Академический Документы
Профессиональный Документы
Культура Документы
Maro/2014
Associe-se ao QSP e receba 20% de desconto nos Manuais e Normas da Coleao Risk Tecnologia
O foco do trabalho dos auditores internos de sistemas de gesto pode mudar consideravelmente com a publicao das novas normas ISO 9001:2015, ISO 14001:2015 e ISO 45001:2016, entre outras. Por causa dos novos requisitos dessas normas e por razes de custo e eficcia, espera-se que seja dada especial nfase Auditoria Baseada em Riscos (ABR). Auditoria Baseada em Riscos um termo bastante utilizado no mundo todo, mas ainda muito mal compreendido. Este paper tem por objetivo apresentar a abordagem do QSP para a ABR Aplicada a Sistemas de Gesto, bem como visa fornecer diretrizes bsicas sobre como abord-la e coloc-la em prtica. Este trabalho foi inspirado no Manual Como implementar a Auditoria Baseada em Riscos nas organizaes: uma abordagem inovadora, lanado em 2007 pelo QSP.
Contexto
Conforme o Anexo SL das novas Diretivas ISO, todas as normas ISO de sistemas de gesto, publicadas a partir de 2012, devero trazer a seguinte definio de Auditoria: "Processo sistemtico, independente e documentado, para obter evidncia de auditoria e avali-la objetivamente, para determinar a extenso na qual os critrios de auditoria so atendidos. NOTA 1 Uma auditoria pode ser uma auditoria interna (de primeira parte) ou uma auditoria externa (de segunda parte ou de terceira parte), e pode ser uma auditoria combinada (combinao de duas ou mais disciplinas).
Diretor executivo do QSP - Centro da Qualidade, Segurana e Produtividade. E-mail: qsp@qsp.org.br. Telefone: (11) 3704-3200. Conhea a Rede Integrada QSP de Informaes.
2014, QSP
NOTA 2 A evidncia de auditoria" e os "critrios de auditoria" so definidos na ABNT NBR ISO 19011:2012. Por sua vez, a NBR ISO 19011:2012 - Diretrizes para auditoria de sistemas de gesto introduziu o conceito de risco para essas auditorias. O enfoque adotado se relaciona com o risco do processo de auditoria em no atingir seus objetivos e com o risco da auditoria interferir com os processos e atividades da organizao auditada. A nova NBR ISO 19011 no fornece diretrizes especficas sobre o Processo de Gesto de Riscos da organizao (nem sobre Auditoria Baseada em Riscos), mas reconhece que as organizaes podem focar o esforo da auditoria em assuntos de importncia para o sistema de gesto. Existem muitos riscos diferentes associados ao estabelecimento, implementao, monitoramento, anlise crtica e melhoria de um programa de auditoria que podem afetar o alcance dos seus objetivos. A NBR ISO 19011:2012 recomenda que a pessoa que gerencia o programa de auditoria considere esses riscos no seu desenvolvimento. Tais riscos podem estar relacionados a: - planejamento (por exemplo, falha em estabelecer os objetivos pertinentes da auditoria e determinar a abrangncia do programa de auditoria); - recursos (por exemplo, tempo insuficiente para desenvolver o programa de auditoria ou para realizar a auditoria); - seleo da equipe de auditoria (por exemplo, a equipe no tem a competncia coletiva para realizar auditorias de forma eficaz); - implementao (por exemplo, comunicao ineficaz do programa de auditoria); - registros e seus controles (por exemplo, falha em proteger de forma adequada os registros de auditoria para demonstrar a eficcia do programa de auditoria); - monitoramento, anlise crtica e melhoria do programa de auditoria (por exemplo, monitoramento ineficaz dos resultados do programa de auditoria). Na futura ISO 9001:2015 - Sistemas de gesto da qualidade - Requisitos, por exemplo, o conceito de risco no contexto da nova norma ir se referir incerteza da organizao em alcanar os seguintes objetivos: - proporcionar confiana na sua capacidade de fornecer consistentemente aos clientes bens e servios conformes; - aumentar a satisfao dos clientes.
2014, QSP
Os auditores internos podem implementar uma abordagem baseada em riscos compatvel com a abordagem adotada por suas organizaes. H muitos enfoques que podem ser utilizados, dependendo de quanto a auditoria interna capaz de se apoiar no Processo de Gesto de Riscos2 da organizao. Isso possibilita ao auditor evitar a duplicao dos processos j realizados pela organizao e questionar os processos e as concluses da direo/gerncia sobre os riscos que podem afetar (positiva ou negativamente) os objetivos do sistema de gesto. Pode ser que os auditores internos digam que sempre concentraram seus esforos nas reas e temas de maiores riscos para o sistema de gesto e para a organizao. Contudo, a experincia mostra que essa abordagem tem sido direcionada pela Avaliao de Riscos efetuada pela prpria equipe de auditoria. A principal diferena que o foco da ABR entender e analisar a Avaliao de Riscos realizada pela direo/gerncia e basear os esforos de auditoria em torno dessa avaliao.
A ABR comea com os objetivos do negcio, passando pelos objetivos da Qualidade, Ambientais, etc., e se concentra nos riscos que foram identificados pela direo/gerncia e que podem afetar, positiva ou negativamente, a consecuo desses objetivos. O papel da auditoria interna avaliar at que ponto uma abordagem planejada e robusta de Gesto de Riscos adotada e aplicada em toda a organizao pela direo/gerncia, para tornar os nveis de risco aceitveis ou tolerveis (conforme os Critrios de Risco da organizao). A abordagem do QSP para a Auditoria Baseada em Riscos Aplicada a Sistemas de Gesto est descrita de forma esquemtica na pgina a seguir.
2
O termo Risco, na norma NBR ISO 31000:2009, definido como Efeito da incerteza nos objetivos. Portanto, os objetivos abrangidos pela Gesto de Riscos incluem tanto os objetivos estratgicos como os objetivos especficos de uma organizao (por exemplo: os objetivos da Qualidade, Ambientais, de Responsabilidade Social, de Compliance, etc.).
2014, QSP
Quais so os Critrios de Risco da organizao? O Processo de Gesto de Riscos adequado e eficaz na identificao, anlise, avaliao, tratamento e comunicao dos riscos?
Sim No
Utilize a viso da prpria organizao em relao aos riscos, tanto quanto possvel
Facilite a melhoria
Com base nos riscos, selecione as reas a serem auditadas Para cada rea, analise a adequao do Processo de Gesto de Riscos
Se estiver quase tudo OK Se no estiver OK
Avalie o processo e determine como a direo/gerncia obtm garantias de que as atividades de Gesto de Riscos esto sendo realizadas conforme o planejado
Facilite a identificao de riscos e a avaliao de: riscos inerentes . controles riscos residuais
2014, QSP
2014, QSP
(conforme definido nos Critrios de Risco da organizao), ou facilitar e/ou definir melhorias conforme necessrio.
Caractersticas Principais
Consciente
Definido
Gerenciado
Habilitado
Nenhuma abordagem Promove a Gesto de Riscos e formal desenvolvida para a se baseia na Avaliao de Gesto de Riscos. Riscos da prpria auditoria. Promove a abordagem Abordagem para a Gesto corporativa da Gesto de de Riscos dispersa em Riscos e se baseia na silos. Avaliao de Riscos realizada pela prpria auditoria. Facilita a Gesto de Riscos/ Estratgia e polticas Relaciona-se com a Gesto de implementadas e Riscos, e usa a Avaliao de comunicadas, Critrios de Riscos realizada pela direo/ Risco definidos. gerncia quando apropriado. Audita o Processo de Gesto Abordagem corporativa de Riscos e utiliza a Avaliao para a Gesto de Riscos, de Riscos realizada pela desenvolvida e direo/gerncia conforme comunicada. apropriado. Audita o Processo de Gesto Gesto de Riscos e de Riscos e utiliza a Avaliao controles internos de Riscos realizada pela totalmente incorporados direo/gerncia conforme s operaes. apropriado.
Cada organizao deve determinar como pretende implementar/melhorar a Gesto de Riscos (preferencialmente adotando como referncia a norma internacional e brasileira NBR ISO 31000:2009 - Gesto de riscos - Princpios e diretrizes). Isso ajudar a determinar os Critrios de Risco e o nvel de Maturidade de Riscos da organizao. Por exemplo, nem todas as empresas desejaro atingir completamente o grau de
3
Termo simplificado que utilizamos no QSP quando nos referimos Maturidade da Gesto de Riscos de uma organizao.
2014, QSP
maturidade Habilitado, pois talvez tenham que pesar os custos em relao viso que tm dos benefcios potenciais. Cabe alta direo e equipe de gerentes determinarem at que ponto desse processo contnuo desejaro chegar. Alm da Maturidade de Riscos da organizao, a extenso da Avaliao de Riscos que a prpria auditoria interna ir realizar, se for o caso, tambm depende do grau e da velocidade das mudanas estratgicas e organizacionais.
Concluso
A Auditoria Baseada em Riscos uma abordagem que focaliza as questes que realmente importam para a organizao, em qualquer rea: Finanas, Qualidade, Meio Ambiente, Segurana e Sade no Trabalho, Responsabilidade Social, Compliance, etc. A ABR fornece garantias em relao estrutura para gerenciar riscos da empresa, possibilitando que a auditoria interna se ligue diretamente a essa estrutura e, dessa forma, potencialize as sinergias.
Capacite-se no QSP (clique na figura acima para conhecer nosso Curso de Capacitao e Certificao em Gesto de Riscos - ISO 31000)
2014, QSP