Auditoria em Instalações Portuárias - Marcus Dantas · Agradeço, em especial, ao...
167
Marcus Dantas Auditoria Auditoria em Instalações Portuárias em Instalações Portuárias
-
Upload
dinhnguyet -
Category
Documents
-
view
214 -
download
0
Transcript of Auditoria em Instalações Portuárias - Marcus Dantas · Agradeço, em especial, ao...
Marcus Dantas
AuditoriaAuditoriaem Instalações Portuáriasem Instalações Portuárias
1
Marcus Leal Dantas
Auditoria
2ª Edição
Livro Rápido Olinda – PE
2011
2
Copyright © 2011 by Marcus Leal Dantas
Impresso no Brasil Printed in Brazil
Editor
Tarcísio Pereira
Diagramação Laís Mira
Capa
Carlos Lopes
Revisão Professora Margarida Michel
Dados Internacionais de Catalogação na Publicação (CIP)
Ficha catalográfica
Dantas, Marcus Leal D192a Auditoria. 2ª Ed. / Marcus Leal Dantas – Olinda: Livro Rápido,
2010.
166 p. ; tab.
Bibliografia. p. 161-163 (bibliografia localizada) ISBN 978-85-406-0069-0 1. Auditoria. 2. Planos de segurança portuária. 3. Auditoria -
Instalações portuária. 4. Tipos de auditoria. I. Título. 657 CDU (1997)
Fabiana Belo - CRB-4/1463
Livro Rápido – Elógica Rua Dr. João Tavares de Moura, 57/99 Peixinhos
Olinda – PE CEP: 53230-290 Fone: (81) 2121.5300 Fax: (81) 2121.5333
www.livrorapido.com
3
DEDICATÓRIA Aos meus pais, Raimundo e Mércia, pelos valores cultivados na educação familiar, que hoje se apresentam como pilares fundamentais no equilíbrio e sucesso das coisas que procuro realizar. À minha esposa Eva, pela prazerosa companhia de todos esses anos, e pelas lições aprendidas nos momentos de aparente dificuldade. Aos meus filhos Gabriela, Luiza e Marcus, pelo brilho intenso de olhares inspiradores de sonhos e felicidades, fonte de motivação para enfrentar de forma audaz os desafios do dia-a-dia.
4
5
AGRADECIMENTOS Agradeço ao amigo Joaquim Osório Liberalquino Ferreira pela contribuição ímpar da análise crítica do conteúdo deste livro, e por toda a aprendizagem durante a construção desse conhecimento. Agradeço, em especial, ao Capitão-de-Mar-e-Guerra Marcelo Santiago Garcia, do Estado-Maior da Armada da Marinha do Brasil, Encarregado da Divisão de Coordenação dos Assuntos da Organização Marítima Internacional, pela colaboração na fase das pesquisas, pelas observações feitas no conteúdo deste livro, e pelo indispensável prefácio.
6
Marcus Leal Dantas
Auditor fiscal e Oficial da reserva da Polícia Militar de Pernambuco, possui trabalhos publicados e realizados nas áreas de segurança pública, privada, portuária, da informação e de gestão de riscos. É contador, graduado pela UFPE, e pós-graduado em planejamento e gestão organizacional pela FCAPE, e em Direito Tributário pela UFPE. É Auditor Líder em Sistemas de Gestão de Segurança da Informação ISO 27001:2005.
É autor dos livros: Segurança preventiva: conduta inteligente do cidadão; Segurança da informação: uma abordagem focada em gestão de riscos; e Avaliação de riscos em Instalações Portuárias.
E-mail: [email protected]
Home: www.marcusdantas.com.br
7
PREFÁCIO É cediço que o dia 11 de setembro de 2001 marcou o mundo. Todos se
lembrarão desta data por razões diversas. No setor marítimo, idéias correntes foram potencializadas e novas matérias foram apresentadas no “pós-11 de setembro”. Dentre elas, talvez, aquela com maior impacto, quase imposta ao mundo pelas circunstâncias, tenha sido a instituição do Código ISPS (International Ship and Port Facility Security Code), inserindo, de forma decisiva, a mentalidade de segurança (security) no transporte marítimo. A despeito de sua repercussão, este não foi o primeiro movimento da comunidade marítima internacional. Anteriormente, em 1988, foi adotada, no âmbito da Organização Marítima Internacional (IMO), a Convenção para a Supressão de Atos Ilícitos Contra a Segurança da Navegação Marítima, instrumento este decorrente do incidente ocorrido com o navio de passageiros Achille Lauro, em 1985.
O Código ISPS foi elaborado e associado, por meio de emenda tácita, à Convenção para a Salvaguarda da Vida Humana no Mar (SOLAS). A SOLAS, desde a sua origem, demonstrou apelo e publicidade, uma vez que seu desenvolvimento foi motivado pelo acidente ocorrido com o navio Titanic, em 1912. Por esta razão, esta Convenção possui um elevado número de países signatários, o que, consequentemente, torna o Código obrigatório para quase a totalidade dos países do mundo.
Mas o que trouxe de novo o Código ISPS? Mais segurança para os navios e instalações portuárias. Os navios, então, não eram seguros? Naturalmente que sim, porém, a IMO, utilizando-se da filosofia de estandardização de procedimentos e dos seus processos para elaboração de normas e diretrizes, desenvolveu um documento padronizado e de fácil compreensão por diferentes Estados.
E no que tange aos portos? Neste ponto reside a grande dificuldade e novidade no setor, visto que não havia uniformidade nos portos ou instalações portuárias quanto à segurança. A IMO, uma Organização voltada para o transporte marítimo internacional, encontrou grande resistência a esta nova abordagem, em face da dificuldade de os Estados aceitarem que
8
assuntos relacionados à segurança dos respectivos territórios fossem regulados por essa Agência da Organização das Nações Unidas (ONU).
Ressalta-se que o Código ISPS trouxe inúmeras novidades ao setor portuário mundial e, em especial, ao brasileiro. Neste sentido, podemos citar a importante atuação da Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), criada em 1997, em razão das numerosas ocorrências de roubo armado em portos brasileiros, no desenvolvimento dos planos de segurança portuária. Com a publicação do Código ISPS, a CONPORTOS ganhou relevância e potencializou a sua atuação, passando a regulamentar as ações necessárias para o setor portuário, no tocante à segurança pública.
Para se adequar às novas regras, os portos e instalações portuárias precisaram efetuar a análise de risco, com vistas à elaboração de seus planos de segurança. Esta análise identificou diversas vulnerabilidades, tais como: falta de muros ou cercas delimitando perímetros, ausência de controle de acesso de pessoas e cargas, deficiência de iluminação, falta de treinamento de pessoal envolvido com a segurança, falta de mentalidade de segurança, dentre outros.
Uma vez identificadas as vulnerabilidades, ações corretivas foram estabelecidas e elaborados planos de segurança que, quando implementados, são avaliados pelas Comissões Estaduais de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CESPORTOS), que, eventualmente, contam com a colaboração da CONPORTOS. Caso a implementação do Plano de Segurança da Instalação Portuária seja satisfatória, é emitida uma Declaração de Cumprimento e registrado na página da IMO, na Internet. Além das auditorias previstas nos planos de segurança, a IMO está adotando, desde 2006, o Esquema de Auditoria Voluntária, onde os Estados Membros recebem auditores credenciados pela Organização. Este procedimento visa a proporcionar aos Estados Partes uma avaliação da eficiência de suas legislações, no que tange à implementação dos instrumentos obrigatórios da IMO, tais como as Convenções para Salvaguarda da Vida Humana no Mar (SOLAS) e a de Prevenção da Poluição Causada por Navios (MARPOL), com vistas a, principalmente, inibir a circulação dos navios mercantes ditos sub-standards.
9
O tema security é relativamente recente na IMO e precisa de um período de tempo para as necessárias revisões, de forma a assegurar a eficiência na implementação de seus procedimentos. Assim, atualmente, o escopo desta auditoria internacional não alcança as medidas especiais para intensificar a proteção marítima, previstas no capítulo XI-2 da SOLAS. Entretanto, em dezembro de 2005, a Assembléia da Organização adotou a Resolução A.975(24), solicitando ao Conselho (órgão executivo da IMO) as ações pertinentes para o desenvolvimento das adequadas provisões para a inclusão no Esquema de Auditoria Voluntária de novas matérias, dentre elas, o security. Releva comentar que a experiência tem demonstrado que, no âmbito daquela Organização, instrumentos concebidos para a adoção em caráter voluntário, como meras recomendações, com o passar do tempo, tendem a tornarem-se obrigatórios. Reunindo os fatos ora apresentados, depreende-se que, em um futuro não muito distante, o País estará sujeito a uma auditoria internacional compulsória, incluindo a segurança marítima (security) e, provavelmente, condicionando certificação internacional de navios e instalações portuárias a este procedimento.
Aqueles descompromissados com os rigores do assunto, descrentes dos benefícios desta ferramenta, que buscam alternativas para tergiversar a necessária conformidade com o instrumento internacional, perguntariam: quais as penalidades previstas no Código para aqueles Governos que não cumprirem o que nele está disposto? Resposta: a IMO não aplica qualquer penalidade aos Estados que não cumprem o Código. As sanções são impostas pelas forças de mercado e fatores econômicos. Não há como, deliberadamente, ignorar o Código ISPS. Os portos (Governos) imporão restrições a todos os navios “contaminados”, ou seja, aqueles que comprometeram os seus planos de segurança por terem atracado em instalações portuárias “não conformes” com o Código ISPS.
A edição de um livro, que não trata de novas metodologias, mas orienta a preparação para a conformidade com as regras internacionais, ocorre em momento extremamente oportuno, consoante com o início das auditorias nos Planos de Segurança Pública Portuária. De forma didática, o autor nos apresenta todo o processo de auditoria, voltado às instalações
10
portuárias, que será muito útil na avaliação e aprimoramento da segurança dos portos brasileiros.
Com certeza, os setores comprometidos com a matéria terão a grata satisfação de contar com a pioneira e valiosa iniciativa do autor, vislumbrando neste livro um alerta e um incentivo aos portos brasileiros a buscarem a conformidade com o Código. Em 2003, quando foram discutidas as normas para implementação do ISPS, havia muita novidade e pouco tempo, induzindo os gestores do assunto a levarem adiante ações sem a necessária avaliação de sua efetividade. Imagino que uma auditoria bem conduzida seja a ferramenta mais valiosa do processo de aprimoramento do nosso sistema de segurança portuária, contribuindo sobremaneira para manter os nossos portos e terminais livres de atos ilícitos de todo tipo, em especial, aqueles perpetrados por organizações clandestinas ou terroristas. Marcelo Santiago Garcia Capitão-de-Mar-e-Guerra Encarregado da Divisão de Coordenação dos Assuntos da IMO
11
SUMÁRIO INTRODUÇÃO ................................................................................................. 13 TERMOS E DEFINIÇÕES................................................................................... 19 1 AUDITORIA...................................................................................................23
1.1 Tipos de auditoria................................................................................. 24 1.1.1 Internas........................................................................................... 24 1.1.2 Externas...........................................................................................25
1.2 Etapas da auditoria ...............................................................................25 1.3 Auditores ............................................................................................. 26 1.4 Programa de auditoria..........................................................................27
1.4.1 Elementos de um programa de auditoria....................................... 28 1.5 Atividades de auditoria........................................................................ 30
1.5.1 Planejamento da auditoria .............................................................. 31 1.5.2 Execução da auditoria.................................................................... 34 1.5.3 Encerramento da auditoria ............................................................ 38
1.6 Procedimentos de auditoria................................................................ 42 1.6.1 Evidências de auditoria .................................................................. 42 1.6.2 Técnicas de auditoria ..................................................................... 43 1.6.3 Constatações de auditoria............................................................. 44 1.6.4 Papéis de trabalho......................................................................... 44 1.6.5 Procedimentos de auditoria X procedimentos do auditor ............ 45
2 AUDITORIA EM INSTALAÇÕES PORTUÁRIAS................................................47 2.1 Tipos de auditoria e sua importância na proteção de instalações portuárias ................................................................................................. 50 2.2 Objetivos de programas de auditoria e objetivos de auditoria .......... 54 2.3 Auditoria em sistemas de proteção .................................................... 59 2.4 Auditoria da avaliação de proteção de instalações portuárias .......... 63 2.5 Auditoria do Plano de Segurança Pública Portuária (PSPP)............... 69
2.5.1 Exame dos requisitos do ISPS Code ................................................. 71 2.5.2 Exame dos requisitos da CONPORTOS .......................................... 74 2.5.3 Exame da funcionalidade do plano ............................................... 83
2.6 Auditoria do controle de acesso ......................................................... 88 2.6.1 Exame dos requisitos do ISPS Code................................................ 90
12
2.6.2 Exame dos requisitos da CONPORTOS.......................................... 94 2.6.3 Exame operacional do controle de acesso.................................... 97
2.7 Auditoria das atividades da Guarda Portuária ................................... 100 3 AUDITORIAS ESPECIAIS EM INSTALAÇÕES PORTUÁRIAS........................... 109
3.1 Auditoria para a análise GAP ...............................................................110 3.2 Auditoria em fornecedores................................................................. 115 3.3 Auditoria para controle de riscos....................................................... 120
4 CHECKLIST................................................................................................. 129 4.1 Checklist 1 ........................................................................................... 130 4.2 Checklist 2 .......................................................................................... 136 4.3 Checklist 3 .......................................................................................... 140
5 NÃO CONFORMIDADES E IRREGULARIDADES ............................................ 149 6 RELATÓRIO E AÇÕES DE ACOMPANHAMENTO DA AUDITORIA.................. 157
6.1 Relatório ............................................................................................. 157 6.2 Ações de acompanhamento .............................................................. 160
BIBLIOGRAFIA .............................................................................................. 161
13
INTRODUÇÃO
Após os atentados terroristas de 11 de setembro de 2001 às Torres Gêmeas do World Trade Center e ao Pentágono, a comunidade internacional começou a se preocupar mais com a segurança mundial e o combate ao terrorismo.
Nesse sentido, a Organização Marítima Internacional (IMO), ligada à Organização das Nações Unidas (ONU), aprovou o International Ship and Port Facility Security Code (ISPS Code), na Conferência Diplomática sobre proteção marítima, realizada em Londres, em dezembro de 2002.
Esse código decorre de uma decisão unânime, na vigésima segunda sessão de assembléia da IMO, realizada em novembro de 2001, como parte das novas medidas de prevenção ao terrorismo, relativas à proteção de embarcações e instalações portuárias.
Como consequência desse código internacional, as instalações portuárias tiveram e terão de adotar uma série de medidas para a sua proteção, sendo certificadas, internacionalmente, como instalações seguras. Medidas de alcance para os 162 países que compõem a IMO, dentre eles o Brasil.
Para termos uma idéia do tamanho do impacto dessa norma, uma pesquisa1 realizada entre março e abril de 2004 pela International Association of Port and Harbors (IAPH), em 30 países, revelou que, de 1.628 instalações portuárias pesquisadas, apenas 8% tinham tido seus planos de proteção aprovados, que 8,5% estavam aguardando a aprovação, e que 81% já tinham submetido seus planos para a aprovação.
No Brasil, conforme foi publicado no quadro resumo de instalações portuárias certificadas, existiam, até a data de 31 de dezembro de 2010, 181 instalações portuárias certificadas, do total de 241 instalações que necessitavam se adequar às normas do ISPS Code (Brasil, 2011).
1 O relatório dessa pesquisa foi apresentado na IMO Marítima Safety Committee’s 78 Session, ocorrida em Londres, entre 12-21 de maio de 2004. No Brasil, o porto de SUAPE foi o único a ser consultado.
14
O ISPS Code introduziu diretrizes para um sistema de segurança portuária, revestido de critérios que só elevam ainda mais a qualidade de um sistema de segurança, imprescindível a qualquer instalação portuária.
Todo esse arcabouço de medidas, as avaliações de risco, os planos de segurança, as normas de controle de acesso e os procedimentos de vigilância provocaram certa tormenta nos portos do mundo inteiro, os quais, com certeza, não estavam preparados para tal exigência e padrão de segurança.
Observa-se que as normas e procedimentos das instalações portuárias eram precários, e que a guarda ou vigilância portuária sequer possuía normas e procedimentos para as diversas atividades de proteção das suas instalações. Certamente existiam alguns procedimentos, mas no geral a prática apontava para o livre arbítrio do vigilante, ou guarda portuário, no desempenho de suas atividades. Planos de segurança, procedimentos de vigilância eram para muitos, coisa bastante distante.
Pela primeira vez, serão vistos postos de vigilância com missão, objetivos e metas definidos, implementando uma nova cultura da segurança, que esperamos que não se restrinja apenas às instalações portuárias e às embarcações, mas que faça parte da tão almejada modernização dos sistemas de gestão da segurança do mundo moderno.
Não obstante essa conformidade com o ISPS Code, as instalações portuárias serão submetidas à inspeção periódica da Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), mediante a realização de auditorias para se verificar o pleno funcionamento dos novos sistemas de segurança.
Nessa vertente, a CONPORTOS publicou duas Resoluções: a resolução no 37, de 21/06/2005, dispondo sobre as auditorias, emendas, atualização e revisão dos planos de Segurança Pública Portuária das Instalações Portuárias; e a Resolução no 47 de 07/04/2011, estabelecendo critérios e disposições para as auditorias nas instalações portuárias, seus procedimentos e a avaliação de controles de acesso de pessoas, cargas e veículos. Essa última, estabelece que a cada três anos será realizada uma auditoria individualizada para cada instalação portuária certificada.
A realização de auditorias surge como uma novidade e constitui um grande paradigma e evolução no sistema de gestão da segurança nas diversas instalações portuárias. Com certeza, essa inovação conduzirá a uma melhora
15
considerável na qualidade da segurança na área portuária, pois pela primeira vez será realizada uma auditoria num sistema de segurança, objetivando manter uma certificação internacional de proteção.
Diante da nova exigência internacional, surge a grande indagação: COMO REALIZAR AS AUDITORIAS PARA A PROTEÇÃO DAS INSTALAÇÕES PORTUÁRIAS?
Realizar uma auditoria não é simplesmente verificar se o procedimento está ou não de acordo com o que foi estabelecido. Realizar uma auditoria requer um conjunto de medidas que vão desde a concepção do que seja a realização de uma auditoria em sistemas de gestão da segurança portuária até a conclusão dessas auditorias.
O presente livro objetiva estabelecer diretrizes e fornecer orientações para a realização de auditorias em sistemas de segurança de instalações portuárias, de forma a manter a conformidade com o ISPS Code, e o pleno funcionamento de seus sistemas.
Objetiva, também, suprir uma lacuna na escassa literatura sobre auditoria de sistemas de gestão da segurança.
Este livro não se limita apenas às auditorias dos planos de segurança portuárias, mas apresenta outros tipos de auditoria e a sua importância para um controle eficaz dos sistemas de proteção, provocando a reflexão, no leitor, sobre a necessidade de tornar a auditoria a ferramenta de conformidade dos sistemas de controle como um todo.
O livro foi elaborado com base em pesquisas realizadas e no conhecimento adquirido ao longo de anos de trabalho na área de segurança e de controle interno. Ele está dividido em 6 capítulos. Cada capítulo foi cuidadosamente construído com base numa exposição clara e direta, objetivando produzir uma aprendizagem mais fácil e duradoura.
O primeiro capítulo é dedicado à parte conceitual da auditoria, seus tipos, auditores, o programa de auditoria e seus elementos, a atividade de auditoria, seu planejamento, execução e encerramento, e os procedimentos de auditoria. Esse capítulo tem uma abordagem mais teórica e abrangente, objetivando um nivelamento de conhecimento e familiaridade com termos específicos da área de auditoria.
O segundo capítulo é específico para a auditoria em instalações portuárias. Nele são apresentados os principais tipos de auditoria e sua
16
importância para a proteção das instalações, com suas formas de realização, seja a auditoria interna realizada pela própria instalação, ou em seu nome, ou a externa realizada por ela nos fornecedores, ou aquelas realizadas na instalação portuária.
Nesse capítulo, também são explicitados os objetivos de programa de auditoria e objetivos de auditoria, com exemplos para facilitar a compreensão e diferenciação entre eles.
Antes de se iniciar a grande viagem pelo conhecimento das auditorias específicas da área portuária, são apresentados os principais aspectos a ser observados numa auditoria em sistemas de proteção.
A parte específica desse capítulo é dedicada às auditorias da avaliação de riscos, do plano de segurança portuária, do controle de acesso e das atividades da guarda portuária. A ênfase não está apenas nos requisitos normativos do ISPS Code, mas também na funcionalidade do sistema em cada parte específica.
O terceiro capítulo é dedicado às auditorias especiais. Não satisfeito com os exames específicos a serem realizados para a certificação de uma instalação portuária, e considerando a evolução da segurança e do controle interno, são apresentados alguns tipos de exames que entendemos ser de fundamental importância na busca da eficiência e eficácia dos sistemas de proteção. Dessa forma, são apresentados três tipos de auditorias: a auditoria para a análise GAP2, aquela para o controle de risco e a realizada nos fornecedores. Cada uma delas possui uma finalidade muito específica e de uma ampla capacidade de alavancagem ao produzir vantagem competitiva frente aos eventos indesejáveis da segurança e aos concorrentes.
O quarto capítulo é dedicado exclusivamente aos checklists. As listas de verificações ou checklists, como são comumente conhecidas, sempre absorvem muita atenção, tempo e dedicação dos auditores. São peças indispensáveis e fundamentais numa auditoria. Nesse sentido, algumas técnicas para elaborar essas listas, e com exemplos, são apresentadas com o objetivo de contribuir para dar mais fluidez à elaboração de um checklist.
2 O termo Gap vem do inglês e significa fenda, abertura, brecha, intervalo. Análise GAP é uma análise que objetiva fechar a brecha da segurança. Esse é o significado que desejamos ao empregar o termo “Análise GAP”.
17
O quinto capítulo é carinhosamente dedicado às não conformidades e irregularidades. Mesmo ciente de que uma auditoria não pode ser um instrumento de garantia para a descoberta de irregularidades, sabemos que, em auditorias, normalmente é encontrado algum tipo de não conformidade, seja ele uma irregularidade, ou não. E, às vezes, surge a dúvida sobre a classificação entre irregularidade e não conformidade, e a forma de tratamento para elas. Desse modo, o capítulo traz essa questão para ser discutida, apresentando uma postura que analisamos ser a mais adequada.
O sexto capítulo é dedicado ao relatório e às ações de acompanhamento. É apresentado um roteiro para a elaboração do relatório, no qual são comentados os seus principais aspectos. Também são feitos comentários sobre as ações de acompanhamento e sua importância para o perfeito funcionamento dos sistemas de proteção.
Como poderá ser comprovado nas páginas seguintes, o livro servirá como um referencial para as auditorias de segurança em instalações portuárias. Nas pesquisas realizadas, nada foi encontrado sobre auditoria de segurança, e principalmente em instalações portuárias, e, portanto, resolvemos escrever sobre o tema, que julgamos ser muito importante.
Ao concluir essa introdução e finalmente materializar esse conhecimento, sabemos da magnitude de dedicação dispensada a este trabalho: as horas de pesquisa, visitas, leitura, trabalho e digitação. Foram duas versões, uma totalmente diferente da outra. Uma verdadeira peregrinação na construção do conhecimento. E, apesar de não ter sido o nosso primeiro livro, foi tão emocionante e desafiador quanto o primeiro.
Esperamos com este livro alcançar um sonho: o de contribuir para a evolução de um padrão internacional de proteção no segmento portuário.
Ao leitor, uma proveitosa leitura. O autor
18
19
TERMOS E DEFINIÇÕES Considerando o propósito deste livro, apresentamos abaixo algumas definições e explicações sobre termos utilizados no texto do livro. Definições do ISPS Code (versão em português)
1. Convenção significa a Convenção Internacional para a Salvaguarda da Vida Humana no Mar de 1974 (SOLAS), conforme emendada.
2. Regra significa uma regra da Convenção. 3. Capítulo significa um capítulo da Convenção. 4. Plano de proteção do navio significa um plano elaborado com vistas a
garantir a aplicação de medidas a bordo do navio criadas para proteger pessoas a bordo, cargas, unidades de transporte de cargas, provisões do navio ou o próprio navio dos riscos de um incidente de proteção.
5. Plano de proteção das instalações portuárias significa um plano elaborado para garantir a aplicação de medidas criadas para proteger instalações portuárias e navios, pessoas, cargas, unidades de transporte de cargas e provisões do navio dentro da instalação portuária dos riscos de um incidente de proteção.
6. Oficial de proteção do navio significa a pessoa a bordo do navio, responsável perante o comandante, designado pela Companhia como a pessoa responsável pela proteção do navio, incluindo a implementação e manutenção do plano de proteção do navio, e pela ligação com o funcionário de proteção da companhia e os funcionários de proteção das instalações portuárias.
7. Funcionário de proteção da Companhia significa a pessoa designada pela Companhia para garantir que seja feita uma avaliação de proteção do navio; que seja elaborado um plano de proteção do navio e que o mesmo seja submetido para aprovação e consequentemente implementado e mantido; e pela ligação com os funcionários de proteção das instalações portuárias e o oficial de proteção do navio.
8. Funcionário de proteção das instalações portuárias significa a pessoa designada como responsável pelo desenvolvimento, implementação,
20
revisão e manutenção do plano de proteção das instalações portuárias e pela ligação com os oficiais de proteção do navio e os funcionários de proteção da companhia.
9. Nível 1 de proteção significa o nível para o qual medidas mínimas adequadas de proteção deverão ser mantidas durante todo o tempo.
10. Nível 2 de proteção significa o nível para o qual medidas adicionais adequadas de proteção deverão ser mantidas por um período de tempo como resultado de um risco mais elevado de um incidente de proteção.
11. Nível 3 de proteção significa o nível para o qual medidas adicionais específicas de proteção deverão ser mantidas por um período limitado de tempo quando um incidente de proteção for provável ou iminente, embora possa não ser possível identificar o alvo específico.
12. O termo “navio”, conforme utilizado neste Código, inclui unidades móveis de perfuração ao largo da costa e embarcações de alta velocidade, conforme definido na regra XI-2/1.
13. O termo “Governo Contratante”, em conexão com qualquer referência a uma instalação portuária, inclui uma referência a “Autoridade Designada”.
Outras definições Incidente de proteção É aquele que interfere diretamente nas operações portuárias ou ponham em risco a estrutura da instalação e/ou do navio e a integridade das pessoas; Declaração de Cumprimento Declaração por meio da qual certifica-se que a respectiva Instalação Portuária cumpre as disposições do Capítulo XI-2 e da Parte A do Código Internacional para Proteção de Navios e Instalações Portuárias – Código ISPS e o previsto no seu Plano de Segurança Pública Portuária aprovado pela Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis – CONPORTOS. (Resolução nº 26, de 08 de junho de 2004 da CONPORTOS). Termo de Aptidão para a Declaração de Proteção Documento por meio do qual a Instalação Portuária poderá operar mediante a expedição da Declaração de Proteção, desde que comprove estar implementando as disposições do Capítulo XI-2 e da Parte A do Código
21
Internacional para Proteção de Navios e Instalações Portuárias – Código ISPS e o previsto no seu Plano de Segurança Pública Portuária aprovado pela Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis – CONPORTOS. (Resolução nº 32, de 11 de novembro de 2004 da CONPORTOS). Declaração de Proteção Documento por meio do qual são acordados entre a respectiva Instalação Portuária e o Navio, as medidas de proteção, incluindo as adicionais, à luz do Capítulo XI-2 e das Partes A e B do Código Internacional para Proteção de Navios e Instalações Portuárias – Código ISPS e o previsto no seu Plano de Segurança Pública Portuária aprovado pela Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis – CONPORTOS. (Resolução nº 33, de 11 de novembro de 2004 da CONPORTOS). Declaração de Ciência Documento por meio do qual o Comandante ou o Oficial de Segurança do navio/embarcação que ingressar no Brasil, fica ciente de que deverá adotar medidas formais no caso de verificar a prática de atos ilícitos ou danos contra o navio/embarcação, tripulantes ou passageiros e seus pertences e/ou carga, durante a permanência e a interface com as instalações portuárias, procedendo o respectivo registro perante as autoridades brasileiras competentes, cujo modelo, na forma do anexo desta Resolução, será rigorosamente utilizado e expedido em todas as instalações portuárias sediadas no Brasil. (Resolução nº 36, de 21 de junho de 2005 da CONPORTOS). Segurança e proteção Em inglês as palavras “safety” e “security” tem o significado de “segurança”. Contudo, tais termos são utilizados com finalidades distintas nos textos da IMO. Neles, a palavra “safety” é traduzida como segurança, e relacionada com a segurança do tráfego aquaviário, e a palavra “security” é traduzida como proteção e está relacionada com a proteção contra atos ilícitos, terrorismo, etc. Plano de proteção de instalação portuária e plano de segurança pública portuária O ISPS Code emprega o termo plano de proteção de instalação portuária, e a CONPORTOS, presidida pelo Ministério da Justiça, se refere a este documento como Plano de Segurança Pública Portuária.
22
Entretanto, neste livro, utilizaremos os dois termos: o primeiro para manter a originalidade do ISPS Code, e o segundo para nos referirmos à nomenclatura utilizada pela CONPORTOS para este documento. Desta forma, para o leitor, o termo Plano de Segurança Pública Portuária utilizado pela CONPORTOS deve ser vinculado ao significado amplo de proteção (security) empregado pelo ISPS Code, que é o documento de referência internacional para a proteção de navios e instalações portuárias, dos países membros da IMO. Nesse sentido, quando nos referirmos ao ISPS Code utilizaremos o termo plano de proteção, e quando nos referirmos aos requisitos da CONPORTOS empregaremos o termo plano de segurança.
23
1 AUDITORIA
A auditoria é uma atividade formal, documentada e executada por pessoal habilitado, e destina-se a verificar a conformidade e a eficácia de um sistema, mediante as evidências em documentos, registros, observações e entrevistas, relatando ao final as não conformidades, para a adoção de ações corretivas e preventivas.
Segundo o dicionário, auditoria é: cargo de auditor; casa ou tribunal onde o auditor desempenha as suas funções; função de auditor junto às empresas comerciais; exame detalhado da contabilidade de uma empresa ou instituição. (Michaelis, 1998).
A NBR ISO 19.011:20023 define a auditoria como um processo sistemático, documentado e independente para se obterem evidências de auditoria e avaliá-las objetivamente, a fim de determinar a extensão na qual os critérios de auditoria são atendidos. Como já pode ser deduzido, a atividade de auditoria é especializada e constitui uma importante ferramenta de gestão na verificação de conformidades e na avaliação de um sistema como um todo. Pode ser uma atividade interna ou externa.
As auditorias internas são atividades de avaliação e assessoramento de uma administração, feitas por pessoal da própria corporação, que realiza exames para verificar a eficácia do sistema de controle interno e o desempenho das diversas áreas em relação ao planejamento corporativo. As auditorias externas têm as mesmas características da interna, porém são realizadas por profissionais liberais, auditores independentes, sem vínculo de emprego, ou seja, estranhos à corporação.
A atividade de auditoria predomina mais na área financeira e contábil; A auditoria contábil está voltada para testar a eficiência e a eficácia do controle sobre o patrimônio da empresa, implantada com a finalidade de expressar uma opinião sobre determinado dado (ATTIE, 1998). Ela é realizada sobre as demonstrações financeiras e destina-se ao exame e à avaliação
3 Esta norma estabelece diretrizes para a auditoria de sistema de gestão da qualidade e/ou ambiental.
24
dessas demonstrações, em relação aos registros, procedimentos e princípios contábeis geralmente aceitos (JUND, 2002).
Contudo, existem as auditorias de processos, produtos e serviços, sobre relatórios e de sistemas. As auditorias de processos estão mais voltadas ao exame dos processos para verificar se os procedimentos estão sendo executados de acordo com o que foi escrito, se é eficaz e se o resultado é satisfatório; as auditorias sobre produtos e serviços objetivam verificar se os produtos estão sendo manufaturados e se os serviços estão sendo executados de acordo as suas especificações e seus contratos, respectivamente; as auditorias sobre os relatórios objetivam constatar a regularidade com a legislação e requisitos de contratos; e as de sistemas estão voltadas para o exame de uma área específica ou todo um sistema, com o objetivo de verificar a conformidade com o padrão, requisitos, regulamentos, legislação e contratos.
A auditoria pode ser classificada em sistemática e específica. A primeira é constante de um plano prévio, que deve apresentar a relação dos órgãos e entidades a serem auditadas. A específica, como o próprio nome já a define, é específica para cada caso, podendo ser determinada a qualquer tempo.
As auditorias constituem uma importante ferramenta de gestão na verificação das conformidades de um sistema de gestão de uma organização. A realização de auditorias em sistemas de gestão para a obtenção de certificação de qualidade já constitui uma praxe; contudo, para os sistemas de segurança portuária, é uma exigência nova desse tipo de atividade, destinada à verificação das conformidades e à certificação de instalações portuárias como instalações seguras. 1.1 Tipos de auditoria
As auditorias podem ser de dois tipos: internas e externas. 1.1.1 Internas
As auditorias internas são aquelas conduzidas pela própria instituição ou em seu nome.
25
Como exemplo, podemos citar as auditorias realizadas pelas instalações portuárias para verificar a conformidade dos diversos procedimentos relacionados com os planos de segurança e com os procedimentos específicos de determinado posto de controle de acesso. Essas auditorias podem ser realizadas por pessoal próprio da instalação portuária (auditores), ou por pessoal contratado por ela com essa finalidade, e são conhecidas, também, como auditoria de primeira. 1.1.2 Externas
As auditorias externas são realizadas por pessoal de fora da organização, como clientes, fornecedores e organismos certificadores. As realizadas nos clientes e fornecedores ou por clientes e fornecedores são conhecidas como de segunda parte, e as realizadas por pessoal (auditores) fora da relação cliente-fornecedor são conhecidas como de terceira parte.
Exemplos de auditorias de segunda parte são aquelas realizadas na empresa de segurança, que fornece o efetivo para a vigilância portuária, com a finalidade de se verificar o cumprimento do programa de capacitação.
As auditorias de terceira parte podem ser exemplificadas como as realizadas por órgãos como a CONPORTOS4 e CESPORTOS5, e por outras organizações credenciadas, para certificar a instalação portuária como uma instalação segura, dentro dos padrões exigidos pelo ISPS Code.
1.2 Etapas da auditoria
As auditorias dos sistemas de proteção em instalações portuárias devem ser realizadas em 3 etapas.
A primeira etapa consiste na verificação dos requisitos da norma com relação à elaboração da avaliação de riscos, plano de proteção, normas de controle de acesso, etc., ou seja, é o exame realizado para verificar se esses documentos foram elaborados de acordo com os requisitos normativos. Nas
4 Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis. 5 Comissão Estadual de Segurança Pública nos Portos, Terminais e Vias Navegáveis.
26
auditorias das normas ISO, esta fase é conhecida como auditoria de adequação ou de intenção.
A segunda etapa consiste no exame operacional do sistema para verificar se os controles foram implementados de acordo com o estabelecido nas normas de referência (ISPS Code, plano de segurança, etc.). É a busca da constatação da conformidade dos controles implementados. Nas auditorias das normas ISO, esta fase é conhecida como auditoria de conformidade.
A terceira etapa consiste na avaliação dos controles implementados com relação ao objetivo para o qual foram criados. É a aferição da eficácia dos controles do sistema de proteção, ou seja, é a fase na qual as evidências são analisadas para avaliar se os controles do sistema de proteção atendem aos objetivos para os quais foram estabelecidos. Nas auditorias das normas ISO, esta fase é conhecida como avaliação da eficácia. 1.3 Auditores
São denominados auditores as pessoas que realizam as auditorias. Faz-se necessário que essas pessoas possuam curso de formação de auditores internos, com conhecimentos na área de atuação, e que não possuam vínculo com a área a ser auditada.
Dependendo do tamanho e complexidade da empresa, poderá existir uma equipe de auditoria.
Quando da realização de trabalhos de auditoria, se o auditor não possuir conhecimento específico daquela área, a empresa deverá designar um especialista ou um funcionário que trabalhe naquela função para acompanhar o auditor. Esse especialista ou funcionário não fará a auditoria, apenas fornecerá as explicações necessárias, quando for solicitado pelo auditor ou sua equipe.
Segundo a NBR ISO 19011 (2002:18-19), o auditor deve possuir os seguintes atributos pessoais:
a) ético, isto é, verdadeiro, sincero, honesto e discreto; b) mente aberta, isto é, disposto a considerar idéias ou pontos de vista alternativos; c) diplomático, isto é, com tato para lidar com pessoas;
27
d) observador, isto é, ativamente atento à circunvizinhança e às atividades físicas; e) perceptivo, isto é, institivamente atento e capaz de entender situações; f) versátil, isto é, que se ajuste prontamente a diferentes situações; g) tenaz, isto é, persistente, focado em alcançar objetivos; h) decisivo, isto é, chegue a conclusões oportunas baseado em razões lógicas e análise; e i) autoconfiante, isto é, atue e funcione independentemente, enquanto interage de forma eficaz com os outros.
1.4 Programa de auditoria
O programa de auditoria é o conjunto de auditorias planejadas para um determinado período. O programa pode ter objetivos variados e deve ter uma pessoa designada para coordená-lo. Programa de auditoria é o conjunto de uma ou mais auditorias planejadas para um determinado período de tempo e com finalidade específica (NBR ISO 19.011:2002).
O programa exige planejamento específico, e nele deve constar, principalmente, o fornecimento dos recursos, o estabelecimento de procedimentos de auditoria para a realização das auditorias planejadas, bem como o responsável pela sua implementação.
O programa de auditoria deverá conter: o objetivo do trabalho e sua justificação; a metodologia a ser empregada nos exames; a divisão do trabalho em fases e suas especificações; os papéis de trabalho a serem utilizados; o estudo de trabalhos de auditoria anteriormente realizados, e o prazo para a entrega do relatório, certificado ou parecer.
O programa deverá ainda conter os procedimentos para as auditorias, incluindo o planejamento das auditorias, a forma de seleção das equipes de auditoria ou auditores, a realização das auditorias, e o seu complemento e registro.
28
O programa de auditoria é o detalhamento, por escrito, do que fazer, como fazer, por que fazer, estabelecendo prazo e método para o trabalho. 1.4.1 Elementos de um programa de auditoria
Um programa básico de auditoria deve possuir os seguintes elementos: os objetivos; a abrangência; as responsabilidades, recursos e procedimentos do programa de auditoria; os procedimentos do programa; a sua implementação; os registros, e o monitoramento e a sua análise crítica. Objetivos
Os objetivos de um programa de auditoria devem expressar tudo aquilo que o programa se destina a alcançar. Esses objetivos devem estar alinhados com os objetivos dos negócios da organização, e levar em consideração os principais riscos para a continuidade desses negócios.
A NBR ISO 19011:2002 estabelece que, na elaboração dos objetivos do programa de auditoria, devem ser considerados: prioridades da direção; intenções comerciais; requisitos do sistema de gestão, requisitos estatutários, regulamentares e contratuais; necessidade de avaliação de fornecedor; requisitos do cliente; necessidades de outras partes interessadas, e riscos para a organização.
Como exemplo de objetivos de um programa de auditoria para uma instalação portuária, podemos apresentar: a) Satisfazer requisitos para a certificação das instalações portuárias; b) Verificar a conformidade desses requisitos; c) Contribuir para melhorar o sistema de segurança, de forma contínua; e d) Manter as instalações portuárias seguras, de acordo com normas específicas. Abrangência
A abrangência inclui a extensão e a duração de cada auditoria, e tem relação direta com o tamanho da organização, sua natureza e complexidade. Quando da elaboração do programa, o encarregado pelo mesmo deverá apontar a frequência com que as auditorias deverão ser realizadas, quais as atividades que deverão ser auditadas e quais os documentos-base para o
29
exame. Observe-se que não há como precisar o período da realização de auditorias especiais (aquelas que são demandadas por eventos não previstos), mas é preciso ser colocado que as auditorias especiais deverão ser iniciadas em qualquer tempo, desde que sejam necessárias.
Nas organizações que manuseiam produtos de risco, ou que estejam em áreas de risco, ou que estejam sob a constante fiscalização de agentes do poder público, deverão ter uma amplitude maior em seu programa e uma frequência maior de auditorias a serem contempladas. Responsabilidades, recursos e procedimentos
O responsável pelo programa de auditoria deverá ser o auditor líder ou, na ausência dele, um executivo da empresa ou funcionário designado para tal obrigação. Se a instalação portuária não possuir auditor, ou pessoal qualificado para tal finalidade, o programa poderá ser elaborado por um especialista e ser aprovado pelo staff ou pelo presidente da empresa.
A NBR ISO 19011:2002 recomenda que o responsável pelo programa de auditoria possua conhecimento sobre princípios de auditoria, competências dos auditores, aplicação das técnicas de auditoria, e que estabeleça os objetivos, abrangência, responsabilidades e procedimentos do programa de auditoria, assegurando os recursos para a sua implementação, além de manter os registros do programa, e de monitorar e analisar o programa para a sua melhoria contínua.
A norma recomenda, ainda, que os procedimentos para um programa de auditoria devem contemplar: planejar e programar auditorias; assegurar a competência de auditores e líderes de equipe de auditoria; selecionar equipes de auditoria apropriadas e designar suas funções e responsabilidades; realizar auditorias; realizar ações de acompanhamento de auditorias; manter registros do programa de auditoria; monitorar o desempenho e eficácia do programa; e informar à alta direção as realizações globais do programa de auditoria. Implementação
A implementação de um programa de auditoria envolve todas as ações para pôr em prática o programa, e vai desde a comunicação do programa às partes envolvidas até as ações de avaliação desse programa.
30
Registros Todos os registros relativos à implementação do programa de
auditoria deverão ser mantidos, tais como: os planos de auditoria, os papéis de trabalho, os relatórios, as ações adotadas para correção e acompanhamento, etc., ou seja, tudo aquilo que estiver relacionado com a auditoria. Monitoramento e análise crítica do programa de auditoria
O monitoramento e a avaliação do programa devem ser previstos para que se possa realizar uma análise crítica do programa, melhorando-o e adequando-o às mudanças necessárias.
Em tal avaliação, devem ser observados os registros do programa de auditoria, que são os planos de auditoria, os relatórios de não conformidade, os relatórios de ação corretiva e preventiva e os de acompanhamento de auditorias.
Outro fator importante é o estabelecimento de indicadores de desempenho para se avaliar a equipe de auditoria.
A análise crítica do programa de auditoria deve ser realizada levando-se em consideração os resultados das auditorias realizadas, confrontando-se as conformidades e não conformidades encontradas com os procedimentos auditados, para se poderem verificar as soluções apresentadas, identificando novas demandas de auditorias para novos programas de auditoria. 1.5 Atividades de auditoria
Concluído o programa de auditoria, dá-se início às atividades de auditoria. Elas compreendem um conjunto de atividades que vão desde o planejamento e o gerenciamento dessa atividade até as ações de acompanhamento das recomendações feitas por conta das não conformidades encontradas, e de sugestões para a melhoria dos sistemas auditados.
Para um melhor entendimento, nossa abordagem será dividida nas seguintes etapas: planejamento, execução e acompanhamento da auditoria.
31
1.5.1 Planejamento da auditoria
O encarregado do programa de auditoria deverá designar o líder da equipe de auditoria, ou o auditor que vai executar a auditoria específica.
O responsável pela execução da auditoria deverá elaborar o planejamento da sua auditoria, que é materializado no plano de auditoria.
O plano de auditoria deverá conter o objetivo e o escopo da auditoria, a identificação do auditor ou dos integrantes da equipe de auditoria, as datas e os locais, bem como as áreas a serem auditadas. Não devendo se esquecer de verificar as questões de logística e o prazo referencial para o encerramento dos trabalhos, como também do critério de auditoria6. Contato inicial com o auditado
Para elaborar o seu planejamento, faz-se necessário que o auditor realize uma visita prévia ao local para in loco verificar e analisar as peculiaridades daquela auditoria, e poder atingir o melhor resultado possível em seus trabalhos.
Para isso deve ser estabelecido o contato inicial com o auditado, o qual tem, também, como objetivo estabelecer um canal de comunicação entre eles (auditor-auditado). Esse contato é de uma preciosidade muito grande, pois uma auditoria bem realizada não só valoriza os auditores, como também deixa transparente para os auditados que as auditorias são benéficas para eles e a instituição, e ratificam-se como peças importantes para a gestão como um todo, pois estarão zelando pela manutenção das conformidades dos procedimentos ali estabelecidos.
Apesar de o contato inicial poder ser feito informalmente, é importante que seja feito por documento ou correio eletrônico, para que fique registrado. Esse contato deve ser realizado pelo auditor ou líder da equipe de auditoria, e também pode ser realizado pelo encarregado do programa de auditoria7.
6 Critérios de auditoria são usados como uma referência contra a qual a evidência da auditoria é comparada, e incluem políticas, procedimentos e requisitos (NBR ISO 19011:2002). 7 Atenção especial deve ser dada nesse momento, pois quando a comunicação da realização da auditoria for feita pelo encarregado do programa, ele deverá fornecer, de imediato, o nome do auditor que irá conduzir a auditoria, especificando a data e a hora da visita prévia que aquele irá
32
No contato inicial, é confirmado o nome do auditor que vai conduzir a auditoria, informa-se sobre a duração prevista para os trabalhos, solicita-se o acesso aos documentos, incluindo os registros pertinentes à área a ser auditada.
Devem ser levantadas pelo auditor, durante a visita prévia, as regras de segurança exigidas para o local, para que seja possível delimitar quais as atividades que deverão ser ajustadas para o exercício dos trabalhos de auditoria, o que pode ser, por exemplo, o isolamento da área, ou placa informando que aquela área está sob auditoria, ou a necessidade de acompanhamento por um especialista da atividade auditada para guiá-lo ou garantir sua segurança8. Objetivos da auditoria
A definição dos objetivos da auditoria estabelece o que é para ser realizado. Evita que o auditor perca o foco do seu trabalho, e devem ser estabelecidos de modo que atendam às necessidades da organização, no que tange ao que ela espera alcançar do sistema de controle em determinado prazo.
No caso específico de instalações portuárias, com relação à proteção, um dos objetivos das auditorias é o de certificar a conformidade do funcionamento do sistema de segurança da instalação portuária com o ISPS Code, para que a instalação possa garantir a Declaração de Cumprimento do ISPS Code9, e assim manter-se em um mercado competitivo e cada vez mais exigente.
Para isso, faz-se necessário que o auditor compreenda não só os negócios da instalação portuária como a extensão da importância da auditoria
realizar. 8 Como as instalações portuárias estão com procedimentos de segurança definidos, que em algumas áreas o tráfego de pessoas (estivadores, passageiros, funcionários, etc.) é intenso e controlado, e que o auditor é uma pessoa estranha à área, é aconselhável que a área seja identificada com placas que informem sobre a auditoria. Nesse caso, um funcionário do setor poderá acompanhar os trabalhos. 9 Declaração por meio da qual certifica-se que a respectiva Instalação Portuária cumpre as disposições do Capítulo XI-2 e da Parte A do Código Internacional para Proteção de Navios e Instalações Portuárias – Código ISPS e o previsto no seu Plano de Segurança Pública Portuária aprovado pela Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis – CONPORTOS. (Resolução nº 26, de 08 de junho de 2004 da CONPORTOS).
33
para a continuidade desses negócios. Na prática, os objetivos geralmente são demandados pela instalação portuária, que é entendida como o cliente de uma auditoria, e, com base nela, o auditor irá transformá-la nos objetivos da auditoria.
Como exemplo de objetivos, podemos citar: Verificar o cumprimento das normas do ISPS Code; Avaliar a eficácia das normas de controle de acesso à Zona Primária; Identificar as áreas da Zona Primária que deverão ser melhoradas, no tocante à proteção das instalações portuárias; Verificar a conformidade dos procedimentos da vigilância portuária. Análise crítica de documentos
A análise crítica deve ser feita sobre os documentos-base nos sistemas, nos relatórios de auditorias realizadas, em documentos correlatos, e considerar, igualmente, a natureza e a complexidade da organização, os objetivos e o escopo da auditoria.
No caso dos relatórios anteriores, é importante destacar as não conformidades encontradas para enfatizar durante a auditoria tais verificações. Checklist
Após a análise prévia dos documentos-base e demais documentos que servirão como referência para a realização da auditoria, o auditor elaborará a lista de verificação ou Checklist10, documento no qual constam os itens a ser verificados. Notificação ao auditado
Depois de concluído o planejamento (plano de auditoria), faz-se necessário que o auditor notifique, por escrito, a área a ser auditada, informando-a dos objetivos da auditoria, sua abrangência, as datas e os locais, da estrutura de apoio de que necessitará para a execução dos trabalhos, e do
10 Maiores detalhes sobre a elaboração de listas de verificações serão abordadas em capítulo específico.
34
horário de trabalho dos auditores, dentre outros aspectos que julgar necessário informar. 1.5.2 Execução da auditoria
Após o planejamento da auditoria, inicia-se a fase da sua execução. Para uma abordagem didática e melhor compreensão, dividimos essa fase nas seguintes etapas: reunião de abertura, execução da auditoria, relatório da auditoria e reunião de encerramento. Reunião de abertura
A reunião de abertura caracteriza o início dos trabalhos da auditoria. Ela é realizada com a direção ou representantes do auditado11.
Na reunião de abertura, o auditor ou líder da equipe de auditoria (quando for o caso) fornecerá um resumo de como as atividades serão realizadas, relatando o método e os procedimentos a serem utilizados, a forma como se dará a comunicação entre auditor e auditado, como também confirmar a disponibilidade de meios e recursos necessários à equipe, bem como a data e a hora prevista para a reunião de encerramento e outras reuniões que julgar necessárias.
Nessa reunião deve ser aberto um espaço para que o auditado faça perguntas, a fim de que sejam esclarecidas todas as dúvidas sobre os trabalhos propostos.
É comum observar certa expectativa e tensão por parte do auditado nas reuniões de auditoria. Para que isso possa ser minimizado, na primeira vez que for ser realizada a auditoria na instalação portuária, e na primeira vez que for realizada auditoria com nova equipe, é importante e fundamental que essa reunião seja bastante explicativa, de modo a quebrar a resistência inicial de tais auditorias, pois a prática aponta que em auditorias realizadas sempre é percebida uma certa resistência devido à incerteza por parte dos auditados de que as tarefas estejam sendo realizadas de acordo com o que está previsto nos documentos-base, ou seja, de acordo com os padrões estabelecidos.
11 É importante que participe dessa reunião o responsável pelo setor, funções ou processos a serem auditados.
35
Como as auditorias nas instalações portuárias surgiram para manter uma certificação de amplitude internacional e preservar os padrões de eficácia do sistema de proteção como um todo, torna-se ainda mais necessário realizar essas reuniões para que sejam afastados a impressão e o rótulo de que as auditorias penalizam aqueles que não estejam cumprindo os padrões determinados. Elas são e devem ser ferramentas para uma boa gestão, e não um instrumento punitivo.
É lógico que não conformidades serão encontradas em auditorias, principalmente na primeira auditoria, e que as pessoas que trabalham nesses setores não ficarão à vontade ao saber que não estão executando as suas atividades dentro do padrão estabelecido, o que pode gerar um clima de tensão e até mesmo mal-estar, o que poderá prejudicar o andamento dos trabalhos da auditoria e as atividades da instalação portuária, além de constituir um obstáculo para novas auditorias.
É por isso que os objetivos dessa auditoria devem ser muito bem expostos e quaisquer dúvidas bem esclarecidas, pois precisa ser ratificado que a auditoria deve constituir uma importante ferramenta de gestão e não um ato inquisitorial.
A NBR ISO 19011:2002 estabelece que os propósitos da reunião de abertura são confirmar o plano de auditoria; fornecer um pequeno resumo de como as atividades da auditoria serão empreendidas; confirmar canais de comunicação, e fornecer oportunidade para o auditado fazer perguntas. Essa norma apresenta um roteiro para a reunião de abertura, o qual reproduzimos abaixo:
a) Apresentação dos participantes, incluindo um resumo de suas funções; b) Confirmação dos objetivos, escopo e critério de auditoria; c) Confirmação da programação da auditoria e outros arranjos pertinentes com o auditado, como a data e duração da reunião de encerramento, qualquer reunião intermediária entre a equipe da auditoria e a direção do auditado, e qualquer mudança de última hora; d) Métodos e procedimentos a serem usados para realizar a auditoria, incluindo um alerta ao auditado que a evidência de auditoria será somente uma amostra das
36
informações disponíveis e que, dessa forma, há um elemento de incerteza ao se auditar; e) Confirmação dos canais formais de comunicação entre a equipe de auditoria e o auditado; f) Confirmação do idioma a ser usado durante a auditoria; g) Confirmação de que o auditado será mantido informado do progresso da auditoria, durante a auditoria; h) Confirmação de que os recursos e instalações necessários à equipe da auditoria estão disponíveis; i) Confirmação de assuntos relativos à confidencialidade; j) Confirmação de procedimentos pertinentes de segurança no trabalho, emergência e segurança para a equipe de auditoria; k) Confirmação da disponibilidade, funções e identidades de quaisquer guias; l) Método de relatar, incluindo qualquer classificação de não conformidade; m) Informações sobre condições nas quais a auditoria pode ser encerrada, e n) Informações sobre quaisquer sistema de apelação referente à realização ou conclusão da auditoria.
Execução da auditoria
A execução ou a auditoria propriamente dita caracteriza-se pela ação ou ações dos auditores na verificação das conformidades. Essa verificação é realizada com a utilização de listas de verificação ou checklist.
A execução da auditoria é um trabalho de coleta de informações e de checagem da veracidade dessas informações, mediante o emprego dos procedimentos de auditoria. É uma grande tarefa de verificação do sistema de controle interno da organização, para ao final emitir o seu parecer no relatório da auditoria.
A execução geralmente é desenvolvida mediante entrevistas, observação das atividades e análise crítica de documentos.
37
1- Observação das atividades: A observação das atividades (engloba o local das atividades e o
ambiente circunvizinho) é muito importante, pois dependendo do nível de percepção do auditor, ele poderá verificar algumas vulnerabilidades de controle e posterior questionamento quando da entrevista e da aplicação das perguntas diretas constantes do checklist.
Algumas peculiaridades do local de trabalho não são percebidas nas entrevistas nem constam nos documentos-base, apenas são detectadas por meio da observação dessas atividades.
Como exemplo podemos citar que determinada prática de um posto de controle de acesso não esteja descrito como um procedimento e que, pela cultura de segurança do local, tal fato possa se constituir numa normalidade, porém, após a observação ser feita pelo auditor, ele constate que aquela prática costumeira constitui uma vulnerabilidade ao presente sistema, e deverá de imediato ser corrigida, ou seja, semelhante prática deve ser eliminada e registrada em procedimento para minimizar tal vulnerabilidade.
Exemplo: Pessoas que se dizem policiais que estão em investigação, ou agentes públicos que apenas dizem e mostram a carteira funcional, sem que isso seja confirmado pelo posto de controle ou avisado à central de operações para checagem posterior, quando tal fato pode ser um estudo de situação para uma invasão e ações delituosas, como extorsão, furto ou roubo de cargas. 2-Entrevistas com funcionários
A entrevista deve seguir a um roteiro, mas não se limitar a ele, pois um fato observado, mesmo sendo uma conformidade encontrada, pode gerar pergunta futura que contribuirá para melhorar a qualidade do sistema de proteção. Nesses casos, os registros devem ser feitos em papéis de trabalho, à parte.
É comum o entrevistado apresentar certo grau de nervosismo e até ser rude com o auditor. Nesses casos, compete ao auditor esclarecer o propósito da auditoria e avaliar se deve continuar, ou não, o seu trabalho, pois na atividade de verificação e coleta de dados, o fator humano é o mais importante por se constituir na mais qualitativa das fontes de informação. Se não existir um canal de simpatia entre as partes (auditor-auditado), essa
38
atividade essencial poderá ser prejudicada. Daí a necessidade de o auditor se compenetrar no objetivo de seu trabalho e manter essa faixa de acordo para o fluxo regular das atividades de auditoria.
3-Análise de documentos
A primeira análise a ser feita, como já foi abordado, é nos documentos-base. No local, a busca de documentos deve ser focada nos procedimentos definidos e nas normas gerais, se constam ou não no local, e os registros nos livros de ocorrências, ou documento semelhante para registro, em cada local em que a auditoria estiver sendo realizada.
Após as análises dos documentos, no local de auditagem, deve ser feita uma busca nos arquivos para verificar registros anteriores com relação ao posto de controle, por exemplo, e quaisquer outros registros com relação ao sistema de segurança, sejam com relação ao auditado ou não, pois nesses registros poderão ser encontradas situações que possam vir a se repetir e comprometer a proteção daquele local, ou do sistema como um todo.
De posse dessas informações coletadas e registradas nas listas de verificações, nos questionários e nas análises dos documentos e em outros papéis de trabalho, o auditor efetuará a avaliação do trabalho de campo e dos procedimentos de auditoria para certificar-se de que os testes realizados nas áreas mais prováveis a não conformidades foram eficazes, avaliar o grau de risco das não conformidades encontradas para o comprometimento do sistema de controle, e se não há mais exame residual a ser feito para o encerramento da auditoria.
1.5.3 Encerramento da auditoria
O encerramento da auditoria deve ser precedido de uma reunião com
os auditores, ou de atividades de análise procedidas pelo auditor sobre as constatações encontradas. Essa análise deve levar em consideração quaisquer informações obtidas durante a realização da auditoria, que tenham relação com o objetivo da auditoria para a conclusão dos trabalhos.
Na conclusão, observam-se as incertezas inerentes ao processo de auditoria, as recomendações feitas, e são discutidas as ações de acompanhamento para a melhoria do sistema de controle.
39
A NBR ISO 19011:2002 indica que a conclusão da auditoria pode apontar os seguintes assuntos:
a) A extensão da conformidade do sistema de gestão com o critério de auditoria; b) A implementação eficaz, manutenção e melhoria do sistema de gestão, e c) A capacidade do processo de análise crítica pela direção em assegurar a contínua pertinência, adequação, eficácia e melhoria do sistema de gestão.
Após concluída a auditoria, é marcada a reunião de encerramento. Reunião de encerramento
A reunião de encerramento deve ser previamente agendada, conduzida pelo auditor que executou a auditoria ou pelo auditor líder (quando for o caso). Objetiva apresentar as constatações encontradas e propor medidas corretivas e saneadoras.
Essa exposição deve ser clara e objetiva, de tal forma que os fatos relatados sejam compreendidos e demonstradas as necessidades e importância das medidas propostas para a melhoria do sistema de gestão como um todo.
Devem participar dessa reunião os auditores, auditados e os clientes da auditoria.
A reunião não deve ser limitada apenas à exposição de não conformidades. É importante que os auditores que realizaram o trabalho da auditoria, façam relatos de detalhes que observaram para a melhoria do sistema, pois às vezes é comum que tais observações, por extrapolarem o trabalho realizado, não venham a ser expostas, o que compromete a eficácia do sistema de proteção das instalações portuárias.
Ratificamos que nem sempre o que foi estabelecido na lista de verificações tem um alcance na checagem de um pequeno detalhe que pode pôr em risco a integridade de um sistema, mesmo que naquela instalação portuária não haja indícios e histórico de irregularidades quanto às normas e aos procedimentos e proteção estabelecidos.
Dessa forma, o auditor valoriza o seu trabalho e mostra que a sua capacidade de observação no exercício de sua atividade agregou valor àquela
40
instalação, criando vantagem competitiva ao fornecer informações para uma ação mais austera no sistema auditado.
Esses fatos são comuns quando normas e procedimentos são deficientes. O auditor observa, verifica e testa essa lacuna, que constitui uma vulnerabilidade do sistema auditado. É comum em procedimentos e postos de controle de acesso.
A reunião moderna não é apenas para a exposição por parte dos auditores. Serve também como fórum de debate sobre as constatações apresentadas, pois dessa reunião sairão importantes medidas e ajustes para a confecção do relatório.
Relatório da auditoria
O relatório de auditoria é o documento que relata todo o trabalho realizado, e deve ser elaborado de forma precisa, concisa e clara.
A NBR ISO 19011:2002 orienta que os relatórios de auditoria devem incluir:
a) Os objetivos da auditoria; b) O escopo da auditoria, particularmente a identificação das unidades organizacionais e funcionais, ou os processos auditados e o período de tempo coberto; c) Identificação do cliente da auditoria; d) Identificação do líder da equipe de auditoria e seus membros; e) As datas e lugares onde as atividades da auditoria foram realizadas; f) O critério da auditoria; g) As constatações da auditoria; h) As conclusões da auditoria;
O relatório também pode incluir ou se referir ao seguinte, se apropriado:
i) O plano de auditoria; j) Uma lista de representantes do auditado; k) Um resumo do processo de auditoria, incluindo obstáculos e/ou incertezas encontrados que poderiam diminuir a confiabilidade das conclusões da auditoria;
41
l) A confirmação de que os objetivos da auditoria foram atendidos dentro do escopo da auditoria e em conformidade com o plano de auditoria; m) Quaisquer áreas não cobertas, embora dentro do escopo da auditoria; n) Quaisquer opiniões divergentes e não resolvidas entre a equipe da auditoria e o auditado; o) As recomendações para a melhoria, se especificado nos objetivos da auditoria; p) O plano de ação de acompanhamento negociado, se existir; q) Uma declaração da natureza confidencial dos conteúdos; r) A lista de distribuição do relatório da auditoria.
Depois de elaborado, o relatório deverá ser entregue aos clientes da
auditoria e às partes auditadas, para que elas tenham o registro da auditoria e verifiquem os motivos das não conformidades. Ele pertence ao cliente da auditoria. Ambos – cliente e auditor - devem guardar sigilo desses fatos, ou seja, manter a sua confidencialidade.
Conclusão da auditoria
A auditoria é considerada concluída quando todas as atividades descritas no plano de auditoria foram realizadas e o relatório da auditoria aprovado e distribuído.
Todos os registros, papéis de trabalho e outros documentos devem ser arquivados em local apropriado, pelos auditores ou pela equipe de auditoria, para que possam vir a servir de documentos-base para novas auditorias.
Fatos importantes descobertos em auditorias devem ser debatidos em reuniões e treinamentos para que haja uma aprendizagem, e com isso os sistemas de gestão da segurança possam tornar-se mais confiáveis. Ações de acompanhamento
Quando a auditoria conclui pela necessidade de ações saneadoras e preventivas, ou de melhoria de um sistema, tais ações são implementadas pelo auditado, e não pelo auditor, pois não mais fazem parte da auditoria.
42
A verificação dessas medidas é parte de uma nova auditoria, que pode ser denominada de auditoria de acompanhamento. 1.6 Procedimentos de auditoria
Procedimentos de auditoria são as técnicas que o auditor utiliza para a realização de seu trabalho, consistindo na reunião das informações possíveis e necessárias e na avaliação das informações obtidas para formar sua opinião.
Os principais procedimentos são: exame físico, confirmação, exame de documentos originais, conferência de cálculos, exame de escrituração, investigação minuciosa, inquérito, exame dos registros auxiliares, correlação das informações obtidas e observação. (IUDÍCIBUS; MARION, 2001, p.158).
Esses procedimentos são utilizados para a obtenção de evidências e formação da opinião do auditor.
1.6.1 Evidências de auditoria
Evidências de auditoria são os registros, a apresentação de fatos ou
informações colhidas durante a auditoria que, depois de comparados, objetivam constatar as conformidades e as não conformidades.
Jund (2002, p.294-296) distribui as evidências em cinco classes: física, documental, analítica, testemunhal e por confirmação de terceiros.
A evidência física é obtida pela comprovação da existência real de componentes do patrimônio e da realização de obras e serviços.
A evidência documental, como o próprio nome já a define, resulta de comprovações em documentos, registros, faturas, desde que proporcionem confiabilidade ao auditor.
A evidência analítica consiste nas análises e revisões de cálculos, que devem ser registradas nos papéis de trabalho.
A evidência testemunhal é obtida de pessoas que conhecem a organização auditada e fornecem declarações sobre perguntas formuladas por escrito e também que lhes foram feitas diretamente.
A evidência por confirmação de terceiros ou circularização consiste na confirmação, por escrito, de terceiros, em relação a determinados fatos, ou
43
seja, são as confirmações de fornecedores, prestadores de serviços, bancos, clientes e outros.
Segundo o IS Standards, Guideliness and Procedures for Auditing and Control Professionals, o auditor deverá utilizar os procedimentos mais apropriados para reunir as evidências, bem como considerar os seguintes procedimentos: entrevista, observação, inspeção, confirmação e monitoramento (ISACA, 2006).
Para que a evidência seja suficiente, confiável e relevante, convém ao auditor fazer análises por meio de comparações, simulações, cálculos e testes.
Na busca dessas evidências são utilizadas as técnicas de auditoria. 1.6.2 Técnicas de auditoria
Técnica de auditoria é o conjunto de procedimentos que permite alcançar as constatações de auditoria.
As principais técnicas são: a) Circularização ou confirmações formais, que é utilizada para a obtenção de declaração formal de pessoas independentes da organização auditada; b) Exame da documentação original, que é utilizada para a comprovação das transações realizadas; c) Conferência de somas e cálculos; d) Exames dos lançamentos contábeis, que objetivam verificar a veracidade das informações contábeis; e) Entrevistas, que são perguntas feitas diretamente ás pessoas para a obtenção de respostas; f) Exames de livros e registros auxiliares; g) Correlação entre as informações obtidas, que é o cruzamento das informações obtidas nos exames realizados, e h) Observação das atividades.
Conforme foi visto, por meio dos procedimentos de auditoria o auditor utiliza técnicas para obter as evidências de auditoria, isto é, ao compará-las com os critérios de auditoria adotados, escolhe, avalia e confronta essas evidências, a fim de constatar as conformidades e as não conformidades encontradas.
44
1.6.3 Constatações de auditoria
Constatações de auditoria são o resultado da avaliação de evidência da auditoria que, comparadas com os critérios de auditoria, atesta as conformidades e as não conformidades. É a aprovação, a confirmação. São os procedimentos de auditoria, portanto, que permitem ao auditor obter as evidências de auditoria e as provas para fundamentar a sua opinião sobre o exame realizado. Na busca de evidências de auditoria, o auditor realiza testes que servem para avaliar o sistema auditado. 1.6.4 Papéis de trabalho
Os procedimentos seguidos pelo auditor são registrados nos papéis de trabalho, que constituem um registro permanente dos serviços executados, e devem possuir detalhes suficientes para o entendimento do trabalho realizado e a elaboração do relatório final.
Segundo Jund (2002:385), os papéis de trabalho destinam-se a:
a) Ajudar, pela análise dos documentos de auditoria anteriores, ou pelos coligidos, quando da contratação de uma primeira auditoria, no planejamento e execução da auditoria; b) Facilitar a revisão do trabalho da auditoria; c) Registrar as evidências do trabalho executado para fundamentar o parecer do auditor independente.
O relatório de auditoria consiste na explanação circunstanciada dos
fatos examinados. É por meio dele que o auditor esclarece o trabalho e a forma como o realizou, os fatos relevantes, as não conformidades encontradas e as suas conclusões.
Os relatórios dizem respeito ao trabalho realizado, e suas cópias são arquivadas juntamente com os respectivos papéis de trabalho.
45
1.6.5 Procedimentos de auditoria X procedimentos do auditor
Os procedimentos de auditoria são, consequentemente, as técnicas que o auditor utiliza para a realização de seu trabalho. Já os procedimentos do auditor referem-se ao seu proceder, à sua conduta, ao seu comportamento.
Os procedimentos de um auditor podem limitar-se apenas à maneira pela qual o auditor será apresentado à unidade a ser auditada, sobre o acesso às instalações da unidade auditada, que deverá utilizar papéis de trabalho e que estes últimos serão preenchidos manualmente.
Exemplo de procedimentos do auditor: 1- Realizar uma reunião inicial para apresentar a equipe de auditores e resumir os métodos a serem utilizados durante a auditoria; 2- Executar os trabalhos com base no plano de auditoria; 3- Elaborar o checklist; 4- Registrar evidências em papéis de trabalho; 5- Realizar a reunião de encerramento com o auditado; 6- Elaborar o relatório da auditoria. Procedimentos de auditoria12: 1- Exame físico da documentação-base que deve constar no posto de acesso, e que servirá de suporte ao agente de segurança que ali estiver trabalhando; 2- Confirmação com a central de operações se determinada pessoa, que está acessando a instalação portuária, consta de relação específica, e conferir (conferência), posteriormente, na central; repetir tal procedimento para cada situação especificada no exemplo acima citado; 3- Realizar investigação minuciosa para identificar o motivo da não conformidade encontrada no controle de acesso de trabalhadores avulsos, bem como o de tripulantes e oficiais de embarcações fundeadas; 4- Efetuar exame dos registros auxiliares (livro de ocorrências e pasta com autorizações de encarregados de setor); 5- Observar (observação) e correlacionar (correlação) as informações obtidas para obter as evidências de auditoria.
12 Para a finalidade a que se destina este livro, apenas citaremos alguns procedimentos.
46
47
2 AUDITORIA EM INSTALAÇÕES PORTUÁRIAS
No capítulo anterior a auditoria foi abordada de uma forma ampla, focando os seus tipos, procedimentos, programas, etc., para se poder ter uma visão do que seja a atividade de auditoria. Neste capítulo, será abordada a auditoria direcionada para as instalações portuárias, ou seja, a auditoria como uma ferramenta indispensável para o bom funcionamento dos sistemas de proteção de instalações portuárias, em conformidade com o ISPS Code.
Esse código estabeleceu um conjunto de atividades indispensáveis para o estabelecimento de um sistema de proteção, com aplicabilidade nos navios envolvidos em viagens internacionais e nas instalações portuárias que servem a esses navios.
Dentre as várias normas que regulamentam o segmento portuário e suas corporações, embarcações e suas companhias, de um modo geral, o ISPS Code é o ponto em comum a todos eles. De alcance internacional e adotado em convenção pelos países que fazem parte da Organização Marítima Internacional (IMO), o código tem como objetivo melhorar a segurança e a vida no mar.
Esse fato foi o ponto de partida para todo um esforço desse segmento, a partir de dezembro de 2002, para se adequar às novas normas internacionais de proteção, que entrariam em vigor a partir de julho de 2004.
A repercussão que esse código internacional trouxe para as instalações portuárias, embarcações e suas companhias é de um alcance muito amplo e de consequências severas. Não obstante a necessidade de manterem um sistema de proteção em atendimento ao que preconiza o código, essas embarcações e organizações terão, ainda, de garantir o seu perfeito funcionamento.
Justamente na busca dessa conformidade é que surge a auditoria como a ferramenta para garantir a plena conformidade desses sistemas de proteção com essa norma internacional para a proteção e a vida no mar.
Como é possível perceber, a auditoria torna-se indispensável e de uma responsabilidade imensurável, requerendo ações e procedimentos específicos para a sua atividade nesse segmento. Essas ações vão desde a necessidade de
48
formação de auditores internos até o estabelecimento dos procedimentos para a execução da auditoria.
Nesse aspecto, deve-se ter um cuidado ilimitado para que tal atividade não seja prejudicada por pessoal desqualificado, nem, tampouco, que a busca frenética pela certificação como instalações seguras contribua para a formação de um cenário vulnerável à concretização de riscos que comprometam os sistemas de proteção e a continuidade das atividades na área portuária.
É do conhecimento de todos que a certificação é um passaporte para agregar valor aos negócios, mas também somos conscientes de que, mais importante do que obter uma certificação, é garantir a funcionalidade eficaz dos sistemas de controle e proteção como um todo. A quebra da segurança de uma instalação certificada é da mais alta criticidade e, com certeza, colocará não só a credibilidade do sistema em questão mas também as credenciais das organizações de segurança. Para que isso não aconteça, surgem os profissionais de auditoria e suas empresas.
A certificação pode ser considerada como um prêmio pela conformidade com os requisitos da norma. Para conquistar esse prêmio, é primordial toda uma preparação a ser elaborada por consultores e auditores. Os consultores, com suas atividades de avaliação de riscos, definição de políticas, elaboração de planos de proteção, e procedimentos específicos, etc., os auditores com as suas atividades para o exame de tudo o que compõe o sistema de proteção, o que exigirá deles um conhecimento além daquele inerente às atividades específicas da auditoria.
Essas auditorias em instalações portuárias deverão alcançar os seus três tipos, e não apenas aquelas voltadas para a certificação. Como foi visto no capítulo anterior, a auditoria pode ser interna e externa. A interna (auditoria de primeira) é aquela realizada na organização pela própria organização, ou por alguém contratada por ela para realizá-la. E a externa pode ser de dois tipos: uma realizada pela organização nos seus fornecedores e clientes (auditoria de segunda), e a outra (auditoria de terceira) realizada por terceiros (auditores independentes e organizações).
Diante disso, todos aqueles que estejam compreendidos dentro do campo de aplicação do ISPS Code deverão sujeitar-se às auditorias internas e externas, e não apenas àquelas voltadas para a certificação. Observe-se que
49
esse fato não implicará, necessariamente, a formação de um novo setor dentro de uma instalação portuária e de empresas de navegação, tampouco um auditor por embarcação, mas demandará serviços específicos de auditoria.
Esses serviços de auditoria são realizados por auditores, sejam eles auditores internos, auditores independentes ou auditores de organizações certificadoras. Contudo, espera-se que esses serviços sejam executados por pessoal qualificado e com formação para tal, principalmente em se tratando das especificidades do segmento portuário.
A regulamentação da auditoria para fins de certificação como instalação segura, conforme preconiza o ISPS Code, é de competência da CONPORTOS, no Brasil. Por meio da Resolução no 37, de 21/06/2005, e da Resolução no 47 de 07/04/2011, essa comissão dispôs sobre as auditorias, emendas, atualizações e/ou revisões dos planos de segurança, e estabeleceu critérios e disposições para as auditorias, seus procedimentos e a avaliação de controles de acesso de pessoas, cargas e veículos.
Essas resoluções ratificam a necessidade de as instalações portuárias adotarem a auditoria como a ferramenta de conformidade para com a norma, e de manutenção da eficácia de seus sistemas de proteção e controle interno. Elas trazem a mensagem da evolução do segmento ao se preocuparem com a manutenção da qualidade da segurança, e abrem verdadeiras oportunidades para a criação de um ambiente favorável a uma vantagem competitiva das instalações que mantêm programas de auditoria e suas atividades regulares, sobre os concorrentes que não vêem a necessidade dessas atividades.
As instalações portuárias não podem cometer o erro de esperar pelas auditorias da CONPORTOS e de qualquer órgão fiscalizador. Elas devem manter um programa contínuo de auditoria que forneça o suporte necessário para a garantia do perfeito funcionamento de seus sistemas de proteção e controle interno.
Ressalte-se que auditar não é apenas estar de posse de uma lista de verificações, para assinalar itens ali postos. Auditar é muito mais do que isso. É uma atividade especializada e de comprometimento com a boa governança, e requer um conjunto de atividades, ferramentas e técnicas, para ao final o auditor emitir o seu parecer e contribuir para a continuidade dos negócios. Auditar não deve ser visto como um mero gasto, mas como uma despesa na geração de receitas futuras. Auditar é fato gerador de vantagem competitiva.
50
Justamente para que as instalações portuárias possam preparar-se para as auditorias é que foi desenvolvido este capítulo. Considerando que o ISPS Code é o principal documento-base para as auditorias em instalações portuárias, utilizaremos como referência os domínios dessa norma.13
Antes mesmo de adentrarmos nas auditorias das partes básicas dos domínios do ISPS Code, entendemos ser necessário esclarecer o porquê dos tipos de auditoria nas instalações portuárias, e como a auditoria poderá contribuir para melhorar um sistema de proteção. É justamente por aí que começaremos.
2.1 Tipos de auditoria e sua importância na proteção de instalações portuárias
Como já visto anteriormente, as auditorias podem ser interna e externa. Neste capítulo iremos comentar mais sobre essas auditorias nas instalações portuárias. Auditoria interna
As auditorias internas deverão estar voltadas para verificação do sistema de controle como um todo, e deverão ser realizadas por pessoal de controle interno ou contratado para tal. Para isso, deverá ser observado o sistema de proteção das instalações portuárias como um todo, bem como os outros sistemas que interagem com ele.
Os principais aspectos a ser auditados são: a avaliação de riscos, o plano de proteção (plano de segurança), as normas e procedimentos de controle de acesso, as atribuições dos oficiais de proteção e da guarda/vigilância portuária, dentre outros instrumentos relacionados ao sistema de proteção.
A auditoria interna poderá ser utilizada para verificar o nível de proteção atual e compará-lo com o nível de proteção ideal (planejado),
13 Os pontos abordados neste livro poderão não se aplicar a toda organização, devendo o auditor considerá-los na elaboração de seu trabalho, não se limitando apenas aos itens aqui tratados.
51
realizando assim uma análise GAP, de modo a poder estabelecer ações que preencham a lacuna entre o real e o planejado.
Essa análise poderá apontar o estágio de proteção da instalação portuária. Nesse caso específico, faz-se necessário que exista um marco referencial que identifique os níveis de proteção14, como, por exemplo: nível 0 – não existem controles; nível 1- inicial (reconhecimento da necessidade de controles, mas não implantados); nível 2 – controles implantados (insuficientes, apenas para algumas atividades e sem consistência); nível 3 – controles implantados e processos definidos (caracterizado pela definição dos processos de controle); nível 4 – controles gerenciáveis e mensuráveis (controles e processos definidos e funcionários capacitados nas suas atividades de controle); nível 5 – o ideal, caracterizado pela completeza de todas as medidas de controle planejadas e implantadas.
Outra forma de emprego da auditoria interna destina-se a verificar as medidas de tratamento dos riscos. Nessa verificação devem ser analisadas as prioridades apontadas na avaliação de riscos e executar a auditoria, verificando a implementação dessas medidas e avaliando o impacto da não implementação nos processos de negócios. Tal verificação é de importância ímpar, pois dela poderá resultar numa nova avaliação de riscos, ou reavaliação, como também ela poderá apontar para a necessidade de se adotar uma nova metodologia para a parametrização dos riscos.
Observe-se que essa auditoria não é a realizada sobre a avaliação de riscos, mas sobre as medidas resultantes da avaliação de riscos. É um tipo de auditoria que deve ser realizada com um intervalo de tempo menor do que outros tipos de auditoria, devido ao tipo de sua especificidade e criticidade para a continuidade dos negócios da instalação portuária.
Como podemos verificar, a auditoria interna é indispensável para qualquer instalação portuária, mesmo que não esteja submetida ao alcance do ISPS Code, pois ela possui várias aplicações.
14 Os níveis de proteção aqui apresentados não são os estabelecidos pelo ISPS Code (níveis de proteção 1, 2 e 3). São níveis que podem ser utilizados para medir um determinado estágio de maturidade de controle.
52
Auditoria externa realizada pela instalação portuária As auditorias externas realizadas pela instalação portuária têm como
público-alvo os clientes e fornecedores. No segmento portuário, especificamente em relação aos sistemas de proteção, não é comum encontrarmos esse tipo de auditoria. Na nossa visão, é um grande equívoco não atentar para esse tipo de auditoria, uma vez que a qualidade do fornecimento de material e mão-de-obra, em serviços terceirizados, pode comprometer todo o funcionamento de um sistema de proteção.
Com a tendência do outsourcing (terceirização) de serviços de segurança, limpeza, manutenção e TI (tecnologia da informação), faz-se necessário, cada vez mais, incluir as auditorias de segunda nesses contratos, como forma de garantir um nível de excelência desses serviços frente às exigências internacionais do novo padrão de segurança portuária. E esse fato a torna indispensável.
O fato gerador desse tipo de auditoria deve estar nas cláusulas dos contratos, devendo ser ponto de quebra de contrato a não adoção de medidas saneadoras das irregularidades encontradas nas auditorias. São auditorias que podem ser realizadas pelo próprio pessoal da instalação portuária ou por pessoal contratado com tal finalidade.
Um questionamento poderá surgir nas auditorias de segunda, por parte dos auditados, que é o da invasão de estranhos (auditores) querendo controlar a contratada. Isso não deverá ser um empecilho, mas ser entendido que, para prestar esses tipos de serviços numa instalação portuária, não basta ser uma empresa prestadora de serviço, que também terá que se sujeitar a critérios estabelecidos pela contratada, e ter consciência de que normas internacionais de proteção estão em vigor para a manutenção e continuidade dos negócios da contratante.
Por não ser comum às instalações portuárias, esse tipo de auditoria poderá provocar alguns contratempos e mal-estar, mas, como ferramenta de controle, apresentar-se-á como excelente ferramenta de gestão para a manutenção do sistema de proteção das instalações portuárias e, consequentemente, aumentará a qualidade da segurança na empresa.
Contudo, para que não se interprete que houve invasão da privacidade da empresa prestadora do serviço, devem ser estabelecidos procedimentos para essas auditorias e para os auditores.
53
Atenção especial deve ser dispensada às empresas prestadoras de serviço de segurança (empresas de vigilância), pela parcela de participação no sistema como um todo, uma vez que o recurso humano é um dos pilares do sistema de proteção. Entendemos que, nessas empresas, as auditorias deveriam ser obrigatórias e com periodicidade no mínimo semestral, devendo constituir uma cláusula fundamental para a contratação e manutenção desses serviços.
O foco dessas auditorias deve estar sobre os critérios de contratação do pessoal, incluindo o perfil desejado, os tipos de testes efetuados para a seleção e o acesso à documentação, o curso de formação e a programação da educação continuada, para que se possa ter um profissional que atenda às exigências das normas de proteção da instalação portuária.
Auditoria externa realizada por terceiro
As auditorias externas realizadas por terceiros são conhecidas por auditoria de terceira, e normalmente se destinam a uma certificação. No caso específico, é a auditoria realizada pela CONPORTOS para verificar a conformidade da instalação portuária com o ISPS Code. Também se enquadra nesse tipo de auditoria toda aquela que for realizada por organismo de certificação e por órgão fiscalizador.
As auditorias de certificação são muito importantes porque são uma garantia de que aquela organização está em conformidade com o ISPS Code, além de ser uma espécie de carta de crédito (certificação) para melhorar o seu negócio com o exterior.
Para essas auditorias, a instalação portuária deverá estar preparada e com o seu sistema de proteção funcionando em conformidade com o ISPS Code e com o seu plano de proteção. É certo que nem todos os controles previstos na norma são aplicáveis a toda e qualquer instalação portuária. Para que isso não venha a afetar a conformidade com a norma, faz necessário que a instalação elabore um documento que justifique a exclusão dos controles previstos na norma15.
15 Este documento poderá ser tipo uma Declaração de Aplicabilidade (Statement of Applicability), que é uma exigência para a certificação de conformidade dos sistemas de gestão de segurança da informação com a norma ISO 27001. É uma declaração documentada que
54
Geralmente surge a indagação do valor de uma certificação para a organização. Uma certificação exige um nível de maturidade da organização, pois envolve investimento e comprometimento de todos os setores de uma instalação portuária, atingindo, inclusive, clientes e fornecedores: os clientes, ao se confortarem com a certeza de estar realizando negócios com uma empresa de credenciais internacionais; e os fornecedores, ao saberem do nível elevado de exigência para a prestação de serviços e mão-de-obra.
Outro ponto da certificação é que, para conquistá-la, são necessários esforços para as avaliações de riscos, projetos de segurança, estabelecimento de processos, diretrizes e procedimentos em conformidade com as normas regulamentadoras, o que demanda uma atenção específica e muita dedicação para a maturidade de todo esse processo. Observe-se que está sendo objetivada uma certificação, que é a conformidade com normas internacionais, que transcende os processos e padrões, para alcançar toda uma cultura organizacional em prol de verdadeiras mudanças comportamentais e operacionais.
É esse parâmetro de cultura que agregará valor à organização ao atingir um nível de excelência do sistema como um todo, facilitando o processo de certificação e compreendendo o significado e a importância das auditorias de certificação para a continuidade e vantagem competitiva dos negócios corporativos. É a valoração da corporação como um todo.
2.2 Objetivos de programas de auditoria e objetivos de auditoria
Como já foi visto, o programa de auditoria é o conjunto de auditorias planejadas para um determinado período, exigindo planejamento específico e possuindo objetivos próprios. Os objetivos de um programa e de uma auditoria representam os resultados do que se desejam alcançar.
Esses objetivos devem estar focados nos negócios corporativos e alinhados com as exigências do ISPS Code. É importante ressaltar que esse código foi adotado por meio de emendas à Convenção para a Salvaguarda da vida Humana no Mar (SOLAS), com o propósito de melhorar a proteção e a
descreve os objetivos de controle e os controles que são aplicáveis ao sistema, como também a justificativa daqueles controles excluídos.
55
vida no mar, e alcança todas as embarcações, companhias e instalações portuárias que fazem parte do comércio internacional.
Com base nessa percepção de importância, os objetivos a serem identificados para os programas e auditorias devem sempre ter uma relação com essas condições, ou seja, manter o nível de proteção de acordo com o ISPS Code. Contudo, não deverão ser definidos objetivos que focalizem apenas essa premissa, mas também, tenham em vista os negócios corporativos e os seus principais processos de negócios.
Essa peculiaridade vai além da auditoria tradicional, avançando para alinhar os objetivos atrelados aos principais riscos que afetam a instalação portuária, e não apenas aos registros e transações. Em outras palavras, esses objetivos devem estar alinhados com estratégias, metas e com o processo de gerenciamento de riscos, focando o tipo de negócio da instalação, seus clientes e fornecedores.
Objetivos do programa de auditoria
Para definir os objetivos do programa de auditoria em instalações portuárias, devemos identificar o motivo pelo qual essas auditorias devem ser realizadas. O principal motivo é manter as instalações seguras em conformidade com o ISPS Code e, consequentemente, obter a certificação internacional. Esse é o principal motivo e pode ser transformado num único objetivo para todo o programa, porque tem uma amplitude ilimitada: tudo o que se relacionar com normas de proteção do ISPS Code. Desse modo, o objetivo do programa ficaria assim definido:
“Manter as instalações portuárias em conformidade com o ISPS Code”
Observe-se que é um objetivo muito amplo e que envolve todas as auditorias necessárias para se garantir a manutenção da conformidade com as normas.
Contudo, pode-se também discriminar mais de um objetivo, ou seja, um objetivo geral e vários objetivos específicos. Dessa forma, os objetivos específicos poderiam ser assim definidos: Contribuir para manter as instalações seguras; Contribuir para melhorar o sistema de proteção das instalações
portuárias;
56
Identificar o nível de proteção das instalações portuárias; Avaliar as medidas de controle de riscos; Verificar a eficácia dos controles de acesso; Melhorar a qualidade dos serviços terceirizados; Garantir o nível de capacitação da vigilância portuária; Certificar o cumprimento das cláusulas contratuais com terceiros; Identificar falhas nos processos de fornecimento e prestação de serviço,
e Obter a Declaração de Cumprimento do ISPS Code.
Como se pode observar, esses objetivos podem ser estabelecidos por cada tipo de auditoria individual a ser realizada, que alcança as internas e externas.
É importante incluir no programa as possíveis auditorias a serem realizadas em caráter extraordinário, para que haja uma possibilidade da sua execução, e que haja, igualmente, aporte de recursos para tal, mesmo sem precisar datas, uma vez que são extraordinárias, pois mudanças de cenários e ocorrência de eventos que comprometam ou possam comprometer a segurança da instalação são sempre fatos motivadores de auditorias extraordinárias.
Objetivos da auditoria
Para a definição dos objetivos da auditoria, deve ser identificado o motivo pelo qual determinada auditoria está sendo realizada, o tipo de importância do setor que será auditado, a atividade a ser auditada, o negócio para a instalação como um todo e o impacto de qualquer não conformidade na continuidade desses negócios.
Observe-se que há uma diferenciação entre os objetivos do programa e da auditoria. É uma diferenciação tênue, e reside no fato de que o programa é mais abrangente e a auditoria é mais específica. Esta última adota como referência a primeira para a definição dos seus objetivos.
Como vimos no nosso exemplo, o objetivo do programa de auditoria ficou definido como sendo: Manter as instalações portuárias em conformidade com o ISPS Code.
Com base nesse objetivo, foram programadas as seguintes auditorias: auditoria da avaliação de proteção, auditoria do plano de proteção, auditoria
57
do controle de acesso, auditoria dos procedimentos da vigilância portuária, auditoria para a análise GAP, auditoria em fornecedores e auditoria para o controle de riscos.
Para cada uma dessas auditorias programadas, devem ser identificados um ou mais objetivos, que podem ser:
Auditoria da avaliação de proteção Verificar a conformidade com os requisitos do ISPS Code; Verificar os critérios de tratamento e aceitabilidade dos riscos; Avaliar a criticidade dos riscos frente aos cenários identificados e suas respectivas medidas de proteção.
Na avaliação de proteção ou avaliação de riscos, o objetivo é identificar as principais ações para controlar e eliminar os riscos, pois essa avaliação fundamenta-se nos principais riscos que afetam uma instalação portuária. Nas auditorias sobre as avaliações de proteção, o objetivo principal é verificar se os requisitos do ISPS Code foram atendidos e avaliar se os critérios de criticidade foram estabelecidos de maneira uniforme em todo o processo de análise. Auditoria do plano de proteção Verificar a conformidade com os requisitos da CONPORTOS e do ISPS Code; Obter a aprovação do plano pela CONPORTOS e obter a Declaração de Cumprimento; Certificar o cumprimento das normas e procedimentos estabelecidos. Nessas auditorias, o objetivo deve estar direcionado para a garantia de que os controles foram implementados e estão em pleno funcionamento, e para obter a Declaração de Cumprimento. Auditoria do controle de acesso Contribuir para melhorar o sistema de proteção das instalações portuárias; Verificar a eficácia dos controles de acesso; Detectar vulnerabilidades nos sistemas de controle de acesso.
58
Nas auditorias do controle de acesso, devem ser formulados objetivos que alcancem todos os tipos de controles estabelecidos. Essa auditoria também poderá objetivar detectar vulnerabilidades no sistema de controle de acesso.
Auditoria das atividades da guarda portuária Contribuir para manter as instalações seguras; Verificar o nível de capacitação do pessoal da guarda; Detectar falhas nas atividades da vigilância portuária.
As auditoria nos procedimentos da vigilância portuária objetivam garantir o pleno funcionamento das atividades da vigilância, como também avaliar o nível de capacitação do pessoal dessa área em relação ao padrão exigido.
Auditoria para a análise GAP Avaliar o nível de proteção das instalações portuárias; Estabelecer o nível de maturidade dos controles implementados.
O objetivo específico dessa auditoria é avaliar o nível de proteção dos controles existentes e do planejado, avaliando assim o nível de proteção da instalação portuária.
Auditoria em fornecedores Melhorar a qualidade dos serviços terceirizados; Garantir o nível de capacitação da vigilância portuária; Certificar o cumprimento das cláusulas contratuais com terceiros; Identificar falhas nos processos de fornecimento e prestação de serviço.
É uma auditoria que objetiva garantir e manter um padrão elevado de qualidade dos serviços prestados.
Auditoria para controle de riscos Garantir o controle eficaz sobre os principais riscos que afetam a instalação portuária; Avaliar as medidas de tratamento de riscos; Identificar a necessidade de nova avaliação de proteção.
59
Essa auditoria objetiva avaliar as medidas de mitigação, detecção, monitoramento e aceitação dos riscos. Ela difere da auditoria da avaliação de proteção que é feita sobre as normas e os procedimentos para o exame do processo de avaliação dos riscos.
2.3 Auditoria em sistemas de proteção
Para que seja possível auditar o sistema de proteção de uma instalação portuária, entendemos que se faz necessária a compreensão, por parte do auditor, do que é um sistema de proteção. Para facilitar essa compreensão, o presente capítulo foi desenvolvido focando as principais áreas da segurança orgânica.
Contudo, a auditoria para a proteção de instalações portuárias requer, além desse prévio conhecimento, o conhecimento do que está estabelecido pela norma internacional para a proteção de instalações portuárias, ou seja, pelo ISPS Code, e esse o auditor deverá conhecer bem.
Um sistema de proteção normalmente sustenta-se em 3 pilares: normas e procedimentos, recursos humanos e tecnologia. São pilares fundamentais para quaisquer sistemas de proteção. Para a comunidade da segurança, essa questão é tratada pela segurança orgânica, que “compreende o conjunto de medidas passivas que visam prevenir e obstruir ações adversas de elementos ou grupos de qualquer natureza, dirigidos contra a instituição” (Dantas, 2003:88).
As normas e procedimentos compõem todo um arcabouço que define, delimita e direciona os sistemas de proteção. No caso específico das instalações portuárias, as principais normas e procedimentos são o ISPS Code, as normas da CONPORTOS, as normas de controle de acesso, os planos de proteção das instalações portuárias e os procedimentos da vigilância portuária. Fazem parte desse importante pilar os processos de negócios da empresa.
A tecnologia engloba todo um aparato de meios e equipamentos que são utilizados para auxiliar a proteção, e tem como objetivo não só tornar mais ágil o sistema ao conseguir uma amplitude de cobertura, em tempo real ou em pequenas frações de tempo, alcançando elevados índices de prevenção
60
e rapidez na resposta a um evento que venha comprometer o sistema ou parte dele, como também ser empregada como meio de prevenção, detecção e controle.
Os recursos humanos são as pessoas que direta ou indiretamente participam do sistema e que de alguma forma podem interferir nele.
Com base nessa concepção sobre um sistema de proteção, o auditor deverá executar a auditoria de forma que as suas verificações estejam contemplando esses pilares (recursos humanos, normas e procedimentos e tecnologia), não só na constatação das conformidades, mas na constatação da eficácia do sistema como um todo. Para esse processo, é necessário que ele tenha noção do que seja a segurança orgânica e conheça os seus principais domínios, que são: pessoal, documentação, material, comunicações e informática, áreas e instalações. Segurança do pessoal A segurança do pessoal compreende um conjunto de medidas destinadas a assegurar comportamentos, visando não só à proteção das pessoas como também à proteção do conhecimento. Nessa área há três pontos a considerar: a seleção de pessoal, o desempenho da função e o desligamento. Seleção: é importante verificar quais os critérios para a seleção e contratação de funcionários, com atenção específica para os comprovantes e confirmação de antecedentes criminais. Desempenho da função: verificar o processo de credenciamento e utilização de crachás, os padrões de comportamento, procedimentos funcionais e o cumprimento das medidas de segurança, com especial atenção para o saber proceder, detalhando por quais medidas devem ser adotados. Desligamento do funcionário: verificar os critérios para o desligamento, se a comunicação do desligamento aos outros setores é eficiente (efetuar testes, se possível), a forma de recolhimento de toda a documentação que possa identificá-lo como sendo da empresa, e de cancelamento do acesso aos sistemas operacionais.
61
Segurança da documentação A segurança da documentação é necessária, porque é nela que poderão estar registrados dados importantes, tais como operações de crédito, grandes contratos, valor da folha de pagamento, endereços dos sócios e diretores, planos de segurança, dentre tantas outras valiosas informações. É importante verificar os critérios de controle na elaboração, identificação, autenticidade, manuseio, arquivo e destruição de documentos, com especial atenção para o tratamento do lixo. Segurança do material A segurança do material segue a mesma filosofia da segurança da documentação. É importante verificar os critérios de recebimento e exame do material, checando as especificações do material com a documentação que o acompanhar, confrontando-a com a documentação do contrato ou pedido, como também o inventário do material. Segurança das comunicações e da informática
É uma das áreas da segurança que mais cresce nas corporações, e que demanda uma atenção especial, em face da importância e crescimento permanente da tecnologia para os negócios corporativos. A segurança da informação é a área responsável pela segurança da documentação, das comunicações e da informática. Atualmente, essas subáreas da segurança orgânica estão contempladas no contexto da segurança da informação.
A segurança da informação é a proteção da informação de vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio. Ela é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware (NBR ISO/IEC 27002:2005). Para Dantas (2003: 27), a proteção das informações compreende um conjunto de procedimentos que devem ser adotados com o objetivo de eliminar a fuga das informações e dificultar a eficácia das atividades de coleta de informações, salvaguardá-las e protegê-las contra quaisquer eventualidades,
62
garantindo a confidencialidade16, a integridade17 e a disponibilidade18 das informações. Por ser uma área muito específica, o padrão ideal de proteção para as informações é o padrão ISO, que é um padrão internacional e com certificação específica. Esse padrão requer as normas ISO 27002 e 27001. Contudo, na inexistência do padrão ISO de proteção das informações, as verificações devem estar focadas nos controles existentes que garantam as qualidades da informação (confidencialidade, integridade e disponibilidade), e na manutenção dos critérios estabelecidos pelo ISPS Code. Nesse domínio, é indispensável uma política de segurança da informação. Segurança das áreas e instalações A segurança das áreas e instalações é composta de medidas que visam à proteção da área da empresa e de suas instalações.
A verificação deve levar em consideração as medidas adotadas para garantir a proteção do perímetro externo, como: barreiras, cercas, muros, demarcação da área e placas de sinalização. O ponto importante a ser verificado relaciona-se com o controle de acesso, suas normas e procedimentos, bem como o equipamento tecnológico e os sistemas de acesso como um todo.
Observe-se que a compreensão do que seja a segurança orgânica é importante para que o auditor possa ir além da verificação do domínio da norma, pois poderá deparar-se com uma situação de conformidade com a norma, mas que configure uma vulnerabilidade ao sistema de controle. Esse conhecimento contribui para a verificação da eficiência e eficácia do sistema como um todo.
16 Confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados (NBR ISO 27002:2005). É a garantia de que a informação é acessível somente por pessoas autorizadas a terem acesso. 17 Integridade: propriedade de salvaguarda da exatidão e completeza de ativos (NBR ISO 27002:2005). É a garantia da informação mantida na sua condição original. 18 Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada (NBR ISO 27002:2005). É a garantia de que os usuários autorizados obtenham a informação e os ativos correspondentes sempre que necessário.
63
As auditorias em instalações portuárias são muito focadas no padrão do ISPS Code. Nesse código, é encontrada uma série de requisitos para compor o sistema de proteção. Os principais são: a avaliação de proteção e o plano de segurança. Não obstante, identificam-se outros requisitos importantes do sistema de proteção de instalações portuárias, que são as normas de controle de acesso e os procedimentos da vigilância portuária. Esses quatro pontos são de exame obrigatório numa instalação portuária.
Dessa forma, esses pontos serão contemplados em capítulos específicos a seguir. Acrescentaremos, ainda, as auditorias realizadas em fornecedores, as auditorias para a análise GAP e aquelas realizadas para o controle de riscos, por entendermos que são auditorias indispensáveis no alinhamento dessa ferramenta com as demandas e evolução do mercado, além de constituírem um diferencial na busca da excelência da proteção e na criação de vantagem competitiva e continuidade dos negócios.
2.4 Auditoria da avaliação de proteção de instalações portuárias
A avaliação de proteção é o processo que identifica fraquezas na estrutura física, sistemas de proteção pessoal, processos, ou em outras áreas que possam conduzir a violação de segurança (proteção).
Segundo a Guarda Costeira Americana19, a avaliação de proteção das instalações portuárias é um processo analítico e sistemático para determinar medidas de proteção, para reduzir as vulnerabilidades e eliminar ou reduzir as consequências de um risco concretizado. Ela identifica fraquezas e propõe medidas e opções para eliminar ou mitigar essas fragilidades.
O objetivo principal de uma avaliação de proteção é poder eliminar os riscos que podem ser eliminados e minimizar os impactos dos riscos que não podem ser eliminados. Ao final resulta na elaboração de um relatório no qual constam medidas a serem adotadas para a melhoria da proteção das instalações portuárias.
19 Navigation and Vessel Inspection Circular no 11-02 (NVIC 11-02). Recommended security guidelines for facilities.
64
Na realidade, a avaliação de proteção é uma avaliação de riscos. O risco é a combinação da probabilidade20 de um evento21 e suas consequências22 (ISO/IEC Guide 73:2002). A avaliação de riscos é o processo sistemático de identificação, estudo e graduação de todos os riscos relevantes para cada processo de negócio (BCPG, 1998).
A avaliação de riscos é um processo geral de identificação, análise e avaliação de riscos (AS/NZS 4360:2004), ou seja, é um processo no qual é realizado um levantamento dos riscos que afetam a organização, para serem analisados com relação aos controles existentes e seus possíveis impactos e probabilidades, estabelecendo um ranking de riscos para serem comparados com os critérios estabelecidos, determinando sua criticidade para as ações de tratamento.
Ao auditar a avaliação de proteção, é importante que o auditor conheça o que é uma avaliação de riscos e qual o seu propósito. Existem vários métodos para se elaborar uma avaliação de proteção, e faz-se necessário que o auditor venha a conhecer o método que foi utilizado para a elaboração da avaliação, para que, ao realizar as suas verificações, possa realmente examinar com eficácia esse importante processo para a segurança da instalação portuária.
Independentemente do método a ser utilizado, esse processo emprega o conceito de risco com base na probabilidade da ocorrência e no impacto que poderá causar caso venha a ser concretizado. Daí a abordagem mais moderna que usa a expressão avaliação de riscos em vez de avaliação de proteção.
Não obstante os diversos métodos existentes para a análise de riscos ou análise de proteção das instalações portuárias, alguns elementos são indispensáveis para uma auditoria de avaliação de proteção. São:
20 A probabilidade associada a um evento é calculada para determinado período de tempo, e é definida como um número real na escala de 0 a 1, associada a um evento aleatório que pode estar relacionado a uma frequência de ocorrência relativa de longo prazo ou a um grau de confiança de que um evento irá ocorrer. Para um alto grau de confiança, a probabilidade é próxima de 1. 21 Por evento deve ser entendida a ocorrência de um conjunto particular de circunstâncias, podendo ser uma única ocorrência ou uma série delas. A probabilidade associada a um evento pode ser estimada por um dado período de tempo. 22 Por consequência deve ser entendido o resultado de um evento.
65
1- A verificação da identificação dos principais ativos e processos da organização que se deseja proteger, e o exame da priorização desses ativos/processos por tipo de criticidade para os negócios; 2- A verificação da identificação das principais ameaças e o exame da sua avaliação (possibilidade de sua concretização e o seu impacto); 3- A verificação da identificação das principais vulnerabilidades dos ativos em relação à possibilidade de ocorrências, considerando-se os critérios definidos pela instalação portuária (disponibilidade, acessibilidade, dureza, rigidez e segurança orgânica do alvo); 4- A verificação da avaliação da consequência e da vulnerabilidade, categorizada por cenário ou alvo; 5- A verificação das ações para eliminar, detectar, transferir e aceitar os riscos, e o exame dos critérios para essa decisão.
Segundo o que está disposto no ISPS Code, a avaliação da proteção das instalações portuárias é parte integral e essencial do processo de elaboração e atualização do plano de proteção das instalações portuárias, e deverá ser executada por pessoal com conhecimentos adequados, autorizados pelo governo contratante em cujo território a instalação portuária esteja localizada. Deverá, também, ser revisada e atualizada periodicamente, de acordo com mudanças no cenário das ameaças ou quaisquer mudanças que possam vir a comprometer a segurança da instalação portuária. E devem incluir, no mínimo, os seguintes elementos: Identificação e avaliação dos ativos e infraestrutura que são importantes proteger. Identificação de ameaça possível para ativos e infraestrutura, bem como a possibilidade de sua ocorrência, para que se possam estabelecer e priorizar medidas de proteção. Identificação de fraquezas, inclusive de fatores humanos na infraestrutura, política e procedimentos. Identificação, seleção e priorização de contramedidas e mudanças de procedimentos e seus níveis de eficácia na redução da vulnerabilidade.
Chamamos a atenção para alguns aspectos com relação ao exame da avaliação de proteção (avaliação de riscos). Neste tipo de exame, o auditor deverá verificar se os requisitos do ISPS Code foram atendidos, ou seja, vai
66
examinar cada item da avaliação de riscos e comparar com cada dispositivo do ISPS Code que trata do domínio “Avaliação de proteção das instalações portuárias”, para constatar se todos os itens foram contemplados.
Para atestar esta conformidade não se faz necessário verificar a eficácia das medidas de controle sobre os riscos, porque o que se está verificando é se o plano foi elaborado com base em uma avaliação de proteção (risco), e se esta avaliação foi feita conforme estabelecido no ISPS Code. É um exame estritamente com base nos itens da norma, para constatar se a avaliação de riscos está alinhada com o código. É a fase da auditoria conhecida como adequação ou intenção. Ressaltamos que esta limitação fica para as auditorias de certificação, ou preparatórias para tal finalidade.
Entretanto, a instalação portuária poderá questionar todo o processo de avaliação de riscos, inclusive sobre a eficácia das medidas propostas e sobre alguns aspectos preliminares ao estudo dos riscos, como a metodologia de análise e os critérios de parametrização de sua criticidade. Nestes casos, esses detalhes deverão ser examinados quando do recebimento do processo de avaliação de riscos, que geralmente é feito por empresa terceirizada.
Considerando que o ISPS Code é o principal documento-base para as auditorias em instalações portuárias, utilizaremos como referência essas áreas de domínio para, com base no código, apresentarmos abaixo os principais controles a serem verificados com relação a cada um desses domínios. Identificação e avaliação dos ativos e infraestrutura que são importantes proteger
Verificar se na identificação e avaliação dos ativos e infraestrutura foi estabelecido um nível de importância para a instalação portuária.
Verificar se foram consideradas a perda potencial de vidas, a importância econômica do porto e o seu valor simbólico, e a presença de instalações governamentais.
Verificar se foi considerado o funcionamento da instalação portuária sem esses ativos e a capacidade de recuperação do incidente de proteção.
Verificar se foi considerada a possibilidade de outras estruturas causarem danos dentro das instalações ou serem utilizadas para causar danos às instalações, como também utilizada para observação ilícita ou para desviar a atenção.
67
Verificar se foram considerados na identificação e avaliação de ativos os seguintes itens: 1- Áreas de acesso, entradas, aproximações, ancoragem, manobras e atracação; 2- Instalações de cargas, terminais, áreas de armazenagem e equipamentos para manuseio de cargas; 3- Sistemas de distribuição elétrica, sistemas de rádio e telecomunicações e sistemas e redes de informática; 4- Sistemas de gestão de tráfego de navios no porto e sistemas de auxílio à navegação; 5- Instalação de energia, tubulação de transferência de cargas e abastecimento de água; 6- Pontes, ferrovias, estradas; 7- Embarcações de serviços portuários; 8- Sistemas e equipamentos de proteção e vigilância, e 9- Águas adjacentes às instalações portuárias. Identificação de ameaça possível para ativos e infraestrutura, e a possibilidade de sua ocorrência, de modo a estabelecer e priorizar medidas de proteção
Verificar qual o critério utilizado para identificar determinado evento como uma ameaça.
Verificar se foram considerados os métodos para a execução de uma ameaça e a possibilidade de sua ocorrência.
Verificar se foram considerados aspectos peculiares da instalação que possam ser alvos de um incidente de proteção ou ataque, e suas possíveis consequências, incluindo perda de vidas, danos a propriedades, danos econômicos, interrupção do funcionamento da instalação, etc.
Verificar se foram consideradas informações oficiais sobre a capacidade e intenções de pessoas ou organizações passíveis de planejar um ataque ou provocar um incidente de proteção à instalação portuária, como também o tipo possível de ataque ou incidente de proteção.
Verificar se foram incluídos os seguintes tipos de incidentes de proteção: 1- Danos às instalações portuárias e aos navios ou destruição dos mesmos;
68
2- Sequestro ou captura do navio ou de pessoas a bordo; 3- Adulteração de cargas, sistemas ou equipamentos essenciais do navio ou de provisões do navio; 4- Acesso ou uso não autorizado, incluindo a presença de clandestinos; 5- Tráfico de armas ou equipamentos, incluindo armas de destruição em massa; 6- Uso do navio para transportar pessoas que pretendem causar um incidente de proteção e seus equipamentos; 7- Uso do navio em si como uma arma ou como um meio de causar danos ou destruição; 8- Bloqueio das entradas dos portos, comportas, aproximações, etc., e 9- Ataque nuclear, biológico e químico. Identificação de fraquezas, inclusive de fatores humanos na infraestrutura, política e procedimentos.
Verificar qual o método utilizado para identificar vulnerabilidades nas instalações portuárias com relação a incidentes de proteção.
Verificar se foram considerados os incidentes de proteção (ameaças) para a identificação das vulnerabilidades desses ativos.
Verificar se foram considerados os seguintes aspectos na identificação de vulnerabilidades: 1- Acesso às instalações portuárias por água e por terra e a navios atracados nas instalações; 2- Integridade estrutural dos ancoradouros, instalações e estruturas relacionadas; 3- Medidas e procedimentos de proteção existentes; 4- Medidas para proteger equipamentos de rádio e de telecomunicações, serviços portuários e empresas de utilidade pública; 5- Áreas adjacentes que possam ser exploradas durante um ataque ou para a sua realização; 6- Acordos existentes com companhias privadas de proteção que forneçam serviços de proteção em terra/na água; 7- Quaisquer políticas conflitantes entre as medidas e procedimentos de segurança e proteção;
69
8- Quaisquer conflitos entre as instalações portuárias e a atribuição de deveres relativos à proteção; 9- Quaisquer limitações no tocante ao pessoal e à implementação; 10- Quaisquer falhas identificadas durante os treinamentos e simulações, bem como falhas identificadas durante as operações rotineiras, após a ocorrência de incidentes ou alertas, relatórios de preocupações relativas à proteção, exercício de medidas de controle, auditorias, etc. Identificação, seleção e priorização de contramedidas e mudanças de procedimentos e seus níveis de eficácia na redução da vulnerabilidade
Verificar se a identificação e priorização de contramedidas tiveram o objetivo de assegurar o emprego de medidas eficazes para reduzir a vulnerabilidade de uma instalação portuária ou da interface navio/porto a possíveis ataques.
Verificar se as medidas de redução de vulnerabilidades tomaram como base as vistorias, inspeções e auditorias relacionadas à proteção, o histórico de incidentes de proteção, as operações da instalação e as consultas a seus proprietários e operadores. 2.5 Auditoria do Plano de Segurança Pública Portuária (PSPP)
De todas as auditorias a serem feitas nas instalações portuárias, aquela realizada sobre os planos de segurança requer atenção especial, uma vez que o plano de segurança pública portuária é o principal alvo para a concessão da certificação internacional.
A auditoria de certificação é de competência da CONPORTOS, segundo o disposto na Resolução no 37, de 21/06/2005. Dessa forma, essas auditorias assumem uma importância ímpar para a manutenção da certificação. Entretanto, as instalações portuárias devem realizar as suas auditorias internas, que são diferentes das auditorias de certificação da CONPORTOS, sob o risco de já estarem em não conformidade por não terem realizado as suas auditorias internas, previstas no plano de segurança.
Três aspectos devem ser considerados para essas auditorias: o primeiro com relação a concepção, forma, conteúdo e elaboração dos planos
70
de segurança, que devem estar atendendo aos requisitos e diretrizes do ISPS Code, e da Resolução no 12 da CONPORTOS; o segundo, com relação à funcionalidade do plano, ou seja, é o exame da conformidade das medidas implementadas; e o terceiro, com relação a eficácia dos controles do sistema.
Os requisitos e as diretrizes estão nas partes A e B do código que, de modo geral, apresentam domínios e controles a serem observados na elaboração desses planos. Já a resolução apresenta em seus anexos o termo de referência para a elaboração do plano de segurança pública portuária, assim como o roteiro para a elaboração e análise desses planos.
Essa auditoria deve ser realizada em três etapas: na primeira, haverá o exame do plano em si, ou seja, do documento denominado plano de segurança; a segunda consta do exame do que ele estabelece, ou seja, é a verificação com base no plano; e a terceira, é o exame com base nos objetivos dos controles.
Os requisitos e as diretrizes serão a base da primeira etapa, em que o auditor atestará que o plano foi elaborado atendendo às diretrizes e aos requisitos para a concepção, forma, metodologia, conteúdo e elaboração. É o exame do plano propriamente dito.
Já o plano é a base da segunda e terceira etapas, em que o auditor atestará que as medidas estabelecidas no plano forma implementadas e se estão sendo executadas conforme implementadas. É o exame com base no plano.
E os controles (constantes do plano) serão a base para a aferição da eficácia, ou seja, é o exame para verificar se os controles atendem aos objetivos para os quais foram criados.
Diante dessas peculiaridades e para uma melhor compreensão da forma de auditar o plano, dividiremos este capítulo em duas partes: uma voltada para o exame dos requisitos da CONPORTOS e do ISPS Code para a sua elaboração, e a outra para o exame da funcionalidade do sistema de controle. Ambas as etapas são importantes não só para a preparação da instalação portuária para a aprovação dos seus planos, como também para a concessão e manutenção da certificação, objeto-alvo das auditorias externas de certificação.
71
2.5.1 Exame dos requisitos do ISPS Code
O ISPS Code estabelece requisitos obrigatórios para a elaboração de um plano de segurança destinado à proteção de instalações portuárias, e tal parte do código deverá ser utilizada pelo auditor como referência para o exame do plano, ou seja, da sua concepção, forma, elaboração e conteúdo.
Dessa forma, apresentamos a seguir um roteiro para a verificação do auditor, tendo como base os principais requisitos da parte A e B do código. Concepção, forma e elaboração
O plano de segurança deve ser concebido baseando-se numa avaliação de proteção fundamentada nos principais riscos que afetam uma instalação portuária, e de forma geral objetiva estabelecer medidas de prevenção e respostas a eventos danosos à instalação, de forma a manter a continuidade das atividades portuárias. Deve ser desenvolvido por uma metodologia conhecida, elaborado por pessoal específico e autorizado, e aprovado pelo governo contratante.
Com base nessa premissa, o auditor iniciará o seu exame para: a) Verificar se o plano de proteção da instalação portuária foi elaborado com fundamento em uma avaliação de proteção, por uma organização de proteção reconhecida, e se foi aprovado pelo governo contratante. Deve ser incluído nesse item de verificação a data do plano e a data da última revisão. b) Verificar se o plano está disponível apenas para pessoas autorizadas, e se está protegido contra acesso, divulgação, emenda não autorizada e destruição. c) Verificar se o plano envolve mais de uma instalação portuária e se a avaliação de proteção foi específica para cada uma das instalações cobertas pelo plano. Nesse caso específico, o auditor deve quantificar e identificar as instalações que são cobertas pelo plano. Contudo, deve dispensar atenção especial para checar se as avaliações de riscos foram individuais, pois esse é um dos requisitos do ISPS Code.
72
Conteúdo
Após essas verificações iniciais, o auditor passará ao exame do conteúdo do plano. Para facilitar essa verificação, apresentamos um roteiro dos principais requisitos a serem auditados.
O auditor deve verificar se do conteúdo do plano constam, no mínimo: 1. O papel e a estrutura da organização de proteção das instalações portuárias. 2. A identificação do funcionário de proteção das instalações portuárias, incluindo informações para contato durante 24 horas. 3. Os vínculos da organização de proteção das instalações portuárias com outras autoridades locais ou nacionais com responsabilidades relativas à proteção. 4. Os sistemas de comunicação disponíveis para permitir a comunicação contínua e eficaz entre o pessoal das instalações portuárias com funções relativas à proteção e os navios atracados no porto, e com autoridades locais ou nacionais com responsabilidades relativas à proteção. 5. Os deveres, responsabilidades e requisitos de treinamento de todo o pessoal das instalações portuárias com funções relativas à proteção, bem como os parâmetros de desempenho necessários para avaliar sua eficácia individual, e deveres de qualquer outro pessoal das instalações portuárias relativos a aspectos de proteção. Isso quer dizer que não só devem constar as obrigações do pessoal específico para a proteção, mas as responsabilidades de todos da instalação, permanentes ou temporários, com relação à proteção da instalação portuária. 6. As medidas de controle de acesso que cobrem todos os meios de acesso às instalações portuárias identificados no plano, com restrições por área e nível de proteção. Essas medidas devem incluir: aquelas para prevenir que armas, substâncias perigosas e dispositivos destinados ao uso contra pessoas, navios ou portos sejam introduzidos em uma instalação portuária ou a bordo de um navio, ou cujo transporte não seja autorizado; os procedimentos para atender a quaisquer instruções de proteção que os governos contratantes, em cujo território a instalação portuária esteja localizada, possam dar para o nível 3 de proteção; as disposições para garantir a atualização dos sistemas de
73
identificação e medidas disciplinares para os abusos desses procedimentos; e os locais nos quais pessoas, objetos pessoais e veículos devam ser revistados, assim como a forma de se fazer a revista. 7. Medidas para prevenir o acesso não autorizado a instalações portuárias, a navios atracados nessas instalações e a áreas de acesso restrito das instalações portuárias. Essas medidas devem compreender: as medidas desenvolvidas para assegurar a proteção efetiva da carga e dos equipamentos de manuseio de carga na instalação portuária; as medidas de proteção para o manuseio de cargas, entrega das provisões aos navios, manuseio de bagagens desacompanhadas, e monitoramento da proteção da instalação; os procedimentos para manter e atualizar registros de mercadorias perigosas e substâncias nocivas e sua localização nas instalações portuárias. 8. Os procedimentos ou proteção necessários para manter permanentemente as comunicações contínuas. 9. Medidas para assegurar a proteção das informações contidas no plano, bem como os procedimentos e práticas para proteger informações sensíveis de proteção mantidas em papel ou em formato eletrônico. 10. Procedimentos para responder a ameaças de proteção e a violações da proteção, incluindo disposições relativas à manutenção de operações críticas da instalação portuária ou da interface navio/porto. Esses procedimentos devem incluir: os meios para alertar e obter os serviços de patrulhas e de equipes de especialistas em busca, incluindo busca de bombas e buscas debaixo da água; os procedimentos para responder caso o sistema de alarme de proteção de um navio localizado na instalação portuária tenha sido ativado; os procedimentos para evacuação, no caso de ameaças de proteção ou de violações da proteção, e os procedimentos para reportar incidentes de proteção. 11. Procedimentos destinados à interface com atividades de proteção do navio e para assistir os oficiais de proteção do navio, facilitar a concessão de licença para o pessoal de bordo ou facilitar mudanças de pessoal, e acesso ao navio. 12. Procedimentos para a revisão periódica e atualização do plano.
74
Esses procedimentos devem incluir: os procedimentos para avaliar a eficácia contínua das medidas, procedimentos e equipamentos de proteção, incluindo a identificação e resolução de falhas ou mau funcionamento de equipamentos; os procedimentos para permitir a submissão e avaliação de relatórios relativos a possíveis violações de proteção ou preocupações com a proteção; os procedimentos para auditar o plano de proteção das instalações portuárias.
Além dessas medidas e procedimentos, o ISPS Code estabelece que o plano deve especificar medidas para cada nível de proteção (1,2 e 3), de forma a cobrir o acesso às instalações portuárias e o acesso restrito dentro dessas instalações, o manuseio de cargas, as entregas das provisões do navio, o manuseio de bagagens desacompanhadas e o monitoramento da proteção das instalações portuárias.
Um detalhe especial acompanha essa auditoria: é o fato de o auditor, nessa fase, não se preocupar se a medida proposta atende ou não à sua finalidade de proteção, pois ele estará apenas verificando se o conteúdo do plano foi elaborado com base nos requisitos do ISPS Code. A verificação da funcionalidade dessas medidas é outra etapa da auditoria, na qual ele examinará se as medidas constantes do plano foram implementadas conforme estabelecidas e se são eficazes. Ratificamos, portanto, que nessa fase o objetivo da auditoria é o de constatar a conformidade do conteúdo do plano com os requisitos do ISPS Code e da CONPORTOS.
2.5.2 Exame dos requisitos da CONPORTOS
A Resolução 12/2003 da CONPORTOS23, em seu anexo I, estabelece as diretrizes para a elaboração do plano de segurança pública portuária, resolução essa que o auditor adotará como referência para verificar se o plano de segurança foi elaborado de conformidade com essa resolução. Dessa forma, apresentamos a seguir um roteiro para a verificação do auditor com base em cada item da resolução.
23 Essa resolução aprovou o termo de referência para a elaboração dos planos de segurança pública portuária dos portos e terminais marítimos brasileiros, aprovou o roteiro para a elaboração e análise dos planos de segurança pública portuária, e aprovou a orientação para a elaboração das normas de controle de acesso e circulação de pessoas e veículos.
75
Objetivo Verificar se entre os objetivos do plano está o de: prevenir e reprimir
atos ilícitos nos portos, terminais e vias navegáveis.
Identificação Da Instalação Portuária
Verificar se a instalação portuária está devidamente identificada pelo nome e razão social da instalação; endereço completo; número dos registros legais; telefone; fax; endereço eletrônico e página na Internet (caso esteja disponível); CNPJ; telefone e fax dos representantes legais e pessoas para contato. Da Organização de Segurança e dos Técnicos responsáveis pela elaboração do PSPP.
Verificar se a identificação da organização de segurança e de seus técnicos responsáveis pela elaboração do plano foi feita pelo nome e ou razão social; endereço completo; número dos registros legais; telefone; fax; endereço eletrônico; CNPJ/CPF telefone e fax dos representantes legais e pessoas para contato. Metodologia
Verificar se a metodologia utilizada em cada etapa do trabalho está indicada no plano.
Verificar se os procedimentos e as ações propostas no plano estão justificadas e esquematizadas, de acordo com as categorias definidas na avaliação de proteção e com os níveis de riscos e vulnerabilidade de cada cenário, ou seja, se esses procedimentos e medidas estejam fundamentados na avaliação de riscos.
Verificar se a probabilidade de ocorrência dessas ameaças, e outras que porventura estejam relacionadas nos cenários das avaliações de riscos, foram analisadas e avaliadas pelas estimativas e consequências.
Verificar se todas as áreas e instalações foram codificadas de acordo com a categoria de risco.
Verificar se consta a apreciação e a identificação dos níveis de riscos de segurança (baixo, médio e alto), de conformidade com o estudo de avaliação de riscos.
76
Verificar o cronograma de implantação do plano e a data prevista para a auditoria da certificação inicial.
Verificar se foram fornecidas informações sobre dados técnicos, operacionais e administrativos, dos portos, terminais e vias navegáveis, para a elaboração do plano.
Caracterização da instalação portuária
Verificar se a instalação portuária está caracterizada pela descrição completa das características físicas, operacionais e de infraestrutura das instalações portuárias, as áreas terrestres e aquaviárias, incluindo suas cercanias, munidas das respectivas plantas, mapas ou croquis, em escala apropriada. Órgãos envolvidos e competências
Verificar se constam as descrições das competências dos órgãos públicos, de acordo com o que está disposto no Plano Nacional de Segurança Pública Portuária.24
Nesse item, o auditor deverá observar as competências desses órgãos no plano nacional, e confrontá-las com o plano específico em exame.
Fatores a serem considerados
A Resolução CONPORTOS 12/2003 estabelece que: Na elaboração do Plano de Segurança Pública Portuária - PSPP, o setor portuário deve ser considerado como um conjunto harmônico de instalações físicas e de sistemas gerenciais e de logística, composto pela oferta de toda uma infraestrutura portuária e pela aplicação dos recursos operacionais e humanos, agregados à Inteligência e à disponibilidade de instalações e equipamentos portuários para a realização e desenvolvimento das atividades de transporte.
24 Esse plano foi aprovado pela Resolução 02/2002 da CONPORTOS, publicada no Diário Oficial da União, nº 241, de 13 de dezembro de 2002.
77
Nesse sentido, verifica-se a necessidade de se manter um sistema de proteção de instalações portuárias que funcione em sintonia com o setor portuário, e que a ocorrência de incidentes de proteção poderá vir a quebrar a harmonia de todo o sistema portuário, podendo trazer consequências de difícil reparação em tempo hábil para a normalidade das atividades portuárias.
Tudo isso reforça ainda mais a necessidade da realização de auditorias minuciosas (realizadas com critérios e por pessoal especializado), que não se limitem apenas a verificar se tais itens observados atendem, ou não, às conformidades estabelecidas nas normas, mas ensejam uma verificação mais completa, que envolva todo o sistema de proteção.
Diante disso o auditor deverá:25 Verificar as determinações dos organismos nacionais e internacionais
quanto a pressupostas ameaças à segurança e danos às pessoas, às embarcações e à infraestrutura dos portos ou terminais, observando as peculiaridades de cada porto ou terminal, levando em consideração a situação geográfica, o tipo de instalação e o produto com os quais se trabalha.
Verificar se, na elaboração das medidas mitigadoras, foram considerados os aspectos apontados nas avaliações de riscos, aprovadas pela CONPORTOS.
Dentre as ameaças que devem ser levadas em consideração para a elaboração do plano de proteção das instalações portuárias, o ISPS Code relaciona nove ameaças que devem ser incluídas. O auditor deverá verificar se elas foram consideradas na elaboração do plano. São: 1. Danos às instalações portuárias e aos navios ou destruição dos mesmos, por exemplo, por meio de explosivos, incêndio criminoso, sabotagem ou vandalismo; 2. Sequestro ou captura do navio ou de pessoas a bordo; 3. Adulteração de cargas, sistemas ou equipamentos essenciais do navio ou de provisões do navio; 4. Acesso ou uso não autorizado, incluindo a presença de clandestinos; 5. Tráfico de armas ou equipamentos, incluindo armas de destruição em massa;
25 Conforme está previsto na Resolução 12/2003.
78
6. Uso do navio no transporte de pessoas que pretendem causar um incidente de proteção e seus equipamentos; 7. Uso do navio em si como uma arma ou como um meio de causar danos ou destruição; 8. Bloqueio de entradas dos portos, comportas, aproximações, etc. 9. Ataque nuclear, biológico e químico.
Verificar se as relações do porto e/ou do terminal com as autoridades locais ou nacionais com responsabilidades relativas à segurança pública foram consideradas.
Essas relações representam a forma integrada como agem diversas instituições na prevenção e resposta às possíveis ameaças e a incidentes de segurança na área portuária.
Verificar se o plano de desenvolvimento e zoneamento do porto/terminal, bem como suas alterações em estudo foram consideradas para a elaboração do plano de segurança.
Essa verificação pode detectar possíveis áreas de conflito com movimentos sociais, ambientalistas e trabalhadores portuários, as quais demandem medidas de contenção e emergência para o porto/terminal, devendo elas ser relatadas nos papéis de trabalho do auditor.
Verificar se na elaboração do plano foram consideradas as medidas de segurança existentes nas instalações portuárias, as atribuições e relações existentes entre as autoridades intervenientes, bem como os sistemas existentes de comunicação, as flexibilidade para a adequação às normas do poder público, em razão dos ajustes que se farão necessários em face dos Planos de Segurança nos Navios, dentre outras, e as leis, normas legais e infralegais.
Áreas de atuação
As áreas de atuação previstas na Resolução 12/2003 são 3: terrestres, aquaviárias e áreas de interesse, que são aquelas fora do porto organizado ou terminal, que sejam destinadas a embarcações ou veículos que eventualmente atendam às demandas dos navios ou apóiem as tarefas portuárias. A citada Resolução diz textualmente:
79
Terrestres: compreendendo as vias de acessos rodoviários, ferroviários e cercanias; locais de pouso e decolagem; pontos de acesso de pessoas, de veículos e de cargas; infraestrutura, edificações, terrenos, silos e armazéns; docas, cais, piers, pontes de atracação e de acostagem; vias de circulação interna; áreas de embarque e desembarque de passageiros, de abastecimento e de suprimento; bem como todo o aparelhamento de que o porto ou terminal dispõe para atender as necessidades do respectivo tráfego e a reparação e conservação das próprias instalações que devem ser mantidas pela Administração do porto ou terminal. Aquaviárias: compreendendo as áreas de fundeio, atracação, quarentena; guias-correntes, quebra-mares, eclusas, canais de acesso e bacias de evolução, infraestrutura e cercanias, conforme indicados em carta náutica ou divulgados pela Administração Portuária.
Dessa forma o auditor deverá verificar se as áreas de atuação foram contempladas na elaboração do plano.
Análise situacional
Verificar se consta do plano uma análise situacional, em termos de segurança, que esteja de acordo com as regulamentações nacionais e internacionais existentes, referentes ao setor portuário em geral, inclusive, no que diz respeito às instalações portuárias de cada porto organizado e de terminais de uso privativo localizado fora do porto organizado e de áreas adjacentes.
Deve fazer parte do panorama a apresentação dos antecedentes e da situação atual, enumerando-se as ocorrências de incidentes de segurança em navios e instalações, os cenários internacional, nacional e local, bem como a regulamentação aplicável.
80
Procedimentos operacionais Este item da Resolução 12/2003 estabelece o conteúdo básico para um
plano de segurança pública portuária, e com fundamento nele, o auditor deverá:
Verificar se a estrutura organizacional e regimental da Unidade de Segurança (US) da instalação portuária foi definida, como também as atribuições de seus elementos organizacionais.
Atenção deve ser dispensada na verificação do regimento interno da Unidade de segurança, com os deveres e responsabilidades de seu pessoal, se foram estabelecidos parâmetros de desempenho para avaliar a eficácia coletiva e individual, bem como os procedimentos operacionais da unidade.
Verificar se constam no plano os deveres e responsabilidades dos proprietários, dirigentes e demais funcionários, relativos à segurança e aos procedimentos operacionais.
Verificar se foi definido um sistema de cadastramento que atenda ao pessoal da US, aos proprietários, dirigentes, funcionários, a todas as pessoas que eventualmente trabalhem, façam uso ou trafeguem nas instalações portuárias.
Verificar se foram definidas as normas de acesso às instalações portuárias.26
Verificar se foi definido um sistema de cadastramento de veículos, embarcações e equipamentos que operem em apoio às atividades portuárias, bem como das cargas em geral, mercadorias perigosas e substâncias nocivas por eles movimentadas.
Verificar se foram definidas as normas de acesso de veículos, embarcações, equipamentos, cargas, mercadorias perigosas e substâncias nocivas às áreas de acesso público, controlado e restrito.
Verificar se foram definidos os procedimentos relativos a movimentação, manuseio e armazenamento de cargas em geral, mercadorias perigosas e substâncias nocivas, de forma a garantir a segurança pública portuária.
Verificar se foram definidos os procedimentos para evitar o acesso ilícito de armas, drogas e substâncias nocivas, artefatos explosivos e demais
26 Item específico abordará como auditar o controle de acesso.
81
mercadorias perigosas, assim como de outros objetos, produtos ou substâncias que possam causar danos às instalações, bens e pessoas.
Verificar se foram definidos os procedimentos de acesso às informações, de rotina e confidenciais, sobre movimentação de cargas; equipamentos e pessoas envolvidas nos serviços da instalação; cronogramas de trabalho e programação do porto; armazenagem de mercadorias perigosas e substâncias nocivas; incidentes de segurança, pontos sensíveis e vulnerabilidades.
Verificar se foram definidos os procedimentos para a proteção das informações armazenadas em meio físico, eletrônico ou magnético.
Verificar se foram indicados os processos para a avaliação da eficácia dos equipamentos/sistemas de segurança e os procedimentos para a identificação e resolução de falhas.
Verificar se foram definidos os procedimentos relativos ao controle das atividades voltadas para o apoio portuário e o auxílio à manobra das embarcações, como também para o abastecimento e transporte de pessoal e material para elas.
Verificar se foi indicada a sistemática de integração operacional da US da instalação portuária com as autoridades públicas com elas envolvidas.
Verificar se foram indicados os sistemas de comunicação entre as embarcações, as companhias de navegação, as US das instalações portuárias e a autoridade de segurança pública portuária local.
Verificar se foram definidos os procedimentos de comunicação entre as embarcações, as companhias de navegação, as US das instalações portuárias e a autoridade de segurança pública portuária local, de tal forma que permita a tais comunicações serem contínuas e eficazes.
Verificar se foram definidos os tipos de Sinais de Alarme (SA), os procedimentos, os meios e os canais de difusão a serem adotados pelas US das instalações em face do recebimento dos pedidos de apoio procedentes das embarcações sob risco no porto e em razão de detecção de ameaças às instalações.
Verificar se foram detalhadas as medidas adicionais de segurança que permitirão às instalações portuárias elevar seu nível de segurança para 227 ou
27 O nível 2 é estabelecido pela Autoridade de Segurança Pública Portuária local.
82
328, e se estão indicadas as implicações que essas mudanças de nível podem trazer para as atividades desenvolvidas na área da instalação portuária e suas cercanias.
Verificar se foram definidos os procedimentos a serem adotados pelas US e pelas embarcações para o controle das movimentações navio/terra de tripulantes, profissionais não tripulantes e demais pessoas.
Verificar se foram definidos os procedimentos a ser cumpridos pela US da instalação portuária e pelos navios, para o trâmite da Declaração do Comandante29 do conhecimento das normas nacionais de Segurança Pública Portuária.
Verificar se está estabelecida a forma de registro e encaminhamento de ilícitos30 ocorridos na instalação, de acordo com a legislação específica.
Formação e treinamento
Verificar se consta no plano previsão a respeito de formação, treinamento, simulações e exercícios a serem realizados periodicamente pelo pessoal das US e pelo o pessoal da instalação portuária.
Auditorias e revisões
Verificar se consta no plano previsão de realização de auditorias e revisões regulares internas do plano se segurança, como a forma de emendas decorrentes de ocorrências ou mudanças nas circunstâncias, incluindo exercícios simulados periódicos.
28 O nível 3 e os decorrentes procedimentos são estabelecidos pelo Gabinete de Segurança Institucional da Presidência da República. 29 O Comandante de embarcação que efetua tráfego internacional deve declarar estar ciente das normas nacionais de Segurança Pública Portuária a que se subordina; proceder ao registro, no órgão policial competente, dos acontecimentos e atos ilícitos ocorridos contra a embarcação, a carga ou as pessoas embarcadas; encaminhar à US da Instalação relatório circunstanciado sobre atos ilícitos ocorridos contra a embarcação, a carga ou as pessoas embarcadas, e, em caso de não-ocorrência de atos ilícitos, firmar declaração nesse sentido e entregá-la à US respectiva, antes de deixar a instalação portuária brasileira. 30 Esse registro é feito no Relatório Estatístico de Ilícitos Penais (RIP), em atenção ao que está disposto no Decreto nº 1.507/95. Se a instalação portuária for localizada na área do porto organizado, esse relatório deverá ser encaminhado à US da administração portuária; caso
83
Anexos Verificar se os anexos contêm normas, plantas, mapas e croquis
relacionados com os objetivos do plano.
2.5.3 Exame da funcionalidade do plano A auditoria da funcionalidade (exame de conformidade) do plano de segurança portuária deverá ser realizada com foco nas medidas de proteção estabelecidas no plano. É o exame realizado sobre o plano, para verificar se os controles foram implementados, se estão mantidos e executados de acordo com o estabelecido, e se são eficazes31. Esse tipo de exame não mais estará verificando se determinado domínio está atendendo a requisitos normativos, pois a etapa que verifica esse cumprimento foi a etapa do exame para a confecção do documento denominado plano de segurança, conforme foi abordado nos itens anteriores. Observe-se que há uma diferença tênue entre a auditoria do plano e a auditoria realizada com base no plano. A primeira diz respeito à verificação da conformidade com os requisitos do ISPS Code e das normas da CONPORTOS, para a concepção, formatação, conteúdo e elaboração do plano; e a segunda diz respeito ao exame e análise da implementação do plano, ou seja, verifica a sua funcionalidade utilizando o plano como o documento-base para o exame a fim de constatação de conformidade. Esta etapa da auditoria é conhecida como exame de conformidade. A etapa agora é a de auditar o plano, para certificar se as medidas nele constantes são pertinentes ao cenário de proteção e à proteção propriamente dita. É o exame com base no plano, no que foi nele especificado.
contrário, esse relatório será encaminhado diretamente à CESPORTOS. 31 Chamamos a atenção para a primeira auditoria realizada pela instalação portuária, pois entendemos ser pertinente o exame cujo escopo seja todo o sistema de proteção, uma vez que se objetiva obter ou manter a certificação internacional de proteção. Tal observação deve-se ao fato de que nas auditorias de certificação, não se pode ter a garantia de que os domínios escolhidos por amostragem numa auditoria interna patrocinada pela própria instalação sejam os mesmos escolhidos pela equipe de auditores certificadores. Dessa forma, fazemos tal observação para que as instalações portuárias examinem todo o seu sistema de proteção quando da sua primeira auditoria interna.
84
Como sabemos, o objetivo maior de um plano de segurança portuária é o de prevenir, detectar e responder a quaisquer eventos (intencionais ou não) que atentem contra a proteção de portos, terminais e vias navegáveis. Ele deve ser elaborado de conformidade com uma avaliação de proteção efetuada baseada nos principais riscos que afetam as atividades portuárias, principalmente os riscos relacionados com ações terroristas e ações intencionais para a produção de danos. Como resultado dessa avaliação de riscos, são elaboradas medidas de tratamento de riscos, para reduzi-los a níveis aceitáveis e controláveis, afastando a possibilidade de eventos danosos aos negócios e à segurança como um todo. Tudo isso tem como produto final um plano de segurança. Definir ações e implementá-las não significa que são pertinentes, nem que atendem às demandas de segurança, nem que essas medidas proporcionam segurança adequada para uma instalação portuária. Para que exista uma garantia de equilíbrio entre as medidas implementadas e a sua funcionalidade, faz-se necessária a realização dessas auditorias, que especificamos como sendo para o exame da funcionalidade das medidas de proteção. Essa auditoria é realizada in loco, mediante um conjunto de atividades que o auditor desempenhará para um exame detalhado das medidas de proteção. As verificações devem seguir o roteiro do plano de proteção, devendo o auditor examinar cada item e seus detalhes, para verificar se os procedimentos de controle foram implementados e estão sendo executados conforme estabelecidos, além de avaliar a sua eficácia32. Os controles de um sistema de proteção portuária compreendem as políticas, procedimentos, diretrizes, práticas e estrutura física e organizacional. Cada controle é estabelecido com uma finalidade específica, denominada de objetivo de controle. Os objetivos de controle descrevem as metas que a instalação procura alcançar naquele domínio, e geralmente já vêm especificados no plano ou na
32 O exame da eficácia dos controles pode ser considerado outra etapa da auditoria voltada para verificar se não existem falhas nem vulnerabilidades no sistema de proteção, e se os controles existentes atendem à sua finalidade. Entretanto, o mais comum é o de se realizar esse exame juntamente com a verificação da conformidade com as medidas estabelecidas no plano.
85
norma, e antecedem os controles, que são estabelecidos para se alcançar o objetivo de controle. Por exemplo, para o controle de acesso de trabalhador portuário avulso (TPA), o objetivo de controle estabelecido no plano é o de proibir o acesso indevido e manter a ordem e a segurança no terminal. E para se atingir esse objetivo, os controles propostos são: Só é permitida a entrada se constar de relação previamente remetida
ao Terminal, pelo órgão gestor de mão-de-obra do trabalho portuário avulso (OGMO).
Todos os TPA devem ser submetidos à revista e ao detector de metais, para só após receberem a autorização de acesso e o cartão interno. Na saída do Terminal, a revista é obrigatória.
Todos devem ser responsáveis pela guarda e conservação do crachá. Se algum TPA estiver sem o crachá, não lhe deve ser permitida a passagem pelos postos de controle interno do Terminal. Nesse caso, deve ser encaminhando ao supervisor de segurança para avaliar e resolver o problema.
É proibido o acesso de arma de fogo, mesmo para quem possua porte de arma, e de qualquer tipo de arma branca.
As responsabilidades pela execução desses controles (procedimentos)
estão nos procedimentos próprios do posto de controle específico para o acesso do TPA e nos procedimentos do supervisor de segurança. Os registros deverão estar nos relatórios dos sistemas de controle de acesso e nos livros de ocorrências e registros gerais. Observe-se que para cada controle existe um objetivo para o qual ele foi estabelecido, e junto com esse objetivo os controles específicos para aquela atividade, os responsáveis pela sua execução e os registros gerados. E tudo isso o auditor deverá examinar, pois o não-cumprimento de determinado controle é uma não conformidade, e poderá, segundo o exemplo acima, comprometer a operação de manuseio da embarcação e provocar um evento de segurança que comprometerá a continuidade das operações do terminal e das instalações vizinhas. No exemplo acima, o auditor deveria, no mínimo, verificar: se os responsáveis pelos controles acompanham as operações e se conhecem os
86
procedimentos; se os procedimentos estão dispostos, afixados e visíveis no local de trabalho (disponível numa pasta, afixado na guarita, aposto numa folha de controle, etc.); se cada procedimento estabelecido é aplicado para cada trabalhador avulso, e, em caso negativo, a forma de registro; se os procedimentos são seguidos item por item, e cada documento gerado. Tal auditoria caracteriza-se pela constatação da efetividade dos controles internos, por meio de vários procedimentos de auditoria, como, por exemplo, a observação das atividades, a aplicação de teste de conformidade, a aplicação de entrevistas e questionários, a verificação e o exame das medidas físicas de proteção, dentre outras. Essa constatação de conformidade será atestada pelo auditor no seu relatório, com base nas evidências físicas, documental e testemunhal, nas análises dos testes e por confirmação de terceiros. O exame físico deve ser realizado no local da atividade, ou no setor responsável pelo controle, sobre toda e qualquer documentação que se referir ao controle, em todos os equipamentos utilizados para dar suporte ao controle, nas barreiras físicas e nos livros de registros específicos de segurança. A confirmação deve ser feita nas autorizações de acesso de pessoal, veículos, prestadores de serviço e visitantes, após conferência física ou lógica dessas autorizações. A observação das atividades do setor auditado e as entrevistas devem ser realizadas diretamente pelos executores das medidas de proteção, inclusive indagando sobre possíveis situações não-convencionais de tentativa de acesso não autorizado. Os testes de conformidade dos procedimentos implementados devem ser realizados sobre a execução das atividades de modo a atestar a confiabilidade e a segurança dos controles. Toda vez que uma não conformidade for encontrada, ou apareçam dúvidas quanto à eficácia do controle em análise, deve ser realizada uma investigação minuciosa sobre os controles. A escolha da amostragem deve priorizar as não conformidades encontradas em auditorias anteriores e nas atividades onde existam maiores riscos contra a segurança da instalação portuária. Na primeira auditoria a ser realizada, é importante que as verificações sejam realizadas sobre todos os
87
controles, principalmente nas instalações de médio e pequeno porte, e naquelas que manuseiam produtos de risco. Essa amostragem poderá ser escolhida por critério estatístico ou aleatoriamente; contudo, é imprescindível que os critérios de amostragem sejam estabelecidos e justificados, devendo sempre ser considerados os registros nos livros de ocorrência, bem como as informações coletadas nas entrevistas com os operadores do sistema de proteção, e os controles sobre os riscos. A extensão do exame do auditor dependerá das conformidades encontradas, da observação do auditor sobre as atividades executadas e da criticidade da operação para o negócio da instalação portuária. O sucesso dessa auditoria encontra-se não só no emprego dos procedimentos, técnicas de auditoria, identificação dos objetivos de controle e controles, mas também no conhecimento do sistema de proteção da instalação portuária e da sua avaliação de riscos, no conhecimento das atividades da instalação portuária e na compreensão do contexto de proteção do ambiente portuário. Ao se avaliar um controle como ineficaz não significa dizer que existe uma não conformidade, pois os procedimentos poderão estar sendo executados em conformidade com o plano e não serem eficazes. Para se registrar uma não conformidade faz-se necessário que o controle não esteja implementado, ou implementado em parte, ou não executado conforme estabelecido, por exemplo. Este tipo de exame (avaliação da eficácia) não é comum de ser realizado pelos auditores certificadores, que na prática, realizam a auditoria com foco no exame dos requisitos e no exame de conformidade. Esta etapa é mais comum de se realizar pelas auditorias internas. Entretanto, nada impede que a organização certificadora estabeleça critérios mínimos de se aferir a eficácia dos controles implementados. Esse exame é característico das auditorias do ISPS Code. Contudo, quando de um exame de conformidade, um auditor certificador poderá se defrontar com uma vulnerabilidade de um controle ou com um controle ineficaz, mesmo não sendo uma não conformidade. Contudo, nas inspeções de organismos fiscalizadores, como a CONPORTOS e CESPORTOS, tais controles poderão ser avaliados quanto a sua eficácia.
88
2.6 Auditoria do controle de acesso O controle de acesso é o processo que limita e controla o acesso, e é por meio dele que se permite ou se proíbe que pessoas e veículos tenham acesso a determinado local. Esse controle pode ser físico ou lógico.
Os controles de acesso podem ser de diversos tipos e variam de acordo com o tipo e o tamanho da organização, da disponibilidade de recursos e da decisão tomada para o controle de acesso.
Os tipos de controle de acesso mais comuns são os não automáticos (porteiros e recepcionistas), semiautomáticos (interfones, porteiros eletrônicos e porteiros eletrônicos supervisionados), automáticos (teclados, cartões, tarja magnética, magnéticos de proximidade, óticos, perfurados, leitura de barras), detecção de intrusão e monitoração de alarme (sensores33 que detectam a presença de um intruso, sistema que transmite um sinal de alarme, e equipamento e método usados para controlar e monitorar o sistema) (DANTAS, 2003, p. 94).
Suas principais aplicações são: controle de acesso em departamentos; controle de acesso em portarias e recepções; controle de veículos; automação de ponto e automação predial (CIACCIO, 2005, p.10).
De forma geral, o controle de acesso constitui uma importante barreira contra os eventos que possam vir a atentar contra a segurança de instalações, pessoas, equipamentos e sistemas. Normalmente é realizado na entrada do local de trabalho, numa área, numa sala ou dependência qualquer e baseia-se na identificação e na autorização para o acesso.
Os objetivos do controle de acesso em instalações portuárias são assegurar o acesso autorizado, bem como prevenir e evitar o acesso não autorizado e danos à instalação portuária. Além disso, um bom sistema de controle de acesso gerencia o fluxo de pessoas e veículos dentro de uma determinada área. 33 Existem ainda vários tipos de sensores: infravermelhos, microondas, ultrassons, deslocamento de imagens, fotoelétrico, de proximidade, sísmico, choque e/ou combinação dos mesmos.
89
Na área portuária, o controle de acesso é realizado em diversas etapas, iniciando-se já no acesso à área portuária de livre acesso (acesso público), passando pelas áreas de acesso controlado e indo até às áreas restritas dentro das instalações. Esse controle é executado pela segurança portuária (vigilantes ou guardas portuários) e por pessoal envolvido com procedimentos de controle de acesso, como porteiros e secretárias.
Auditar um sistema de controle de acesso implica verificar 3 aspectos: as diretrizes, as normas e os procedimentos.
As diretrizes são as regras gerais nas quais são descritos os principais critérios e procedimentos para a elaboração das normas de controle. Elas podem ser estabelecidas pela própria organização nas políticas e nos plano de segurança, ou podem ser estabelecidas por códigos de conduta, de segurança, ou ainda pelas normas de regulamentação de atividades, setores, etc. Essas diretrizes constituem os documentos-base para o exame do auditor sobre as normas e procedimentos de controle de acesso.
As normas compreendem um conjunto de regras gerais e específicas que devem ser usadas para o controle de acesso de todos os envolvidos no sistema. Como referência são as normas de controle de acesso a um complexo portuário34, a uma instalação portuária, etc.
A auditoria dessas regras deve ser pautada pelos requisitos e diretrizes do ISPS Code e da Resolução CONPORTOS 12/2003, e pelos documentos da política de controle de acesso da instalação portuária.
Os procedimentos são as orientações operacionais do controle de acesso, que são empregados pelos postos de controle de acesso público, controlado, restrito, e por setores envolvidos no sistema de controle de acesso. A auditoria de procedimentos é a operacional, a qual verificará os procedimentos de controle implementados e mantidos, para constatar a sua conformidade e avaliar a sua eficácia.
Para o sucesso dessa auditoria, faz-se necessário que o auditor tenha a compreensão do que seja um sistema de controle de acesso e a sua
34 Na área portuária, poderão ser encontradas normas de controle de acesso a um complexo portuário e normas específicas para cada instalação portuária do complexo, principalmente aquelas que estejam nas áreas de acesso controlado e restrito.
90
complexidade, para que, ao realizar a auditoria verifique o sistema nesses três aspectos35, fazendo a interligação entre eles.
Essa atitude do auditor contribuirá para a melhoria do sistema de proteção como um todo, principalmente se considerarmos que o controle de acesso é a principal barreira de proteção, uma vez que a maior parte das ameaças passa por uma vulnerabilidade no sistema de controle de acesso.
Para a execução da auditoria do controle de acesso nas instalações portuárias, seguiremos a mesma filosofia empregada para a auditoria sobre o plano de segurança portuária. Dessa forma, a auditoria se efetuará sobre dois aspectos: um para a constatação dos requisitos e diretrizes na elaboração das normas e procedimentos de controle de acesso; e outro para o exame operacional dessas medidas.
2.6.1 Exame dos requisitos do ISPS Code
O exame das normas de controle de acesso deverá atentar para o
conteúdo dessas normas, verificando se atendem aos requisitos e às diretrizes estabelecidas. Os principais documentos-base para esse exame são o ISPS Code e a Resolução CONPORTOS 12/200336. O ISPS Code (partes A e B) apresenta uma série de requisitos e diretrizes para o controle de acesso, e a Resolução 12/2003 orienta como devem ser elaboradas as normas de controle.
Essas normas de controle de acesso deverão discriminar: qual o seu propósito, como e por quem será executado o controle de acesso; quais os postos responsáveis pelo acesso; o que deverá ser feito para o cumprimento da norma; as penalidades; as disposições transitórias, e as disposições finais.
Os requisitos do ISPS Code, de modo geral, estabelecem uma orientação para que as medidas de controle de acesso sejam estabelecidas para proteger os passageiros, o pessoal do navio, o pessoal das instalações portuárias e suas visitas; as instalações portuárias; os navios que utilizam e 35 A auditoria sobre as diretrizes, as normas e os procedimentos pode ser também compreendida como auditoria do nível estratégico, tático e operacional. O estratégico abrangeria as diretrizes, requisitos e planos. O tático envolveria o exame das normas e procedimentos, na sua elaboração e conteúdo. O operacional teria com foco o desempenho das atividades de controle. 36 Caso a instalação possua algum documento aprovado da política de segurança, essa verificação também deverá abranger esse documento.
91
servem as instalações portuárias; os locais vulneráveis com relação à proteção e as áreas dentro das instalações portuárias; os sistemas e equipamentos de proteção e vigilância; as cargas e as provisões do navio contra adulterações.
De forma específica, o ISPS Code estabelece que as medidas de proteção para o manuseio de cargas devem relacionar-se com a prevenção contra a adulteração e a permanência indevida na instalação portuária; as medidas de proteção para a entrega de provisões aos navios devem assegurar a verificação das provisões do navio e da integridade das embalagens, prevenir para que as provisões do navio sejam aceitas sem nenhuma inspeção, prevenir a adulteração, prevenir para que as provisões do navio sejam aceitas a menos que tenham sido encomendadas, garantir a revista do veículo utilizado para a entrega e garantir que os veículos utilizados para a entrega sejam escoltados dentro das instalações portuárias; as medidas de proteção de bagagens desacompanhadas devem garantir a sua identificação e verificação apropriada. Essas medidas devem ser elaboradas por nível de proteção.
Dessa forma, em atendimento aos requisitos específicos do ISPS Code, apresentamos um pequeno roteiro para que o auditor possa efetuar o exame dos requisitos e diretrizes do controle de acesso, por nível de proteção.
Nível de proteção 1
O auditor deverá verificar se constam: A determinação de áreas de acesso restrito que precisam ser fechadas por cercas ou outras barreiras, de acordo com um padrão a ser aprovado pelo governo contratante. A identificação de todas as pessoas que queiram entrar nas instalações portuárias em conexão com um navio, incluindo passageiros, pessoal do navio e visitas, e a confirmação de seus motivos para tal. A identificação de veículos utilizados por aqueles que queiram entrar nas instalações portuárias em conexão com um navio. A identificação do pessoal das instalações portuárias e daqueles empregados dentro das instalações portuárias e seus veículos.
92
A restrição de acesso a fim de excluir o acesso a pessoas não-empregadas pelas instalações portuárias, ou que não estejam trabalhando nas mesmas, caso não forneçam provas de sua identidade. As revistas de pessoas, objetos pessoais, veículos e seus conteúdos. A identificação de quaisquer pontos de acesso que não sejam usados regularmente, os quais devem ser permanentemente fechados e trancados. A verificação rotineira de cargas, unidades de transporte de cargas e áreas de armazenamento de cargas dentro das instalações portuárias, antes e durante as operações de manuseio. A verificação para assegurar que as cargas que entram nas instalações portuárias estão de acordo com o que está especificado nas notas de entrega ou em documentos equivalentes da carga. As revistas de veículos e as verificações de lacres e de outros métodos utilizados para impedir violações realizadas na entrada da carga nas instalações portuárias e no seu armazenamento dentro das mesmas. As medidas para a entrega de provisões aos navios com a verificação das provisões do navio, a notificação antecipada em relação à composição da carga e informações sobre o motorista e a placa do veículo, bem como a revista do veículo utilizado para a entrega. As medidas para a verificação de todas as bagagens desacompanhadas. Nível de proteção 2
O auditor deverá verificar se constam: A designação de pessoal extra para vigiar pontos de acesso e patrulhar barreiras em perímetros. A limitação do número de pontos de acesso às instalações portuárias e a identificação daqueles que devem ser fechados e os meios para fechá-los. A provisão de meios que impeçam o movimento através dos pontos de acesso restantes. O aumento da frequência de revistas de pessoas, objetos pessoais e veículos. A limitação e a recusa de visitas que não possam apresentar um motivo verificável para ter acesso às instalações portuárias. A utilização de embarcações de patrulha para reforçar a proteção na água.
93
A verificação minuciosa das cargas, unidades de transporte de cargas e das áreas de armazenamento de cargas dentro das instalações portuárias. As verificações reforçadas para assegurar que somente cargas documentadas entrem nas instalações portuárias, sejam ali temporariamente armazenadas, e posteriormente carregadas para bordo do navio. As revistas intensificadas de veículos e o aumento na frequência e detalhes das verificações de lacres e de outros métodos usados para a prevenção de adulterações; A verificação minuciosa das provisões do navio. As revistas minuciosas dos veículos utilizados para a entrega e a coordenação com o pessoal do navio para verificar se o pedido está de acordo com a nota de entrega antes de o veículo entrar nas instalações portuárias. A escolta do veículo de entrega dentro das instalações portuárias. As medidas para verificações mediante o uso de raio-X em todas as bagagens desacompanhadas. Nível de proteção 3
O auditor deverá verificar se constam: A suspensão do acesso a todas as instalações portuárias ou a parte das mesmas; a concessão de acesso somente àqueles que estiverem respondendo a um incidente ou à ameaça de proteção. A suspensão do tráfego de pedestres ou de veículos dentro das instalações portuárias ou em parte das mesmas; O aumento das patrulhas de proteção dentro das instalações portuárias. A suspensão das operações do porto em todas as instalações portuárias ou em parte das mesmas. O direcionamento do tráfego de navios em relação a todas as instalações portuárias ou a parte das mesmas. A evacuação de todas as instalações portuárias ou de parte das mesmas. As restrição ou a suspensão de movimentação ou operações de cargas dentro de todas as instalações portuárias, ou de parte delas, ou em determinados navios. A verificação do inventário de mercadorias perigosas e de substâncias nocivas mantidas nas instalações portuárias e a sua localização.
94
A imposição de restrições ou a suspensão da entrega das provisões do navio em todas as instalações portuárias ou em parte delas. O exame mais detalhado das bagagens desacompanhadas, a suspensão do seu manuseio, e a recusa em aceitá-las.
2.6.2 Exame dos requisitos da CONPORTOS
A Resolução 12/2003 da CONPORTOS, em seu anexo III, orienta sobre como devem ser elaboradas as normas de controle de acesso e circulação de veículos e de pessoas, nas áreas de acesso público37, controlado38 ou restrito39. Nesse anexo III, são estabelecidas orientações para o controle de acesso de: pessoas (cadastramento, controle de acesso e de trânsito); veículos (cadastramento, controle de acesso, de trânsito e estacionamento); aeronaves (controle de acesso), e trens (controle de acesso). Dessa forma, apresentamos, abaixo, os principais pontos a serem verificados pelo auditor com base nessas diretrizes, na auditoria do controle de acesso.40
37 São aquelas consideradas de interesse no Plano de Segurança Pública Portuária (PSPP), onde o acesso de pessoas ou de veículos se dá sem restrições, sem necessidade de registro ou cadastramento, porém vigiadas ou monitoradas. 38 São aquelas consideradas de interesse no PSPP, onde o acesso de pessoas ou veículos se dá sem restrições, com necessidade de registro ou cadastramento. Normalmente esse acesso é a área do porto organizado. 39 São aquelas consideradas de interesse no PSPP, onde o acesso é restrito, exclusivamente, a pessoas e veículos autorizados. Normalmente, esse acesso é à zona primária. 40 Lembramos que essa auditoria deve examinar se as normas de controle de acesso foram elaboradas com base nesses requisitos, e também examinar se estão implementadas e se atendem à finalidade para qual foram estabelecidas. Por opção, apenas apresentamos um roteiro dos principais pontos a serem examinados com base nessa resolução. O auditor não deverá limitar-se a esse roteiro. Ele deverá ampliar o seu exame para a auditoria operacional do controle de acesso, cujos procedimentos deverão, no mínimo, seguir a mesma linha dos exames do plano de segurança portuária.
95
Pessoas Cadastramento Os critérios para a habilitação de pessoas ao cadastramento, e quais os dados a serem exigidos. A sistemática de obtenção do cadastramento, com os procedimentos adotados na solicitação, renovação e cancelamento, incluindo a validade da autorização de acesso. A sistemática de identificação do cadastrado para as áreas de acesso restrito, controlado ou público da instalação portuária. A sistemática de divulgação, para os cadastrados e para o público interno, dos procedimentos para o cadastramento. Acesso e Trânsito de Pessoas Os critérios adotados para o acesso e trânsito de pessoas na instalação portuária. A sistemática de controle de acesso e trânsito, com a estrutura organizacional, atribuições e responsabilidades, bem como os tipos de procedimentos adotados para a identificação, inspeção, vistoria e registro de pessoas. As bagagens transportadas; as restrições impostas pela legislação em vigor. As movimentações navio-terra, de tripulantes, profissionais não tripulantes e demais pessoas, deverão ser consideradas na verificação desse item pelo auditor. A sistemática de avaliação da eficácia dos equipamentos/sistemas de controle de acesso, com os procedimentos para a identificação e a resolução de falhas nos equipamentos/sistemas. A sistemática de divulgação dos procedimentos de controle para as pessoas que tenham acesso à instalação portuária; público interno de interesse da administração, e para os representantes de empresas e órgãos públicos que têm necessidade de ter acesso a ela. A sistemática de registro e o arquivamento dos dados e informações colhidas sobre as pessoas, por ocasião do acesso e saída da instalação portuária.
96
A sistemática de troca de informações com os diversos órgãos públicos envolvidos. Veículos Cadastramento Os critérios para a habilitação ao cadastramento de veículo e respectivo condutor, com os dados a serem exigidos. A sistemática de obtenção do cadastramento, com os procedimentos para a solicitação, renovação, cancelamento e sua validade. A sistemática de identificação para o acesso a cada área da instalação portuária (de acesso restrito, controlado ou público). A sistemática de divulgação dos procedimentos a serem adotados pelos condutores dos veículos para o acesso e circulação na instalação portuária, para os cadastrados e para o público interno. Acesso e trânsito de veículos Os critérios para o acesso e trânsito de veículos na instalação portuária. A sistemática de controle de acesso e trânsito, com a estrutura organizacional, atribuições e responsabilidades; os tipos de procedimentos para a identificação, vistoria e registro dos veículos que têm acesso às instalações, com suas respectivas cargas e pessoas que estejam no interior do veículo. A sistemática de avaliação da eficácia dos equipamentos/sistemas de controle de acesso, com os procedimentos para a identificação e a resolução de falhas nos equipamentos/sistemas. A sistemática de divulgação dos procedimentos de controle de acesso e de trânsito para os condutores dos veículos que têm acesso à instalação portuária; para o público interno e para as empresas e demais pessoas físicas e jurídicas envolvidas com o acesso de veículos à instalação portuária. A sistemática de registro e o arquivamento dos dados e informações colhidas do sistema de controle de acesso. A sistemática de troca de informações com os diversos órgãos públicos envolvidos.
97
Estacionamento de Veículos Os critérios para o estacionamento de veículos na área da instalação portuária. As áreas destinadas ao estacionamento de veículos e suas restrições de uso; o critério para a utilização; a sinalização; sua utilização e período de permanência. A sistemática de fiscalização do uso das áreas de estacionamento. A sistemática de divulgação das normas de utilização das áreas destinadas ao estacionamento de veículos. Aeronaves Sistemática de controle de movimentações por aeronave de pessoal e material na instalação portuária. Sistemática de troca de informações entre o setor de controle de operações de aeronaves e a Unidade de Segurança (US) da instalação portuária. Sistemática de registro e arquivamento de dados e informações sobre as movimentações por aeronaves de pessoal e material. Trens Sistemática de controle das movimentações de trens, ocorridas na instalação portuária. Sistemática de troca de informações entre o setor de controle de operações ferroviárias com a US da instalação portuária. Sistemática de registro e arquivamento de dados e informações colhidos sobre as movimentações de trens.
2.6.3 Exame operacional do controle de acesso Como já foi visto, a auditoria operacional ou da funcionalidade caracteriza-se pela constatação da efetividade dos controles internos, mediante vários procedimentos de auditoria. Os procedimentos básicos são os mesmos para se constatar a efetividade do plano de segurança, como, por exemplo, a observação das atividades, a aplicação de teste de conformidade,
98
a aplicação de entrevistas e questionários, a verificação e exame das medidas físicas de proteção, dentre outros.
O exame físico deve ser realizado no local da atividade, sobre toda e qualquer documentação que se referir ao controle, em todos os equipamentos utilizados para dar suporte ao controle, nas barreiras físicas, bem como nos livros de registros específicos e papéis de trabalho utilizados pelo pessoal envolvido diretamente nos controles de acesso.
A confirmação deve ser feita nas conferências das autorizações para o acesso de pessoal, veículos, prestadores de serviço e visitantes.
A observação das atividades e as entrevistas devem ser feitas diretamente com os executores das medidas de proteção, inclusive indagando lhes a respeito de possíveis situações não convencionais de tentativa de acesso não autorizado.
Os testes de conformidade devem ser realizados sobre a execução das atividades para atestar a confiabilidade e a segurança dos controles. Toda vez que uma não conformidade for encontrada, ou apareçam dúvidas quanto à eficácia do controle em análise, deve ser realizada uma investigação mais detalhada sobre os controles em foco.
A escolha da amostragem deve priorizar as não conformidades encontradas em auditorias anteriores e nas atividades onde existam maiores riscos contra a segurança da instalação portuária.
Abaixo, vamos exemplificar alguns procedimentos de controle de acesso à zona primária de um porto qualquer.
Acesso de pessoas à Zona Primária O acesso de pessoas só será permitido com uma autorização registrada na central de operações. Caso não conste o nome da pessoa na relação de pessoas autorizadas, deve-se orientá-la para aguardar a autorização e, se estiver com veículo, estacionar o mesmo de forma a não prejudicar o acesso de outros veículos enquanto aguarda. Funcionários Exigir do funcionário a identificação funcional ou a apresentação do crachá, que deverá ficar exposto e permanecer com ele.
99
No caso de o funcionário não constar no cadastro, ou tiver esquecido ou extraviado a sua identificação ou o crachá, o acesso lhe será permitido após ser confirmada a autorização de permanência no Porto, e a guarda deverá colocar o nome do funcionário numa relação específica a ser encaminhada, posteriormente, à central de operações. Veículos de funcionários Só têm acesso os veículos autorizados. Caso o veículo não esteja autorizado, deverá aguardar a autorização da central de operações. Quando o funcionário vier com pessoas estranhas, o veículo deverá ser revistado, e essas pessoas só poderão entrar quando autorizadas pela supervisão da segurança e pelo chefe do setor a que o funcionário pertence. Este último deverá assinar um termo de responsabilidade pela conduta dessas outras pessoas. Trabalhadores portuários avulsos Solicitar-lhes a apresentação da autorização ou das escalas de serviço do setor competente, e identificá-los funcionalmente ou identificá-los pelo registro no órgão gestor de mão-de-obra do trabalho portuário avulso. Revistar as bolsas e sacolas de todo trabalhador avulso e solicitar um apoio para a revista quando o número for superior a 10 trabalhadores. Inspecionar todo e qualquer veículo dos trabalhadores, solicitando que seja aberta a mala do veículo, tanto na entrada quanto na saída. Donos de mercadorias Exigir-lhes a solicitação do fiel depositário e identificá-los como sendo os proprietários da mercadoria. No caso de a pessoa a retirar a mercadoria não ser a que conste na solicitação do fiel depositário, exigir a autorização do proprietário para retirá-la. Nesse caso, manter contato com a central de operações para checar o procedimento. Veículos de carga e autônomos Verificar se o veículo está cadastrado, se o motorista está autorizado e solicitar a apresentação da autorização de
100
transporte emitido pela empresa proprietária do veículo, ou da empresa instalada no porto, ou do operador portuário. Caso não conste o nome da pessoa na relação de pessoas autorizadas, ou o veículo não esteja autorizado, manter contato com a central de operações e aguardar a orientação para a autorização, ou não. Nesse caso, orientar para estacionar o veículo de forma a não prejudicar o acesso de outros veículos.
No exame operacional do controle de acesso, o auditor além de conferir cada item de controle de acesso, deverá utilizar, no mínimo, os seguintes procedimentos de auditoria: 1- Exame físico da documentação dos procedimentos que devem constar no posto de acesso, e que servirá de suporte ao agente de segurança que ali estiver trabalhando; das barreiras de proteção e sua forma de ativação; e dos equipamentos utilizados para dar suporte ao controle, principalmente os alarmes e equipamentos de comunicação. 2- Entrevistar o vigilante usando o questionário, para identificar se o mesmo conhece as suas atividades, inclusive nas situações de emergência. 3- Confirmação com a central de operações se determinada pessoa, veículo ou carga que está acessando o complexo portuário consta de relação específica, e conferir (conferência), posteriormente, na central; repetir tal procedimento em cada situação especificada, como no exemplo acima citado. 4- Realizar investigação minuciosa para identificar o motivo da não conformidade encontrada no controle de acesso de trabalhadores avulsos. 5- Efetuar exame dos registros auxiliares (livro de ocorrências e pasta com autorizações de encarregados de setor). 6- Observar (observação) e correlacionar (correlação) as informações obtidas para obter evidências de auditoria. 2.7 Auditoria das atividades da Guarda Portuária
A Guarda Portuária desenvolve suas atividades por meio do controle de acesso, inspeção de pessoas, veículos e cargas, monitoramento e rondas
101
de segurança, bem como detecção de armas e explosivos. Essas atividades são desenvolvidas pelos postos de comando, de controle e por equipes táticas, além de atividades administrativas com relação à proteção como um todo.
O Plano Nacional de Segurança Pública nos Portos, aprovado pela Resolução CONPORTOS 002/2002, de 2 de dezembro de 2002, estabelece as seguintes competências para a Guarda Portuária41:
Promover a vigilância e a segurança no porto organizado. Na zona primária do porto organizado, a vigilância será levada a efeito com o objetivo de garantir o cumprimento da legislação que regula a entrada, a permanência, a movimentação e a saída de pessoas, veículos, unidades de carga e mercadoria; Prestar auxílio às autoridades que exerçam suas atribuições no porto, sempre que requisitada. Portanto, a Guarda Portuária deverá colaborar com os órgãos de segurança pública e demais autoridades que atuam na área portuária para a manutenção da ordem e a prevenção de ilícitos no interior daquelas instalações; Exercer o policiamento interno das instalações do porto; Zelar pela segurança, ordem, disciplina e fiel guarda dos imóveis, equipamentos, mercadorias e outros bens existentes ou depositados na área portuária, sob a responsabilidade da administração portuária; Deter, em flagrante delito, os autores de crimes ou contravenções penais e apreender os instrumentos e objetos que tiveram relação com o fato, entregando-os à autoridade competente; Registrar a ocorrência, quando constatadas atividades ilícitas, acidentes de trabalho, sinistros ou avarias em equipamentos e veículos ou atividades irregulares que venham a prejudicar o andamento das operações portuárias, mantendo a preservação do local do
41 Competências previstas, para a Guarda Portuária, no Plano Nacional de Segurança Pública nos Portos, aprovado pela Resolução 002/2002, de 2 de dezembro de 2002.
102
delito, efetuando os levantamentos preliminares e encaminhando-os à autoridade competente; Adotar as seguintes providências, quando da ausência da autoridade competente, em caso de sinistro, acidente, crime, contravenção penal ou ocorrência anormal:
Remover os feridos para o pronto-socorro ou hospital, comunicando, de imediato, ao setor de segurança do trabalho; Isolar o local para a realização de verificação e perícias, sempre que possível sem a paralisação das atividades portuárias; Acionar o grupo de combate a incêndio, sempre que necessário.
Buscar a integração dos órgãos que compõem a CESPORTOS, para uma ação mais coordenada na prevenção e repressão aos atos ilícitos.
A missão42 da Guarda/Vigilância Portuária é a de executar todas as
atividades de proteção de modo a garantir a segurança patrimonial das instalações portuárias e promover a sensação de segurança no ambiente portuário. A sua principal responsabilidade, no desempenho dessa missão, é assegurar que todas as tarefas relativas à proteção das instalações portuárias estejam em conformidade com os Planos Nacional de Segurança Pública Portuária e de Segurança da Instalação, e com o ISPS Code.
Para que isso possa ocorrer, a guarda portuária tem seus procedimentos definidos. Eles variam de acordo com o nível de atividade, que pode ser desde uma simples checagem para acesso, até as ações contingenciais para o isolamento de local em casos mais graves de ameaças à proteção da instalação portuária.
Nesse contexto, a auditoria tem como foco principal examinar essas atividades, de modo a certificar-se de que a guarda portuária está agindo de
42 Essa missão não é institucional, nem está estabelecida em regulamento. Contudo, entendemos ser essa a missão de um serviço de vigilância na área portuária, mais próximo do contexto internacional de proteção.
103
acordo com os procedimentos estabelecidos, e de que os controles estabelecidos são eficazes.
É uma auditoria operacional, executada no local da atividade, a qual exige bastante atenção do auditor na observação das atividades, na aplicação de questionários e na forma de execução de procedimentos contingenciais.
O ponto de partida é a reunião dos documentos que estabelecem a missão, objetivos e procedimentos da guarda portuária para cada tipo de situação, atividade e posto de controle. Em seguida, deve procurar obter informações sobre as principais atividades da instalação e os problemas mais relevantes com relação às atividades da guarda portuária (queixas de funcionários e queixas dos guardas), e verificar os registros nos relatórios de auditorias passadas e nos livros de registros de ocorrências. De posse dessas informações, deve elaborar suas listas de verificações e partir para o exame.
Para ilustrar o exame das atividades da guarda portuária, apresentamos, abaixo, um exemplo de procedimentos para a atividade de controle em uma área de acesso restrito de uma instalação portuária.43
No nosso exemplo, os procedimentos estão especificados por posto de controle para acesso a um terminal portuário, aqui identificado como TP-12, onde constam: a localização do posto, suas metas, os procedimentos gerais e os específicos. Chamamos a atenção para que o auditor certifique se a guarda portuária possui missão e objetivos definidos, que nesses casos deverão ser incluídos nos itens de verificação para cada posto de controle ou atividade específica de vigilância.
Procedimentos do posto de controle de acesso ao terminal portuário TP-12 Localização Localiza-se na Zona Primária (ZP), próximo ao acesso ao Cais Interno (CI), e a sua área de atuação é toda a guarita do posto e mais uma distância de 150 metros da entrada e da saída do posto. Metas do posto Identificar e controlar o acesso (entrada e saída) de todas as pessoas, veículos e cargas que passarem pelo posto.
43 Adaptado de um caso real.
104
Manter a ordem e a segurança na área de seu posto. Procedimentos gerais Assumir o posto. Permanecer atento e observar tudo, no campo de visão e de audição do seu posto. Solicitar ajuda em qualquer suspeita de invasão. Receber, obedecer e passar ao seu rendeiro todas as ordens do chefe do setor e registrá-las no livro de ocorrências. Ter sempre ao seu alcance os telefones e os procedimentos de emergência. Telefonar para o chefe de segurança em qualquer caso que não esteja previsto nas instruções gerais e específicas. Estar especialmente atento, à noite, e não permitir a entrada de ninguém sem a autorização necessária. Conferir todo e qualquer serviço a ser executado dentro e fora do expediente, na área restrita, verificando quem o solicitou, se ainda permanece a necessidade do serviço, as credenciais de todos que irão executá-lo e informar a equipe tática para monitorar o deslocamento e o serviço. Fiscalizar veículos, tanto na entrada como na saída. Só deixar o posto quando devidamente rendido (substituído), ou quando autorizado pessoalmente pela supervisão. Procedimentos específicos Acesso de pessoas à Zona Primária O acesso de pessoas só será permitido com uma autorização registrada na central de operações. Caso não conste o nome da pessoa na relação de pessoas autorizadas, orientá-la para aguardar a autorização e, se estiver com veículo, estacionar o mesmo de forma a não prejudicar o acesso de outros veículos, enquanto aguarda a autorização. Funcionários Exigir do funcionário a identificação funcional ou a apresentação do crachá, que deverá ficar exposto e permanecer com ele.
105
No caso de o funcionário não constar no cadastro, ou tiver esquecido ou extraviado a sua identificação, o acesso lhe será permitido após ser confirmada a sua autorização de permanência no Porto, e a guarda deverá colocar o nome do funcionário numa relação específica a ser encaminhada, posteriormente, à central de operações. Veículos de funcionários Só têm acesso os veículos autorizados. Caso o veículo não esteja autorizado, deverá aguardar a autorização da central de operações. Quando o funcionário vier com pessoas estranhas, o veículo deverá ser revistado, e essas pessoas só poderão entrar quando autorizadas pela supervisão da segurança e pelo chefe do setor a que o funcionário pertence. Este último deverá assinar um termo de responsabilidade pela conduta dessas outras pessoas. Trabalhadores portuários avulsos Solicitar-lhes a apresentação da autorização ou das escalas de serviço do setor competente, e identificá-los funcionalmente ou identificá-los pelo registro no órgão gestor de mão-de-obra do trabalho portuário avulso. Revistar as bolsas e sacolas de todo trabalhador avulso e solicitar um apoio para a revista, quando o número for superior a 10 trabalhadores. Inspecionar todo e qualquer veículo dos trabalhadores, solicitando que seja aberta a mala do veículo, tanto na entrada quanto na saída. Tripulantes e oficiais das embarcações atracadas ou fundeadas Identificar se os nomes deles constam da lista de tripulantes, conferindo-os com a central de operações. No caso de mais de cinco tripulantes desejarem entrar, deve pedir apoio à central de operações para monitorar o deslocamento até a embarcação. Inspecionar todo e qualquer veículo que conduza essas pessoas, solicitando que seja aberta a mala do veículo, tanto na entrada quanto na saída, estabelecer um tempo
106
para a permanência do veículo no local e informar a central de operações para monitorá-lo. Empregados e representantes de empresas “Operadores Portuários” e profissionais liberais, visitantes, empregados, representantes de empresas contratadas ou prestadores de serviços de empresas instaladas na Zona Primária do Porto Manter contato com a central de operações para conferir a autorização. Caso não conste o nome da pessoa na relação de pessoas autorizadas, orientá-la para aguardar a autorização e, se estiver com veículo, estacionar o mesmo de forma a não prejudicar o acesso de outros veículos, enquanto aguarda a autorização. Inspecionar todo e qualquer veículo que conduza essas pessoas, solicitando que seja aberta a mala do veículo, tanto na entrada quanto na saída, estabelecer um tempo para a permanência do veículo no local e informar a central de operações para monitorá-lo. Donos de mercadorias Exigir a solicitação do fiel depositário e identificá-lo como sendo o proprietário da mercadoria. No caso de a pessoa a retirar a mercadoria não ser a que conste na solicitação do fiel depositário, exigir a autorização do proprietário para retirá-la. Nesse caso, manter contato com a central de operações para conferir o procedimento. Veículos de carga e autônomos Verificar se o veículo está cadastrado, se o motorista está autorizado e solicitar a apresentação da autorização de transporte emitida pela empresa proprietária do veículo, ou da empresa instalada no porto, ou do operador portuário. Caso não conste o nome da pessoa na relação de pessoas autorizadas, ou o veículo não esteja autorizado, manter contato com a central de operações e aguardar a orientação para a autorização ou não. Nesse caso, orientar
107
a pessoa para estacionar o veículo de forma a não prejudicar o acesso de outros veículos. Passageiros e tripulantes de veículos de transporte coletivo Verificar se o veículo está cadastrado e se os passageiros estão autorizados. Caso não haja autorização, ou surgir algum outro problema de identificação, manter contato com a central de operações e pedir prioridade para resolver a pendência. Nesse caso, orientar para o motorista estacionar o veículo de forma a não prejudicar o acesso de outros veículos. Determinar o local no qual o veículo ficará estacionado. Mercadorias Exigir a apresentação do documento fiscal, tanto na entrada quanto na saída.
No exemplo acima, o auditor, além de checar cada item do controle de acesso, deverá utilizar, no mínimo, os seguintes procedimentos de auditoria: Exame físico da documentação dos procedimentos que devem constar no posto de acesso e dos equipamentos utilizados para o exercício das atividades, principalmente os alarmes e os equipamentos de comunicação. Entrevistar o vigilante usando o questionário, para identificar se o mesmo conhece a sua missão, objetivos, atividades e procedimentos, inclusive nas situações de emergência. Observar as atividades para certificar se o guarda portuário exerce essas atividades conforme os procedimentos estabelecidos. Nesses casos, faz-se necessária a confirmação da central de operações que dirá se, durante o período de exame, a pessoa, veículo ou carga que teve acesso ao terminal, possuía autorização.
Realizar investigação minuciosa para identificar o motivo da não conformidade encontrada no controle de acesso.
Efetuar exame dos registros auxiliares (livro de ocorrências e pasta com as autorizações de encarregados de setor).
Observar (observação) e correlacionar (correlação) as informações obtidas para obter evidências de auditoria.
108
109
3 AUDITORIAS ESPECIAIS EM INSTALAÇÕES PORTUÁRIAS
Os pilares de um sistema de proteção são as normas e procedimentos, os recursos humanos e a tecnologia, os quais sustentam um complexo conjunto de ações destinadas à manutenção da continuidade dos negócios, mediante a prevenção, detecção, resposta e recuperação de eventos danosos à segurança da organização.
Esses eventos (riscos) são avaliados pela sua probabilidade e impacto, e hierarquizados pela sua criticidade. Toda essa estrutura conduz a ações estratégicas, táticas e operacionais, que são materializadas em um grande sistema de proteção.
Esse sistema submete-se a critérios para alcançar determinado padrão de eficácia, cuja manutenção é um grande desafio, face às mutações do ambiente de negócios e do contexto de segurança do Estado. A garantia do padrão de qualidade depende de ações de manutenção, análise, avaliação e exame dos controles.
Dentre essas ações, destaca-se a auditoria, que se apresenta como a ferramenta para atingir os objetivos do tão almejado padrão internacional de proteção para as instalações portuárias.
Como já foi apresentado, as auditorias básicas em instalações portuárias são as auditorias para o exame da avaliação de risco, do plano de segurança, do controle de acesso e das atividades da guarda portuária.
Essas auditorias são fundamentais para a obtenção e manutenção da certificação internacional de proteção. Contudo, o desafio da manutenção desse padrão internacional é contínuo e requer outros tipos de auditorias, que são denominadas especiais, pois pela sua finalidade adquirem uma qualidade indispensável nesse árduo caminho.
As auditorias especiais detêm um grande potencial na colaboração para a melhoria da gestão do sistema de proteção, por atuar sobre áreas que demandam vigilância permanente. Essas áreas dizem respeito aos controles, aos riscos e aos prestadores de serviço de segurança.
Todas essas áreas devem ser inspecionadas, monitoradas e avaliadas por essas auditorias especiais, que devem ser direcionadas para a análise GAP,
110
para o controle de riscos e para o exame dos fornecedores de serviços de vigilância portuária.
Com base nessa premissa, este capítulo apresenta três outros tipos de auditorias especiais, para que a comunidade da segurança portuária possa empregá-los em benefício da eficácia do sistema de proteção como um todo. 3.1 Auditoria para a análise GAP
A análise GAP44 é um exame que objetiva verificar o nível de proteção atual e compará-lo com o nível de proteção ideal (planejado). É uma análise para saber o quanto se está distante do objetivo, ou seja, o quanto falta para alcançar o padrão estabelecido.
O objetivo específico dessa auditoria é realizar uma análise dos controles existentes, comparando-os com o padrão estabelecido, para avaliar o nível de controle e atestar a sua conformidade (ou grau de conformidade), ou demandar medidas de eliminação da lacuna existente.
A auditoria para a análise GAP pode ser realizada tendo como base os controles propriamente ditos, ou utilizando-se um modelo de maturidade de controles com níveis previamente estabelecidos.
A análise GAP que se baseia nos controles aplicáveis é realizada sobre as normas de referência, verificando os itens dessas normas e comparando-os com os controles implementados.
Nessa verificação, o auditor deverá relacionar os controles implementados, por domínio, e confrontá-los com os da norma, analisando-os para ver se atendem, não atendem, ou atendem com ressalvas, especificando nas observações quais os motivos da não conformidade com o padrão estabelecido, e sugerindo medidas que poderão ser adotadas para atingir o objetivo de controle, ou seja, as ações para suprir a lacuna entre o real (controles implementados) e o padrão estabelecido. Nesse tipo de análise, a aplicação dos testes sobre os controles é de fundamental importância.
Na análise baseada em níveis de controle, é realizado o exame sobre uma classificação de referência, no qual é verificado em qual estágio de 44 O termo Gap vem do inglês e significa fenda, abertura, brecha, intervalo. Análise GAP é uma análise que objetiva fechar a brecha da segurança. Esse é o significado que desejamos ao
111
controle se encontra a organização em determinado setor, área, atividade, etc. Essa classificação de referência apresenta estágios para a mensuração do nível de controle, e a ela pode ser dado o nome de nível de maturidade, ou modelo de maturidade.
A utilização de um modelo de maturidade mostra à organização como ela está em relação à confiabilidade de seus controles, fornecendo-lhe uma visão geral da avaliação dos controles. Esse modelo deve ser estabelecido pela organização, ou adotado por ela.
Uma dificuldade que pode ser encontrada no exame que utiliza níveis de maturidade, tem relação com o critério para o estabelecimento da quantidade de níveis e com a forma de sua classificação por parte da instalação portuária, ou seja, qual o critério utilizado para a parametrização do estabelecimento do modelo adotado pela instalação portuária.
Na ausência de um modelo estabelecido, e desejando-se realizar o exame nesse parâmetro, o auditor deverá utilizar um modelo de maturidade amplamente confiável no mercado, e aceito pela instalação portuária, ou fundamentar o motivo da sua utilização.
O IT Governance Institute (ITGI), por meio do Control Objectives for Information and related Technology45 (COBIT®), apresenta um modelo de maturidade46 dividido em 5 (cinco) níveis: não-existente, inicial, repetível, definido, gerenciável e otimizado (COBIT 4.1, 2007).
O modelo genérico de maturidade COBIT é assim definido47: Nível 0 (Não existente): inexistência de controles e procedimentos. O gerenciamento de processos não é aplicado por toda a organização. Nível 1 (Inicial): os controles não são padronizados e são aplicados caso-a-caso, por conhecimento individual ou por alguns membros da organização. Existe o reconhecimento da necessidade de controles, e o gerenciamento é desorganizado.
empregar o termo “Análise GAP”. 45 O COBIT é uma estrutura de trabalho desenvolvida para o gerenciamento de TI, com foco no controle. As boas práticas do COBIT são um consenso entre os especialistas de todo o mundo. Essas práticas são focadas mais nos controles e menos na execução. 46 A abordagem do modelo de maturidade do COBIT é derivada do modelo de maturidade do Software Engineering Institute. 47 Tradução e adaptação feita pelo autor.
112
Nível 2 (Repetível): os processos são desenvolvidos para o estágio em que procedimentos semelhantes são empregados para uma mesma tarefa. Não existem treinamentos formais e não existe comunicação dos procedimentos-padrão. Existe um alto grau de confiança no conhecimento individual. Erros são prováveis. Nível 3 (Definido): os processos, documentados e padronizados, são comunicados por meio de treinamentos. Os processos não são sofisticados, mas existem práticas.É improvável que desvios sejam detectados. Nível 4 (Gerenciado): os processos são monitorados e mensuráveis. É possível avaliar a conformidade e adotar ações para melhorar a eficácia. Os processos estão em constante melhoria e fornecem boas práticas. Ferramentas e automação são utilizadas de modo fragmentado. Nível 5 (Otimizado): os processos são definidos no nível de boas práticas, baseados nos resultados, na melhoria contínua e no modelo de maturidade, com outros empreendimentos. A tecnologia da informação é utilizada de forma integrada para a automação do fluxo de trabalho, fornecendo ferramentas que levam a melhoria da qualidade e eficácia e tornam o negócio facilmente adaptável. Abaixo reproduzimos o modelo de maturidade para controle interno apresentado no COBIT (COBIT 4.1, P.175). Tabela: Modelo de maturidade para controle interno48
Nível de maturidade
Status do ambiente de controle Controles internos
0 (Não existente)
Não existe reconhecimento da necessidade de controle interno. Controle não faz parte da cultura e missão da organização. Existe alto risco de incidentes.
Não existe a intenção de avaliar a necessidade de controle interno. Os incidentes são lidados como surgem.
1 (Inicial / Ad hoc)
Existe algum reconhecimento da necessidade de controle interno. A abordagem do risco e requisitos de controle é desorganizada, sem
Não existe conhecimento da necessidade de avaliar o que é necessário em termos de controle. Quando desenvolvido, é ad hoc (apenas para caso específico), e na
48 Tradução efetuada pelo autor.
113
comunicação e monitoramento. Deficiências não são identificadas. Funcionários não têm conhecimento de suas responsabilidades.
reação a incidentes significantes de alto nível. Avaliação endereçada apenas para o incidente atual.
2 (Repetível/ intuitivo)
Existem controles, mas não são documentados. Sua operação depende do conhecimento e motivação individual. Sua eficácia não é adequadamente avaliada. Existe muita vulnerabilidade nos controles e eles não são adequadamente endereçados. O impacto pode ser severo. O gerenciamento das ações para questões de controle não é priorizado ou consistente. Os funcionários não conhecem as suas responsabilidades.
Necessidade de avaliar o controle ocorre apenas quando da necessidade de selecionar processos para determinar o nível atual de maturidade, o nível a ser alcançado e a lacuna (GAP) existente. Workshop informal com gerentes e a equipe envolvida no processo é utilizada para definir uma adequada abordagem dos controles para o processo, e para motivar a agregação da ação ao plano de ação.
3 (Processo definido)
Controles estão implementados e documentados. A eficácia da operação é avaliada periodicamente, e existe uma média numérica e questões. Entretanto, a avaliação do processo não é documentada. O gerenciamento é capaz para lidar com mais casos de controle; contudo, algumas vulnerabilidades de controle persistem e os impactos podem ser severos. Empregados conhecem suas responsabilidades para controles.
Os processos críticos são identificados com base nos riscos. Uma análise detalhada é desenvolvida para identificar os requisitos de controle, a causa da lacuna e desenvolver a melhoria e as oportunidades. Ferramentas e entrevistas são utilizadas, em workshop, para dar suporte à análise e garantir a avaliação e a melhoria dos processos.
4 (Gerenciado e mensurável)
Existe um controle interno efetivo e um ambiente de gerenciamento de risco. Uma avaliação formal e documentada ocorre frequentemente. Muitos controles são automatizados e revisados regularmente. O
A criticidade dos processos é definida com o apoio e adesão dos encarregados pelos principais processos de negócios. A avaliação dos requisitos de controle é baseada na política e maturidade atual dos processos, seguindo uma análise que
114
gerenciamento é capaz de detectar muitas questões de controle, mas nem todas as questões são rotineiramente identificadas. Existe uma abordagem consistente para identificar as vulnerabilidades nos controles. Uso limitado da tecnologia para a automação dos controles.
envolve os principais acionistas. O registro dessas avaliações é claro e obrigatório. A melhoria das estratégias é apoiada em casos de negócios. Desempenho e realização são apoiados nos resultados e monitorados constantemente. O exame por controles externos é organizado ocasionalmente.
5 (Otimizado)
Uma ampla estrutura de risco e programa de controle fornece contínuo e efetivo controle e resolução de questões de risco. Os controles internos e o gerenciamento de risco são integrados com uma estrutura prática, apoiado no monitoramento automatizado, em tempo real, com o registro completo do monitoramento do controle, do gerenciamento de risco e da conformidade do cumprimento. A avaliação do controle é contínua, baseada na autoavaliação, na lacuna existente e na análise da raiz do problema. Os funcionários agem proativamente e estão envolvidos na melhoria dos controles.
Mudanças dos negócios consideram a criticidade dos processos e cobrem qualquer necessidade para reavaliar a capacidade do processo de controle. Os encarregados pelos processos desenvolvem autoavaliações regularmente, para confirmar que os controles estão no nível de maturidade correto e reunir as necessidades de negócios, e eles consideram os atributos da maturidade como a forma de identificar o controle mais eficiente e eficaz. A organização realiza benchmark com as melhores práticas externas e mantém o controle interno eficaz. Revisões independentes são realizadas nos processos críticos, para garantir que os controles forneçam o nível de maturidade desejado, conforme o que foi planejado para o trabalho.
Ao realizar o exame utilizando o modelo de maturidade, o auditor deve observar todos os controles estabelecidos para a atividade e classificá-los de acordo com o nível encontrado. Trata-se de um método mais simples, mas que serve para dar uma ampla visibilidade à avaliação dos controles, de como está a lacuna entre o real e o padrão estabelecido, e assim delinear o planejamento das ações para melhorar o sistema de proteção.
115
A utilização do modelo de maturidade para a análise GAP não representa que o padrão ideal seja sempre o último nível, pois pode ocorrer que o padrão de controle para determinado setor ou atividade esteja estabelecido num nível intermediário de maturidade, como, por exemplo, o nível 4.
Conforme foi visto, a auditoria para a análise GAP é um tipo de auditoria especial que tem um grande potencial para agregar valor aos negócios corporativos, uma vez que constitui uma ferramenta de avaliação, controle e monitoramento das medidas de proteção de instalações portuárias, para conformidade com o padrão adotado pela Organização Marítima Internacional (IMO).
3.2 Auditoria em fornecedores
Como sabemos, cada vez mais cresce a terceirização de atividades como manutenção, TI e segurança, por serem atividades especializadas. E o setor portuário não difere dessa tendência da terceirização, principalmente com relação à segurança.
Em recente investigação realizada pela ONG Observatório Social, foi verificado que um pequeno fornecedor de matéria-prima utilizava mão-de-obra infantil, o que implicou o envolvimento de empresas como Basf, Faber-Castel e Tintas Coral, por utilizar esse tipo de mão-de-obra na sua cadeia produtiva. (HERZOG, 2005, p. 84-86).
É certo que essas empresas não utilizavam crianças na sua produção propriamente dita, mas tal fato trouxe grande preocupação para os seus dirigentes e acionistas. Todas essas empresas monitoravam via satélite seus fornecedores, e o processo seletivo desses fornecedores obedecia a critérios de qualidade e segurança nos processos. Contudo, não realizavam auditorias para a certificação de conformidade desses critérios.
É compreensível que empresas com muitos fornecedores deixem de realizar auditorias neles por ser muito dispendioso, pois podem elevar o custo da produção, tornando-os até proibitivos. Entretanto, o que deve ser feito é o estabelecimento de critérios para auditar os fornecedores que têm relação com os principais processos de negócios e com seu envolvimento direto nas
116
medidas mitigadoras dos riscos, bem como influência no impacto da concretização de um risco.
No contexto do ISPS Code, a manutenção do padrão de segurança exigido pela Organização Marítima Internacional demanda uma atenção especial para com os fornecedores. Nesse sentido, deve ser dispensada especial vigilância às empresas terceirizadas prestadoras de serviço de segurança, que fornecem pessoal e equipamentos para a proteção das instalações portuárias.
Os vigilantes são funcionários das empresas de segurança privada, que desempenham essas atividades específicas de proteção. São eles que realizam o controle de acesso às instalações portuárias, efetuam rondas em áreas internas e externas, revistam pessoas, veículos e cargas, monitoram o movimento por uma central eletrônica, dentre outras atividades que lhes são inerentes. São pessoas que possuem formação e treinamento específicos como condição para o exercício da profissão. E essas qualidades tornam esse tipo de serviço cada vez mais especializado e procurado.
Por outro lado, as instalações portuárias necessitam do serviço desses profissionais pela sua conhecida qualidade e especialidade, bem como para garantir o cumprimento de requisitos do padrão de segurança estabelecido. Nesse contexto, faz-se necessária uma atenção específica sobre esses funcionários contratados para prestar serviços de segurança.
Essa atenção não pode ser restrita à fiscalização, monitoramento e controle das atividades desenvolvidas pelo vigilante. Deve também alcançar a fiscalização e o controle das empresas prestadoras desse serviço, o que deve ser feito mediante auditorias especiais, realizadas pela instalação portuária ou em seu nome, para verificar os aspectos fundamentais da prestação desse serviço.
Essas auditorias se justificam pelo fato de o vigilante ser um dos elementos principais (se não o principal) que interferem diretamente no cumprimento dos controles estabelecidos para a segurança portuária. É ele o responsável direto pelo cumprimento das normas em situações usuais e adversas, o que exige dele qualidades específicas em relação aos outros integrantes do RH, pois uma falha sua poderá interromper as atividades e provocar um grande prejuízo, não só à instalação portuária em que serve mas também a todo um complexo portuário.
117
Por essas peculiaridades da área portuária, é que não só devem ser fiscalizados os exercícios das atividades, como também os critérios de seleção, e treinamento, dentre outros, para que se possa elevar o nível de qualidade desse serviço.
Um detalhe que desperta a atenção para a necessidade dessas auditorias é que os contratos nesse segmento são contratos muito significativos pelo seu valor, e bastante concorridos.
A experiência tem demonstrado que, na prática, quando uma empresa é vencedora da disputa por um contrato desses, ela geralmente aproveita o efetivo da substituída, trocando a farda e dando algumas orientações sobre os procedimentos da empresa. Além disso, também, é comum remanejar vigilantes de outros setores (bancos, lojas, condomínios, etc.) para uma atividade numa área muito específica, que é a portuária.
Nesse contexto, entendemos ser necessário um controle mais específico e pontual sobre os vigilantes e suas empresas, pois sabemos o quanto é vulnerável fiscalizar apenas o exercício da atividade, sem o exame dos critérios estabelecidos para a profissão e a sua constante capacitação.
O foco dessa auditoria deve recair sobre os critérios de contratação do pessoal, incluindo-se aí o perfil desejado, os tipos de testes efetuados para a seleção e o acesso à documentação, o curso de formação e a programação da educação continuada, para que se possa ter um profissional que atenda às exigências das normas que regulamentam a profissão e que atendam, igualmente, às exigências internacionais de proteção da instalação portuária.
O requisito fundamental para a realização dessas auditorias é a sua previsão no contrato feito entre a instalação portuária e a empresa prestadora do serviço. No contrato, cláusulas específicas devem dedicar-se à auditoria, sua periodicidade, os principais objetivos de controle e suas penalidades, devendo ser ponto de quebra de contrato a não adoção de medidas saneadoras das irregularidades encontradas pelas auditorias.
Essa cláusula específica gerará uma expectativa de melhoria contínua nesses serviços, uma vez que as empresas prestadoras estarão mais atentas a essas exigências, de modo a manter a conformidade no cumprimento do contrato.
A necessidade de cláusula específica é para que haja uma seleção natural entre as empresas concorrentes, para que apenas empresas sérias e
118
comprometidas com a segurança portuária venham a participar dessas concorrências.
Contudo, existe a necessidade de se identificar o que deve ser auditado e os procedimentos de auditoria, para que não ocorra um excesso por parte do auditor, e para que o seu exame seja limitado apenas às questões relativas ao seu contrato, uma vez que essas empresas podem possuir outros contratos.
Nesse sentido, essas auditorias devem estar direcionadas para a verificação da conformidade da empresa com as exigências de seu funcionamento, para o exame da seleção, contratação, treinamento e reciclagem do vigilante.
Essas auditorias devem ser periódicas. A primeira deve ser realizada quando do início da prestação do serviço na instalação portuária. Também devem ser incluídos em cláusula contratuais alguns indicadores para a realização dessas auditorias.
As empresas de vigilância e suas atividades são regulamentadas pelas Leis de números 7.102, de 20/06/83; 8.863, de 20/03/94 e 9.017, de 30/03/1995, e pela Portaria 387, de 03/10/2006, do Departamento de Polícia Federal do Ministério da Justiça.
A verificação da conformidade quanto a esses instrumentos reguladores é o ponto de partida, e pode ser atestada mediante a exigência de certidão fornecida pelo órgão específico da fiscalização. Nessa constatação, o auditor deverá atentar para as datas de expedição e validade, dados da empresa, conferindo as informações com a Delegacia de Controle de Segurança Privada, da Polícia Federal.
Depois, o auditor deverá direcionar o seu exame para as seguintes áreas: seleção, formação e reciclagem, que são as principais áreas de exame do auditor, pois o foco está sobre o vigilante e a forma como a empresa o contrata, assim como se mantém o programa de educação continuada. Seleção
Para ser um vigilante, é necessário ser maior de 21 anos, ter a 4a série primária concluída, possuir carteira de trabalho, não ter antecedentes criminais, e possuir o curso de formação de vigilantes, que é realizado por empresas específicas de formação de vigilantes.
119
Além dessas exigências, o candidato a vigilante realiza um exame de saúde física e mental e um exame psicotécnico, sem os quais não poderá frequentar o curso de formação.
Além desses requisitos, o auditor deverá verificar quais os critérios estabelecidos pela empresa para contratar vigilantes, e se a empresa possui um perfil definido para o exercício de atividades no setor portuário.
Durante seu exame, o auditor deverá verificar essas exigências para a seleção, checando toda a documentação que deve, também, incluir as certidões de antecedentes criminais nas esferas estadual, federal e militar, bem como a certidão criminal eleitoral.
Formação e reciclagem
O curso de formação de vigilantes é regulamentado pela Portaria MJ 387, de 03/10/2006. É um curso com 160 h/a, cuja média mínima de aprovação é cinco, com validade de 2 anos. A reciclagem do vigilante é obrigatória e deve ser realizada a cada 2 anos por empresa especializada em formar e reciclar vigilantes. O curso de reciclagem possui uma carga horária de 30 h/a.
A verificação da documentação dos cursos deve ser feita nos arquivos, ou na conferência dos diplomas que são atestados pela Polícia Federal. Ali poderão ser encontrados os relatórios que as empresas de vigilantes e de formação de vigilantes enviam, periodicamente, com informações sobre efetivo, armas, demitidos e admitidos e reciclagem de seus funcionários.
É recomendável a aplicação de questionários ou a realização de entrevistas com vigilantes para confirmar a realização desses cursos e a sua periodicidade. Nessa entrevista, o auditor poderá incluir perguntas específicas para constatar se o vigilante foi capacitado para exercer atividades no setor portuário.
Com relação às empresas de formação e reciclagem de vigilantes, entendemos que não se pode incluir em cláusula contratual a previsão de auditorias nessas empresas, uma vez que não são partes integrantes da relação contratual, a não ser que a própria empresa possua um centro de capacitação e formação própria. Sabemos que a qualidade da formação depende, em grande parte da qualidade do serviço dessas empresas, e que esses cursos podem ser ministrados de forma negligente e/ou fraudulenta.
120
Dessa forma, é fundamental que o auditor solicite ao órgão fiscalizador dessas empresas o tempo de atividade e a posição da regularidade delas quanto a esses serviços de formação e capacitação, a fim de atestar a credibilidade dos certificados emitidos e avaliar se os vigilantes necessitam de uma nova reciclagem, ou não.
Nos casos de evidência de fraudes e fragilidades na formação e reciclagem, o auditor deverá aplicar testes de conformidade, tentar localizar a empresa para averiguar o seu funcionamento, e fundamentar o seu parecer juntando cópias da documentação do órgão fiscalizador e outros documentos, e solicitando a atenção específica para a realização de novo treinamento.
Como podemos concluir, a realização dessas auditorias em empresas terceirizadas são indispensáveis para poderem contribuir no sistema integrado de proteção e no gerenciamento de riscos, mantendo-as em sintonia com os requisitos do padrão internacional de proteção para as instalações portuárias. 3.3 Auditoria para controle de riscos
Em cenário de incertezas, as ameaças e oportunidades têm o potencial de produzir perdas ou aumentar os resultados, desde que seja possível gerir melhor as incertezas e seus riscos, gerando valor ao otimizar as suas oportunidades. Dessa forma empresas estabelecem estratégias para os objetivos de crescimento e de controle sobre os riscos, em busca da maximização de seus resultados.
Na comunidade da segurança corporativa, os riscos49 são compreendidos como condições que criam ou aumentam o potencial de
49 A norma ISO/IEC Guide 73:2002 define risco como a combinação da probabilidade de um evento e suas consequências. A probabilidade associada a um evento é calculada para determinado período de tempo, e é definida como um número real na escala de 0 a 1, associado a um evento aleatório, que pode estar relacionado a uma frequência de ocorrência relativa de longo prazo ou a um grau de confiança de que um evento irá ocorrer. Para um alto grau de confiança, a probabilidade é próxima de 1. Por evento deve ser entendida a ocorrência de um conjunto particular de circunstâncias, podendo ser uma única ocorrência ou uma série delas. A probabilidade associada a um evento pode ser estimada por um dado período de tempo. A consequência deve ser entendida como o resultado de um evento.
121
perdas. Esse potencial é medido pela possibilidade de um evento vir a acontecer e produzir perdas reais. Tais eventos estão dentro do campo da possibilidade de uma ameaça vir a se concretizar.
Segundo estudo realizado pela Deloitte (2005), 80% das companhias que sofreram grandes perdas50 foram expostas a mais de um tipo de risco, e muitas delas falharam ao gerenciar a relação entre esses vários tipos de risco.
Esse estudo apontou a necessidade de as companhias implementarem um gerenciamento de riscos integrado, com a finalidade de gerenciar as interdependências entre todos os riscos da empresa, uma vez que a maioria das ações de tratamento de riscos, adotadas pelas empresas, são direcionadas para os riscos estratégicos, o que pode aumentar a exposição de outros tipos de risco como o operacional e o financeiro.
Em recente pesquisa realizada pela Ernst & Young com 400 executivos em 16 países, 67% deles afirmaram que o nível de risco aumentou nos últimos dois anos, e 42% admitiram que as estratégias para o gerenciamento de risco de suas companhias estavam repletas de flancos (HERZOG, 2005, p. 84-86). Nesse contexto, a gestão de riscos assume um importante papel nas corporações como um todo, ao permitir que elas, cada vez mais, possam reduzir as suas incertezas, prevenindo e reduzindo perdas, assegurando uma gestão eficaz e eficiente sobre seus riscos.
O gerenciamento de riscos51 compreende as atividades coordenadas para dirigir e controlar a organização em relação aos riscos, e envolve o conjunto de elementos do sistema de gerenciamento da organização em relação à gestão de riscos. Esses elementos incluem o planejamento estratégico, os tomadores de decisões, e outros processos que lidam com riscos (ISO/IEC Guide 73:2002). Trata-se de um processo contínuo, que envolve todos os setores da corporação, e deve estar alinhado com o planejamento estratégico, de modo a facilitar o alcance das metas e minimizar as surpresas e eventuais perdas.
Por sua vez, as instalações portuárias, em atenção aos preceitos do ISPS Code realizam avaliações de proteção com base em riscos como condição
50 Essa pesquisa analisou as maiores quedas no preço das ações das 1000 maiores companhias internacionais do mercado de valor, entre 1994 e 2003. 51 De acordo com a ISO/IEC Guide 73:2002, o gerenciamento de riscos envolve as seguintes etapas: avaliação de riscos, tratamento do risco, a aceitação do risco e a comunicação do risco.
122
para a elaboração dos seus planos de segurança portuária. Essas avaliações culminam nas medidas para o tratamento do risco.
Os objetivos do tratamento de riscos52 são eliminar os riscos que podem ser eliminados, baixar o nível dos riscos que não podem ser eliminados para um nível menor e com o mínimo de danos para a organização, e transferir o risco, ou parte desse risco, que não pode ser tratado.
As ações para evitar o risco, como a enunciação já sugere, são todas as medidas adotadas para evitar que um risco venha a ser concretizado, e essas medidas estão representadas nas políticas e procedimentos da organização.
A otimização do risco é o processo que envolve as medidas destinadas a reduzir a probabilidade de consequências negativas relacionadas com os riscos. Essas medidas são concretizadas com o tratamento dos riscos, a fim de limitar qualquer consequência negativa para a organização. A otimização traz um resultado intrínseco de credibilidade para os negócios, que é a valorização da imagem da organização. É uma das consequências positivas do tratamento do risco para fortalecer a imagem da organização no mercado.
A transferência do risco é a divisão com a outra parte do peso de perdas de um risco. É caracterizada nas apólices de seguro, em que o peso da perda é minimizado com o pagamento do prêmio do seguro, que é de valor bem menor do que os ativos envolvidos.
A retenção do risco é a aceitação da carga da perda de um risco específico. Geralmente é feita em riscos de pequeno impacto.
Como vimos, o tratamento do risco identifica, analisa e avalia as opções para cada classe de risco, de modo a preparar e implementar medidas de prevenção, detecção, resposta, recuperação e continuidade dos negócios.
A garantia da eficácia das ações para o tratamento do risco é dada mediante a auditoria para o controle de riscos, cuja verificação e exame são efetuados sobre as medidas de mitigação, detecção e monitoramento dos riscos, com o objetivo de controle e avaliação dessas medidas, para garantir o gerenciamento sobre os riscos, mantendo as instalações seguras e contribuindo para melhorar o sistema de proteção das instalações portuárias.
52 O tratamento de riscos compreende as ações para evitar, otimizar, transferir e reter o risco (ISO Guide 73:2002).
123
Essa auditoria também serve para indicar a necessidade de realização de nova avaliação de riscos.
A importância dessa auditoria53 para as instalações portuárias se dará pelas ações vigilantes e controle permanente sobre todas as medidas identificadas e implementadas para manter os riscos nos níveis aceitáveis, garantindo o padrão de segurança estabelecido pelo ISPS Code.
Os critérios para essa auditoria devem estar diretamente relacionados com a criticidade dos riscos, que normalmente são classificados com base em parâmetros previamente estabelecidos pela organização.
É uma auditoria estratégica e de extrema importância para o gerenciamento dos riscos, e tem como especial peculiaridade exigir uma grande habilidade do auditor para compreender o sistema de gerenciamento e entender o risco, a fim de realizar uma auditoria eficiente e eficaz.
Para entender o risco, faz-se necessário identificar sua origem e entender o seu porquê, ou seja, quais os seus principais fatores motivadores, pois, para que haja um bom gerenciamento de riscos, faz-se mister identificar e compreender seus principais fatores motivadores. E essa compreensão pode ser feita por categorias de riscos.54
Riscos naturais
Para os riscos decorrentes de ameaças naturais (eventos da natureza), dependendo do potencial do evento, pode parecer difícil se conseguir uma proteção eficaz, mas, sabendo-se que tais eventos são comuns em determinada região, torna-se mais fácil adotar ações planejadas para prevenir os impactos e para a recuperação do desastre. Nesse tipo de risco é, em
53 A auditoria da avaliação de riscos difere da auditoria para o controle de riscos. A primeira objetiva verificar o processo de avaliação de riscos, e a segunda tem como objetivo as medidas de controle dos riscos. 54 A nossa opção para o estabelecimento de categorias de riscos é feita com base na origem das ameaças e vulnerabilidades. Os riscos classificados como naturais (incontroláveis) são os decorrentes de fenômenos da natureza; os involuntários (técnicos, organizacionais e humanos) são os resultantes de ações não intencionais, relacionados com vulnerabilidades humanas, físicas, nos equipamentos, nos processos, de software, nos meios de armazenamento, nas comunicações, etc.; e os intencionais são aqueles decorrentes de ações deliberadas para causarem danos, e estariam relacionados com a origem humana.
124
especial, difícil a identificação do seu porquê; contudo, alguns fatores devem ser considerados com relação a eles, tais como: 1- A área em que a empresa está instalada está sujeita a fenômenos da
natureza de proporções catastróficas; 2- Falta de acompanhamento de boletins meteorológicos; 3- O material empregado na construção é de baixa resistência; 4- O equipamento de prevenção a sinistros não tem inspeção periódica e
é de má qualidade; 5- Ausência de plano de recuperação de desastres e de continuidade dos
negócios; 6- Falta de treinamento em ações contingenciais.
Riscos involuntários
Para os riscos involuntários, a identificação é mais fácil, uma vez que esses riscos estão relacionados com vulnerabilidades, principalmente físicas e humanas, e geralmente ocorrem por algum tipo de falha. Contudo, alguns fatores devem ser considerados em relação aos riscos involuntários, tais como: 1- Falha nos equipamentos de prevenção e detecção; 2- Descumprimento de normas para guarda, transporte e manuseio de
material inflamável; 3- Material de fácil combustão empregado na construção; 4- Equipamentos ligados durante 24 horas; 5- Ausência de treinamento em medidas contingenciais; 6- Inexistência de processos de qualidade; 7- Inexistência de controles internos; 8- Inexistência de programa de capacitação continuada; 9- Cultura organizacional. Riscos intencionais
Já para os riscos intencionais, os fatores motivadores, geralmente, estão diretamente relacionados com o tipo de negócio, tipo de produto, tipo de mercado, localização geográfica, com o sistema de controle interno e o nível de segurança existente. Ele ocorre pela exploração intencional de um agente ao perceber alguma falha no sistema de proteção da empresa.
125
Observe-se que o que se está tentando identificar é, além da origem do risco, o porquê da ação de pessoas alheias e o motivo dela, seja qual for o interesse, para atentar contra uma instituição ou pessoas. Essa análise pontual está relacionada com a percepção do empresário, funcionários, pessoas da organização em geral, colaboradores (consultor em segurança), auditores, e/ou da equipe de gerenciamento de riscos, para entender que o seu ativo desperta interesse em terceiros, que, por meio de uma ação inoportuna e intencional, tentam provocar algum dano.
Um ataque não pode ser apenas observado na sua origem, mas do foco do que de interessante existe nos negócios que fez com que aquele ataque tenha ocorrido, ou possa vir a ocorrer. Não é o fato da má utilização do sistema, mas sim, do porquê de aquele funcionário ter utilizado o sistema para realizar aquele objetivo. É identificar que pressupostos levaram aquela pessoa a cometer aquela ação, o que poderá impulsionar alguém a cometer determinada ação contra a empresa.
O foco dessa análise está na identificação dos principais pressupostos do agente causador do dano. Contudo, alguns fatores devem ser considerados com relação aos riscos intencionais, tais como: 1- A atratividade do produto e sua fácil receptação no mercado paralelo; 2- A situação da criminalidade na região em que a empresa está
instalada; 3- A sensação de impunidade; 4- O pagamento efetuado, em espécie, aos funcionários da empresa; 5- Os funcionários que estão insatisfeitos com os salários em atraso e
sem perspectiva de continuidade no emprego; 6- Os movimentos reinvidicatórios, como as paralisações pontuais e
greves gerais; 7- Mercado altamente competitivo.
Para que os riscos venham a se concretizar, esses fatores devem estar atrelados a uma ou mais vulnerabilidades. Entretanto, no caso específico desse tipo de auditoria, o auditor deve ter consciência de que o negócio da instalação portuária desperta o interesse de pessoas inescrupulosas e, portanto, deve ter medidas de controle para ser protegido. Essa capacidade de compreensão (negócios, missões, ativos corporativos e risco) é que trará uma melhor eficácia para a auditoria como um todo.
126
Observe-se a importância dessa percepção, uma vez que ela é uma peça-chave dentro do contexto de abordagem mais ampla do tratamento devido aos riscos. Além de estar relacionada com a origem do risco, essa percepção abrange também o que poderá motivar a ocorrência de um risco para a instalação portuária.55
Outro fator importante para a auditoria é com relação à criticidade dos riscos56, que normalmente são classificados com base em parâmetros previamente estabelecidos pela organização. Essa classificação geralmente varia entre três e quatro classes, e está relacionada à metodologia empregada para a avaliação e análise dos riscos.
A classificação mais comum é baseada na combinação da probabilidade com seu impacto, justamente os fatores que representam o risco. Nesse tipo de classificação, os riscos são segregados em categorias como alto, médio e baixo. Alguns especialistas em gestão de riscos fazem opção por até mais duas categorias de riscos, para tornar melhor a tabela do ranking dos riscos, e ter uma compreensão mais apurada da importância das medidas de controle.
Para os riscos classificados como muito altos (alta probabilidade de ocorrência e alto impacto), as ações para tratar esses riscos devem estar enfocadas na prevenção e detecção, objetivando eliminá-los ou evitá-los, além de poder transferir aqueles que não puderem ser tratados ou que mesmo podendo ser tratados, são transferidos mediante apólices de seguro por terem a capacidade de impacto muito elevado.
Para os riscos classificados como altos (alto impacto e baixa probabilidade), as medidas devem ser focadas na prevenção, principalmente na implantação das medidas de segurança e na capacitação dos recursos humanos da organização.
Para os riscos classificados como moderados e/ou baixos (baixo impacto e alta probabilidade), as ações devem ser focadas no controle do
55 A auditoria para o controle de riscos exige do auditor essa qualidade. Essa capacidade de compreensão lhe possibilitará avaliar se essas medidas atendem à finalidade para a qual foram estabelecidas. 56 A criticidade dos riscos pode ser classificada de várias maneiras, como, por exemplo: com base no tempo de recuperação, com base no impacto, ou simplesmente por categorias, como estratégico, financeiro, operacional e externo.
127
risco. Nessa classe de risco, particularmente, um controle mal empregado pode elevar o risco para a classe mais elevada. É uma categoria de risco que, por ter uma avaliação de baixo impacto, às vezes, a sua prevenção fica reduzida a ferramentas tecnológicas, excluindo-se o fator humano, o que poderá comprometer a eficácia da medida de tratamento para o risco.
Para os riscos classificados como muito baixos (baixo impacto e baixa probabilidade), os controles são estabelecidos tendo como parâmetro o valor financeiro do possível dano, e geralmente são monitorados por equipamento de proteção, ou atividades rotineiras, ou são aceitos pela organização.
Os riscos que mais desafiam os negócios, segundo levantamento da The Economist Intelligence Unit, realizado com 269 executivos de empresas globais, foram, por ordem de prioridade: 1- Reputação: ameaças à imagem de produtos ou marcas; 2- Regulatório: desrespeito à legislação; 3- Capital humano: escassez de talentos e turbulências na sucessão; 4- Tecnologia: falhas operacionais e no sistema de segurança; 5- Mercado: desvalorização dos ativos; 6- Crédito: inadimplência dos clientes; 7- País: desafios específicos de uma região; 8- Financiamento: dificuldade de obter crédito; 9- Terrorismo; e 10- Desastres naturais (HERZOG, 2005, p. 84-86).
Especial atenção deve ser dispensada aos riscos de baixa probabilidade e alto impacto. Às vezes, por serem praticamente descartados, quando ocorrem, esses riscos pegam a organização totalmente despreparada para ações contingenciais, o que pode interromper, definitivamente, as atividades da instalação portuária. Geralmente eles são negligenciados e têm o potencial de destruir o valor da empresa.
Outro aspecto importante para a auditoria tem relação com o inventário de segurança e risco (se houver), que é um documento no qual a instalação portuária relaciona o produto, as atividades, os riscos relacionados, as medidas de proteção e outras informações importantes para esse tipo de auditoria. Juntamente com as medidas estabelecidas no estudo dos riscos, esse inventário deverá fazer parte dos documentos-base para o início da auditoria.
De posse do inventário de risco (se houver) e das medidas estabelecidas no estudo do risco (avaliação de riscos), o auditor estabelecerá o roteiro para o seu exame, considerando os riscos pela sua criticidade, devendo dar atenção específica àqueles cujos controles estejam
128
exclusivamente sob as atividades humanas, não excluindo, também, os de baixa probabilidade. Neste último caso, mesmo que o estudo do risco tenha praticamente descartado o risco, deve o auditor observar os cenários de riscos (incidentes) estabelecidos no ISPS Code.
O exame do auditor deve ser minucioso, analisando os registros de eventos, suas consequências e ações de resposta, observando o tempo demandado para a total recuperação. A verificação das medidas mitigadoras deve ser feita in loco, com a constatação de equipamentos e apetrechos, e mediante entrevista com pessoal envolvido na atividade de risco e na proteção da instalação portuária.
As não conformidades devem ser relacionadas, acrescentando seus possíveis impactos, e declinando um prazo para a sua correção, ou aceitação do risco.
Como podemos concluir, a auditoria para o controle de riscos é uma auditoria especial e de fundamental importância para a manutenção de um gerenciamento de riscos eficiente e eficaz, e como garantia da manutenção do padrão internacional de proteção das instalações portuárias.
129
4 CHECKLIST
O Checklist, ou lista de verificação, é um roteiro para a auditoria. É um papel de trabalho que auxilia o auditor na verificação das conformidades. É considerado uma ferramenta de trabalho fundamental para o sucesso de uma auditoria.
O Checklist deve ser elaborado com base nos documentos de referência, requisitos normativos e relatórios57 de auditorias já realizadas, acrescido de aspectos que o auditor entenda ser interessantes e necessários, de acordo com as informações coletadas na fase preparatória, quando da visita prévia e do levantamento realizado nos registros de auditorias passadas e outros documentos.
Quando, por motivos alheios à vontade do auditor, não seja possível realizar uma visita prévia, nem realizar a análise crítica dos documentos antes do início da auditoria, o auditor deve dedicar uma atenção especial à elaboração das listas de verificações.
A elaboração das listas de verificações é uma atividade que requer dedicação e muita atenção aos detalhes. Nos capítulos anteriores deste livro, foi dada ênfase aos principais itens que deveriam ser examinados nas auditorias em instalações portuárias. Esses itens, devem necessariamente constar da listas de verificação do auditor, sendo acrescentados os itens que ele considera necessários e indispensáveis para o seu exame.
Contudo, sabemos que a elaboração dos checklist não é tarefa das mais simples. Dessa forma, dentre os vários modelos pesquisados, analisados e utilizados, verificamos que dois métodos predominam na elaboração dessas listas de verificação.
Um deles é a elaboração do Checklist seguindo cada item da norma de referência. Nesse método, os itens da norma são transformados em perguntas, ou simplesmente reproduzi-los, conforme a própria norma de referência. É um método mais rígido e limitado, predominando nas auditorias de certificação, quando da verificação de requisitos normativos.
O outro método é a elaboração dessas listas com base não apenas nos domínios das normas de referência, mas também na liberdade do auditor em 57 No exame desses relatórios, a atenção deve estar direcionada para às não-conformidades.
130
acrescentar itens de verificações que entender necessários ao exame do controle, para ter a certeza da constatação da conformidade do item auditado. É um método mais flexível e de excelente resultado nas auditorias operacionais, principalmente quando da verificação de conformidade.
Um outro método que identificamos é a elaboração do checklist com base na compreensão do sistema de controle, em que o auditor elabora a sua lista de verificação baseando-se na finalidade do controle, ou no domínio de controle, e em possíveis brechas de vulnerabilidades. É um método alternativo, que auxilia o auditor nas verificações operacionais e de excelente utilização nas auditorias especiais, e na avaliação da eficácia.
Todos os métodos têm suas características e benefícios. Contudo, de maneira geral, as principais vantagens de um checklist são: roteiro para auditar, foco nos controles, economia de tempo, seqüência lógica (com ou sem perguntas) e registro para as auditorias futuras.
Considerando a finalidade didática desse livro e para uma melhor abordagem dos métodos de elaboração das listas de verificação, apresentaremos a seguir exemplos de listas de verificação baseadas nesses métodos.
Atenção especial deve ser dada aos modelos apresentados, devendo-se observar que não serão esgotadas as possibilidades de novos itens para compor as listas de verificação apresentadas. 4.1 Checklist 1
Iniciaremos pelo método mais rígido, que é o da elaboração do checklist com base na reprodução, na íntegra, dos tópicos da norma.
O modelo a seguir apresenta a seguinte estrutura58: identificação do documento, identificação da instalação portuária, nome do auditor, data da auditoria, como parte constante do cabeçalho. No corpo das verificações, na coluna (A) deve constar a norma de referência; na coluna (B) devem ser colocados os itens da norma de referência; na coluna verificação (C) devem ser colocados os itens a ser verificados; na coluna resultados (D) devem ser colocados os comentários que o auditor considere importantes e as
58 A estrutura apresentada é uma sugestão do autor.
131
conformidades; na coluna (E) deve ser identificado que domínio está sendo auditado.
CHECKLIST
INSTALAÇÃO PORTUÁRIA: AUDITORIA DATA: AUDITOR NOME: AUDITORIA CHECKLIST- ISPS Code- Parte A (A) REFERÊNCIA (B) RESULTADOS (D) Norma
VERIFICAÇÃO (C) Comentários Conformidade
(E)
Neste exemplo, utilizaremos a parte A, item 16 do ISPS Code, que se refere ao plano de proteção das instalações portuárias. Para facilitar a compreensão, reproduzimo-nos abaixo:
Exemplo: Item 16 do ISPS Code (plano de proteção das instalações portuárias)
16.1. Um plano de proteção das instalações portuárias, adequado para a interface navio/porto, deverá ser elaborado e mantido, com base em uma avaliação de proteção das instalações portuárias, para cada instalação portuária. O plano deverá incluir disposições relativas aos três níveis de proteção, conforme previsto nesta Parte do Código. 16.1.1. Sujeito às disposições da seção 16.2, uma organização de proteção reconhecida poderá preparar o plano de proteção das instalações portuárias de uma determinada instalação portuária. 16.2. O plano de proteção das instalações portuárias deverá ser aprovado pelo Governo Contratante em cujo território a instalação portuária esteja localizada. 16.3. Este plano deverá ser elaborado levando em conta as diretrizes constantes da parte B deste Código e deverá ser redigido no idioma de trabalho da instalação portuária. O plano deverá cobrir, pelo menos, o seguinte:
132
1. medidas para prevenir que armas, substâncias perigosas e dispositivos destinados ao uso contra pessoas, navios ou portos, e cujo transporte não seja autorizado, sejam introduzidos em uma instalação portuária ou a bordo de um navio; 2. medidas para prevenir o acesso não autorizado a instalações portuárias, a navios atracados nestas instalações e a áreas de acesso restrito das instalações portuárias; 3. procedimentos para responder a ameaças de proteção e a violações da proteção, incluindo disposições relativas à manutenção de operações críticas da instalação portuária ou da interface navio/porto; 4. procedimentos para atender a quaisquer instruções de proteção que os Governos Contratantes, em cujo território a instalação portuária esteja localizada, possam dar para o nível 3 de proteção; 5. procedimentos para evacuação no caso de ameaças de proteção ou de violações da proteção; 6. deveres do pessoal das instalações portuárias com responsabilidades de proteção e deveres de qualquer outro pessoal das instalações portuárias relativos a aspectos de proteção; 7. procedimentos para a interface com atividades de proteção do navio; 8. procedimentos para a revisão periódica e atualização do plano; 9. procedimentos para reportar incidentes de proteção; 10. identificação do funcionário de proteção das instalações portuárias, incluindo informações para contato 24 horas; 11. medidas para assegurar a proteção das informações contidas no plano; 12. medidas desenvolvidas para assegurar a proteção efetiva da carga e dos equipamentos de manuseio de carga na instalação portuária; 13. procedimentos para auditar o plano de proteção das instalações portuárias;
133
14. procedimentos para responder caso o sistema de alarme de proteção de um navio localizado na instalação portuária tenha sido ativado; e 15. procedimentos para facilitar a licença em terra para o pessoal de bordo ou para mudanças de pessoal, bem como para facilitar o acesso de visitantes ao navio, incluindo representantes de organizações trabalhistas e de instalações para o bem-estar de marítimos; 16.3.1. O pessoal que estiver conduzindo auditorias internas das atividades de proteção especificadas no plano ou estiver avaliando a sua implementação deverá ser independente das atividades auditadas, a menos que isto seja impraticável devido ao tamanho e natureza da instalação portuária. 16.4. O plano de proteção das instalações portuárias poderá ser combinado ou ser parte do plano de proteção do porto ou de quaisquer outros planos de emergência do porto. 16.5. O Governo Contratante em cujo território a instalação portuária esteja localizada deverá determinar quais alterações ao plano de proteção das instalações portuárias não deverão ser implementadas a menos que as emendas relevantes ao plano sejam por ele aprovadas. 16.6. O plano poderá ser mantido em formato eletrônico. Neste caso, deverá ser protegido através de procedimentos destinados a prevenir a sua eliminação, destruição, ou emenda não autorizada. 16.7. O plano deverá ser protegido contra o acesso ou divulgação não autorizada. 16.8. Os Governos Contratantes poderão permitir que um plano de proteção das instalações portuárias cubra mais de uma instalação portuária se o operador, a localização, a operação, os equipamentos e o projeto destas instalações portuárias forem semelhantes. Qualquer Governo Contratante que permita tal procedimento alternativo deverá comunicar à Organização os detalhes do mesmo.
134
AUDITORIA CHECKLIST- ISPS Code- Parte A59 RESULTADOS Norma VERIFICAÇÃO
Comentários Conformidade INSTALAÇÕES PORTUÁRIAS 16 PLANO DE PROTEÇÃO DAS INSTALAÇÕES PORTUÁRIAS
Existência de um plano de proteção das instalações portuárias adequado para a interface navio/porto.
Plano elaborado e mantido com base em uma avaliação de proteção das instalações portuárias para cada instalação portuária.
Identificação de três níveis de proteção e suas disposições.
16.1
Elaboração do Plano de proteção por organização reconhecida.
16.2 O plano de proteção das instalações portuárias aprovado pelo Governo Contratante do território onde a instalação portuária está localizada.
Identificação, no plano, de diretrizes constantes da parte B do ISPS Code.
Identificação do idioma do plano e do idioma de trabalho da instalação portuária.
16.3
Identificação no plano de: 1. medidas para prevenir que armas,
substâncias perigosas e dispositivos destinados ao uso contra pessoas, navios ou portos, e cujo transporte não seja autorizado, sejam introduzidos em uma instalação portuária ou a bordo de um navio;
2. medidas para prevenir o acesso não autorizado a instalações portuárias, a navios atracados nessas instalações e a áreas de acesso restrito das instalações portuárias;
59 Código Internacional para a proteção de navios e instalações portuárias (ISPS Code). A parte A do código dispõe sobre os requisitos obrigatórios das disposições do capítulo XI-2 SOLAS 74.
135
3. procedimentos para responder a ameaças de proteção e a violações da proteção, incluindo disposições relativas à manutenção de operações críticas da instalação portuária ou da interface navio/porto;
4. procedimentos para atender a quaisquer instruções de proteção que os governos contratantes, em cujo território a instalação portuária esteja localizada, possam dar para o nível 3 de proteção;
5. procedimentos para evacuação no caso de ameaças de proteção ou de violações da proteção;
6. deveres do pessoal das instalações portuárias com responsabilidades de proteção e deveres de qualquer outro pessoal das instalações portuárias relativos a aspectos de proteção;
7. procedimentos para a interface com atividades de proteção do navio;procedimentos para a revisão periódica e atualização do plano;procedimentos para reportar incidentes de proteção;
8. identificação do funcionário de proteção das instalações portuárias, incluindo informações para contato durante 24 horas;
9. medidas para assegurar a proteção das informações contidas no plano; medidas desenvolvidas para assegurar a proteção efetiva da carga e dos equipamentos de manuseio de carga na instalação portuária;
10. procedimentos para auditar o plano de proteção das instalações portuárias;
11. procedimentos para responder caso o sistema de alarme de proteção de um navio localizado na instalação portuária tenha sido ativado; e
136
12. para facilitar a licença em terra para o pessoal de bordo ou para mudanças de pessoal, bem como para facilitar o acesso de visitantes ao navio, incluindo representantes de organizações trabalhistas e de instalações para o bem-estar de marítimos;
16.3.1 Identificação da independência das atividades do pessoal de auditoria interna das atividades auditadas.
16.4 Integração e combinação do plano de proteção das instalações portuárias com outros planos do porto.
16.5 Identificação de restrições às alterações do plano pelo governo contratante em cujo território a instalação portuária esteja localizada.
16.6 Existência de proteções para plano em formato eletrônico, para prevenir a sua eliminação, destruição ou emenda não autorizada.
16.7 Identificação da existência de proteção do plano contra o acesso ou divulgação não autorizada.
16.8 Existência de permissão dos governos contratantes para a cobertura do plano de proteção das instalações portuárias para mais de uma instalação portuária.
Como podemos analisar, a elaboração da lista contempla os pontos da
norma de referência, em ordem cronológica, item por item. 4.2 Checklist 2
O modelo que apresentaremos nesse tópico caracteriza-se pelo fato de a lista de verificação ser construída com base em perguntas, não se limitando aos itens da norma.
O modelo apresenta a seguinte estrutura60: identificação do documento, identificação da instalação portuária, nome do auditor, data da
60 A estrutura apresentada é uma sugestão do autor.
137
auditoria, norma de referência, como parte constante do cabeçalho. No corpo das verificações, deve constar que parte da norma está sendo verificada (A); descriminar cada item da verificação na coluna item (B); na coluna verificação deve ser aposto cada item a ser verificado (C); nas colunas de atende (D), não atende (E) e não-observado (F), o que for constatado.
CHECKLIST
INSTALAÇÃO PORTUÁRIA: NOME AUDITOR: AUDITORIA DATA: REFERÊNCIA: ISPS Code- Parte A (A) O QUE ESTÁ SENDO VERIFICADO ITEM VERIFICAÇÃO SIM NÃO NO
(B) (C) (D) (E) (F)
OBS: A coluna item (B) pode ser dividida em duas colunas, uma para o item da auditoria e outra para o item de referência da norma. É opcional e não influencia diretamente no resultado da auditoria.
Para efeito didático e de comparação entre esses dois modelos,
utilizaremos os mesmos itens do tópico anterior (ISPS Code, parte A, item 16).
PLANO DE PROTEÇÃO DAS INSTALAÇÕES PORTUÁRIAS ITEM VERIFICAÇÃO SIM NÃO N/A 1 A instalação possui um plano de proteção atual?
Data do plano ____/____/____ Data da última revisão ____/____/____
2 O plano foi elaborado com base em avaliação de proteção das instalações portuárias? Data da avaliação ____/____/____
3 Os três níveis de proteção estão definidos no plano? 4 O plano foi elaborado por organização reconhecida? 5 O plano foi aprovado pelo governo contratante?
Data da aprovação ____/____/____
6 O plano foi redigido no idioma de trabalho da região em que a instalação portuária está localizada?
7 O plano fornece as medidas e os equipamentos
138
necessários para prevenir a entrada de armas e equipamentos perigosos nas instalações e às embarcações ancoradas?
8 O plano estabelece medidas para prevenir o acesso não autorizado às instalações e embarcações ancoradas?
9 O plano descreve procedimentos para responder a ameaças de proteção e a violações da proteção, incluindo operações críticas da instalação ou interface navio/porto?
10 O plano inclui procedimentos que devem ser incluídos, especificamente, nos casos de:
10.1 Ameaça terrorista ou de bomba? 10.2 Explosão ou detonação? 10.3 Fogo nas instalações ou nas embarcações ancoradas na
instalação?
10.4 Desastres naturais? 10.5 Situação que envolvem reféns? 10.6 Distúrbios civis/ greve de funcionários? 10.7 Desastres naturais? 10.8 Procedimentos de evacuação de emergência? 11 O plano descreve exatamente as medidas de proteção e
do uso da força?
12 O plano prevê procedimentos para atender a quaisquer instruções do governo contratante, para o nível 3 de proteção?
13 O plano inclui procedimentos para obter assistência e suporte da aplicação da lei, unidades federal, estadual e municipal de combate ao fogo, ameaça de bomba e desastres naturais?
14 O plano possui procedimentos para reportar incidentes de proteção?
15 O plano possui a descrição das responsabilidades do pessoal de proteção das instalações e de seus funcionários com relação aos aspectos de proteção?
16 O plano possui cadastro atualizado do pessoal de proteção com procedimentos para contato durante 24 horas?
139
17 O plano estabelece mecanismo para o reconhecimento de todas as pessoas do trabalho, inclusive seus nomes?
18 O plano estabelece medidas para a avaliação de funcionários antes da sua contratação?
19 O plano possui medidas que assegurem a proteção das informações do plano?
20 O plano possui medidas para proteger a carga e seu manuseio na instalação portuária?
21 O plano estabelece procedimentos para a realização de auditorias?
22 O plano descreve procedimentos para responder aos sinais de alarme dos navios na instalação portuária?
23 O plano descreve procedimentos para facilitar a licença em terra para o pessoal de bordo ou para mudanças de pessoal, bem como para facilitar o acesso de visitantes ao navio, incluindo representantes de organizações trabalhistas e de instalações para o bem-estar de marítimos?
24 O plano é combinado com parte de outro plano de proteção de outra instalação portuária?
25 O plano possui uma planta com todos os pontos de acesso, áreas de trabalho, áreas de armazéns, de carregamento de cargas, devidamente identificados?
26 O plano possui procedimentos que permitam o contato com as pessoas do trabalho?
27 O plano possui procedimentos para sua revisão periódica e atualização?
28 O plano estabelece mecanismo para o reconhecimento de todas as pessoas do trabalho, inclusive seus nomes?
29 O plano estabelece medidas para a avaliação de funcionários antes da sua contratação?
30 O plano possui medidas para serem adotadas nos casos de levantamento de risco?
Como podemos observar, a elaboração da lista contempla todos os pontos da norma de referência; contudo, pode ser verificado que foram
140
incluídos itens que não estavam constando na norma de referência, como o desdobramento do item 10 da lista acima.
Este desdobramento tem como objetivo o de fornecer ao auditor a certeza de que determinado controle apresenta evidências de auditoria, ou seja, está em conformidade com o estabelecido, está implementado e está sendo cumprido. 4.3 Checklist 3
Outro método de elaboração de checklist baseia-se no estudo do controle e na compreensão do sistema de proteção. Esse método considera a finalidade para a qual os controles foram criados, ou seja, fundamenta-se nos objetivos de controle ao identificar a sua principal finalidade e a sua eficácia no sistema como um todo.
Um aspecto a ser observado no emprego deste método é com relação aos objetivos de controle, que são estabelecidos com base nas normas e regulamentos, nas obrigações contratuais, nos negócios da organização e nos resultados das avaliações de riscos.
Os objetivos de controle representam a finalidade para qual o controle foi criado. Normalmente, esses objetivos estão diretamente relacionados com os domínios da norma.
Os controles de um sistema estão representados nas políticas, procedimentos, diretrizes, práticas e estruturas da organização. Dependem das decisões que a organização toma baseada em critérios estabelecidos para o estabelecimento de um padrão, que no caso específico é o estabelecimento de um padrão internacional de proteção em instalações portuárias.
As principais fontes para o estabelecimento de controles estão na avaliação de riscos, na legislação e nos princípios, objetivos e requisitos de negócios. Nas instalações portuárias, a fonte principal para o estabelecimento de controles é o ISPS Code, que estabelece um conjunto de controles e diretrizes para a proteção de navios e instalações portuárias. As suas outras fontes de controle são as avaliações de proteção com base nos riscos e as normas que regulamentam o segmento.
141
Todo e qualquer controle tem um objetivo maior, que justifica o seu maior motivo de implantação, ou seja, o porquê da sua existência.
Esses objetivos já podem vir explicitados na norma. Como exemplo de objetivo de controle, citaremos o do domínio política de segurança da informação da norma NBR ISO/IEC 27002:2005, que apresenta o seguinte objetivo de controle: prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com leis e regulamentos relevantes.
Contudo, existem normas em que o objetivo de controle não aparece, como é o caso dos controles previstos no ISPS Code. Nesse caso, a identificação dos objetivos de controle deverá ser feita com base no que representa aquele domínio para o sistema de proteção.
Dessa forma, o objetivo de controle para o domínio “avaliação da proteção das instalações portuárias” deverá ser identificado em relação ao que se propõe a avaliação de proteção. Como sabemos, a avaliação de proteção é o processo de identificação, avaliação e análise de riscos, para priorizá-los de acordo com os critérios estabelecidos para a aceitação e tratamento desses riscos. Diante disso, o objetivo de controle para esse domínio pode ser identificado como: prover uma orientação para avaliar a proteção das instalações portuárias com base nos riscos e requisitos de negócios.
Caso o auditor não deseje identificar na sua lista de verificação o objetivo de cada domínio de controle a ser examinado, pelo fato de não estarem previamente definidos, faz-se necessário, no mínimo, que ele compreenda o sistema de proteção e a finalidade de seus controles, para que possa atingir melhor os objetivos da auditoria.
Para isso, vamos adotar como exemplo o controle de acesso, que é uma das áreas críticas em sistemas de proteção. Dessa forma, tomaremos como pressuposto que os requisitos normativos já estão contemplados na lista de verificação, e que o auditor avalia que esses itens não são suficientes para garantir que o seu exame alcance o objetivo em atestar que os controles implementados atendem ao padrão internacional de proteção do ISPS Code.
O ponto de partida é entender qual o objetivo de controle para o controle de acesso. O objetivo principal de um sistema de controle de acesso é o de prevenir o acesso indevido e controlar o fluxo de acesso à instalação e
142
aos seus sistemas, de forma a garantir o pleno funcionamento das operações e a continuidade dos negócios. Nesse sentido, o objetivo de controle seria o de controlar o acesso, prevenir o acesso não autorizado e evitar danos e interferências nos negócios da instalação portuária.
Identificada essa premissa, o passo seguinte é compreender o controle de acesso. Como se sabe, o controle de acesso tem como suporte três pilares: as normas e procedimentos, a tecnologia e os equipamentos e o recurso humano. Esses pilares devem constar na montagem da lista de verificação ao se considerar o objetivo de controle identificado, bem como os controles implementados.
Nessa vertente, o auditor elaborará o checklist observando a força de proteção, os equipamentos e sistemas e os procedimentos de controle de acesso.
O exemplo abaixo apresenta uma amostra de como o auditor poderá elaborar o seu checklist. Nesse exemplo, são considerados os seguintes aspectos: o perímetro de segurança e suas barreiras, os controles para a entrada física na empresa e nos locais de trabalho e a força de proteção.
O modelo abaixo apresenta a seguinte estrutura61: identificação do documento, identificação da instalação portuária, nome do auditor, data da auditoria, domínio de controle, e objetivo de controle como parte constante do cabeçalho. No corpo das verificações, constará o que está sendo verificado (A), descriminando cada item da verificação na coluna item (B), na coluna verificação deve ser posto cada item a ser verificado (C), nas colunas de atende (D), não atende (E) e não-observado (F), o que for constatado.
CHECKLIST INSTALAÇÃO PORTUÁRIA: NOME AUDITOR: AUDITORIA DATA: Domínio: Acesso às instalações portuárias Objetivo de controle: Controlar o acesso, prevenir o acesso não autorizado e evitar danos e interferências nos negócios da instalação portuária.
61 A estrutura apresentada é uma sugestão do autor.
143
ITEM VERIFICAÇÃO SIM NÃO N/A
(B) (C) (D) (E) (F) ACESSO CONTROLADO ÀS INSTALAÇÕES PORTUÁRIAS ITEM VERIFICAÇÃO SIM NÃO N/A 1 O perímetro da instalação está devidamente demarcado
e protegido por muros, cercas, barreiras, etc.?
2 Existem barreiras adequadas nos locais de acesso para prevenir o acesso não autorizado às instalações?
3 Existem procedimentos definidos para o cadastramento e a autorização de acesso às instalações?
4 Existem procedimentos definidos para o acesso às instalações?
5 O material das barreiras é inspecionado periodicamente para determinar a sua eficácia devido à erosão ou ao uso? Qual o período?
6 A área de negócios está protegida por barreiras (muro, cercas, etc.), e até coberta por outros meios, como CFTV?
7 Todas as barreiras possuem uma distância mínima do posto de controle? Qual a distância?
8 Existem sistemas de identificação de pessoas e cartão identificador para os funcionários?
9 São todos os funcionários obrigados a exibir permanentemente a sua identificação (crachá ou equivalente) enquanto estiverem exercendo suas atividades na instalação portuária?
10 Existe meio para identificar determinado nível (1,2 e 3) de proteção?
11 Todas as pessoas que não utilizam identificação (crachá, etc.) são tratadas como estranhas e questionadas sobre a sua permanência naquele local?
12 Os pontos de controle de acesso verificam os cartões de identificação antes deixarem as pessoas entrar?
13 Existe supervisão de identificação pessoal e controle de sistema em todos os pontos de acesso?
14 Os crachás são registrados com um número serial e
144
código de barras (ou outro mecanismo) e são controlados por procedimentos rígidos?
15 Os crachás extraviados são substituídos com o número serial diferente do anterior? O extravio é registrado em local específico e comunicado aos postos de controle?
16 Existem procedimentos para fornecer crachá aos funcionários que tiverem esquecidos os seus?
17 Os crachás são utilizados de diferentes formas para que a vigilância possa identificar se determinado funcionário ou pessoa esteja em local não autorizado?
18 Os procedimentos para o recolhimento dos crachás de identificação são eficientes?
19 Existem procedimentos e efetivo para acompanhar pessoas, quando necessário, dentro da instalação?
20 Existem procedimentos para escoltar membro de tripulação de embarcações ancoradas?
21 Existem procedimentos para motoristas, vendedores e outros visitantes que acompanham pessoal de negócios?
22 Os registros dos visitantes são mantidos e facilmente acessíveis?
23 Existem procedimentos de controle de tráfego na instalação?
24 O estacionamento é supervisionado e restrito apenas para os veículos próprios e os veículos controlados?
25 O estacionamento permitido mantém registro e identificação do veículo e inclui sistema de vigilância?
26 Todos os veículos não autorizados são solicitados a estacionar em áreas de estacionamento específicas para visitantes?
27 Os estacionamentos de empregados, funcionários das docas e visitantes ficam a determinada distância das docas? Qual a distância?
28 Barreiras, túnel, portas de inspeção de esgoto e acesso utilizado e elevadores que permitem o acesso são devidamente seguros?
ACESSO RESTRITO ÀS INSTALAÇÕES PORTUÁRIAS
145
ITEM VERIFICAÇÃO SIM NÃO N/A 29 Existem áreas destinadas e identificadas como áreas
restritas?
30 As medidas específicas para as áreas restritas apresentam resultados?
31 Os postos de controle de acesso às áreas restritas estão devidamente postados?
32 Toda a área restrita é devidamente cercada ou murada? 33 Essas áreas possuem sistemas de identificação e
controle em todos os postos de controle e com alarmes?
34 Existe controle para o acesso às informações e equipamentos nessas áreas?
35 As pessoas que não possuem acesso a essas áreas e as que têm acesso temporário são monitoradas em todo o seu percurso?
36 Todas essas áreas possuem sistema de controle de acesso e pessoal de vigilância?
37 Os pontos de acesso às áreas restritas são seguros? 38 A segurança realiza patrulhas rotineiras nessas áreas? 39 Existem procedimentos definidos para o nível de
proteção 2 e são eles guardados nessas áreas?
40 Existem procedimentos definidos para o nível de proteção 3 e são eles guardados nessas áreas?
FORÇA DE PROTEÇÃO ITEM VERIFICAÇÃO SIM NÃO N/A 41 Todos os postos (fixos e móveis) são guarnecidos com
força pública (ou privada) de proteção?
42 A força de proteção está disposta conforme o plano de emprego ou o contrato de prestação de serviço?
43 É realizada uma checagem nos funcionários que têm acesso às áreas controladas e restritas?
44 A força de proteção é identificada por uniforme, distintivo e autorização para a área específica?
45 O oficial de proteção das instalações inspeciona a força de proteção pelo menos uma vez por dia?
46 A força de proteção realiza patrulhas, incluindo
146
escritórios, molhe e perímetro de acesso à instalação? 47 As patrulhas realizadas incluem a verificação de todos
os pontos de acesso exterior e interior?
48 A força de proteção possui local exclusivo para a coordenação e outras atividades essenciais aos serviços executados?
49 Existem procedimentos combinados previamente para a força de proteção adotar em casos de crise ou emergências?
50 Existem procedimentos para a composição de força tarefa, incluindo o comitê do porto e instituições federais, estaduais e municipais?
51 A força de proteção registra a sua passagem nos postos por meio de marcadores, bastão eletrônico, telefone, etc.?
52 A força de proteção realiza rondas em tempos e itinerários variados para evitar o estabelecimento de rotina?
53 Os registros de treinamento individual são mantidos no local?
54 Todo o pessoal da força de proteção possui treinamento para portar arma de fogo?
55 A força de proteção possui equipamento, veículos identificados para dar resposta a incidentes de proteção?
56 Os veículos possuem luzes intermitentes e giratórias? 57 Apenas agentes da lei e outros autorizados portam
arma de fogo na instalação portuária?
58 O oficial de proteção das instalações portuárias inspeciona, pelo menos uma vez por mês, as barreiras de proteção, as áreas limpas e outros pontos críticos que possam ser utilizados para o acesso à instalação portuária?
59 Os registros dessas inspeções são mantidos e facilmente acessíveis?
60 O sistema de detecção de invasão é sinalizado e monitorado de um ponto central, de modo que a força
147
de resposta possa ser iniciada desse ponto? 61 Todos os pontos de acesso são fechados quando não
utilizados?
62 Existem medidas para a proteção do fornecimento de energia e transmissão para a instalação?
63 Existem medidas para a proteção do centro de comunicação e equipamentos?
64 As deficiências percebidas e as ações para a sua correção são prontamente efetuadas?
65 As lâmpadas e a iluminação são substituídas imediatamente?
66 A força de proteção confere as instalações nos finais de semana e nos horários pós funcionamento?
67 A força de proteção possui códigos para atuar em situações de emergência?
148
149
5 NÃO CONFORMIDADES E IRREGULARIDADES
O auditor exerce a sua atividade pautada nos procedimentos de auditoria e nas leis, normas e regulamentos da sua profissão. O exame que realiza é focado nos objetivos da auditoria e nos objetivos de controle, lastreados nos documentos-base e nos critérios estabelecidos pela organização para a atividade de negócios e por órgãos regulamentadores.
As conclusões e os resultados da auditoria decorrem da análise e interpretação das evidências encontradas, que são dispostas no relatório da auditoria, documento no qual o auditor descreve o trabalho por ele executado.
No relatório deve constar o escopo da auditoria e seus objetivos, a natureza, a amplitude, o tempo de duração e a extensão do trabalho, as constatações, as conclusões e recomendações, explicitando as restrições e limitações quanto ao escopo, além das irregularidades e não conformidades encontradas. Essas irregularidades e não conformidades requerem uma atenção específica no relato das atividades do auditor.
As não conformidades dizem respeito a tudo aquilo que estiver em desacordo com os requisitos normativos, independentemente de terem uma relação insignificante com o comprometimento dos negócios. Elas podem estar relacionadas com a simples inobservância do controle implementado, com a cultura organizacional em ignorar o cumprimento de controles, e com erros, omissões e práticas fraudulentas.
Na prática, o exame de auditoria geralmente detecta irregularidades e não conformidades. Essa vertente tem provocado determinada mudança no perfil do auditor e da auditoria, ao demandar uma atenção específica para o planejamento da auditoria e uma maior perspicácia dos auditores no exercício de suas atividades. Aliás, essa é uma tendência da auditoria, que tem se apresentado como uma excelente ferramenta na prevenção, detecção e monitoramento dos riscos corporativos.
Uma discussão necessária para a auditoria é a diferença entre não conformidades e irregularidades, mesmo sabendo que aqueles procedimentos que estiverem em desacordo com os padrões são tidos como
150
irregulares face a esses padrões. Dessa forma, vislumbra-se a necessidade de se diferenciar as não conformidades das irregularidades.
As não conformidades podem ser compreendidas como critérios e requisitos normativos não alcançados pelos controles implementados, ou como decorrentes do mau desempenho das atividades de controle, bem como da fragilidade das pessoas que resistem, involuntariamente, na permanência do status quo anterior à criação do controle, desempenhando suas atividades sem perceber os novos padrões estabelecidos.
As principais causas de não conformidades estão relacionadas com a cultura da organização, com a falta de divulgação e treinamento dos procedimentos de controle, com a escassez de recursos e a utilização da tecnologia. Essas não conformidades geralmente são saneadas com a implementação das recomendações do auditor e com uma fiscalização mais presente dos gerentes.
As irregularidades podem ser compreendidas como atividades intencionais para a violação das políticas, normas e procedimentos. O elemento caracterizador da irregularidade é a intenção de violar, quebrar, enganar, ou seja, não cumprir, intencionalmente, um procedimento de controle.
Mesmo que uma não conformidade seja entendida de certa forma como uma irregularidade, é interessante que o auditor faça uma pequena distinção no seu relatório entre não conformidades e irregularidades, dando ênfase a estas últimas como ações intencionais.
Uma irregularidade pode estar apenas relacionada com a vontade de quebrar determinada norma de controle, sem querer causar um dano real aos negócios, caracterizando assim uma postura contra a política de controle interno. Contudo, todas essas irregularidades devem ser combatidas com bastante rigor e com critérios de punibilidade para que os controles possam ser cumpridos e a política implementada na sua totalidade.
Essa característica da irregularidade apresenta relação direta com a resistência interna em aceitar novos tipos de controles, e geralmente se apresenta na forma de: violações intencionais em implementar políticas, violações intencionais de requisitos normativos, ação deliberada para desobedecer a procedimentos, omissão de informações sobre as atividades auditadas, negligência, bem como o cometimento de infrações sem intenção.
151
A questão do dano é muito subjetiva, uma vez que, não ocorrendo um dano mensurável, pode-se pensar que não houve uma irregularidade, ou sendo ele de pequeno impacto, ou mesmo desprezível, pode-se tender a não considerar o ato como uma irregularidade.
Contudo, a burla de um controle pelo simples prazer de burlar traz prejuízos, no mínimo, à política e à ética funcional, carecendo de punição. Não possuir critérios de punição no caso de descumprimento de controles é semear a cultura da aversão aos controles. A melhor política de incentivo aos controles é o estabelecimento de premiação pelo cumprimento, e de punição para o não cumprimento dos controles.
De todas as irregularidades, aquelas que mais preocupam são as fraudes, e por isso demandam maior atenção. Estudos recentes realizados pela KPMG e Ernst & Young demonstram o tamanho dessa preocupação.
A pesquisa62 realizada pela KPMG63 apontou que as principais razões para o aumento das fraudes estavam no enfraquecimento dos valores sociais e morais (63%), nas falhas no sistema de controle (59%), na impunidade (55%) e nas pressões econômicas (46%). Esse estudo apontou que 73% das fraudes ocorreram por insuficiência de controles internos, que os principais agentes fraudadores foram funcionários e gerentes (48%) e prestadores de serviço (21%), e que os principais responsáveis pela descoberta das fraudes nas corporações pesquisadas foram a auditoria interna e os controles internos (KPMG, 2003).
Nessa direção, a pesquisa64 realizada pela Ernst & Young apresentou semelhanças com o risco da fraude, com 55% das fraudes cometidas por gerentes e 30% cometidas por funcionários, o que totaliza 85% das fraudes cometidas por pessoas de dentro da companhia, ratificando a ineficácia do sistema de controle interno como um dos fatores que contribuíram para essas fraudes (Ernst & Young, 2003).
62 Essa pesquisa sobre a fraude no Brasil foi realizada com cerca de 1.000 das maiores empresas do setor público e privado, com um faturamento entre 50 milhões e 5 bilhões de reais. 63 A KPMG é uma rede global de firmas de serviço e assessoria profissional, presente em mais de 150 países. 64 Essa pesquisa foi realizada nas maiores empresas de diversos segmentos ao redor do mundo.
152
A fraude, pela sua própria definição, é “engano”, “astúcia para causar dano”, “dolo”, ou seja, para que haja a fraude é necessário que exista a vontade, a intenção de se fazer algo com a intenção de enganar.
As irregularidades fraudulentas caracterizam-se pela vontade de enganar para cometer a fraude, ou na cumplicidade ou parcela de culpa para esconder essas atividades, ou omitir informações sobre elas. Estão presentes nelas o agente fraudador, que pode, ou não, ter vínculo com a instalação portuária e agir isoladamente, ou em conluio com funcionários e gerentes, e as vulnerabilidades, que são as fragilidades no sistema de controle.
A motivação da fraude tem apresentado relação direta com a natureza do negócio e a satisfação em cometer a fraude, na aposta do agente fraudador em não ser descoberta a fraude, nem ele ser descoberto, e na expectativa de impunidade e de reposição do dano, pela dificuldade em se constituírem provas.
Entender esses fatores é de fundamental importância para que o auditor possa elaborar o seu roteiro, considerando os pontos que possam contribuir para a prevenção e detecção de irregularidades. Essa assertiva tem impulsionado a auditoria para alinhar o exame com os principais riscos que afetam os negócios corporativos e com os objetivos de controle.
É verdade que a auditoria é uma excelente ferramenta para a prevenção e detecção de irregularidades e, na prática, essas irregularidades geralmente são detectadas. Contudo, isso não pode ser utilizado como uma garantia da auditoria, mesmo porque sabemos que a auditoria não pode garantir a descoberta de irregularidades, principalmente, as fraudulentas.
Entretanto, existe a necessidade de o exame da auditoria ser desenhado de forma a atender à expectativa da descoberta de irregularidades e à prevenção das fraudes mais conhecidas, ou tidas como as mais comuns.
Nesse sentido, para se elaborar o roteiro da auditoria, faz-se necessário que seja realizado um estudo do ambiente de controle e da sua funcionalidade, alinhado-o com o estudo do risco, se houver.
Na análise do ambiente de controle devem ser considerados: as características organizacionais, como cultura, ética, estrutura, relação de trabalho, sistema de remuneração, etc.; a história e a sua tradição nos negócios e com relação a irregularidades; o ambiente de negócios; os tipos de ativos, operações, materiais envolvidos e serviços oferecidos; a implantação e
153
mudança de novos sistemas e procedimentos operacionais; o sistema de controle, as normas e os procedimentos; a forma da relação de trabalho das pessoas envolvidas nas atividades de controle; a tecnologia de suporte utilizada, e as evidências e irregularidades encontradas nas auditorias anteriores.
A etapa seguinte é a do reconhecimento dos tipos mais comuns de fraudes. O livro Fraud: Real solution to a real risk (Ernst & Young, 2004) apresenta como mais comuns os seguintes tipos de fraudes: falso registro, lavagem de dinheiro, apropriação de ativo, corrupção, fraude no esquema de investimento, fraude da propriedade intelectual, fraude de computação e fraude de seguro.
É certo que a auditoria para a proteção de instalações portuárias não será desenhada para a amplitude dessas fraudes; contudo, não podem ser desprezadas de atenção, uma vez que existem semelhanças nessas tipificações, como pode ser verificado nos exemplos a seguir: Falso registro: os registros falsos podem ser utilizados para enganar o controle de acesso e se ter acesso à instalação portuária, passando-se por outro, assumindo a identidade de outra pessoa. Esse registro falso pode ser feito pelo encarregado da portaria no momento da passagem, ou pelo encarregado do registro no sistema de autorização de acesso a pessoas, veículos, etc. O falso registro também pode ser utilizado para furtar bens (equipamentos e mercadorias), cobrindo o furto e outras irregularidades. Apropriação de ativos: este tipo de fraude caracteriza-se em ações para se apossar de ativo, ou omissão intencional para facilitar que o ativo seja retirado da empresa. Geralmente existe a participação do funcionário; no entanto, uma ação negligente no controle de acesso contribui para a não detecção dessa fraude. Isso pode acontecer ao não se verificar as bolsas e veículos de prestadores de serviço, por exemplo. É comum com mercadorias de fácil receptação no mercado, equipamentos eletrônicos e material de alto valor. Fraude de computação: pode ser cometida de diferentes formas e tem um grande potencial de crescimento face ao avanço tecnológico e à deficiência na segurança das informações. Com relação à proteção das instalações portuárias, ela pode ocorrer atrelada ao descumprimento da política de segurança da informação, ou ao ser concedida uma autorização indevida de
154
acesso no sistema informatizado, por exemplo, ou ser deletado o arquivo de registro de acesso (log), inviabilizando investigações futuras.
Após tomar conhecimento dos principais tipos de fraudes que já ocorreram na instalação portuária e as mais comuns apresentadas por pesquisas, o auditor passa a direcionar o seu roteiro para examinar se os controles implementados atendem à finalidade para qual foram estabelecidos, e se atendem à demanda de prevenir e detectar fraudes, ou se são vulneráveis para tal objetivo de controle.
Nessa fase, é necessário que sejam levantadas as possibilidades de como as fraudes podem ocorrer, quais os seus possíveis agentes fraudadores, e que pontos de vulnerabilidade podem ser explorados face aos controles implementados, considerando-se os principais negócios e atividades.
Pode parecer difícil identificar como uma fraude ocorre e quem pode ser o fraudador; contudo, ao se analisarem os controles e conhecerem as atividades, podem-se elaborar itens de verificação mais direcionados para as possibilidades de quebra de controle.
Para que seja considerada uma irregularidade, o auditor deverá obter evidências confiáveis e suficientes, que não deixem dúvidas quanto a tal procedimento, focando a sua análise nos aspectos materiais e não apenas em conclusões subjetivas.
As evidências das não conformidades encontradas podem estar referidas nos comentários do auditor com base nas observações das atividades desempenhadas, na análise das entrevistas realizadas e nos documentos analisados, os quais podem ser copiados para ser anexados ao relatório, ou simplesmente referenciados.
As evidências das irregularidades não fraudulentas devem estar consubstanciadas na materialidade de documentos e declarações tomadas com o intuito de se constituírem provas, uma vez que tais irregularidades podem resultar em sanções éticas e legais. Essas evidências podem ser cópias e devem estar acostadas ao relatório de auditoria. Já as evidências de fraudes devem basear-se em documentos originais, deixando as cópias autenticadas no setor examinado. Esses originais devem ser devidamente guardados para ser utilizados na representação legal.
Essas evidências podem ser obtidas do exame sobre o todo, ou de parte dele. As evidências obtidas por amostragem devem ser relevantes,
155
confiáveis e suficientes, e, para isso, o auditor deverá explicitar o método de amostragem escolhido, justificando-o de acordo com os procedimentos a ser utilizados para alcançar os objetivos da auditoria.
Nos casos das evidências de fraude, a amostragem por si só pode ser insuficiente para uma conclusão mais precisa do auditor, requerendo, assim, a extensão do exame para o todo ou para uma parcela maior da população escolhida, com a aplicação de testes mais exaustivos sobre os controles estabelecidos, objetivando explorar as possíveis vulnerabilidades encontradas e os elementos de composição da fraude detectada. Essa atitude poderá delimitar com mais precisão a extensão da fraude, que poderá estar restrita àquela parcela da população escolhida por amostragem, não representando um esquema de maior complexidade.
As não conformidades e irregularidades devem ser registradas no relatório da auditoria. Dependendo da sua complexidade e possível dano à continuidade dos negócios, deve ser imediatamente informada ao auditor líder, ou à pessoa responsável pela instalação portuária para acompanhar a auditoria. Quando uma irregularidade envolver o gerente ou o responsável pela área, tais evidências devem ser registradas como confidenciais e entregues ao escalão superior.
Nas irregularidades consideradas como atos ilegais (ilegalidade), é aconselhável que o auditor aponte no seu relatório que seja feita a representação da ilegalidade aos órgãos oficiais competentes. É fundamental que, em anexo ao relatório, esteja toda a documentação probante, e que isso seja ressaltado no relatório da auditoria.
A representação feita diretamente pelo auditor sobre uma ilegalidade encontrada durante a auditoria, é uma possibilidade que depende da imposição legal. Contudo, mesmo sendo essas evidências consideradas suficientes por parte do auditor, é bom ressaltar que, no sistema judicial, às vezes elas podem vir a ser desconsideradas pelo devido processo legal e por peculiaridades inerentes à sistemática entre acusado-acusador. Dessa forma, observamos que é importante que o auditor faça a recomendação da representação e verifique qual a sua parcela de responsabilidade em fazer, ou não, a representação direta da possível ilegalidade.
Atenção específica deve ser dispensada à irregularidade e à ilegalidade, pois na primeira o auditor deve afirmar ser, ou não ser, uma
156
irregularidade; na segunda, ele deve apontar que tal irregularidade apresenta ser uma possível ilegalidade, não afirmando que é uma ilegalidade, uma vez que a condenação por ato ilegal só pode ocorrer após sentença transitada em julgado. No caso de uma absolvição, por mais absurda que ela possa ser, o auditor poderá ser responsabilizado por ter feito uma acusação indevida. A esse risco ele não deve sujeitar-se, nem tampouco colocar a auditoria realizada sob suspeição.
157
6 RELATÓRIO E AÇÕES DE ACOMPANHAMENTO DA AUDITORIA
Este capítulo trata do relatório da auditoria e das ações de
acompanhamento. O primeiro, porque é uma peça fundamental. Se for mal elaborado, poderá comprometer todo o trabalho executado. O segundo, porque resulta da auditoria e é parte indispensável à conformidade com os requisitos normativos, além de ser primordial para a melhoria do sistema de proteção.
6.1 Relatório
Como já foi abordado no primeiro capítulo, para que a auditoria seja concluída, todas as atividades descritas no plano de auditoria devem ter sido realizadas, e o relatório devidamente elaborado, aprovado e entregue aos clientes da auditoria.
Foi visto também que, pela NBR ISO 19011:2002, os relatórios de auditoria devem incluir: os objetivos da auditoria; o escopo da auditoria, particularmente a identificação das unidades organizacionais e funcionais, ou os processos auditados e o período de tempo coberto; a identificação do cliente de auditoria; a identificação do líder da equipe de auditoria e seus membros; as datas e lugares onde as atividades da auditoria foram realizadas; o critério da auditoria; as constatações da auditoria, e as conclusões da auditoria.
Além desses itens, essa norma orienta que o relatório pode incluir ou se referir, se for apropriado: ao plano de auditoria; a uma lista de representantes do auditado; a um resumo do processo de auditoria incluindo obstáculos e/ou incertezas encontrados, que poderiam diminuir a confiabilidade das conclusões de auditoria; à confirmação de que os objetivos da auditoria foram atendidos dentro do escopo da auditoria e em conformidade com o plano de auditoria; a quaisquer áreas não-cobertas, embora dentro do escopo da auditoria; a quaisquer opiniões divergentes e não resolvidas entre a equipe da auditoria e o auditado; às recomendações para a melhoria, se isso está especificado nos objetivos da auditoria; ao plano
158
de ação de acompanhamento negociado, se existir; a uma declaração da natureza confidencial dos conteúdos, e à lista de distribuição do relatório da auditoria.
Considerando-se que o relatório é uma peça fundamental para a auditoria e que vários aspectos influenciam na sua elaboração, este item foi desenvolvido com o objetivo de fornecer uma orientação de como elaborar um relatório.
Nesse sentido, é apresentado um modelo de estrutura de relatório, que visa a facilitar o relato das atividades para o auditor e dar fluidez à compreensão dos trabalhos realizados para as partes envolvidas na auditoria.
O modelo proposto65 divide o relatório nas seguintes etapas: introdução, objetivo da auditoria, escopo da auditoria, constatações da auditoria, recomendações e conclusão. Introdução
Nesta etapa é feita uma descrição resumida do cliente de auditoria, fazendo referência à importância da certificação de proteção para os negócios da instalação portuária, como também aos dados da organização de auditoria, aos nomes dos auditores e ao período de realização dos trabalhos. Objetivos da auditoria
Neste item constam os objetivos da auditoria, que devem ser a reprodução dos objetivos apostos no plano de auditoria. Escopo da auditoria
Deve ser feita uma descrição do escopo da auditoria, com um breve relato sobre a importância dos exames realizados, bem como a justificativa da extensão de algum exame que tenha sido necessário face à necessidade de se obter uma constatação de auditoria, pois existem casos em que se amplia o foco da auditoria para que seja possível ter certeza de que o exame em determinado domínio está, ou não, em conformidade com os requisitos normativos. 65 Existem outros modelos de relatórios, e caso a Instalação Portuária já possua um padrão de relatório de auditoria estabelecido, como no caso das auditorias dos sistemas ISO de qualidade e ambiental, ela deve seguir ao modelo adotado.
159
É neste item que devem ser descritas as fases da auditoria, se for o caso. Constatações da auditoria
Antes de dar início à descrição do que foi constatado, é importante uma breve descrição de como os exames foram realizados, para oferecer uma clareza maior àqueles que lerão o relatório da auditoria.
A descrição das constatações deve ser feita por domínio, podendo vir o auditor a tecer alguns comentários quando do relato desses domínios. É nessa etapa que devem ser apontadas as não conformidades e as irregularidades, que servirão de base para as recomendações.
É comum o auditor perceber que determinado processo de negócio poderia estar mais bem ajustado e controlado, sem que seja caracterizada uma não conformidade. Nesses casos, é aconselhável que se façam comentários sobre a questão, fundamentando a exposição de motivos para a melhoria. Essa linha de ação é uma tendência para as auditorias no segmento portuário, devido à sua importância para o cenário internacional de proteção e melhoria da vida no mar.
Caso o auditor faça a opção de apontar a recomendação para a não conformidade encontrada, ou para a melhoria, neste item de relatório, em nada interferirá na estrutura do relatório, pois tal colocação facilita a compreensão de quem está lendo o relatório. Recomendações
Neste item devem ser consolidadas todas as recomendações das não conformidades encontradas, como também das ações para a melhoria do sistema de proteção.
Caso as recomendações e ações de melhoria sejam apontadas no item das constatações de auditoria, e mesmo parecendo ser, até certo ponto, repetitivas, a opção por este item específico do relatório dar-se-á pelo fato de que algumas recomendações podem alcançar mais de um domínio examinado, além de tornar mais claras e concisas tais recomendações. Conclusão
Nesta etapa é feita a conclusão dos trabalhos, quando o auditor
160
deverá fazer menção à completeza dos exames e ao atendimento dos objetivos propostos à auditoria, ressaltando a importância para o atendimento das ações corretivas, saneadoras, e para a melhoria do sistema integrado de proteção da instalação portuária. 6.2 Ações de acompanhamento
As ações de acompanhamento são decorrentes dos exames de auditoria e objetivam sanear irregularidades e não conformidades, bem como a melhoria de um sistema.
São ações que devem ser implementadas pelo auditado, e requerem um acompanhamento por parte dos auditores. É necessário que esse acompanhamento seja realizado mediante uma auditoria de acompanhamento.
Essa auditoria é bastante específica e deve ter como objetivo a verificação da conformidade das medidas implementadas. O seu foco precisa estar alinhado com a extensão dessas medidas. O relatório dessa auditoria deve seguir o mesmo roteiro do relatório de uma auditoria geral.
Nos casos em que a organização de auditoria seja contratada para implementar as ações saneadoras e de melhoria, faz-se necessário atentar para que seja mantida a independência entre essas áreas. Essas situações são bem pontuadas, quando as auditorias são executadas por organização de auditoria, quando do exame de um sistema, a fim de prepará-lo para a certificação internacional de proteção.
Nesses casos específicos, mesmo que a auditoria de acompanhamento seja realizada por essa mesma organização, faz-se necessário, que tal exame não seja em prazo inferior a 30 (trinta) dias, para que tais procedimentos e melhorias possam ter um período mínimo de maturação.
161
BIBLIOGRAFIA
Associação Brasileira de Normas Técnicas (ABNT). NBR ISO 19011 - Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental. São Paulo: ABNT, 2002. Associação Brasileira de Normas Técnicas (ABNT). NBR ISO/IEC 27002:2005 – Tecnologia da informação – Código de prática para a gestão da segurança da informação. Rio de Janeiro: ABNT, 2005. Associação Brasileira de Normas Técnicas (ABNT). NBR ISO/IEC 27001:2006 – Tecnologia da informação – Técnicas de segurança – Sistema de gestão de segurança da informação - requisitos. Rio de Janeiro: ABNT, 2006. AS/NZS 4360:2004 Risk Management. Third edition. Sydney/Wellington: Standards Australia/Standards New Zealand, 2004. ATTIE, William. Auditoria: conceitos e aplicações. São Paulo:Atlas, 1998. BRASIL. Código Internacional para a Proteção de Navios e Instalações Portuárias. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2004. BRASIL. Portaria no 387, de 03 de outubro de 2006. Ministério da Justiça: Departamento da Polícia Federal (DPF), 2006. BRASIL. Resolução no 02, de 02 de dezembro de 2002. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2002. BRASIL. Resolução no 12, de 18 de dezembro de 2003. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2003. BRASIL. Resolução no 18, de 18 de dezembro de 2003. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2003. BRASIL. Resolução no 26, de 08 de junho de 2004. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2004. BRASIL. Resolução no 32, de 11 de novembro de 2004. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2004. BRASIL. Resolução no 33, de 11 de novembro de 2004. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2004.
162
BRASIL. Resolução no 36, de 21 de junho de 2005. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2005. BRASIL. Resolução no 37, de 21 de junho de 2005. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2005. BRASIL. Resolução no 47, de 07 de abril de 2011. Ministério da Justiça: Comissão Nacional de Segurança Pública nos Portos, Terminais e Vias Navegáveis (CONPORTOS), 2011. BRASIL. Instalações portuárias – Quadro geral. Disponível em: <http://www.mj.gov.br/senasp/conportos/documentos/conportos_instalacoes_certificadas.pdf>. Acesso em: 27.jun.2011. BUSINESS CONTINUITY PLANNING GUIDE (BCPG). First edition. Property Advisers to the Civil Estate (PACE): Central Advice Unit, may, 1998. CASADA, Myron; Thomas Nolan; David Trinker; and David Walker. Guide for Port Security. Houston: ABS Consulting, Octuber, 2003. CIACCIO, Maurício. “Controle de Acesso: uma das mais conhecidas estratégias de segurança”. In: Revista Proteger, ano VIII, no 48. São Paulo, 2005. DANTAS, Marcus Leal. Segurança preventiva: conduta inteligente do cidadão. Recife: Nossa livraria, 2003. Disarming the Value Killers – A Risk Management Study. Deloitte Touche Tohmatsu, 2005. Ernst & Young 8th Global Fraud Survey (Fraud – The Unmanaged Risk). Ernst & Young: Global Investigations & Dispute Advisory Services, 2003. ERNST & YOUNG. Fraud: Real solution to a real risk. London: Ernst & Young LLP, 2004. HERZOG, Ana Luiza. Sua empresa jamais esteve tão ameaçada. Revista Exame, São Paulo, SP, no 09, ano 40, ed Ed. 867, p. 84-86, 10 maio 2006. INTERNATIONAL ASSOCIATION OF PORT AND HARBORS (IAPH). Report on ISPS Code - Port Readiness Survey. In: Review Port and Harbors, june, 2004. INTERNATIONAL MARITIME ORGANIZATION (IMO). International Ship and Port Facility Security Code (ISPS Code). Eletronic Edition. London: International Maritime Organization, 2003. INFORMATION SYSTENS AUDIT AND CONTROL ASSOCIATION (ISACA). IS Standards, Guideliness and Procedures for Auditing and Control Professionals. Illinois, USA: Information Systens Audit and Control Association, 2006. IT GOVERNANCE INSTITUTE (ITGI). COBIT 4.1. Illinois, USA: IT Governance Institute, 2007.
163
ISO/IEC Guide 73:2002 – Risk Management – Vocabulary – Guideliness for use in standards. First edition. Switzerland: International Organization for Standardization, 2002. IUDÍCIBUS, Sérgio de; MARION, José Carlos. Termos de Contabilidade. São Paulo: Editora Atlas S.A., 2001. JUND, Sérgio. Auditoria: conceitos, normas técnicas e procedimentos. 4a Ed., Rio de Janeiro:Impetus, 2002. KPMG. A fraude no Brasil – Relatório da pesquisa 2002. São Paulo: KPMG Forensic, 2003. MICHAELIS: pequeno dicionário da língua portuguesa. São Paulo: Companhia Melhoramentos, 1998. MICROSOFT. Guia de Gerenciamento de Riscos de Segurança. Disponível em: <http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx>. Acesso em 20 abr 2005. UNITED STATES COAST GUARD. Navigation and Vessel Inspection Circular 11/2002 - NVIC 11-02: RECOMMENDED SECURITY GUIDELINES FOR FACILITIES. Washington: United States Coast Guard, 2003.
164
165
166
