Escolar Documentos
Profissional Documentos
Cultura Documentos
em Instalaes Porturias
Marcus Dantas
Auditoria
2 Edio
Livro Rpido
Olinda PE
2011
1
D192a
DEDICATRIA
AGRADECIMENTOS
PREFCIO
10
SUMRIO
INTRODUO ................................................................................................. 13
TERMOS E DEFINIES................................................................................... 19
1 AUDITORIA...................................................................................................23
1.1 Tipos de auditoria................................................................................. 24
1.1.1 Internas........................................................................................... 24
1.1.2 Externas...........................................................................................25
1.2 Etapas da auditoria ...............................................................................25
1.3 Auditores ............................................................................................. 26
1.4 Programa de auditoria..........................................................................27
1.4.1 Elementos de um programa de auditoria....................................... 28
1.5 Atividades de auditoria........................................................................ 30
1.5.1 Planejamento da auditoria .............................................................. 31
1.5.2 Execuo da auditoria.................................................................... 34
1.5.3 Encerramento da auditoria ............................................................ 38
1.6 Procedimentos de auditoria................................................................ 42
1.6.1 Evidncias de auditoria .................................................................. 42
1.6.2 Tcnicas de auditoria ..................................................................... 43
1.6.3 Constataes de auditoria............................................................. 44
1.6.4 Papis de trabalho......................................................................... 44
1.6.5 Procedimentos de auditoria X procedimentos do auditor ............ 45
2 AUDITORIA EM INSTALAES PORTURIAS................................................47
2.1 Tipos de auditoria e sua importncia na proteo de instalaes
porturias ................................................................................................. 50
2.2 Objetivos de programas de auditoria e objetivos de auditoria .......... 54
2.3 Auditoria em sistemas de proteo .................................................... 59
2.4 Auditoria da avaliao de proteo de instalaes porturias .......... 63
2.5 Auditoria do Plano de Segurana Pblica Porturia (PSPP)............... 69
2.5.1 Exame dos requisitos do ISPS Code................................................. 71
2.5.2 Exame dos requisitos da CONPORTOS .......................................... 74
2.5.3 Exame da funcionalidade do plano ............................................... 83
2.6 Auditoria do controle de acesso ......................................................... 88
2.6.1 Exame dos requisitos do ISPS Code................................................ 90
11
12
INTRODUO
Aps os atentados terroristas de 11 de setembro de 2001 s Torres
Gmeas do World Trade Center e ao Pentgono, a comunidade internacional
comeou a se preocupar mais com a segurana mundial e o combate ao
terrorismo.
Nesse sentido, a Organizao Martima Internacional (IMO), ligada
Organizao das Naes Unidas (ONU), aprovou o International Ship and Port
Facility Security Code (ISPS Code), na Conferncia Diplomtica sobre proteo
martima, realizada em Londres, em dezembro de 2002.
Esse cdigo decorre de uma deciso unnime, na vigsima segunda
sesso de assemblia da IMO, realizada em novembro de 2001, como parte
das novas medidas de preveno ao terrorismo, relativas proteo de
embarcaes e instalaes porturias.
Como consequncia desse cdigo internacional, as instalaes
porturias tiveram e tero de adotar uma srie de medidas para a sua
proteo, sendo certificadas, internacionalmente, como instalaes seguras.
Medidas de alcance para os 162 pases que compem a IMO, dentre eles o
Brasil.
Para termos uma idia do tamanho do impacto dessa norma, uma
pesquisa1 realizada entre maro e abril de 2004 pela International Association
of Port and Harbors (IAPH), em 30 pases, revelou que, de 1.628 instalaes
porturias pesquisadas, apenas 8% tinham tido seus planos de proteo
aprovados, que 8,5% estavam aguardando a aprovao, e que 81% j tinham
submetido seus planos para a aprovao.
No Brasil, conforme foi publicado no quadro resumo de instalaes
porturias certificadas, existiam, at a data de 31 de dezembro de 2010, 181
instalaes porturias certificadas, do total de 241 instalaes que
necessitavam se adequar s normas do ISPS Code (Brasil, 2011).
O relatrio dessa pesquisa foi apresentado na IMO Martima Safety Committees 78 Session,
ocorrida em Londres, entre 12-21 de maio de 2004. No Brasil, o porto de SUAPE foi o nico a ser
consultado.
13
14
15
O termo Gap vem do ingls e significa fenda, abertura, brecha, intervalo. Anlise GAP uma
anlise que objetiva fechar a brecha da segurana. Esse o significado que desejamos ao
empregar o termo Anlise GAP.
16
17
18
TERMOS E DEFINIES
19
9.
10.
11.
12.
13.
Outras definies
Incidente de proteo
aquele que interfere diretamente nas operaes porturias ou ponham em
risco a estrutura da instalao e/ou do navio e a integridade das pessoas;
Declarao de Cumprimento
Declarao por meio da qual certifica-se que a respectiva Instalao Porturia
cumpre as disposies do Captulo XI-2 e da Parte A do Cdigo Internacional
para Proteo de Navios e Instalaes Porturias Cdigo ISPS e o previsto
no seu Plano de Segurana Pblica Porturia aprovado pela Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
CONPORTOS. (Resoluo n 26, de 08 de junho de 2004 da CONPORTOS).
Termo de Aptido para a Declarao de Proteo
Documento por meio do qual a Instalao Porturia poder operar mediante a
expedio da Declarao de Proteo, desde que comprove estar
implementando as disposies do Captulo XI-2 e da Parte A do Cdigo
20
21
22
1 AUDITORIA
A auditoria uma atividade formal, documentada e executada por
pessoal habilitado, e destina-se a verificar a conformidade e a eficcia de um
sistema, mediante as evidncias em documentos, registros, observaes e
entrevistas, relatando ao final as no conformidades, para a adoo de aes
corretivas e preventivas.
Segundo o dicionrio, auditoria : cargo de auditor; casa ou tribunal
onde o auditor desempenha as suas funes; funo de auditor junto s
empresas comerciais; exame detalhado da contabilidade de uma empresa ou
instituio. (Michaelis, 1998).
A NBR ISO 19.011:20023 define a auditoria como um processo
sistemtico, documentado e independente para se obterem evidncias de
auditoria e avali-las objetivamente, a fim de determinar a extenso na qual os
critrios de auditoria so atendidos.
Como j pode ser deduzido, a atividade de auditoria especializada e constitui
uma importante ferramenta de gesto na verificao de conformidades e na
avaliao de um sistema como um todo. Pode ser uma atividade interna ou
externa.
As auditorias internas so atividades de avaliao e assessoramento
de uma administrao, feitas por pessoal da prpria corporao, que realiza
exames para verificar a eficcia do sistema de controle interno e o
desempenho das diversas reas em relao ao planejamento corporativo. As
auditorias externas tm as mesmas caractersticas da interna, porm so
realizadas por profissionais liberais, auditores independentes, sem vnculo de
emprego, ou seja, estranhos corporao.
A atividade de auditoria predomina mais na rea financeira e contbil;
A auditoria contbil est voltada para testar a eficincia e a eficcia do
controle sobre o patrimnio da empresa, implantada com a finalidade de
expressar uma opinio sobre determinado dado (ATTIE, 1998). Ela realizada
sobre as demonstraes financeiras e destina-se ao exame e avaliao
3 Esta norma estabelece diretrizes para a auditoria de sistema de gesto da qualidade e/ou
ambiental.
23
24
25
1.3 Auditores
So denominados auditores as pessoas que realizam as auditorias.
Faz-se necessrio que essas pessoas possuam curso de formao de auditores
internos, com conhecimentos na rea de atuao, e que no possuam vnculo
com a rea a ser auditada.
Dependendo do tamanho e complexidade da empresa, poder existir
uma equipe de auditoria.
Quando da realizao de trabalhos de auditoria, se o auditor no
possuir conhecimento especfico daquela rea, a empresa dever designar um
especialista ou um funcionrio que trabalhe naquela funo para acompanhar
o auditor. Esse especialista ou funcionrio no far a auditoria, apenas
fornecer as explicaes necessrias, quando for solicitado pelo auditor ou
sua equipe.
Segundo a NBR ISO 19011 (2002:18-19), o auditor deve possuir os
seguintes atributos pessoais:
a)
tico, isto , verdadeiro, sincero, honesto e discreto;
b)
mente aberta, isto , disposto a considerar idias ou
pontos de vista alternativos;
c)
diplomtico, isto , com tato para lidar com pessoas;
26
d)
observador, isto , ativamente atento
circunvizinhana e s atividades fsicas;
e)
perceptivo, isto , institivamente atento e capaz de
entender situaes;
f)
verstil, isto , que se ajuste prontamente a
diferentes situaes;
g)
tenaz, isto , persistente, focado em alcanar
objetivos;
h)
decisivo, isto , chegue a concluses oportunas
baseado em razes lgicas e anlise; e
i)
autoconfiante, isto , atue e funcione
independentemente, enquanto interage de forma eficaz
com os outros.
27
28
29
Registros
Todos os registros relativos implementao do programa de
auditoria devero ser mantidos, tais como: os planos de auditoria, os papis
de trabalho, os relatrios, as aes adotadas para correo e
acompanhamento, etc., ou seja, tudo aquilo que estiver relacionado com a
auditoria.
Monitoramento e anlise crtica do programa de auditoria
O monitoramento e a avaliao do programa devem ser previstos para
que se possa realizar uma anlise crtica do programa, melhorando-o e
adequando-o s mudanas necessrias.
Em tal avaliao, devem ser observados os registros do programa de
auditoria, que so os planos de auditoria, os relatrios de no conformidade,
os relatrios de ao corretiva e preventiva e os de acompanhamento de
auditorias.
Outro fator importante o estabelecimento de indicadores de
desempenho para se avaliar a equipe de auditoria.
A anlise crtica do programa de auditoria deve ser realizada levandose em considerao os resultados das auditorias realizadas, confrontando-se
as conformidades e no conformidades encontradas com os procedimentos
auditados, para se poderem verificar as solues apresentadas, identificando
novas demandas de auditorias para novos programas de auditoria.
30
31
32
33
34
35
confidencialidade;
j)
Confirmao de procedimentos pertinentes de
segurana no trabalho, emergncia e segurana para a
equipe de auditoria;
k)
Confirmao da disponibilidade, funes e
identidades de quaisquer guias;
l)
Mtodo de relatar, incluindo qualquer classificao
de no conformidade;
m)
Informaes sobre condies nas quais a auditoria
pode ser encerrada, e
n)
Informaes sobre quaisquer sistema de apelao
referente realizao ou concluso da auditoria.
Execuo da auditoria
A execuo ou a auditoria propriamente dita caracteriza-se pela ao
ou aes dos auditores na verificao das conformidades. Essa verificao
realizada com a utilizao de listas de verificao ou checklist.
A execuo da auditoria um trabalho de coleta de informaes e de
checagem da veracidade dessas informaes, mediante o emprego dos
procedimentos de auditoria. uma grande tarefa de verificao do sistema de
controle interno da organizao, para ao final emitir o seu parecer no relatrio
da auditoria.
A execuo geralmente desenvolvida mediante entrevistas,
observao das atividades e anlise crtica de documentos.
36
37
38
39
40
l)
A confirmao de que os objetivos da auditoria
foram atendidos dentro do escopo da auditoria e em
conformidade com o plano de auditoria;
m)
Quaisquer reas no cobertas, embora dentro do
escopo da auditoria;
n)
Quaisquer opinies divergentes e no resolvidas
entre a equipe da auditoria e o auditado;
o)
As recomendaes para a melhoria, se especificado
nos objetivos da auditoria;
p)
O plano de ao de acompanhamento negociado, se
existir;
q)
Uma declarao da natureza confidencial dos
contedos;
r)
A lista de distribuio do relatrio da auditoria.
41
42
43
44
45
46
47
48
49
13
50
realizando assim uma anlise GAP, de modo a poder estabelecer aes que
preencham a lacuna entre o real e o planejado.
Essa anlise poder apontar o estgio de proteo da instalao
porturia. Nesse caso especfico, faz-se necessrio que exista um marco
referencial que identifique os nveis de proteo14, como, por exemplo: nvel 0
no existem controles; nvel 1- inicial (reconhecimento da necessidade de
controles, mas no implantados); nvel 2 controles implantados
(insuficientes, apenas para algumas atividades e sem consistncia); nvel 3
controles implantados e processos definidos (caracterizado pela definio dos
processos de controle); nvel 4 controles gerenciveis e mensurveis
(controles e processos definidos e funcionrios capacitados nas suas
atividades de controle); nvel 5 o ideal, caracterizado pela completeza de
todas as medidas de controle planejadas e implantadas.
Outra forma de emprego da auditoria interna destina-se a verificar as
medidas de tratamento dos riscos. Nessa verificao devem ser analisadas as
prioridades apontadas na avaliao de riscos e executar a auditoria,
verificando a implementao dessas medidas e avaliando o impacto da no
implementao nos processos de negcios. Tal verificao de importncia
mpar, pois dela poder resultar numa nova avaliao de riscos, ou
reavaliao, como tambm ela poder apontar para a necessidade de se
adotar uma nova metodologia para a parametrizao dos riscos.
Observe-se que essa auditoria no a realizada sobre a avaliao de
riscos, mas sobre as medidas resultantes da avaliao de riscos. um tipo de
auditoria que deve ser realizada com um intervalo de tempo menor do que
outros tipos de auditoria, devido ao tipo de sua especificidade e criticidade
para a continuidade dos negcios da instalao porturia.
Como podemos verificar, a auditoria interna indispensvel para
qualquer instalao porturia, mesmo que no esteja submetida ao alcance do
ISPS Code, pois ela possui vrias aplicaes.
14
51
52
15
53
54
55
56
57
58
59
60
Segurana da documentao
A segurana da documentao necessria, porque nela que
podero estar registrados dados importantes, tais como operaes de
crdito, grandes contratos, valor da folha de pagamento, endereos dos
scios e diretores, planos de segurana, dentre tantas outras valiosas
informaes.
importante verificar os critrios de controle na elaborao,
identificao, autenticidade, manuseio, arquivo e destruio de documentos,
com especial ateno para o tratamento do lixo.
Segurana do material
A segurana do material segue a mesma filosofia da segurana da
documentao. importante verificar os critrios de recebimento e exame do
material, checando as especificaes do material com a documentao que o
acompanhar, confrontando-a com a documentao do contrato ou pedido,
como tambm o inventrio do material.
Segurana das comunicaes e da informtica
uma das reas da segurana que mais cresce nas corporaes, e que
demanda uma ateno especial, em face da importncia e crescimento
permanente da tecnologia para os negcios corporativos. A segurana da
informao a rea responsvel pela segurana da documentao, das
comunicaes e da informtica. Atualmente, essas subreas da segurana
orgnica esto contempladas no contexto da segurana da informao.
A segurana da informao a proteo da informao de vrios tipos
de ameaas para garantir a continuidade do negcio, minimizar o risco ao
negcio, maximizar o retorno sobre os investimentos e as oportunidades de
negcio. Ela obtida a partir da implementao de um conjunto de controles
adequados, incluindo polticas, processos, procedimentos, estruturas
organizacionais e funes de software e hardware (NBR ISO/IEC 27002:2005).
Para Dantas (2003: 27), a proteo das informaes compreende um conjunto
de procedimentos que devem ser adotados com o objetivo de eliminar a fuga
das informaes e dificultar a eficcia das atividades de coleta de
informaes, salvaguard-las e proteg-las contra quaisquer eventualidades,
61
16
62
19
Navigation and Vessel Inspection Circular no 11-02 (NVIC 11-02). Recommended security
guidelines for facilities.
63
64
65
66
67
68
69
70
71
Contedo
Aps essas verificaes iniciais, o auditor passar ao exame do
contedo do plano. Para facilitar essa verificao, apresentamos um roteiro
dos principais requisitos a serem auditados.
O auditor deve verificar se do contedo do plano constam, no mnimo:
1.
O papel e a estrutura da organizao de proteo das instalaes
porturias.
2.
A identificao do funcionrio de proteo das instalaes porturias,
incluindo informaes para contato durante 24 horas.
3.
Os vnculos da organizao de proteo das instalaes porturias com
outras autoridades locais ou nacionais com responsabilidades relativas
proteo.
4.
Os sistemas de comunicao disponveis para permitir a comunicao
contnua e eficaz entre o pessoal das instalaes porturias com funes
relativas proteo e os navios atracados no porto, e com autoridades locais
ou nacionais com responsabilidades relativas proteo.
5.
Os deveres, responsabilidades e requisitos de treinamento de todo o
pessoal das instalaes porturias com funes relativas proteo, bem
como os parmetros de desempenho necessrios para avaliar sua eficcia
individual, e deveres de qualquer outro pessoal das instalaes porturias
relativos a aspectos de proteo.
Isso quer dizer que no s devem constar as obrigaes do pessoal especfico
para a proteo, mas as responsabilidades de todos da instalao,
permanentes ou temporrios, com relao proteo da instalao porturia.
6.
As medidas de controle de acesso que cobrem todos os meios de acesso
s instalaes porturias identificados no plano, com restries por rea e
nvel de proteo.
Essas medidas devem incluir: aquelas para prevenir que armas,
substncias perigosas e dispositivos destinados ao uso contra pessoas, navios
ou portos sejam introduzidos em uma instalao porturia ou a bordo de um
navio, ou cujo transporte no seja autorizado; os procedimentos para atender
a quaisquer instrues de proteo que os governos contratantes, em cujo
territrio a instalao porturia esteja localizada, possam dar para o nvel 3 de
proteo; as disposies para garantir a atualizao dos sistemas de
72
73
Essa resoluo aprovou o termo de referncia para a elaborao dos planos de segurana
pblica porturia dos portos e terminais martimos brasileiros, aprovou o roteiro para a
elaborao e anlise dos planos de segurana pblica porturia, e aprovou a orientao para a
elaborao das normas de controle de acesso e circulao de pessoas e veculos.
74
Objetivo
Verificar se entre os objetivos do plano est o de: prevenir e reprimir
atos ilcitos nos portos, terminais e vias navegveis.
Identificao
Da Instalao Porturia
Verificar se a instalao porturia est devidamente identificada pelo
nome e razo social da instalao; endereo completo; nmero dos registros
legais; telefone; fax; endereo eletrnico e pgina na Internet (caso esteja
disponvel); CNPJ; telefone e fax dos representantes legais e pessoas para
contato.
Da Organizao de Segurana e dos Tcnicos responsveis pela elaborao
do PSPP.
Verificar se a identificao da organizao de segurana e de seus
tcnicos responsveis pela elaborao do plano foi feita pelo nome e ou razo
social; endereo completo; nmero dos registros legais; telefone; fax;
endereo eletrnico; CNPJ/CPF telefone e fax dos representantes legais e
pessoas para contato.
Metodologia
Verificar se a metodologia utilizada em cada etapa do trabalho est
indicada no plano.
Verificar se os procedimentos e as aes propostas no plano esto
justificadas e esquematizadas, de acordo com as categorias definidas na
avaliao de proteo e com os nveis de riscos e vulnerabilidade de cada
cenrio, ou seja, se esses procedimentos e medidas estejam fundamentados
na avaliao de riscos.
Verificar se a probabilidade de ocorrncia dessas ameaas, e outras
que porventura estejam relacionadas nos cenrios das avaliaes de riscos,
foram analisadas e avaliadas pelas estimativas e consequncias.
Verificar se todas as reas e instalaes foram codificadas de acordo
com a categoria de risco.
Verificar se consta a apreciao e a identificao dos nveis de riscos
de segurana (baixo, mdio e alto), de conformidade com o estudo de
avaliao de riscos.
75
24
Esse plano foi aprovado pela Resoluo 02/2002 da CONPORTOS, publicada no Dirio Oficial
da Unio, n 241, de 13 de dezembro de 2002.
76
25
77
78
79
Procedimentos operacionais
Este item da Resoluo 12/2003 estabelece o contedo bsico para um
plano de segurana pblica porturia, e com fundamento nele, o auditor
dever:
Verificar se a estrutura organizacional e regimental da Unidade de
Segurana (US) da instalao porturia foi definida, como tambm as
atribuies de seus elementos organizacionais.
Ateno deve ser dispensada na verificao do regimento interno da
Unidade de segurana, com os deveres e responsabilidades de seu pessoal, se
foram estabelecidos parmetros de desempenho para avaliar a eficcia
coletiva e individual, bem como os procedimentos operacionais da unidade.
Verificar se constam no plano os deveres e responsabilidades dos
proprietrios, dirigentes e demais funcionrios, relativos segurana e aos
procedimentos operacionais.
Verificar se foi definido um sistema de cadastramento que atenda ao
pessoal da US, aos proprietrios, dirigentes, funcionrios, a todas as pessoas
que eventualmente trabalhem, faam uso ou trafeguem nas instalaes
porturias.
Verificar se foram definidas as normas de acesso s instalaes
porturias.26
Verificar se foi definido um sistema de cadastramento de veculos,
embarcaes e equipamentos que operem em apoio s atividades porturias,
bem como das cargas em geral, mercadorias perigosas e substncias nocivas
por eles movimentadas.
Verificar se foram definidas as normas de acesso de veculos,
embarcaes, equipamentos, cargas, mercadorias perigosas e substncias
nocivas s reas de acesso pblico, controlado e restrito.
Verificar se foram definidos os procedimentos relativos a
movimentao, manuseio e armazenamento de cargas em geral, mercadorias
perigosas e substncias nocivas, de forma a garantir a segurana pblica
porturia.
Verificar se foram definidos os procedimentos para evitar o acesso
ilcito de armas, drogas e substncias nocivas, artefatos explosivos e demais
26
80
81
28
82
Anexos
Verificar se os anexos contm normas, plantas, mapas e croquis
relacionados com os objetivos do plano.
2.5.3 Exame da funcionalidade do plano
A auditoria da funcionalidade (exame de conformidade) do plano de
segurana porturia dever ser realizada com foco nas medidas de proteo
estabelecidas no plano. o exame realizado sobre o plano, para verificar se os
controles foram implementados, se esto mantidos e executados de acordo
com o estabelecido, e se so eficazes31.
Esse tipo de exame no mais estar verificando se determinado
domnio est atendendo a requisitos normativos, pois a etapa que verifica
esse cumprimento foi a etapa do exame para a confeco do documento
denominado plano de segurana, conforme foi abordado nos itens anteriores.
Observe-se que h uma diferena tnue entre a auditoria do plano e a
auditoria realizada com base no plano. A primeira diz respeito verificao da
conformidade com os requisitos do ISPS Code e das normas da CONPORTOS,
para a concepo, formatao, contedo e elaborao do plano; e a segunda
diz respeito ao exame e anlise da implementao do plano, ou seja, verifica a
sua funcionalidade utilizando o plano como o documento-base para o exame
a fim de constatao de conformidade. Esta etapa da auditoria conhecida
como exame de conformidade.
A etapa agora a de auditar o plano, para certificar se as medidas nele
constantes so pertinentes ao cenrio de proteo e proteo propriamente
dita. o exame com base no plano, no que foi nele especificado.
83
32
O exame da eficcia dos controles pode ser considerado outra etapa da auditoria voltada
para verificar se no existem falhas nem vulnerabilidades no sistema de proteo, e se os
controles existentes atendem sua finalidade. Entretanto, o mais comum o de se realizar esse
exame juntamente com a verificao da conformidade com as medidas estabelecidas no plano.
84
85
86
87
88
34
89
90
91
92
93
37
94
Pessoas
Cadastramento
Os critrios para a habilitao de pessoas ao cadastramento, e quais os
dados a serem exigidos.
A sistemtica de obteno do cadastramento, com os procedimentos
adotados na solicitao, renovao e cancelamento, incluindo a validade da
autorizao de acesso.
A sistemtica de identificao do cadastrado para as reas de acesso
restrito, controlado ou pblico da instalao porturia.
A sistemtica de divulgao, para os cadastrados e para o pblico interno,
dos procedimentos para o cadastramento.
Acesso e Trnsito de Pessoas
Os critrios adotados para o acesso e trnsito de pessoas na instalao
porturia.
A sistemtica de controle de acesso e trnsito, com a estrutura
organizacional, atribuies e responsabilidades, bem como os tipos de
procedimentos adotados para a identificao, inspeo, vistoria e registro de
pessoas.
As bagagens transportadas; as restries impostas pela legislao em
vigor. As movimentaes navio-terra, de tripulantes, profissionais no
tripulantes e demais pessoas, devero ser consideradas na verificao desse
item pelo auditor.
A sistemtica de avaliao da eficcia dos equipamentos/sistemas de
controle de acesso, com os procedimentos para a identificao e a resoluo
de falhas nos equipamentos/sistemas.
A sistemtica de divulgao dos procedimentos de controle para as
pessoas que tenham acesso instalao porturia; pblico interno de
interesse da administrao, e para os representantes de empresas e rgos
pblicos que tm necessidade de ter acesso a ela.
A sistemtica de registro e o arquivamento dos dados e informaes
colhidas sobre as pessoas, por ocasio do acesso e sada da instalao
porturia.
95
96
Estacionamento de Veculos
Os critrios para o estacionamento de veculos na rea da instalao
porturia.
As reas destinadas ao estacionamento de veculos e suas restries de
uso; o critrio para a utilizao; a sinalizao; sua utilizao e perodo de
permanncia.
A sistemtica de fiscalizao do uso das reas de estacionamento.
A sistemtica de divulgao das normas de utilizao das reas
destinadas ao estacionamento de veculos.
Aeronaves
Sistemtica de controle de movimentaes por aeronave de pessoal e
material na instalao porturia.
Sistemtica de troca de informaes entre o setor de controle de
operaes de aeronaves e a Unidade de Segurana (US) da instalao
porturia.
Sistemtica de registro e arquivamento de dados e informaes sobre as
movimentaes por aeronaves de pessoal e material.
Trens
Sistemtica de controle das movimentaes de trens, ocorridas na
instalao porturia.
Sistemtica de troca de informaes entre o setor de controle de
operaes ferrovirias com a US da instalao porturia.
Sistemtica de registro e arquivamento de dados e informaes colhidos
sobre as movimentaes de trens.
2.6.3 Exame operacional do controle de acesso
Como j foi visto, a auditoria operacional ou da funcionalidade
caracteriza-se pela constatao da efetividade dos controles internos,
mediante vrios procedimentos de auditoria. Os procedimentos bsicos so
os mesmos para se constatar a efetividade do plano de segurana, como, por
exemplo, a observao das atividades, a aplicao de teste de conformidade,
97
98
99
100
Competncias previstas, para a Guarda Porturia, no Plano Nacional de Segurana Pblica nos
Portos, aprovado pela Resoluo 002/2002, de 2 de dezembro de 2002.
101
42
102
103
104
105
106
107
108
109
O termo Gap vem do ingls e significa fenda, abertura, brecha, intervalo. Anlise GAP uma
anlise que objetiva fechar a brecha da segurana. Esse o significado que desejamos ao
110
111
No existe reconhecimento da
necessidade de controle interno.
Controle no faz parte da cultura
e misso da organizao. Existe
alto risco de incidentes.
1
Existe algum reconhecimento da
(Inicial / Ad hoc) necessidade de controle interno.
A abordagem do risco e
requisitos de controle
desorganizada, sem
48
112
Controles internos
No existe a inteno de avaliar a
necessidade de controle interno. Os
incidentes so lidados como surgem.
No existe conhecimento da
necessidade de avaliar o que
necessrio em termos de controle.
Quando desenvolvido, ad hoc
(apenas para caso especfico), e na
2
(Repetvel/
intuitivo)
3
(Processo
definido)
4
(Gerenciado e
mensurvel)
comunicao e monitoramento.
Deficincias no so
identificadas. Funcionrios no
tm conhecimento de suas
responsabilidades.
Existem controles, mas no so
documentados. Sua operao
depende do conhecimento e
motivao individual. Sua eficcia
no adequadamente avaliada.
Existe muita vulnerabilidade nos
controles e eles no so
adequadamente endereados. O
impacto pode ser severo. O
gerenciamento das aes para
questes de controle no
priorizado ou consistente. Os
funcionrios no conhecem as
suas responsabilidades.
Controles esto implementados
e documentados. A eficcia da
operao avaliada
periodicamente, e existe uma
mdia numrica e questes.
Entretanto, a avaliao do
processo no documentada. O
gerenciamento capaz para lidar
com mais casos de controle;
contudo, algumas
vulnerabilidades de controle
persistem e os impactos podem
ser severos. Empregados
conhecem suas
responsabilidades para
controles.
Existe um controle interno
efetivo e um ambiente de
gerenciamento de risco. Uma
avaliao formal e documentada
ocorre frequentemente. Muitos
controles so automatizados e
revisados regularmente. O
113
5
(Otimizado)
gerenciamento capaz de
detectar muitas questes de
controle, mas nem todas as
questes so rotineiramente
identificadas. Existe uma
abordagem consistente para
identificar as vulnerabilidades
nos controles. Uso limitado da
tecnologia para a automao dos
controles.
Uma ampla estrutura de risco e
programa de controle fornece
contnuo e efetivo controle e
resoluo de questes de risco.
Os controles internos e o
gerenciamento de risco so
integrados com uma estrutura
prtica, apoiado no
monitoramento automatizado,
em tempo real, com o registro
completo do monitoramento do
controle, do gerenciamento de
risco e da conformidade do
cumprimento. A avaliao do
controle contnua, baseada na
autoavaliao, na lacuna
existente e na anlise da raiz do
problema. Os funcionrios agem
proativamente e esto
envolvidos na melhoria dos
controles.
114
115
116
117
118
119
120
Essa pesquisa analisou as maiores quedas no preo das aes das 1000 maiores companhias
internacionais do mercado de valor, entre 1994 e 2003.
51
De acordo com a ISO/IEC Guide 73:2002, o gerenciamento de riscos envolve as seguintes
etapas: avaliao de riscos, tratamento do risco, a aceitao do risco e a comunicao do risco.
121
52
O tratamento de riscos compreende as aes para evitar, otimizar, transferir e reter o risco
(ISO Guide 73:2002).
122
53
A nossa opo para o estabelecimento de categorias de riscos feita com base na origem das
ameaas e vulnerabilidades. Os riscos classificados como naturais (incontrolveis) so os
decorrentes de fenmenos da natureza; os involuntrios (tcnicos, organizacionais e humanos)
so os resultantes de aes no intencionais, relacionados com vulnerabilidades humanas,
fsicas, nos equipamentos, nos processos, de software, nos meios de armazenamento, nas
comunicaes, etc.; e os intencionais so aqueles decorrentes de aes deliberadas para
causarem danos, e estariam relacionados com a origem humana.
123
124
125
A auditoria para o controle de riscos exige do auditor essa qualidade. Essa capacidade de
compreenso lhe possibilitar avaliar se essas medidas atendem finalidade para a qual foram
estabelecidas.
56
A criticidade dos riscos pode ser classificada de vrias maneiras, como, por exemplo: com
base no tempo de recuperao, com base no impacto, ou simplesmente por categorias, como
estratgico, financeiro, operacional e externo.
126
127
128
4 CHECKLIST
O Checklist, ou lista de verificao, um roteiro para a auditoria. um
papel de trabalho que auxilia o auditor na verificao das conformidades.
considerado uma ferramenta de trabalho fundamental para o sucesso de uma
auditoria.
O Checklist deve ser elaborado com base nos documentos de
referncia, requisitos normativos e relatrios57 de auditorias j realizadas,
acrescido de aspectos que o auditor entenda ser interessantes e necessrios,
de acordo com as informaes coletadas na fase preparatria, quando da
visita prvia e do levantamento realizado nos registros de auditorias passadas
e outros documentos.
Quando, por motivos alheios vontade do auditor, no seja possvel
realizar uma visita prvia, nem realizar a anlise crtica dos documentos antes
do incio da auditoria, o auditor deve dedicar uma ateno especial
elaborao das listas de verificaes.
A elaborao das listas de verificaes uma atividade que requer
dedicao e muita ateno aos detalhes. Nos captulos anteriores deste livro,
foi dada nfase aos principais itens que deveriam ser examinados nas
auditorias em instalaes porturias. Esses itens, devem necessariamente
constar da listas de verificao do auditor, sendo acrescentados os itens que
ele considera necessrios e indispensveis para o seu exame.
Contudo, sabemos que a elaborao dos checklist no tarefa das
mais simples. Dessa forma, dentre os vrios modelos pesquisados, analisados
e utilizados, verificamos que dois mtodos predominam na elaborao dessas
listas de verificao.
Um deles a elaborao do Checklist seguindo cada item da norma de
referncia. Nesse mtodo, os itens da norma so transformados em
perguntas, ou simplesmente reproduzi-los, conforme a prpria norma de
referncia. um mtodo mais rgido e limitado, predominando nas auditorias
de certificao, quando da verificao de requisitos normativos.
O outro mtodo a elaborao dessas listas com base no apenas nos
domnios das normas de referncia, mas tambm na liberdade do auditor em
57
129
4.1 Checklist 1
Iniciaremos pelo mtodo mais rgido, que o da elaborao do
checklist com base na reproduo, na ntegra, dos tpicos da norma.
O modelo a seguir apresenta a seguinte estrutura58: identificao do
documento, identificao da instalao porturia, nome do auditor, data da
auditoria, como parte constante do cabealho. No corpo das verificaes, na
coluna (A) deve constar a norma de referncia; na coluna (B) devem ser
colocados os itens da norma de referncia; na coluna verificao (C) devem
ser colocados os itens a ser verificados; na coluna resultados (D) devem ser
colocados os comentrios que o auditor considere importantes e as
58
130
conformidades; na coluna (E) deve ser identificado que domnio est sendo
auditado.
CHECKLIST
INSTALAO PORTURIA:
AUDITORIA DATA:
AUDITOR NOME:
AUDITORIA CHECKLIST- ISPS Code- Parte A (A)
REFERNCIA (B)
VERIFICAO (C)
RESULTADOS (D)
Norma
Comentrios
Conformidade
(E)
131
132
133
RESULTADOS
Comentrios Conformidade
INSTALAES PORTURIAS
16
PLANO DE PROTEO DAS INSTALAES PORTURIAS
16.1
Existncia de um plano de proteo das instalaes
porturias adequado para a interface navio/porto.
Plano elaborado e mantido com base em uma
avaliao de proteo das instalaes porturias
para cada instalao porturia.
Identificao de trs nveis de proteo e suas
disposies.
Elaborao do Plano de proteo por organizao
reconhecida.
16.2
O plano de proteo das instalaes porturias
aprovado pelo Governo Contratante do territrio
onde a instalao porturia est localizada.
16.3
59
Cdigo Internacional para a proteo de navios e instalaes porturias (ISPS Code). A parte A
do cdigo dispe sobre os requisitos obrigatrios das disposies do captulo XI-2 SOLAS 74.
134
3.
4.
5.
6.
7.
8.
9.
10.
11.
135
12.
16.3.1
16.4
16.5
16.6
16.7
16.8
4.2 Checklist 2
O modelo que apresentaremos nesse tpico caracteriza-se pelo fato
de a lista de verificao ser construda com base em perguntas, no se
limitando aos itens da norma.
O modelo apresenta a seguinte estrutura60: identificao do
documento, identificao da instalao porturia, nome do auditor, data da
60
136
(C)
AUDITORIA DATA:
SIM
NO NO
(D)
(E)
(F)
OBS: A coluna item (B) pode ser dividida em duas colunas, uma para o item da
auditoria e outra para o item de referncia da norma. opcional e no influencia
diretamente no resultado da auditoria.
NO N/A
137
8
9
10
10.1
10.2
10.3
10.4
10.5
10.6
10.7
10.8
11
12
13
14
15
16
138
17
18
19
20
21
22
23
24
25
26
27
28
29
30
139
4.3 Checklist 3
Outro mtodo de elaborao de checklist baseia-se no estudo do
controle e na compreenso do sistema de proteo. Esse mtodo considera a
finalidade para a qual os controles foram criados, ou seja, fundamenta-se nos
objetivos de controle ao identificar a sua principal finalidade e a sua eficcia
no sistema como um todo.
Um aspecto a ser observado no emprego deste mtodo com relao
aos objetivos de controle, que so estabelecidos com base nas normas e
regulamentos, nas obrigaes contratuais, nos negcios da organizao e nos
resultados das avaliaes de riscos.
Os objetivos de controle representam a finalidade para qual o controle
foi criado. Normalmente, esses objetivos esto diretamente relacionados com
os domnios da norma.
Os controles de um sistema esto representados nas polticas,
procedimentos, diretrizes, prticas e estruturas da organizao. Dependem
das decises que a organizao toma baseada em critrios estabelecidos para
o estabelecimento de um padro, que no caso especfico o estabelecimento
de um padro internacional de proteo em instalaes porturias.
As principais fontes para o estabelecimento de controles esto na
avaliao de riscos, na legislao e nos princpios, objetivos e requisitos de
negcios. Nas instalaes porturias, a fonte principal para o estabelecimento
de controles o ISPS Code, que estabelece um conjunto de controles e
diretrizes para a proteo de navios e instalaes porturias. As suas outras
fontes de controle so as avaliaes de proteo com base nos riscos e as
normas que regulamentam o segmento.
140
141
61
142
ITEM VERIFICAO
SIM
NO N/A
(B)
(D)
(E)
(C)
(F)
NO N/A
143
144
ITEM VERIFICAO
SIM
29
Existem reas destinadas e identificadas como reas
restritas?
30
As medidas especficas para as reas restritas
apresentam resultados?
31
Os postos de controle de acesso s reas restritas esto
devidamente postados?
32
Toda a rea restrita devidamente cercada ou murada?
33
Essas reas possuem sistemas de identificao e
controle em todos os postos de controle e com
alarmes?
34
Existe controle para o acesso s informaes e
equipamentos nessas reas?
35
As pessoas que no possuem acesso a essas reas e as
que tm acesso temporrio so monitoradas em todo o
seu percurso?
36
Todas essas reas possuem sistema de controle de
acesso e pessoal de vigilncia?
37
Os pontos de acesso s reas restritas so seguros?
38
A segurana realiza patrulhas rotineiras nessas reas?
39
Existem procedimentos definidos para o nvel de
proteo 2 e so eles guardados nessas reas?
40
Existem procedimentos definidos para o nvel de
proteo 3 e so eles guardados nessas reas?
FORA DE PROTEO
ITEM VERIFICAO
SIM
41
Todos os postos (fixos e mveis) so guarnecidos com
fora pblica (ou privada) de proteo?
42
A fora de proteo est disposta conforme o plano de
emprego ou o contrato de prestao de servio?
43
realizada uma checagem nos funcionrios que tm
acesso s reas controladas e restritas?
44
A fora de proteo identificada por uniforme,
distintivo e autorizao para a rea especfica?
45
O oficial de proteo das instalaes inspeciona a fora
de proteo pelo menos uma vez por dia?
46
A fora de proteo realiza patrulhas, incluindo
NO N/A
NO N/A
145
47
48
49
50
51
52
53
54
55
56
57
58
59
60
146
61
62
63
64
65
66
67
147
148
5 NO CONFORMIDADES E IRREGULARIDADES
O auditor exerce a sua atividade pautada nos procedimentos de
auditoria e nas leis, normas e regulamentos da sua profisso. O exame que
realiza focado nos objetivos da auditoria e nos objetivos de controle,
lastreados nos documentos-base e nos critrios estabelecidos pela
organizao para a atividade de negcios e por rgos regulamentadores.
As concluses e os resultados da auditoria decorrem da anlise e
interpretao das evidncias encontradas, que so dispostas no relatrio da
auditoria, documento no qual o auditor descreve o trabalho por ele
executado.
No relatrio deve constar o escopo da auditoria e seus objetivos, a
natureza, a amplitude, o tempo de durao e a extenso do trabalho, as
constataes, as concluses e recomendaes, explicitando as restries e
limitaes quanto ao escopo, alm das irregularidades e no conformidades
encontradas. Essas irregularidades e no conformidades requerem uma
ateno especfica no relato das atividades do auditor.
As no conformidades dizem respeito a tudo aquilo que estiver em
desacordo com os requisitos normativos, independentemente de terem uma
relao insignificante com o comprometimento dos negcios. Elas podem
estar relacionadas com a simples inobservncia do controle implementado,
com a cultura organizacional em ignorar o cumprimento de controles, e com
erros, omisses e prticas fraudulentas.
Na prtica, o exame de auditoria geralmente detecta irregularidades e
no conformidades. Essa vertente tem provocado determinada mudana no
perfil do auditor e da auditoria, ao demandar uma ateno especfica para o
planejamento da auditoria e uma maior perspiccia dos auditores no exerccio
de suas atividades. Alis, essa uma tendncia da auditoria, que tem se
apresentado como uma excelente ferramenta na preveno, deteco e
monitoramento dos riscos corporativos.
Uma discusso necessria para a auditoria a diferena entre no
conformidades e irregularidades, mesmo sabendo que aqueles
procedimentos que estiverem em desacordo com os padres so tidos como
149
150
62
Essa pesquisa sobre a fraude no Brasil foi realizada com cerca de 1.000 das maiores empresas
do setor pblico e privado, com um faturamento entre 50 milhes e 5 bilhes de reais.
63
A KPMG uma rede global de firmas de servio e assessoria profissional, presente em mais
de 150 pases.
64
Essa pesquisa foi realizada nas maiores empresas de diversos segmentos ao redor do mundo.
151
152
153
154
155
156
6.1 Relatrio
Como j foi abordado no primeiro captulo, para que a auditoria seja
concluda, todas as atividades descritas no plano de auditoria devem ter sido
realizadas, e o relatrio devidamente elaborado, aprovado e entregue aos
clientes da auditoria.
Foi visto tambm que, pela NBR ISO 19011:2002, os relatrios de
auditoria devem incluir: os objetivos da auditoria; o escopo da auditoria,
particularmente a identificao das unidades organizacionais e funcionais, ou
os processos auditados e o perodo de tempo coberto; a identificao do
cliente de auditoria; a identificao do lder da equipe de auditoria e seus
membros; as datas e lugares onde as atividades da auditoria foram realizadas;
o critrio da auditoria; as constataes da auditoria, e as concluses da
auditoria.
Alm desses itens, essa norma orienta que o relatrio pode incluir ou
se referir, se for apropriado: ao plano de auditoria; a uma lista de
representantes do auditado; a um resumo do processo de auditoria incluindo
obstculos e/ou incertezas encontrados, que poderiam diminuir a
confiabilidade das concluses de auditoria; confirmao de que os objetivos
da auditoria foram atendidos dentro do escopo da auditoria e em
conformidade com o plano de auditoria; a quaisquer reas no-cobertas,
embora dentro do escopo da auditoria; a quaisquer opinies divergentes e
no resolvidas entre a equipe da auditoria e o auditado; s recomendaes
para a melhoria, se isso est especificado nos objetivos da auditoria; ao plano
157
158
159
160
BIBLIOGRAFIA
Associao Brasileira de Normas Tcnicas (ABNT). NBR ISO 19011 - Diretrizes para
auditorias de sistema de gesto da qualidade e/ou ambiental. So Paulo: ABNT, 2002.
Associao Brasileira de Normas Tcnicas (ABNT). NBR ISO/IEC 27002:2005
Tecnologia da informao Cdigo de prtica para a gesto da segurana da
informao. Rio de Janeiro: ABNT, 2005.
Associao Brasileira de Normas Tcnicas (ABNT). NBR ISO/IEC 27001:2006
Tecnologia da informao Tcnicas de segurana Sistema de gesto de segurana
da informao - requisitos. Rio de Janeiro: ABNT, 2006.
AS/NZS 4360:2004 Risk Management. Third edition. Sydney/Wellington: Standards
Australia/Standards New Zealand, 2004.
ATTIE, William. Auditoria: conceitos e aplicaes. So Paulo:Atlas, 1998.
BRASIL. Cdigo Internacional para a Proteo de Navios e Instalaes Porturias.
Ministrio da Justia: Comisso Nacional de Segurana Pblica nos Portos, Terminais e
Vias Navegveis (CONPORTOS), 2004.
BRASIL. Portaria no 387, de 03 de outubro de 2006. Ministrio da Justia:
Departamento da Polcia Federal (DPF), 2006.
BRASIL. Resoluo no 02, de 02 de dezembro de 2002. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2002.
BRASIL. Resoluo no 12, de 18 de dezembro de 2003. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2003.
BRASIL. Resoluo no 18, de 18 de dezembro de 2003. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2003.
BRASIL. Resoluo no 26, de 08 de junho de 2004. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2004.
BRASIL. Resoluo no 32, de 11 de novembro de 2004. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2004.
BRASIL. Resoluo no 33, de 11 de novembro de 2004. Ministrio da Justia: Comisso
Nacional de Segurana Pblica nos Portos, Terminais e Vias Navegveis
(CONPORTOS), 2004.
161
Quadro
geral.
Disponvel
em:
<http://www.mj.gov.br/senasp/conportos/documentos/conportos_instalacoes_certifi
cadas.pdf>. Acesso em: 27.jun.2011.
BUSINESS CONTINUITY PLANNING GUIDE (BCPG). First edition. Property Advisers to
the Civil Estate (PACE): Central Advice Unit, may, 1998.
CASADA, Myron; Thomas Nolan; David Trinker; and David Walker. Guide for Port
Security. Houston: ABS Consulting, Octuber, 2003.
CIACCIO, Maurcio. Controle de Acesso: uma das mais conhecidas estratgias de
segurana. In: Revista Proteger, ano VIII, no 48. So Paulo, 2005.
DANTAS, Marcus Leal. Segurana preventiva: conduta inteligente do cidado. Recife:
Nossa livraria, 2003.
Disarming the Value Killers A Risk Management Study. Deloitte Touche Tohmatsu,
2005.
Ernst & Young 8th Global Fraud Survey (Fraud The Unmanaged Risk). Ernst &
Young: Global Investigations & Dispute Advisory Services, 2003.
ERNST & YOUNG. Fraud: Real solution to a real risk. London: Ernst & Young LLP,
2004.
HERZOG, Ana Luiza. Sua empresa jamais esteve to ameaada. Revista Exame, So
Paulo, SP, no 09, ano 40, ed Ed. 867, p. 84-86, 10 maio 2006.
INTERNATIONAL ASSOCIATION OF PORT AND HARBORS (IAPH). Report on ISPS Code
- Port Readiness Survey. In: Review Port and Harbors, june, 2004.
INTERNATIONAL MARITIME ORGANIZATION (IMO). International Ship and Port
Facility Security Code (ISPS Code). Eletronic Edition. London: International Maritime
Organization, 2003.
INFORMATION SYSTENS AUDIT AND CONTROL ASSOCIATION (ISACA). IS Standards,
Guideliness and Procedures for Auditing and Control Professionals. Illinois, USA:
Information Systens Audit and Control Association, 2006.
IT GOVERNANCE INSTITUTE (ITGI). COBIT 4.1. Illinois, USA: IT Governance Institute,
2007.
162
163
164
165
166