Francesco De Cicco

AUDITORIA BASEADA EM
RISCOS APLICADA A
SISTEMAS DE GESTO
Maro/2014

A u d i t o r i a B a s e a d a e m R i s c o s A p l i c a d a a S i s t e m a s d e G e s t o 2014, QSP


Maro de 2014


UM NOVO DESAFIO PARA OS
AUDITORES INTERNOS DE SISTEMAS DE GESTO
Auditoria Baseada em Riscos
Aplicada a Sistemas de Gesto
(E alinhada s novas ISO 9001:2015, ISO 14001:2015,
ISO 45000:2016, etc.)


por Francesco De Cicco
1



O foco do trabalho dos auditores internos de sistemas de gesto pode mudar
consideravelmente com a publicao das novas normas ISO 9001:2015, ISO 14001:2015 e
ISO 45001:2016, entre outras. Por causa dos novos requisitos dessas normas e por razes
de custo e eficcia, espera-se que seja dada especial nfase Auditoria Baseada em
Riscos (ABR).

Auditoria Baseada em Riscos um termo bastante utilizado no mundo todo, mas ainda
muito mal compreendido. Este paper tem por objetivo apresentar a abordagem do QSP
para a ABR Aplicada a Sistemas de Gesto, bem como visa fornecer diretrizes bsicas
sobre como abord-la e coloc-la em prtica.

Este trabalho foi inspirado no Manual Como implementar a Auditoria Baseada em
Riscos nas organizaes: uma abordagem inovadora, lanado em 2007 pelo QSP.

Contexto

Conforme o Anexo SL das novas Diretivas ISO, todas as normas ISO de sistemas de
gesto, publicadas a partir de 2012, devero trazer a seguinte definio de Auditoria:

"Processo sistemtico, independente e documentado, para obter evidncia de auditoria
e avali-la objetivamente, para determinar a extenso na qual os critrios de
auditoria so atendidos.

NOTA 1 Uma auditoria pode ser uma auditoria interna (de primeira parte) ou uma
auditoria externa (de segunda parte ou de terceira parte), e pode ser uma auditoria
combinada (combinao de duas ou mais disciplinas).

1
Diretor executivo do QSP - Centro da Qualidade, Segurana e Produtividade.
E-mail: qsp@qsp.org.br. Telefone: (11) 3704-3200.
Conhea a Rede Integrada QSP de Informaes.


A u d i t o r i a B a s e a d a e m R i s c o s A p l i c a d a a S i s t e m a s d e G e s t o 2014, QSP
NOTA 2 A evidncia de auditoria" e os "critrios de auditoria" so definidos na ABNT
NBR ISO 19011:2012.

Por sua vez, a NBR ISO 19011:2012 - Diretrizes para auditoria de sistemas de gesto -
introduziu o conceito de risco para essas auditorias. O enfoque adotado se relaciona
com o risco do processo de auditoria em no atingir seus objetivos e com o risco da
auditoria interferir com os processos e atividades da organizao auditada.

A nova NBR ISO 19011 no fornece diretrizes especficas sobre o Processo de Gesto de
Riscos da organizao (nem sobre Auditoria Baseada em Riscos), mas reconhece que as
organizaes podem focar o esforo da auditoria em assuntos de importncia para o
sistema de gesto.

Existem muitos riscos diferentes associados ao estabelecimento, implementao,
monitoramento, anlise crtica e melhoria de um programa de auditoria que podem
afetar o alcance dos seus objetivos. A NBR ISO 19011:2012 recomenda que a pessoa que
gerencia o programa de auditoria considere esses riscos no seu desenvolvimento.

Tais riscos podem estar relacionados a:

- planejamento (por exemplo, falha em estabelecer os objetivos pertinentes da
auditoria e determinar a abrangncia do programa de auditoria);

- recursos (por exemplo, tempo insuficiente para desenvolver o programa de auditoria
ou para realizar a auditoria);

- seleo da equipe de auditoria (por exemplo, a equipe no tem a competncia
coletiva para realizar auditorias de forma eficaz);

- implementao (por exemplo, comunicao ineficaz do programa de auditoria);

- registros e seus controles (por exemplo, falha em proteger de forma adequada os
registros de auditoria para demonstrar a eficcia do programa de auditoria);

- monitoramento, anlise crtica e melhoria do programa de auditoria (por exemplo,
monitoramento ineficaz dos resultados do programa de auditoria).

Na futura ISO 9001:2015 - Sistemas de gesto da qualidade - Requisitos, por exemplo,
o conceito de risco no contexto da nova norma ir se referir incerteza da organizao
em alcanar os seguintes objetivos:

- proporcionar confiana na sua capacidade de fornecer consistentemente aos clientes
bens e servios conformes;

- aumentar a satisfao dos clientes.


A u d i t o r i a B a s e a d a e m R i s c o s A p l i c a d a a S i s t e m a s d e G e s t o 2014, QSP
Os auditores internos podem implementar uma abordagem baseada em riscos
compatvel com a abordagem adotada por suas organizaes. H muitos enfoques que
podem ser utilizados, dependendo de quanto a auditoria interna capaz de se apoiar no
Processo de Gesto de Riscos
2
da organizao. Isso possibilita ao auditor evitar a
duplicao dos processos j realizados pela organizao e questionar os processos e as
concluses da direo/gerncia sobre os riscos que podem afetar (positiva ou
negativamente) os objetivos do sistema de gesto.

Pode ser que os auditores internos digam que sempre concentraram seus esforos nas
reas e temas de maiores riscos para o sistema de gesto e para a organizao.
Contudo, a experincia mostra que essa abordagem tem sido direcionada pela Avaliao
de Riscos efetuada pela prpria equipe de auditoria. A principal diferena que o foco
da ABR entender e analisar a Avaliao de Riscos realizada pela direo/gerncia e
basear os esforos de auditoria em torno dessa avaliao.

Os objetivos da ABR - Auditoria Baseada em Riscos

O principal objetivo da ABR fornecer garantia independente para a direo/gerncia
da organizao de que:

O Processo de Gesto de Riscos relacionado aos sistemas de gesto (da
Qualidade, Ambiental, da Segurana e Sade no Trabalho, etc.) est operando
conforme o planejado;

O tratamento que a direo/gerncia tem dado aos riscos adequado e eficaz
em tornar os nveis de risco aceitveis ou tolerveis para a organizao;

Existe uma estrutura slida de controles para modificar suficientemente os riscos
que a direo/gerncia deseja tratar.

A ABR comea com os objetivos do negcio, passando pelos objetivos da Qualidade,
Ambientais, etc., e se concentra nos riscos que foram identificados pela
direo/gerncia e que podem afetar, positiva ou negativamente, a consecuo desses
objetivos.

O papel da auditoria interna avaliar at que ponto uma abordagem planejada e
robusta de Gesto de Riscos adotada e aplicada em toda a organizao pela
direo/gerncia, para tornar os nveis de risco aceitveis ou tolerveis (conforme os
Critrios de Risco da organizao). A abordagem do QSP para a Auditoria Baseada em
Riscos Aplicada a Sistemas de Gesto est descrita de forma esquemtica na pgina a
seguir.


2
O termo Risco, na norma NBR ISO 31000:2009, definido como Efeito da incerteza nos objetivos.
Portanto, os objetivos abrangidos pela Gesto de Riscos incluem tanto os objetivos estratgicos como os
objetivos especficos de uma organizao (por exemplo: os objetivos da Qualidade, Ambientais, de
Responsabilidade Social, de Compliance, etc.).

A u d i t o r i a B a s e a d a e m R i s c o s A p l i c a d a a S i s t e m a s d e G e s t o 2014, QSP

Objetivos da Qualidade, Ambientais, de SST, etc.
Identificao de riscos para
a consecuo dos objetivos
Quais so os Critrios de Risco da organizao?
O Processo de Gesto de Riscos
adequado e eficaz na identificao, anlise,
avaliao, tratamento e comunicao dos riscos?
Utilize a viso da
prpria organizao em
relao aos riscos,
tanto quanto possvel
Facilite a
identificao
de riscos junto
direo/gerncia
Facilite a
melhoria
Determine o Universo de Riscos
Determine o escopo e a prioridade das tarefas de Auditoria
Com base nos riscos, selecione as reas a serem auditadas
Avalie o processo e determine como a
direo/gerncia obtm garantias de que
as atividades de Gesto de Riscos esto
sendo realizadas conforme o planejado
Facilite a identificao de riscos e a
avaliao de: riscos inerentes
. controles
riscos residuais
D garantia onde estiver OK, ou facilite a melhoria onde no estiver
Para cada rea, analise a adequao do
Processo de Gesto de Riscos
Sim
No
Se estiver quase tudo OK
Se no estiver OK
Abordagem do QSP para a ABR Aplicada a Sistemas de Gesto

A u d i t o r i a B a s e a d a e m R i s c o s A p l i c a d a a S i s t e m a s d e G e s t o 2014, QSP
A prtica da ABR - Auditoria Baseada em Riscos

Aspectos gerais importantes a serem considerados:

O escopo da ABR pode incluir riscos estratgicos, riscos do negcio e riscos
operacionais, incluindo os relacionados aos sistemas de gesto da organizao.

O ponto de partida determinar se a organizao estabeleceu objetivos
apropriados, e ento determinar se a empresa tem ou no um processo adequado
para identificar, analisar, avaliar, tratar e comunicar os riscos que afetam,
positiva ou negativamente, esses objetivos.

Em um ambiente maduro de Gesto de Riscos, o foco da auditoria interna pode
ser:

o Auditar a estrutura para gerenciar riscos como, por exemplo, recursos,
documentao, mtodos e relatrios;
o Auditar o sistema de controles de toda a organizao e de cada rea,
diviso, departamento ou processo;
o Realizar auditorias individuais que visem predominantemente o
gerenciamento de riscos especficos. Caso vrios riscos sejam controlados
atravs de um Sistema Integrado de Gesto ou processo comum, talvez
seja apropriado realizar uma auditoria combinada desse sistema ou
processo.

Em ambientes menos maduros de Gesto de Riscos, caso as auditorias individuais
focalizem predominantemente todo um sistema, processo ou unidade de negcio,
a auditoria interna deve analisar criticamente os objetivos estabelecidos e o
Processo de Gesto de Riscos, dentro de cada uma dessas partes auditveis.

Se o Processo de Gesto de Riscos estiver adequado e enraizado, a auditoria
interna, sempre que possvel, deve se apoiar na prpria viso da organizao com
relao aos riscos, a fim de determinar o trabalho de auditoria que ela necessita
conduzir.

Quando ela no puder se basear no Processo de Gesto de Riscos, a auditoria
interna deve realizar sua prpria Avaliao de Riscos (em conjunto com a direo,
gerncia, etc., e preferencialmente utilizando como referncia a norma
internacional e brasileira NBR ISO/IEC 31010 - Gesto de riscos - Tcnicas para o
processo de avaliao de riscos), para determinar o nvel preciso do trabalho
necessrio, e ento focalizar a maneira como a direo/gerncia se assegura de
que as atividades de Gesto de Riscos esto sendo praticadas conforme o
planejado.

O resultado final de cada auditoria individual deve ser o de assegurar que os
riscos esto sendo gerenciados dentro de um nvel aceitvel ou tolervel

A u d i t o r i a B a s e a d a e m R i s c o s A p l i c a d a a S i s t e m a s d e G e s t o 2014, QSP
(conforme definido nos Critrios de Risco da organizao), ou facilitar e/ou
definir melhorias conforme necessrio.

Processo contnuo de administrao dos riscos

bvio, mas importante enfatizar, que nem todas as organizaes esto no mesmo
estgio de implementao da Gesto de Riscos. O quadro a seguir estabelece os graus
de Maturidade de Riscos
3
e a abordagem da auditoria interna que pode ser adotada em
cada estgio.

Grau de
Maturidade de Riscos
Caractersticas
Principais
Abordagem da
Auditoria Interna
Ingnuo
Nenhuma abordagem
formal desenvolvida para a
Gesto de Riscos.
Promove a Gesto de Riscos e
se baseia na Avaliao de
Riscos da prpria auditoria.
Consciente
Abordagem para a Gesto
de Riscos dispersa em
silos.
Promove a abordagem
corporativa da Gesto de
Riscos e se baseia na
Avaliao de Riscos realizada
pela prpria auditoria.
Definido
Estratgia e polticas
implementadas e
comunicadas, Critrios de
Risco definidos.
Facilita a Gesto de Riscos/
Relaciona-se com a Gesto de
Riscos, e usa a Avaliao de
Riscos realizada pela direo/
gerncia quando apropriado.
Gerenciado
Abordagem corporativa
para a Gesto de Riscos,
desenvolvida e
comunicada.
Audita o Processo de Gesto
de Riscos e utiliza a Avaliao
de Riscos realizada pela
direo/gerncia conforme
apropriado.
Habilitado
Gesto de Riscos e
controles internos
totalmente incorporados
s operaes.
Audita o Processo de Gesto
de Riscos e utiliza a Avaliao
de Riscos realizada pela
direo/gerncia conforme
apropriado.


Cada organizao deve determinar como pretende implementar/melhorar a Gesto de
Riscos (preferencialmente adotando como referncia a norma internacional e brasileira
NBR ISO 31000:2009 - Gesto de riscos - Princpios e diretrizes). Isso ajudar a
determinar os Critrios de Risco e o nvel de Maturidade de Riscos da organizao. Por
exemplo, nem todas as empresas desejaro atingir completamente o grau de

3
Termo simplificado que utilizamos no QSP quando nos referimos Maturidade da Gesto de Riscos de uma
organizao.

A u d i t o r i a B a s e a d a e m R i s c o s A p l i c a d a a S i s t e m a s d e G e s t o 2014, QSP
maturidade Habilitado, pois talvez tenham que pesar os custos em relao viso que
tm dos benefcios potenciais. Cabe alta direo e equipe de gerentes determinarem
at que ponto desse processo contnuo desejaro chegar.

Alm da Maturidade de Riscos da organizao, a extenso da Avaliao de Riscos que a
prpria auditoria interna ir realizar, se for o caso, tambm depende do grau e da
velocidade das mudanas estratgicas e organizacionais.

Concluso

A Auditoria Baseada em Riscos uma abordagem que focaliza as questes que
realmente importam para a organizao, em qualquer rea: Finanas, Qualidade, Meio
Ambiente, Segurana e Sade no Trabalho, Responsabilidade Social, Compliance, etc.

A ABR fornece garantias em relao estrutura para gerenciar riscos da empresa,
possibilitando que a auditoria interna se ligue diretamente a essa estrutura e, dessa
forma, potencialize as sinergias.




Capacite-se no QSP (clique na figura acima para conhecer nosso
Curso de Capacitao e Certificao em Gesto de Riscos - ISO 31000)