Auditoria Instalacoes Portuarias PDF

Auditoria
em Instalações Portuárias
Marcus Dantas
Marcus Leal Dantas
Auditoria
2ª Edição
Livro Rápido
Olinda – PE
2011
1
Copyright © 2011 by Marcus Leal Dantas
Impresso no Brasil
Printed in Brazil
Editor
Tarcísio Pereira
Diagramação
Laís Mira
Capa
Carlos Lopes
Revisão
Professora Margarida Michel
Dados Internacionais de Catalogação na Publicação (CIP)

Ficha catalográfica
Dantas, Marcus Leal

D192a Auditoria. 2ª Ed. / Marcus Leal Dantas – Olinda: Livro Rápido,
2010.
166 p. ; tab.
Bibliografia. p. 161-163 (bibliografia localizada)

ISBN 978-85-406-0069-0
1. Auditoria. 2. Planos de segurança portuária. 3. Auditoria -

Instalações portuária. 4. Tipos de auditoria. I. Título.
657 CDU (1997)
Fabiana Belo - CRB-4/1463
Livro Rápido – Elógica

Rua Dr. João Tavares de Moura, 57/99 Peixinhos
Olinda – PE CEP: 53230-290
Fone: (81) 2121.5300 Fax: (81) 2121.5333
www.livrorapido.com
2
DEDICATÓRIA
Aos meus pais, Raimundo e Mércia, pelos valores cultivados na educação

familiar, que hoje se apresentam como pilares fundamentais no equilíbrio e
sucesso das coisas que procuro realizar.
À minha esposa Eva, pela prazerosa companhia de todos esses anos, e pelas
lições aprendidas nos momentos de aparente dificuldade.
Aos meus filhos Gabriela, Luiza e Marcus, pelo brilho intenso de olhares
inspiradores de sonhos e felicidades, fonte de motivação para enfrentar de
forma audaz os desafios do dia-a-dia.
3
4
AGRADECIMENTOS
Agradeço ao amigo Joaquim Osório Liberalquino Ferreira pela contribuição

ímpar da análise crítica do conteúdo deste livro, e por toda a aprendizagem
durante a construção desse conhecimento.
Agradeço, em especial, ao Capitão-de-Mar-e-Guerra Marcelo Santiago Garcia,
do Estado-Maior da Armada da Marinha do Brasil, Encarregado da Divisão de
Coordenação dos Assuntos da Organização Marítima Internacional, pela
colaboração na fase das pesquisas, pelas observações feitas no conteúdo
deste livro, e pelo indispensável prefácio.
5
Marcus Leal Dantas
Auditor fiscal e Oficial da reserva da Polícia Militar de Pernambuco, possui
trabalhos publicados e realizados nas áreas de segurança pública, privada,
portuária, da informação e de gestão de riscos. É contador, graduado pela
UFPE, e pós-graduado em planejamento e gestão organizacional pela FCAPE,
e em Direito Tributário pela UFPE. É Auditor Líder em Sistemas de Gestão de
Segurança da Informação ISO 27001:2005.
É autor dos livros: Segurança preventiva: conduta inteligente do cidadão;

Segurança da informação: uma abordagem focada em gestão de riscos; e
Avaliação de riscos em Instalações Portuárias.
E-mail: marcusdantas@uol.com.br
Home: www.marcusdantas.com.br
6
PREFÁCIO
É cediço que o dia 11 de setembro de 2001 marcou o mundo. Todos se

lembrarão desta data por razões diversas. No setor marítimo, idéias correntes
foram potencializadas e novas matérias foram apresentadas no “pós-11 de
setembro”. Dentre elas, talvez, aquela com maior impacto, quase imposta ao
mundo pelas circunstâncias, tenha sido a instituição do Código ISPS
(International Ship and Port Facility Security Code), inserindo, de forma
decisiva, a mentalidade de segurança (security) no transporte marítimo. A
despeito de sua repercussão, este não foi o primeiro movimento da
comunidade marítima internacional. Anteriormente, em 1988, foi adotada, no
âmbito da Organização Marítima Internacional (IMO), a Convenção para a
Supressão de Atos Ilícitos Contra a Segurança da Navegação Marítima,
instrumento este decorrente do incidente ocorrido com o navio de
passageiros Achille Lauro, em 1985.
O Código ISPS foi elaborado e associado, por meio de emenda tácita, à
Convenção para a Salvaguarda da Vida Humana no Mar (SOLAS). A SOLAS,
desde a sua origem, demonstrou apelo e publicidade, uma vez que seu
desenvolvimento foi motivado pelo acidente ocorrido com o navio Titanic, em
1912. Por esta razão, esta Convenção possui um elevado número de países
signatários, o que, consequentemente, torna o Código obrigatório para quase
a totalidade dos países do mundo.
Mas o que trouxe de novo o Código ISPS? Mais segurança para os
navios e instalações portuárias. Os navios, então, não eram seguros?
Naturalmente que sim, porém, a IMO, utilizando-se da filosofia de
estandardização de procedimentos e dos seus processos para elaboração de
normas e diretrizes, desenvolveu um documento padronizado e de fácil
compreensão por diferentes Estados.
E no que tange aos portos? Neste ponto reside a grande dificuldade e
novidade no setor, visto que não havia uniformidade nos portos ou
instalações portuárias quanto à segurança. A IMO, uma Organização voltada
para o transporte marítimo internacional, encontrou grande resistência a esta
nova abordagem, em face da dificuldade de os Estados aceitarem que
7
assuntos relacionados à segurança dos respectivos territórios fossem
regulados por essa Agência da Organização das Nações Unidas (ONU).
Ressalta-se que o Código ISPS trouxe inúmeras novidades ao setor
portuário mundial e, em especial, ao brasileiro. Neste sentido, podemos citar a
importante atuação da Comissão Nacional de Segurança Pública nos Portos,
Terminais e Vias Navegáveis (CONPORTOS), criada em 1997, em razão das
numerosas ocorrências de roubo armado em portos brasileiros, no
desenvolvimento dos planos de segurança portuária. Com a publicação do
Código ISPS, a CONPORTOS ganhou relevância e potencializou a sua atuação,
passando a regulamentar as ações necessárias para o setor portuário, no
tocante à segurança pública.
Para se adequar às novas regras, os portos e instalações portuárias
precisaram efetuar a análise de risco, com vistas à elaboração de seus planos
de segurança. Esta análise identificou diversas vulnerabilidades, tais como:
falta de muros ou cercas delimitando perímetros, ausência de controle de
acesso de pessoas e cargas, deficiência de iluminação, falta de treinamento de
pessoal envolvido com a segurança, falta de mentalidade de segurança,
dentre outros.
Uma vez identificadas as vulnerabilidades, ações corretivas foram
estabelecidas e elaborados planos de segurança que, quando implementados,
são avaliados pelas Comissões Estaduais de Segurança Pública nos Portos,
Terminais e Vias Navegáveis (CESPORTOS), que, eventualmente, contam com
a colaboração da CONPORTOS. Caso a implementação do Plano de Segurança
da Instalação Portuária seja satisfatória, é emitida uma Declaração de
Cumprimento e registrado na página da IMO, na Internet.
Além das auditorias previstas nos planos de segurança, a IMO
está adotando, desde 2006, o Esquema de Auditoria Voluntária, onde os
Estados Membros recebem auditores credenciados pela Organização. Este
procedimento visa a proporcionar aos Estados Partes uma avaliação da
eficiência de suas legislações, no que tange à implementação dos
instrumentos obrigatórios da IMO, tais como as Convenções para Salvaguarda
da Vida Humana no Mar (SOLAS) e a de Prevenção da Poluição Causada por
Navios (MARPOL), com vistas a, principalmente, inibir a circulação dos navios
mercantes ditos sub-standards.
8
O tema security é relativamente recente na IMO e precisa de um
período de tempo para as necessárias revisões, de forma a assegurar a
eficiência na implementação de seus procedimentos. Assim, atualmente, o
escopo desta auditoria internacional não alcança as medidas especiais para
intensificar a proteção marítima, previstas no capítulo XI-2 da SOLAS.
Entretanto, em dezembro de 2005, a Assembléia da Organização adotou a
Resolução A.975(24), solicitando ao Conselho (órgão executivo da IMO) as
ações pertinentes para o desenvolvimento das adequadas provisões para a
inclusão no Esquema de Auditoria Voluntária de novas matérias, dentre elas, o
security.
Releva comentar que a experiência tem demonstrado que, no
âmbito daquela Organização, instrumentos concebidos para a adoção em
caráter voluntário, como meras recomendações, com o passar do tempo,
tendem a tornarem-se obrigatórios.
Reunindo os fatos ora apresentados, depreende-se que, em um
futuro não muito distante, o País estará sujeito a uma auditoria internacional
compulsória, incluindo a segurança marítima (security) e, provavelmente,
condicionando certificação internacional de navios e instalações portuárias a
este procedimento.
Aqueles descompromissados com os rigores do assunto, descrentes
dos benefícios desta ferramenta, que buscam alternativas para tergiversar a
necessária conformidade com o instrumento internacional, perguntariam:
quais as penalidades previstas no Código para aqueles Governos que não
cumprirem o que nele está disposto? Resposta: a IMO não aplica qualquer
penalidade aos Estados que não cumprem o Código. As sanções são impostas
pelas forças de mercado e fatores econômicos. Não há como,
deliberadamente, ignorar o Código ISPS. Os portos (Governos) imporão
restrições a todos os navios “contaminados”, ou seja, aqueles que
comprometeram os seus planos de segurança por terem atracado em
instalações portuárias “não conformes” com o Código ISPS.
A edição de um livro, que não trata de novas metodologias, mas
orienta a preparação para a conformidade com as regras internacionais,
ocorre em momento extremamente oportuno, consoante com o início das
auditorias nos Planos de Segurança Pública Portuária. De forma didática, o
autor nos apresenta todo o processo de auditoria, voltado às instalações
9
portuárias, que será muito útil na avaliação e aprimoramento da segurança
dos portos brasileiros.
Com certeza, os setores comprometidos com a matéria terão a grata
satisfação de contar com a pioneira e valiosa iniciativa do autor, vislumbrando
neste livro um alerta e um incentivo aos portos brasileiros a buscarem a
conformidade com o Código. Em 2003, quando foram discutidas as normas
para implementação do ISPS, havia muita novidade e pouco tempo, induzindo
os gestores do assunto a levarem adiante ações sem a necessária avaliação de
sua efetividade. Imagino que uma auditoria bem conduzida seja a ferramenta
mais valiosa do processo de aprimoramento do nosso sistema de segurança
portuária, contribuindo sobremaneira para manter os nossos portos e
terminais livres de atos ilícitos de todo tipo, em especial, aqueles perpetrados
por organizações clandestinas ou terroristas.
Marcelo Santiago Garcia

Capitão-de-Mar-e-Guerra
Encarregado da Divisão de Coordenação dos Assuntos da IMO
10
SUMÁRIO
INTRODUÇÃO ................................................................................................. 13
TERMOS E DEFINIÇÕES................................................................................... 19
1 AUDITORIA...................................................................................................23
1.1 Tipos de auditoria................................................................................. 24
1.1.1 Internas........................................................................................... 24
1.1.2 Externas...........................................................................................25
1.2 Etapas da auditoria ...............................................................................25
1.3 Auditores ............................................................................................. 26
1.4 Programa de auditoria..........................................................................27
1.4.1 Elementos de um programa de auditoria....................................... 28
1.5 Atividades de auditoria........................................................................ 30
1.5.1 Planejamento da auditoria .............................................................. 31
1.5.2 Execução da auditoria.................................................................... 34
1.5.3 Encerramento da auditoria ............................................................ 38
1.6 Procedimentos de auditoria................................................................ 42
1.6.1 Evidências de auditoria .................................................................. 42
1.6.2 Técnicas de auditoria ..................................................................... 43
1.6.3 Constatações de auditoria............................................................. 44
1.6.4 Papéis de trabalho......................................................................... 44
1.6.5 Procedimentos de auditoria X procedimentos do auditor ............ 45
2 AUDITORIA EM INSTALAÇÕES PORTUÁRIAS................................................47
2.1 Tipos de auditoria e sua importância na proteção de instalações
portuárias ................................................................................................. 50
2.2 Objetivos de programas de auditoria e objetivos de auditoria .......... 54
2.3 Auditoria em sistemas de proteção .................................................... 59
2.4 Auditoria da avaliação de proteção de instalações portuárias .......... 63
2.5 Auditoria do Plano de Segurança Pública Portuária (PSPP)............... 69
2.5.1 Exame dos requisitos do ISPS Code................................................. 71
2.5.2 Exame dos requisitos da CONPORTOS .......................................... 74
2.5.3 Exame da funcionalidade do plano ............................................... 83
2.6 Auditoria do controle de acesso ......................................................... 88
2.6.1 Exame dos requisitos do ISPS Code................................................ 90
11
2.6.2 Exame dos requisitos da CONPORTOS.......................................... 94
2.6.3 Exame operacional do controle de acesso.................................... 97
2.7 Auditoria das atividades da Guarda Portuária ...................................100
3 AUDITORIAS ESPECIAIS EM INSTALAÇÕES PORTUÁRIAS...........................109
3.1 Auditoria para a análise GAP ...............................................................110
3.2 Auditoria em fornecedores................................................................. 115
3.3 Auditoria para controle de riscos....................................................... 120
4 CHECKLIST................................................................................................. 129
4.1 Checklist 1 ........................................................................................... 130
4.2 Checklist 2 .......................................................................................... 136
4.3 Checklist 3 .......................................................................................... 140
5 NÃO CONFORMIDADES E IRREGULARIDADES ............................................ 149
6 RELATÓRIO E AÇÕES DE ACOMPANHAMENTO DA AUDITORIA.................. 157
6.1 Relatório ............................................................................................. 157
6.2 Ações de acompanhamento .............................................................. 160
BIBLIOGRAFIA .............................................................................................. 161
12
INTRODUÇÃO
Após os atentados terroristas de 11 de setembro de 2001 às Torres

Gêmeas do World Trade Center e ao Pentágono, a comunidade internacional
começou a se preocupar mais com a segurança mundial e o combate ao
terrorismo.
Nesse sentido, a Organização Marítima Internacional (IMO), ligada à
Organização das Nações Unidas (ONU), aprovou o International Ship and Port
Facility Security Code (ISPS Code), na Conferência Diplomática sobre proteção
marítima, realizada em Londres, em dezembro de 2002.
Esse código decorre de uma decisão unânime, na vigésima segunda
sessão de assembléia da IMO, realizada em novembro de 2001, como parte
das novas medidas de prevenção ao terrorismo, relativas à proteção de
embarcações e instalações portuárias.
Como consequência desse código internacional, as instalações
portuárias tiveram e terão de adotar uma série de medidas para a sua
proteção, sendo certificadas, internacionalmente, como instalações seguras.
Medidas de alcance para os 162 países que compõem a IMO, dentre eles o
Brasil.
Para termos uma idéia do tamanho do impacto dessa norma, uma
pesquisa1 realizada entre março e abril de 2004 pela International Association
of Port and Harbors (IAPH), em 30 países, revelou que, de 1.628 instalações
portuárias pesquisadas, apenas 8% tinham tido seus planos de proteção
aprovados, que 8,5% estavam aguardando a aprovação, e que 81% já tinham
submetido seus planos para a aprovação.
No Brasil, conforme foi publicado no quadro resumo de instalações
portuárias certificadas, existiam, até a data de 31 de dezembro de 2010, 181
instalações portuárias certificadas, do total de 241 instalações que
necessitavam se adequar às normas do ISPS Code (Brasil, 2011).
1
O relatório dessa pesquisa foi apresentado na IMO Marítima Safety Committee’s 78 Session,
ocorrida em Londres, entre 12-21 de maio de 2004. No Brasil, o porto de SUAPE foi o único a ser
consultado.
13
O ISPS Code introduziu diretrizes para um sistema de segurança
portuária, revestido de critérios que só elevam ainda mais a qualidade de um
sistema de segurança, imprescindível a qualquer instalação portuária.
Todo esse arcabouço de medidas, as avaliações de risco, os planos de
segurança, as normas de controle de acesso e os procedimentos de vigilância
provocaram certa tormenta nos portos do mundo inteiro, os quais, com
certeza, não estavam preparados para tal exigência e padrão de segurança.
Observa-se que as normas e procedimentos das instalações portuárias
eram precários, e que a guarda ou vigilância portuária sequer possuía normas
e procedimentos para as diversas atividades de proteção das suas instalações.
Certamente existiam alguns procedimentos, mas no geral a prática apontava
para o livre arbítrio do vigilante, ou guarda portuário, no desempenho de suas
atividades. Planos de segurança, procedimentos de vigilância eram para
muitos, coisa bastante distante.
Pela primeira vez, serão vistos postos de vigilância com missão,
objetivos e metas definidos, implementando uma nova cultura da segurança,
que esperamos que não se restrinja apenas às instalações portuárias e às
embarcações, mas que faça parte da tão almejada modernização dos sistemas
de gestão da segurança do mundo moderno.
Não obstante essa conformidade com o ISPS Code, as instalações
portuárias serão submetidas à inspeção periódica da Comissão Nacional de
Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS),
mediante a realização de auditorias para se verificar o pleno funcionamento
dos novos sistemas de segurança.
Nessa vertente, a CONPORTOS publicou duas Resoluções: a resolução
o
n 37, de 21/06/2005, dispondo sobre as auditorias, emendas, atualização e
revisão dos planos de Segurança Pública Portuária das Instalações Portuárias;
e a Resolução no 47 de 07/04/2011, estabelecendo critérios e disposições para
as auditorias nas instalações portuárias, seus procedimentos e a avaliação de
controles de acesso de pessoas, cargas e veículos. Essa última, estabelece que
a cada três anos será realizada uma auditoria individualizada para cada
instalação portuária certificada.
A realização de auditorias surge como uma novidade e constitui um
grande paradigma e evolução no sistema de gestão da segurança nas diversas
instalações portuárias. Com certeza, essa inovação conduzirá a uma melhora
14
considerável na qualidade da segurança na área portuária, pois pela primeira
vez será realizada uma auditoria num sistema de segurança, objetivando
manter uma certificação internacional de proteção.
Diante da nova exigência internacional, surge a grande indagação:
COMO REALIZAR AS AUDITORIAS PARA A PROTEÇÃO DAS INSTALAÇÕES
PORTUÁRIAS?
Realizar uma auditoria não é simplesmente verificar se o
procedimento está ou não de acordo com o que foi estabelecido. Realizar
uma auditoria requer um conjunto de medidas que vão desde a concepção do
que seja a realização de uma auditoria em sistemas de gestão da segurança
portuária até a conclusão dessas auditorias.
O presente livro objetiva estabelecer diretrizes e fornecer orientações
para a realização de auditorias em sistemas de segurança de instalações
portuárias, de forma a manter a conformidade com o ISPS Code, e o pleno
funcionamento de seus sistemas.
Objetiva, também, suprir uma lacuna na escassa literatura sobre
auditoria de sistemas de gestão da segurança.
Este livro não se limita apenas às auditorias dos planos de segurança
portuárias, mas apresenta outros tipos de auditoria e a sua importância para
um controle eficaz dos sistemas de proteção, provocando a reflexão, no
leitor, sobre a necessidade de tornar a auditoria a ferramenta de
conformidade dos sistemas de controle como um todo.
O livro foi elaborado com base em pesquisas realizadas e no
conhecimento adquirido ao longo de anos de trabalho na área de segurança e
de controle interno. Ele está dividido em 6 capítulos. Cada capítulo foi
cuidadosamente construído com base numa exposição clara e direta,
objetivando produzir uma aprendizagem mais fácil e duradoura.
O primeiro capítulo é dedicado à parte conceitual da auditoria, seus
tipos, auditores, o programa de auditoria e seus elementos, a atividade de
auditoria, seu planejamento, execução e encerramento, e os procedimentos
de auditoria. Esse capítulo tem uma abordagem mais teórica e abrangente,
objetivando um nivelamento de conhecimento e familiaridade com termos
específicos da área de auditoria.
O segundo capítulo é específico para a auditoria em instalações
portuárias. Nele são apresentados os principais tipos de auditoria e sua
15
importância para a proteção das instalações, com suas formas de realização,
seja a auditoria interna realizada pela própria instalação, ou em seu nome, ou
a externa realizada por ela nos fornecedores, ou aquelas realizadas na
instalação portuária.
Nesse capítulo, também são explicitados os objetivos de programa de
auditoria e objetivos de auditoria, com exemplos para facilitar a compreensão
e diferenciação entre eles.
Antes de se iniciar a grande viagem pelo conhecimento das auditorias
específicas da área portuária, são apresentados os principais aspectos a ser
observados numa auditoria em sistemas de proteção.
A parte específica desse capítulo é dedicada às auditorias da avaliação
de riscos, do plano de segurança portuária, do controle de acesso e das
atividades da guarda portuária. A ênfase não está apenas nos requisitos
normativos do ISPS Code, mas também na funcionalidade do sistema em cada
parte específica.
O terceiro capítulo é dedicado às auditorias especiais. Não satisfeito
com os exames específicos a serem realizados para a certificação de uma
instalação portuária, e considerando a evolução da segurança e do controle
interno, são apresentados alguns tipos de exames que entendemos ser de
fundamental importância na busca da eficiência e eficácia dos sistemas de
proteção. Dessa forma, são apresentados três tipos de auditorias: a auditoria
para a análise GAP2, aquela para o controle de risco e a realizada nos
fornecedores. Cada uma delas possui uma finalidade muito específica e de
uma ampla capacidade de alavancagem ao produzir vantagem competitiva
frente aos eventos indesejáveis da segurança e aos concorrentes.
O quarto capítulo é dedicado exclusivamente aos checklists. As listas
de verificações ou checklists, como são comumente conhecidas, sempre
absorvem muita atenção, tempo e dedicação dos auditores. São peças
indispensáveis e fundamentais numa auditoria. Nesse sentido, algumas
técnicas para elaborar essas listas, e com exemplos, são apresentadas com o
objetivo de contribuir para dar mais fluidez à elaboração de um checklist.
2
O termo Gap vem do inglês e significa fenda, abertura, brecha, intervalo. Análise GAP é uma
análise que objetiva fechar a brecha da segurança. Esse é o significado que desejamos ao
empregar o termo “Análise GAP”.
16
O quinto capítulo é carinhosamente dedicado às não conformidades e
irregularidades. Mesmo ciente de que uma auditoria não pode ser um
instrumento de garantia para a descoberta de irregularidades, sabemos que,
em auditorias, normalmente é encontrado algum tipo de não conformidade,
seja ele uma irregularidade, ou não. E, às vezes, surge a dúvida sobre a
classificação entre irregularidade e não conformidade, e a forma de
tratamento para elas. Desse modo, o capítulo traz essa questão para ser
discutida, apresentando uma postura que analisamos ser a mais adequada.
O sexto capítulo é dedicado ao relatório e às ações de
acompanhamento. É apresentado um roteiro para a elaboração do relatório,
no qual são comentados os seus principais aspectos. Também são feitos
comentários sobre as ações de acompanhamento e sua importância para o
perfeito funcionamento dos sistemas de proteção.
Como poderá ser comprovado nas páginas seguintes, o livro servirá
como um referencial para as auditorias de segurança em instalações
portuárias. Nas pesquisas realizadas, nada foi encontrado sobre auditoria de
segurança, e principalmente em instalações portuárias, e, portanto,
resolvemos escrever sobre o tema, que julgamos ser muito importante.
Ao concluir essa introdução e finalmente materializar esse
conhecimento, sabemos da magnitude de dedicação dispensada a este
trabalho: as horas de pesquisa, visitas, leitura, trabalho e digitação. Foram
duas versões, uma totalmente diferente da outra. Uma verdadeira
peregrinação na construção do conhecimento. E, apesar de não ter sido o
nosso primeiro livro, foi tão emocionante e desafiador quanto o primeiro.
Esperamos com este livro alcançar um sonho: o de contribuir para a
evolução de um padrão internacional de proteção no segmento portuário.
Ao leitor, uma proveitosa leitura.
O autor
17
18
TERMOS E DEFINIÇÕES
Considerando o propósito deste livro, apresentamos abaixo algumas

definições e explicações sobre termos utilizados no texto do livro.
Definições do ISPS Code (versão em português)
1. Convenção significa a Convenção Internacional para a Salvaguarda da
Vida Humana no Mar de 1974 (SOLAS), conforme emendada.
2. Regra significa uma regra da Convenção.
3. Capítulo significa um capítulo da Convenção.
4. Plano de proteção do navio significa um plano elaborado com vistas a
garantir a aplicação de medidas a bordo do navio criadas para
proteger pessoas a bordo, cargas, unidades de transporte de cargas,
provisões do navio ou o próprio navio dos riscos de um incidente de
proteção.
5. Plano de proteção das instalações portuárias significa um plano
elaborado para garantir a aplicação de medidas criadas para proteger
instalações portuárias e navios, pessoas, cargas, unidades de
transporte de cargas e provisões do navio dentro da instalação
portuária dos riscos de um incidente de proteção.
6. Oficial de proteção do navio significa a pessoa a bordo do navio,
responsável perante o comandante, designado pela Companhia como
a pessoa responsável pela proteção do navio, incluindo a
implementação e manutenção do plano de proteção do navio, e pela
ligação com o funcionário de proteção da companhia e os funcionários
de proteção das instalações portuárias.
7. Funcionário de proteção da Companhia significa a pessoa designada
pela Companhia para garantir que seja feita uma avaliação de
proteção do navio; que seja elaborado um plano de proteção do navio
e que o mesmo seja submetido para aprovação e consequentemente
implementado e mantido; e pela ligação com os funcionários de
proteção das instalações portuárias e o oficial de proteção do navio.
8. Funcionário de proteção das instalações portuárias significa a pessoa
designada como responsável pelo desenvolvimento, implementação,
19
revisão e manutenção do plano de proteção das instalações portuárias
e pela ligação com os oficiais de proteção do navio e os funcionários
de proteção da companhia.
9. Nível 1 de proteção significa o nível para o qual medidas mínimas
adequadas de proteção deverão ser mantidas durante todo o tempo.
10. Nível 2 de proteção significa o nível para o qual medidas adicionais
adequadas de proteção deverão ser mantidas por um período de
tempo como resultado de um risco mais elevado de um incidente de
proteção.
11. Nível 3 de proteção significa o nível para o qual medidas adicionais
específicas de proteção deverão ser mantidas por um período limitado
de tempo quando um incidente de proteção for provável ou iminente,
embora possa não ser possível identificar o alvo específico.
12. O termo “navio”, conforme utilizado neste Código, inclui unidades
móveis de perfuração ao largo da costa e embarcações de alta
velocidade, conforme definido na regra XI-2/1.
13. O termo “Governo Contratante”, em conexão com qualquer
referência a uma instalação portuária, inclui uma referência a
“Autoridade Designada”.
Outras definições
Incidente de proteção
É aquele que interfere diretamente nas operações portuárias ou ponham em
risco a estrutura da instalação e/ou do navio e a integridade das pessoas;
Declaração de Cumprimento
Declaração por meio da qual certifica-se que a respectiva Instalação Portuária
cumpre as disposições do Capítulo XI-2 e da Parte A do Código Internacional
para Proteção de Navios e Instalações Portuárias – Código ISPS e o previsto
no seu Plano de Segurança Pública Portuária aprovado pela Comissão
Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis –
CONPORTOS. (Resolução nº 26, de 08 de junho de 2004 da CONPORTOS).
Termo de Aptidão para a Declaração de Proteção
Documento por meio do qual a Instalação Portuária poderá operar mediante a
expedição da Declaração de Proteção, desde que comprove estar
implementando as disposições do Capítulo XI-2 e da Parte A do Código
20
Internacional para Proteção de Navios e Instalações Portuárias – Código ISPS
e o previsto no seu Plano de Segurança Pública Portuária aprovado pela
Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias
Navegáveis – CONPORTOS. (Resolução nº 32, de 11 de novembro de 2004 da
CONPORTOS).
Declaração de Proteção
Documento por meio do qual são acordados entre a respectiva Instalação
Portuária e o Navio, as medidas de proteção, incluindo as adicionais, à luz do
Capítulo XI-2 e das Partes A e B do Código Internacional para Proteção de
Navios e Instalações Portuárias – Código ISPS e o previsto no seu Plano de
Segurança Pública Portuária aprovado pela Comissão Nacional de Segurança
Pública nos Portos, Terminais e Vias Navegáveis – CONPORTOS. (Resolução nº
33, de 11 de novembro de 2004 da CONPORTOS).
Declaração de Ciência
Documento por meio do qual o Comandante ou o Oficial de Segurança do
navio/embarcação que ingressar no Brasil, fica ciente de que deverá adotar
medidas formais no caso de verificar a prática de atos ilícitos ou danos contra
o navio/embarcação, tripulantes ou passageiros e seus pertences e/ou carga,
durante a permanência e a interface com as instalações portuárias,
procedendo o respectivo registro perante as autoridades brasileiras
competentes, cujo modelo, na forma do anexo desta Resolução, será
rigorosamente utilizado e expedido em todas as instalações portuárias
sediadas no Brasil. (Resolução nº 36, de 21 de junho de 2005 da CONPORTOS).
Segurança e proteção
Em inglês as palavras “safety” e “security” tem o significado de “segurança”.
Contudo, tais termos são utilizados com finalidades distintas nos textos da
IMO. Neles, a palavra “safety” é traduzida como segurança, e relacionada com
a segurança do tráfego aquaviário, e a palavra “security” é traduzida como
proteção e está relacionada com a proteção contra atos ilícitos, terrorismo,
etc.
Plano de proteção de instalação portuária e plano de segurança pública
portuária
O ISPS Code emprega o termo plano de proteção de instalação portuária, e a
CONPORTOS, presidida pelo Ministério da Justiça, se refere a este documento
como Plano de Segurança Pública Portuária.
21
Entretanto, neste livro, utilizaremos os dois termos: o primeiro para manter a
originalidade do ISPS Code, e o segundo para nos referirmos à nomenclatura
utilizada pela CONPORTOS para este documento. Desta forma, para o leitor, o
termo Plano de Segurança Pública Portuária utilizado pela CONPORTOS deve
ser vinculado ao significado amplo de proteção (security) empregado pelo
ISPS Code, que é o documento de referência internacional para a proteção de
navios e instalações portuárias, dos países membros da IMO.
Nesse sentido, quando nos referirmos ao ISPS Code utilizaremos o termo
plano de proteção, e quando nos referirmos aos requisitos da CONPORTOS
empregaremos o termo plano de segurança.
22
1 AUDITORIA
A auditoria é uma atividade formal, documentada e executada por

pessoal habilitado, e destina-se a verificar a conformidade e a eficácia de um
sistema, mediante as evidências em documentos, registros, observações e
entrevistas, relatando ao final as não conformidades, para a adoção de ações
corretivas e preventivas.
Segundo o dicionário, auditoria é: cargo de auditor; casa ou tribunal
onde o auditor desempenha as suas funções; função de auditor junto às
empresas comerciais; exame detalhado da contabilidade de uma empresa ou
instituição. (Michaelis, 1998).
A NBR ISO 19.011:20023 define a auditoria como um processo
sistemático, documentado e independente para se obterem evidências de
auditoria e avaliá-las objetivamente, a fim de determinar a extensão na qual os
critérios de auditoria são atendidos.
Como já pode ser deduzido, a atividade de auditoria é especializada e constitui
uma importante ferramenta de gestão na verificação de conformidades e na
avaliação de um sistema como um todo. Pode ser uma atividade interna ou
externa.
As auditorias internas são atividades de avaliação e assessoramento
de uma administração, feitas por pessoal da própria corporação, que realiza
exames para verificar a eficácia do sistema de controle interno e o
desempenho das diversas áreas em relação ao planejamento corporativo. As
auditorias externas têm as mesmas características da interna, porém são
realizadas por profissionais liberais, auditores independentes, sem vínculo de
emprego, ou seja, estranhos à corporação.
A atividade de auditoria predomina mais na área financeira e contábil;
A auditoria contábil está voltada para testar a eficiência e a eficácia do
controle sobre o patrimônio da empresa, implantada com a finalidade de
expressar uma opinião sobre determinado dado (ATTIE, 1998). Ela é realizada
sobre as demonstrações financeiras e destina-se ao exame e à avaliação
3 Esta norma estabelece diretrizes para a auditoria de sistema de gestão da qualidade e/ou
ambiental.
23
dessas demonstrações, em relação aos registros, procedimentos e princípios
contábeis geralmente aceitos (JUND, 2002).
Contudo, existem as auditorias de processos, produtos e serviços,
sobre relatórios e de sistemas. As auditorias de processos estão mais voltadas
ao exame dos processos para verificar se os procedimentos estão sendo
executados de acordo com o que foi escrito, se é eficaz e se o resultado é
satisfatório; as auditorias sobre produtos e serviços objetivam verificar se os
produtos estão sendo manufaturados e se os serviços estão sendo
executados de acordo as suas especificações e seus contratos,
respectivamente; as auditorias sobre os relatórios objetivam constatar a
regularidade com a legislação e requisitos de contratos; e as de sistemas estão
voltadas para o exame de uma área específica ou todo um sistema, com o
objetivo de verificar a conformidade com o padrão, requisitos, regulamentos,
legislação e contratos.
A auditoria pode ser classificada em sistemática e específica. A
primeira é constante de um plano prévio, que deve apresentar a relação dos
órgãos e entidades a serem auditadas. A específica, como o próprio nome já a
define, é específica para cada caso, podendo ser determinada a qualquer
tempo.
As auditorias constituem uma importante ferramenta de gestão na
verificação das conformidades de um sistema de gestão de uma organização.
A realização de auditorias em sistemas de gestão para a obtenção de
certificação de qualidade já constitui uma praxe; contudo, para os sistemas de
segurança portuária, é uma exigência nova desse tipo de atividade, destinada
à verificação das conformidades e à certificação de instalações portuárias
como instalações seguras.
1.1 Tipos de auditoria
As auditorias podem ser de dois tipos: internas e externas.
1.1.1 Internas
As auditorias internas são aquelas conduzidas pela própria instituição
ou em seu nome.
24
Como exemplo, podemos citar as auditorias realizadas pelas
instalações portuárias para verificar a conformidade dos diversos
procedimentos relacionados com os planos de segurança e com os
procedimentos específicos de determinado posto de controle de acesso.
Essas auditorias podem ser realizadas por pessoal próprio da instalação
portuária (auditores), ou por pessoal contratado por ela com essa finalidade,
e são conhecidas, também, como auditoria de primeira.
1.1.2 Externas
As auditorias externas são realizadas por pessoal de fora da

organização, como clientes, fornecedores e organismos certificadores. As
realizadas nos clientes e fornecedores ou por clientes e fornecedores são
conhecidas como de segunda parte, e as realizadas por pessoal (auditores)
fora da relação cliente-fornecedor são conhecidas como de terceira parte.
Exemplos de auditorias de segunda parte são aquelas realizadas na
empresa de segurança, que fornece o efetivo para a vigilância portuária, com
a finalidade de se verificar o cumprimento do programa de capacitação.
As auditorias de terceira parte podem ser exemplificadas como as
realizadas por órgãos como a CONPORTOS4 e CESPORTOS5, e por outras
organizações credenciadas, para certificar a instalação portuária como uma
instalação segura, dentro dos padrões exigidos pelo ISPS Code.
1.2 Etapas da auditoria
As auditorias dos sistemas de proteção em instalações portuárias

devem ser realizadas em 3 etapas.
A primeira etapa consiste na verificação dos requisitos da norma com
relação à elaboração da avaliação de riscos, plano de proteção, normas de
controle de acesso, etc., ou seja, é o exame realizado para verificar se esses
documentos foram elaborados de acordo com os requisitos normativos. Nas
4 Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis.

5 Comissão Estadual de Segurança Pública nos Portos, Terminais e Vias Navegáveis.
25
auditorias das normas ISO, esta fase é conhecida como auditoria de
adequação ou de intenção.
A segunda etapa consiste no exame operacional do sistema para
verificar se os controles foram implementados de acordo com o estabelecido
nas normas de referência (ISPS Code, plano de segurança, etc.). É a busca da
constatação da conformidade dos controles implementados. Nas auditorias
das normas ISO, esta fase é conhecida como auditoria de conformidade.
A terceira etapa consiste na avaliação dos controles implementados
com relação ao objetivo para o qual foram criados. É a aferição da eficácia dos
controles do sistema de proteção, ou seja, é a fase na qual as evidências são
analisadas para avaliar se os controles do sistema de proteção atendem aos
objetivos para os quais foram estabelecidos. Nas auditorias das normas ISO,
esta fase é conhecida como avaliação da eficácia.
1.3 Auditores
São denominados auditores as pessoas que realizam as auditorias.

Faz-se necessário que essas pessoas possuam curso de formação de auditores
internos, com conhecimentos na área de atuação, e que não possuam vínculo
com a área a ser auditada.
Dependendo do tamanho e complexidade da empresa, poderá existir
uma equipe de auditoria.
Quando da realização de trabalhos de auditoria, se o auditor não
possuir conhecimento específico daquela área, a empresa deverá designar um
especialista ou um funcionário que trabalhe naquela função para acompanhar
o auditor. Esse especialista ou funcionário não fará a auditoria, apenas
fornecerá as explicações necessárias, quando for solicitado pelo auditor ou
sua equipe.
Segundo a NBR ISO 19011 (2002:18-19), o auditor deve possuir os
seguintes atributos pessoais:
a) ético, isto é, verdadeiro, sincero, honesto e discreto;

b) mente aberta, isto é, disposto a considerar idéias ou
pontos de vista alternativos;
c) diplomático, isto é, com tato para lidar com pessoas;
26
d) observador, isto é, ativamente atento à
circunvizinhança e às atividades físicas;
e) perceptivo, isto é, institivamente atento e capaz de
entender situações;
f) versátil, isto é, que se ajuste prontamente a
diferentes situações;
g) tenaz, isto é, persistente, focado em alcançar
objetivos;
h) decisivo, isto é, chegue a conclusões oportunas
baseado em razões lógicas e análise; e
i) autoconfiante, isto é, atue e funcione
independentemente, enquanto interage de forma eficaz
com os outros.
1.4 Programa de auditoria
O programa de auditoria é o conjunto de auditorias planejadas para

um determinado período. O programa pode ter objetivos variados e deve ter
uma pessoa designada para coordená-lo.
Programa de auditoria é o conjunto de uma ou mais auditorias planejadas para
um determinado período de tempo e com finalidade específica (NBR ISO
19.011:2002).
O programa exige planejamento específico, e nele deve constar,
principalmente, o fornecimento dos recursos, o estabelecimento de
procedimentos de auditoria para a realização das auditorias planejadas, bem
como o responsável pela sua implementação.
O programa de auditoria deverá conter: o objetivo do trabalho e sua
justificação; a metodologia a ser empregada nos exames; a divisão do
trabalho em fases e suas especificações; os papéis de trabalho a serem
utilizados; o estudo de trabalhos de auditoria anteriormente realizados, e o
prazo para a entrega do relatório, certificado ou parecer.
O programa deverá ainda conter os procedimentos para as auditorias,
incluindo o planejamento das auditorias, a forma de seleção das equipes de
auditoria ou auditores, a realização das auditorias, e o seu complemento e
registro.
27
O programa de auditoria é o detalhamento, por escrito, do que fazer,
como fazer, por que fazer, estabelecendo prazo e método para o trabalho.
1.4.1 Elementos de um programa de auditoria
Um programa básico de auditoria deve possuir os seguintes

elementos: os objetivos; a abrangência; as responsabilidades, recursos e
procedimentos do programa de auditoria; os procedimentos do programa; a
sua implementação; os registros, e o monitoramento e a sua análise crítica.
Objetivos
Os objetivos de um programa de auditoria devem expressar tudo
aquilo que o programa se destina a alcançar. Esses objetivos devem estar
alinhados com os objetivos dos negócios da organização, e levar em
consideração os principais riscos para a continuidade desses negócios.
A NBR ISO 19011:2002 estabelece que, na elaboração dos objetivos do
programa de auditoria, devem ser considerados: prioridades da direção;
intenções comerciais; requisitos do sistema de gestão, requisitos estatutários,
regulamentares e contratuais; necessidade de avaliação de fornecedor;
requisitos do cliente; necessidades de outras partes interessadas, e riscos para
a organização.
Como exemplo de objetivos de um programa de auditoria para uma
instalação portuária, podemos apresentar:
a) Satisfazer requisitos para a certificação das instalações portuárias;
b) Verificar a conformidade desses requisitos;
c) Contribuir para melhorar o sistema de segurança, de forma contínua; e
d) Manter as instalações portuárias seguras, de acordo com normas
específicas.
Abrangência
A abrangência inclui a extensão e a duração de cada auditoria, e tem
relação direta com o tamanho da organização, sua natureza e complexidade.
Quando da elaboração do programa, o encarregado pelo mesmo deverá
apontar a frequência com que as auditorias deverão ser realizadas, quais as
atividades que deverão ser auditadas e quais os documentos-base para o
28
exame. Observe-se que não há como precisar o período da realização de
auditorias especiais (aquelas que são demandadas por eventos não previstos),
mas é preciso ser colocado que as auditorias especiais deverão ser iniciadas
em qualquer tempo, desde que sejam necessárias.
Nas organizações que manuseiam produtos de risco, ou que estejam
em áreas de risco, ou que estejam sob a constante fiscalização de agentes do
poder público, deverão ter uma amplitude maior em seu programa e uma
frequência maior de auditorias a serem contempladas.
Responsabilidades, recursos e procedimentos

O responsável pelo programa de auditoria deverá ser o auditor líder
ou, na ausência dele, um executivo da empresa ou funcionário designado para
tal obrigação. Se a instalação portuária não possuir auditor, ou pessoal
qualificado para tal finalidade, o programa poderá ser elaborado por um
especialista e ser aprovado pelo staff ou pelo presidente da empresa.
A NBR ISO 19011:2002 recomenda que o responsável pelo programa de
auditoria possua conhecimento sobre princípios de auditoria, competências
dos auditores, aplicação das técnicas de auditoria, e que estabeleça os
objetivos, abrangência, responsabilidades e procedimentos do programa de
auditoria, assegurando os recursos para a sua implementação, além de
manter os registros do programa, e de monitorar e analisar o programa para a
sua melhoria contínua.
A norma recomenda, ainda, que os procedimentos para um programa
de auditoria devem contemplar: planejar e programar auditorias; assegurar a
competência de auditores e líderes de equipe de auditoria; selecionar equipes
de auditoria apropriadas e designar suas funções e responsabilidades; realizar
auditorias; realizar ações de acompanhamento de auditorias; manter registros
do programa de auditoria; monitorar o desempenho e eficácia do programa; e
informar à alta direção as realizações globais do programa de auditoria.
Implementação
A implementação de um programa de auditoria envolve todas as
ações para pôr em prática o programa, e vai desde a comunicação do
programa às partes envolvidas até as ações de avaliação desse programa.
29
Registros
Todos os registros relativos à implementação do programa de
auditoria deverão ser mantidos, tais como: os planos de auditoria, os papéis
de trabalho, os relatórios, as ações adotadas para correção e
acompanhamento, etc., ou seja, tudo aquilo que estiver relacionado com a
auditoria.
Monitoramento e análise crítica do programa de auditoria

O monitoramento e a avaliação do programa devem ser previstos para
que se possa realizar uma análise crítica do programa, melhorando-o e
adequando-o às mudanças necessárias.
Em tal avaliação, devem ser observados os registros do programa de
auditoria, que são os planos de auditoria, os relatórios de não conformidade,
os relatórios de ação corretiva e preventiva e os de acompanhamento de
auditorias.
Outro fator importante é o estabelecimento de indicadores de
desempenho para se avaliar a equipe de auditoria.
A análise crítica do programa de auditoria deve ser realizada levando-
se em consideração os resultados das auditorias realizadas, confrontando-se
as conformidades e não conformidades encontradas com os procedimentos
auditados, para se poderem verificar as soluções apresentadas, identificando
novas demandas de auditorias para novos programas de auditoria.
1.5 Atividades de auditoria
Concluído o programa de auditoria, dá-se início às atividades de

auditoria. Elas compreendem um conjunto de atividades que vão desde o
planejamento e o gerenciamento dessa atividade até as ações de
acompanhamento das recomendações feitas por conta das não
conformidades encontradas, e de sugestões para a melhoria dos sistemas
auditados.
Para um melhor entendimento, nossa abordagem será dividida nas
seguintes etapas: planejamento, execução e acompanhamento da auditoria.
30
1.5.1 Planejamento da auditoria
O encarregado do programa de auditoria deverá designar o líder da

equipe de auditoria, ou o auditor que vai executar a auditoria específica.
O responsável pela execução da auditoria deverá elaborar o
planejamento da sua auditoria, que é materializado no plano de auditoria.
O plano de auditoria deverá conter o objetivo e o escopo da auditoria,
a identificação do auditor ou dos integrantes da equipe de auditoria, as datas
e os locais, bem como as áreas a serem auditadas. Não devendo se esquecer
de verificar as questões de logística e o prazo referencial para o encerramento
dos trabalhos, como também do critério de auditoria6.
Contato inicial com o auditado

Para elaborar o seu planejamento, faz-se necessário que o auditor
realize uma visita prévia ao local para in loco verificar e analisar as
peculiaridades daquela auditoria, e poder atingir o melhor resultado possível
em seus trabalhos.
Para isso deve ser estabelecido o contato inicial com o auditado, o
qual tem, também, como objetivo estabelecer um canal de comunicação entre
eles (auditor-auditado). Esse contato é de uma preciosidade muito grande,
pois uma auditoria bem realizada não só valoriza os auditores, como também
deixa transparente para os auditados que as auditorias são benéficas para eles
e a instituição, e ratificam-se como peças importantes para a gestão como um
todo, pois estarão zelando pela manutenção das conformidades dos
procedimentos ali estabelecidos.
Apesar de o contato inicial poder ser feito informalmente, é
importante que seja feito por documento ou correio eletrônico, para que
fique registrado. Esse contato deve ser realizado pelo auditor ou líder da
equipe de auditoria, e também pode ser realizado pelo encarregado do
programa de auditoria7.
6 Critérios de auditoria são usados como uma referência contra a qual a evidência da auditoria é
comparada, e incluem políticas, procedimentos e requisitos (NBR ISO 19011:2002).
7 Atenção especial deve ser dada nesse momento, pois quando a comunicação da realização da
auditoria for feita pelo encarregado do programa, ele deverá fornecer, de imediato, o nome do
auditor que irá conduzir a auditoria, especificando a data e a hora da visita prévia que aquele irá
31
No contato inicial, é confirmado o nome do auditor que vai conduzir a
auditoria, informa-se sobre a duração prevista para os trabalhos, solicita-se o
acesso aos documentos, incluindo os registros pertinentes à área a ser
auditada.
Devem ser levantadas pelo auditor, durante a visita prévia, as regras
de segurança exigidas para o local, para que seja possível delimitar quais as
atividades que deverão ser ajustadas para o exercício dos trabalhos de
auditoria, o que pode ser, por exemplo, o isolamento da área, ou placa
informando que aquela área está sob auditoria, ou a necessidade de
acompanhamento por um especialista da atividade auditada para guiá-lo ou
garantir sua segurança8.
Objetivos da auditoria
A definição dos objetivos da auditoria estabelece o que é para ser
realizado. Evita que o auditor perca o foco do seu trabalho, e devem ser
estabelecidos de modo que atendam às necessidades da organização, no que
tange ao que ela espera alcançar do sistema de controle em determinado
prazo.
No caso específico de instalações portuárias, com relação à proteção,
um dos objetivos das auditorias é o de certificar a conformidade do
funcionamento do sistema de segurança da instalação portuária com o ISPS
Code, para que a instalação possa garantir a Declaração de Cumprimento do
ISPS Code9, e assim manter-se em um mercado competitivo e cada vez mais
exigente.
Para isso, faz-se necessário que o auditor compreenda não só os
negócios da instalação portuária como a extensão da importância da auditoria
realizar.
8 Como as instalações portuárias estão com procedimentos de segurança definidos, que em
algumas áreas o tráfego de pessoas (estivadores, passageiros, funcionários, etc.) é intenso e
controlado, e que o auditor é uma pessoa estranha à área, é aconselhável que a área seja
identificada com placas que informem sobre a auditoria. Nesse caso, um funcionário do setor
poderá acompanhar os trabalhos.
9
Declaração por meio da qual certifica-se que a respectiva Instalação Portuária cumpre as
disposições do Capítulo XI-2 e da Parte A do Código Internacional para Proteção de Navios e
Instalações Portuárias – Código ISPS e o previsto no seu Plano de Segurança Pública Portuária
aprovado pela Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis
– CONPORTOS. (Resolução nº 26, de 08 de junho de 2004 da CONPORTOS).
32
para a continuidade desses negócios. Na prática, os objetivos geralmente são
demandados pela instalação portuária, que é entendida como o cliente de
uma auditoria, e, com base nela, o auditor irá transformá-la nos objetivos da
auditoria.
Como exemplo de objetivos, podemos citar:
 Verificar o cumprimento das normas do ISPS Code;
 Avaliar a eficácia das normas de controle de acesso à Zona Primária;
 Identificar as áreas da Zona Primária que deverão ser melhoradas, no
tocante à proteção das instalações portuárias;
 Verificar a conformidade dos procedimentos da vigilância portuária.
Análise crítica de documentos

A análise crítica deve ser feita sobre os documentos-base nos
sistemas, nos relatórios de auditorias realizadas, em documentos correlatos, e
considerar, igualmente, a natureza e a complexidade da organização, os
objetivos e o escopo da auditoria.
No caso dos relatórios anteriores, é importante destacar as não
conformidades encontradas para enfatizar durante a auditoria tais
verificações.
Checklist
Após a análise prévia dos documentos-base e demais documentos que
servirão como referência para a realização da auditoria, o auditor elaborará a
lista de verificação ou Checklist10, documento no qual constam os itens a ser
verificados.
Notificação ao auditado
Depois de concluído o planejamento (plano de auditoria), faz-se
necessário que o auditor notifique, por escrito, a área a ser auditada,
informando-a dos objetivos da auditoria, sua abrangência, as datas e os locais,
da estrutura de apoio de que necessitará para a execução dos trabalhos, e do
10 Maiores detalhes sobre a elaboração de listas de verificações serão abordadas em capítulo

específico.
33
horário de trabalho dos auditores, dentre outros aspectos que julgar
necessário informar.
1.5.2 Execução da auditoria
Após o planejamento da auditoria, inicia-se a fase da sua execução.

Para uma abordagem didática e melhor compreensão, dividimos essa fase nas
seguintes etapas: reunião de abertura, execução da auditoria, relatório da
auditoria e reunião de encerramento.
Reunião de abertura
A reunião de abertura caracteriza o início dos trabalhos da auditoria.
Ela é realizada com a direção ou representantes do auditado11.
Na reunião de abertura, o auditor ou líder da equipe de auditoria
(quando for o caso) fornecerá um resumo de como as atividades serão
realizadas, relatando o método e os procedimentos a serem utilizados, a
forma como se dará a comunicação entre auditor e auditado, como também
confirmar a disponibilidade de meios e recursos necessários à equipe, bem
como a data e a hora prevista para a reunião de encerramento e outras
reuniões que julgar necessárias.
Nessa reunião deve ser aberto um espaço para que o auditado faça
perguntas, a fim de que sejam esclarecidas todas as dúvidas sobre os
trabalhos propostos.
É comum observar certa expectativa e tensão por parte do auditado
nas reuniões de auditoria. Para que isso possa ser minimizado, na primeira vez
que for ser realizada a auditoria na instalação portuária, e na primeira vez que
for realizada auditoria com nova equipe, é importante e fundamental que essa
reunião seja bastante explicativa, de modo a quebrar a resistência inicial de
tais auditorias, pois a prática aponta que em auditorias realizadas sempre é
percebida uma certa resistência devido à incerteza por parte dos auditados de
que as tarefas estejam sendo realizadas de acordo com o que está previsto
nos documentos-base, ou seja, de acordo com os padrões estabelecidos.
11 É importante que participe dessa reunião o responsável pelo setor, funções ou processos a
serem auditados.
34
Como as auditorias nas instalações portuárias surgiram para manter
uma certificação de amplitude internacional e preservar os padrões de eficácia
do sistema de proteção como um todo, torna-se ainda mais necessário realizar
essas reuniões para que sejam afastados a impressão e o rótulo de que as
auditorias penalizam aqueles que não estejam cumprindo os padrões
determinados. Elas são e devem ser ferramentas para uma boa gestão, e não
um instrumento punitivo.
É lógico que não conformidades serão encontradas em auditorias,
principalmente na primeira auditoria, e que as pessoas que trabalham nesses
setores não ficarão à vontade ao saber que não estão executando as suas
atividades dentro do padrão estabelecido, o que pode gerar um clima de
tensão e até mesmo mal-estar, o que poderá prejudicar o andamento dos
trabalhos da auditoria e as atividades da instalação portuária, além de
constituir um obstáculo para novas auditorias.
É por isso que os objetivos dessa auditoria devem ser muito bem
expostos e quaisquer dúvidas bem esclarecidas, pois precisa ser ratificado que
a auditoria deve constituir uma importante ferramenta de gestão e não um
ato inquisitorial.
A NBR ISO 19011:2002 estabelece que os propósitos da reunião de
abertura são confirmar o plano de auditoria; fornecer um pequeno resumo de
como as atividades da auditoria serão empreendidas; confirmar canais de
comunicação, e fornecer oportunidade para o auditado fazer perguntas.
Essa norma apresenta um roteiro para a reunião de abertura, o qual
reproduzimos abaixo:
a) Apresentação dos participantes, incluindo um
resumo de suas funções;
b) Confirmação dos objetivos, escopo e critério de
auditoria;
c) Confirmação da programação da auditoria e outros
arranjos pertinentes com o auditado, como a data e
duração da reunião de encerramento, qualquer reunião
intermediária entre a equipe da auditoria e a direção do
auditado, e qualquer mudança de última hora;
d) Métodos e procedimentos a serem usados para
realizar a auditoria, incluindo um alerta ao auditado que a
evidência de auditoria será somente uma amostra das
35
informações disponíveis e que, dessa forma, há um
elemento de incerteza ao se auditar;
e) Confirmação dos canais formais de comunicação
entre a equipe de auditoria e o auditado;
f) Confirmação do idioma a ser usado durante a
auditoria;
g) Confirmação de que o auditado será mantido
informado do progresso da auditoria, durante a auditoria;
h) Confirmação de que os recursos e instalações
necessários à equipe da auditoria estão disponíveis;
i) Confirmação de assuntos relativos à
confidencialidade;
j) Confirmação de procedimentos pertinentes de
segurança no trabalho, emergência e segurança para a
equipe de auditoria;
k) Confirmação da disponibilidade, funções e
identidades de quaisquer guias;
l) Método de relatar, incluindo qualquer classificação
de não conformidade;
m) Informações sobre condições nas quais a auditoria
pode ser encerrada, e
n) Informações sobre quaisquer sistema de apelação
referente à realização ou conclusão da auditoria.
Execução da auditoria
A execução ou a auditoria propriamente dita caracteriza-se pela ação
ou ações dos auditores na verificação das conformidades. Essa verificação é
realizada com a utilização de listas de verificação ou checklist.
A execução da auditoria é um trabalho de coleta de informações e de
checagem da veracidade dessas informações, mediante o emprego dos
procedimentos de auditoria. É uma grande tarefa de verificação do sistema de
controle interno da organização, para ao final emitir o seu parecer no relatório
da auditoria.
A execução geralmente é desenvolvida mediante entrevistas,
observação das atividades e análise crítica de documentos.
36
1- Observação das atividades:
A observação das atividades (engloba o local das atividades e o
ambiente circunvizinho) é muito importante, pois dependendo do nível de
percepção do auditor, ele poderá verificar algumas vulnerabilidades de
controle e posterior questionamento quando da entrevista e da aplicação das
perguntas diretas constantes do checklist.
Algumas peculiaridades do local de trabalho não são percebidas nas
entrevistas nem constam nos documentos-base, apenas são detectadas por
meio da observação dessas atividades.
Como exemplo podemos citar que determinada prática de um posto
de controle de acesso não esteja descrito como um procedimento e que, pela
cultura de segurança do local, tal fato possa se constituir numa normalidade,
porém, após a observação ser feita pelo auditor, ele constate que aquela
prática costumeira constitui uma vulnerabilidade ao presente sistema, e
deverá de imediato ser corrigida, ou seja, semelhante prática deve ser
eliminada e registrada em procedimento para minimizar tal vulnerabilidade.
Exemplo: Pessoas que se dizem policiais que estão em investigação,
ou agentes públicos que apenas dizem e mostram a carteira funcional, sem
que isso seja confirmado pelo posto de controle ou avisado à central de
operações para checagem posterior, quando tal fato pode ser um estudo de
situação para uma invasão e ações delituosas, como extorsão, furto ou roubo
de cargas.
2-Entrevistas com funcionários

A entrevista deve seguir a um roteiro, mas não se limitar a ele, pois um
fato observado, mesmo sendo uma conformidade encontrada, pode gerar
pergunta futura que contribuirá para melhorar a qualidade do sistema de
proteção. Nesses casos, os registros devem ser feitos em papéis de trabalho,
à parte.
É comum o entrevistado apresentar certo grau de nervosismo e até
ser rude com o auditor. Nesses casos, compete ao auditor esclarecer o
propósito da auditoria e avaliar se deve continuar, ou não, o seu trabalho, pois
na atividade de verificação e coleta de dados, o fator humano é o mais
importante por se constituir na mais qualitativa das fontes de informação. Se
não existir um canal de simpatia entre as partes (auditor-auditado), essa
37
atividade essencial poderá ser prejudicada. Daí a necessidade de o auditor se
compenetrar no objetivo de seu trabalho e manter essa faixa de acordo para o
fluxo regular das atividades de auditoria.
3-Análise de documentos
A primeira análise a ser feita, como já foi abordado, é nos documentos-
base. No local, a busca de documentos deve ser focada nos procedimentos
definidos e nas normas gerais, se constam ou não no local, e os registros nos
livros de ocorrências, ou documento semelhante para registro, em cada local
em que a auditoria estiver sendo realizada.
Após as análises dos documentos, no local de auditagem, deve ser
feita uma busca nos arquivos para verificar registros anteriores com relação
ao posto de controle, por exemplo, e quaisquer outros registros com relação
ao sistema de segurança, sejam com relação ao auditado ou não, pois nesses
registros poderão ser encontradas situações que possam vir a se repetir e
comprometer a proteção daquele local, ou do sistema como um todo.
De posse dessas informações coletadas e registradas nas listas de
verificações, nos questionários e nas análises dos documentos e em outros
papéis de trabalho, o auditor efetuará a avaliação do trabalho de campo e dos
procedimentos de auditoria para certificar-se de que os testes realizados nas
áreas mais prováveis a não conformidades foram eficazes, avaliar o grau de
risco das não conformidades encontradas para o comprometimento do
sistema de controle, e se não há mais exame residual a ser feito para o
encerramento da auditoria.
1.5.3 Encerramento da auditoria
O encerramento da auditoria deve ser precedido de uma reunião com

os auditores, ou de atividades de análise procedidas pelo auditor sobre as
constatações encontradas. Essa análise deve levar em consideração quaisquer
informações obtidas durante a realização da auditoria, que tenham relação
com o objetivo da auditoria para a conclusão dos trabalhos.
Na conclusão, observam-se as incertezas inerentes ao processo de
auditoria, as recomendações feitas, e são discutidas as ações de
acompanhamento para a melhoria do sistema de controle.
38
A NBR ISO 19011:2002 indica que a conclusão da auditoria pode
apontar os seguintes assuntos:
a) A extensão da conformidade do sistema de gestão
com o critério de auditoria;
b) A implementação eficaz, manutenção e melhoria do
sistema de gestão, e
c) A capacidade do processo de análise crítica pela
direção em assegurar a contínua pertinência, adequação,
eficácia e melhoria do sistema de gestão.
Após concluída a auditoria, é marcada a reunião de encerramento.
Reunião de encerramento
A reunião de encerramento deve ser previamente agendada,
conduzida pelo auditor que executou a auditoria ou pelo auditor líder (quando
for o caso). Objetiva apresentar as constatações encontradas e propor
medidas corretivas e saneadoras.
Essa exposição deve ser clara e objetiva, de tal forma que os fatos
relatados sejam compreendidos e demonstradas as necessidades e
importância das medidas propostas para a melhoria do sistema de gestão
como um todo.
Devem participar dessa reunião os auditores, auditados e os clientes
da auditoria.
A reunião não deve ser limitada apenas à exposição de não
conformidades. É importante que os auditores que realizaram o trabalho da
auditoria, façam relatos de detalhes que observaram para a melhoria do
sistema, pois às vezes é comum que tais observações, por extrapolarem o
trabalho realizado, não venham a ser expostas, o que compromete a eficácia
do sistema de proteção das instalações portuárias.
Ratificamos que nem sempre o que foi estabelecido na lista de
verificações tem um alcance na checagem de um pequeno detalhe que pode
pôr em risco a integridade de um sistema, mesmo que naquela instalação
portuária não haja indícios e histórico de irregularidades quanto às normas e
aos procedimentos e proteção estabelecidos.
Dessa forma, o auditor valoriza o seu trabalho e mostra que a sua
capacidade de observação no exercício de sua atividade agregou valor àquela
39
instalação, criando vantagem competitiva ao fornecer informações para uma
ação mais austera no sistema auditado.
Esses fatos são comuns quando normas e procedimentos são
deficientes. O auditor observa, verifica e testa essa lacuna, que constitui uma
vulnerabilidade do sistema auditado. É comum em procedimentos e postos de
controle de acesso.
A reunião moderna não é apenas para a exposição por parte dos
auditores. Serve também como fórum de debate sobre as constatações
apresentadas, pois dessa reunião sairão importantes medidas e ajustes para a
confecção do relatório.
Relatório da auditoria
O relatório de auditoria é o documento que relata todo o trabalho
realizado, e deve ser elaborado de forma precisa, concisa e clara.
A NBR ISO 19011:2002 orienta que os relatórios de auditoria devem
incluir:
a) Os objetivos da auditoria;
b) O escopo da auditoria, particularmente a
identificação das unidades organizacionais e funcionais, ou
os processos auditados e o período de tempo coberto;
c) Identificação do cliente da auditoria;
d) Identificação do líder da equipe de auditoria e seus
membros;
e) As datas e lugares onde as atividades da auditoria
foram realizadas;
f) O critério da auditoria;
g) As constatações da auditoria;
h) As conclusões da auditoria;
O relatório também pode incluir ou se referir ao seguinte, se
apropriado:
i) O plano de auditoria;
j) Uma lista de representantes do auditado;
k) Um resumo do processo de auditoria, incluindo
obstáculos e/ou incertezas encontrados que poderiam
diminuir a confiabilidade das conclusões da auditoria;
40
l) A confirmação de que os objetivos da auditoria
foram atendidos dentro do escopo da auditoria e em
conformidade com o plano de auditoria;
m) Quaisquer áreas não cobertas, embora dentro do
escopo da auditoria;
n) Quaisquer opiniões divergentes e não resolvidas
entre a equipe da auditoria e o auditado;
o) As recomendações para a melhoria, se especificado
nos objetivos da auditoria;
p) O plano de ação de acompanhamento negociado, se
existir;
q) Uma declaração da natureza confidencial dos
conteúdos;
r) A lista de distribuição do relatório da auditoria.
Depois de elaborado, o relatório deverá ser entregue aos clientes da

auditoria e às partes auditadas, para que elas tenham o registro da auditoria e
verifiquem os motivos das não conformidades. Ele pertence ao cliente da
auditoria. Ambos – cliente e auditor - devem guardar sigilo desses fatos, ou
seja, manter a sua confidencialidade.
Conclusão da auditoria
A auditoria é considerada concluída quando todas as atividades
descritas no plano de auditoria foram realizadas e o relatório da auditoria
aprovado e distribuído.
Todos os registros, papéis de trabalho e outros documentos devem
ser arquivados em local apropriado, pelos auditores ou pela equipe de
auditoria, para que possam vir a servir de documentos-base para novas
auditorias.
Fatos importantes descobertos em auditorias devem ser debatidos em
reuniões e treinamentos para que haja uma aprendizagem, e com isso os
sistemas de gestão da segurança possam tornar-se mais confiáveis.
Ações de acompanhamento
Quando a auditoria conclui pela necessidade de ações saneadoras e
preventivas, ou de melhoria de um sistema, tais ações são implementadas
pelo auditado, e não pelo auditor, pois não mais fazem parte da auditoria.
41
A verificação dessas medidas é parte de uma nova auditoria, que pode
ser denominada de auditoria de acompanhamento.
1.6 Procedimentos de auditoria
Procedimentos de auditoria são as técnicas que o auditor utiliza para a

realização de seu trabalho, consistindo na reunião das informações possíveis e
necessárias e na avaliação das informações obtidas para formar sua opinião.
Os principais procedimentos são: exame físico, confirmação, exame de
documentos originais, conferência de cálculos, exame de escrituração,
investigação minuciosa, inquérito, exame dos registros auxiliares, correlação
das informações obtidas e observação. (IUDÍCIBUS; MARION, 2001, p.158).
Esses procedimentos são utilizados para a obtenção de evidências e
formação da opinião do auditor.
1.6.1 Evidências de auditoria
Evidências de auditoria são os registros, a apresentação de fatos ou

informações colhidas durante a auditoria que, depois de comparados,
objetivam constatar as conformidades e as não conformidades.
Jund (2002, p.294-296) distribui as evidências em cinco classes: física,
documental, analítica, testemunhal e por confirmação de terceiros.
A evidência física é obtida pela comprovação da existência real de
componentes do patrimônio e da realização de obras e serviços.
A evidência documental, como o próprio nome já a define, resulta de
comprovações em documentos, registros, faturas, desde que proporcionem
confiabilidade ao auditor.
A evidência analítica consiste nas análises e revisões de cálculos, que
devem ser registradas nos papéis de trabalho.
A evidência testemunhal é obtida de pessoas que conhecem a
organização auditada e fornecem declarações sobre perguntas formuladas
por escrito e também que lhes foram feitas diretamente.
A evidência por confirmação de terceiros ou circularização consiste
na confirmação, por escrito, de terceiros, em relação a determinados fatos, ou
42
seja, são as confirmações de fornecedores, prestadores de serviços, bancos,
clientes e outros.
Segundo o IS Standards, Guideliness and Procedures for Auditing and
Control Professionals, o auditor deverá utilizar os procedimentos mais
apropriados para reunir as evidências, bem como considerar os seguintes
procedimentos: entrevista, observação, inspeção, confirmação e
monitoramento (ISACA, 2006).
Para que a evidência seja suficiente, confiável e relevante, convém ao
auditor fazer análises por meio de comparações, simulações, cálculos e testes.
Na busca dessas evidências são utilizadas as técnicas de auditoria.
1.6.2 Técnicas de auditoria
Técnica de auditoria é o conjunto de procedimentos que permite

alcançar as constatações de auditoria.
As principais técnicas são:
a) Circularização ou confirmações formais, que é utilizada para a obtenção
de declaração formal de pessoas independentes da organização auditada;
b) Exame da documentação original, que é utilizada para a comprovação
das transações realizadas;
c) Conferência de somas e cálculos;
d) Exames dos lançamentos contábeis, que objetivam verificar a veracidade
das informações contábeis;
e) Entrevistas, que são perguntas feitas diretamente ás pessoas para a
obtenção de respostas;
f) Exames de livros e registros auxiliares;
g) Correlação entre as informações obtidas, que é o cruzamento das
informações obtidas nos exames realizados, e
h) Observação das atividades.
Conforme foi visto, por meio dos procedimentos de auditoria o
auditor utiliza técnicas para obter as evidências de auditoria, isto é, ao
compará-las com os critérios de auditoria adotados, escolhe, avalia e
confronta essas evidências, a fim de constatar as conformidades e as não
conformidades encontradas.
43
1.6.3 Constatações de auditoria
Constatações de auditoria são o resultado da avaliação de evidência

da auditoria que, comparadas com os critérios de auditoria, atesta as
conformidades e as não conformidades. É a aprovação, a confirmação.
São os procedimentos de auditoria, portanto, que permitem ao auditor obter
as evidências de auditoria e as provas para fundamentar a sua opinião sobre o
exame realizado. Na busca de evidências de auditoria, o auditor realiza testes
que servem para avaliar o sistema auditado.
1.6.4 Papéis de trabalho
Os procedimentos seguidos pelo auditor são registrados nos papéis de

trabalho, que constituem um registro permanente dos serviços executados, e
devem possuir detalhes suficientes para o entendimento do trabalho
realizado e a elaboração do relatório final.
Segundo Jund (2002:385), os papéis de trabalho destinam-se a:
a) Ajudar, pela análise dos documentos de auditoria

anteriores, ou pelos coligidos, quando da contratação de
uma primeira auditoria, no planejamento e execução da
auditoria;
b) Facilitar a revisão do trabalho da auditoria;
c) Registrar as evidências do trabalho executado para
fundamentar o parecer do auditor independente.
O relatório de auditoria consiste na explanação circunstanciada dos

fatos examinados. É por meio dele que o auditor esclarece o trabalho e a
forma como o realizou, os fatos relevantes, as não conformidades
encontradas e as suas conclusões.
Os relatórios dizem respeito ao trabalho realizado, e suas cópias são
arquivadas juntamente com os respectivos papéis de trabalho.
44
1.6.5 Procedimentos de auditoria X procedimentos do auditor
Os procedimentos de auditoria são, consequentemente, as técnicas

que o auditor utiliza para a realização de seu trabalho. Já os procedimentos do
auditor referem-se ao seu proceder, à sua conduta, ao seu comportamento.
Os procedimentos de um auditor podem limitar-se apenas à maneira
pela qual o auditor será apresentado à unidade a ser auditada, sobre o acesso
às instalações da unidade auditada, que deverá utilizar papéis de trabalho e
que estes últimos serão preenchidos manualmente.
Exemplo de procedimentos do auditor:

1- Realizar uma reunião inicial para apresentar a equipe de auditores e
resumir os métodos a serem utilizados durante a auditoria;
2- Executar os trabalhos com base no plano de auditoria;
3- Elaborar o checklist;
4- Registrar evidências em papéis de trabalho;
5- Realizar a reunião de encerramento com o auditado;
6- Elaborar o relatório da auditoria.
Procedimentos de auditoria12:
1- Exame físico da documentação-base que deve constar no posto de
acesso, e que servirá de suporte ao agente de segurança que ali estiver
trabalhando;
2- Confirmação com a central de operações se determinada pessoa, que
está acessando a instalação portuária, consta de relação específica, e conferir
(conferência), posteriormente, na central; repetir tal procedimento para cada
situação especificada no exemplo acima citado;
3- Realizar investigação minuciosa para identificar o motivo da não
conformidade encontrada no controle de acesso de trabalhadores avulsos,
bem como o de tripulantes e oficiais de embarcações fundeadas;
4- Efetuar exame dos registros auxiliares (livro de ocorrências e pasta com
autorizações de encarregados de setor);
5- Observar (observação) e correlacionar (correlação) as informações
obtidas para obter as evidências de auditoria.
12 Para a finalidade a que se destina este livro, apenas citaremos alguns procedimentos.
45
46
2 AUDITORIA EM INSTALAÇÕES PORTUÁRIAS
No capítulo anterior a auditoria foi abordada de uma forma ampla,

focando os seus tipos, procedimentos, programas, etc., para se poder ter uma
visão do que seja a atividade de auditoria. Neste capítulo, será abordada a
auditoria direcionada para as instalações portuárias, ou seja, a auditoria como
uma ferramenta indispensável para o bom funcionamento dos sistemas de
proteção de instalações portuárias, em conformidade com o ISPS Code.
Esse código estabeleceu um conjunto de atividades indispensáveis
para o estabelecimento de um sistema de proteção, com aplicabilidade nos
navios envolvidos em viagens internacionais e nas instalações portuárias que
servem a esses navios.
Dentre as várias normas que regulamentam o segmento portuário e
suas corporações, embarcações e suas companhias, de um modo geral, o ISPS
Code é o ponto em comum a todos eles. De alcance internacional e adotado
em convenção pelos países que fazem parte da Organização Marítima
Internacional (IMO), o código tem como objetivo melhorar a segurança e a
vida no mar.
Esse fato foi o ponto de partida para todo um esforço desse
segmento, a partir de dezembro de 2002, para se adequar às novas normas
internacionais de proteção, que entrariam em vigor a partir de julho de 2004.
A repercussão que esse código internacional trouxe para as
instalações portuárias, embarcações e suas companhias é de um alcance
muito amplo e de consequências severas. Não obstante a necessidade de
manterem um sistema de proteção em atendimento ao que preconiza o
código, essas embarcações e organizações terão, ainda, de garantir o seu
perfeito funcionamento.
Justamente na busca dessa conformidade é que surge a auditoria
como a ferramenta para garantir a plena conformidade desses sistemas de
proteção com essa norma internacional para a proteção e a vida no mar.
Como é possível perceber, a auditoria torna-se indispensável e de uma
responsabilidade imensurável, requerendo ações e procedimentos específicos
para a sua atividade nesse segmento. Essas ações vão desde a necessidade de
47
formação de auditores internos até o estabelecimento dos procedimentos
para a execução da auditoria.
Nesse aspecto, deve-se ter um cuidado ilimitado para que tal atividade
não seja prejudicada por pessoal desqualificado, nem, tampouco, que a busca
frenética pela certificação como instalações seguras contribua para a
formação de um cenário vulnerável à concretização de riscos que
comprometam os sistemas de proteção e a continuidade das atividades na
área portuária.
É do conhecimento de todos que a certificação é um passaporte para
agregar valor aos negócios, mas também somos conscientes de que, mais
importante do que obter uma certificação, é garantir a funcionalidade eficaz
dos sistemas de controle e proteção como um todo. A quebra da segurança
de uma instalação certificada é da mais alta criticidade e, com certeza,
colocará não só a credibilidade do sistema em questão mas também as
credenciais das organizações de segurança. Para que isso não aconteça,
surgem os profissionais de auditoria e suas empresas.
A certificação pode ser considerada como um prêmio pela
conformidade com os requisitos da norma. Para conquistar esse prêmio, é
primordial toda uma preparação a ser elaborada por consultores e auditores.
Os consultores, com suas atividades de avaliação de riscos, definição de
políticas, elaboração de planos de proteção, e procedimentos específicos,
etc., os auditores com as suas atividades para o exame de tudo o que compõe
o sistema de proteção, o que exigirá deles um conhecimento além daquele
inerente às atividades específicas da auditoria.
Essas auditorias em instalações portuárias deverão alcançar os seus
três tipos, e não apenas aquelas voltadas para a certificação. Como foi visto
no capítulo anterior, a auditoria pode ser interna e externa. A interna
(auditoria de primeira) é aquela realizada na organização pela própria
organização, ou por alguém contratada por ela para realizá-la. E a externa
pode ser de dois tipos: uma realizada pela organização nos seus fornecedores
e clientes (auditoria de segunda), e a outra (auditoria de terceira) realizada
por terceiros (auditores independentes e organizações).
Diante disso, todos aqueles que estejam compreendidos dentro do
campo de aplicação do ISPS Code deverão sujeitar-se às auditorias internas e
externas, e não apenas àquelas voltadas para a certificação. Observe-se que
48
esse fato não implicará, necessariamente, a formação de um novo setor
dentro de uma instalação portuária e de empresas de navegação, tampouco
um auditor por embarcação, mas demandará serviços específicos de auditoria.
Esses serviços de auditoria são realizados por auditores, sejam eles
auditores internos, auditores independentes ou auditores de organizações
certificadoras. Contudo, espera-se que esses serviços sejam executados por
pessoal qualificado e com formação para tal, principalmente em se tratando
das especificidades do segmento portuário.
A regulamentação da auditoria para fins de certificação como
instalação segura, conforme preconiza o ISPS Code, é de competência da
CONPORTOS, no Brasil. Por meio da Resolução no 37, de 21/06/2005, e da
Resolução no 47 de 07/04/2011, essa comissão dispôs sobre as auditorias,
emendas, atualizações e/ou revisões dos planos de segurança, e estabeleceu
critérios e disposições para as auditorias, seus procedimentos e a avaliação de
controles de acesso de pessoas, cargas e veículos.
Essas resoluções ratificam a necessidade de as instalações portuárias
adotarem a auditoria como a ferramenta de conformidade para com a norma,
e de manutenção da eficácia de seus sistemas de proteção e controle interno.
Elas trazem a mensagem da evolução do segmento ao se preocuparem com a
manutenção da qualidade da segurança, e abrem verdadeiras oportunidades
para a criação de um ambiente favorável a uma vantagem competitiva das
instalações que mantêm programas de auditoria e suas atividades regulares,
sobre os concorrentes que não vêem a necessidade dessas atividades.
As instalações portuárias não podem cometer o erro de esperar pelas
auditorias da CONPORTOS e de qualquer órgão fiscalizador. Elas devem
manter um programa contínuo de auditoria que forneça o suporte necessário
para a garantia do perfeito funcionamento de seus sistemas de proteção e
controle interno.
Ressalte-se que auditar não é apenas estar de posse de uma lista de
verificações, para assinalar itens ali postos. Auditar é muito mais do que isso. É
uma atividade especializada e de comprometimento com a boa governança, e
requer um conjunto de atividades, ferramentas e técnicas, para ao final o
auditor emitir o seu parecer e contribuir para a continuidade dos negócios.
Auditar não deve ser visto como um mero gasto, mas como uma despesa na
geração de receitas futuras. Auditar é fato gerador de vantagem competitiva.
49
Justamente para que as instalações portuárias possam preparar-se
para as auditorias é que foi desenvolvido este capítulo. Considerando que o
ISPS Code é o principal documento-base para as auditorias em instalações
portuárias, utilizaremos como referência os domínios dessa norma.13
Antes mesmo de adentrarmos nas auditorias das partes básicas dos
domínios do ISPS Code, entendemos ser necessário esclarecer o porquê dos
tipos de auditoria nas instalações portuárias, e como a auditoria poderá
contribuir para melhorar um sistema de proteção. É justamente por aí que
começaremos.
2.1 Tipos de auditoria e sua importância na proteção de instalações

portuárias
Como já visto anteriormente, as auditorias podem ser interna e

externa. Neste capítulo iremos comentar mais sobre essas auditorias nas
instalações portuárias.
Auditoria interna
As auditorias internas deverão estar voltadas para verificação do
sistema de controle como um todo, e deverão ser realizadas por pessoal de
controle interno ou contratado para tal. Para isso, deverá ser observado o
sistema de proteção das instalações portuárias como um todo, bem como os
outros sistemas que interagem com ele.
Os principais aspectos a ser auditados são: a avaliação de riscos, o
plano de proteção (plano de segurança), as normas e procedimentos de
controle de acesso, as atribuições dos oficiais de proteção e da
guarda/vigilância portuária, dentre outros instrumentos relacionados ao
sistema de proteção.
A auditoria interna poderá ser utilizada para verificar o nível de
proteção atual e compará-lo com o nível de proteção ideal (planejado),
13
Os pontos abordados neste livro poderão não se aplicar a toda organização, devendo o
auditor considerá-los na elaboração de seu trabalho, não se limitando apenas aos itens aqui
tratados.
50
realizando assim uma análise GAP, de modo a poder estabelecer ações que
preencham a lacuna entre o real e o planejado.
Essa análise poderá apontar o estágio de proteção da instalação
portuária. Nesse caso específico, faz-se necessário que exista um marco
referencial que identifique os níveis de proteção14, como, por exemplo: nível 0
– não existem controles; nível 1- inicial (reconhecimento da necessidade de
controles, mas não implantados); nível 2 – controles implantados
(insuficientes, apenas para algumas atividades e sem consistência); nível 3 –
controles implantados e processos definidos (caracterizado pela definição dos
processos de controle); nível 4 – controles gerenciáveis e mensuráveis
(controles e processos definidos e funcionários capacitados nas suas
atividades de controle); nível 5 – o ideal, caracterizado pela completeza de
todas as medidas de controle planejadas e implantadas.
Outra forma de emprego da auditoria interna destina-se a verificar as
medidas de tratamento dos riscos. Nessa verificação devem ser analisadas as
prioridades apontadas na avaliação de riscos e executar a auditoria,
verificando a implementação dessas medidas e avaliando o impacto da não
implementação nos processos de negócios. Tal verificação é de importância
ímpar, pois dela poderá resultar numa nova avaliação de riscos, ou
reavaliação, como também ela poderá apontar para a necessidade de se
adotar uma nova metodologia para a parametrização dos riscos.
Observe-se que essa auditoria não é a realizada sobre a avaliação de
riscos, mas sobre as medidas resultantes da avaliação de riscos. É um tipo de
auditoria que deve ser realizada com um intervalo de tempo menor do que
outros tipos de auditoria, devido ao tipo de sua especificidade e criticidade
para a continuidade dos negócios da instalação portuária.
Como podemos verificar, a auditoria interna é indispensável para
qualquer instalação portuária, mesmo que não esteja submetida ao alcance do
ISPS Code, pois ela possui várias aplicações.
14
Os níveis de proteção aqui apresentados não são os estabelecidos pelo ISPS Code (níveis de
proteção 1, 2 e 3). São níveis que podem ser utilizados para medir um determinado estágio de
maturidade de controle.
51
Auditoria externa realizada pela instalação portuária
As auditorias externas realizadas pela instalação portuária têm como
público-alvo os clientes e fornecedores. No segmento portuário,
especificamente em relação aos sistemas de proteção, não é comum
encontrarmos esse tipo de auditoria. Na nossa visão, é um grande equívoco
não atentar para esse tipo de auditoria, uma vez que a qualidade do
fornecimento de material e mão-de-obra, em serviços terceirizados, pode
comprometer todo o funcionamento de um sistema de proteção.
Com a tendência do outsourcing (terceirização) de serviços de
segurança, limpeza, manutenção e TI (tecnologia da informação), faz-se
necessário, cada vez mais, incluir as auditorias de segunda nesses contratos,
como forma de garantir um nível de excelência desses serviços frente às
exigências internacionais do novo padrão de segurança portuária. E esse fato
a torna indispensável.
O fato gerador desse tipo de auditoria deve estar nas cláusulas dos
contratos, devendo ser ponto de quebra de contrato a não adoção de
medidas saneadoras das irregularidades encontradas nas auditorias. São
auditorias que podem ser realizadas pelo próprio pessoal da instalação
portuária ou por pessoal contratado com tal finalidade.
Um questionamento poderá surgir nas auditorias de segunda, por
parte dos auditados, que é o da invasão de estranhos (auditores) querendo
controlar a contratada. Isso não deverá ser um empecilho, mas ser entendido
que, para prestar esses tipos de serviços numa instalação portuária, não basta
ser uma empresa prestadora de serviço, que também terá que se sujeitar a
critérios estabelecidos pela contratada, e ter consciência de que normas
internacionais de proteção estão em vigor para a manutenção e continuidade
dos negócios da contratante.
Por não ser comum às instalações portuárias, esse tipo de auditoria
poderá provocar alguns contratempos e mal-estar, mas, como ferramenta de
controle, apresentar-se-á como excelente ferramenta de gestão para a
manutenção do sistema de proteção das instalações portuárias e,
consequentemente, aumentará a qualidade da segurança na empresa.
Contudo, para que não se interprete que houve invasão da privacidade
da empresa prestadora do serviço, devem ser estabelecidos procedimentos
para essas auditorias e para os auditores.
52
Atenção especial deve ser dispensada às empresas prestadoras de
serviço de segurança (empresas de vigilância), pela parcela de participação no
sistema como um todo, uma vez que o recurso humano é um dos pilares do
sistema de proteção. Entendemos que, nessas empresas, as auditorias
deveriam ser obrigatórias e com periodicidade no mínimo semestral, devendo
constituir uma cláusula fundamental para a contratação e manutenção desses
serviços.
O foco dessas auditorias deve estar sobre os critérios de contratação
do pessoal, incluindo o perfil desejado, os tipos de testes efetuados para a
seleção e o acesso à documentação, o curso de formação e a programação da
educação continuada, para que se possa ter um profissional que atenda às
exigências das normas de proteção da instalação portuária.
Auditoria externa realizada por terceiro

As auditorias externas realizadas por terceiros são conhecidas por
auditoria de terceira, e normalmente se destinam a uma certificação. No caso
específico, é a auditoria realizada pela CONPORTOS para verificar a
conformidade da instalação portuária com o ISPS Code. Também se enquadra
nesse tipo de auditoria toda aquela que for realizada por organismo de
certificação e por órgão fiscalizador.
As auditorias de certificação são muito importantes porque são uma
garantia de que aquela organização está em conformidade com o ISPS Code,
além de ser uma espécie de carta de crédito (certificação) para melhorar o seu
negócio com o exterior.
Para essas auditorias, a instalação portuária deverá estar preparada e
com o seu sistema de proteção funcionando em conformidade com o ISPS
Code e com o seu plano de proteção. É certo que nem todos os controles
previstos na norma são aplicáveis a toda e qualquer instalação portuária. Para
que isso não venha a afetar a conformidade com a norma, faz necessário que
a instalação elabore um documento que justifique a exclusão dos controles
previstos na norma15.
15
Este documento poderá ser tipo uma Declaração de Aplicabilidade (Statement of
Applicability), que é uma exigência para a certificação de conformidade dos sistemas de gestão
de segurança da informação com a norma ISO 27001. É uma declaração documentada que
53
Geralmente surge a indagação do valor de uma certificação para a
organização. Uma certificação exige um nível de maturidade da organização,
pois envolve investimento e comprometimento de todos os setores de uma
instalação portuária, atingindo, inclusive, clientes e fornecedores: os clientes,
ao se confortarem com a certeza de estar realizando negócios com uma
empresa de credenciais internacionais; e os fornecedores, ao saberem do
nível elevado de exigência para a prestação de serviços e mão-de-obra.
Outro ponto da certificação é que, para conquistá-la, são necessários
esforços para as avaliações de riscos, projetos de segurança, estabelecimento
de processos, diretrizes e procedimentos em conformidade com as normas
regulamentadoras, o que demanda uma atenção específica e muita dedicação
para a maturidade de todo esse processo. Observe-se que está sendo
objetivada uma certificação, que é a conformidade com normas
internacionais, que transcende os processos e padrões, para alcançar toda
uma cultura organizacional em prol de verdadeiras mudanças
comportamentais e operacionais.
É esse parâmetro de cultura que agregará valor à organização ao
atingir um nível de excelência do sistema como um todo, facilitando o
processo de certificação e compreendendo o significado e a importância das
auditorias de certificação para a continuidade e vantagem competitiva dos
negócios corporativos. É a valoração da corporação como um todo.
2.2 Objetivos de programas de auditoria e objetivos de auditoria
Como já foi visto, o programa de auditoria é o conjunto de auditorias

planejadas para um determinado período, exigindo planejamento específico e
possuindo objetivos próprios. Os objetivos de um programa e de uma
auditoria representam os resultados do que se desejam alcançar.
Esses objetivos devem estar focados nos negócios corporativos e
alinhados com as exigências do ISPS Code. É importante ressaltar que esse
código foi adotado por meio de emendas à Convenção para a Salvaguarda da
vida Humana no Mar (SOLAS), com o propósito de melhorar a proteção e a
descreve os objetivos de controle e os controles que são aplicáveis ao sistema, como também a
justificativa daqueles controles excluídos.
54
vida no mar, e alcança todas as embarcações, companhias e instalações
portuárias que fazem parte do comércio internacional.
Com base nessa percepção de importância, os objetivos a serem
identificados para os programas e auditorias devem sempre ter uma relação
com essas condições, ou seja, manter o nível de proteção de acordo com o
ISPS Code. Contudo, não deverão ser definidos objetivos que focalizem apenas
essa premissa, mas também, tenham em vista os negócios corporativos e os
seus principais processos de negócios.
Essa peculiaridade vai além da auditoria tradicional, avançando para
alinhar os objetivos atrelados aos principais riscos que afetam a instalação
portuária, e não apenas aos registros e transações. Em outras palavras, esses
objetivos devem estar alinhados com estratégias, metas e com o processo de
gerenciamento de riscos, focando o tipo de negócio da instalação, seus
clientes e fornecedores.
Objetivos do programa de auditoria

Para definir os objetivos do programa de auditoria em instalações
portuárias, devemos identificar o motivo pelo qual essas auditorias devem ser
realizadas. O principal motivo é manter as instalações seguras em
conformidade com o ISPS Code e, consequentemente, obter a certificação
internacional. Esse é o principal motivo e pode ser transformado num único
objetivo para todo o programa, porque tem uma amplitude ilimitada: tudo o
que se relacionar com normas de proteção do ISPS Code. Desse modo, o
objetivo do programa ficaria assim definido:
“Manter as instalações portuárias em conformidade com o ISPS Code”

Observe-se que é um objetivo muito amplo e que envolve todas as
auditorias necessárias para se garantir a manutenção da conformidade com as
normas.
Contudo, pode-se também discriminar mais de um objetivo, ou seja,
um objetivo geral e vários objetivos específicos. Dessa forma, os objetivos
específicos poderiam ser assim definidos:
 Contribuir para manter as instalações seguras;
 Contribuir para melhorar o sistema de proteção das instalações
portuárias;
55
 Identificar o nível de proteção das instalações portuárias;
 Avaliar as medidas de controle de riscos;
 Verificar a eficácia dos controles de acesso;
 Melhorar a qualidade dos serviços terceirizados;
 Garantir o nível de capacitação da vigilância portuária;
 Certificar o cumprimento das cláusulas contratuais com terceiros;
 Identificar falhas nos processos de fornecimento e prestação de serviço,
e
 Obter a Declaração de Cumprimento do ISPS Code.
Como se pode observar, esses objetivos podem ser estabelecidos por
cada tipo de auditoria individual a ser realizada, que alcança as internas e
externas.
É importante incluir no programa as possíveis auditorias a serem
realizadas em caráter extraordinário, para que haja uma possibilidade da sua
execução, e que haja, igualmente, aporte de recursos para tal, mesmo sem
precisar datas, uma vez que são extraordinárias, pois mudanças de cenários e
ocorrência de eventos que comprometam ou possam comprometer a
segurança da instalação são sempre fatos motivadores de auditorias
extraordinárias.
Para a definição dos objetivos da auditoria, deve ser identificado o
motivo pelo qual determinada auditoria está sendo realizada, o tipo de
importância do setor que será auditado, a atividade a ser auditada, o negócio
para a instalação como um todo e o impacto de qualquer não conformidade
na continuidade desses negócios.
Observe-se que há uma diferenciação entre os objetivos do programa
e da auditoria. É uma diferenciação tênue, e reside no fato de que o programa
é mais abrangente e a auditoria é mais específica. Esta última adota como
referência a primeira para a definição dos seus objetivos.
Como vimos no nosso exemplo, o objetivo do programa de auditoria
ficou definido como sendo: Manter as instalações portuárias em
conformidade com o ISPS Code.
Com base nesse objetivo, foram programadas as seguintes auditorias:
auditoria da avaliação de proteção, auditoria do plano de proteção, auditoria
56
do controle de acesso, auditoria dos procedimentos da vigilância portuária,
auditoria para a análise GAP, auditoria em fornecedores e auditoria para o
controle de riscos.
Para cada uma dessas auditorias programadas, devem ser
identificados um ou mais objetivos, que podem ser:
Auditoria da avaliação de proteção

 Verificar a conformidade com os requisitos do ISPS Code;
 Verificar os critérios de tratamento e aceitabilidade dos riscos;
 Avaliar a criticidade dos riscos frente aos cenários identificados e suas
respectivas medidas de proteção.
Na avaliação de proteção ou avaliação de riscos, o objetivo é
identificar as principais ações para controlar e eliminar os riscos, pois essa
avaliação fundamenta-se nos principais riscos que afetam uma instalação
portuária. Nas auditorias sobre as avaliações de proteção, o objetivo principal
é verificar se os requisitos do ISPS Code foram atendidos e avaliar se os
critérios de criticidade foram estabelecidos de maneira uniforme em todo o
processo de análise.
Auditoria do plano de proteção

 Verificar a conformidade com os requisitos da CONPORTOS e do ISPS
Code;
 Obter a aprovação do plano pela CONPORTOS e obter a Declaração de
Cumprimento;
 Certificar o cumprimento das normas e procedimentos estabelecidos.
Nessas auditorias, o objetivo deve estar direcionado para a garantia de que os
controles foram implementados e estão em pleno funcionamento, e para
obter a Declaração de Cumprimento.
Auditoria do controle de acesso
 Contribuir para melhorar o sistema de proteção das instalações
portuárias;
 Verificar a eficácia dos controles de acesso;
 Detectar vulnerabilidades nos sistemas de controle de acesso.
57
Nas auditorias do controle de acesso, devem ser formulados objetivos
que alcancem todos os tipos de controles estabelecidos. Essa auditoria
também poderá objetivar detectar vulnerabilidades no sistema de controle de
acesso.
Auditoria das atividades da guarda portuária

 Contribuir para manter as instalações seguras;
 Verificar o nível de capacitação do pessoal da guarda;
 Detectar falhas nas atividades da vigilância portuária.
As auditoria nos procedimentos da vigilância portuária objetivam
garantir o pleno funcionamento das atividades da vigilância, como também
avaliar o nível de capacitação do pessoal dessa área em relação ao padrão
exigido.
Auditoria para a análise GAP

 Avaliar o nível de proteção das instalações portuárias;
 Estabelecer o nível de maturidade dos controles implementados.
O objetivo específico dessa auditoria é avaliar o nível de proteção dos
controles existentes e do planejado, avaliando assim o nível de proteção da
Auditoria em fornecedores
 Melhorar a qualidade dos serviços terceirizados;
 Garantir o nível de capacitação da vigilância portuária;
 Certificar o cumprimento das cláusulas contratuais com terceiros;
 Identificar falhas nos processos de fornecimento e prestação de serviço.
É uma auditoria que objetiva garantir e manter um padrão elevado de
qualidade dos serviços prestados.
Auditoria para controle de riscos

 Garantir o controle eficaz sobre os principais riscos que afetam a
instalação portuária;
 Avaliar as medidas de tratamento de riscos;
 Identificar a necessidade de nova avaliação de proteção.
58
Essa auditoria objetiva avaliar as medidas de mitigação, detecção,
monitoramento e aceitação dos riscos. Ela difere da auditoria da avaliação de
proteção que é feita sobre as normas e os procedimentos para o exame do
processo de avaliação dos riscos.
2.3 Auditoria em sistemas de proteção
Para que seja possível auditar o sistema de proteção de uma

instalação portuária, entendemos que se faz necessária a compreensão, por
parte do auditor, do que é um sistema de proteção. Para facilitar essa
compreensão, o presente capítulo foi desenvolvido focando as principais
áreas da segurança orgânica.
Contudo, a auditoria para a proteção de instalações portuárias requer,
além desse prévio conhecimento, o conhecimento do que está estabelecido
pela norma internacional para a proteção de instalações portuárias, ou seja,
pelo ISPS Code, e esse o auditor deverá conhecer bem.
Um sistema de proteção normalmente sustenta-se em 3 pilares:
normas e procedimentos, recursos humanos e tecnologia. São pilares
fundamentais para quaisquer sistemas de proteção. Para a comunidade da
segurança, essa questão é tratada pela segurança orgânica, que “compreende
o conjunto de medidas passivas que visam prevenir e obstruir ações adversas
de elementos ou grupos de qualquer natureza, dirigidos contra a instituição”
(Dantas, 2003:88).
As normas e procedimentos compõem todo um arcabouço que define,
delimita e direciona os sistemas de proteção. No caso específico das
instalações portuárias, as principais normas e procedimentos são o ISPS Code,
as normas da CONPORTOS, as normas de controle de acesso, os planos de
proteção das instalações portuárias e os procedimentos da vigilância
portuária. Fazem parte desse importante pilar os processos de negócios da
empresa.
A tecnologia engloba todo um aparato de meios e equipamentos que
são utilizados para auxiliar a proteção, e tem como objetivo não só tornar
mais ágil o sistema ao conseguir uma amplitude de cobertura, em tempo real
ou em pequenas frações de tempo, alcançando elevados índices de prevenção
59
e rapidez na resposta a um evento que venha comprometer o sistema ou
parte dele, como também ser empregada como meio de prevenção, detecção
e controle.
Os recursos humanos são as pessoas que direta ou indiretamente
participam do sistema e que de alguma forma podem interferir nele.
Com base nessa concepção sobre um sistema de proteção, o auditor
deverá executar a auditoria de forma que as suas verificações estejam
contemplando esses pilares (recursos humanos, normas e procedimentos e
tecnologia), não só na constatação das conformidades, mas na constatação
da eficácia do sistema como um todo. Para esse processo, é necessário que
ele tenha noção do que seja a segurança orgânica e conheça os seus principais
domínios, que são: pessoal, documentação, material, comunicações e
informática, áreas e instalações.
Segurança do pessoal
A segurança do pessoal compreende um conjunto de medidas
destinadas a assegurar comportamentos, visando não só à proteção das
pessoas como também à proteção do conhecimento.
Nessa área há três pontos a considerar: a seleção de pessoal, o
desempenho da função e o desligamento.
Seleção: é importante verificar quais os critérios para a seleção e contratação
de funcionários, com atenção específica para os comprovantes e confirmação
de antecedentes criminais.
Desempenho da função: verificar o processo de credenciamento e utilização
de crachás, os padrões de comportamento, procedimentos funcionais e o
cumprimento das medidas de segurança, com especial atenção para o saber
proceder, detalhando por quais medidas devem ser adotados.
Desligamento do funcionário: verificar os critérios para o desligamento, se a
comunicação do desligamento aos outros setores é eficiente (efetuar testes,
se possível), a forma de recolhimento de toda a documentação que possa
identificá-lo como sendo da empresa, e de cancelamento do acesso aos
sistemas operacionais.
60
Segurança da documentação
A segurança da documentação é necessária, porque é nela que
poderão estar registrados dados importantes, tais como operações de
crédito, grandes contratos, valor da folha de pagamento, endereços dos
sócios e diretores, planos de segurança, dentre tantas outras valiosas
informações.
É importante verificar os critérios de controle na elaboração,
identificação, autenticidade, manuseio, arquivo e destruição de documentos,
com especial atenção para o tratamento do lixo.
Segurança do material
A segurança do material segue a mesma filosofia da segurança da
documentação. É importante verificar os critérios de recebimento e exame do
material, checando as especificações do material com a documentação que o
acompanhar, confrontando-a com a documentação do contrato ou pedido,
como também o inventário do material.
Segurança das comunicações e da informática

É uma das áreas da segurança que mais cresce nas corporações, e que
demanda uma atenção especial, em face da importância e crescimento
permanente da tecnologia para os negócios corporativos. A segurança da
informação é a área responsável pela segurança da documentação, das
comunicações e da informática. Atualmente, essas subáreas da segurança
orgânica estão contempladas no contexto da segurança da informação.
A segurança da informação é a proteção da informação de vários tipos
de ameaças para garantir a continuidade do negócio, minimizar o risco ao
negócio, maximizar o retorno sobre os investimentos e as oportunidades de
negócio. Ela é obtida a partir da implementação de um conjunto de controles
adequados, incluindo políticas, processos, procedimentos, estruturas
organizacionais e funções de software e hardware (NBR ISO/IEC 27002:2005).
Para Dantas (2003: 27), a proteção das informações compreende um conjunto
de procedimentos que devem ser adotados com o objetivo de eliminar a fuga
das informações e dificultar a eficácia das atividades de coleta de
informações, salvaguardá-las e protegê-las contra quaisquer eventualidades,
61
garantindo a confidencialidade16, a integridade17 e a disponibilidade18 das
informações.
Por ser uma área muito específica, o padrão ideal de proteção para as
informações é o padrão ISO, que é um padrão internacional e com certificação
específica. Esse padrão requer as normas ISO 27002 e 27001.
Contudo, na inexistência do padrão ISO de proteção das informações,
as verificações devem estar focadas nos controles existentes que garantam as
qualidades da informação (confidencialidade, integridade e disponibilidade), e
na manutenção dos critérios estabelecidos pelo ISPS Code.
Nesse domínio, é indispensável uma política de segurança da
informação.
Segurança das áreas e instalações

A segurança das áreas e instalações é composta de medidas que visam
à proteção da área da empresa e de suas instalações.
A verificação deve levar em consideração as medidas adotadas para
garantir a proteção do perímetro externo, como: barreiras, cercas, muros,
demarcação da área e placas de sinalização. O ponto importante a ser
verificado relaciona-se com o controle de acesso, suas normas e
procedimentos, bem como o equipamento tecnológico e os sistemas de
acesso como um todo.
Observe-se que a compreensão do que seja a segurança orgânica é
importante para que o auditor possa ir além da verificação do domínio da
norma, pois poderá deparar-se com uma situação de conformidade com a
norma, mas que configure uma vulnerabilidade ao sistema de controle. Esse
conhecimento contribui para a verificação da eficiência e eficácia do sistema
como um todo.
16
Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a
indivíduos, entidades ou processos não autorizados (NBR ISO 27002:2005). É a garantia de que
a informação é acessível somente por pessoas autorizadas a terem acesso.
17
Integridade: propriedade de salvaguarda da exatidão e completeza de ativos (NBR ISO
27002:2005). É a garantia da informação mantida na sua condição original.
18
Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade
autorizada (NBR ISO 27002:2005). É a garantia de que os usuários autorizados obtenham a
informação e os ativos correspondentes sempre que necessário.
62
As auditorias em instalações portuárias são muito focadas no padrão
do ISPS Code. Nesse código, é encontrada uma série de requisitos para
compor o sistema de proteção. Os principais são: a avaliação de proteção e o
plano de segurança. Não obstante, identificam-se outros requisitos
importantes do sistema de proteção de instalações portuárias, que são as
normas de controle de acesso e os procedimentos da vigilância portuária.
Esses quatro pontos são de exame obrigatório numa instalação portuária.
Dessa forma, esses pontos serão contemplados em capítulos
específicos a seguir. Acrescentaremos, ainda, as auditorias realizadas em
fornecedores, as auditorias para a análise GAP e aquelas realizadas para o
controle de riscos, por entendermos que são auditorias indispensáveis no
alinhamento dessa ferramenta com as demandas e evolução do mercado,
além de constituírem um diferencial na busca da excelência da proteção e na
criação de vantagem competitiva e continuidade dos negócios.
2.4 Auditoria da avaliação de proteção de instalações portuárias
A avaliação de proteção é o processo que identifica fraquezas na

estrutura física, sistemas de proteção pessoal, processos, ou em outras áreas
que possam conduzir a violação de segurança (proteção).
Segundo a Guarda Costeira Americana19, a avaliação de proteção das
instalações portuárias é um processo analítico e sistemático para determinar
medidas de proteção, para reduzir as vulnerabilidades e eliminar ou reduzir as
consequências de um risco concretizado. Ela identifica fraquezas e propõe
medidas e opções para eliminar ou mitigar essas fragilidades.
O objetivo principal de uma avaliação de proteção é poder eliminar os
riscos que podem ser eliminados e minimizar os impactos dos riscos que não
podem ser eliminados. Ao final resulta na elaboração de um relatório no qual
constam medidas a serem adotadas para a melhoria da proteção das
19
Navigation and Vessel Inspection Circular no 11-02 (NVIC 11-02). Recommended security
guidelines for facilities.
63
Na realidade, a avaliação de proteção é uma avaliação de riscos. O
risco é a combinação da probabilidade20 de um evento21 e suas
consequências22 (ISO/IEC Guide 73:2002). A avaliação de riscos é o processo
sistemático de identificação, estudo e graduação de todos os riscos relevantes
para cada processo de negócio (BCPG, 1998).
A avaliação de riscos é um processo geral de identificação, análise e
avaliação de riscos (AS/NZS 4360:2004), ou seja, é um processo no qual é
realizado um levantamento dos riscos que afetam a organização, para serem
analisados com relação aos controles existentes e seus possíveis impactos e
probabilidades, estabelecendo um ranking de riscos para serem comparados
com os critérios estabelecidos, determinando sua criticidade para as ações de
tratamento.
Ao auditar a avaliação de proteção, é importante que o auditor
conheça o que é uma avaliação de riscos e qual o seu propósito. Existem
vários métodos para se elaborar uma avaliação de proteção, e faz-se
necessário que o auditor venha a conhecer o método que foi utilizado para a
elaboração da avaliação, para que, ao realizar as suas verificações, possa
realmente examinar com eficácia esse importante processo para a segurança
da instalação portuária.
Independentemente do método a ser utilizado, esse processo
emprega o conceito de risco com base na probabilidade da ocorrência e no
impacto que poderá causar caso venha a ser concretizado. Daí a abordagem
mais moderna que usa a expressão avaliação de riscos em vez de avaliação de
proteção.
Não obstante os diversos métodos existentes para a análise de riscos
ou análise de proteção das instalações portuárias, alguns elementos são
indispensáveis para uma auditoria de avaliação de proteção. São:
20
A probabilidade associada a um evento é calculada para determinado período de tempo, e é
definida como um número real na escala de 0 a 1, associada a um evento aleatório que pode
estar relacionado a uma frequência de ocorrência relativa de longo prazo ou a um grau de
confiança de que um evento irá ocorrer. Para um alto grau de confiança, a probabilidade é
próxima de 1.
21
Por evento deve ser entendida a ocorrência de um conjunto particular de circunstâncias,
podendo ser uma única ocorrência ou uma série delas. A probabilidade associada a um evento
pode ser estimada por um dado período de tempo.
22
Por consequência deve ser entendido o resultado de um evento.
64
1- A verificação da identificação dos principais ativos e processos da
organização que se deseja proteger, e o exame da priorização desses
ativos/processos por tipo de criticidade para os negócios;
2- A verificação da identificação das principais ameaças e o exame da sua
avaliação (possibilidade de sua concretização e o seu impacto);
3- A verificação da identificação das principais vulnerabilidades dos ativos
em relação à possibilidade de ocorrências, considerando-se os critérios
definidos pela instalação portuária (disponibilidade, acessibilidade, dureza,
rigidez e segurança orgânica do alvo);
4- A verificação da avaliação da consequência e da vulnerabilidade,
categorizada por cenário ou alvo;
5- A verificação das ações para eliminar, detectar, transferir e aceitar os
riscos, e o exame dos critérios para essa decisão.
Segundo o que está disposto no ISPS Code, a avaliação da proteção
das instalações portuárias é parte integral e essencial do processo de
elaboração e atualização do plano de proteção das instalações portuárias, e
deverá ser executada por pessoal com conhecimentos adequados,
autorizados pelo governo contratante em cujo território a instalação portuária
esteja localizada. Deverá, também, ser revisada e atualizada periodicamente,
de acordo com mudanças no cenário das ameaças ou quaisquer mudanças
que possam vir a comprometer a segurança da instalação portuária. E devem
incluir, no mínimo, os seguintes elementos:
 Identificação e avaliação dos ativos e infraestrutura que são importantes
proteger.
 Identificação de ameaça possível para ativos e infraestrutura, bem como
a possibilidade de sua ocorrência, para que se possam estabelecer e priorizar
medidas de proteção.
 Identificação de fraquezas, inclusive de fatores humanos na
infraestrutura, política e procedimentos.
 Identificação, seleção e priorização de contramedidas e mudanças de
procedimentos e seus níveis de eficácia na redução da vulnerabilidade.
Chamamos a atenção para alguns aspectos com relação ao exame da
avaliação de proteção (avaliação de riscos). Neste tipo de exame, o auditor
deverá verificar se os requisitos do ISPS Code foram atendidos, ou seja, vai
65
examinar cada item da avaliação de riscos e comparar com cada dispositivo do
ISPS Code que trata do domínio “Avaliação de proteção das instalações
portuárias”, para constatar se todos os itens foram contemplados.
Para atestar esta conformidade não se faz necessário verificar a
eficácia das medidas de controle sobre os riscos, porque o que se está
verificando é se o plano foi elaborado com base em uma avaliação de
proteção (risco), e se esta avaliação foi feita conforme estabelecido no ISPS
Code. É um exame estritamente com base nos itens da norma, para constatar
se a avaliação de riscos está alinhada com o código. É a fase da auditoria
conhecida como adequação ou intenção. Ressaltamos que esta limitação fica
para as auditorias de certificação, ou preparatórias para tal finalidade.
Entretanto, a instalação portuária poderá questionar todo o processo
de avaliação de riscos, inclusive sobre a eficácia das medidas propostas e
sobre alguns aspectos preliminares ao estudo dos riscos, como a metodologia
de análise e os critérios de parametrização de sua criticidade. Nestes casos,
esses detalhes deverão ser examinados quando do recebimento do processo
de avaliação de riscos, que geralmente é feito por empresa terceirizada.
Considerando que o ISPS Code é o principal documento-base para as
auditorias em instalações portuárias, utilizaremos como referência essas áreas
de domínio para, com base no código, apresentarmos abaixo os principais
controles a serem verificados com relação a cada um desses domínios.
Identificação e avaliação dos ativos e infraestrutura que são importantes

proteger
Verificar se na identificação e avaliação dos ativos e infraestrutura foi
estabelecido um nível de importância para a instalação portuária.
Verificar se foram consideradas a perda potencial de vidas, a
importância econômica do porto e o seu valor simbólico, e a presença de
instalações governamentais.
Verificar se foi considerado o funcionamento da instalação portuária
sem esses ativos e a capacidade de recuperação do incidente de proteção.
Verificar se foi considerada a possibilidade de outras estruturas
causarem danos dentro das instalações ou serem utilizadas para causar danos
às instalações, como também utilizada para observação ilícita ou para desviar
a atenção.
66
Verificar se foram considerados na identificação e avaliação de ativos
os seguintes itens:
1- Áreas de acesso, entradas, aproximações, ancoragem, manobras e
atracação;
2- Instalações de cargas, terminais, áreas de armazenagem e
equipamentos para manuseio de cargas;
3- Sistemas de distribuição elétrica, sistemas de rádio e telecomunicações
e sistemas e redes de informática;
4- Sistemas de gestão de tráfego de navios no porto e sistemas de auxílio
à navegação;
5- Instalação de energia, tubulação de transferência de cargas e
abastecimento de água;
6- Pontes, ferrovias, estradas;
7- Embarcações de serviços portuários;
8- Sistemas e equipamentos de proteção e vigilância, e
9- Águas adjacentes às instalações portuárias.
Identificação de ameaça possível para ativos e infraestrutura, e a

possibilidade de sua ocorrência, de modo a estabelecer e priorizar medidas
de proteção
Verificar qual o critério utilizado para identificar determinado evento
como uma ameaça.
Verificar se foram considerados os métodos para a execução de uma
ameaça e a possibilidade de sua ocorrência.
Verificar se foram considerados aspectos peculiares da instalação que
possam ser alvos de um incidente de proteção ou ataque, e suas possíveis
consequências, incluindo perda de vidas, danos a propriedades, danos
econômicos, interrupção do funcionamento da instalação, etc.
Verificar se foram consideradas informações oficiais sobre a
capacidade e intenções de pessoas ou organizações passíveis de planejar um
ataque ou provocar um incidente de proteção à instalação portuária, como
também o tipo possível de ataque ou incidente de proteção.
Verificar se foram incluídos os seguintes tipos de incidentes de
proteção:
1- Danos às instalações portuárias e aos navios ou destruição dos mesmos;
67
2- Sequestro ou captura do navio ou de pessoas a bordo;
3- Adulteração de cargas, sistemas ou equipamentos essenciais do navio
ou de provisões do navio;
4- Acesso ou uso não autorizado, incluindo a presença de clandestinos;
5- Tráfico de armas ou equipamentos, incluindo armas de destruição em
massa;
6- Uso do navio para transportar pessoas que pretendem causar um
incidente de proteção e seus equipamentos;
7- Uso do navio em si como uma arma ou como um meio de causar danos
ou destruição;
8- Bloqueio das entradas dos portos, comportas, aproximações, etc., e
9- Ataque nuclear, biológico e químico.
Identificação de fraquezas, inclusive de fatores humanos na infraestrutura,

política e procedimentos.
Verificar qual o método utilizado para identificar vulnerabilidades nas
instalações portuárias com relação a incidentes de proteção.
Verificar se foram considerados os incidentes de proteção (ameaças)
para a identificação das vulnerabilidades desses ativos.
Verificar se foram considerados os seguintes aspectos na identificação
de vulnerabilidades:
1- Acesso às instalações portuárias por água e por terra e a navios
atracados nas instalações;
2- Integridade estrutural dos ancoradouros, instalações e estruturas
relacionadas;
3- Medidas e procedimentos de proteção existentes;
4- Medidas para proteger equipamentos de rádio e de telecomunicações,
serviços portuários e empresas de utilidade pública;
5- Áreas adjacentes que possam ser exploradas durante um ataque ou
para a sua realização;
6- Acordos existentes com companhias privadas de proteção que
forneçam serviços de proteção em terra/na água;
7- Quaisquer políticas conflitantes entre as medidas e procedimentos de
segurança e proteção;
68
8- Quaisquer conflitos entre as instalações portuárias e a atribuição de
deveres relativos à proteção;
9- Quaisquer limitações no tocante ao pessoal e à implementação;
10- Quaisquer falhas identificadas durante os treinamentos e simulações,
bem como falhas identificadas durante as operações rotineiras, após a
ocorrência de incidentes ou alertas, relatórios de preocupações relativas à
proteção, exercício de medidas de controle, auditorias, etc.
Identificação, seleção e priorização de contramedidas e mudanças de

procedimentos e seus níveis de eficácia na redução da vulnerabilidade
Verificar se a identificação e priorização de contramedidas tiveram o
objetivo de assegurar o emprego de medidas eficazes para reduzir a
vulnerabilidade de uma instalação portuária ou da interface navio/porto a
possíveis ataques.
Verificar se as medidas de redução de vulnerabilidades tomaram como
base as vistorias, inspeções e auditorias relacionadas à proteção, o histórico
de incidentes de proteção, as operações da instalação e as consultas a seus
proprietários e operadores.
2.5 Auditoria do Plano de Segurança Pública Portuária (PSPP)
De todas as auditorias a serem feitas nas instalações portuárias,

aquela realizada sobre os planos de segurança requer atenção especial, uma
vez que o plano de segurança pública portuária é o principal alvo para a
concessão da certificação internacional.
A auditoria de certificação é de competência da CONPORTOS,
segundo o disposto na Resolução no 37, de 21/06/2005. Dessa forma, essas
auditorias assumem uma importância ímpar para a manutenção da
certificação. Entretanto, as instalações portuárias devem realizar as suas
auditorias internas, que são diferentes das auditorias de certificação da
CONPORTOS, sob o risco de já estarem em não conformidade por não terem
realizado as suas auditorias internas, previstas no plano de segurança.
Três aspectos devem ser considerados para essas auditorias: o
primeiro com relação a concepção, forma, conteúdo e elaboração dos planos
69
de segurança, que devem estar atendendo aos requisitos e diretrizes do ISPS
Code, e da Resolução no 12 da CONPORTOS; o segundo, com relação à
funcionalidade do plano, ou seja, é o exame da conformidade das medidas
implementadas; e o terceiro, com relação a eficácia dos controles do sistema.
Os requisitos e as diretrizes estão nas partes A e B do código que, de
modo geral, apresentam domínios e controles a serem observados na
elaboração desses planos. Já a resolução apresenta em seus anexos o termo
de referência para a elaboração do plano de segurança pública portuária,
assim como o roteiro para a elaboração e análise desses planos.
Essa auditoria deve ser realizada em três etapas: na primeira, haverá o
exame do plano em si, ou seja, do documento denominado plano de
segurança; a segunda consta do exame do que ele estabelece, ou seja, é a
verificação com base no plano; e a terceira, é o exame com base nos objetivos
dos controles.
Os requisitos e as diretrizes serão a base da primeira etapa, em que o
auditor atestará que o plano foi elaborado atendendo às diretrizes e aos
requisitos para a concepção, forma, metodologia, conteúdo e elaboração. É o
exame do plano propriamente dito.
Já o plano é a base da segunda e terceira etapas, em que o auditor
atestará que as medidas estabelecidas no plano forma implementadas e se
estão sendo executadas conforme implementadas. É o exame com base no
plano.
E os controles (constantes do plano) serão a base para a aferição da
eficácia, ou seja, é o exame para verificar se os controles atendem aos
objetivos para os quais foram criados.
Diante dessas peculiaridades e para uma melhor compreensão da
forma de auditar o plano, dividiremos este capítulo em duas partes: uma
voltada para o exame dos requisitos da CONPORTOS e do ISPS Code para a sua
elaboração, e a outra para o exame da funcionalidade do sistema de controle.
Ambas as etapas são importantes não só para a preparação da instalação
portuária para a aprovação dos seus planos, como também para a concessão
e manutenção da certificação, objeto-alvo das auditorias externas de
certificação.
70
2.5.1 Exame dos requisitos do ISPS Code
O ISPS Code estabelece requisitos obrigatórios para a elaboração de

um plano de segurança destinado à proteção de instalações portuárias, e tal
parte do código deverá ser utilizada pelo auditor como referência para o
exame do plano, ou seja, da sua concepção, forma, elaboração e conteúdo.
Dessa forma, apresentamos a seguir um roteiro para a verificação do
auditor, tendo como base os principais requisitos da parte A e B do código.
Concepção, forma e elaboração

O plano de segurança deve ser concebido baseando-se numa avaliação
de proteção fundamentada nos principais riscos que afetam uma instalação
portuária, e de forma geral objetiva estabelecer medidas de prevenção e
respostas a eventos danosos à instalação, de forma a manter a continuidade
das atividades portuárias. Deve ser desenvolvido por uma metodologia
conhecida, elaborado por pessoal específico e autorizado, e aprovado pelo
governo contratante.
Com base nessa premissa, o auditor iniciará o seu exame para:
a) Verificar se o plano de proteção da instalação portuária foi elaborado com
fundamento em uma avaliação de proteção, por uma organização de
proteção reconhecida, e se foi aprovado pelo governo contratante. Deve ser
incluído nesse item de verificação a data do plano e a data da última revisão.
b) Verificar se o plano está disponível apenas para pessoas autorizadas, e se
está protegido contra acesso, divulgação, emenda não autorizada e
destruição.
c) Verificar se o plano envolve mais de uma instalação portuária e se a
avaliação de proteção foi específica para cada uma das instalações cobertas
pelo plano. Nesse caso específico, o auditor deve quantificar e identificar as
instalações que são cobertas pelo plano. Contudo, deve dispensar atenção
especial para checar se as avaliações de riscos foram individuais, pois esse é
um dos requisitos do ISPS Code.
71
Conteúdo
Após essas verificações iniciais, o auditor passará ao exame do
conteúdo do plano. Para facilitar essa verificação, apresentamos um roteiro
dos principais requisitos a serem auditados.
O auditor deve verificar se do conteúdo do plano constam, no mínimo:
1. O papel e a estrutura da organização de proteção das instalações
portuárias.
2. A identificação do funcionário de proteção das instalações portuárias,
incluindo informações para contato durante 24 horas.
3. Os vínculos da organização de proteção das instalações portuárias com
outras autoridades locais ou nacionais com responsabilidades relativas à
proteção.
4. Os sistemas de comunicação disponíveis para permitir a comunicação
contínua e eficaz entre o pessoal das instalações portuárias com funções
relativas à proteção e os navios atracados no porto, e com autoridades locais
ou nacionais com responsabilidades relativas à proteção.
5. Os deveres, responsabilidades e requisitos de treinamento de todo o
pessoal das instalações portuárias com funções relativas à proteção, bem
como os parâmetros de desempenho necessários para avaliar sua eficácia
individual, e deveres de qualquer outro pessoal das instalações portuárias
relativos a aspectos de proteção.
Isso quer dizer que não só devem constar as obrigações do pessoal específico
para a proteção, mas as responsabilidades de todos da instalação,
permanentes ou temporários, com relação à proteção da instalação portuária.
6. As medidas de controle de acesso que cobrem todos os meios de acesso
às instalações portuárias identificados no plano, com restrições por área e
nível de proteção.
Essas medidas devem incluir: aquelas para prevenir que armas,
substâncias perigosas e dispositivos destinados ao uso contra pessoas, navios
ou portos sejam introduzidos em uma instalação portuária ou a bordo de um
navio, ou cujo transporte não seja autorizado; os procedimentos para atender
a quaisquer instruções de proteção que os governos contratantes, em cujo
território a instalação portuária esteja localizada, possam dar para o nível 3 de
proteção; as disposições para garantir a atualização dos sistemas de
72
identificação e medidas disciplinares para os abusos desses procedimentos; e
os locais nos quais pessoas, objetos pessoais e veículos devam ser revistados,
assim como a forma de se fazer a revista.
7. Medidas para prevenir o acesso não autorizado a instalações portuárias,
a navios atracados nessas instalações e a áreas de acesso restrito das
Essas medidas devem compreender: as medidas desenvolvidas para
assegurar a proteção efetiva da carga e dos equipamentos de manuseio de
carga na instalação portuária; as medidas de proteção para o manuseio de
cargas, entrega das provisões aos navios, manuseio de bagagens
desacompanhadas, e monitoramento da proteção da instalação; os
procedimentos para manter e atualizar registros de mercadorias perigosas e
substâncias nocivas e sua localização nas instalações portuárias.
8. Os procedimentos ou proteção necessários para manter
permanentemente as comunicações contínuas.
9. Medidas para assegurar a proteção das informações contidas no plano,
bem como os procedimentos e práticas para proteger informações sensíveis
de proteção mantidas em papel ou em formato eletrônico.
10. Procedimentos para responder a ameaças de proteção e a violações da
proteção, incluindo disposições relativas à manutenção de operações críticas
da instalação portuária ou da interface navio/porto.
Esses procedimentos devem incluir: os meios para alertar e obter os
serviços de patrulhas e de equipes de especialistas em busca, incluindo busca
de bombas e buscas debaixo da água; os procedimentos para responder caso
o sistema de alarme de proteção de um navio localizado na instalação
portuária tenha sido ativado; os procedimentos para evacuação, no caso de
ameaças de proteção ou de violações da proteção, e os procedimentos para
reportar incidentes de proteção.
11. Procedimentos destinados à interface com atividades de proteção do
navio e para assistir os oficiais de proteção do navio, facilitar a concessão de
licença para o pessoal de bordo ou facilitar mudanças de pessoal, e acesso ao
navio.
12. Procedimentos para a revisão periódica e atualização do plano.
73
Esses procedimentos devem incluir: os procedimentos para avaliar a
eficácia contínua das medidas, procedimentos e equipamentos de proteção,
incluindo a identificação e resolução de falhas ou mau funcionamento de
equipamentos; os procedimentos para permitir a submissão e avaliação de
relatórios relativos a possíveis violações de proteção ou preocupações com a
proteção; os procedimentos para auditar o plano de proteção das instalações
portuárias.
Além dessas medidas e procedimentos, o ISPS Code estabelece que o
plano deve especificar medidas para cada nível de proteção (1,2 e 3), de forma
a cobrir o acesso às instalações portuárias e o acesso restrito dentro dessas
instalações, o manuseio de cargas, as entregas das provisões do navio, o
manuseio de bagagens desacompanhadas e o monitoramento da proteção
das instalações portuárias.
Um detalhe especial acompanha essa auditoria: é o fato de o auditor,
nessa fase, não se preocupar se a medida proposta atende ou não à sua
finalidade de proteção, pois ele estará apenas verificando se o conteúdo do
plano foi elaborado com base nos requisitos do ISPS Code. A verificação da
funcionalidade dessas medidas é outra etapa da auditoria, na qual ele
examinará se as medidas constantes do plano foram implementadas
conforme estabelecidas e se são eficazes. Ratificamos, portanto, que nessa
fase o objetivo da auditoria é o de constatar a conformidade do conteúdo do
plano com os requisitos do ISPS Code e da CONPORTOS.
2.5.2 Exame dos requisitos da CONPORTOS
A Resolução 12/2003 da CONPORTOS23, em seu anexo I, estabelece as

diretrizes para a elaboração do plano de segurança pública portuária,
resolução essa que o auditor adotará como referência para verificar se o plano
de segurança foi elaborado de conformidade com essa resolução.
Dessa forma, apresentamos a seguir um roteiro para a verificação do auditor
com base em cada item da resolução.
23
Essa resolução aprovou o termo de referência para a elaboração dos planos de segurança
pública portuária dos portos e terminais marítimos brasileiros, aprovou o roteiro para a
elaboração e análise dos planos de segurança pública portuária, e aprovou a orientação para a
elaboração das normas de controle de acesso e circulação de pessoas e veículos.
74
Objetivo
Verificar se entre os objetivos do plano está o de: prevenir e reprimir
atos ilícitos nos portos, terminais e vias navegáveis.
Identificação
Da Instalação Portuária
Verificar se a instalação portuária está devidamente identificada pelo
nome e razão social da instalação; endereço completo; número dos registros
legais; telefone; fax; endereço eletrônico e página na Internet (caso esteja
disponível); CNPJ; telefone e fax dos representantes legais e pessoas para
contato.
Da Organização de Segurança e dos Técnicos responsáveis pela elaboração
do PSPP.
Verificar se a identificação da organização de segurança e de seus
técnicos responsáveis pela elaboração do plano foi feita pelo nome e ou razão
social; endereço completo; número dos registros legais; telefone; fax;
endereço eletrônico; CNPJ/CPF telefone e fax dos representantes legais e
pessoas para contato.
Metodologia
Verificar se a metodologia utilizada em cada etapa do trabalho está
indicada no plano.
Verificar se os procedimentos e as ações propostas no plano estão
justificadas e esquematizadas, de acordo com as categorias definidas na
avaliação de proteção e com os níveis de riscos e vulnerabilidade de cada
cenário, ou seja, se esses procedimentos e medidas estejam fundamentados
na avaliação de riscos.
Verificar se a probabilidade de ocorrência dessas ameaças, e outras
que porventura estejam relacionadas nos cenários das avaliações de riscos,
foram analisadas e avaliadas pelas estimativas e consequências.
Verificar se todas as áreas e instalações foram codificadas de acordo
com a categoria de risco.
Verificar se consta a apreciação e a identificação dos níveis de riscos
de segurança (baixo, médio e alto), de conformidade com o estudo de
avaliação de riscos.
75
Verificar o cronograma de implantação do plano e a data prevista para
a auditoria da certificação inicial.
Verificar se foram fornecidas informações sobre dados técnicos,
operacionais e administrativos, dos portos, terminais e vias navegáveis, para a
elaboração do plano.
Caracterização da instalação portuária

Verificar se a instalação portuária está caracterizada pela descrição
completa das características físicas, operacionais e de infraestrutura das
instalações portuárias, as áreas terrestres e aquaviárias, incluindo suas
cercanias, munidas das respectivas plantas, mapas ou croquis, em escala
apropriada.
Órgãos envolvidos e competências

Verificar se constam as descrições das competências dos órgãos
públicos, de acordo com o que está disposto no Plano Nacional de Segurança
Pública Portuária.24
Nesse item, o auditor deverá observar as competências desses órgãos
no plano nacional, e confrontá-las com o plano específico em exame.
Fatores a serem considerados

A Resolução CONPORTOS 12/2003 estabelece que:
Na elaboração do Plano de Segurança Pública Portuária -

PSPP, o setor portuário deve ser considerado como um
conjunto harmônico de instalações físicas e de sistemas
gerenciais e de logística, composto pela oferta de toda
uma infraestrutura portuária e pela aplicação dos recursos
operacionais e humanos, agregados à Inteligência e à
disponibilidade de instalações e equipamentos portuários
para a realização e desenvolvimento das atividades de
transporte.
24
Esse plano foi aprovado pela Resolução 02/2002 da CONPORTOS, publicada no Diário Oficial
da União, nº 241, de 13 de dezembro de 2002.
76
Nesse sentido, verifica-se a necessidade de se manter um sistema de
proteção de instalações portuárias que funcione em sintonia com o setor
portuário, e que a ocorrência de incidentes de proteção poderá vir a quebrar a
harmonia de todo o sistema portuário, podendo trazer consequências de
difícil reparação em tempo hábil para a normalidade das atividades portuárias.
Tudo isso reforça ainda mais a necessidade da realização de auditorias
minuciosas (realizadas com critérios e por pessoal especializado), que não se
limitem apenas a verificar se tais itens observados atendem, ou não, às
conformidades estabelecidas nas normas, mas ensejam uma verificação mais
completa, que envolva todo o sistema de proteção.
Diante disso o auditor deverá:25
Verificar as determinações dos organismos nacionais e internacionais
quanto a pressupostas ameaças à segurança e danos às pessoas, às
embarcações e à infraestrutura dos portos ou terminais, observando as
peculiaridades de cada porto ou terminal, levando em consideração a situação
geográfica, o tipo de instalação e o produto com os quais se trabalha.
Verificar se, na elaboração das medidas mitigadoras, foram
considerados os aspectos apontados nas avaliações de riscos, aprovadas pela
CONPORTOS.
Dentre as ameaças que devem ser levadas em consideração para a
elaboração do plano de proteção das instalações portuárias, o ISPS Code
relaciona nove ameaças que devem ser incluídas. O auditor deverá verificar se
elas foram consideradas na elaboração do plano. São:
1. Danos às instalações portuárias e aos navios ou destruição dos mesmos,
por exemplo, por meio de explosivos, incêndio criminoso, sabotagem ou
vandalismo;
2. Sequestro ou captura do navio ou de pessoas a bordo;
3. Adulteração de cargas, sistemas ou equipamentos essenciais do navio ou
de provisões do navio;
4. Acesso ou uso não autorizado, incluindo a presença de clandestinos;
5. Tráfico de armas ou equipamentos, incluindo armas de destruição em
massa;
25
Conforme está previsto na Resolução 12/2003.
77
6. Uso do navio no transporte de pessoas que pretendem causar um
incidente de proteção e seus equipamentos;
7. Uso do navio em si como uma arma ou como um meio de causar danos
ou destruição;
8. Bloqueio de entradas dos portos, comportas, aproximações, etc.
9. Ataque nuclear, biológico e químico.
Verificar se as relações do porto e/ou do terminal com as autoridades
locais ou nacionais com responsabilidades relativas à segurança pública foram
consideradas.
Essas relações representam a forma integrada como agem diversas
instituições na prevenção e resposta às possíveis ameaças e a incidentes de
segurança na área portuária.
Verificar se o plano de desenvolvimento e zoneamento do
porto/terminal, bem como suas alterações em estudo foram consideradas
para a elaboração do plano de segurança.
Essa verificação pode detectar possíveis áreas de conflito com
movimentos sociais, ambientalistas e trabalhadores portuários, as quais
demandem medidas de contenção e emergência para o porto/terminal,
devendo elas ser relatadas nos papéis de trabalho do auditor.
Verificar se na elaboração do plano foram consideradas as medidas de
segurança existentes nas instalações portuárias, as atribuições e relações
existentes entre as autoridades intervenientes, bem como os sistemas
existentes de comunicação, as flexibilidade para a adequação às normas do
poder público, em razão dos ajustes que se farão necessários em face dos
Planos de Segurança nos Navios, dentre outras, e as leis, normas legais e
infralegais.
Áreas de atuação
As áreas de atuação previstas na Resolução 12/2003 são 3: terrestres,
aquaviárias e áreas de interesse, que são aquelas fora do porto organizado ou
terminal, que sejam destinadas a embarcações ou veículos que eventualmente
atendam às demandas dos navios ou apóiem as tarefas portuárias.
A citada Resolução diz textualmente:
78
Terrestres: compreendendo as vias de acessos rodoviários,
ferroviários e cercanias; locais de pouso e decolagem;
pontos de acesso de pessoas, de veículos e de cargas;
infraestrutura, edificações, terrenos, silos e armazéns;
docas, cais, piers, pontes de atracação e de acostagem;
vias de circulação interna; áreas de embarque e
desembarque de passageiros, de abastecimento e de
suprimento; bem como todo o aparelhamento de que o
porto ou terminal dispõe para atender as necessidades do
respectivo tráfego e a reparação e conservação das
próprias instalações que devem ser mantidas pela
Administração do porto ou terminal.
Aquaviárias: compreendendo as áreas de fundeio,
atracação, quarentena; guias-correntes, quebra-mares,
eclusas, canais de acesso e bacias de evolução,
infraestrutura e cercanias, conforme indicados em carta
náutica ou divulgados pela Administração Portuária.
Dessa forma o auditor deverá verificar se as áreas de atuação foram

contempladas na elaboração do plano.
Análise situacional
Verificar se consta do plano uma análise situacional, em termos de
segurança, que esteja de acordo com as regulamentações nacionais e
internacionais existentes, referentes ao setor portuário em geral, inclusive, no
que diz respeito às instalações portuárias de cada porto organizado e de
terminais de uso privativo localizado fora do porto organizado e de áreas
adjacentes.
Deve fazer parte do panorama a apresentação dos antecedentes e da
situação atual, enumerando-se as ocorrências de incidentes de segurança em
navios e instalações, os cenários internacional, nacional e local, bem como a
regulamentação aplicável.
79
Procedimentos operacionais
Este item da Resolução 12/2003 estabelece o conteúdo básico para um
plano de segurança pública portuária, e com fundamento nele, o auditor
deverá:
Verificar se a estrutura organizacional e regimental da Unidade de
Segurança (US) da instalação portuária foi definida, como também as
atribuições de seus elementos organizacionais.
Atenção deve ser dispensada na verificação do regimento interno da
Unidade de segurança, com os deveres e responsabilidades de seu pessoal, se
foram estabelecidos parâmetros de desempenho para avaliar a eficácia
coletiva e individual, bem como os procedimentos operacionais da unidade.
Verificar se constam no plano os deveres e responsabilidades dos
proprietários, dirigentes e demais funcionários, relativos à segurança e aos
procedimentos operacionais.
Verificar se foi definido um sistema de cadastramento que atenda ao
pessoal da US, aos proprietários, dirigentes, funcionários, a todas as pessoas
que eventualmente trabalhem, façam uso ou trafeguem nas instalações
portuárias.
Verificar se foram definidas as normas de acesso às instalações
portuárias.26
Verificar se foi definido um sistema de cadastramento de veículos,
embarcações e equipamentos que operem em apoio às atividades portuárias,
bem como das cargas em geral, mercadorias perigosas e substâncias nocivas
por eles movimentadas.
Verificar se foram definidas as normas de acesso de veículos,
embarcações, equipamentos, cargas, mercadorias perigosas e substâncias
nocivas às áreas de acesso público, controlado e restrito.
Verificar se foram definidos os procedimentos relativos a
movimentação, manuseio e armazenamento de cargas em geral, mercadorias
perigosas e substâncias nocivas, de forma a garantir a segurança pública
portuária.
Verificar se foram definidos os procedimentos para evitar o acesso
ilícito de armas, drogas e substâncias nocivas, artefatos explosivos e demais
26
Item específico abordará como auditar o controle de acesso.
80
mercadorias perigosas, assim como de outros objetos, produtos ou
substâncias que possam causar danos às instalações, bens e pessoas.
Verificar se foram definidos os procedimentos de acesso às
informações, de rotina e confidenciais, sobre movimentação de cargas;
equipamentos e pessoas envolvidas nos serviços da instalação; cronogramas
de trabalho e programação do porto; armazenagem de mercadorias perigosas
e substâncias nocivas; incidentes de segurança, pontos sensíveis e
vulnerabilidades.
Verificar se foram definidos os procedimentos para a proteção das
informações armazenadas em meio físico, eletrônico ou magnético.
Verificar se foram indicados os processos para a avaliação da eficácia
dos equipamentos/sistemas de segurança e os procedimentos para a
identificação e resolução de falhas.
Verificar se foram definidos os procedimentos relativos ao controle
das atividades voltadas para o apoio portuário e o auxílio à manobra das
embarcações, como também para o abastecimento e transporte de pessoal e
material para elas.
Verificar se foi indicada a sistemática de integração operacional da US
da instalação portuária com as autoridades públicas com elas envolvidas.
Verificar se foram indicados os sistemas de comunicação entre as
embarcações, as companhias de navegação, as US das instalações portuárias
e a autoridade de segurança pública portuária local.
Verificar se foram definidos os procedimentos de comunicação entre
as embarcações, as companhias de navegação, as US das instalações
portuárias e a autoridade de segurança pública portuária local, de tal forma
que permita a tais comunicações serem contínuas e eficazes.
Verificar se foram definidos os tipos de Sinais de Alarme (SA), os
procedimentos, os meios e os canais de difusão a serem adotados pelas US
das instalações em face do recebimento dos pedidos de apoio procedentes
das embarcações sob risco no porto e em razão de detecção de ameaças às
instalações.
Verificar se foram detalhadas as medidas adicionais de segurança que
permitirão às instalações portuárias elevar seu nível de segurança para 227 ou
27
O nível 2 é estabelecido pela Autoridade de Segurança Pública Portuária local.
81
328, e se estão indicadas as implicações que essas mudanças de nível podem
trazer para as atividades desenvolvidas na área da instalação portuária e suas
cercanias.
Verificar se foram definidos os procedimentos a serem adotados pelas
US e pelas embarcações para o controle das movimentações navio/terra de
tripulantes, profissionais não tripulantes e demais pessoas.
Verificar se foram definidos os procedimentos a ser cumpridos pela US
da instalação portuária e pelos navios, para o trâmite da Declaração do
Comandante29 do conhecimento das normas nacionais de Segurança Pública
Portuária.
Verificar se está estabelecida a forma de registro e encaminhamento
de ilícitos30 ocorridos na instalação, de acordo com a legislação específica.
Formação e treinamento
Verificar se consta no plano previsão a respeito de formação,
treinamento, simulações e exercícios a serem realizados periodicamente pelo
pessoal das US e pelo o pessoal da instalação portuária.
Auditorias e revisões
Verificar se consta no plano previsão de realização de auditorias e
revisões regulares internas do plano se segurança, como a forma de emendas
decorrentes de ocorrências ou mudanças nas circunstâncias, incluindo
exercícios simulados periódicos.
28
O nível 3 e os decorrentes procedimentos são estabelecidos pelo Gabinete de Segurança
Institucional da Presidência da República.
29
O Comandante de embarcação que efetua tráfego internacional deve declarar estar ciente
das normas nacionais de Segurança Pública Portuária a que se subordina; proceder ao registro,
no órgão policial competente, dos acontecimentos e atos ilícitos ocorridos contra a
embarcação, a carga ou as pessoas embarcadas; encaminhar à US da Instalação relatório
circunstanciado sobre atos ilícitos ocorridos contra a embarcação, a carga ou as pessoas
embarcadas, e, em caso de não-ocorrência de atos ilícitos, firmar declaração nesse sentido e
entregá-la à US respectiva, antes de deixar a instalação portuária brasileira.
30
Esse registro é feito no Relatório Estatístico de Ilícitos Penais (RIP), em atenção ao que está
disposto no Decreto nº 1.507/95. Se a instalação portuária for localizada na área do porto
organizado, esse relatório deverá ser encaminhado à US da administração portuária; caso
82
Anexos
Verificar se os anexos contêm normas, plantas, mapas e croquis
relacionados com os objetivos do plano.
2.5.3 Exame da funcionalidade do plano
A auditoria da funcionalidade (exame de conformidade) do plano de

segurança portuária deverá ser realizada com foco nas medidas de proteção
estabelecidas no plano. É o exame realizado sobre o plano, para verificar se os
controles foram implementados, se estão mantidos e executados de acordo
com o estabelecido, e se são eficazes31.
Esse tipo de exame não mais estará verificando se determinado
domínio está atendendo a requisitos normativos, pois a etapa que verifica
esse cumprimento foi a etapa do exame para a confecção do documento
denominado plano de segurança, conforme foi abordado nos itens anteriores.
Observe-se que há uma diferença tênue entre a auditoria do plano e a
auditoria realizada com base no plano. A primeira diz respeito à verificação da
conformidade com os requisitos do ISPS Code e das normas da CONPORTOS,
para a concepção, formatação, conteúdo e elaboração do plano; e a segunda
diz respeito ao exame e análise da implementação do plano, ou seja, verifica a
sua funcionalidade utilizando o plano como o documento-base para o exame
a fim de constatação de conformidade. Esta etapa da auditoria é conhecida
como exame de conformidade.
A etapa agora é a de auditar o plano, para certificar se as medidas nele
constantes são pertinentes ao cenário de proteção e à proteção propriamente
dita. É o exame com base no plano, no que foi nele especificado.
contrário, esse relatório será encaminhado diretamente à CESPORTOS.

31
Chamamos a atenção para a primeira auditoria realizada pela instalação portuária, pois
entendemos ser pertinente o exame cujo escopo seja todo o sistema de proteção, uma vez que
se objetiva obter ou manter a certificação internacional de proteção. Tal observação deve-se ao
fato de que nas auditorias de certificação, não se pode ter a garantia de que os domínios
escolhidos por amostragem numa auditoria interna patrocinada pela própria instalação sejam
os mesmos escolhidos pela equipe de auditores certificadores. Dessa forma, fazemos tal
observação para que as instalações portuárias examinem todo o seu sistema de proteção
quando da sua primeira auditoria interna.
83
Como sabemos, o objetivo maior de um plano de segurança portuária
é o de prevenir, detectar e responder a quaisquer eventos (intencionais ou
não) que atentem contra a proteção de portos, terminais e vias navegáveis.
Ele deve ser elaborado de conformidade com uma avaliação de proteção
efetuada baseada nos principais riscos que afetam as atividades portuárias,
principalmente os riscos relacionados com ações terroristas e ações
intencionais para a produção de danos. Como resultado dessa avaliação de
riscos, são elaboradas medidas de tratamento de riscos, para reduzi-los a
níveis aceitáveis e controláveis, afastando a possibilidade de eventos danosos
aos negócios e à segurança como um todo. Tudo isso tem como produto final
um plano de segurança.
Definir ações e implementá-las não significa que são pertinentes, nem
que atendem às demandas de segurança, nem que essas medidas
proporcionam segurança adequada para uma instalação portuária. Para que
exista uma garantia de equilíbrio entre as medidas implementadas e a sua
funcionalidade, faz-se necessária a realização dessas auditorias, que
especificamos como sendo para o exame da funcionalidade das medidas de
proteção.
Essa auditoria é realizada in loco, mediante um conjunto de atividades
que o auditor desempenhará para um exame detalhado das medidas de
proteção. As verificações devem seguir o roteiro do plano de proteção,
devendo o auditor examinar cada item e seus detalhes, para verificar se os
procedimentos de controle foram implementados e estão sendo executados
conforme estabelecidos, além de avaliar a sua eficácia32.
Os controles de um sistema de proteção portuária compreendem as
políticas, procedimentos, diretrizes, práticas e estrutura física e
organizacional. Cada controle é estabelecido com uma finalidade específica,
denominada de objetivo de controle.
Os objetivos de controle descrevem as metas que a instalação procura
alcançar naquele domínio, e geralmente já vêm especificados no plano ou na
32
O exame da eficácia dos controles pode ser considerado outra etapa da auditoria voltada
para verificar se não existem falhas nem vulnerabilidades no sistema de proteção, e se os
controles existentes atendem à sua finalidade. Entretanto, o mais comum é o de se realizar esse
exame juntamente com a verificação da conformidade com as medidas estabelecidas no plano.
84
norma, e antecedem os controles, que são estabelecidos para se alcançar o
objetivo de controle.
Por exemplo, para o controle de acesso de trabalhador portuário
avulso (TPA), o objetivo de controle estabelecido no plano é o de proibir o
acesso indevido e manter a ordem e a segurança no terminal. E para se atingir
esse objetivo, os controles propostos são:
 Só é permitida a entrada se constar de relação previamente remetida
ao Terminal, pelo órgão gestor de mão-de-obra do trabalho portuário
avulso (OGMO).
 Todos os TPA devem ser submetidos à revista e ao detector de metais,
para só após receberem a autorização de acesso e o cartão interno.
Na saída do Terminal, a revista é obrigatória.
 Todos devem ser responsáveis pela guarda e conservação do crachá.
Se algum TPA estiver sem o crachá, não lhe deve ser permitida a
passagem pelos postos de controle interno do Terminal. Nesse caso,
deve ser encaminhando ao supervisor de segurança para avaliar e
resolver o problema.
 É proibido o acesso de arma de fogo, mesmo para quem possua porte
de arma, e de qualquer tipo de arma branca.
As responsabilidades pela execução desses controles (procedimentos)

estão nos procedimentos próprios do posto de controle específico para o
acesso do TPA e nos procedimentos do supervisor de segurança. Os registros
deverão estar nos relatórios dos sistemas de controle de acesso e nos livros
de ocorrências e registros gerais.
Observe-se que para cada controle existe um objetivo para o qual ele
foi estabelecido, e junto com esse objetivo os controles específicos para
aquela atividade, os responsáveis pela sua execução e os registros gerados.
E tudo isso o auditor deverá examinar, pois o não-cumprimento de
determinado controle é uma não conformidade, e poderá, segundo o
exemplo acima, comprometer a operação de manuseio da embarcação e
provocar um evento de segurança que comprometerá a continuidade das
operações do terminal e das instalações vizinhas.
No exemplo acima, o auditor deveria, no mínimo, verificar: se os
responsáveis pelos controles acompanham as operações e se conhecem os
85
procedimentos; se os procedimentos estão dispostos, afixados e visíveis no
local de trabalho (disponível numa pasta, afixado na guarita, aposto numa
folha de controle, etc.); se cada procedimento estabelecido é aplicado para
cada trabalhador avulso, e, em caso negativo, a forma de registro; se os
procedimentos são seguidos item por item, e cada documento gerado.
Tal auditoria caracteriza-se pela constatação da efetividade dos
controles internos, por meio de vários procedimentos de auditoria, como, por
exemplo, a observação das atividades, a aplicação de teste de conformidade,
a aplicação de entrevistas e questionários, a verificação e o exame das
medidas físicas de proteção, dentre outras. Essa constatação de
conformidade será atestada pelo auditor no seu relatório, com base nas
evidências físicas, documental e testemunhal, nas análises dos testes e por
confirmação de terceiros.
O exame físico deve ser realizado no local da atividade, ou no setor
responsável pelo controle, sobre toda e qualquer documentação que se
referir ao controle, em todos os equipamentos utilizados para dar suporte ao
controle, nas barreiras físicas e nos livros de registros específicos de
segurança.
A confirmação deve ser feita nas autorizações de acesso de pessoal,
veículos, prestadores de serviço e visitantes, após conferência física ou lógica
dessas autorizações.
A observação das atividades do setor auditado e as entrevistas devem
ser realizadas diretamente pelos executores das medidas de proteção,
inclusive indagando sobre possíveis situações não-convencionais de tentativa
de acesso não autorizado.
Os testes de conformidade dos procedimentos implementados devem
ser realizados sobre a execução das atividades de modo a atestar a
confiabilidade e a segurança dos controles. Toda vez que uma não
conformidade for encontrada, ou apareçam dúvidas quanto à eficácia do
controle em análise, deve ser realizada uma investigação minuciosa sobre os
controles.
A escolha da amostragem deve priorizar as não conformidades
encontradas em auditorias anteriores e nas atividades onde existam maiores
riscos contra a segurança da instalação portuária. Na primeira auditoria a ser
realizada, é importante que as verificações sejam realizadas sobre todos os
86
controles, principalmente nas instalações de médio e pequeno porte, e
naquelas que manuseiam produtos de risco.
Essa amostragem poderá ser escolhida por critério estatístico ou
aleatoriamente; contudo, é imprescindível que os critérios de amostragem
sejam estabelecidos e justificados, devendo sempre ser considerados os
registros nos livros de ocorrência, bem como as informações coletadas nas
entrevistas com os operadores do sistema de proteção, e os controles sobre
os riscos.
A extensão do exame do auditor dependerá das conformidades
encontradas, da observação do auditor sobre as atividades executadas e da
criticidade da operação para o negócio da instalação portuária.
O sucesso dessa auditoria encontra-se não só no emprego dos
procedimentos, técnicas de auditoria, identificação dos objetivos de controle
e controles, mas também no conhecimento do sistema de proteção da
instalação portuária e da sua avaliação de riscos, no conhecimento das
atividades da instalação portuária e na compreensão do contexto de proteção
do ambiente portuário.
Ao se avaliar um controle como ineficaz não significa dizer que existe
uma não conformidade, pois os procedimentos poderão estar sendo
executados em conformidade com o plano e não serem eficazes. Para se
registrar uma não conformidade faz-se necessário que o controle não esteja
implementado, ou implementado em parte, ou não executado conforme
estabelecido, por exemplo.
Este tipo de exame (avaliação da eficácia) não é comum de ser
realizado pelos auditores certificadores, que na prática, realizam a auditoria
com foco no exame dos requisitos e no exame de conformidade. Esta etapa é
mais comum de se realizar pelas auditorias internas. Entretanto, nada impede
que a organização certificadora estabeleça critérios mínimos de se aferir a
eficácia dos controles implementados. Esse exame é característico das
auditorias do ISPS Code.
Contudo, quando de um exame de conformidade, um auditor
certificador poderá se defrontar com uma vulnerabilidade de um controle ou
com um controle ineficaz, mesmo não sendo uma não conformidade.
Contudo, nas inspeções de organismos fiscalizadores, como a CONPORTOS e
CESPORTOS, tais controles poderão ser avaliados quanto a sua eficácia.
87
2.6 Auditoria do controle de acesso
O controle de acesso é o processo que limita e controla o acesso, e é

por meio dele que se permite ou se proíbe que pessoas e veículos tenham
acesso a determinado local. Esse controle pode ser físico ou lógico.
Os controles de acesso podem ser de diversos tipos e variam de
acordo com o tipo e o tamanho da organização, da disponibilidade de
recursos e da decisão tomada para o controle de acesso.
Os tipos de controle de acesso mais comuns são os não

automáticos (porteiros e recepcionistas), semiautomáticos
(interfones, porteiros eletrônicos e porteiros eletrônicos
supervisionados), automáticos (teclados, cartões, tarja
magnética, magnéticos de proximidade, óticos,
perfurados, leitura de barras), detecção de intrusão e
monitoração de alarme (sensores33 que detectam a
presença de um intruso, sistema que transmite um sinal de
alarme, e equipamento e método usados para controlar e
monitorar o sistema) (DANTAS, 2003, p. 94).
Suas principais aplicações são: controle de acesso em departamentos;

controle de acesso em portarias e recepções; controle de veículos; automação
de ponto e automação predial (CIACCIO, 2005, p.10).
De forma geral, o controle de acesso constitui uma importante
barreira contra os eventos que possam vir a atentar contra a segurança de
instalações, pessoas, equipamentos e sistemas. Normalmente é realizado na
entrada do local de trabalho, numa área, numa sala ou dependência qualquer
e baseia-se na identificação e na autorização para o acesso.
Os objetivos do controle de acesso em instalações portuárias são
assegurar o acesso autorizado, bem como prevenir e evitar o acesso não
autorizado e danos à instalação portuária. Além disso, um bom sistema de
controle de acesso gerencia o fluxo de pessoas e veículos dentro de uma
determinada área.
33
Existem ainda vários tipos de sensores: infravermelhos, microondas, ultrassons,
deslocamento de imagens, fotoelétrico, de proximidade, sísmico, choque e/ou combinação dos
mesmos.
88
Na área portuária, o controle de acesso é realizado em diversas
etapas, iniciando-se já no acesso à área portuária de livre acesso (acesso
público), passando pelas áreas de acesso controlado e indo até às áreas
restritas dentro das instalações. Esse controle é executado pela segurança
portuária (vigilantes ou guardas portuários) e por pessoal envolvido com
procedimentos de controle de acesso, como porteiros e secretárias.
Auditar um sistema de controle de acesso implica verificar 3 aspectos:
as diretrizes, as normas e os procedimentos.
As diretrizes são as regras gerais nas quais são descritos os principais
critérios e procedimentos para a elaboração das normas de controle. Elas
podem ser estabelecidas pela própria organização nas políticas e nos plano de
segurança, ou podem ser estabelecidas por códigos de conduta, de
segurança, ou ainda pelas normas de regulamentação de atividades, setores,
etc. Essas diretrizes constituem os documentos-base para o exame do auditor
sobre as normas e procedimentos de controle de acesso.
As normas compreendem um conjunto de regras gerais e específicas
que devem ser usadas para o controle de acesso de todos os envolvidos no
sistema. Como referência são as normas de controle de acesso a um
complexo portuário34, a uma instalação portuária, etc.
A auditoria dessas regras deve ser pautada pelos requisitos e diretrizes
do ISPS Code e da Resolução CONPORTOS 12/2003, e pelos documentos da
política de controle de acesso da instalação portuária.
Os procedimentos são as orientações operacionais do controle de
acesso, que são empregados pelos postos de controle de acesso público,
controlado, restrito, e por setores envolvidos no sistema de controle de
acesso. A auditoria de procedimentos é a operacional, a qual verificará os
procedimentos de controle implementados e mantidos, para constatar a sua
conformidade e avaliar a sua eficácia.
Para o sucesso dessa auditoria, faz-se necessário que o auditor tenha a
compreensão do que seja um sistema de controle de acesso e a sua
34
Na área portuária, poderão ser encontradas normas de controle de acesso a um complexo
portuário e normas específicas para cada instalação portuária do complexo, principalmente
aquelas que estejam nas áreas de acesso controlado e restrito.
89
complexidade, para que, ao realizar a auditoria verifique o sistema nesses três
aspectos35, fazendo a interligação entre eles.
Essa atitude do auditor contribuirá para a melhoria do sistema de
proteção como um todo, principalmente se considerarmos que o controle de
acesso é a principal barreira de proteção, uma vez que a maior parte das
ameaças passa por uma vulnerabilidade no sistema de controle de acesso.
Para a execução da auditoria do controle de acesso nas instalações
portuárias, seguiremos a mesma filosofia empregada para a auditoria sobre o
plano de segurança portuária. Dessa forma, a auditoria se efetuará sobre dois
aspectos: um para a constatação dos requisitos e diretrizes na elaboração das
normas e procedimentos de controle de acesso; e outro para o exame
operacional dessas medidas.
2.6.1 Exame dos requisitos do ISPS Code
O exame das normas de controle de acesso deverá atentar para o

conteúdo dessas normas, verificando se atendem aos requisitos e às diretrizes
estabelecidas. Os principais documentos-base para esse exame são o ISPS
Code e a Resolução CONPORTOS 12/200336. O ISPS Code (partes A e B)
apresenta uma série de requisitos e diretrizes para o controle de acesso, e a
Resolução 12/2003 orienta como devem ser elaboradas as normas de controle.
Essas normas de controle de acesso deverão discriminar: qual o seu
propósito, como e por quem será executado o controle de acesso; quais os
postos responsáveis pelo acesso; o que deverá ser feito para o cumprimento
da norma; as penalidades; as disposições transitórias, e as disposições finais.
Os requisitos do ISPS Code, de modo geral, estabelecem uma
orientação para que as medidas de controle de acesso sejam estabelecidas
para proteger os passageiros, o pessoal do navio, o pessoal das instalações
portuárias e suas visitas; as instalações portuárias; os navios que utilizam e
35
A auditoria sobre as diretrizes, as normas e os procedimentos pode ser também
compreendida como auditoria do nível estratégico, tático e operacional. O estratégico
abrangeria as diretrizes, requisitos e planos. O tático envolveria o exame das normas e
procedimentos, na sua elaboração e conteúdo. O operacional teria com foco o desempenho
das atividades de controle.
36
Caso a instalação possua algum documento aprovado da política de segurança, essa
verificação também deverá abranger esse documento.
90
servem as instalações portuárias; os locais vulneráveis com relação à proteção
e as áreas dentro das instalações portuárias; os sistemas e equipamentos de
proteção e vigilância; as cargas e as provisões do navio contra adulterações.
De forma específica, o ISPS Code estabelece que as medidas de
proteção para o manuseio de cargas devem relacionar-se com a prevenção
contra a adulteração e a permanência indevida na instalação portuária; as
medidas de proteção para a entrega de provisões aos navios devem assegurar
a verificação das provisões do navio e da integridade das embalagens,
prevenir para que as provisões do navio sejam aceitas sem nenhuma inspeção,
prevenir a adulteração, prevenir para que as provisões do navio sejam aceitas
a menos que tenham sido encomendadas, garantir a revista do veículo
utilizado para a entrega e garantir que os veículos utilizados para a entrega
sejam escoltados dentro das instalações portuárias; as medidas de proteção
de bagagens desacompanhadas devem garantir a sua identificação e
verificação apropriada. Essas medidas devem ser elaboradas por nível de
proteção.
Dessa forma, em atendimento aos requisitos específicos do ISPS Code,
apresentamos um pequeno roteiro para que o auditor possa efetuar o exame
dos requisitos e diretrizes do controle de acesso, por nível de proteção.
Nível de proteção 1
O auditor deverá verificar se constam:
 A determinação de áreas de acesso restrito que precisam ser fechadas por
cercas ou outras barreiras, de acordo com um padrão a ser aprovado pelo
governo contratante.
 A identificação de todas as pessoas que queiram entrar nas instalações
portuárias em conexão com um navio, incluindo passageiros, pessoal do navio
e visitas, e a confirmação de seus motivos para tal.
 A identificação de veículos utilizados por aqueles que queiram entrar nas
instalações portuárias em conexão com um navio.
 A identificação do pessoal das instalações portuárias e daqueles
empregados dentro das instalações portuárias e seus veículos.
91
 A restrição de acesso a fim de excluir o acesso a pessoas não-empregadas
pelas instalações portuárias, ou que não estejam trabalhando nas mesmas,
caso não forneçam provas de sua identidade.
 As revistas de pessoas, objetos pessoais, veículos e seus conteúdos.
 A identificação de quaisquer pontos de acesso que não sejam usados
regularmente, os quais devem ser permanentemente fechados e trancados.
 A verificação rotineira de cargas, unidades de transporte de cargas e áreas
de armazenamento de cargas dentro das instalações portuárias, antes e
durante as operações de manuseio.
 A verificação para assegurar que as cargas que entram nas instalações
portuárias estão de acordo com o que está especificado nas notas de entrega
ou em documentos equivalentes da carga.
 As revistas de veículos e as verificações de lacres e de outros métodos
utilizados para impedir violações realizadas na entrada da carga nas
instalações portuárias e no seu armazenamento dentro das mesmas.
 As medidas para a entrega de provisões aos navios com a verificação das
provisões do navio, a notificação antecipada em relação à composição da
carga e informações sobre o motorista e a placa do veículo, bem como a
revista do veículo utilizado para a entrega.
 As medidas para a verificação de todas as bagagens desacompanhadas.
 A designação de pessoal extra para vigiar pontos de acesso e patrulhar
barreiras em perímetros.
 A limitação do número de pontos de acesso às instalações portuárias e a
identificação daqueles que devem ser fechados e os meios para fechá-los.
 A provisão de meios que impeçam o movimento através dos pontos de
acesso restantes.
 O aumento da frequência de revistas de pessoas, objetos pessoais e
veículos.
 A limitação e a recusa de visitas que não possam apresentar um motivo
verificável para ter acesso às instalações portuárias.
 A utilização de embarcações de patrulha para reforçar a proteção na água.
92
 A verificação minuciosa das cargas, unidades de transporte de cargas e das
áreas de armazenamento de cargas dentro das instalações portuárias.
 As verificações reforçadas para assegurar que somente cargas
documentadas entrem nas instalações portuárias, sejam ali temporariamente
armazenadas, e posteriormente carregadas para bordo do navio.
 As revistas intensificadas de veículos e o aumento na frequência e detalhes
das verificações de lacres e de outros métodos usados para a prevenção de
adulterações;
 A verificação minuciosa das provisões do navio.
 As revistas minuciosas dos veículos utilizados para a entrega e a
coordenação com o pessoal do navio para verificar se o pedido está de acordo
com a nota de entrega antes de o veículo entrar nas instalações portuárias.
 A escolta do veículo de entrega dentro das instalações portuárias.
 As medidas para verificações mediante o uso de raio-X em todas as
bagagens desacompanhadas.
 A suspensão do acesso a todas as instalações portuárias ou a parte das
mesmas; a concessão de acesso somente àqueles que estiverem respondendo
a um incidente ou à ameaça de proteção.
 A suspensão do tráfego de pedestres ou de veículos dentro das instalações
portuárias ou em parte das mesmas;
 O aumento das patrulhas de proteção dentro das instalações portuárias.
 A suspensão das operações do porto em todas as instalações portuárias ou
em parte das mesmas.
 O direcionamento do tráfego de navios em relação a todas as instalações
portuárias ou a parte das mesmas.
 A evacuação de todas as instalações portuárias ou de parte das mesmas.
 As restrição ou a suspensão de movimentação ou operações de cargas
dentro de todas as instalações portuárias, ou de parte delas, ou em
determinados navios.
 A verificação do inventário de mercadorias perigosas e de substâncias
nocivas mantidas nas instalações portuárias e a sua localização.
93
 A imposição de restrições ou a suspensão da entrega das provisões do
navio em todas as instalações portuárias ou em parte delas.
 O exame mais detalhado das bagagens desacompanhadas, a suspensão do
seu manuseio, e a recusa em aceitá-las.
2.6.2 Exame dos requisitos da CONPORTOS
A Resolução 12/2003 da CONPORTOS, em seu anexo III, orienta sobre

como devem ser elaboradas as normas de controle de acesso e circulação de
veículos e de pessoas, nas áreas de acesso público37, controlado38 ou
restrito39.
Nesse anexo III, são estabelecidas orientações para o
controle de acesso de: pessoas (cadastramento, controle de acesso e de
trânsito); veículos (cadastramento, controle de acesso, de trânsito e
estacionamento); aeronaves (controle de acesso), e trens (controle de
acesso).
Dessa forma, apresentamos, abaixo, os principais pontos a
serem verificados pelo auditor com base nessas diretrizes, na auditoria do
controle de acesso.40
37
São aquelas consideradas de interesse no Plano de Segurança Pública Portuária (PSPP), onde
o acesso de pessoas ou de veículos se dá sem restrições, sem necessidade de registro ou
cadastramento, porém vigiadas ou monitoradas.
38
São aquelas consideradas de interesse no PSPP, onde o acesso de pessoas ou veículos se dá
sem restrições, com necessidade de registro ou cadastramento. Normalmente esse acesso é a
área do porto organizado.
39
São aquelas consideradas de interesse no PSPP, onde o acesso é restrito, exclusivamente, a
pessoas e veículos autorizados. Normalmente, esse acesso é à zona primária.
40
Lembramos que essa auditoria deve examinar se as normas de controle de acesso foram
elaboradas com base nesses requisitos, e também examinar se estão implementadas e se
atendem à finalidade para qual foram estabelecidas. Por opção, apenas apresentamos um
roteiro dos principais pontos a serem examinados com base nessa resolução. O auditor não
deverá limitar-se a esse roteiro. Ele deverá ampliar o seu exame para a auditoria operacional do
controle de acesso, cujos procedimentos deverão, no mínimo, seguir a mesma linha dos
exames do plano de segurança portuária.
94
Pessoas
Cadastramento
 Os critérios para a habilitação de pessoas ao cadastramento, e quais os
dados a serem exigidos.
 A sistemática de obtenção do cadastramento, com os procedimentos
adotados na solicitação, renovação e cancelamento, incluindo a validade da
autorização de acesso.
 A sistemática de identificação do cadastrado para as áreas de acesso
restrito, controlado ou público da instalação portuária.
 A sistemática de divulgação, para os cadastrados e para o público interno,
dos procedimentos para o cadastramento.
Acesso e Trânsito de Pessoas

 Os critérios adotados para o acesso e trânsito de pessoas na instalação
portuária.
 A sistemática de controle de acesso e trânsito, com a estrutura
organizacional, atribuições e responsabilidades, bem como os tipos de
procedimentos adotados para a identificação, inspeção, vistoria e registro de
pessoas.
 As bagagens transportadas; as restrições impostas pela legislação em
vigor. As movimentações navio-terra, de tripulantes, profissionais não
tripulantes e demais pessoas, deverão ser consideradas na verificação desse
item pelo auditor.
 A sistemática de avaliação da eficácia dos equipamentos/sistemas de
controle de acesso, com os procedimentos para a identificação e a resolução
de falhas nos equipamentos/sistemas.
 A sistemática de divulgação dos procedimentos de controle para as
pessoas que tenham acesso à instalação portuária; público interno de
interesse da administração, e para os representantes de empresas e órgãos
públicos que têm necessidade de ter acesso a ela.
 A sistemática de registro e o arquivamento dos dados e informações
colhidas sobre as pessoas, por ocasião do acesso e saída da instalação
portuária.
95
 A sistemática de troca de informações com os diversos órgãos públicos
envolvidos.
Veículos
Cadastramento
 Os critérios para a habilitação ao cadastramento de veículo e respectivo
condutor, com os dados a serem exigidos.
 A sistemática de obtenção do cadastramento, com os procedimentos
para a solicitação, renovação, cancelamento e sua validade.
 A sistemática de identificação para o acesso a cada área da instalação
portuária (de acesso restrito, controlado ou público).
 A sistemática de divulgação dos procedimentos a serem adotados pelos
condutores dos veículos para o acesso e circulação na instalação portuária,
para os cadastrados e para o público interno.
Acesso e trânsito de veículos

 Os critérios para o acesso e trânsito de veículos na instalação portuária.
 A sistemática de controle de acesso e trânsito, com a estrutura
organizacional, atribuições e responsabilidades; os tipos de procedimentos
para a identificação, vistoria e registro dos veículos que têm acesso às
instalações, com suas respectivas cargas e pessoas que estejam no interior do
veículo.
 A sistemática de avaliação da eficácia dos equipamentos/sistemas de
controle de acesso, com os procedimentos para a identificação e a resolução
de falhas nos equipamentos/sistemas.
 A sistemática de divulgação dos procedimentos de controle de acesso e de
trânsito para os condutores dos veículos que têm acesso à instalação
portuária; para o público interno e para as empresas e demais pessoas físicas
e jurídicas envolvidas com o acesso de veículos à instalação portuária.
 A sistemática de registro e o arquivamento dos dados e informações
colhidas do sistema de controle de acesso.
 A sistemática de troca de informações com os diversos órgãos públicos
envolvidos.
96
Estacionamento de Veículos
 Os critérios para o estacionamento de veículos na área da instalação
portuária.
 As áreas destinadas ao estacionamento de veículos e suas restrições de
uso; o critério para a utilização; a sinalização; sua utilização e período de
permanência.
 A sistemática de fiscalização do uso das áreas de estacionamento.
 A sistemática de divulgação das normas de utilização das áreas
destinadas ao estacionamento de veículos.
Aeronaves
 Sistemática de controle de movimentações por aeronave de pessoal e
material na instalação portuária.
 Sistemática de troca de informações entre o setor de controle de
operações de aeronaves e a Unidade de Segurança (US) da instalação
portuária.
 Sistemática de registro e arquivamento de dados e informações sobre as
movimentações por aeronaves de pessoal e material.
Trens
 Sistemática de controle das movimentações de trens, ocorridas na
 Sistemática de troca de informações entre o setor de controle de
operações ferroviárias com a US da instalação portuária.
 Sistemática de registro e arquivamento de dados e informações colhidos
sobre as movimentações de trens.
2.6.3 Exame operacional do controle de acesso
Como já foi visto, a auditoria operacional ou da funcionalidade

caracteriza-se pela constatação da efetividade dos controles internos,
mediante vários procedimentos de auditoria. Os procedimentos básicos são
os mesmos para se constatar a efetividade do plano de segurança, como, por
exemplo, a observação das atividades, a aplicação de teste de conformidade,
97
a aplicação de entrevistas e questionários, a verificação e exame das medidas
físicas de proteção, dentre outros.
O exame físico deve ser realizado no local da atividade, sobre toda e
qualquer documentação que se referir ao controle, em todos os
equipamentos utilizados para dar suporte ao controle, nas barreiras físicas,
bem como nos livros de registros específicos e papéis de trabalho utilizados
pelo pessoal envolvido diretamente nos controles de acesso.
A confirmação deve ser feita nas conferências das autorizações para o
acesso de pessoal, veículos, prestadores de serviço e visitantes.
A observação das atividades e as entrevistas devem ser feitas
diretamente com os executores das medidas de proteção, inclusive indagando
lhes a respeito de possíveis situações não convencionais de tentativa de
acesso não autorizado.
Os testes de conformidade devem ser realizados sobre a execução das
atividades para atestar a confiabilidade e a segurança dos controles. Toda vez
que uma não conformidade for encontrada, ou apareçam dúvidas quanto à
eficácia do controle em análise, deve ser realizada uma investigação mais
detalhada sobre os controles em foco.
A escolha da amostragem deve priorizar as não conformidades
encontradas em auditorias anteriores e nas atividades onde existam maiores
riscos contra a segurança da instalação portuária.
Abaixo, vamos exemplificar alguns procedimentos de controle de
acesso à zona primária de um porto qualquer.
Acesso de pessoas à Zona Primária

O acesso de pessoas só será permitido com uma
autorização registrada na central de operações.
Caso não conste o nome da pessoa na relação de pessoas
autorizadas, deve-se orientá-la para aguardar a autorização
e, se estiver com veículo, estacionar o mesmo de forma a
não prejudicar o acesso de outros veículos enquanto
aguarda.
Funcionários
Exigir do funcionário a identificação funcional ou a
apresentação do crachá, que deverá ficar exposto e
permanecer com ele.
98
No caso de o funcionário não constar no cadastro, ou tiver
esquecido ou extraviado a sua identificação ou o crachá, o
acesso lhe será permitido após ser confirmada a
autorização de permanência no Porto, e a guarda deverá
colocar o nome do funcionário numa relação específica a
ser encaminhada, posteriormente, à central de operações.
Veículos de funcionários
Só têm acesso os veículos autorizados. Caso o veículo não
esteja autorizado, deverá aguardar a autorização da
central de operações.
Quando o funcionário vier com pessoas estranhas, o
veículo deverá ser revistado, e essas pessoas só poderão
entrar quando autorizadas pela supervisão da segurança e
pelo chefe do setor a que o funcionário pertence. Este
último deverá assinar um termo de responsabilidade pela
conduta dessas outras pessoas.
Trabalhadores portuários avulsos
Solicitar-lhes a apresentação da autorização ou das escalas
de serviço do setor competente, e identificá-los
funcionalmente ou identificá-los pelo registro no órgão
gestor de mão-de-obra do trabalho portuário avulso.
Revistar as bolsas e sacolas de todo trabalhador avulso e
solicitar um apoio para a revista quando o número for
superior a 10 trabalhadores.
Inspecionar todo e qualquer veículo dos trabalhadores,
solicitando que seja aberta a mala do veículo, tanto na
entrada quanto na saída.
Donos de mercadorias
Exigir-lhes a solicitação do fiel depositário e identificá-los
como sendo os proprietários da mercadoria.
No caso de a pessoa a retirar a mercadoria não ser a que
conste na solicitação do fiel depositário, exigir a
autorização do proprietário para retirá-la. Nesse caso,
manter contato com a central de operações para checar o
procedimento.
Veículos de carga e autônomos
Verificar se o veículo está cadastrado, se o motorista está
autorizado e solicitar a apresentação da autorização de
99
transporte emitido pela empresa proprietária do veículo,
ou da empresa instalada no porto, ou do operador
portuário.
autorizadas, ou o veículo não esteja autorizado, manter
contato com a central de operações e aguardar a
orientação para a autorização, ou não. Nesse caso, orientar
para estacionar o veículo de forma a não prejudicar o
acesso de outros veículos.
No exame operacional do controle de acesso, o auditor além de

conferir cada item de controle de acesso, deverá utilizar, no mínimo, os
seguintes procedimentos de auditoria:
1- Exame físico da documentação dos procedimentos que devem constar no
posto de acesso, e que servirá de suporte ao agente de segurança que ali
estiver trabalhando; das barreiras de proteção e sua forma de ativação; e dos
equipamentos utilizados para dar suporte ao controle, principalmente os
alarmes e equipamentos de comunicação.
2- Entrevistar o vigilante usando o questionário, para identificar se o mesmo
conhece as suas atividades, inclusive nas situações de emergência.
3- Confirmação com a central de operações se determinada pessoa, veículo ou
carga que está acessando o complexo portuário consta de relação específica,
e conferir (conferência), posteriormente, na central; repetir tal procedimento
em cada situação especificada, como no exemplo acima citado.
4- Realizar investigação minuciosa para identificar o motivo da não
conformidade encontrada no controle de acesso de trabalhadores avulsos.
5- Efetuar exame dos registros auxiliares (livro de ocorrências e pasta com
autorizações de encarregados de setor).
6- Observar (observação) e correlacionar (correlação) as informações obtidas
para obter evidências de auditoria.
2.7 Auditoria das atividades da Guarda Portuária
A Guarda Portuária desenvolve suas atividades por meio do controle

de acesso, inspeção de pessoas, veículos e cargas, monitoramento e rondas
100
de segurança, bem como detecção de armas e explosivos. Essas atividades
são desenvolvidas pelos postos de comando, de controle e por equipes
táticas, além de atividades administrativas com relação à proteção como um
todo.
O Plano Nacional de Segurança Pública nos Portos, aprovado pela
Resolução CONPORTOS 002/2002, de 2 de dezembro de 2002, estabelece as
seguintes competências para a Guarda Portuária41:
 Promover a vigilância e a segurança no porto
organizado. Na zona primária do porto organizado, a
vigilância será levada a efeito com o objetivo de garantir o
cumprimento da legislação que regula a entrada, a
permanência, a movimentação e a saída de pessoas,
veículos, unidades de carga e mercadoria;
 Prestar auxílio às autoridades que exerçam suas
atribuições no porto, sempre que requisitada. Portanto, a
Guarda Portuária deverá colaborar com os órgãos de
segurança pública e demais autoridades que atuam na área
portuária para a manutenção da ordem e a prevenção de
ilícitos no interior daquelas instalações;
 Exercer o policiamento interno das instalações do
porto;
 Zelar pela segurança, ordem, disciplina e fiel guarda
dos imóveis, equipamentos, mercadorias e outros bens
existentes ou depositados na área portuária, sob a
responsabilidade da administração portuária;
 Deter, em flagrante delito, os autores de crimes ou
contravenções penais e apreender os instrumentos e
objetos que tiveram relação com o fato, entregando-os à
autoridade competente;
 Registrar a ocorrência, quando constatadas
atividades ilícitas, acidentes de trabalho, sinistros ou
avarias em equipamentos e veículos ou atividades
irregulares que venham a prejudicar o andamento das
operações portuárias, mantendo a preservação do local do
41
Competências previstas, para a Guarda Portuária, no Plano Nacional de Segurança Pública nos
Portos, aprovado pela Resolução 002/2002, de 2 de dezembro de 2002.
101
delito, efetuando os levantamentos preliminares e
encaminhando-os à autoridade competente;
 Adotar as seguintes providências, quando da
ausência da autoridade competente, em caso de sinistro,
acidente, crime, contravenção penal ou ocorrência
anormal:
Remover os feridos para o pronto-socorro ou
hospital, comunicando, de imediato, ao setor de
segurança do trabalho;
Isolar o local para a realização de verificação e
perícias, sempre que possível sem a paralisação das
atividades portuárias;
Acionar o grupo de combate a incêndio, sempre
que necessário.
 Buscar a integração dos órgãos que compõem a
CESPORTOS, para uma ação mais coordenada na
prevenção e repressão aos atos ilícitos.
A missão42 da Guarda/Vigilância Portuária é a de executar todas as

atividades de proteção de modo a garantir a segurança patrimonial das
instalações portuárias e promover a sensação de segurança no ambiente
portuário. A sua principal responsabilidade, no desempenho dessa missão, é
assegurar que todas as tarefas relativas à proteção das instalações portuárias
estejam em conformidade com os Planos Nacional de Segurança Pública
Portuária e de Segurança da Instalação, e com o ISPS Code.
Para que isso possa ocorrer, a guarda portuária tem seus
procedimentos definidos. Eles variam de acordo com o nível de atividade, que
pode ser desde uma simples checagem para acesso, até as ações
contingenciais para o isolamento de local em casos mais graves de ameaças à
proteção da instalação portuária.
Nesse contexto, a auditoria tem como foco principal examinar essas
atividades, de modo a certificar-se de que a guarda portuária está agindo de
42
Essa missão não é institucional, nem está estabelecida em regulamento. Contudo,
entendemos ser essa a missão de um serviço de vigilância na área portuária, mais próximo do
contexto internacional de proteção.
102
acordo com os procedimentos estabelecidos, e de que os controles
estabelecidos são eficazes.
É uma auditoria operacional, executada no local da atividade, a qual
exige bastante atenção do auditor na observação das atividades, na aplicação
de questionários e na forma de execução de procedimentos contingenciais.
O ponto de partida é a reunião dos documentos que estabelecem a
missão, objetivos e procedimentos da guarda portuária para cada tipo de
situação, atividade e posto de controle. Em seguida, deve procurar obter
informações sobre as principais atividades da instalação e os problemas mais
relevantes com relação às atividades da guarda portuária (queixas de
funcionários e queixas dos guardas), e verificar os registros nos relatórios de
auditorias passadas e nos livros de registros de ocorrências. De posse dessas
informações, deve elaborar suas listas de verificações e partir para o exame.
Para ilustrar o exame das atividades da guarda portuária,
apresentamos, abaixo, um exemplo de procedimentos para a atividade de
controle em uma área de acesso restrito de uma instalação portuária.43
No nosso exemplo, os procedimentos estão especificados por posto
de controle para acesso a um terminal portuário, aqui identificado como TP-12,
onde constam: a localização do posto, suas metas, os procedimentos gerais e
os específicos. Chamamos a atenção para que o auditor certifique se a guarda
portuária possui missão e objetivos definidos, que nesses casos deverão ser
incluídos nos itens de verificação para cada posto de controle ou atividade
específica de vigilância.
Procedimentos do posto de controle de acesso ao

terminal portuário TP-12
Localização
Localiza-se na Zona Primária (ZP), próximo ao acesso ao
Cais Interno (CI), e a sua área de atuação é toda a guarita
do posto e mais uma distância de 150 metros da entrada e
da saída do posto.
Metas do posto
Identificar e controlar o acesso (entrada e saída) de todas
as pessoas, veículos e cargas que passarem pelo posto.
43
Adaptado de um caso real.
103
Manter a ordem e a segurança na área de seu posto.
Procedimentos gerais
Assumir o posto.
Permanecer atento e observar tudo, no campo de visão e
de audição do seu posto.
Solicitar ajuda em qualquer suspeita de invasão.
Receber, obedecer e passar ao seu rendeiro todas as
ordens do chefe do setor e registrá-las no livro de
ocorrências.
Ter sempre ao seu alcance os telefones e os
procedimentos de emergência.
Telefonar para o chefe de segurança em qualquer caso que
não esteja previsto nas instruções gerais e específicas.
Estar especialmente atento, à noite, e não permitir a
entrada de ninguém sem a autorização necessária.
Conferir todo e qualquer serviço a ser executado dentro e
fora do expediente, na área restrita, verificando quem o
solicitou, se ainda permanece a necessidade do serviço, as
credenciais de todos que irão executá-lo e informar a
equipe tática para monitorar o deslocamento e o serviço.
Fiscalizar veículos, tanto na entrada como na saída.
Só deixar o posto quando devidamente rendido
(substituído), ou quando autorizado pessoalmente pela
supervisão.
Procedimentos específicos
Acesso de pessoas à Zona Primária
O acesso de pessoas só será permitido com uma
autorização registrada na central de operações.
autorizadas, orientá-la para aguardar a autorização e, se
estiver com veículo, estacionar o mesmo de forma a não
prejudicar o acesso de outros veículos, enquanto aguarda a
autorização.
Funcionários
Exigir do funcionário a identificação funcional ou a
apresentação do crachá, que deverá ficar exposto e
permanecer com ele.
104
No caso de o funcionário não constar no cadastro, ou tiver
esquecido ou extraviado a sua identificação, o acesso lhe
será permitido após ser confirmada a sua autorização de
permanência no Porto, e a guarda deverá colocar o nome
do funcionário numa relação específica a ser encaminhada,
posteriormente, à central de operações.
Veículos de funcionários
Só têm acesso os veículos autorizados. Caso o veículo não
esteja autorizado, deverá aguardar a autorização da
central de operações.
Quando o funcionário vier com pessoas estranhas, o
veículo deverá ser revistado, e essas pessoas só poderão
entrar quando autorizadas pela supervisão da segurança e
pelo chefe do setor a que o funcionário pertence. Este
último deverá assinar um termo de responsabilidade pela
conduta dessas outras pessoas.
Trabalhadores portuários avulsos
Solicitar-lhes a apresentação da autorização ou das escalas
de serviço do setor competente, e identificá-los
funcionalmente ou identificá-los pelo registro no órgão
gestor de mão-de-obra do trabalho portuário avulso.
Revistar as bolsas e sacolas de todo trabalhador avulso e
solicitar um apoio para a revista, quando o número for
superior a 10 trabalhadores.
Inspecionar todo e qualquer veículo dos trabalhadores,
solicitando que seja aberta a mala do veículo, tanto na
Tripulantes e oficiais das embarcações atracadas ou
fundeadas
Identificar se os nomes deles constam da lista de
tripulantes, conferindo-os com a central de operações.
No caso de mais de cinco tripulantes desejarem entrar,
deve pedir apoio à central de operações para monitorar o
deslocamento até a embarcação.
Inspecionar todo e qualquer veículo que conduza essas
pessoas, solicitando que seja aberta a mala do veículo,
tanto na entrada quanto na saída, estabelecer um tempo
105
para a permanência do veículo no local e informar a central
de operações para monitorá-lo.
Empregados e representantes de empresas “Operadores
Portuários” e profissionais liberais, visitantes,
empregados, representantes de empresas contratadas ou
prestadores de serviços de empresas instaladas na Zona
Primária do Porto
Manter contato com a central de operações para conferir a
autorização.
autorizadas, orientá-la para aguardar a autorização e, se
estiver com veículo, estacionar o mesmo de forma a não
prejudicar o acesso de outros veículos, enquanto aguarda a
autorização.
Inspecionar todo e qualquer veículo que conduza essas
pessoas, solicitando que seja aberta a mala do veículo,
tanto na entrada quanto na saída, estabelecer um tempo
para a permanência do veículo no local e informar a central
de operações para monitorá-lo.
Donos de mercadorias
Exigir a solicitação do fiel depositário e identificá-lo como
sendo o proprietário da mercadoria.
No caso de a pessoa a retirar a mercadoria não ser a que
conste na solicitação do fiel depositário, exigir a
autorização do proprietário para retirá-la. Nesse caso,
manter contato com a central de operações para conferir o
procedimento.
Veículos de carga e autônomos
Verificar se o veículo está cadastrado, se o motorista está
autorizado e solicitar a apresentação da autorização de
transporte emitida pela empresa proprietária do veículo,
ou da empresa instalada no porto, ou do operador
portuário.
autorizadas, ou o veículo não esteja autorizado, manter
contato com a central de operações e aguardar a
orientação para a autorização ou não. Nesse caso, orientar
106
a pessoa para estacionar o veículo de forma a não
prejudicar o acesso de outros veículos.
Passageiros e tripulantes de veículos de transporte
coletivo
Verificar se o veículo está cadastrado e se os passageiros
estão autorizados.
Caso não haja autorização, ou surgir algum outro problema
de identificação, manter contato com a central de
operações e pedir prioridade para resolver a pendência.
Nesse caso, orientar para o motorista estacionar o veículo
de forma a não prejudicar o acesso de outros veículos.
Determinar o local no qual o veículo ficará estacionado.
Mercadorias
Exigir a apresentação do documento fiscal, tanto na
No exemplo acima, o auditor, além de checar cada item do controle de

acesso, deverá utilizar, no mínimo, os seguintes procedimentos de auditoria:
Exame físico da documentação dos procedimentos que devem constar no
posto de acesso e dos equipamentos utilizados para o exercício das
atividades, principalmente os alarmes e os equipamentos de comunicação.
Entrevistar o vigilante usando o questionário, para identificar se o mesmo
conhece a sua missão, objetivos, atividades e procedimentos, inclusive nas
situações de emergência.
Observar as atividades para certificar se o guarda portuário exerce essas
atividades conforme os procedimentos estabelecidos. Nesses casos, faz-se
necessária a confirmação da central de operações que dirá se, durante o
período de exame, a pessoa, veículo ou carga que teve acesso ao terminal,
possuía autorização.
Realizar investigação minuciosa para identificar o motivo da não
conformidade encontrada no controle de acesso.
Efetuar exame dos registros auxiliares (livro de ocorrências e pasta
com as autorizações de encarregados de setor).
Observar (observação) e correlacionar (correlação) as informações
obtidas para obter evidências de auditoria.
107
108
3 AUDITORIAS ESPECIAIS EM INSTALAÇÕES PORTUÁRIAS
Os pilares de um sistema de proteção são as normas e procedimentos,

os recursos humanos e a tecnologia, os quais sustentam um complexo
conjunto de ações destinadas à manutenção da continuidade dos negócios,
mediante a prevenção, detecção, resposta e recuperação de eventos danosos
à segurança da organização.
Esses eventos (riscos) são avaliados pela sua probabilidade e impacto,
e hierarquizados pela sua criticidade. Toda essa estrutura conduz a ações
estratégicas, táticas e operacionais, que são materializadas em um grande
Esse sistema submete-se a critérios para alcançar determinado padrão
de eficácia, cuja manutenção é um grande desafio, face às mutações do
ambiente de negócios e do contexto de segurança do Estado. A garantia do
padrão de qualidade depende de ações de manutenção, análise, avaliação e
exame dos controles.
Dentre essas ações, destaca-se a auditoria, que se apresenta como a
ferramenta para atingir os objetivos do tão almejado padrão internacional de
proteção para as instalações portuárias.
Como já foi apresentado, as auditorias básicas em instalações
portuárias são as auditorias para o exame da avaliação de risco, do plano de
segurança, do controle de acesso e das atividades da guarda portuária.
Essas auditorias são fundamentais para a obtenção e manutenção da
certificação internacional de proteção. Contudo, o desafio da manutenção
desse padrão internacional é contínuo e requer outros tipos de auditorias, que
são denominadas especiais, pois pela sua finalidade adquirem uma qualidade
indispensável nesse árduo caminho.
As auditorias especiais detêm um grande potencial na colaboração
para a melhoria da gestão do sistema de proteção, por atuar sobre áreas que
demandam vigilância permanente. Essas áreas dizem respeito aos controles,
aos riscos e aos prestadores de serviço de segurança.
Todas essas áreas devem ser inspecionadas, monitoradas e avaliadas
por essas auditorias especiais, que devem ser direcionadas para a análise GAP,
109
para o controle de riscos e para o exame dos fornecedores de serviços de
vigilância portuária.
Com base nessa premissa, este capítulo apresenta três outros tipos de
auditorias especiais, para que a comunidade da segurança portuária possa
empregá-los em benefício da eficácia do sistema de proteção como um todo.
3.1 Auditoria para a análise GAP
A análise GAP44 é um exame que objetiva verificar o nível de proteção

atual e compará-lo com o nível de proteção ideal (planejado). É uma análise
para saber o quanto se está distante do objetivo, ou seja, o quanto falta para
alcançar o padrão estabelecido.
O objetivo específico dessa auditoria é realizar uma análise dos
controles existentes, comparando-os com o padrão estabelecido, para avaliar
o nível de controle e atestar a sua conformidade (ou grau de conformidade),
ou demandar medidas de eliminação da lacuna existente.
A auditoria para a análise GAP pode ser realizada tendo como base os
controles propriamente ditos, ou utilizando-se um modelo de maturidade de
controles com níveis previamente estabelecidos.
A análise GAP que se baseia nos controles aplicáveis é realizada sobre
as normas de referência, verificando os itens dessas normas e comparando-os
com os controles implementados.
Nessa verificação, o auditor deverá relacionar os controles
implementados, por domínio, e confrontá-los com os da norma, analisando-os
para ver se atendem, não atendem, ou atendem com ressalvas, especificando
nas observações quais os motivos da não conformidade com o padrão
estabelecido, e sugerindo medidas que poderão ser adotadas para atingir o
objetivo de controle, ou seja, as ações para suprir a lacuna entre o real
(controles implementados) e o padrão estabelecido. Nesse tipo de análise, a
aplicação dos testes sobre os controles é de fundamental importância.
Na análise baseada em níveis de controle, é realizado o exame sobre
uma classificação de referência, no qual é verificado em qual estágio de
44
O termo Gap vem do inglês e significa fenda, abertura, brecha, intervalo. Análise GAP é uma
análise que objetiva fechar a brecha da segurança. Esse é o significado que desejamos ao
110
controle se encontra a organização em determinado setor, área, atividade,
etc. Essa classificação de referência apresenta estágios para a mensuração do
nível de controle, e a ela pode ser dado o nome de nível de maturidade, ou
modelo de maturidade.
A utilização de um modelo de maturidade mostra à organização como
ela está em relação à confiabilidade de seus controles, fornecendo-lhe uma
visão geral da avaliação dos controles. Esse modelo deve ser estabelecido pela
organização, ou adotado por ela.
Uma dificuldade que pode ser encontrada no exame que utiliza níveis
de maturidade, tem relação com o critério para o estabelecimento da
quantidade de níveis e com a forma de sua classificação por parte da
instalação portuária, ou seja, qual o critério utilizado para a parametrização do
estabelecimento do modelo adotado pela instalação portuária.
Na ausência de um modelo estabelecido, e desejando-se realizar o
exame nesse parâmetro, o auditor deverá utilizar um modelo de maturidade
amplamente confiável no mercado, e aceito pela instalação portuária, ou
fundamentar o motivo da sua utilização.
O IT Governance Institute (ITGI), por meio do Control Objectives for
Information and related Technology45 (COBIT®), apresenta um modelo de
maturidade46 dividido em 5 (cinco) níveis: não-existente, inicial, repetível,
definido, gerenciável e otimizado (COBIT 4.1, 2007).
O modelo genérico de maturidade COBIT é assim definido47:
Nível 0 (Não existente): inexistência de controles e procedimentos. O
gerenciamento de processos não é aplicado por toda a organização.
Nível 1 (Inicial): os controles não são padronizados e são aplicados caso-a-
caso, por conhecimento individual ou por alguns membros da organização.
Existe o reconhecimento da necessidade de controles, e o gerenciamento é
desorganizado.
empregar o termo “Análise GAP”.

45
O COBIT é uma estrutura de trabalho desenvolvida para o gerenciamento de TI, com foco no
controle. As boas práticas do COBIT são um consenso entre os especialistas de todo o mundo.
Essas práticas são focadas mais nos controles e menos na execução.
46
A abordagem do modelo de maturidade do COBIT é derivada do modelo de maturidade do
Software Engineering Institute.
47
Tradução e adaptação feita pelo autor.
111
Nível 2 (Repetível): os processos são desenvolvidos para o estágio em que
procedimentos semelhantes são empregados para uma mesma tarefa. Não
existem treinamentos formais e não existe comunicação dos procedimentos-
padrão. Existe um alto grau de confiança no conhecimento individual. Erros
são prováveis.
Nível 3 (Definido): os processos, documentados e padronizados, são
comunicados por meio de treinamentos. Os processos não são sofisticados,
mas existem práticas.É improvável que desvios sejam detectados.
Nível 4 (Gerenciado): os processos são monitorados e mensuráveis. É possível
avaliar a conformidade e adotar ações para melhorar a eficácia. Os processos
estão em constante melhoria e fornecem boas práticas. Ferramentas e
automação são utilizadas de modo fragmentado.
Nível 5 (Otimizado): os processos são definidos no nível de boas práticas,
baseados nos resultados, na melhoria contínua e no modelo de maturidade,
com outros empreendimentos. A tecnologia da informação é utilizada de
forma integrada para a automação do fluxo de trabalho, fornecendo
ferramentas que levam a melhoria da qualidade e eficácia e tornam o negócio
facilmente adaptável.
Abaixo reproduzimos o modelo de maturidade para controle interno
apresentado no COBIT (COBIT 4.1, P.175).
Tabela: Modelo de maturidade para controle interno48
Nível de Status do ambiente de controle Controles internos

maturidade
0 Não existe reconhecimento da Não existe a intenção de avaliar a
(Não existente)necessidade de controle interno. necessidade de controle interno. Os
Controle não faz parte da cultura incidentes são lidados como surgem.
e missão da organização. Existe
alto risco de incidentes.
1 Existe algum reconhecimento da Não existe conhecimento da
(Inicial / Ad hoc) necessidade de controle interno. necessidade de avaliar o que é
A abordagem do risco e necessário em termos de controle.
requisitos de controle é Quando desenvolvido, é ad hoc
desorganizada, sem (apenas para caso específico), e na
48
Tradução efetuada pelo autor.
112
comunicação e monitoramento. reação a incidentes significantes de
Deficiências não são alto nível. Avaliação endereçada
identificadas. Funcionários não apenas para o incidente atual.
têm conhecimento de suas
responsabilidades.
2 Existem controles, mas não são Necessidade de avaliar o controle
(Repetível/ documentados. Sua operação ocorre apenas quando da necessidade
intuitivo) depende do conhecimento e de selecionar processos para
motivação individual. Sua eficácia determinar o nível atual de
não é adequadamente avaliada. maturidade, o nível a ser alcançado e a
Existe muita vulnerabilidade nos lacuna (GAP) existente. Workshop
controles e eles não são informal com gerentes e a equipe
adequadamente endereçados. O envolvida no processo é utilizada para
impacto pode ser severo. O definir uma adequada abordagem dos
gerenciamento das ações para controles para o processo, e para
questões de controle não é motivar a agregação da ação ao plano
priorizado ou consistente. Os de ação.
funcionários não conhecem as
suas responsabilidades.
3 Controles estão implementados Os processos críticos são identificados
(Processo e documentados. A eficácia da com base nos riscos. Uma análise
definido) operação é avaliada detalhada é desenvolvida para
periodicamente, e existe uma identificar os requisitos de controle, a
média numérica e questões. causa da lacuna e desenvolver a
Entretanto, a avaliação do melhoria e as oportunidades.
processo não é documentada. O Ferramentas e entrevistas são
gerenciamento é capaz para lidar utilizadas, em workshop, para dar
com mais casos de controle; suporte à análise e garantir a avaliação
contudo, algumas e a melhoria dos processos.
vulnerabilidades de controle
persistem e os impactos podem
ser severos. Empregados
conhecem suas
responsabilidades para
controles.
4 Existe um controle interno A criticidade dos processos é definida
(Gerenciado e efetivo e um ambiente de com o apoio e adesão dos
mensurável) gerenciamento de risco. Uma encarregados pelos principais
avaliação formal e documentada processos de negócios. A avaliação dos
ocorre frequentemente. Muitos requisitos de controle é baseada na
controles são automatizados e política e maturidade atual dos
revisados regularmente. O processos, seguindo uma análise que
113
gerenciamento é capaz de envolve os principais acionistas. O
detectar muitas questões de registro dessas avaliações é claro e
controle, mas nem todas as obrigatório. A melhoria das estratégias
questões são rotineiramente é apoiada em casos de negócios.
identificadas. Existe uma Desempenho e realização são apoiados
abordagem consistente para nos resultados e monitorados
identificar as vulnerabilidades constantemente. O exame por
nos controles. Uso limitado da controles externos é organizado
tecnologia para a automação dos ocasionalmente.
controles.
5 Uma ampla estrutura de risco e Mudanças dos negócios consideram a
(Otimizado) programa de controle fornece criticidade dos processos e cobrem
contínuo e efetivo controle e qualquer necessidade para reavaliar a
resolução de questões de risco. capacidade do processo de controle.
Os controles internos e o Os encarregados pelos processos
gerenciamento de risco são desenvolvem autoavaliações
integrados com uma estrutura regularmente, para confirmar que os
prática, apoiado no controles estão no nível de maturidade
monitoramento automatizado, correto e reunir as necessidades de
em tempo real, com o registro negócios, e eles consideram os
completo do monitoramento do atributos da maturidade como a forma
controle, do gerenciamento de de identificar o controle mais eficiente
risco e da conformidade do e eficaz. A organização realiza
cumprimento. A avaliação do benchmark com as melhores práticas
controle é contínua, baseada na externas e mantém o controle interno
autoavaliação, na lacuna eficaz. Revisões independentes são
existente e na análise da raiz do realizadas nos processos críticos, para
problema. Os funcionários agem garantir que os controles forneçam o
proativamente e estão nível de maturidade desejado,
envolvidos na melhoria dos conforme o que foi planejado para o
controles. trabalho.
Ao realizar o exame utilizando o modelo de maturidade, o auditor

deve observar todos os controles estabelecidos para a atividade e classificá-
los de acordo com o nível encontrado. Trata-se de um método mais simples,
mas que serve para dar uma ampla visibilidade à avaliação dos controles, de
como está a lacuna entre o real e o padrão estabelecido, e assim delinear o
planejamento das ações para melhorar o sistema de proteção.
114
A utilização do modelo de maturidade para a análise GAP não
representa que o padrão ideal seja sempre o último nível, pois pode ocorrer
que o padrão de controle para determinado setor ou atividade esteja
estabelecido num nível intermediário de maturidade, como, por exemplo, o
nível 4.
Conforme foi visto, a auditoria para a análise GAP é um tipo de
auditoria especial que tem um grande potencial para agregar valor aos
negócios corporativos, uma vez que constitui uma ferramenta de avaliação,
controle e monitoramento das medidas de proteção de instalações portuárias,
para conformidade com o padrão adotado pela Organização Marítima
Internacional (IMO).
3.2 Auditoria em fornecedores
Como sabemos, cada vez mais cresce a terceirização de atividades

como manutenção, TI e segurança, por serem atividades especializadas. E o
setor portuário não difere dessa tendência da terceirização, principalmente
com relação à segurança.
Em recente investigação realizada pela ONG Observatório Social, foi
verificado que um pequeno fornecedor de matéria-prima utilizava mão-de-
obra infantil, o que implicou o envolvimento de empresas como Basf, Faber-
Castel e Tintas Coral, por utilizar esse tipo de mão-de-obra na sua cadeia
produtiva. (HERZOG, 2005, p. 84-86).
É certo que essas empresas não utilizavam crianças na sua produção
propriamente dita, mas tal fato trouxe grande preocupação para os seus
dirigentes e acionistas. Todas essas empresas monitoravam via satélite seus
fornecedores, e o processo seletivo desses fornecedores obedecia a critérios
de qualidade e segurança nos processos. Contudo, não realizavam auditorias
para a certificação de conformidade desses critérios.
É compreensível que empresas com muitos fornecedores deixem de
realizar auditorias neles por ser muito dispendioso, pois podem elevar o custo
da produção, tornando-os até proibitivos. Entretanto, o que deve ser feito é o
estabelecimento de critérios para auditar os fornecedores que têm relação
com os principais processos de negócios e com seu envolvimento direto nas
115
medidas mitigadoras dos riscos, bem como influência no impacto da
concretização de um risco.
No contexto do ISPS Code, a manutenção do padrão de segurança
exigido pela Organização Marítima Internacional demanda uma atenção
especial para com os fornecedores. Nesse sentido, deve ser dispensada
especial vigilância às empresas terceirizadas prestadoras de serviço de
segurança, que fornecem pessoal e equipamentos para a proteção das
Os vigilantes são funcionários das empresas de segurança privada, que
desempenham essas atividades específicas de proteção. São eles que realizam
o controle de acesso às instalações portuárias, efetuam rondas em áreas
internas e externas, revistam pessoas, veículos e cargas, monitoram o
movimento por uma central eletrônica, dentre outras atividades que lhes são
inerentes. São pessoas que possuem formação e treinamento específicos
como condição para o exercício da profissão. E essas qualidades tornam esse
tipo de serviço cada vez mais especializado e procurado.
Por outro lado, as instalações portuárias necessitam do serviço desses
profissionais pela sua conhecida qualidade e especialidade, bem como para
garantir o cumprimento de requisitos do padrão de segurança estabelecido.
Nesse contexto, faz-se necessária uma atenção específica sobre esses
funcionários contratados para prestar serviços de segurança.
Essa atenção não pode ser restrita à fiscalização, monitoramento e
controle das atividades desenvolvidas pelo vigilante. Deve também alcançar a
fiscalização e o controle das empresas prestadoras desse serviço, o que deve
ser feito mediante auditorias especiais, realizadas pela instalação portuária ou
em seu nome, para verificar os aspectos fundamentais da prestação desse
serviço.
Essas auditorias se justificam pelo fato de o vigilante ser um dos
elementos principais (se não o principal) que interferem diretamente no
cumprimento dos controles estabelecidos para a segurança portuária. É ele o
responsável direto pelo cumprimento das normas em situações usuais e
adversas, o que exige dele qualidades específicas em relação aos outros
integrantes do RH, pois uma falha sua poderá interromper as atividades e
provocar um grande prejuízo, não só à instalação portuária em que serve mas
também a todo um complexo portuário.
116
Por essas peculiaridades da área portuária, é que não só devem ser
fiscalizados os exercícios das atividades, como também os critérios de
seleção, e treinamento, dentre outros, para que se possa elevar o nível de
qualidade desse serviço.
Um detalhe que desperta a atenção para a necessidade dessas
auditorias é que os contratos nesse segmento são contratos muito
significativos pelo seu valor, e bastante concorridos.
A experiência tem demonstrado que, na prática, quando uma empresa
é vencedora da disputa por um contrato desses, ela geralmente aproveita o
efetivo da substituída, trocando a farda e dando algumas orientações sobre os
procedimentos da empresa. Além disso, também, é comum remanejar
vigilantes de outros setores (bancos, lojas, condomínios, etc.) para uma
atividade numa área muito específica, que é a portuária.
Nesse contexto, entendemos ser necessário um controle mais
específico e pontual sobre os vigilantes e suas empresas, pois sabemos o
quanto é vulnerável fiscalizar apenas o exercício da atividade, sem o exame
dos critérios estabelecidos para a profissão e a sua constante capacitação.
O foco dessa auditoria deve recair sobre os critérios de contratação do
pessoal, incluindo-se aí o perfil desejado, os tipos de testes efetuados para a
seleção e o acesso à documentação, o curso de formação e a programação da
educação continuada, para que se possa ter um profissional que atenda às
exigências das normas que regulamentam a profissão e que atendam,
igualmente, às exigências internacionais de proteção da instalação portuária.
O requisito fundamental para a realização dessas auditorias é a sua
previsão no contrato feito entre a instalação portuária e a empresa prestadora
do serviço. No contrato, cláusulas específicas devem dedicar-se à auditoria,
sua periodicidade, os principais objetivos de controle e suas penalidades,
devendo ser ponto de quebra de contrato a não adoção de medidas
saneadoras das irregularidades encontradas pelas auditorias.
Essa cláusula específica gerará uma expectativa de melhoria contínua
nesses serviços, uma vez que as empresas prestadoras estarão mais atentas a
essas exigências, de modo a manter a conformidade no cumprimento do
contrato.
A necessidade de cláusula específica é para que haja uma seleção
natural entre as empresas concorrentes, para que apenas empresas sérias e
117
comprometidas com a segurança portuária venham a participar dessas
concorrências.
Contudo, existe a necessidade de se identificar o que deve ser
auditado e os procedimentos de auditoria, para que não ocorra um excesso
por parte do auditor, e para que o seu exame seja limitado apenas às questões
relativas ao seu contrato, uma vez que essas empresas podem possuir outros
contratos.
Nesse sentido, essas auditorias devem estar direcionadas para a
verificação da conformidade da empresa com as exigências de seu
funcionamento, para o exame da seleção, contratação, treinamento e
reciclagem do vigilante.
Essas auditorias devem ser periódicas. A primeira deve ser realizada
quando do início da prestação do serviço na instalação portuária. Também
devem ser incluídos em cláusula contratuais alguns indicadores para a
realização dessas auditorias.
As empresas de vigilância e suas atividades são regulamentadas pelas
Leis de números 7.102, de 20/06/83; 8.863, de 20/03/94 e 9.017, de 30/03/1995,
e pela Portaria 387, de 03/10/2006, do Departamento de Polícia Federal do
Ministério da Justiça.
A verificação da conformidade quanto a esses instrumentos
reguladores é o ponto de partida, e pode ser atestada mediante a exigência
de certidão fornecida pelo órgão específico da fiscalização. Nessa
constatação, o auditor deverá atentar para as datas de expedição e validade,
dados da empresa, conferindo as informações com a Delegacia de Controle de
Segurança Privada, da Polícia Federal.
Depois, o auditor deverá direcionar o seu exame para as seguintes
áreas: seleção, formação e reciclagem, que são as principais áreas de exame
do auditor, pois o foco está sobre o vigilante e a forma como a empresa o
contrata, assim como se mantém o programa de educação continuada.
Seleção
Para ser um vigilante, é necessário ser maior de 21 anos, ter a 4a série
primária concluída, possuir carteira de trabalho, não ter antecedentes
criminais, e possuir o curso de formação de vigilantes, que é realizado por
empresas específicas de formação de vigilantes.
118
Além dessas exigências, o candidato a vigilante realiza um exame de
saúde física e mental e um exame psicotécnico, sem os quais não poderá
frequentar o curso de formação.
Além desses requisitos, o auditor deverá verificar quais os critérios
estabelecidos pela empresa para contratar vigilantes, e se a empresa possui
um perfil definido para o exercício de atividades no setor portuário.
Durante seu exame, o auditor deverá verificar essas exigências para a
seleção, checando toda a documentação que deve, também, incluir as
certidões de antecedentes criminais nas esferas estadual, federal e militar,
bem como a certidão criminal eleitoral.
Formação e reciclagem
O curso de formação de vigilantes é regulamentado pela Portaria MJ
387, de 03/10/2006. É um curso com 160 h/a, cuja média mínima de aprovação
é cinco, com validade de 2 anos. A reciclagem do vigilante é obrigatória e deve
ser realizada a cada 2 anos por empresa especializada em formar e reciclar
vigilantes. O curso de reciclagem possui uma carga horária de 30 h/a.
A verificação da documentação dos cursos deve ser feita nos arquivos,
ou na conferência dos diplomas que são atestados pela Polícia Federal. Ali
poderão ser encontrados os relatórios que as empresas de vigilantes e de
formação de vigilantes enviam, periodicamente, com informações sobre
efetivo, armas, demitidos e admitidos e reciclagem de seus funcionários.
É recomendável a aplicação de questionários ou a realização de
entrevistas com vigilantes para confirmar a realização desses cursos e a sua
periodicidade. Nessa entrevista, o auditor poderá incluir perguntas específicas
para constatar se o vigilante foi capacitado para exercer atividades no setor
portuário.
Com relação às empresas de formação e reciclagem de vigilantes,
entendemos que não se pode incluir em cláusula contratual a previsão de
auditorias nessas empresas, uma vez que não são partes integrantes da
relação contratual, a não ser que a própria empresa possua um centro de
capacitação e formação própria. Sabemos que a qualidade da formação
depende, em grande parte da qualidade do serviço dessas empresas, e que
esses cursos podem ser ministrados de forma negligente e/ou fraudulenta.
119
Dessa forma, é fundamental que o auditor solicite ao órgão
fiscalizador dessas empresas o tempo de atividade e a posição da regularidade
delas quanto a esses serviços de formação e capacitação, a fim de atestar a
credibilidade dos certificados emitidos e avaliar se os vigilantes necessitam de
uma nova reciclagem, ou não.
Nos casos de evidência de fraudes e fragilidades na formação e
reciclagem, o auditor deverá aplicar testes de conformidade, tentar localizar a
empresa para averiguar o seu funcionamento, e fundamentar o seu parecer
juntando cópias da documentação do órgão fiscalizador e outros
documentos, e solicitando a atenção específica para a realização de novo
treinamento.
Como podemos concluir, a realização dessas auditorias em empresas
terceirizadas são indispensáveis para poderem contribuir no sistema
integrado de proteção e no gerenciamento de riscos, mantendo-as em
sintonia com os requisitos do padrão internacional de proteção para as
3.3 Auditoria para controle de riscos
Em cenário de incertezas, as ameaças e oportunidades têm o potencial

de produzir perdas ou aumentar os resultados, desde que seja possível gerir
melhor as incertezas e seus riscos, gerando valor ao otimizar as suas
oportunidades. Dessa forma empresas estabelecem estratégias para os
objetivos de crescimento e de controle sobre os riscos, em busca da
maximização de seus resultados.
Na comunidade da segurança corporativa, os riscos49 são
compreendidos como condições que criam ou aumentam o potencial de
49
A norma ISO/IEC Guide 73:2002 define risco como a combinação da probabilidade de um
evento e suas consequências. A probabilidade associada a um evento é calculada para
determinado período de tempo, e é definida como um número real na escala de 0 a 1, associado
a um evento aleatório, que pode estar relacionado a uma frequência de ocorrência relativa de
longo prazo ou a um grau de confiança de que um evento irá ocorrer. Para um alto grau de
confiança, a probabilidade é próxima de 1. Por evento deve ser entendida a ocorrência de um
conjunto particular de circunstâncias, podendo ser uma única ocorrência ou uma série delas. A
probabilidade associada a um evento pode ser estimada por um dado período de tempo. A
consequência deve ser entendida como o resultado de um evento.
120
perdas. Esse potencial é medido pela possibilidade de um evento vir a
acontecer e produzir perdas reais. Tais eventos estão dentro do campo da
possibilidade de uma ameaça vir a se concretizar.
Segundo estudo realizado pela Deloitte (2005), 80% das companhias
que sofreram grandes perdas50 foram expostas a mais de um tipo de risco, e
muitas delas falharam ao gerenciar a relação entre esses vários tipos de risco.
Esse estudo apontou a necessidade de as companhias implementarem
um gerenciamento de riscos integrado, com a finalidade de gerenciar as
interdependências entre todos os riscos da empresa, uma vez que a maioria
das ações de tratamento de riscos, adotadas pelas empresas, são direcionadas
para os riscos estratégicos, o que pode aumentar a exposição de outros tipos
de risco como o operacional e o financeiro.
Em recente pesquisa realizada pela Ernst & Young com 400 executivos
em 16 países, 67% deles afirmaram que o nível de risco aumentou nos últimos
dois anos, e 42% admitiram que as estratégias para o gerenciamento de risco
de suas companhias estavam repletas de flancos (HERZOG, 2005, p. 84-86).
Nesse contexto, a gestão de riscos assume um importante papel nas
corporações como um todo, ao permitir que elas, cada vez mais, possam
reduzir as suas incertezas, prevenindo e reduzindo perdas, assegurando uma
gestão eficaz e eficiente sobre seus riscos.
O gerenciamento de riscos51 compreende as atividades coordenadas
para dirigir e controlar a organização em relação aos riscos, e envolve o
conjunto de elementos do sistema de gerenciamento da organização em
relação à gestão de riscos. Esses elementos incluem o planejamento
estratégico, os tomadores de decisões, e outros processos que lidam com
riscos (ISO/IEC Guide 73:2002). Trata-se de um processo contínuo, que envolve
todos os setores da corporação, e deve estar alinhado com o planejamento
estratégico, de modo a facilitar o alcance das metas e minimizar as surpresas e
eventuais perdas.
Por sua vez, as instalações portuárias, em atenção aos preceitos do
ISPS Code realizam avaliações de proteção com base em riscos como condição
50
Essa pesquisa analisou as maiores quedas no preço das ações das 1000 maiores companhias
internacionais do mercado de valor, entre 1994 e 2003.
51
De acordo com a ISO/IEC Guide 73:2002, o gerenciamento de riscos envolve as seguintes
etapas: avaliação de riscos, tratamento do risco, a aceitação do risco e a comunicação do risco.
121
para a elaboração dos seus planos de segurança portuária. Essas avaliações
culminam nas medidas para o tratamento do risco.
Os objetivos do tratamento de riscos52 são eliminar os riscos que
podem ser eliminados, baixar o nível dos riscos que não podem ser eliminados
para um nível menor e com o mínimo de danos para a organização, e transferir
o risco, ou parte desse risco, que não pode ser tratado.
As ações para evitar o risco, como a enunciação já sugere, são todas as
medidas adotadas para evitar que um risco venha a ser concretizado, e essas
medidas estão representadas nas políticas e procedimentos da organização.
A otimização do risco é o processo que envolve as medidas destinadas
a reduzir a probabilidade de consequências negativas relacionadas com os
riscos. Essas medidas são concretizadas com o tratamento dos riscos, a fim de
limitar qualquer consequência negativa para a organização. A otimização traz
um resultado intrínseco de credibilidade para os negócios, que é a valorização
da imagem da organização. É uma das consequências positivas do tratamento
do risco para fortalecer a imagem da organização no mercado.
A transferência do risco é a divisão com a outra parte do peso de
perdas de um risco. É caracterizada nas apólices de seguro, em que o peso da
perda é minimizado com o pagamento do prêmio do seguro, que é de valor
bem menor do que os ativos envolvidos.
A retenção do risco é a aceitação da carga da perda de um risco
específico. Geralmente é feita em riscos de pequeno impacto.
Como vimos, o tratamento do risco identifica, analisa e avalia as
opções para cada classe de risco, de modo a preparar e implementar medidas
de prevenção, detecção, resposta, recuperação e continuidade dos negócios.
A garantia da eficácia das ações para o tratamento do risco é dada
mediante a auditoria para o controle de riscos, cuja verificação e exame são
efetuados sobre as medidas de mitigação, detecção e monitoramento dos
riscos, com o objetivo de controle e avaliação dessas medidas, para garantir o
gerenciamento sobre os riscos, mantendo as instalações seguras e
contribuindo para melhorar o sistema de proteção das instalações portuárias.
52
O tratamento de riscos compreende as ações para evitar, otimizar, transferir e reter o risco
(ISO Guide 73:2002).
122
Essa auditoria também serve para indicar a necessidade de realização de nova
avaliação de riscos.
A importância dessa auditoria53 para as instalações portuárias se dará
pelas ações vigilantes e controle permanente sobre todas as medidas
identificadas e implementadas para manter os riscos nos níveis aceitáveis,
garantindo o padrão de segurança estabelecido pelo ISPS Code.
Os critérios para essa auditoria devem estar diretamente relacionados
com a criticidade dos riscos, que normalmente são classificados com base em
parâmetros previamente estabelecidos pela organização.
É uma auditoria estratégica e de extrema importância para o
gerenciamento dos riscos, e tem como especial peculiaridade exigir uma
grande habilidade do auditor para compreender o sistema de gerenciamento
e entender o risco, a fim de realizar uma auditoria eficiente e eficaz.
Para entender o risco, faz-se necessário identificar sua origem e
entender o seu porquê, ou seja, quais os seus principais fatores motivadores,
pois, para que haja um bom gerenciamento de riscos, faz-se mister
identificar e compreender seus principais fatores motivadores. E essa
compreensão pode ser feita por categorias de riscos.54
Riscos naturais
Para os riscos decorrentes de ameaças naturais (eventos da natureza),
dependendo do potencial do evento, pode parecer difícil se conseguir uma
proteção eficaz, mas, sabendo-se que tais eventos são comuns em
determinada região, torna-se mais fácil adotar ações planejadas para prevenir
os impactos e para a recuperação do desastre. Nesse tipo de risco é, em
53
A auditoria da avaliação de riscos difere da auditoria para o controle de riscos. A primeira
objetiva verificar o processo de avaliação de riscos, e a segunda tem como objetivo as medidas
de controle dos riscos.
54
A nossa opção para o estabelecimento de categorias de riscos é feita com base na origem das
ameaças e vulnerabilidades. Os riscos classificados como naturais (incontroláveis) são os
decorrentes de fenômenos da natureza; os involuntários (técnicos, organizacionais e humanos)
são os resultantes de ações não intencionais, relacionados com vulnerabilidades humanas,
físicas, nos equipamentos, nos processos, de software, nos meios de armazenamento, nas
comunicações, etc.; e os intencionais são aqueles decorrentes de ações deliberadas para
causarem danos, e estariam relacionados com a origem humana.
123
especial, difícil a identificação do seu porquê; contudo, alguns fatores devem
ser considerados com relação a eles, tais como:
1- A área em que a empresa está instalada está sujeita a fenômenos da
natureza de proporções catastróficas;
2- Falta de acompanhamento de boletins meteorológicos;
3- O material empregado na construção é de baixa resistência;
4- O equipamento de prevenção a sinistros não tem inspeção periódica e
é de má qualidade;
5- Ausência de plano de recuperação de desastres e de continuidade dos
negócios;
6- Falta de treinamento em ações contingenciais.
Riscos involuntários
Para os riscos involuntários, a identificação é mais fácil, uma vez que
esses riscos estão relacionados com vulnerabilidades, principalmente físicas e
humanas, e geralmente ocorrem por algum tipo de falha. Contudo, alguns
fatores devem ser considerados em relação aos riscos involuntários, tais
como:
1- Falha nos equipamentos de prevenção e detecção;
2- Descumprimento de normas para guarda, transporte e manuseio de
material inflamável;
3- Material de fácil combustão empregado na construção;
4- Equipamentos ligados durante 24 horas;
5- Ausência de treinamento em medidas contingenciais;
6- Inexistência de processos de qualidade;
7- Inexistência de controles internos;
8- Inexistência de programa de capacitação continuada;
9- Cultura organizacional.
Riscos intencionais
Já para os riscos intencionais, os fatores motivadores, geralmente,
estão diretamente relacionados com o tipo de negócio, tipo de produto, tipo
de mercado, localização geográfica, com o sistema de controle interno e o
nível de segurança existente. Ele ocorre pela exploração intencional de um
agente ao perceber alguma falha no sistema de proteção da empresa.
124
Observe-se que o que se está tentando identificar é, além da origem
do risco, o porquê da ação de pessoas alheias e o motivo dela, seja qual for o
interesse, para atentar contra uma instituição ou pessoas. Essa análise pontual
está relacionada com a percepção do empresário, funcionários, pessoas da
organização em geral, colaboradores (consultor em segurança), auditores,
e/ou da equipe de gerenciamento de riscos, para entender que o seu ativo
desperta interesse em terceiros, que, por meio de uma ação inoportuna e
intencional, tentam provocar algum dano.
Um ataque não pode ser apenas observado na sua origem, mas do
foco do que de interessante existe nos negócios que fez com que aquele
ataque tenha ocorrido, ou possa vir a ocorrer. Não é o fato da má utilização do
sistema, mas sim, do porquê de aquele funcionário ter utilizado o sistema para
realizar aquele objetivo. É identificar que pressupostos levaram aquela pessoa
a cometer aquela ação, o que poderá impulsionar alguém a cometer
determinada ação contra a empresa.
O foco dessa análise está na identificação dos principais pressupostos
do agente causador do dano. Contudo, alguns fatores devem ser
considerados com relação aos riscos intencionais, tais como:
1- A atratividade do produto e sua fácil receptação no mercado paralelo;
2- A situação da criminalidade na região em que a empresa está
instalada;
3- A sensação de impunidade;
4- O pagamento efetuado, em espécie, aos funcionários da empresa;
5- Os funcionários que estão insatisfeitos com os salários em atraso e
sem perspectiva de continuidade no emprego;
6- Os movimentos reinvidicatórios, como as paralisações pontuais e
greves gerais;
7- Mercado altamente competitivo.
Para que os riscos venham a se concretizar, esses fatores devem estar
atrelados a uma ou mais vulnerabilidades. Entretanto, no caso específico
desse tipo de auditoria, o auditor deve ter consciência de que o negócio da
instalação portuária desperta o interesse de pessoas inescrupulosas e,
portanto, deve ter medidas de controle para ser protegido. Essa capacidade
de compreensão (negócios, missões, ativos corporativos e risco) é que trará
uma melhor eficácia para a auditoria como um todo.
125
Observe-se a importância dessa percepção, uma vez que ela é uma
peça-chave dentro do contexto de abordagem mais ampla do tratamento
devido aos riscos. Além de estar relacionada com a origem do risco, essa
percepção abrange também o que poderá motivar a ocorrência de um risco
para a instalação portuária.55
Outro fator importante para a auditoria é com relação à criticidade dos
56
riscos , que normalmente são classificados com base em parâmetros
previamente estabelecidos pela organização. Essa classificação geralmente
varia entre três e quatro classes, e está relacionada à metodologia empregada
para a avaliação e análise dos riscos.
A classificação mais comum é baseada na combinação da
probabilidade com seu impacto, justamente os fatores que representam o
risco. Nesse tipo de classificação, os riscos são segregados em categorias
como alto, médio e baixo. Alguns especialistas em gestão de riscos fazem
opção por até mais duas categorias de riscos, para tornar melhor a tabela do
ranking dos riscos, e ter uma compreensão mais apurada da importância das
medidas de controle.
Para os riscos classificados como muito altos (alta probabilidade de
ocorrência e alto impacto), as ações para tratar esses riscos devem estar
enfocadas na prevenção e detecção, objetivando eliminá-los ou evitá-los, além
de poder transferir aqueles que não puderem ser tratados ou que mesmo
podendo ser tratados, são transferidos mediante apólices de seguro por
terem a capacidade de impacto muito elevado.
Para os riscos classificados como altos (alto impacto e baixa
probabilidade), as medidas devem ser focadas na prevenção, principalmente
na implantação das medidas de segurança e na capacitação dos recursos
humanos da organização.
Para os riscos classificados como moderados e/ou baixos (baixo
impacto e alta probabilidade), as ações devem ser focadas no controle do
55
A auditoria para o controle de riscos exige do auditor essa qualidade. Essa capacidade de
compreensão lhe possibilitará avaliar se essas medidas atendem à finalidade para a qual foram
estabelecidas.
56
A criticidade dos riscos pode ser classificada de várias maneiras, como, por exemplo: com
base no tempo de recuperação, com base no impacto, ou simplesmente por categorias, como
estratégico, financeiro, operacional e externo.
126
risco. Nessa classe de risco, particularmente, um controle mal empregado
pode elevar o risco para a classe mais elevada. É uma categoria de risco que,
por ter uma avaliação de baixo impacto, às vezes, a sua prevenção fica
reduzida a ferramentas tecnológicas, excluindo-se o fator humano, o que
poderá comprometer a eficácia da medida de tratamento para o risco.
Para os riscos classificados como muito baixos (baixo impacto e baixa
probabilidade), os controles são estabelecidos tendo como parâmetro o valor
financeiro do possível dano, e geralmente são monitorados por equipamento
de proteção, ou atividades rotineiras, ou são aceitos pela organização.
Os riscos que mais desafiam os negócios, segundo levantamento da
The Economist Intelligence Unit, realizado com 269 executivos de empresas
globais, foram, por ordem de prioridade: 1- Reputação: ameaças à imagem de
produtos ou marcas; 2- Regulatório: desrespeito à legislação; 3- Capital
humano: escassez de talentos e turbulências na sucessão; 4- Tecnologia:
falhas operacionais e no sistema de segurança; 5- Mercado: desvalorização
dos ativos; 6- Crédito: inadimplência dos clientes; 7- País: desafios específicos
de uma região; 8- Financiamento: dificuldade de obter crédito; 9- Terrorismo;
e 10- Desastres naturais (HERZOG, 2005, p. 84-86).
Especial atenção deve ser dispensada aos riscos de baixa
probabilidade e alto impacto. Às vezes, por serem praticamente descartados,
quando ocorrem, esses riscos pegam a organização totalmente despreparada
para ações contingenciais, o que pode interromper, definitivamente, as
atividades da instalação portuária. Geralmente eles são negligenciados e têm
o potencial de destruir o valor da empresa.
Outro aspecto importante para a auditoria tem relação com o
inventário de segurança e risco (se houver), que é um documento no qual a
instalação portuária relaciona o produto, as atividades, os riscos relacionados,
as medidas de proteção e outras informações importantes para esse tipo de
auditoria. Juntamente com as medidas estabelecidas no estudo dos riscos,
esse inventário deverá fazer parte dos documentos-base para o início da
auditoria.
De posse do inventário de risco (se houver) e das medidas
estabelecidas no estudo do risco (avaliação de riscos), o auditor estabelecerá
o roteiro para o seu exame, considerando os riscos pela sua criticidade,
devendo dar atenção específica àqueles cujos controles estejam
127
exclusivamente sob as atividades humanas, não excluindo, também, os de
baixa probabilidade. Neste último caso, mesmo que o estudo do risco tenha
praticamente descartado o risco, deve o auditor observar os cenários de
riscos (incidentes) estabelecidos no ISPS Code.
O exame do auditor deve ser minucioso, analisando os registros de
eventos, suas consequências e ações de resposta, observando o tempo
demandado para a total recuperação. A verificação das medidas mitigadoras
deve ser feita in loco, com a constatação de equipamentos e apetrechos, e
mediante entrevista com pessoal envolvido na atividade de risco e na
proteção da instalação portuária.
As não conformidades devem ser relacionadas, acrescentando seus
possíveis impactos, e declinando um prazo para a sua correção, ou aceitação
do risco.
Como podemos concluir, a auditoria para o controle de riscos é uma
auditoria especial e de fundamental importância para a manutenção de um
gerenciamento de riscos eficiente e eficaz, e como garantia da manutenção
do padrão internacional de proteção das instalações portuárias.
128
4 CHECKLIST
O Checklist, ou lista de verificação, é um roteiro para a auditoria. É um

papel de trabalho que auxilia o auditor na verificação das conformidades. É
considerado uma ferramenta de trabalho fundamental para o sucesso de uma
auditoria.
O Checklist deve ser elaborado com base nos documentos de
referência, requisitos normativos e relatórios57 de auditorias já realizadas,
acrescido de aspectos que o auditor entenda ser interessantes e necessários,
de acordo com as informações coletadas na fase preparatória, quando da
visita prévia e do levantamento realizado nos registros de auditorias passadas
e outros documentos.
Quando, por motivos alheios à vontade do auditor, não seja possível
realizar uma visita prévia, nem realizar a análise crítica dos documentos antes
do início da auditoria, o auditor deve dedicar uma atenção especial à
elaboração das listas de verificações.
A elaboração das listas de verificações é uma atividade que requer
dedicação e muita atenção aos detalhes. Nos capítulos anteriores deste livro,
foi dada ênfase aos principais itens que deveriam ser examinados nas
auditorias em instalações portuárias. Esses itens, devem necessariamente
constar da listas de verificação do auditor, sendo acrescentados os itens que
ele considera necessários e indispensáveis para o seu exame.
Contudo, sabemos que a elaboração dos checklist não é tarefa das
mais simples. Dessa forma, dentre os vários modelos pesquisados, analisados
e utilizados, verificamos que dois métodos predominam na elaboração dessas
listas de verificação.
Um deles é a elaboração do Checklist seguindo cada item da norma de
referência. Nesse método, os itens da norma são transformados em
perguntas, ou simplesmente reproduzi-los, conforme a própria norma de
referência. É um método mais rígido e limitado, predominando nas auditorias
de certificação, quando da verificação de requisitos normativos.
O outro método é a elaboração dessas listas com base não apenas nos
domínios das normas de referência, mas também na liberdade do auditor em
57
No exame desses relatórios, a atenção deve estar direcionada para às não-conformidades.
129
acrescentar itens de verificações que entender necessários ao exame do
controle, para ter a certeza da constatação da conformidade do item
auditado. É um método mais flexível e de excelente resultado nas auditorias
operacionais, principalmente quando da verificação de conformidade.
Um outro método que identificamos é a elaboração do checklist com
base na compreensão do sistema de controle, em que o auditor elabora a sua
lista de verificação baseando-se na finalidade do controle, ou no domínio de
controle, e em possíveis brechas de vulnerabilidades. É um método
alternativo, que auxilia o auditor nas verificações operacionais e de excelente
utilização nas auditorias especiais, e na avaliação da eficácia.
Todos os métodos têm suas características e benefícios. Contudo, de
maneira geral, as principais vantagens de um checklist são: roteiro para
auditar, foco nos controles, economia de tempo, seqüência lógica (com ou
sem perguntas) e registro para as auditorias futuras.
Considerando a finalidade didática desse livro e para uma melhor
abordagem dos métodos de elaboração das listas de verificação,
apresentaremos a seguir exemplos de listas de verificação baseadas nesses
métodos.
Atenção especial deve ser dada aos modelos apresentados, devendo-
se observar que não serão esgotadas as possibilidades de novos itens para
compor as listas de verificação apresentadas.
4.1 Checklist 1
Iniciaremos pelo método mais rígido, que é o da elaboração do

checklist com base na reprodução, na íntegra, dos tópicos da norma.
O modelo a seguir apresenta a seguinte estrutura58: identificação do
documento, identificação da instalação portuária, nome do auditor, data da
auditoria, como parte constante do cabeçalho. No corpo das verificações, na
coluna (A) deve constar a norma de referência; na coluna (B) devem ser
colocados os itens da norma de referência; na coluna verificação (C) devem
ser colocados os itens a ser verificados; na coluna resultados (D) devem ser
colocados os comentários que o auditor considere importantes e as
58
A estrutura apresentada é uma sugestão do autor.
130
conformidades; na coluna (E) deve ser identificado que domínio está sendo
auditado.
CHECKLIST
INSTALAÇÃO PORTUÁRIA: AUDITORIA DATA:

AUDITOR NOME:
AUDITORIA CHECKLIST- ISPS Code- Parte A (A)
REFERÊNCIA (B) VERIFICAÇÃO (C) RESULTADOS (D)
Norma Comentários Conformidade
(E)
Neste exemplo, utilizaremos a parte A, item 16 do ISPS Code, que se

refere ao plano de proteção das instalações portuárias. Para facilitar a
compreensão, reproduzimo-nos abaixo:
Exemplo: Item 16 do ISPS Code (plano de proteção das instalações
portuárias)
16.1. Um plano de proteção das instalações portuárias,

adequado para a interface navio/porto, deverá ser elaborado
e mantido, com base em uma avaliação de proteção das
instalações portuárias, para cada instalação portuária. O
plano deverá incluir disposições relativas aos três níveis de
proteção, conforme previsto nesta Parte do Código.
16.1.1. Sujeito às disposições da seção 16.2, uma organização
de proteção reconhecida poderá preparar o plano de
proteção das instalações portuárias de uma determinada
16.2. O plano de proteção das instalações portuárias deverá
ser aprovado pelo Governo Contratante em cujo território a
instalação portuária esteja localizada.
16.3. Este plano deverá ser elaborado levando em conta as
diretrizes constantes da parte B deste Código e deverá ser
redigido no idioma de trabalho da instalação portuária. O
plano deverá cobrir, pelo menos, o seguinte:
131
1. medidas para prevenir que armas, substâncias perigosas e
dispositivos destinados ao uso contra pessoas, navios ou
portos, e cujo transporte não seja autorizado, sejam
introduzidos em uma instalação portuária ou a bordo de um
navio;
2. medidas para prevenir o acesso não autorizado a
instalações portuárias, a navios atracados nestas instalações
e a áreas de acesso restrito das instalações portuárias;
3. procedimentos para responder a ameaças de proteção e a
violações da proteção, incluindo disposições relativas à
manutenção de operações críticas da instalação portuária ou
da interface navio/porto;
4. procedimentos para atender a quaisquer instruções de
proteção que os Governos Contratantes, em cujo território a
instalação portuária esteja localizada, possam dar para o
nível 3 de proteção;
5. procedimentos para evacuação no caso de ameaças de
proteção ou de violações da proteção;
6. deveres do pessoal das instalações portuárias com
responsabilidades de proteção e deveres de qualquer outro
pessoal das instalações portuárias relativos a aspectos de
proteção;
7. procedimentos para a interface com atividades de
proteção do navio;
8. procedimentos para a revisão periódica e atualização do
plano;
9. procedimentos para reportar incidentes de proteção;
10. identificação do funcionário de proteção das instalações
portuárias, incluindo informações para contato 24 horas;
11. medidas para assegurar a proteção das informações
contidas no plano;
12. medidas desenvolvidas para assegurar a proteção efetiva
da carga e dos equipamentos de manuseio de carga na
instalação portuária;
13. procedimentos para auditar o plano de proteção das
instalações portuárias;
132
14. procedimentos para responder caso o sistema de alarme
de proteção de um navio localizado na instalação portuária
tenha sido ativado; e
15. procedimentos para facilitar a licença em terra para o
pessoal de bordo ou para mudanças de pessoal, bem como
para facilitar o acesso de visitantes ao navio, incluindo
representantes de organizações trabalhistas e de instalações
para o bem-estar de marítimos;
16.3.1. O pessoal que estiver conduzindo auditorias internas
das atividades de proteção especificadas no plano ou estiver
avaliando a sua implementação deverá ser independente das
atividades auditadas, a menos que isto seja impraticável
devido ao tamanho e natureza da instalação portuária.
16.4. O plano de proteção das instalações portuárias poderá
ser combinado ou ser parte do plano de proteção do porto
ou de quaisquer outros planos de emergência do porto.
16.5. O Governo Contratante em cujo território a instalação
portuária esteja localizada deverá determinar quais
alterações ao plano de proteção das instalações portuárias
não deverão ser implementadas a menos que as emendas
relevantes ao plano sejam por ele aprovadas.
16.6. O plano poderá ser mantido em formato eletrônico.
Neste caso, deverá ser protegido através de procedimentos
destinados a prevenir a sua eliminação, destruição, ou
emenda não autorizada.
16.7. O plano deverá ser protegido contra o acesso ou
divulgação não autorizada.
16.8. Os Governos Contratantes poderão permitir que um
plano de proteção das instalações portuárias cubra mais de
uma instalação portuária se o operador, a localização, a
operação, os equipamentos e o projeto destas instalações
portuárias forem semelhantes. Qualquer Governo
Contratante que permita tal procedimento alternativo
deverá comunicar à Organização os detalhes do mesmo.
133
AUDITORIA CHECKLIST- ISPS Code- Parte A59
Norma VERIFICAÇÃO RESULTADOS
Comentários Conformidade
INSTALAÇÕES PORTUÁRIAS
16 PLANO DE PROTEÇÃO DAS INSTALAÇÕES PORTUÁRIAS
16.1 Existência de um plano de proteção das instalações
portuárias adequado para a interface navio/porto.
Plano elaborado e mantido com base em uma
avaliação de proteção das instalações portuárias
para cada instalação portuária.
Identificação de três níveis de proteção e suas
disposições.
Elaboração do Plano de proteção por organização
reconhecida.
16.2 O plano de proteção das instalações portuárias
aprovado pelo Governo Contratante do território
onde a instalação portuária está localizada.
16.3 Identificação, no plano, de diretrizes constantes da

parte B do ISPS Code.
Identificação do idioma do plano e do idioma de
trabalho da instalação portuária.
Identificação no plano de:
1. medidas para prevenir que armas,
substâncias perigosas e dispositivos
destinados ao uso contra pessoas, navios
ou portos, e cujo transporte não seja
autorizado, sejam introduzidos em uma
instalação portuária ou a bordo de um
navio;
2. medidas para prevenir o acesso não
autorizado a instalações portuárias, a
navios atracados nessas instalações e a
áreas de acesso restrito das instalações
portuárias;
59
Código Internacional para a proteção de navios e instalações portuárias (ISPS Code). A parte A
do código dispõe sobre os requisitos obrigatórios das disposições do capítulo XI-2 SOLAS 74.
134
3. procedimentos para responder a ameaças
de proteção e a violações da proteção,
incluindo disposições relativas à
manutenção de operações críticas da
instalação portuária ou da interface
navio/porto;
4. procedimentos para atender a quaisquer
instruções de proteção que os governos
contratantes, em cujo território a
instalação portuária esteja localizada,
possam dar para o nível 3 de proteção;
5. procedimentos para evacuação no caso
de ameaças de proteção ou de violações
da proteção;
6. deveres do pessoal das instalações
portuárias com responsabilidades de
proteção e deveres de qualquer outro
pessoal das instalações portuárias
relativos a aspectos de proteção;
7. procedimentos para a interface com
atividades de proteção do
navio;procedimentos para a revisão
periódica e atualização do
plano;procedimentos para reportar
incidentes de proteção;
8. identificação do funcionário de proteção
das instalações portuárias, incluindo
informações para contato durante 24
horas;
9. medidas para assegurar a proteção das
informações contidas no plano; medidas
desenvolvidas para assegurar a proteção
efetiva da carga e dos equipamentos de
manuseio de carga na instalação
portuária;
10. procedimentos para auditar o plano de
proteção das instalações portuárias;
11. procedimentos para responder caso o
sistema de alarme de proteção de um
navio localizado na instalação portuária
tenha sido ativado; e
135
12. para facilitar a licença em terra para o
pessoal de bordo ou para mudanças de
pessoal, bem como para facilitar o
acesso de visitantes ao navio, incluindo
representantes de organizações
trabalhistas e de instalações para o bem-
estar de marítimos;
16.3.1 Identificação da independência das atividades do
pessoal de auditoria interna das atividades
auditadas.
16.4 Integração e combinação do plano de proteção
das instalações portuárias com outros planos do
porto.
16.5 Identificação de restrições às alterações do plano
pelo governo contratante em cujo território a
instalação portuária esteja localizada.
16.6 Existência de proteções para plano em formato
eletrônico, para prevenir a sua eliminação,
destruição ou emenda não autorizada.
16.7 Identificação da existência de proteção do plano

contra o acesso ou divulgação não autorizada.
16.8 Existência de permissão dos governos
contratantes para a cobertura do plano de
proteção das instalações portuárias para mais de
uma instalação portuária.
Como podemos analisar, a elaboração da lista contempla os pontos da

norma de referência, em ordem cronológica, item por item.
4.2 Checklist 2
O modelo que apresentaremos nesse tópico caracteriza-se pelo fato

de a lista de verificação ser construída com base em perguntas, não se
limitando aos itens da norma.
O modelo apresenta a seguinte estrutura60: identificação do
60
136
auditoria, norma de referência, como parte constante do cabeçalho. No corpo
das verificações, deve constar que parte da norma está sendo verificada (A);
descriminar cada item da verificação na coluna item (B); na coluna verificação
deve ser aposto cada item a ser verificado (C); nas colunas de atende (D), não
atende (E) e não-observado (F), o que for constatado.
CHECKLIST
INSTALAÇÃO PORTUÁRIA:
NOME AUDITOR: AUDITORIA DATA:
REFERÊNCIA: ISPS Code- Parte A
(A) O QUE ESTÁ SENDO VERIFICADO
ITEM VERIFICAÇÃO SIM NÃO NO
(B) (C) (D) (E) (F)
OBS: A coluna item (B) pode ser dividida em duas colunas, uma para o item da
auditoria e outra para o item de referência da norma. É opcional e não influencia
diretamente no resultado da auditoria.
Para efeito didático e de comparação entre esses dois modelos,

utilizaremos os mesmos itens do tópico anterior (ISPS Code, parte A, item 16).
PLANO DE PROTEÇÃO DAS INSTALAÇÕES PORTUÁRIAS

ITEM VERIFICAÇÃO SIM NÃO N/A
1 A instalação possui um plano de proteção atual?
Data do plano ____/____/____
Data da última revisão ____/____/____
2 O plano foi elaborado com base em avaliação de
proteção das instalações portuárias?
Data da avaliação ____/____/____
3 Os três níveis de proteção estão definidos no plano?
4 O plano foi elaborado por organização reconhecida?
5 O plano foi aprovado pelo governo contratante?
Data da aprovação ____/____/____
6 O plano foi redigido no idioma de trabalho da região em
que a instalação portuária está localizada?
7 O plano fornece as medidas e os equipamentos
137
necessários para prevenir a entrada de armas e
equipamentos perigosos nas instalações e às
embarcações ancoradas?
8 O plano estabelece medidas para prevenir o acesso não
autorizado às instalações e embarcações ancoradas?
9 O plano descreve procedimentos para responder a
ameaças de proteção e a violações da proteção,
incluindo operações críticas da instalação ou interface
navio/porto?
10 O plano inclui procedimentos que devem ser incluídos,
especificamente, nos casos de:
10.1 Ameaça terrorista ou de bomba?
10.2 Explosão ou detonação?
10.3 Fogo nas instalações ou nas embarcações ancoradas na
instalação?
10.4 Desastres naturais?
10.5 Situação que envolvem reféns?
10.6 Distúrbios civis/ greve de funcionários?
10.7 Desastres naturais?
10.8 Procedimentos de evacuação de emergência?
11 O plano descreve exatamente as medidas de proteção e
do uso da força?
12 O plano prevê procedimentos para atender a quaisquer
instruções do governo contratante, para o nível 3 de
proteção?
13 O plano inclui procedimentos para obter assistência e
suporte da aplicação da lei, unidades federal, estadual e
municipal de combate ao fogo, ameaça de bomba e
desastres naturais?
14 O plano possui procedimentos para reportar incidentes
de proteção?
15 O plano possui a descrição das responsabilidades do
pessoal de proteção das instalações e de seus
funcionários com relação aos aspectos de proteção?
16 O plano possui cadastro atualizado do pessoal de
proteção com procedimentos para contato durante 24
horas?
138
17 O plano estabelece mecanismo para o reconhecimento
de todas as pessoas do trabalho, inclusive seus nomes?
18 O plano estabelece medidas para a avaliação de
funcionários antes da sua contratação?
19 O plano possui medidas que assegurem a proteção das
informações do plano?
20 O plano possui medidas para proteger a carga e seu
manuseio na instalação portuária?
21 O plano estabelece procedimentos para a realização de
auditorias?
22 O plano descreve procedimentos para responder aos
sinais de alarme dos navios na instalação portuária?
23 O plano descreve procedimentos para facilitar a licença
em terra para o pessoal de bordo ou para mudanças de
pessoal, bem como para facilitar o acesso de visitantes
ao navio, incluindo representantes de organizações
trabalhistas e de instalações para o bem-estar de
marítimos?
24 O plano é combinado com parte de outro plano de
proteção de outra instalação portuária?
25 O plano possui uma planta com todos os pontos de
acesso, áreas de trabalho, áreas de armazéns, de
carregamento de cargas, devidamente identificados?
26 O plano possui procedimentos que permitam o contato
com as pessoas do trabalho?
27 O plano possui procedimentos para sua revisão
periódica e atualização?
28 O plano estabelece mecanismo para o reconhecimento
de todas as pessoas do trabalho, inclusive seus nomes?
29 O plano estabelece medidas para a avaliação de
funcionários antes da sua contratação?
30 O plano possui medidas para serem adotadas nos casos
de levantamento de risco?
Como podemos observar, a elaboração da lista contempla todos os

pontos da norma de referência; contudo, pode ser verificado que foram
139
incluídos itens que não estavam constando na norma de referência, como o
desdobramento do item 10 da lista acima.
Este desdobramento tem como objetivo o de fornecer ao auditor a
certeza de que determinado controle apresenta evidências de auditoria, ou
seja, está em conformidade com o estabelecido, está implementado e está
sendo cumprido.
4.3 Checklist 3
Outro método de elaboração de checklist baseia-se no estudo do

controle e na compreensão do sistema de proteção. Esse método considera a
finalidade para a qual os controles foram criados, ou seja, fundamenta-se nos
objetivos de controle ao identificar a sua principal finalidade e a sua eficácia
no sistema como um todo.
Um aspecto a ser observado no emprego deste método é com relação
aos objetivos de controle, que são estabelecidos com base nas normas e
regulamentos, nas obrigações contratuais, nos negócios da organização e nos
resultados das avaliações de riscos.
Os objetivos de controle representam a finalidade para qual o controle
foi criado. Normalmente, esses objetivos estão diretamente relacionados com
os domínios da norma.
Os controles de um sistema estão representados nas políticas,
procedimentos, diretrizes, práticas e estruturas da organização. Dependem
das decisões que a organização toma baseada em critérios estabelecidos para
o estabelecimento de um padrão, que no caso específico é o estabelecimento
de um padrão internacional de proteção em instalações portuárias.
As principais fontes para o estabelecimento de controles estão na
avaliação de riscos, na legislação e nos princípios, objetivos e requisitos de
negócios. Nas instalações portuárias, a fonte principal para o estabelecimento
de controles é o ISPS Code, que estabelece um conjunto de controles e
diretrizes para a proteção de navios e instalações portuárias. As suas outras
fontes de controle são as avaliações de proteção com base nos riscos e as
normas que regulamentam o segmento.
140
Todo e qualquer controle tem um objetivo maior, que justifica o seu
maior motivo de implantação, ou seja, o porquê da sua existência.
Esses objetivos já podem vir explicitados na norma. Como exemplo de
objetivo de controle, citaremos o do domínio política de segurança da
informação da norma NBR ISO/IEC 27002:2005, que apresenta o seguinte
objetivo de controle: prover uma orientação e apoio da direção para a
segurança da informação de acordo com os requisitos do negócio e com leis e
regulamentos relevantes.
Contudo, existem normas em que o objetivo de controle não aparece,
como é o caso dos controles previstos no ISPS Code. Nesse caso, a
identificação dos objetivos de controle deverá ser feita com base no que
representa aquele domínio para o sistema de proteção.
Dessa forma, o objetivo de controle para o domínio “avaliação da
proteção das instalações portuárias” deverá ser identificado em relação ao
que se propõe a avaliação de proteção. Como sabemos, a avaliação de
proteção é o processo de identificação, avaliação e análise de riscos, para
priorizá-los de acordo com os critérios estabelecidos para a aceitação e
tratamento desses riscos. Diante disso, o objetivo de controle para esse
domínio pode ser identificado como: prover uma orientação para avaliar a
proteção das instalações portuárias com base nos riscos e requisitos de
negócios.
Caso o auditor não deseje identificar na sua lista de verificação o
objetivo de cada domínio de controle a ser examinado, pelo fato de não
estarem previamente definidos, faz-se necessário, no mínimo, que ele
compreenda o sistema de proteção e a finalidade de seus controles, para que
possa atingir melhor os objetivos da auditoria.
Para isso, vamos adotar como exemplo o controle de acesso, que é
uma das áreas críticas em sistemas de proteção. Dessa forma, tomaremos
como pressuposto que os requisitos normativos já estão contemplados na
lista de verificação, e que o auditor avalia que esses itens não são suficientes
para garantir que o seu exame alcance o objetivo em atestar que os controles
implementados atendem ao padrão internacional de proteção do ISPS Code.
O ponto de partida é entender qual o objetivo de controle para o
controle de acesso. O objetivo principal de um sistema de controle de acesso
é o de prevenir o acesso indevido e controlar o fluxo de acesso à instalação e
141
aos seus sistemas, de forma a garantir o pleno funcionamento das operações
e a continuidade dos negócios. Nesse sentido, o objetivo de controle seria o
de controlar o acesso, prevenir o acesso não autorizado e evitar danos e
interferências nos negócios da instalação portuária.
Identificada essa premissa, o passo seguinte é compreender o
controle de acesso. Como se sabe, o controle de acesso tem como suporte
três pilares: as normas e procedimentos, a tecnologia e os equipamentos e o
recurso humano. Esses pilares devem constar na montagem da lista de
verificação ao se considerar o objetivo de controle identificado, bem como os
controles implementados.
Nessa vertente, o auditor elaborará o checklist observando a força de
proteção, os equipamentos e sistemas e os procedimentos de controle de
acesso.
O exemplo abaixo apresenta uma amostra de como o auditor poderá
elaborar o seu checklist. Nesse exemplo, são considerados os seguintes
aspectos: o perímetro de segurança e suas barreiras, os controles para a
entrada física na empresa e nos locais de trabalho e a força de proteção.
O modelo abaixo apresenta a seguinte estrutura61: identificação do
auditoria, domínio de controle, e objetivo de controle como parte constante
do cabeçalho. No corpo das verificações, constará o que está sendo verificado
(A), descriminando cada item da verificação na coluna item (B), na coluna
verificação deve ser posto cada item a ser verificado (C), nas colunas de
atende (D), não atende (E) e não-observado (F), o que for constatado.
CHECKLIST
INSTALAÇÃO PORTUÁRIA:
NOME AUDITOR: AUDITORIA DATA:
Domínio: Acesso às instalações portuárias
Objetivo de controle: Controlar o acesso, prevenir o acesso não autorizado e evitar
danos e interferências nos negócios da instalação portuária.
61
142
(B) (C) (D) (E) (F)
ACESSO CONTROLADO ÀS INSTALAÇÕES PORTUÁRIAS

1 O perímetro da instalação está devidamente demarcado
e protegido por muros, cercas, barreiras, etc.?
2 Existem barreiras adequadas nos locais de acesso para
prevenir o acesso não autorizado às instalações?
3 Existem procedimentos definidos para o cadastramento
e a autorização de acesso às instalações?
4 Existem procedimentos definidos para o acesso às
instalações?
5 O material das barreiras é inspecionado periodicamente
para determinar a sua eficácia devido à erosão ou ao
uso? Qual o período?
6 A área de negócios está protegida por barreiras (muro,
cercas, etc.), e até coberta por outros meios, como
CFTV?
7 Todas as barreiras possuem uma distância mínima do
posto de controle? Qual a distância?
8 Existem sistemas de identificação de pessoas e cartão
identificador para os funcionários?
9 São todos os funcionários obrigados a exibir
permanentemente a sua identificação (crachá ou
equivalente) enquanto estiverem exercendo suas
atividades na instalação portuária?
10 Existe meio para identificar determinado nível (1,2 e 3)
de proteção?
11 Todas as pessoas que não utilizam identificação (crachá,
etc.) são tratadas como estranhas e questionadas sobre
a sua permanência naquele local?
12 Os pontos de controle de acesso verificam os cartões de
identificação antes deixarem as pessoas entrar?
13 Existe supervisão de identificação pessoal e controle de
sistema em todos os pontos de acesso?
14 Os crachás são registrados com um número serial e
143
código de barras (ou outro mecanismo) e são
controlados por procedimentos rígidos?
15 Os crachás extraviados são substituídos com o número
serial diferente do anterior? O extravio é registrado em
local específico e comunicado aos postos de controle?
16 Existem procedimentos para fornecer crachá aos
funcionários que tiverem esquecidos os seus?
17 Os crachás são utilizados de diferentes formas para que
a vigilância possa identificar se determinado funcionário
ou pessoa esteja em local não autorizado?
18 Os procedimentos para o recolhimento dos crachás de
identificação são eficientes?
19 Existem procedimentos e efetivo para acompanhar
pessoas, quando necessário, dentro da instalação?
20 Existem procedimentos para escoltar membro de
tripulação de embarcações ancoradas?
21 Existem procedimentos para motoristas, vendedores e
outros visitantes que acompanham pessoal de
negócios?
22 Os registros dos visitantes são mantidos e facilmente
acessíveis?
23 Existem procedimentos de controle de tráfego na
instalação?
24 O estacionamento é supervisionado e restrito apenas
para os veículos próprios e os veículos controlados?
25 O estacionamento permitido mantém registro e
identificação do veículo e inclui sistema de vigilância?
26 Todos os veículos não autorizados são solicitados a
estacionar em áreas de estacionamento específicas para
visitantes?
27 Os estacionamentos de empregados, funcionários das
docas e visitantes ficam a determinada distância das
docas? Qual a distância?
28 Barreiras, túnel, portas de inspeção de esgoto e acesso
utilizado e elevadores que permitem o acesso são
devidamente seguros?
ACESSO RESTRITO ÀS INSTALAÇÕES PORTUÁRIAS
144
29 Existem áreas destinadas e identificadas como áreas
restritas?
30 As medidas específicas para as áreas restritas
apresentam resultados?
31 Os postos de controle de acesso às áreas restritas estão
devidamente postados?
32 Toda a área restrita é devidamente cercada ou murada?
33 Essas áreas possuem sistemas de identificação e
controle em todos os postos de controle e com
alarmes?
34 Existe controle para o acesso às informações e
equipamentos nessas áreas?
35 As pessoas que não possuem acesso a essas áreas e as
que têm acesso temporário são monitoradas em todo o
seu percurso?
36 Todas essas áreas possuem sistema de controle de
acesso e pessoal de vigilância?
37 Os pontos de acesso às áreas restritas são seguros?
38 A segurança realiza patrulhas rotineiras nessas áreas?
39 Existem procedimentos definidos para o nível de
proteção 2 e são eles guardados nessas áreas?
40 Existem procedimentos definidos para o nível de
proteção 3 e são eles guardados nessas áreas?
FORÇA DE PROTEÇÃO
41 Todos os postos (fixos e móveis) são guarnecidos com
força pública (ou privada) de proteção?
42 A força de proteção está disposta conforme o plano de
emprego ou o contrato de prestação de serviço?
43 É realizada uma checagem nos funcionários que têm
acesso às áreas controladas e restritas?
44 A força de proteção é identificada por uniforme,
distintivo e autorização para a área específica?
45 O oficial de proteção das instalações inspeciona a força
de proteção pelo menos uma vez por dia?
46 A força de proteção realiza patrulhas, incluindo
145
escritórios, molhe e perímetro de acesso à instalação?
47 As patrulhas realizadas incluem a verificação de todos
os pontos de acesso exterior e interior?
48 A força de proteção possui local exclusivo para a
coordenação e outras atividades essenciais aos serviços
executados?
49 Existem procedimentos combinados previamente para
a força de proteção adotar em casos de crise ou
emergências?
50 Existem procedimentos para a composição de força
tarefa, incluindo o comitê do porto e instituições
federais, estaduais e municipais?
51 A força de proteção registra a sua passagem nos postos
por meio de marcadores, bastão eletrônico, telefone,
etc.?
52 A força de proteção realiza rondas em tempos e
itinerários variados para evitar o estabelecimento de
rotina?
53 Os registros de treinamento individual são mantidos no
local?
54 Todo o pessoal da força de proteção possui
treinamento para portar arma de fogo?
55 A força de proteção possui equipamento, veículos
identificados para dar resposta a incidentes de
proteção?
56 Os veículos possuem luzes intermitentes e giratórias?
57 Apenas agentes da lei e outros autorizados portam
arma de fogo na instalação portuária?
58 O oficial de proteção das instalações portuárias
inspeciona, pelo menos uma vez por mês, as barreiras
de proteção, as áreas limpas e outros pontos críticos
que possam ser utilizados para o acesso à instalação
portuária?
59 Os registros dessas inspeções são mantidos e
facilmente acessíveis?
60 O sistema de detecção de invasão é sinalizado e
monitorado de um ponto central, de modo que a força
146
de resposta possa ser iniciada desse ponto?
61 Todos os pontos de acesso são fechados quando não
utilizados?
62 Existem medidas para a proteção do fornecimento de
energia e transmissão para a instalação?
63 Existem medidas para a proteção do centro de
comunicação e equipamentos?
64 As deficiências percebidas e as ações para a sua
correção são prontamente efetuadas?
65 As lâmpadas e a iluminação são substituídas
imediatamente?
66 A força de proteção confere as instalações nos finais de
semana e nos horários pós funcionamento?
67 A força de proteção possui códigos para atuar em
situações de emergência?
147
148
5 NÃO CONFORMIDADES E IRREGULARIDADES
O auditor exerce a sua atividade pautada nos procedimentos de

auditoria e nas leis, normas e regulamentos da sua profissão. O exame que
realiza é focado nos objetivos da auditoria e nos objetivos de controle,
lastreados nos documentos-base e nos critérios estabelecidos pela
organização para a atividade de negócios e por órgãos regulamentadores.
As conclusões e os resultados da auditoria decorrem da análise e
interpretação das evidências encontradas, que são dispostas no relatório da
auditoria, documento no qual o auditor descreve o trabalho por ele
executado.
No relatório deve constar o escopo da auditoria e seus objetivos, a
natureza, a amplitude, o tempo de duração e a extensão do trabalho, as
constatações, as conclusões e recomendações, explicitando as restrições e
limitações quanto ao escopo, além das irregularidades e não conformidades
encontradas. Essas irregularidades e não conformidades requerem uma
atenção específica no relato das atividades do auditor.
As não conformidades dizem respeito a tudo aquilo que estiver em
desacordo com os requisitos normativos, independentemente de terem uma
relação insignificante com o comprometimento dos negócios. Elas podem
estar relacionadas com a simples inobservância do controle implementado,
com a cultura organizacional em ignorar o cumprimento de controles, e com
erros, omissões e práticas fraudulentas.
Na prática, o exame de auditoria geralmente detecta irregularidades e
não conformidades. Essa vertente tem provocado determinada mudança no
perfil do auditor e da auditoria, ao demandar uma atenção específica para o
planejamento da auditoria e uma maior perspicácia dos auditores no exercício
de suas atividades. Aliás, essa é uma tendência da auditoria, que tem se
apresentado como uma excelente ferramenta na prevenção, detecção e
monitoramento dos riscos corporativos.
Uma discussão necessária para a auditoria é a diferença entre não
conformidades e irregularidades, mesmo sabendo que aqueles
procedimentos que estiverem em desacordo com os padrões são tidos como
149
irregulares face a esses padrões. Dessa forma, vislumbra-se a necessidade de
se diferenciar as não conformidades das irregularidades.
As não conformidades podem ser compreendidas como critérios e
requisitos normativos não alcançados pelos controles implementados, ou
como decorrentes do mau desempenho das atividades de controle, bem
como da fragilidade das pessoas que resistem, involuntariamente, na
permanência do status quo anterior à criação do controle, desempenhando
suas atividades sem perceber os novos padrões estabelecidos.
As principais causas de não conformidades estão relacionadas com a
cultura da organização, com a falta de divulgação e treinamento dos
procedimentos de controle, com a escassez de recursos e a utilização da
tecnologia. Essas não conformidades geralmente são saneadas com a
implementação das recomendações do auditor e com uma fiscalização mais
presente dos gerentes.
As irregularidades podem ser compreendidas como atividades
intencionais para a violação das políticas, normas e procedimentos. O
elemento caracterizador da irregularidade é a intenção de violar, quebrar,
enganar, ou seja, não cumprir, intencionalmente, um procedimento de
controle.
Mesmo que uma não conformidade seja entendida de certa forma
como uma irregularidade, é interessante que o auditor faça uma pequena
distinção no seu relatório entre não conformidades e irregularidades, dando
ênfase a estas últimas como ações intencionais.
Uma irregularidade pode estar apenas relacionada com a vontade de
quebrar determinada norma de controle, sem querer causar um dano real aos
negócios, caracterizando assim uma postura contra a política de controle
interno. Contudo, todas essas irregularidades devem ser combatidas com
bastante rigor e com critérios de punibilidade para que os controles possam
ser cumpridos e a política implementada na sua totalidade.
Essa característica da irregularidade apresenta relação direta com a
resistência interna em aceitar novos tipos de controles, e geralmente se
apresenta na forma de: violações intencionais em implementar políticas,
violações intencionais de requisitos normativos, ação deliberada para
desobedecer a procedimentos, omissão de informações sobre as atividades
auditadas, negligência, bem como o cometimento de infrações sem intenção.
150
A questão do dano é muito subjetiva, uma vez que, não ocorrendo um
dano mensurável, pode-se pensar que não houve uma irregularidade, ou
sendo ele de pequeno impacto, ou mesmo desprezível, pode-se tender a não
considerar o ato como uma irregularidade.
Contudo, a burla de um controle pelo simples prazer de burlar traz
prejuízos, no mínimo, à política e à ética funcional, carecendo de punição. Não
possuir critérios de punição no caso de descumprimento de controles é
semear a cultura da aversão aos controles. A melhor política de incentivo aos
controles é o estabelecimento de premiação pelo cumprimento, e de punição
para o não cumprimento dos controles.
De todas as irregularidades, aquelas que mais preocupam são as
fraudes, e por isso demandam maior atenção. Estudos recentes realizados
pela KPMG e Ernst & Young demonstram o tamanho dessa preocupação.
A pesquisa62 realizada pela KPMG63 apontou que as principais razões
para o aumento das fraudes estavam no enfraquecimento dos valores sociais
e morais (63%), nas falhas no sistema de controle (59%), na impunidade (55%) e
nas pressões econômicas (46%). Esse estudo apontou que 73% das fraudes
ocorreram por insuficiência de controles internos, que os principais agentes
fraudadores foram funcionários e gerentes (48%) e prestadores de serviço
(21%), e que os principais responsáveis pela descoberta das fraudes nas
corporações pesquisadas foram a auditoria interna e os controles internos
(KPMG, 2003).
Nessa direção, a pesquisa64 realizada pela Ernst & Young apresentou
semelhanças com o risco da fraude, com 55% das fraudes cometidas por
gerentes e 30% cometidas por funcionários, o que totaliza 85% das fraudes
cometidas por pessoas de dentro da companhia, ratificando a ineficácia do
sistema de controle interno como um dos fatores que contribuíram para essas
fraudes (Ernst & Young, 2003).
62
Essa pesquisa sobre a fraude no Brasil foi realizada com cerca de 1.000 das maiores empresas
do setor público e privado, com um faturamento entre 50 milhões e 5 bilhões de reais.
63
A KPMG é uma rede global de firmas de serviço e assessoria profissional, presente em mais
de 150 países.
64
Essa pesquisa foi realizada nas maiores empresas de diversos segmentos ao redor do mundo.
151
A fraude, pela sua própria definição, é “engano”, “astúcia para causar
dano”, “dolo”, ou seja, para que haja a fraude é necessário que exista a
vontade, a intenção de se fazer algo com a intenção de enganar.
As irregularidades fraudulentas caracterizam-se pela vontade de
enganar para cometer a fraude, ou na cumplicidade ou parcela de culpa para
esconder essas atividades, ou omitir informações sobre elas. Estão presentes
nelas o agente fraudador, que pode, ou não, ter vínculo com a instalação
portuária e agir isoladamente, ou em conluio com funcionários e gerentes, e
as vulnerabilidades, que são as fragilidades no sistema de controle.
A motivação da fraude tem apresentado relação direta com a natureza
do negócio e a satisfação em cometer a fraude, na aposta do agente
fraudador em não ser descoberta a fraude, nem ele ser descoberto, e na
expectativa de impunidade e de reposição do dano, pela dificuldade em se
constituírem provas.
Entender esses fatores é de fundamental importância para que o
auditor possa elaborar o seu roteiro, considerando os pontos que possam
contribuir para a prevenção e detecção de irregularidades. Essa assertiva tem
impulsionado a auditoria para alinhar o exame com os principais riscos que
afetam os negócios corporativos e com os objetivos de controle.
É verdade que a auditoria é uma excelente ferramenta para a
prevenção e detecção de irregularidades e, na prática, essas irregularidades
geralmente são detectadas. Contudo, isso não pode ser utilizado como uma
garantia da auditoria, mesmo porque sabemos que a auditoria não pode
garantir a descoberta de irregularidades, principalmente, as fraudulentas.
Entretanto, existe a necessidade de o exame da auditoria ser
desenhado de forma a atender à expectativa da descoberta de irregularidades
e à prevenção das fraudes mais conhecidas, ou tidas como as mais comuns.
Nesse sentido, para se elaborar o roteiro da auditoria, faz-se
necessário que seja realizado um estudo do ambiente de controle e da sua
funcionalidade, alinhado-o com o estudo do risco, se houver.
Na análise do ambiente de controle devem ser considerados: as
características organizacionais, como cultura, ética, estrutura, relação de
trabalho, sistema de remuneração, etc.; a história e a sua tradição nos
negócios e com relação a irregularidades; o ambiente de negócios; os tipos de
ativos, operações, materiais envolvidos e serviços oferecidos; a implantação e
152
mudança de novos sistemas e procedimentos operacionais; o sistema de
controle, as normas e os procedimentos; a forma da relação de trabalho das
pessoas envolvidas nas atividades de controle; a tecnologia de suporte
utilizada, e as evidências e irregularidades encontradas nas auditorias
anteriores.
A etapa seguinte é a do reconhecimento dos tipos mais comuns de
fraudes. O livro Fraud: Real solution to a real risk (Ernst & Young, 2004)
apresenta como mais comuns os seguintes tipos de fraudes: falso registro,
lavagem de dinheiro, apropriação de ativo, corrupção, fraude no esquema de
investimento, fraude da propriedade intelectual, fraude de computação e
fraude de seguro.
É certo que a auditoria para a proteção de instalações portuárias não
será desenhada para a amplitude dessas fraudes; contudo, não podem ser
desprezadas de atenção, uma vez que existem semelhanças nessas
tipificações, como pode ser verificado nos exemplos a seguir:
Falso registro: os registros falsos podem ser utilizados para enganar o
controle de acesso e se ter acesso à instalação portuária, passando-se por
outro, assumindo a identidade de outra pessoa. Esse registro falso pode ser
feito pelo encarregado da portaria no momento da passagem, ou pelo
encarregado do registro no sistema de autorização de acesso a pessoas,
veículos, etc. O falso registro também pode ser utilizado para furtar bens
(equipamentos e mercadorias), cobrindo o furto e outras irregularidades.
Apropriação de ativos: este tipo de fraude caracteriza-se em ações para se
apossar de ativo, ou omissão intencional para facilitar que o ativo seja retirado
da empresa. Geralmente existe a participação do funcionário; no entanto,
uma ação negligente no controle de acesso contribui para a não detecção
dessa fraude. Isso pode acontecer ao não se verificar as bolsas e veículos de
prestadores de serviço, por exemplo. É comum com mercadorias de fácil
receptação no mercado, equipamentos eletrônicos e material de alto valor.
Fraude de computação: pode ser cometida de diferentes formas e tem um
grande potencial de crescimento face ao avanço tecnológico e à deficiência na
segurança das informações. Com relação à proteção das instalações
portuárias, ela pode ocorrer atrelada ao descumprimento da política de
segurança da informação, ou ao ser concedida uma autorização indevida de
153
acesso no sistema informatizado, por exemplo, ou ser deletado o arquivo de
registro de acesso (log), inviabilizando investigações futuras.
Após tomar conhecimento dos principais tipos de fraudes que já
ocorreram na instalação portuária e as mais comuns apresentadas por
pesquisas, o auditor passa a direcionar o seu roteiro para examinar se os
controles implementados atendem à finalidade para qual foram
estabelecidos, e se atendem à demanda de prevenir e detectar fraudes, ou se
são vulneráveis para tal objetivo de controle.
Nessa fase, é necessário que sejam levantadas as possibilidades de
como as fraudes podem ocorrer, quais os seus possíveis agentes fraudadores,
e que pontos de vulnerabilidade podem ser explorados face aos controles
implementados, considerando-se os principais negócios e atividades.
Pode parecer difícil identificar como uma fraude ocorre e quem pode
ser o fraudador; contudo, ao se analisarem os controles e conhecerem as
atividades, podem-se elaborar itens de verificação mais direcionados para as
possibilidades de quebra de controle.
Para que seja considerada uma irregularidade, o auditor deverá obter
evidências confiáveis e suficientes, que não deixem dúvidas quanto a tal
procedimento, focando a sua análise nos aspectos materiais e não apenas em
conclusões subjetivas.
As evidências das não conformidades encontradas podem estar
referidas nos comentários do auditor com base nas observações das
atividades desempenhadas, na análise das entrevistas realizadas e nos
documentos analisados, os quais podem ser copiados para ser anexados ao
relatório, ou simplesmente referenciados.
As evidências das irregularidades não fraudulentas devem estar
consubstanciadas na materialidade de documentos e declarações tomadas
com o intuito de se constituírem provas, uma vez que tais irregularidades
podem resultar em sanções éticas e legais. Essas evidências podem ser cópias
e devem estar acostadas ao relatório de auditoria. Já as evidências de fraudes
devem basear-se em documentos originais, deixando as cópias autenticadas
no setor examinado. Esses originais devem ser devidamente guardados para
ser utilizados na representação legal.
Essas evidências podem ser obtidas do exame sobre o todo, ou de
parte dele. As evidências obtidas por amostragem devem ser relevantes,
154
confiáveis e suficientes, e, para isso, o auditor deverá explicitar o método de
amostragem escolhido, justificando-o de acordo com os procedimentos a ser
utilizados para alcançar os objetivos da auditoria.
Nos casos das evidências de fraude, a amostragem por si só pode ser
insuficiente para uma conclusão mais precisa do auditor, requerendo, assim, a
extensão do exame para o todo ou para uma parcela maior da população
escolhida, com a aplicação de testes mais exaustivos sobre os controles
estabelecidos, objetivando explorar as possíveis vulnerabilidades encontradas
e os elementos de composição da fraude detectada. Essa atitude poderá
delimitar com mais precisão a extensão da fraude, que poderá estar restrita
àquela parcela da população escolhida por amostragem, não representando
um esquema de maior complexidade.
As não conformidades e irregularidades devem ser registradas no
relatório da auditoria. Dependendo da sua complexidade e possível dano à
continuidade dos negócios, deve ser imediatamente informada ao auditor
líder, ou à pessoa responsável pela instalação portuária para acompanhar a
auditoria. Quando uma irregularidade envolver o gerente ou o responsável
pela área, tais evidências devem ser registradas como confidenciais e
entregues ao escalão superior.
Nas irregularidades consideradas como atos ilegais (ilegalidade), é
aconselhável que o auditor aponte no seu relatório que seja feita a
representação da ilegalidade aos órgãos oficiais competentes. É fundamental
que, em anexo ao relatório, esteja toda a documentação probante, e que isso
seja ressaltado no relatório da auditoria.
A representação feita diretamente pelo auditor sobre uma ilegalidade
encontrada durante a auditoria, é uma possibilidade que depende da
imposição legal. Contudo, mesmo sendo essas evidências consideradas
suficientes por parte do auditor, é bom ressaltar que, no sistema judicial, às
vezes elas podem vir a ser desconsideradas pelo devido processo legal e por
peculiaridades inerentes à sistemática entre acusado-acusador. Dessa forma,
observamos que é importante que o auditor faça a recomendação da
representação e verifique qual a sua parcela de responsabilidade em fazer, ou
não, a representação direta da possível ilegalidade.
Atenção específica deve ser dispensada à irregularidade e à
ilegalidade, pois na primeira o auditor deve afirmar ser, ou não ser, uma
155
irregularidade; na segunda, ele deve apontar que tal irregularidade apresenta
ser uma possível ilegalidade, não afirmando que é uma ilegalidade, uma vez
que a condenação por ato ilegal só pode ocorrer após sentença transitada em
julgado. No caso de uma absolvição, por mais absurda que ela possa ser, o
auditor poderá ser responsabilizado por ter feito uma acusação indevida. A
esse risco ele não deve sujeitar-se, nem tampouco colocar a auditoria
realizada sob suspeição.
156
6 RELATÓRIO E AÇÕES DE ACOMPANHAMENTO DA
AUDITORIA
Este capítulo trata do relatório da auditoria e das ações de

acompanhamento. O primeiro, porque é uma peça fundamental. Se for mal
elaborado, poderá comprometer todo o trabalho executado. O segundo,
porque resulta da auditoria e é parte indispensável à conformidade com os
requisitos normativos, além de ser primordial para a melhoria do sistema de
proteção.
6.1 Relatório
Como já foi abordado no primeiro capítulo, para que a auditoria seja

concluída, todas as atividades descritas no plano de auditoria devem ter sido
realizadas, e o relatório devidamente elaborado, aprovado e entregue aos
clientes da auditoria.
Foi visto também que, pela NBR ISO 19011:2002, os relatórios de
auditoria devem incluir: os objetivos da auditoria; o escopo da auditoria,
particularmente a identificação das unidades organizacionais e funcionais, ou
os processos auditados e o período de tempo coberto; a identificação do
cliente de auditoria; a identificação do líder da equipe de auditoria e seus
membros; as datas e lugares onde as atividades da auditoria foram realizadas;
o critério da auditoria; as constatações da auditoria, e as conclusões da
auditoria.
Além desses itens, essa norma orienta que o relatório pode incluir ou
se referir, se for apropriado: ao plano de auditoria; a uma lista de
representantes do auditado; a um resumo do processo de auditoria incluindo
obstáculos e/ou incertezas encontrados, que poderiam diminuir a
confiabilidade das conclusões de auditoria; à confirmação de que os objetivos
da auditoria foram atendidos dentro do escopo da auditoria e em
conformidade com o plano de auditoria; a quaisquer áreas não-cobertas,
embora dentro do escopo da auditoria; a quaisquer opiniões divergentes e
não resolvidas entre a equipe da auditoria e o auditado; às recomendações
para a melhoria, se isso está especificado nos objetivos da auditoria; ao plano
157
de ação de acompanhamento negociado, se existir; a uma declaração da
natureza confidencial dos conteúdos, e à lista de distribuição do relatório da
auditoria.
Considerando-se que o relatório é uma peça fundamental para a
auditoria e que vários aspectos influenciam na sua elaboração, este item foi
desenvolvido com o objetivo de fornecer uma orientação de como elaborar
um relatório.
Nesse sentido, é apresentado um modelo de estrutura de relatório,
que visa a facilitar o relato das atividades para o auditor e dar fluidez à
compreensão dos trabalhos realizados para as partes envolvidas na auditoria.
O modelo proposto65 divide o relatório nas seguintes etapas:
introdução, objetivo da auditoria, escopo da auditoria, constatações da
auditoria, recomendações e conclusão.
Introdução
Nesta etapa é feita uma descrição resumida do cliente de auditoria,
fazendo referência à importância da certificação de proteção para os negócios
da instalação portuária, como também aos dados da organização de auditoria,
aos nomes dos auditores e ao período de realização dos trabalhos.
Neste item constam os objetivos da auditoria, que devem ser a
reprodução dos objetivos apostos no plano de auditoria.
Escopo da auditoria
Deve ser feita uma descrição do escopo da auditoria, com um breve
relato sobre a importância dos exames realizados, bem como a justificativa da
extensão de algum exame que tenha sido necessário face à necessidade de se
obter uma constatação de auditoria, pois existem casos em que se amplia o
foco da auditoria para que seja possível ter certeza de que o exame em
determinado domínio está, ou não, em conformidade com os requisitos
normativos.
65
Existem outros modelos de relatórios, e caso a Instalação Portuária já possua um padrão de
relatório de auditoria estabelecido, como no caso das auditorias dos sistemas ISO de qualidade
e ambiental, ela deve seguir ao modelo adotado.
158
É neste item que devem ser descritas as fases da auditoria, se for o
caso.
Constatações da auditoria
Antes de dar início à descrição do que foi constatado, é importante
uma breve descrição de como os exames foram realizados, para oferecer uma
clareza maior àqueles que lerão o relatório da auditoria.
A descrição das constatações deve ser feita por domínio, podendo vir
o auditor a tecer alguns comentários quando do relato desses domínios. É
nessa etapa que devem ser apontadas as não conformidades e as
irregularidades, que servirão de base para as recomendações.
É comum o auditor perceber que determinado processo de negócio
poderia estar mais bem ajustado e controlado, sem que seja caracterizada
uma não conformidade. Nesses casos, é aconselhável que se façam
comentários sobre a questão, fundamentando a exposição de motivos para a
melhoria. Essa linha de ação é uma tendência para as auditorias no segmento
portuário, devido à sua importância para o cenário internacional de proteção e
melhoria da vida no mar.
Caso o auditor faça a opção de apontar a recomendação para a não
conformidade encontrada, ou para a melhoria, neste item de relatório, em
nada interferirá na estrutura do relatório, pois tal colocação facilita a
compreensão de quem está lendo o relatório.
Recomendações
Neste item devem ser consolidadas todas as recomendações das não
conformidades encontradas, como também das ações para a melhoria do
Caso as recomendações e ações de melhoria sejam apontadas no item
das constatações de auditoria, e mesmo parecendo ser, até certo ponto,
repetitivas, a opção por este item específico do relatório dar-se-á pelo fato de
que algumas recomendações podem alcançar mais de um domínio
examinado, além de tornar mais claras e concisas tais recomendações.
Conclusão
Nesta etapa é feita a conclusão dos trabalhos, quando o auditor
159
deverá fazer menção à completeza dos exames e ao atendimento dos
objetivos propostos à auditoria, ressaltando a importância para o
atendimento das ações corretivas, saneadoras, e para a melhoria do sistema
integrado de proteção da instalação portuária.
6.2 Ações de acompanhamento
As ações de acompanhamento são decorrentes dos exames de

auditoria e objetivam sanear irregularidades e não conformidades, bem como
a melhoria de um sistema.
São ações que devem ser implementadas pelo auditado, e requerem
um acompanhamento por parte dos auditores. É necessário que esse
acompanhamento seja realizado mediante uma auditoria de
acompanhamento.
Essa auditoria é bastante específica e deve ter como objetivo a
verificação da conformidade das medidas implementadas. O seu foco precisa
estar alinhado com a extensão dessas medidas. O relatório dessa auditoria
deve seguir o mesmo roteiro do relatório de uma auditoria geral.
Nos casos em que a organização de auditoria seja contratada para
implementar as ações saneadoras e de melhoria, faz-se necessário atentar
para que seja mantida a independência entre essas áreas.
Essas situações são bem pontuadas, quando as auditorias são executadas por
organização de auditoria, quando do exame de um sistema, a fim de prepará-
lo para a certificação internacional de proteção.
Nesses casos específicos, mesmo que a auditoria de acompanhamento
seja realizada por essa mesma organização, faz-se necessário, que tal exame
não seja em prazo inferior a 30 (trinta) dias, para que tais procedimentos e
melhorias possam ter um período mínimo de maturação.
160
BIBLIOGRAFIA
Associação Brasileira de Normas Técnicas (ABNT). NBR ISO 19011 - Diretrizes para
auditorias de sistema de gestão da qualidade e/ou ambiental. São Paulo: ABNT, 2002.
Associação Brasileira de Normas Técnicas (ABNT). NBR ISO/IEC 27002:2005 –
Tecnologia da informação – Código de prática para a gestão da segurança da
informação. Rio de Janeiro: ABNT, 2005.
Associação Brasileira de Normas Técnicas (ABNT). NBR ISO/IEC 27001:2006 –
Tecnologia da informação – Técnicas de segurança – Sistema de gestão de segurança
da informação - requisitos. Rio de Janeiro: ABNT, 2006.
AS/NZS 4360:2004 Risk Management. Third edition. Sydney/Wellington: Standards
Australia/Standards New Zealand, 2004.
ATTIE, William. Auditoria: conceitos e aplicações. São Paulo:Atlas, 1998.
BRASIL. Código Internacional para a Proteção de Navios e Instalações Portuárias.
Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e
Vias Navegáveis (CONPORTOS), 2004.
BRASIL. Portaria no 387, de 03 de outubro de 2006. Ministério da Justiça:
Departamento da Polícia Federal (DPF), 2006.
BRASIL. Resolução no 02, de 02 de dezembro de 2002. Ministério da Justiça: Comissão
Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis
(CONPORTOS), 2002.
(CONPORTOS), 2003.
(CONPORTOS), 2003.
BRASIL. Resolução no 26, de 08 de junho de 2004. Ministério da Justiça: Comissão
(CONPORTOS), 2004.
BRASIL. Resolução no 32, de 11 de novembro de 2004. Ministério da Justiça: Comissão
(CONPORTOS), 2004.
BRASIL. Resolução no 33, de 11 de novembro de 2004. Ministério da Justiça: Comissão
(CONPORTOS), 2004.
161
(CONPORTOS), 2005.
(CONPORTOS), 2005.
BRASIL. Resolução no 47, de 07 de abril de 2011. Ministério da Justiça: Comissão
(CONPORTOS), 2011.
BRASIL. Instalações portuárias – Quadro geral. Disponível em:
<http://www.mj.gov.br/senasp/conportos/documentos/conportos_instalacoes_certifi
cadas.pdf>. Acesso em: 27.jun.2011.
BUSINESS CONTINUITY PLANNING GUIDE (BCPG). First edition. Property Advisers to
the Civil Estate (PACE): Central Advice Unit, may, 1998.
CASADA, Myron; Thomas Nolan; David Trinker; and David Walker. Guide for Port
Security. Houston: ABS Consulting, Octuber, 2003.
CIACCIO, Maurício. “Controle de Acesso: uma das mais conhecidas estratégias de
segurança”. In: Revista Proteger, ano VIII, no 48. São Paulo, 2005.
DANTAS, Marcus Leal. Segurança preventiva: conduta inteligente do cidadão. Recife:
Nossa livraria, 2003.
Disarming the Value Killers – A Risk Management Study. Deloitte Touche Tohmatsu,
2005.
Ernst & Young 8th Global Fraud Survey (Fraud – The Unmanaged Risk). Ernst &
Young: Global Investigations & Dispute Advisory Services, 2003.
ERNST & YOUNG. Fraud: Real solution to a real risk. London: Ernst & Young LLP,
2004.
HERZOG, Ana Luiza. Sua empresa jamais esteve tão ameaçada. Revista Exame, São
Paulo, SP, no 09, ano 40, ed Ed. 867, p. 84-86, 10 maio 2006.
INTERNATIONAL ASSOCIATION OF PORT AND HARBORS (IAPH). Report on ISPS Code
- Port Readiness Survey. In: Review Port and Harbors, june, 2004.
INTERNATIONAL MARITIME ORGANIZATION (IMO). International Ship and Port
Facility Security Code (ISPS Code). Eletronic Edition. London: International Maritime
Organization, 2003.
INFORMATION SYSTENS AUDIT AND CONTROL ASSOCIATION (ISACA). IS Standards,
Guideliness and Procedures for Auditing and Control Professionals. Illinois, USA:
Information Systens Audit and Control Association, 2006.
IT GOVERNANCE INSTITUTE (ITGI). COBIT 4.1. Illinois, USA: IT Governance Institute,
2007.
162
ISO/IEC Guide 73:2002 – Risk Management – Vocabulary – Guideliness for use in
standards. First edition. Switzerland: International Organization for Standardization,
2002.
IUDÍCIBUS, Sérgio de; MARION, José Carlos. Termos de Contabilidade. São Paulo:
Editora Atlas S.A., 2001.
JUND, Sérgio. Auditoria: conceitos, normas técnicas e procedimentos. 4a Ed., Rio de
Janeiro:Impetus, 2002.
KPMG. A fraude no Brasil – Relatório da pesquisa 2002. São Paulo: KPMG Forensic,
2003.
MICHAELIS: pequeno dicionário da língua portuguesa. São Paulo: Companhia
Melhoramentos, 1998.
MICROSOFT. Guia de Gerenciamento de Riscos de Segurança. Disponível em:
<http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx>. Acesso em
20 abr 2005.
UNITED STATES COAST GUARD. Navigation and Vessel Inspection Circular 11/2002 -
NVIC 11-02: RECOMMENDED SECURITY GUIDELINES FOR FACILITIES. Washington:
United States Coast Guard, 2003.
163
164
165
166

Auditoria Instalacoes Portuarias PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Auditoria Instalacoes Portuarias PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Auditoria

Dados Internacionais de Catalogação na Publicação (CIP)

Dantas, Marcus Leal

Bibliografia. p. 161-163 (bibliografia localizada)

1. Auditoria. 2. Planos de segurança portuária. 3. Auditoria -

Livro Rápido – Elógica

Aos meus pais, Raimundo e Mércia, pelos valores cultivados na educação

Agradeço ao amigo Joaquim Osório Liberalquino Ferreira pela contribuição

É autor dos livros: Segurança preventiva: conduta inteligente do cidadão;

É cediço que o dia 11 de setembro de 2001 marcou o mundo. Todos se

Marcelo Santiago Garcia

Após os atentados terroristas de 11 de setembro de 2001 às Torres

Considerando o propósito deste livro, apresentamos abaixo algumas

A auditoria é uma atividade formal, documentada e executada por

1.1 Tipos de auditoria

As auditorias podem ser de dois tipos: internas e externas.

As auditorias externas são realizadas por pessoal de fora da

1.2 Etapas da auditoria

As auditorias dos sistemas de proteção em instalações portuárias

4 Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis.

São denominados auditores as pessoas que realizam as auditorias.

a) ético, isto é, verdadeiro, sincero, honesto e discreto;

1.4 Programa de auditoria

O programa de auditoria é o conjunto de auditorias planejadas para

1.4.1 Elementos de um programa de auditoria

Um programa básico de auditoria deve possuir os seguintes

Responsabilidades, recursos e procedimentos

Monitoramento e análise crítica do programa de auditoria

1.5 Atividades de auditoria

Concluído o programa de auditoria, dá-se início às atividades de

O encarregado do programa de auditoria deverá designar o líder da

Contato inicial com o auditado

Análise crítica de documentos

10 Maiores detalhes sobre a elaboração de listas de verificações serão abordadas em capítulo

1.5.2 Execução da auditoria

Após o planejamento da auditoria, inicia-se a fase da sua execução.

2-Entrevistas com funcionários

1.5.3 Encerramento da auditoria

O encerramento da auditoria deve ser precedido de uma reunião com

Depois de elaborado, o relatório deverá ser entregue aos clientes da

1.6 Procedimentos de auditoria

Procedimentos de auditoria são as técnicas que o auditor utiliza para a

1.6.1 Evidências de auditoria

Evidências de auditoria são os registros, a apresentação de fatos ou

1.6.2 Técnicas de auditoria

Técnica de auditoria é o conjunto de procedimentos que permite

Constatações de auditoria são o resultado da avaliação de evidência

1.6.4 Papéis de trabalho

Os procedimentos seguidos pelo auditor são registrados nos papéis de

a) Ajudar, pela análise dos documentos de auditoria

O relatório de auditoria consiste na explanação circunstanciada dos

Os procedimentos de auditoria são, consequentemente, as técnicas

Exemplo de procedimentos do auditor:

No capítulo anterior a auditoria foi abordada de uma forma ampla,

2.1 Tipos de auditoria e sua importância na proteção de instalações

Como já visto anteriormente, as auditorias podem ser interna e

Auditoria externa realizada por terceiro

2.2 Objetivos de programas de auditoria e objetivos de auditoria

Como já foi visto, o programa de auditoria é o conjunto de auditorias

Objetivos do programa de auditoria

“Manter as instalações portuárias em conformidade com o ISPS Code”

Auditoria da avaliação de proteção

Auditoria do plano de proteção