Auditoria. em Instalações Portuárias. Marcus Dantas

Transcrição

1 Auditoria em Instalações Portuárias Marcus Dantas

2 Marcus Leal Dantas Auditoria 2ª Edição Livro Rápido Olinda PE

3 Copyright 2011 by Marcus Leal Dantas Impresso no Brasil Printed in Brazil Editor Tarcísio Pereira Diagramação Laís Mira Capa Carlos Lopes Revisão Professora Margarida Michel Dados Internacionais de Catalogação na Publicação (CIP) Ficha catalográfica D192a Dantas, Marcus Leal Auditoria. 2ª Ed. / Marcus Leal Dantas Olinda: Livro Rápido, p. ; tab. Bibliografia. p (bibliografia localizada) ISBN Auditoria. 2. Planos de segurança portuária. 3. Auditoria - Instalações portuária. 4. Tipos de auditoria. I. Título. 657 CDU (1997) Fabiana Belo - CRB-4/1463 Livro Rápido Elógica Rua Dr. João Tavares de Moura, 57/99 Peixinhos Olinda PE CEP: Fone: (81) Fax: (81)

4 DEDICATÓRIA Aos meus pais, Raimundo e Mércia, pelos valores cultivados na educação familiar, que hoje se apresentam como pilares fundamentais no equilíbrio e sucesso das coisas que procuro realizar. À minha esposa Eva, pela prazerosa companhia de todos esses anos, e pelas lições aprendidas nos momentos de aparente dificuldade. Aos meus filhos Gabriela, Luiza e Marcus, pelo brilho intenso de olhares inspiradores de sonhos e felicidades, fonte de motivação para enfrentar de forma audaz os desafios do dia-a-dia. 3

5 4

6 AGRADECIMENTOS Agradeço ao amigo Joaquim Osório Liberalquino Ferreira pela contribuição ímpar da análise crítica do conteúdo deste livro, e por toda a aprendizagem durante a construção desse conhecimento. Agradeço, em especial, ao Capitão-de-Mar-e-Guerra Marcelo Santiago Garcia, do Estado-Maior da Armada da Marinha do Brasil, Encarregado da Divisão de Coordenação dos Assuntos da Organização Marítima Internacional, pela colaboração na fase das pesquisas, pelas observações feitas no conteúdo deste livro, e pelo indispensável prefácio. 5

7 Marcus Leal Dantas Auditor fiscal e Oficial da reserva da Polícia Militar de Pernambuco, possui trabalhos publicados e realizados nas áreas de segurança pública, privada, portuária, da informação e de gestão de riscos. É contador, graduado pela UFPE, e pós-graduado em planejamento e gestão organizacional pela FCAPE, e em Direito Tributário pela UFPE. É Auditor Líder em Sistemas de Gestão de Segurança da Informação ISO 27001:2005. É autor dos livros: Segurança preventiva: conduta inteligente do cidadão; Segurança da informação: uma abordagem focada em gestão de riscos; e Avaliação de riscos em Instalações Portuárias. marcusdantas@uol.com.br Home: 6

8 PREFÁCIO É cediço que o dia 11 de setembro de 2001 marcou o mundo. Todos se lembrarão desta data por razões diversas. No setor marítimo, idéias correntes foram potencializadas e novas matérias foram apresentadas no pós-11 de setembro. Dentre elas, talvez, aquela com maior impacto, quase imposta ao mundo pelas circunstâncias, tenha sido a instituição do Código ISPS (International Ship and Port Facility Security Code), inserindo, de forma decisiva, a mentalidade de segurança (security) no transporte marítimo. A despeito de sua repercussão, este não foi o primeiro movimento da comunidade marítima internacional. Anteriormente, em 1988, foi adotada, no âmbito da Organização Marítima Internacional (IMO), a Convenção para a Supressão de Atos Ilícitos Contra a Segurança da Navegação Marítima, instrumento este decorrente do incidente ocorrido com o navio de passageiros Achille Lauro, em O Código ISPS foi elaborado e associado, por meio de emenda tácita, à Convenção para a Salvaguarda da Vida Humana no Mar (SOLAS). A SOLAS, desde a sua origem, demonstrou apelo e publicidade, uma vez que seu desenvolvimento foi motivado pelo acidente ocorrido com o navio Titanic, em Por esta razão, esta Convenção possui um elevado número de países signatários, o que, consequentemente, torna o Código obrigatório para quase a totalidade dos países do mundo. Mas o que trouxe de novo o Código ISPS? Mais segurança para os navios e instalações portuárias. Os navios, então, não eram seguros? Naturalmente que sim, porém, a IMO, utilizando-se da filosofia de estandardização de procedimentos e dos seus processos para elaboração de normas e diretrizes, desenvolveu um documento padronizado e de fácil compreensão por diferentes Estados. E no que tange aos portos? Neste ponto reside a grande dificuldade e novidade no setor, visto que não havia uniformidade nos portos ou instalações portuárias quanto à segurança. A IMO, uma Organização voltada para o transporte marítimo internacional, encontrou grande resistência a esta nova abordagem, em face da dificuldade de os Estados aceitarem que 7

9 assuntos relacionados à segurança dos respectivos territórios fossem regulados por essa Agência da Organização das Nações Unidas (ONU). Ressalta-se que o Código ISPS trouxe inúmeras novidades ao setor portuário mundial e, em especial, ao brasileiro. Neste sentido, podemos citar a importante atuação da Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), criada em 1997, em razão das numerosas ocorrências de roubo armado em portos brasileiros, no desenvolvimento dos planos de segurança portuária. Com a publicação do Código ISPS, a CONPORTOS ganhou relevância e potencializou a sua atuação, passando a regulamentar as ações necessárias para o setor portuário, no tocante à segurança pública. Para se adequar às novas regras, os portos e instalações portuárias precisaram efetuar a análise de risco, com vistas à elaboração de seus planos de segurança. Esta análise identificou diversas vulnerabilidades, tais como: falta de muros ou cercas delimitando perímetros, ausência de controle de acesso de pessoas e cargas, deficiência de iluminação, falta de treinamento de pessoal envolvido com a segurança, falta de mentalidade de segurança, dentre outros. Uma vez identificadas as vulnerabilidades, ações corretivas foram estabelecidas e elaborados planos de segurança que, quando implementados, são avaliados pelas Comissões Estaduais de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CESPORTOS), que, eventualmente, contam com a colaboração da CONPORTOS. Caso a implementação do Plano de Segurança da Instalação Portuária seja satisfatória, é emitida uma Declaração de Cumprimento e registrado na página da IMO, na Internet. Além das auditorias previstas nos planos de segurança, a IMO está adotando, desde 2006, o Esquema de Auditoria Voluntária, onde os Estados Membros recebem auditores credenciados pela Organização. Este procedimento visa a proporcionar aos Estados Partes uma avaliação da eficiência de suas legislações, no que tange à implementação dos instrumentos obrigatórios da IMO, tais como as Convenções para Salvaguarda da Vida Humana no Mar (SOLAS) e a de Prevenção da Poluição Causada por Navios (MARPOL), com vistas a, principalmente, inibir a circulação dos navios mercantes ditos sub-standards. 8

10 O tema security é relativamente recente na IMO e precisa de um período de tempo para as necessárias revisões, de forma a assegurar a eficiência na implementação de seus procedimentos. Assim, atualmente, o escopo desta auditoria internacional não alcança as medidas especiais para intensificar a proteção marítima, previstas no capítulo XI-2 da SOLAS. Entretanto, em dezembro de 2005, a Assembléia da Organização adotou a Resolução A.975(24), solicitando ao Conselho (órgão executivo da IMO) as ações pertinentes para o desenvolvimento das adequadas provisões para a inclusão no Esquema de Auditoria Voluntária de novas matérias, dentre elas, o security. Releva comentar que a experiência tem demonstrado que, no âmbito daquela Organização, instrumentos concebidos para a adoção em caráter voluntário, como meras recomendações, com o passar do tempo, tendem a tornarem-se obrigatórios. Reunindo os fatos ora apresentados, depreende-se que, em um futuro não muito distante, o País estará sujeito a uma auditoria internacional compulsória, incluindo a segurança marítima (security) e, provavelmente, condicionando certificação internacional de navios e instalações portuárias a este procedimento. Aqueles descompromissados com os rigores do assunto, descrentes dos benefícios desta ferramenta, que buscam alternativas para tergiversar a necessária conformidade com o instrumento internacional, perguntariam: quais as penalidades previstas no Código para aqueles Governos que não cumprirem o que nele está disposto? Resposta: a IMO não aplica qualquer penalidade aos Estados que não cumprem o Código. As sanções são impostas pelas forças de mercado e fatores econômicos. Não há como, deliberadamente, ignorar o Código ISPS. Os portos (Governos) imporão restrições a todos os navios contaminados, ou seja, aqueles que comprometeram os seus planos de segurança por terem atracado em instalações portuárias não conformes com o Código ISPS. A edição de um livro, que não trata de novas metodologias, mas orienta a preparação para a conformidade com as regras internacionais, ocorre em momento extremamente oportuno, consoante com o início das auditorias nos Planos de Segurança Pública Portuária. De forma didática, o autor nos apresenta todo o processo de auditoria, voltado às instalações 9

11 portuárias, que será muito útil na avaliação e aprimoramento da segurança dos portos brasileiros. Com certeza, os setores comprometidos com a matéria terão a grata satisfação de contar com a pioneira e valiosa iniciativa do autor, vislumbrando neste livro um alerta e um incentivo aos portos brasileiros a buscarem a conformidade com o Código. Em 2003, quando foram discutidas as normas para implementação do ISPS, havia muita novidade e pouco tempo, induzindo os gestores do assunto a levarem adiante ações sem a necessária avaliação de sua efetividade. Imagino que uma auditoria bem conduzida seja a ferramenta mais valiosa do processo de aprimoramento do nosso sistema de segurança portuária, contribuindo sobremaneira para manter os nossos portos e terminais livres de atos ilícitos de todo tipo, em especial, aqueles perpetrados por organizações clandestinas ou terroristas. Marcelo Santiago Garcia Capitão-de-Mar-e-Guerra Encarregado da Divisão de Coordenação dos Assuntos da IMO 10

12 SUMÁRIO INTRODUÇÃO TERMOS E DEFINIÇÕES AUDITORIA Tipos de auditoria Internas Externas Etapas da auditoria Auditores Programa de auditoria Elementos de um programa de auditoria Atividades de auditoria Planejamento da auditoria Execução da auditoria Encerramento da auditoria Procedimentos de auditoria Evidências de auditoria Técnicas de auditoria Constatações de auditoria Papéis de trabalho Procedimentos de auditoria X procedimentos do auditor AUDITORIA EM INSTALAÇÕES PORTUÁRIAS Tipos de auditoria e sua importância na proteção de instalações portuárias Objetivos de programas de auditoria e objetivos de auditoria Auditoria em sistemas de proteção Auditoria da avaliação de proteção de instalações portuárias Auditoria do Plano de Segurança Pública Portuária (PSPP) Exame dos requisitos do ISPS Code Exame dos requisitos da CONPORTOS Exame da funcionalidade do plano Auditoria do controle de acesso Exame dos requisitos do ISPS Code

13 2.6.2 Exame dos requisitos da CONPORTOS Exame operacional do controle de acesso Auditoria das atividades da Guarda Portuária AUDITORIAS ESPECIAIS EM INSTALAÇÕES PORTUÁRIAS Auditoria para a análise GAP Auditoria em fornecedores Auditoria para controle de riscos CHECKLIST Checklist Checklist Checklist NÃO CONFORMIDADES E IRREGULARIDADES RELATÓRIO E AÇÕES DE ACOMPANHAMENTO DA AUDITORIA Relatório Ações de acompanhamento BIBLIOGRAFIA

14 INTRODUÇÃO Após os atentados terroristas de 11 de setembro de 2001 às Torres Gêmeas do World Trade Center e ao Pentágono, a comunidade internacional começou a se preocupar mais com a segurança mundial e o combate ao terrorismo. Nesse sentido, a Organização Marítima Internacional (IMO), ligada à Organização das Nações Unidas (ONU), aprovou o International Ship and Port Facility Security Code (ISPS Code), na Conferência Diplomática sobre proteção marítima, realizada em Londres, em dezembro de Esse código decorre de uma decisão unânime, na vigésima segunda sessão de assembléia da IMO, realizada em novembro de 2001, como parte das novas medidas de prevenção ao terrorismo, relativas à proteção de embarcações e instalações portuárias. Como consequência desse código internacional, as instalações portuárias tiveram e terão de adotar uma série de medidas para a sua proteção, sendo certificadas, internacionalmente, como instalações seguras. Medidas de alcance para os 162 países que compõem a IMO, dentre eles o Brasil. Para termos uma idéia do tamanho do impacto dessa norma, uma pesquisa 1 realizada entre março e abril de 2004 pela International Association of Port and Harbors (IAPH), em 30 países, revelou que, de instalações portuárias pesquisadas, apenas 8% tinham tido seus planos de proteção aprovados, que 8,5% estavam aguardando a aprovação, e que 81% já tinham submetido seus planos para a aprovação. No Brasil, conforme foi publicado no quadro resumo de instalações portuárias certificadas, existiam, até a data de 31 de dezembro de 2010, 181 instalações portuárias certificadas, do total de 241 instalações que necessitavam se adequar às normas do ISPS Code (Brasil, 2011). 1 O relatório dessa pesquisa foi apresentado na IMO Marítima Safety Committee s 78 Session, ocorrida em Londres, entre de maio de No Brasil, o porto de SUAPE foi o único a ser consultado. 13

15 O ISPS Code introduziu diretrizes para um sistema de segurança portuária, revestido de critérios que só elevam ainda mais a qualidade de um sistema de segurança, imprescindível a qualquer instalação portuária. Todo esse arcabouço de medidas, as avaliações de risco, os planos de segurança, as normas de controle de acesso e os procedimentos de vigilância provocaram certa tormenta nos portos do mundo inteiro, os quais, com certeza, não estavam preparados para tal exigência e padrão de segurança. Observa-se que as normas e procedimentos das instalações portuárias eram precários, e que a guarda ou vigilância portuária sequer possuía normas e procedimentos para as diversas atividades de proteção das suas instalações. Certamente existiam alguns procedimentos, mas no geral a prática apontava para o livre arbítrio do vigilante, ou guarda portuário, no desempenho de suas atividades. Planos de segurança, procedimentos de vigilância eram para muitos, coisa bastante distante. Pela primeira vez, serão vistos postos de vigilância com missão, objetivos e metas definidos, implementando uma nova cultura da segurança, que esperamos que não se restrinja apenas às instalações portuárias e às embarcações, mas que faça parte da tão almejada modernização dos sistemas de gestão da segurança do mundo moderno. Não obstante essa conformidade com o ISPS Code, as instalações portuárias serão submetidas à inspeção periódica da Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), mediante a realização de auditorias para se verificar o pleno funcionamento dos novos sistemas de segurança. Nessa vertente, a CONPORTOS publicou duas Resoluções: a resolução n o 37, de 21/06/2005, dispondo sobre as auditorias, emendas, atualização e revisão dos planos de Segurança Pública Portuária das Instalações Portuárias; e a Resolução n o 47 de 07/04/2011, estabelecendo critérios e disposições para as auditorias nas instalações portuárias, seus procedimentos e a avaliação de controles de acesso de pessoas, cargas e veículos. Essa última, estabelece que a cada três anos será realizada uma auditoria individualizada para cada instalação portuária certificada. A realização de auditorias surge como uma novidade e constitui um grande paradigma e evolução no sistema de gestão da segurança nas diversas instalações portuárias. Com certeza, essa inovação conduzirá a uma melhora 14

16 considerável na qualidade da segurança na área portuária, pois pela primeira vez será realizada uma auditoria num sistema de segurança, objetivando manter uma certificação internacional de proteção. Diante da nova exigência internacional, surge a grande indagação: COMO REALIZAR AS AUDITORIAS PARA A PROTEÇÃO DAS INSTALAÇÕES PORTUÁRIAS? Realizar uma auditoria não é simplesmente verificar se o procedimento está ou não de acordo com o que foi estabelecido. Realizar uma auditoria requer um conjunto de medidas que vão desde a concepção do que seja a realização de uma auditoria em sistemas de gestão da segurança portuária até a conclusão dessas auditorias. O presente livro objetiva estabelecer diretrizes e fornecer orientações para a realização de auditorias em sistemas de segurança de instalações portuárias, de forma a manter a conformidade com o ISPS Code, e o pleno funcionamento de seus sistemas. Objetiva, também, suprir uma lacuna na escassa literatura sobre auditoria de sistemas de gestão da segurança. Este livro não se limita apenas às auditorias dos planos de segurança portuárias, mas apresenta outros tipos de auditoria e a sua importância para um controle eficaz dos sistemas de proteção, provocando a reflexão, no leitor, sobre a necessidade de tornar a auditoria a ferramenta de conformidade dos sistemas de controle como um todo. O livro foi elaborado com base em pesquisas realizadas e no conhecimento adquirido ao longo de anos de trabalho na área de segurança e de controle interno. Ele está dividido em 6 capítulos. Cada capítulo foi cuidadosamente construído com base numa exposição clara e direta, objetivando produzir uma aprendizagem mais fácil e duradoura. O primeiro capítulo é dedicado à parte conceitual da auditoria, seus tipos, auditores, o programa de auditoria e seus elementos, a atividade de auditoria, seu planejamento, execução e encerramento, e os procedimentos de auditoria. Esse capítulo tem uma abordagem mais teórica e abrangente, objetivando um nivelamento de conhecimento e familiaridade com termos específicos da área de auditoria. O segundo capítulo é específico para a auditoria em instalações portuárias. Nele são apresentados os principais tipos de auditoria e sua 15

17 importância para a proteção das instalações, com suas formas de realização, seja a auditoria interna realizada pela própria instalação, ou em seu nome, ou a externa realizada por ela nos fornecedores, ou aquelas realizadas na instalação portuária. Nesse capítulo, também são explicitados os objetivos de programa de auditoria e objetivos de auditoria, com exemplos para facilitar a compreensão e diferenciação entre eles. Antes de se iniciar a grande viagem pelo conhecimento das auditorias específicas da área portuária, são apresentados os principais aspectos a ser observados numa auditoria em sistemas de proteção. A parte específica desse capítulo é dedicada às auditorias da avaliação de riscos, do plano de segurança portuária, do controle de acesso e das atividades da guarda portuária. A ênfase não está apenas nos requisitos normativos do ISPS Code, mas também na funcionalidade do sistema em cada parte específica. O terceiro capítulo é dedicado às auditorias especiais. Não satisfeito com os exames específicos a serem realizados para a certificação de uma instalação portuária, e considerando a evolução da segurança e do controle interno, são apresentados alguns tipos de exames que entendemos ser de fundamental importância na busca da eficiência e eficácia dos sistemas de proteção. Dessa forma, são apresentados três tipos de auditorias: a auditoria para a análise GAP 2, aquela para o controle de risco e a realizada nos fornecedores. Cada uma delas possui uma finalidade muito específica e de uma ampla capacidade de alavancagem ao produzir vantagem competitiva frente aos eventos indesejáveis da segurança e aos concorrentes. O quarto capítulo é dedicado exclusivamente aos checklists. As listas de verificações ou checklists, como são comumente conhecidas, sempre absorvem muita atenção, tempo e dedicação dos auditores. São peças indispensáveis e fundamentais numa auditoria. Nesse sentido, algumas técnicas para elaborar essas listas, e com exemplos, são apresentadas com o objetivo de contribuir para dar mais fluidez à elaboração de um checklist. 2 O termo Gap vem do inglês e significa fenda, abertura, brecha, intervalo. Análise GAP é uma análise que objetiva fechar a brecha da segurança. Esse é o significado que desejamos ao empregar o termo Análise GAP. 16

18 O quinto capítulo é carinhosamente dedicado às não conformidades e irregularidades. Mesmo ciente de que uma auditoria não pode ser um instrumento de garantia para a descoberta de irregularidades, sabemos que, em auditorias, normalmente é encontrado algum tipo de não conformidade, seja ele uma irregularidade, ou não. E, às vezes, surge a dúvida sobre a classificação entre irregularidade e não conformidade, e a forma de tratamento para elas. Desse modo, o capítulo traz essa questão para ser discutida, apresentando uma postura que analisamos ser a mais adequada. O sexto capítulo é dedicado ao relatório e às ações de acompanhamento. É apresentado um roteiro para a elaboração do relatório, no qual são comentados os seus principais aspectos. Também são feitos comentários sobre as ações de acompanhamento e sua importância para o perfeito funcionamento dos sistemas de proteção. Como poderá ser comprovado nas páginas seguintes, o livro servirá como um referencial para as auditorias de segurança em instalações portuárias. Nas pesquisas realizadas, nada foi encontrado sobre auditoria de segurança, e principalmente em instalações portuárias, e, portanto, resolvemos escrever sobre o tema, que julgamos ser muito importante. Ao concluir essa introdução e finalmente materializar esse conhecimento, sabemos da magnitude de dedicação dispensada a este trabalho: as horas de pesquisa, visitas, leitura, trabalho e digitação. Foram duas versões, uma totalmente diferente da outra. Uma verdadeira peregrinação na construção do conhecimento. E, apesar de não ter sido o nosso primeiro livro, foi tão emocionante e desafiador quanto o primeiro. Esperamos com este livro alcançar um sonho: o de contribuir para a evolução de um padrão internacional de proteção no segmento portuário. Ao leitor, uma proveitosa leitura. O autor 17

19 18

20 TERMOS E DEFINIÇÕES Considerando o propósito deste livro, apresentamos abaixo algumas definições e explicações sobre termos utilizados no texto do livro. Definições do ISPS Code (versão em português) 1. Convenção significa a Convenção Internacional para a Salvaguarda da Vida Humana no Mar de 1974 (SOLAS), conforme emendada. 2. Regra significa uma regra da Convenção. 3. Capítulo significa um capítulo da Convenção. 4. Plano de proteção do navio significa um plano elaborado com vistas a garantir a aplicação de medidas a bordo do navio criadas para proteger pessoas a bordo, cargas, unidades de transporte de cargas, provisões do navio ou o próprio navio dos riscos de um incidente de proteção. 5. Plano de proteção das instalações portuárias significa um plano elaborado para garantir a aplicação de medidas criadas para proteger instalações portuárias e navios, pessoas, cargas, unidades de transporte de cargas e provisões do navio dentro da instalação portuária dos riscos de um incidente de proteção. 6. Oficial de proteção do navio significa a pessoa a bordo do navio, responsável perante o comandante, designado pela Companhia como a pessoa responsável pela proteção do navio, incluindo a implementação e manutenção do plano de proteção do navio, e pela ligação com o funcionário de proteção da companhia e os funcionários de proteção das instalações portuárias. 7. Funcionário de proteção da Companhia significa a pessoa designada pela Companhia para garantir que seja feita uma avaliação de proteção do navio; que seja elaborado um plano de proteção do navio e que o mesmo seja submetido para aprovação e consequentemente implementado e mantido; e pela ligação com os funcionários de proteção das instalações portuárias e o oficial de proteção do navio. 8. Funcionário de proteção das instalações portuárias significa a pessoa designada como responsável pelo desenvolvimento, implementação, 19

21 revisão e manutenção do plano de proteção das instalações portuárias e pela ligação com os oficiais de proteção do navio e os funcionários de proteção da companhia. 9. Nível 1 de proteção significa o nível para o qual medidas mínimas adequadas de proteção deverão ser mantidas durante todo o tempo. 10. Nível 2 de proteção significa o nível para o qual medidas adicionais adequadas de proteção deverão ser mantidas por um período de tempo como resultado de um risco mais elevado de um incidente de proteção. 11. Nível 3 de proteção significa o nível para o qual medidas adicionais específicas de proteção deverão ser mantidas por um período limitado de tempo quando um incidente de proteção for provável ou iminente, embora possa não ser possível identificar o alvo específico. 12. O termo navio, conforme utilizado neste Código, inclui unidades móveis de perfuração ao largo da costa e embarcações de alta velocidade, conforme definido na regra XI-2/ O termo Governo Contratante, em conexão com qualquer referência a uma instalação portuária, inclui uma referência a Autoridade Designada. Outras definições Incidente de proteção É aquele que interfere diretamente nas operações portuárias ou ponham em risco a estrutura da instalação e/ou do navio e a integridade das pessoas; Declaração de Cumprimento Declaração por meio da qual certifica-se que a respectiva Instalação Portuária cumpre as disposições do Capítulo XI-2 e da Parte A do Código Internacional para Proteção de Navios e Instalações Portuárias Código ISPS e o previsto no seu Plano de Segurança Pública Portuária aprovado pela Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis CONPORTOS. (Resolução nº 26, de 08 de junho de 2004 da CONPORTOS). Termo de Aptidão para a Declaração de Proteção Documento por meio do qual a Instalação Portuária poderá operar mediante a expedição da Declaração de Proteção, desde que comprove estar implementando as disposições do Capítulo XI-2 e da Parte A do Código 20

22 Internacional para Proteção de Navios e Instalações Portuárias Código ISPS e o previsto no seu Plano de Segurança Pública Portuária aprovado pela Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis CONPORTOS. (Resolução nº 32, de 11 de novembro de 2004 da CONPORTOS). Declaração de Proteção Documento por meio do qual são acordados entre a respectiva Instalação Portuária e o Navio, as medidas de proteção, incluindo as adicionais, à luz do Capítulo XI-2 e das Partes A e B do Código Internacional para Proteção de Navios e Instalações Portuárias Código ISPS e o previsto no seu Plano de Segurança Pública Portuária aprovado pela Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis CONPORTOS. (Resolução nº 33, de 11 de novembro de 2004 da CONPORTOS). Declaração de Ciência Documento por meio do qual o Comandante ou o Oficial de Segurança do navio/embarcação que ingressar no Brasil, fica ciente de que deverá adotar medidas formais no caso de verificar a prática de atos ilícitos ou danos contra o navio/embarcação, tripulantes ou passageiros e seus pertences e/ou carga, durante a permanência e a interface com as instalações portuárias, procedendo o respectivo registro perante as autoridades brasileiras competentes, cujo modelo, na forma do anexo desta Resolução, será rigorosamente utilizado e expedido em todas as instalações portuárias sediadas no Brasil. (Resolução nº 36, de 21 de junho de 2005 da CONPORTOS). Segurança e proteção Em inglês as palavras safety e security tem o significado de segurança. Contudo, tais termos são utilizados com finalidades distintas nos textos da IMO. Neles, a palavra safety é traduzida como segurança, e relacionada com a segurança do tráfego aquaviário, e a palavra security é traduzida como proteção e está relacionada com a proteção contra atos ilícitos, terrorismo, etc. Plano de proteção de instalação portuária e plano de segurança pública portuária O ISPS Code emprega o termo plano de proteção de instalação portuária, e a CONPORTOS, presidida pelo Ministério da Justiça, se refere a este documento como Plano de Segurança Pública Portuária. 21

23 Entretanto, neste livro, utilizaremos os dois termos: o primeiro para manter a originalidade do ISPS Code, e o segundo para nos referirmos à nomenclatura utilizada pela CONPORTOS para este documento. Desta forma, para o leitor, o termo Plano de Segurança Pública Portuária utilizado pela CONPORTOS deve ser vinculado ao significado amplo de proteção (security) empregado pelo ISPS Code, que é o documento de referência internacional para a proteção de navios e instalações portuárias, dos países membros da IMO. Nesse sentido, quando nos referirmos ao ISPS Code utilizaremos o termo plano de proteção, e quando nos referirmos aos requisitos da CONPORTOS empregaremos o termo plano de segurança. 22

24 1 AUDITORIA A auditoria é uma atividade formal, documentada e executada por pessoal habilitado, e destina-se a verificar a conformidade e a eficácia de um sistema, mediante as evidências em documentos, registros, observações e entrevistas, relatando ao final as não conformidades, para a adoção de ações corretivas e preventivas. Segundo o dicionário, auditoria é: cargo de auditor; casa ou tribunal onde o auditor desempenha as suas funções; função de auditor junto às empresas comerciais; exame detalhado da contabilidade de uma empresa ou instituição. (Michaelis, 1998). A NBR ISO : define a auditoria como um processo sistemático, documentado e independente para se obterem evidências de auditoria e avaliá-las objetivamente, a fim de determinar a extensão na qual os critérios de auditoria são atendidos. Como já pode ser deduzido, a atividade de auditoria é especializada e constitui uma importante ferramenta de gestão na verificação de conformidades e na avaliação de um sistema como um todo. Pode ser uma atividade interna ou externa. As auditorias internas são atividades de avaliação e assessoramento de uma administração, feitas por pessoal da própria corporação, que realiza exames para verificar a eficácia do sistema de controle interno e o desempenho das diversas áreas em relação ao planejamento corporativo. As auditorias externas têm as mesmas características da interna, porém são realizadas por profissionais liberais, auditores independentes, sem vínculo de emprego, ou seja, estranhos à corporação. A atividade de auditoria predomina mais na área financeira e contábil; A auditoria contábil está voltada para testar a eficiência e a eficácia do controle sobre o patrimônio da empresa, implantada com a finalidade de expressar uma opinião sobre determinado dado (ATTIE, 1998). Ela é realizada sobre as demonstrações financeiras e destina-se ao exame e à avaliação 3 Esta norma estabelece diretrizes para a auditoria de sistema de gestão da qualidade e/ou ambiental. 23

25 dessas demonstrações, em relação aos registros, procedimentos e princípios contábeis geralmente aceitos (JUND, 2002). Contudo, existem as auditorias de processos, produtos e serviços, sobre relatórios e de sistemas. As auditorias de processos estão mais voltadas ao exame dos processos para verificar se os procedimentos estão sendo executados de acordo com o que foi escrito, se é eficaz e se o resultado é satisfatório; as auditorias sobre produtos e serviços objetivam verificar se os produtos estão sendo manufaturados e se os serviços estão sendo executados de acordo as suas especificações e seus contratos, respectivamente; as auditorias sobre os relatórios objetivam constatar a regularidade com a legislação e requisitos de contratos; e as de sistemas estão voltadas para o exame de uma área específica ou todo um sistema, com o objetivo de verificar a conformidade com o padrão, requisitos, regulamentos, legislação e contratos. A auditoria pode ser classificada em sistemática e específica. A primeira é constante de um plano prévio, que deve apresentar a relação dos órgãos e entidades a serem auditadas. A específica, como o próprio nome já a define, é específica para cada caso, podendo ser determinada a qualquer tempo. As auditorias constituem uma importante ferramenta de gestão na verificação das conformidades de um sistema de gestão de uma organização. A realização de auditorias em sistemas de gestão para a obtenção de certificação de qualidade já constitui uma praxe; contudo, para os sistemas de segurança portuária, é uma exigência nova desse tipo de atividade, destinada à verificação das conformidades e à certificação de instalações portuárias como instalações seguras. 1.1 Tipos de auditoria As auditorias podem ser de dois tipos: internas e externas Internas As auditorias internas são aquelas conduzidas pela própria instituição ou em seu nome. 24

26 Como exemplo, podemos citar as auditorias realizadas pelas instalações portuárias para verificar a conformidade dos diversos procedimentos relacionados com os planos de segurança e com os procedimentos específicos de determinado posto de controle de acesso. Essas auditorias podem ser realizadas por pessoal próprio da instalação portuária (auditores), ou por pessoal contratado por ela com essa finalidade, e são conhecidas, também, como auditoria de primeira Externas As auditorias externas são realizadas por pessoal de fora da organização, como clientes, fornecedores e organismos certificadores. As realizadas nos clientes e fornecedores ou por clientes e fornecedores são conhecidas como de segunda parte, e as realizadas por pessoal (auditores) fora da relação cliente-fornecedor são conhecidas como de terceira parte. Exemplos de auditorias de segunda parte são aquelas realizadas na empresa de segurança, que fornece o efetivo para a vigilância portuária, com a finalidade de se verificar o cumprimento do programa de capacitação. As auditorias de terceira parte podem ser exemplificadas como as realizadas por órgãos como a CONPORTOS 4 e CESPORTOS 5, e por outras organizações credenciadas, para certificar a instalação portuária como uma instalação segura, dentro dos padrões exigidos pelo ISPS Code. 1.2 Etapas da auditoria As auditorias dos sistemas de proteção em instalações portuárias devem ser realizadas em 3 etapas. A primeira etapa consiste na verificação dos requisitos da norma com relação à elaboração da avaliação de riscos, plano de proteção, normas de controle de acesso, etc., ou seja, é o exame realizado para verificar se esses documentos foram elaborados de acordo com os requisitos normativos. Nas 4 Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis. 5 Comissão Estadual de Segurança Pública nos Portos, Terminais e Vias Navegáveis. 25

27 auditorias das normas ISO, esta fase é conhecida como auditoria de adequação ou de intenção. A segunda etapa consiste no exame operacional do sistema para verificar se os controles foram implementados de acordo com o estabelecido nas normas de referência (ISPS Code, plano de segurança, etc.). É a busca da constatação da conformidade dos controles implementados. Nas auditorias das normas ISO, esta fase é conhecida como auditoria de conformidade. A terceira etapa consiste na avaliação dos controles implementados com relação ao objetivo para o qual foram criados. É a aferição da eficácia dos controles do sistema de proteção, ou seja, é a fase na qual as evidências são analisadas para avaliar se os controles do sistema de proteção atendem aos objetivos para os quais foram estabelecidos. Nas auditorias das normas ISO, esta fase é conhecida como avaliação da eficácia. 1.3 Auditores São denominados auditores as pessoas que realizam as auditorias. Faz-se necessário que essas pessoas possuam curso de formação de auditores internos, com conhecimentos na área de atuação, e que não possuam vínculo com a área a ser auditada. Dependendo do tamanho e complexidade da empresa, poderá existir uma equipe de auditoria. Quando da realização de trabalhos de auditoria, se o auditor não possuir conhecimento específico daquela área, a empresa deverá designar um especialista ou um funcionário que trabalhe naquela função para acompanhar o auditor. Esse especialista ou funcionário não fará a auditoria, apenas fornecerá as explicações necessárias, quando for solicitado pelo auditor ou sua equipe. Segundo a NBR ISO (2002:18-19), o auditor deve possuir os seguintes atributos pessoais: 26 a) ético, isto é, verdadeiro, sincero, honesto e discreto; b) mente aberta, isto é, disposto a considerar idéias ou pontos de vista alternativos; c) diplomático, isto é, com tato para lidar com pessoas;

28 d) observador, isto é, ativamente atento à circunvizinhança e às atividades físicas; e) perceptivo, isto é, institivamente atento e capaz de entender situações; f) versátil, isto é, que se ajuste prontamente a diferentes situações; g) tenaz, isto é, persistente, focado em alcançar objetivos; h) decisivo, isto é, chegue a conclusões oportunas baseado em razões lógicas e análise; e i) autoconfiante, isto é, atue e funcione independentemente, enquanto interage de forma eficaz com os outros. 1.4 Programa de auditoria O programa de auditoria é o conjunto de auditorias planejadas para um determinado período. O programa pode ter objetivos variados e deve ter uma pessoa designada para coordená-lo. Programa de auditoria é o conjunto de uma ou mais auditorias planejadas para um determinado período de tempo e com finalidade específica (NBR ISO :2002). O programa exige planejamento específico, e nele deve constar, principalmente, o fornecimento dos recursos, o estabelecimento de procedimentos de auditoria para a realização das auditorias planejadas, bem como o responsável pela sua implementação. O programa de auditoria deverá conter: o objetivo do trabalho e sua justificação; a metodologia a ser empregada nos exames; a divisão do trabalho em fases e suas especificações; os papéis de trabalho a serem utilizados; o estudo de trabalhos de auditoria anteriormente realizados, e o prazo para a entrega do relatório, certificado ou parecer. O programa deverá ainda conter os procedimentos para as auditorias, incluindo o planejamento das auditorias, a forma de seleção das equipes de auditoria ou auditores, a realização das auditorias, e o seu complemento e registro. 27

29 O programa de auditoria é o detalhamento, por escrito, do que fazer, como fazer, por que fazer, estabelecendo prazo e método para o trabalho Elementos de um programa de auditoria Um programa básico de auditoria deve possuir os seguintes elementos: os objetivos; a abrangência; as responsabilidades, recursos e procedimentos do programa de auditoria; os procedimentos do programa; a sua implementação; os registros, e o monitoramento e a sua análise crítica. Objetivos Os objetivos de um programa de auditoria devem expressar tudo aquilo que o programa se destina a alcançar. Esses objetivos devem estar alinhados com os objetivos dos negócios da organização, e levar em consideração os principais riscos para a continuidade desses negócios. A NBR ISO 19011:2002 estabelece que, na elaboração dos objetivos do programa de auditoria, devem ser considerados: prioridades da direção; intenções comerciais; requisitos do sistema de gestão, requisitos estatutários, regulamentares e contratuais; necessidade de avaliação de fornecedor; requisitos do cliente; necessidades de outras partes interessadas, e riscos para a organização. Como exemplo de objetivos de um programa de auditoria para uma instalação portuária, podemos apresentar: a) Satisfazer requisitos para a certificação das instalações portuárias; b) Verificar a conformidade desses requisitos; c) Contribuir para melhorar o sistema de segurança, de forma contínua; e d) Manter as instalações portuárias seguras, de acordo com normas específicas. Abrangência A abrangência inclui a extensão e a duração de cada auditoria, e tem relação direta com o tamanho da organização, sua natureza e complexidade. Quando da elaboração do programa, o encarregado pelo mesmo deverá apontar a frequência com que as auditorias deverão ser realizadas, quais as atividades que deverão ser auditadas e quais os documentos-base para o 28

30 exame. Observe-se que não há como precisar o período da realização de auditorias especiais (aquelas que são demandadas por eventos não previstos), mas é preciso ser colocado que as auditorias especiais deverão ser iniciadas em qualquer tempo, desde que sejam necessárias. Nas organizações que manuseiam produtos de risco, ou que estejam em áreas de risco, ou que estejam sob a constante fiscalização de agentes do poder público, deverão ter uma amplitude maior em seu programa e uma frequência maior de auditorias a serem contempladas. Responsabilidades, recursos e procedimentos O responsável pelo programa de auditoria deverá ser o auditor líder ou, na ausência dele, um executivo da empresa ou funcionário designado para tal obrigação. Se a instalação portuária não possuir auditor, ou pessoal qualificado para tal finalidade, o programa poderá ser elaborado por um especialista e ser aprovado pelo staff ou pelo presidente da empresa. A NBR ISO 19011:2002 recomenda que o responsável pelo programa de auditoria possua conhecimento sobre princípios de auditoria, competências dos auditores, aplicação das técnicas de auditoria, e que estabeleça os objetivos, abrangência, responsabilidades e procedimentos do programa de auditoria, assegurando os recursos para a sua implementação, além de manter os registros do programa, e de monitorar e analisar o programa para a sua melhoria contínua. A norma recomenda, ainda, que os procedimentos para um programa de auditoria devem contemplar: planejar e programar auditorias; assegurar a competência de auditores e líderes de equipe de auditoria; selecionar equipes de auditoria apropriadas e designar suas funções e responsabilidades; realizar auditorias; realizar ações de acompanhamento de auditorias; manter registros do programa de auditoria; monitorar o desempenho e eficácia do programa; e informar à alta direção as realizações globais do programa de auditoria. Implementação A implementação de um programa de auditoria envolve todas as ações para pôr em prática o programa, e vai desde a comunicação do programa às partes envolvidas até as ações de avaliação desse programa. 29

31 Registros Todos os registros relativos à implementação do programa de auditoria deverão ser mantidos, tais como: os planos de auditoria, os papéis de trabalho, os relatórios, as ações adotadas para correção e acompanhamento, etc., ou seja, tudo aquilo que estiver relacionado com a auditoria. Monitoramento e análise crítica do programa de auditoria O monitoramento e a avaliação do programa devem ser previstos para que se possa realizar uma análise crítica do programa, melhorando-o e adequando-o às mudanças necessárias. Em tal avaliação, devem ser observados os registros do programa de auditoria, que são os planos de auditoria, os relatórios de não conformidade, os relatórios de ação corretiva e preventiva e os de acompanhamento de auditorias. Outro fator importante é o estabelecimento de indicadores de desempenho para se avaliar a equipe de auditoria. A análise crítica do programa de auditoria deve ser realizada levandose em consideração os resultados das auditorias realizadas, confrontando-se as conformidades e não conformidades encontradas com os procedimentos auditados, para se poderem verificar as soluções apresentadas, identificando novas demandas de auditorias para novos programas de auditoria. 1.5 Atividades de auditoria Concluído o programa de auditoria, dá-se início às atividades de auditoria. Elas compreendem um conjunto de atividades que vão desde o planejamento e o gerenciamento dessa atividade até as ações de acompanhamento das recomendações feitas por conta das não conformidades encontradas, e de sugestões para a melhoria dos sistemas auditados. Para um melhor entendimento, nossa abordagem será dividida nas seguintes etapas: planejamento, execução e acompanhamento da auditoria. 30

32 1.5.1 Planejamento da auditoria O encarregado do programa de auditoria deverá designar o líder da equipe de auditoria, ou o auditor que vai executar a auditoria específica. O responsável pela execução da auditoria deverá elaborar o planejamento da sua auditoria, que é materializado no plano de auditoria. O plano de auditoria deverá conter o objetivo e o escopo da auditoria, a identificação do auditor ou dos integrantes da equipe de auditoria, as datas e os locais, bem como as áreas a serem auditadas. Não devendo se esquecer de verificar as questões de logística e o prazo referencial para o encerramento dos trabalhos, como também do critério de auditoria 6. Contato inicial com o auditado Para elaborar o seu planejamento, faz-se necessário que o auditor realize uma visita prévia ao local para in loco verificar e analisar as peculiaridades daquela auditoria, e poder atingir o melhor resultado possível em seus trabalhos. Para isso deve ser estabelecido o contato inicial com o auditado, o qual tem, também, como objetivo estabelecer um canal de comunicação entre eles (auditor-auditado). Esse contato é de uma preciosidade muito grande, pois uma auditoria bem realizada não só valoriza os auditores, como também deixa transparente para os auditados que as auditorias são benéficas para eles e a instituição, e ratificam-se como peças importantes para a gestão como um todo, pois estarão zelando pela manutenção das conformidades dos procedimentos ali estabelecidos. Apesar de o contato inicial poder ser feito informalmente, é importante que seja feito por documento ou correio eletrônico, para que fique registrado. Esse contato deve ser realizado pelo auditor ou líder da equipe de auditoria, e também pode ser realizado pelo encarregado do programa de auditoria 7. 6 Critérios de auditoria são usados como uma referência contra a qual a evidência da auditoria é comparada, e incluem políticas, procedimentos e requisitos (NBR ISO 19011:2002). 7 Atenção especial deve ser dada nesse momento, pois quando a comunicação da realização da auditoria for feita pelo encarregado do programa, ele deverá fornecer, de imediato, o nome do auditor que irá conduzir a auditoria, especificando a data e a hora da visita prévia que aquele irá 31

33 No contato inicial, é confirmado o nome do auditor que vai conduzir a auditoria, informa-se sobre a duração prevista para os trabalhos, solicita-se o acesso aos documentos, incluindo os registros pertinentes à área a ser auditada. Devem ser levantadas pelo auditor, durante a visita prévia, as regras de segurança exigidas para o local, para que seja possível delimitar quais as atividades que deverão ser ajustadas para o exercício dos trabalhos de auditoria, o que pode ser, por exemplo, o isolamento da área, ou placa informando que aquela área está sob auditoria, ou a necessidade de acompanhamento por um especialista da atividade auditada para guiá-lo ou garantir sua segurança 8. Objetivos da auditoria A definição dos objetivos da auditoria estabelece o que é para ser realizado. Evita que o auditor perca o foco do seu trabalho, e devem ser estabelecidos de modo que atendam às necessidades da organização, no que tange ao que ela espera alcançar do sistema de controle em determinado prazo. No caso específico de instalações portuárias, com relação à proteção, um dos objetivos das auditorias é o de certificar a conformidade do funcionamento do sistema de segurança da instalação portuária com o ISPS Code, para que a instalação possa garantir a Declaração de Cumprimento do ISPS Code 9, e assim manter-se em um mercado competitivo e cada vez mais exigente. Para isso, faz-se necessário que o auditor compreenda não só os negócios da instalação portuária como a extensão da importância da auditoria realizar. 8 Como as instalações portuárias estão com procedimentos de segurança definidos, que em algumas áreas o tráfego de pessoas (estivadores, passageiros, funcionários, etc.) é intenso e controlado, e que o auditor é uma pessoa estranha à área, é aconselhável que a área seja identificada com placas que informem sobre a auditoria. Nesse caso, um funcionário do setor poderá acompanhar os trabalhos. 9 Declaração por meio da qual certifica-se que a respectiva Instalação Portuária cumpre as disposições do Capítulo XI-2 e da Parte A do Código Internacional para Proteção de Navios e Instalações Portuárias Código ISPS e o previsto no seu Plano de Segurança Pública Portuária aprovado pela Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis CONPORTOS. (Resolução nº 26, de 08 de junho de 2004 da CONPORTOS). 32

34 para a continuidade desses negócios. Na prática, os objetivos geralmente são demandados pela instalação portuária, que é entendida como o cliente de uma auditoria, e, com base nela, o auditor irá transformá-la nos objetivos da auditoria. Como exemplo de objetivos, podemos citar: Verificar o cumprimento das normas do ISPS Code; Avaliar a eficácia das normas de controle de acesso à Zona Primária; Identificar as áreas da Zona Primária que deverão ser melhoradas, no tocante à proteção das instalações portuárias; Verificar a conformidade dos procedimentos da vigilância portuária. Análise crítica de documentos A análise crítica deve ser feita sobre os documentos-base nos sistemas, nos relatórios de auditorias realizadas, em documentos correlatos, e considerar, igualmente, a natureza e a complexidade da organização, os objetivos e o escopo da auditoria. No caso dos relatórios anteriores, é importante destacar as não conformidades encontradas para enfatizar durante a auditoria tais verificações. Checklist Após a análise prévia dos documentos-base e demais documentos que servirão como referência para a realização da auditoria, o auditor elaborará a lista de verificação ou Checklist 10, documento no qual constam os itens a ser verificados. Notificação ao auditado Depois de concluído o planejamento (plano de auditoria), faz-se necessário que o auditor notifique, por escrito, a área a ser auditada, informando-a dos objetivos da auditoria, sua abrangência, as datas e os locais, da estrutura de apoio de que necessitará para a execução dos trabalhos, e do 10 Maiores detalhes sobre a elaboração de listas de verificações serão abordadas em capítulo específico. 33