audit. Si tratta di un “controllo dello stato di salute” o di una “revisione” e il suo scopo è quello di aiutare l’organizzazione. L’auditor può esaminare tutte le parti dell’ISMS e i controlli che l’organizzazione desidera. Possono usare il giudizio che vogliono e l’interpretazione di ISO27001 vogliono, purché sia nel migliore interesse dell’organizzazione. I risultati possono essere tutti ignorati dall’organizzazione, se lo desiderano. Si tratta di un lavoro di consulenza