Francesco De Cicco

AUDITORIA BASEADA EM RISCOS APLICADA A SISTEMAS DE GESTO

Maro/2014

QSP Centro da Qualidade, Segurana e Produtividade

Associe-se ao QSP e receba 20% de desconto nos Manuais e Normas da Coleao Risk Tecnologia

Maro de 2014 UM NOVO DESAFIO PARA OS AUDITORES INTERNOS DE SISTEMAS DE GESTO

Auditoria Baseada em Riscos Aplicada a Sistemas de Gesto

(E alinhada s novas ISO 9001:2015, ISO 14001:2015, ISO 45000:2016, etc.) por Francesco De Cicco1

O foco do trabalho dos auditores internos de sistemas de gesto pode mudar consideravelmente com a publicao das novas normas ISO 9001:2015, ISO 14001:2015 e ISO 45001:2016, entre outras. Por causa dos novos requisitos dessas normas e por razes de custo e eficcia, espera-se que seja dada especial nfase Auditoria Baseada em Riscos (ABR). Auditoria Baseada em Riscos um termo bastante utilizado no mundo todo, mas ainda muito mal compreendido. Este paper tem por objetivo apresentar a abordagem do QSP para a ABR Aplicada a Sistemas de Gesto, bem como visa fornecer diretrizes bsicas sobre como abord-la e coloc-la em prtica. Este trabalho foi inspirado no Manual Como implementar a Auditoria Baseada em Riscos nas organizaes: uma abordagem inovadora, lanado em 2007 pelo QSP.

Contexto
Conforme o Anexo SL das novas Diretivas ISO, todas as normas ISO de sistemas de gesto, publicadas a partir de 2012, devero trazer a seguinte definio de Auditoria: "Processo sistemtico, independente e documentado, para obter evidncia de auditoria e avali-la objetivamente, para determinar a extenso na qual os critrios de auditoria so atendidos. NOTA 1 Uma auditoria pode ser uma auditoria interna (de primeira parte) ou uma auditoria externa (de segunda parte ou de terceira parte), e pode ser uma auditoria combinada (combinao de duas ou mais disciplinas).

Diretor executivo do QSP - Centro da Qualidade, Segurana e Produtividade. E-mail: qsp@qsp.org.br. Telefone: (11) 3704-3200. Conhea a Rede Integrada QSP de Informaes.

Auditoria Baseada em Riscos Aplicada a Sistemas de Gesto

2014, QSP

NOTA 2 A evidncia de auditoria" e os "critrios de auditoria" so definidos na ABNT NBR ISO 19011:2012. Por sua vez, a NBR ISO 19011:2012 - Diretrizes para auditoria de sistemas de gesto introduziu o conceito de risco para essas auditorias. O enfoque adotado se relaciona com o risco do processo de auditoria em no atingir seus objetivos e com o risco da auditoria interferir com os processos e atividades da organizao auditada. A nova NBR ISO 19011 no fornece diretrizes especficas sobre o Processo de Gesto de Riscos da organizao (nem sobre Auditoria Baseada em Riscos), mas reconhece que as organizaes podem focar o esforo da auditoria em assuntos de importncia para o sistema de gesto. Existem muitos riscos diferentes associados ao estabelecimento, implementao, monitoramento, anlise crtica e melhoria de um programa de auditoria que podem afetar o alcance dos seus objetivos. A NBR ISO 19011:2012 recomenda que a pessoa que gerencia o programa de auditoria considere esses riscos no seu desenvolvimento. Tais riscos podem estar relacionados a: - planejamento (por exemplo, falha em estabelecer os objetivos pertinentes da auditoria e determinar a abrangncia do programa de auditoria); - recursos (por exemplo, tempo insuficiente para desenvolver o programa de auditoria ou para realizar a auditoria); - seleo da equipe de auditoria (por exemplo, a equipe no tem a competncia coletiva para realizar auditorias de forma eficaz); - implementao (por exemplo, comunicao ineficaz do programa de auditoria); - registros e seus controles (por exemplo, falha em proteger de forma adequada os registros de auditoria para demonstrar a eficcia do programa de auditoria); - monitoramento, anlise crtica e melhoria do programa de auditoria (por exemplo, monitoramento ineficaz dos resultados do programa de auditoria). Na futura ISO 9001:2015 - Sistemas de gesto da qualidade - Requisitos, por exemplo, o conceito de risco no contexto da nova norma ir se referir incerteza da organizao em alcanar os seguintes objetivos: - proporcionar confiana na sua capacidade de fornecer consistentemente aos clientes bens e servios conformes; - aumentar a satisfao dos clientes.

Auditoria Baseada em Riscos Aplicada a Sistemas de Gesto

2014, QSP

Os auditores internos podem implementar uma abordagem baseada em riscos compatvel com a abordagem adotada por suas organizaes. H muitos enfoques que podem ser utilizados, dependendo de quanto a auditoria interna capaz de se apoiar no Processo de Gesto de Riscos2 da organizao. Isso possibilita ao auditor evitar a duplicao dos processos j realizados pela organizao e questionar os processos e as concluses da direo/gerncia sobre os riscos que podem afetar (positiva ou negativamente) os objetivos do sistema de gesto. Pode ser que os auditores internos digam que sempre concentraram seus esforos nas reas e temas de maiores riscos para o sistema de gesto e para a organizao. Contudo, a experincia mostra que essa abordagem tem sido direcionada pela Avaliao de Riscos efetuada pela prpria equipe de auditoria. A principal diferena que o foco da ABR entender e analisar a Avaliao de Riscos realizada pela direo/gerncia e basear os esforos de auditoria em torno dessa avaliao.

Os objetivos da ABR - Auditoria Baseada em Riscos

O principal objetivo da ABR fornecer garantia independente para a direo/gerncia da organizao de que: O Processo de Gesto de Riscos relacionado aos sistemas de gesto (da Qualidade, Ambiental, da Segurana e Sade no Trabalho, etc.) est operando conforme o planejado; O tratamento que a direo/gerncia tem dado aos riscos adequado e eficaz em tornar os nveis de risco aceitveis ou tolerveis para a organizao; Existe uma estrutura slida de controles para modificar suficientemente os riscos que a direo/gerncia deseja tratar.

A ABR comea com os objetivos do negcio, passando pelos objetivos da Qualidade, Ambientais, etc., e se concentra nos riscos que foram identificados pela direo/gerncia e que podem afetar, positiva ou negativamente, a consecuo desses objetivos. O papel da auditoria interna avaliar at que ponto uma abordagem planejada e robusta de Gesto de Riscos adotada e aplicada em toda a organizao pela direo/gerncia, para tornar os nveis de risco aceitveis ou tolerveis (conforme os Critrios de Risco da organizao). A abordagem do QSP para a Auditoria Baseada em Riscos Aplicada a Sistemas de Gesto est descrita de forma esquemtica na pgina a seguir.
2

O termo Risco, na norma NBR ISO 31000:2009, definido como Efeito da incerteza nos objetivos. Portanto, os objetivos abrangidos pela Gesto de Riscos incluem tanto os objetivos estratgicos como os objetivos especficos de uma organizao (por exemplo: os objetivos da Qualidade, Ambientais, de Responsabilidade Social, de Compliance, etc.).

Auditoria Baseada em Riscos Aplicada a Sistemas de Gesto

2014, QSP

Abordagem do QSP para a ABR Aplicada a Sistemas de Gesto

Objetivos da Qualidade, Ambientais, de SST, etc.

Identificao de riscos para a consecuo dos objetivos

Quais so os Critrios de Risco da organizao? O Processo de Gesto de Riscos adequado e eficaz na identificao, anlise, avaliao, tratamento e comunicao dos riscos?
Sim No

Utilize a viso da prpria organizao em relao aos riscos, tanto quanto possvel

Facilite a identificao de riscos junto direo/gerncia

Facilite a melhoria

Determine o Universo de Riscos

Determine o escopo e a prioridade das tarefas de Auditoria

Com base nos riscos, selecione as reas a serem auditadas Para cada rea, analise a adequao do Processo de Gesto de Riscos
Se estiver quase tudo OK Se no estiver OK

Avalie o processo e determine como a direo/gerncia obtm garantias de que as atividades de Gesto de Riscos esto sendo realizadas conforme o planejado

Facilite a identificao de riscos e a avaliao de: riscos inerentes . controles riscos residuais

D garantia onde estiver OK, ou facilite a melhoria onde no estiver

Auditoria Baseada em Riscos Aplicada a Sistemas de Gesto

2014, QSP

A prtica da ABR - Auditoria Baseada em Riscos

Aspectos gerais importantes a serem considerados: O escopo da ABR pode incluir riscos estratgicos, riscos do negcio e riscos operacionais, incluindo os relacionados aos sistemas de gesto da organizao. O ponto de partida determinar se a organizao estabeleceu objetivos apropriados, e ento determinar se a empresa tem ou no um processo adequado para identificar, analisar, avaliar, tratar e comunicar os riscos que afetam, positiva ou negativamente, esses objetivos. Em um ambiente maduro de Gesto de Riscos, o foco da auditoria interna pode ser: o Auditar a estrutura para gerenciar riscos como, por exemplo, recursos, documentao, mtodos e relatrios; o Auditar o sistema de controles de toda a organizao e de cada rea, diviso, departamento ou processo; o Realizar auditorias individuais que visem predominantemente o gerenciamento de riscos especficos. Caso vrios riscos sejam controlados atravs de um Sistema Integrado de Gesto ou processo comum, talvez seja apropriado realizar uma auditoria combinada desse sistema ou processo. Em ambientes menos maduros de Gesto de Riscos, caso as auditorias individuais focalizem predominantemente todo um sistema, processo ou unidade de negcio, a auditoria interna deve analisar criticamente os objetivos estabelecidos e o Processo de Gesto de Riscos, dentro de cada uma dessas partes auditveis. Se o Processo de Gesto de Riscos estiver adequado e enraizado, a auditoria interna, sempre que possvel, deve se apoiar na prpria viso da organizao com relao aos riscos, a fim de determinar o trabalho de auditoria que ela necessita conduzir. Quando ela no puder se basear no Processo de Gesto de Riscos, a auditoria interna deve realizar sua prpria Avaliao de Riscos (em conjunto com a direo, gerncia, etc., e preferencialmente utilizando como referncia a norma internacional e brasileira NBR ISO/IEC 31010 - Gesto de riscos - Tcnicas para o processo de avaliao de riscos), para determinar o nvel preciso do trabalho necessrio, e ento focalizar a maneira como a direo/gerncia se assegura de que as atividades de Gesto de Riscos esto sendo praticadas conforme o planejado. O resultado final de cada auditoria individual deve ser o de assegurar que os riscos esto sendo gerenciados dentro de um nvel aceitvel ou tolervel

Auditoria Baseada em Riscos Aplicada a Sistemas de Gesto

2014, QSP

(conforme definido nos Critrios de Risco da organizao), ou facilitar e/ou definir melhorias conforme necessrio.

Processo contnuo de administrao dos riscos

bvio, mas importante enfatizar, que nem todas as organizaes esto no mesmo estgio de implementao da Gesto de Riscos. O quadro a seguir estabelece os graus de Maturidade de Riscos3 e a abordagem da auditoria interna que pode ser adotada em cada estgio.

Grau de Maturidade de Riscos

Ingnuo

Caractersticas Principais

Abordagem da Auditoria Interna

Consciente

Definido

Gerenciado

Habilitado

Nenhuma abordagem Promove a Gesto de Riscos e formal desenvolvida para a se baseia na Avaliao de Gesto de Riscos. Riscos da prpria auditoria. Promove a abordagem Abordagem para a Gesto corporativa da Gesto de de Riscos dispersa em Riscos e se baseia na silos. Avaliao de Riscos realizada pela prpria auditoria. Facilita a Gesto de Riscos/ Estratgia e polticas Relaciona-se com a Gesto de implementadas e Riscos, e usa a Avaliao de comunicadas, Critrios de Riscos realizada pela direo/ Risco definidos. gerncia quando apropriado. Audita o Processo de Gesto Abordagem corporativa de Riscos e utiliza a Avaliao para a Gesto de Riscos, de Riscos realizada pela desenvolvida e direo/gerncia conforme comunicada. apropriado. Audita o Processo de Gesto Gesto de Riscos e de Riscos e utiliza a Avaliao controles internos de Riscos realizada pela totalmente incorporados direo/gerncia conforme s operaes. apropriado.

Cada organizao deve determinar como pretende implementar/melhorar a Gesto de Riscos (preferencialmente adotando como referncia a norma internacional e brasileira NBR ISO 31000:2009 - Gesto de riscos - Princpios e diretrizes). Isso ajudar a determinar os Critrios de Risco e o nvel de Maturidade de Riscos da organizao. Por exemplo, nem todas as empresas desejaro atingir completamente o grau de
3

Termo simplificado que utilizamos no QSP quando nos referimos Maturidade da Gesto de Riscos de uma organizao.

Auditoria Baseada em Riscos Aplicada a Sistemas de Gesto

2014, QSP

maturidade Habilitado, pois talvez tenham que pesar os custos em relao viso que tm dos benefcios potenciais. Cabe alta direo e equipe de gerentes determinarem at que ponto desse processo contnuo desejaro chegar. Alm da Maturidade de Riscos da organizao, a extenso da Avaliao de Riscos que a prpria auditoria interna ir realizar, se for o caso, tambm depende do grau e da velocidade das mudanas estratgicas e organizacionais.

Concluso
A Auditoria Baseada em Riscos uma abordagem que focaliza as questes que realmente importam para a organizao, em qualquer rea: Finanas, Qualidade, Meio Ambiente, Segurana e Sade no Trabalho, Responsabilidade Social, Compliance, etc. A ABR fornece garantias em relao estrutura para gerenciar riscos da empresa, possibilitando que a auditoria interna se ligue diretamente a essa estrutura e, dessa forma, potencialize as sinergias.

Capacite-se no QSP (clique na figura acima para conhecer nosso Curso de Capacitao e Certificao em Gesto de Riscos - ISO 31000)

Auditoria Baseada em Riscos Aplicada a Sistemas de Gesto

2014, QSP