Tenho notado certa dificuldade por parte de alguns profissionais no uso de terminologias em nossa área. Não é rara a confusão entre diagnóstico e análise de riscos e/ou levantamento de riscos ou vulnerabilidades e auditoria. Certamente não temos a pretensão de corrigir ninguém, mas apenas de esclarecer e fornecer subsídios para a realização dos trabalhos de auditoria e diagnóstico em segurança empresarial. Podemos definir Auditoria como sendo o “Exame cuidadoso, sistemático e independente, cujo objetivo seja averiguar se as atividades desenvolvidas em determinada empresa ou setor estão de acordo com as disposições planejadas e/ou estabelecidas previamente, se estas foram implementadas com eficácia e se estão adequadas (em conformidade) à consecução dos objetivos.” O objetivo macro da auditoria é apontar falhas e vulnerabilidades a que as empresas estão expostas e sugerir medidas corretivas e preventivas para saná-las,

feedback válido sobre a adequação, implementação e eficácia dos processos utilizados pela empresa. Esta é a meta da auditoria e deve ser o foco de trabalho.

A auditoria se classifica em Interna ou Operacional, onde funcionários da empresa executam procedimentos para verificar a integridade, adequação e eficácia dos controles internos e Externa ou Independente que constitui o conjunto de procedimentos técnicos que tem por objetivo a emissão do parecer sobre a adequação (conformidade ou não) entre o Planejamento e execução dos trabalhos nas operações da empresa. A auditoria externa costuma apresentar melhores resultados práticos tendo em vista sua própria característica de envolver profissionais técnicos, especialistas e independentes cujo interesse único deve ser o de fornecer um parecer claro, preciso e conciso sobre a empresa, setor, sistema ou processo que está sendo auditado, sem receio de constrangimentos entre colegas e represália de superiores, fatos estes que muitas vezes acabam comprometendo o trabalho do auditor interno ou da equipe de auditoria.

Lembro bem do tempo em que fui coordenador de gerenciamento de riscos numa grande multinacional onde ser um auditor “carrasco” era um grande passo para atingir a gerência, mas felizmente isso mudou. A auditoria deve ser encarada como subsídio para a melhoria contínua dos processos. Notadamente, na segurança empresarial, frente aos inúmeros e diversificados cenários que nos cercam, torna-se fator imprescindível para que o gestor de segurança possa ter o controle dos processos e sistemas e mantê-los alinhados com as necessidades de mitigação de riscos nas empresas.

Outro aspecto da auditoria que queremos salientar é a sua visão moderna com foco no risco para o negócio. O padrão antigo da auditoria tinha foco nos controles internos, sua eficácia ou não, etc. Atualmente, os gestores devem focar a prioridade e o controle de tratamento dos riscos que devem estar consignados no Plano de Ação, confeccionado a partir de análise de riscos criteriosa, onde os perigos estratégicos foram identificados, os fatores de risco estudados, encontrando-se a probabilidade de ocorrência do evento danoso e o impacto financeiro no negócio, culminando com a perda esperada. A auditoria, portanto, deve servir de ferramenta para medir a eficácia do plano de ação e das medidas preventivas ou corretivas nele propostas, bem como os parâmetros de tempo e qualidade na implantação e execução do mesmo.

A auditoria muitas vezes se transforma na porta de entrada de uma consultoria em uma empresa. Certa vez fomos contratados para realizar uma auditoria no contrato, fornecimento e implantação de sistemas eletrônicos de segurança e logo após este cliente nos contratou como assistentes (peritos) no processo de indenização por dano movido contra a suposta empresa de “consultoria” e seus “especialistas em segurança”, termos utilizados na proposta de prestação de serviços da empresa ré e os colegas podem imaginar que os referidos termos só ficaram no papel mesmo! Na oportunidade questionei o representante técnico da prestadora de serviços sobre seu conhecimento com respeito a nossas associações de classe e nossos títulos de especialização na área. Não obstante estivesse no interior de São Paulo (Município próximo a Ribeirão Preto), pareceu-me naquela ocasião estar em outro mundo. Nem a empresa nem seus profissionais tinham conhecimento dos temas apresentados. Fica aqui uma dica, tanto para prestadores como para tomadores de serviços: muita cautela na elaboração de propostas e contratos, pois a responsabilidade (jurídica ao menos) inicia-se já na apresentação da proposta que se integra ao contrato principal, onde deve constar específica e detalhadamente qual o tipo, o nível, qualidade, duração, etc. dos serviços e equipamentos a serem fornecidos para que não haja desentendimento ou prejuízo para ambas as partes. No exemplo acima, existiam inúmeras irregularidades técnicas e contratuais no fornecimento dos serviços, mas o cliente não conseguiu seu intento (indenização) em primeira instância, tendo em vista que aceitou o contrato tal como estava redigido e como não havia as especificações e detalhamentos do nível de qualidade dos serviços e equipamentos fornecidos e instalados, muito menos do profissional que elaborou o “projeto de segurança”, o juízo entendeu pela não caracterização do dano, lembrando que cabe a quem alega provar o dano, o prejuízo.

Depois dessa pequena viagem ao “velho oeste” vamos retomar o foco principal. Cabe salientar alguns fatores relevantes e pressupostos na execução dos trabalhos de auditoria:
•Planejamento;
•Exames preliminares;
•Definição da amplitude do trabalho;
•Conhecimento detalhado do Plano de segurança e normas;
•Natureza e extensão dos procedimentos a serem aplicados;
•Utilização do trabalho de especialistas e outros auditores;
•Conhecimento das atividades operacionais;
•Conhecimento das Políticas de segurança.

A auditoria não deve ser confundida com uma análise de segurança. Seu foco deve ser o negócio da empresa. Devemos analisar os procedimentos formalizados ou não e compará-los com o que ocorre na prática, dentro da rotina dos processos. Se houver divergência entre o procedimento e a prática, existirá uma não conformidade, que deverá ser sanada por uma ação corretiva. A ação corretiva, adequação, atualização e revisão de normas e procedimentos e/ou treinamentos, é fundamental para a eficácia do trabalho de auditoria.

Quando implantar uma auditoria? Muitos já ouviram frases do tipo: Será que minha empresa tem a segurança adequada? - Estaremos perdendo dinheiro por desvios, fraudes e furtos? - E se tal fato ocorresse na minha empresa, estaríamos preparados? - A equipe de segurança é bem treinada e sabe o que fazer? - Por que sempre acontecem diferenças grandes no inventário? Para sanar estas dúvidas de forma concreta, utilizamos os processos de auditoria. A auditoria deve constar nos planos de ação, segurança, emergência e continuidade de negócio, também deve ser realizada após um sinistro e sempre que houver alteração de cenários na empresa.

Existem vários tipos de check list para execução da auditoria conforme o tipo de empreendimento e experiência do profissional. De forma geral, sugerimos ter sempre em mente os pilares básicos da segurança como foco de trabalho, ou seja: recursos humanos, técnicos e organizacionais. Para a efetiva realização dos trabalhos faz-se necessário que a empresa possua documentação suficiente e específica, pertinente ao que deve ser avaliado.

Os documentos básicos que sugerimos são:
- Políticas de Segurança; Planos de Segurança, Emergência, Contingência, etc.; Normas, Procedimentos, Manuais; Contratos; Apólice de Seguros.

Para maiores detalhes e esclarecimentos, mantemos um curso específico sobre o assunto, cujas informações podem ser acessadas através de nosso site www.segplus.net. Acompanhem também o lançamento de vídeo aula do JSEG sobre o tema.

Agradeço a atenção de todos e aguardo vocês na próxima edição onde escreveremos sobre o Diagnóstico e as ferramentas para sua elaboração. Forte abraço a todos!

Paulo César Rocha Barnabé