As Auditorias do ISPS Code: uma análise crítica

Transcrição

1 As Auditorias do ISPS Code: uma análise crítica Como uma das medidas de prevenção e combate ao terrorismo após os atentados terroristas às torres gêmeas do WTC e ao Pentágono em 2001, foi estabelecido um código internacional para a proteção de navios e instalações portuárias denominado International Ship and Port Facility Security Code (ISPS Code). Esse código estabeleceu requisitos e diretrizes para as instalações portuárias e navios envolvidos no comércio internacional, com a obrigatoriedade de se elaborarem avaliações de riscos e planos de segurança e de se realizarem auditorias. E é justamente sobre as auditorias que estamos escrevendo este artigo, com o objetivo de se realizar uma análise crítica da forma pela qual essas auditorias devem ser realizadas. Conceito de auditoria A auditoria é uma atividade formal, documentada e executada por pessoal habilitado, e destina-se a verificar a conformidade e a eficácia de um sistema, mediante evidências em documentos, registros, observações e entrevistas, relatando ao final as não conformidades, para a adoção de ações corretivas e preventivas. Tipos de auditoria As auditorias podem ser de dois tipos: internas e externas. As auditorias internas são aquelas conduzidas pela própria instituição ou em seu nome. As auditorias externas são realizadas por pessoal de fora da organização, como clientes, fornecedores e organismos certificadores. Competência para a realização das auditorias O ISPS Code estabelece a obrigatoriedade, para as instalações portuárias, de se realizarem auditorias, ao estabelecer no subitem 13 do item 16.3 que devem constar no plano de segurança os procedimentos para auditar o plano,

2 além do disposto no item , ambos da parte A, combinados com os itens e da parte B do código. Para os governos contratantes, a obrigatoriedade de se estabelecerem procedimentos adequados para auditar a continuidade da relevância do plano aprovado (item da parte B). A Resolução CONPORTOS 47/2011 estabeleceu critérios e disposições para a realização de auditorias nas instalações portuárias e atribuiu a competência para a realização dessas auditorias à CONPORTOS, mediante procedimento de fiscalização da ANTAQ. De acordo com esses instrumentos normativos, concluímos que são competentes para realizar as auditorias: a própria instalação portuária e a CONPORTOS. A primeira, na realização das auditorias internas, que possuem a previsão de sua realização no ISPS Code e nos próprios planos de proteção. A segunda, como órgão certificador e/ou fiscalizador na realização das auditorias externas, para a emissão ou manutenção da certificação internacional de proteção ao atestar a conformidade com o padrão estabelecido no ISPS Code. Dessa forma, a não realização das auditorias internas pelas próprias instalações portuárias configura o não atendimento às disposições estabelecidas no ISPS Code e no seu plano de proteção, o que evidencia a constatação de não conformidades, como também a não realização das auditorias externas por parte da CONPORTOS evidencia o descumprimento de obrigação imposta pelo ISPS Code ao governo contratante, tornando-se evidente a constatação de não conformidade em relação ao ISPS Code. Etapas da auditoria Para atestarem a conformidade com um padrão estabelecido, como as do ISPS Code, as auditorias devem ser realizadas em 3 etapas. A primeira etapa consiste na verificação dos requisitos da norma aplicáveis à instalação com relação à elaboração da avaliação de riscos, plano de proteção, e normas internas para atender o plano, como a de controle de acesso, etc., ou seja, é o exame realizado para verificar se esses documentos foram

3 elaborados de acordo com os requisitos normativos. Essa fase é conhecida como de adequação ou intenção. A segunda etapa consiste no exame operacional do sistema para verificar se os controles foram implementados de acordo com o estabelecido nas normas de referência (ISPS Code, plano de segurança, etc.). É a busca da constatação da conformidade dos controles implementados. Essa etapa é conhecida como de conformidade. A terceira etapa consiste na avaliação da eficácia dos controles do sistema de proteção. É a fase na qual as evidências são analisadas para se avaliar se os controles do sistema de proteção atendem aos objetivos para os quais foram estabelecidos. A Resolução CONPORTOS 47/2011 em seu 1 o do Art.1 o estabelece: 1o. A auditoria referida no caput consiste na verificação: I da adequação da Avaliação de Risco e do Plano de Segurança com o ISPS Code e resoluções da CONPORTOS; II da conformidade com as especificações, requisitos técnicos, normas de segurança e documentação exigidos pelo ISPS Code e a regulamentação interna, bem como aferição da eficácia dos controles do sistema de proteção. 2º. Para a realização das auditorias deverão ser observados, como requisitos mínimos, os constantes do Anexo. Com relação ao inciso I do 1 o acima citado, o exame de adequação objetiva verificar se os requisitos e as diretrizes do ISPS Code foram contemplados quando da elaboração desses instrumentos (Avaliação de Risco e Plano de Segurança), como também se estão de acordo com as disposições estabelecidas nas Resoluções da CONPORTOS. Para atestar a adequação, faz-se necessário que todo e qualquer requisito e diretriz do código, bem como as disposições da CONPORTOS, sejam alcançados pela avaliação de riscos e pelo plano de proteção (segurança), pois, em não tendo sido, não se pode falar em adequação, e, portanto, não se

4 pode atestar esses instrumentos como estando em conformidade com o ISPS Code. Para se estar adequado, não é suficiente o atendimento a uma Resolução, mas aos requisitos e diretrizes do código, bem como às disposições das resoluções envolvidas. Esse cuidado deve ser redobrado para não ter uma avaliação de riscos aprovada com base em uma resolução da CONPORTOS, mas em não conformidade com os requisitos e diretrizes do código e, portanto, inadequada. Exemplificando: Para se atestar a adequação de uma avaliação de riscos, não se deve realizar o exame apenas com base em uma resolução, como, por exemplo, a Resolução 10/2003, porque essa resolução não considera todos os requisitos e diretrizes estabelecidos no código. Para tal, faz-se necessário que a avaliação de riscos seja examinada, tendo como critério de auditoria o ISPS Code (requisitos e diretrizes) e as resoluções CONPORTOS, pois uma avaliação de riscos que for realizada por um método qualquer pode atender ao disposto na resolução 10/2003, mas não atender aos requisitos e diretrizes do código. E essa deve ser a preocupação de todos: da instalação portuária e da CONPORTOS. Com relação ao inciso II do 1 o acima citado, o exame de conformidade deve ser realizado com base nas especificações, requisitos técnicos, normas de segurança e documentação exigidos pelo ISPS Code e pela regulamentação interna. Um exame de conformidade tem como pressuposto verificar se determinado padrão, processo, procedimento e equipamento estão conforme foram estabelecidos nos documentos de referência, ou seja, é verificar se o que consta no plano foi implementado de acordo com o estabelecido, e se está em funcionamento conforme foi estabelecido para funcionar. Exemplificando: Para se atestar a conformidade com o plano de segurança, deve-se verificar se o que foi estabelecido no plano foi implementado e se está sendo executado conforme foi implementado. Para obter a evidência de auditoria, deve-se utilizar como referência o documento plano de segurança. Por exemplo, a não realização das auditorias previstas nos planos evidencia a

5 constatação de não conformidade, independentemente da justificativa. É não conformidade. Ainda com relação ao inciso II do 1 o acima citado, o exame de auditoria deve aferir a eficácia dos controles do sistema de proteção. A aferição da eficácia pode ser feita com base nos objetivos de controle ou em critérios préestabelecidos. A primeira é realizada sobre os objetivos de controle e tem como base avaliar se os controles atendem à finalidade para os quais foram criados. A segunda é realizada sobre critérios previamente estabelecidos e pode ser medida segundo os níveis de maturidade, indicadores de desempenho, etc. A filosofia de um exame de eficácia reside na constatação de que um controle atende ao seu objetivo, e essa identificação de eficácia não pode ser feita pela simples observação do auditor, uma vez que o exame de auditoria é realizado tendo como referência um critério de auditoria, que é a norma, o padrão, o procedimento, os indicadores de desempenho, etc., para que não se abra espaço para o questionamento do exame com base na simples dedução do auditor em apontar uma ineficácia para determinado controle. Essa é uma das grandes preocupações da auditoria para aferir a eficácia. No nosso entendimento, se não existir um critério previamente estabelecido, não há como sustentar a constatação de ineficácia por ausência de evidências objetivas. Ratifico: evidências objetivas, e não nas conclusões baseadas no mero discernimento do auditor, por mais experiente que ele seja. Essa ausência de critério de auditoria é um ponto balizador e determinante para as constatações da auditoria e indicação de não conformidades. Constatações, evidências e não conformidades A constatação de auditoria é o resultado da avaliação de evidência, o que, se comparada com o critério de auditoria, leva o auditor a atestar a conformidade ou não do item de seu exame, ou seja, para se constatar uma não

6 conformidade faz-se necessário que existam a evidência 1 auditoria. 2 e o critério de Exemplificando: O exame físico das câmeras do sistema de monitoramento deve basear-se na quantidade de câmeras estabelecidas no plano de segurança (critério de auditoria). A identificação de apenas parte dessas câmeras (previstas no plano) configura a evidência que, na comparação com a quantidade prevista no plano (critério), leva o auditor a constatar uma não conformidade. A não realização das auditorias previstas nos planos (critério) é a evidência necessária para se constatar a não conformidade com o plano. O Art. 1 o da Resolução CONPORTOS 47/2011, em seu 2 o, diz: 2º. Para a realização das auditorias deverão ser observados, como requisitos mínimos, os constantes do Anexo. Esses requisitos mínimos, mencionados no 2 o acima citado, não podem ser considerados critérios de auditoria e não podem ser utilizados como referência para se atestar a constatação de não conformidades. O mencionado anexo é composto de vários itens a serem verificados pela auditoria, e deve ser interpretado como o requisito mínimo que objetiva orientar os auditores no seu exame. Ele deve ser utilizado como um checklist balizador das atividades mínimas que os auditores irão realizar. A constatação de não conformidades com base nos itens do mencionado anexo não encontra elementos de sustentação para a atribuição de não conformidades, por falta de critério de auditoria. Exemplificando: o item 11 do anexo da Resolução CONPORTOS 47/2011 orienta verificar se possui plano de proteção aprovado e atualizado?. Ao se constatar que não existe um plano de proteção aprovado e atualizado, o auditor encontrou uma evidência (o fato), e o critério de não conformidade 1 A evidência é o registro, a apresentação de fatos, a informação colhida durante a auditoria. 2 O critério é a norma, a política, o processo, o procedimento. É o ISPS Code, o plano de segurança, uma resolução CONPORTOS, o plano operacional, etc.

7 não pode ser o item 11 do anexo, e sim o item do ISPS Code que estabelece essa obrigatoriedade para se atestar a conformidade com o ISPS Code. O procedimento do auditor em relação ao fato acima é de buscar nas normas de referência (ISPS Code, Resoluções CONPORTOS, etc.) o link de ligação com a evidência. É utilizar os itens do anexo como um roteiro de seu exame, e, ao se deparar com uma evidência de auditoria, ter como obrigação identificar quais itens do critério de auditoria (ISPS Code, Plano, normas, procedimentos, etc.) estão sendo descumpridos, para assim poder aferir a constatação de uma não conformidade. Outro ponto que merece atenção com relação às não conformidades diz respeito à sua classificação. Se a instalação portuária possuir uma classificação para as não conformidades, essa classificação deverá ser utilizada pela auditoria interna. Já as auditorias da CONPORTOS utilizarão a classificação estabelecida por ela na Resolução 49/2011. A Resolução CONPORTOS 49/2011, em seu Art. 2 o e 3 o diz: Art. 2º - Classificar as não conformidades do Anexo I da Resolução 47/ Conportos da seguinte forma: I - Leve - as obrigações dispostas dos itens 15 ao 46 da alínea "b"; II - Moderada - as obrigações dispostas dos itens 47 ao 91 da alínea "c"; III - Grave - as obrigações dispostas dos itens 1 ao 13 da alínea "a" e item 14 da alínea "b". 1º - Considera-se ainda moderada a cumulação de 3 (três) nãoconformidades leves; e grave a cumulação de 3 (três) nãoconformidades moderadas. 2º - O disposto na alínea "d" será classificado, caso necessário, pela equipe técnica durante a realização das auditorias. Art. 3º - No caso de reincidência específica de não-conformidades em auditorias sucessivas, estas serão classificadas como graves.

8 Na prática, toda vez que o auditor da CONPORTOS se deparar com uma não conformidade relacionada ao item do anexo da Resolução 47/2011, ele deverá atribuir uma relevância a essas não conformidades de acordo com o estabelecido na Resolução 49/2011. Entretanto, seguindo a linha de raciocínio adotada nos parágrafos anteriores, não há como entender e aceitar uma não conformidade por descumprir um item do anexo da Resolução 47/2011 (no exemplo anterior, o item 11). Não há sustentação. O argumento sustentável e correto é o da não conformidade ao item específico da norma que estabelece a obrigatoriedade de se ter um plano aprovado e atualizado. Esse anexo não estabelece tal obrigação, apenas orienta sobre os requisitos mínimos a que a auditoria deve obedecer em seu exame. É instrumento balizador. Outro ponto do exame diz respeito às vulnerabilidades encontradas. Se determinado fato não estiver estabelecido em documento de referência, como, por exemplo, no plano de segurança, não se lhe pode atribuir uma não conformidade, porque não haverá um critério de auditoria determinante para a constatação da não conformidade. Apenas a evidência, ou seja, o fato. Exemplificando: Durante o exame de auditoria, é encontrado um funcionário na subestação de energia, a qual fica dentro da área restrita. Esse funcionário não faz parte da equipe de manutenção, mas desempenha suas atividades em outro local dentro da área restrita. A evidência: funcionário de outro setor encontrado dentro da subestação de energia. A indagação: é não conformidade? Depende. Se a proibição não existir no critério de auditoria, não podemos atribuir uma não conformidade. Trata-se da observação de uma vulnerabilidade encontrada, mas não uma não conformidade por não existir o critério específico de auditoria para ser comparado com a evidência encontrada. Podemos concluir que, para se poder atestar uma não conformidade, o procedimento correto do auditor nas auditorias internas consiste em identificar a evidência e compará-la com o critério de auditoria do seu exame. O procedimento correto do auditor da CONPORTOS é utilizar o anexo como um

9 papel de trabalho para o roteiro de sua auditoria, pois, ao identificar uma evidência de não conformidade (fato), deve identificar qual o critério de auditoria (ISPS Code, Plano de segurança, normas de controle de acesso, planos operacionais, etc.) e qual o item de caracterização do critério de auditoria que está sendo descumprido (item 16.1 da parte A do ISPS Code, por exemplo), e assim obter a constatação de auditoria e classificar a não conformidade. Insistir na argumentação da não conformidade com base no anexo da Resolução CONPORTOS 47/2011 é prover ações administrativas e judiciais, que só dificultarão ainda mais o processo de conformidade com o ISPS Code. Esse é um cuidado especial que todos devem ter, sejam auditores internos ou externos, pois as não conformidades podem levar a penalidades e infrações. Penalidades e infrações As instalações portuárias certificadas internacionalmente segundo os requisitos de proteção do ISPS Code constarão no site da IMO ( como portos seguros. Tal certificação é um instrumento importante para um mercado altamente competitivo e preocupado com a proteção do comércio internacional contra atos terroristas e de riscos, que possam interromper as atividades dos navios envolvidos em viagens internacionais, e as instalações portuárias que servem a tais navios, ou causar danos materiais, acidentes pessoais ou mortes. O ISPS Code não estabeleceu penalidades. A penalização maior pela não conformidade com o código é a de mercado, pois os portos não certificados poderão ser evitados e, consequentemente, ser excluídos, por não serem considerados portos seguros para o comércio internacional neste acirrado cenário mundial. Para se atribuir uma penalidade deve existir a obrigação de se fazer ou deixar de fazer algo. A competência para se estabelecer a obrigação é o instrumento normativo que obriga a fazer ou deixar de fazer algo. A

10 competência está relacionada com a legitimidade e a legalidade do ente jurídico para tal. E o instrumento normativo que estabelece a obrigação deve atender ao princípio da legalidade, consagrado no inciso II do artigo 5 o da Constituição Federal, que diz: Ninguém será obrigado a fazer ou deixar de fazer alguma coisa senão em virtude de lei. 3 A Resolução ANTAQ 2192, de 28/07/2011, aprovou a inserção de obrigação nos anexos da Resolução nº 858-ANTAQ, de 23/08/2007, Resolução nº Antaq, de 03/12/2009, Resolução nº Antaq, de 03/12/2009, Resolução nº Antaq, de 09/02/2010, Resolução nº Antaq, de 08/04/2010, quanto ao cumprimento do disposto nas Resoluções 47/2011-Conportos e 49/2011-Conportos, as quais disciplinam os procedimentos das auditorias em conformidade com o código internacional de proteção de navios e instalações portuárias - ISPS Code. As obrigações inseridas foram as de: Cumprir e fazer cumprir as determinações da Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis - Conportos quanto à implantação, manutenção e execução dos Planos de Segurança das instalações portuárias. Essas obrigações alcançam a Administração Portuária (Resolução Antaq 858, de 23/08/2007, Art LVI), a Estação de Transbordo de Cargas (Resolução Antaq 1.555, de 03/12/2009, Art XVI), o Terminal Portuário de Uso Privativo de Turismo para a Movimentação de Passageiros (Resolução Antaq 1.556, de 03/12/2009, Art XVII), a Instalação Portuária Pública de Pequeno Porte (Resolução Antaq 1.590, de 09/02/2010, Art XVI), e o Terminal Portuário de Uso Privativo (Resolução Antaq 1.660, de 08/04/2010, Art XXII). O descumprimento dessas obrigações leva á aplicação de infrações de multa de até R$ ,00 para a Administração Portuária (Resolução Antaq 858, de 23/08/2007- Art LVII); de até R$ ,00 para a Estação de 3 É tido o entendimento de que o conceito de Lei referido neste princípio diz respeito aos atos normativos, como medidas provisórias, resoluções, decretos, etc.

11 Transbordo de Cargas (Resolução Antaq 1.555, de 03/12/2009- Art XX), para o Terminal Portuário de Uso Privativo de Turismo para a Movimentação de Passageiros (Resolução Antaq 1.556, de 03/12/2009 Art XXXVII), e para a Instalação Portuária Pública de Pequeno Porte (Resolução Antaq 1.590, de 09/02/2010, Art XXXII); e de até R$ ,00 para o Terminal Portuário de Uso Privativo (Resolução Antaq 1.660, de 08/04/2010, Art XXXII). Pelo que foi visto, o descumprimento das obrigações inseridas na Resolução ANTAQ 2192/2011 é fato gerador de infrações que podem levar a uma multa de até ,00 (um milhão de reais). Essas obrigações serão aferidas nas auditorias da CONPORTOS com a identificação das não conformidades. Pode-se concluir que são duas as espécies de penalidades: a de mercado e a pecuniária. A penalidade de mercado advém da não certificação com o ISPS Code, ou pelo cancelamento dessa certificação. E a pecuniária advém do não cumprir e não fazer cumprir as determinações da CONPORTOS quanto à implantação, manutenção e execução dos planos de segurança. Ambas as penalidades alcançam um mesmo objeto: a conformidade com o ISPS Code. Conclusão A adequação ao ISPS Code pelos benefícios que ele trazia ao ser conhecido internacionalmente como um porto seguro, era o que parecia direcionar as instalações portuárias para a certificação. Era como se existisse um sentimento de voluntariedade, como nas normas ISO. A não certificação levava a possibilidade da penalidade de mercado, que mais cedo ou mais tarde se tornaria realidade. A adequação ao código para não ser penalizado pecuniariamente tende a ser o principal agente motivador para a certificação do ISPS Code, e o sentimento passa a ser o de cumprir uma determinação imposta pelo Estado no pleno exercício do poder de polícia, ao realizar as auditorias mediante o procedimento de fiscalização da ANTAQ, cujas não conformidades encontradas poderão caracterizar infração às obrigações inseridas na Resolução ANTAQ

12 2192/2011, e ter como consequência a aplicação de multa. Agora, o agente motivador é a obrigação interposta por lei. Com certeza, a aplicação de infração deve gerar questionamentos administrativos e judiciais. Questionamentos que passarão pela discussão da legitimidade e competência da ANTAQ, para atribuir obrigações e estabelecer penalidades com relação à segurança portuária, como também pelo irrepreensível processo das auditorias externas realizadas pela CONPORTOS. Ao se falar de auditoria em procedimento de fiscalização, por mais estranho que se pareça, os auditores devem atentar cuidadosamente para a realização das suas auditorias lastreadas nos procedimentos, evidências e critérios de auditoria para poderem se aferir a exata e justa constatação de auditoria e atestarem a conformidade ou não com o ISPS Code. Um ponto é pacífico: a adequação aos requisitos e diretrizes estabelecidos no ISPS Code passa pela conscientização e profissionalização de todas as pessoas envolvidas nesse importante processo de se certificar. Uma premissa é certa: a presteza em relação aos critérios da atividade de auditoria constitui um marco diferencial na qualidade e na consolidação desta importante ferramenta de exame de conformidade com o ISPS Code, sejam elas internas, patrocinadas pela própria instalação portuária, ou externas, realizadas pelo órgão certificador, como a CONPORTOS. Um resultado é esperado: a conformidade com o ISPS Code. Marcus Leal Dantas (marcusdantas@uol.com.br) É autor dos livros: Segurança preventiva: conduta inteligente do cidadão; Auditoria em instalações portuárias; Segurança da informação: uma abordagem focada em gestão de riscos; e Avaliação de riscos em instalações portuárias. É mentor e instrutor do curso Auditoria em instalações portuárias - formação de auditor ISPS Code.