A ABR fornece uma abordagem sistemática para a gestão de riscos de qualquer natureza, incluindo os relacionados às áreas de QSMS.
Nossa proposta é que as empresas desenvolvam cenários de risco que possam ser visualizados e gerenciados, utilizando a metodologia BowTie. Para controlar esses riscos, mantendo-os em níveis aceitáveis, são introduzidos então controles (preventivos e reativos) em cada cenário.
Para garantir que os controles funcionem como deveriam, é necessário implementar medidas que assegurem a eficácia dos mesmos como, por exemplo, atividades de planejamento, treinamento, manutenção, inspeção, etc. Nesse sentido, o software AuditXP surge como uma ferramenta fundamental, facilitando todas as etapas da auditoria.
Aprimorando a ABR com o AuditXP
Por via de regra, a Auditoria Baseada em Riscos pode apresentar 3 objetivos principais:
- Avaliar a eficácia dos controles;
- Monitorar o desempenho do sistema de gestão;
- Verificar a conformidade com os requisitos legais aplicáveis à organização (auditoria de conformidade legal).
Utilizando o AuditXP, é possível, de forma simples e prática, atingir esses objetivos. A ferramenta funciona como um complemento (add-on) do software BowTieXP e é usada para gerar questionários ou pesquisas de auditoria, relacionando-os a cada controle no diagrama BowTie.
 |
| Figura 1: Auditoria Baseada em Riscos (clique na figura para ampliar) |
Avaliação da eficácia dos controles
O desempenho dos controles é um indicador importante da eficácia da gestão de riscos em uma organização. Controles eficazes podem impedir a ocorrência de eventos indesejados e, por isso, devem ser monitorados com frequência. Não existe um consenso, no entanto, sobre a melhor forma de avaliá-los. Uma maneira de obter dados sobre o desempenho desses controles é por meio de questionários.
No AuditXP, é possível criar pesquisas para avaliar a eficácia dos controles. Primeiramente, criam-se perguntas específicas, relacionadas ao desempenho de cada controle, de modo a atribuí-las aos respectivos controles. Em seguida, selecionam-se as questões mais relevantes para gerar uma pesquisa e enviá-la aos responsáveis pela auditoria. Depois do preenchimento das informações relevantes, as respostas podem ser importadas ao diagrama BowTie com o AuditXP (Figura 2 abaixo).
 |
Figura 2: Eficácia dos Controles - Ex. de Resultados da Auditoria (clique na figura para ampliar) |
Monitoramento do desempenho do sistema de gestão
O desempenho dos controles está diretamente relacionado à performance dos sistemas de gestão (ligados, por sua vez, a um conjunto de atividades pré-definidas). Uma gestão eficaz dos controles requer um bom desempenho das empresas em diferentes aspectos de gestão.
Por exemplo, a ISO 45001 exige que as organizações fundamentem seus processos com base em recursos, competência, conscientização das pessoas, etc. Esses fatores apoiam a implementação dos controles, do nível organizacional ao operacional. Avaliar o desempenho do sistema de gestão é uma função importante da ABR. Como a eficácia das atividades determina a performance do sistema de gestão, podemos monitorar o desempenho de tais atividades.
Ao usar o AuditXP, é possível criar uma pesquisa com perguntas voltadas às atividades do sistema de gestão, em vez dos próprios controles. Por exemplo, uma BowTie tem um controle "Direção defensiva", suportado pela atividade "Treinamento de direção defensiva", para garantir o desempenho deste controle.
Para avaliar o desempenho do sistema de gestão, podem-se criar perguntas relacionadas a essa atividade. Essas perguntas são então incorporadas a diferentes pesquisas que, uma vez preenchidas, geram resultados que podem ser visualizados e monitorados no diagrama BowTie (Figura 3)
 |
| Figura 3: Eficácia das Atividades - Ex. de Resultados da Auditoria (clique na figura para ampliar) |
Verificação da conformidade com requisitos legais
A avaliação do desempenho dos controles e atividades do sistema de gestão fornece evidências explícitas e confiáveis para a auditoria externa. Empresas podem usar esses dados para garantir a conformidade com requisitos legais. Auditores externos também podem usar o AuditXP para realizar uma auditoria externa.
Para verificar se uma organização está em conformidade com os requisitos legais que a afetam (definidos, por exemplo, em leis, decretos, NRs, etc.), é necessário, primeiramente, definir a estrutura de conformidade (compliance framework) e os objetivos dos controles relacionados a esses requisitos. Tais objetivos devem ser especificados para orientar os usuários a criarem perguntas voltadas à conformidade legal.
O AuditXP facilita a conexão dos objetivos aos controles ou atividades pertinentes. Os auditores podem elaborar pesquisas de acordo com os objetivos em uma estrutura de conformidade, atribuindo as perguntas aos controles ou atividades correspondentes. Assim, as respostas a essas questões indicam se a organização alcança os objetivos dentro dessa estrutura de conformidade.
Além de responder às perguntas, os usuários também podem fazer comentários sobre um controle ou atividade. Com base nesses dados, é possível determinar o nível de maturidade da gestão de riscos da organização, bem como a conformidade com os requisitos legais aplicáveis.
Utilizando o AuditXP para aprimorar as Auditorias Baseadas em Risco, é possível identificar e monitorar pontos críticos da operação e, assim, propor alternativas para melhorar a eficácia dos controles e o desempenho do sistema de gestão.
No vídeo abaixo, mostramos como AuditXP pode ser usado para melhorar as ABRs e atingir os objetivos das auditorias.
