Otimize a Frequência das Auditorias Internas com uma Abordagem Mais Inteligente

No universo corporativo, uma pergunta tem sido feita cada vez com mais frequência na hora de aprimorar processos, práticas e reduzir a exposição das empresas a riscos desnecessários: Com que frequência as organizações devem realizar auditorias internas?

Normalmente, os responsáveis pelas auditorias definem a frequência e a data em que elas devem ocorrer, de acordo com experiências passadas ou, simplesmente, com base no feeling ou na disponibilidade das pessoas em determinada data. No entanto, há uma maneira mais simples e inteligente, que utiliza dados estatísticos, para auxiliar as organizações a definirem melhor quando as auditorias devem ocorrer.

Antes de agendar uma auditoria, é importante considerar seus objetivos e especificidades. O escopo de cada auditoria deve considerar as características, crescimento e evolução dos processos e atividades na organização, sejam estes operacionais ou estratégicos, incluindo os pontos de controle para avaliar se as iniciativas propostas estão ocorrendo conforme o esperado.

Embora as auditorias internas sejam importantes para qualquer organização, a maioria das empresas costuma lidar com conflitos entre a limitação de recursos (tempo e pessoas) e os requisitos necessários para atingir os objetivos dessas auditorias. Como resultado, as auditorias muitas vezes são agendadas de forma arbitrária ou apenas para fins de certificação.

Além disso, a ausência de um cronograma de auditoria fundamentada em dados estatísticos pode gerar riscos imprevisíveis nas operações, a qualquer momento. Dessa forma, as organizações tornam-se mais reativas ao implementarem ações de melhoria, o que pode reduzir a eficiência dos processos e consumir recursos valiosos - e limitados - de diversas áreas.

Considerando esses pontos, será que é possível saber com antecedência as mudanças inesperadas que podem ocorrer em um processo específico e quando? E se houvesse um método eficaz, baseado em análise estatística, que fornecesse uma recomendação científica para definir o intervalo ideal entre as auditorias internas?

Utilizando estatística para definir a frequência das auditorias internas

Antes de discutir o método por trás da definição da frequência ótima para a realização das auditorias, é importante distinguir uma auditoria interna de uma verificação ou inspeção pontual em relação a determinado processo.

A verificação ou inspeção pontual serve para fornecer evidências da eficácia do(s) processo(s) de forma rápida, porém, de maneira arbitrária. No entanto, essa abordagem é inadequada para garantir a qualidade de um processo ou a eficácia de um sistema de gestão.

A auditoria interna, por outro lado, deve ser conduzida de maneira sistemática e completa, com o intuito de garantir que os processos auditados incluam entradas, variáveis e saídas consistentes, em uma abordagem que possa ser compreendida por todos na organização.

Esse tipo de auditoria tem por objetivo atender aos requisitos e às expectativas estabelecidas para processos específicos. Dessa forma, as auditorias internas requerem tempo, esforço e habilidade consideráveis, embora também sejam importantes para avaliar e monitorar o desempenho dos processos e atividades de uma organização no longo prazo.

O principal fundamento do método estatístico aqui proposto diz respeito ao impacto de eventos inesperados nas operações cotidianas das empresas. Tais eventos possuem uma probabilidade de ocorrência equivalente ao longo do tempo, sendo razoável usar a propriedade 'memoryless' ('sem memória') da distribuição exponencial de probabilidades para prevê-los. Dessa forma, é possível estimar a probabilidade de ocorrência de um evento inesperado para um determinado processo em função do tempo.

Com o passar do tempo, eventos inesperados ocorrerão com uma certa probabilidade, representada pela função densidade de probabilidade (FDP) da distribuição exponencial. Lembrando que uma das FDPs mais conhecidas é a curva em formato de sino, usada para ilustrar a distribuição normal de probabilidades (com média igual a 0 e desvio-padrão igual a 1).

FDP Normal (clique na imagem para ampliar)

Eventos inesperados nas organizações podem estar relacionados, por exemplo, a equipamentos de teste reprojetados sem o devido controle de qualidade ou a especificações desatualizadas de testes de auditoria decorrentes da falta de informação sobre a necessidade de revisão do processo.

Dado qualquer processo, estima-se que há baixa probabilidade de que eventos inesperados aconteçam imediatamente após uma auditoria interna. No entanto, tais eventos podem ocorrer a uma taxa crescente e perceptível no próximo ano ou dois anos após a realização da auditoria!

Para representar essa situação, utiliza-se uma função matemática, em que a variável dependente é a probabilidade de ocorrência de eventos inesperados (riscos) e a variável independente é o tempo. Este conceito é semelhante ao de Tempo Médio Entre Falhas (MTBF), bastante utilizado na Engenharia da Confiabilidade.

Aplicação e etapas deste método estatístico

A seguir, mostramos um exemplo de como os conceitos aqui apresentados se relacionam.

Em uma planta para fabricação de cabos de telecomunicações, um dos processos críticos é a amostragem e teste de desempenho do produto na estação de controle final da qualidade. 

De acordo com os registros (como auditorias internas anteriores, reclamações de clientes e taxa de falha detectada nessa estação), os dados estatísticos mostram que o MTBF para a 'ocorrência de um evento inesperado' no processo é de cerca de dois anos, ou 104 semanas. 

Para um processo crítico como esse, define-se o limite de risco, ou risco tolerável para esse processo, em 0,05. Em seguida, pode-se calcular o intervalo ótimo para a realização de uma auditoria interna por meio da FDP exponencial:

P (x ≤ x0) = 1 – e^(-x0 / μ)

Esse cálculo pode ser feito facilmente utilizando o software MINITAB 2020, conforme mostrado a seguir. 

No Minitab > Calc. > Distrib. de Prob.> Função de Distrib. Acum. Inversa

Frequência Ótima da Auditoria (clique na imagem para ampliar)

Neste exemplo, obtém-se o resultado de cinco semanas (arredondado de 5,335). Em outras palavras, este é o intervalo ideal para agendar uma auditoria interna deste processo específico. Isso significa que, do ponto de vista estatístico, um evento individual inesperado ocorrerá no intervalo de cinco semanas, com uma probabilidade muito baixa, de cerca de 5%.

Dessa forma, o risco de o processo ou sistema de gestão oscilar dentro de tal intervalo (cinco semanas) é estimado em apenas 5%, o que é tolerável do ponto de vista da gestão de riscos.

O gráfico da FDP exponencial abaixo ajuda a ilustrar esse conceito de forma intuitiva.

FDP Exponencial (clique na imagem para ampliar)

Em resumo, as etapas da abordagem proposta neste artigo são as seguintes:

1. Selecione um processo crítico a ser auditado utilizando o método aqui descrito. Enquanto isso, mantenha todos os outros processos seguindo sua programação usual de auditoria.

Os processos selecionados para esta abordagem devem ser os poucos considerados vitais. Ou seja, se um desses processos vitais falhar, haverá graves consequências para a organização, em termos de segurança, responsabilização ou grandes perdas econômicas. O limite de risco varia de empresa para empresa, mas, de um modo geral, não deve ser superior a 0,05 (ou 5%).

2. Colete dados históricos para calcular o MTBF dos processos críticos selecionados. O MTBF é definido de acordo com a robustez dos processos, especialmente pela eficácia dos controles existentes e pelo grau em que a cultura da organização está voltada à melhoria contínua.

3. Use a função densidade de probabilidade (FDP) exponencial para calcular o intervalo ideal entre cada auditoria.

4. Mantenha as etapas 2. e 3. sempre atualizadas, de acordo com novos achados das auditorias e problemas relatados, oriundos por exemplo de reclamações de clientes.

A maneira tradicional de estabelecer um cronograma de auditoria interna é definir sua frequência em um ciclo trimestral ou anual. Porém, comparativamente, percebe-se que os riscos nas auditorias tradicionais são consideravelmente maiores do que os toleráveis em uma abordagem científica.

O risco (aqui definido como a probabilidade de ocorrer um evento inesperado) seria de 0,12 se a frequência de cada auditoria fosse trimestral e de 0,39 se fosse anual, conforme a tabela abaixo. Isso representa, respectivamente, riscos cerca de 2,5 e 8,4 vezes maiores do que o limite de risco tolerável (de 0,05), segundo este método estatístico!!

Risco (Prob.) associado a cada intervalo entre auditorias 
(clique na imagem para ampliar)

A tabela acima exibe o nível de risco, em termos de probabilidade, associado a cada intervalo entre auditorias.

Neste método estatístico, o MTBF é um parâmetro-chave. No entanto, o termo MTBF pode ser enganoso se não for compreendido estatisticamente. Pode-se interpretar, erroneamente, que não é necessário se preocupar com a ocorrência de eventos inesperados dentro do período de MTBF, embora a probabilidade de pelo menos uma ocorrência de evento inesperado dentro do período de MTBF seja de 0,63.

Apesar disso, não é incomum que o MTBF seja mal interpretado quando se discute a confiabilidade do produto... Este é apenas um exemplo que mostra que as intuições dos gestores nem sempre ajudam a tomar decisões e análises racionais. Isso explica a importância da análise estatística, mesmo para questões que não parecem complexas...

Aplicação em outros processos de negócios

A partir do exemplo acima, é possível utilizar o software MINITAB 20 de forma simples e rápida para elaborar esta análise estatística, que também pode ser realizada em uma planilha em Excel.

Existem diversos controles necessários para que uma organização reduza a exposição a riscos de suas operações, e a auditoria interna é uma maneira eficaz para garantir que os processos e sistemas relacionados a esses controles funcionem conforme o esperado.

Para determinados processos, no entanto, o método estatístico apresentado neste artigo pode ser incompatível. Para processos de negócios que estão em fase embrionária (período de 'depuração') e para processos que estão chegando ao fim de seu período de 'vida útil', este método é incompatível, e é necessário adotar outra abordagem.

Na Engenharia da Confiabilidade, o conceito da 'curva da banheira' é bem conhecido quando se discutem as taxas de falha e a confiabilidade do produto. A taxa de falha diminui no período de 'depuração', enquanto aumenta no período de 'desgaste', mantendo-se constante (e 'sem memória') no período de 'vida útil', conforme mostrado abaixo.

Curva da Banheira (clique na imagem para ampliar)

Para um processo de negócios maduro, que indica estar no período de 'vida normal', em que a taxa de falha é constante (ver figura acima), a abordagem estatística discutida neste artigo funciona muito bem. 

Este método de decisão também pode ser facilmente aplicado para programar outros tipos de auditoria ou atividades preventivas, caso a organização considere que a probabilidade de ocorrência do evento inesperado se dá de forma equivalente ao longo do tempo. 

E lembre-se: a abordagem científica aqui apresentada pode ajudá-lo(a) a tomar decisões mais inteligentes em inúmeras situações!!

Fonte: "A smarter, scientific way to schedule quality assurance audits" - Michael Liu

______________________________________

Para saber mais sobre técnicas de análise de riscos e o universo das auditorias:

• Conheça nossos serviços de Análises Quantitativas de Riscos Baseadas na ISO 31000.
  
  
• Realize em sua organização nosso Curso de Capacitação em Gestão de Riscos e Auditoria Baseada em Riscos.
  
  
• Aprimore sua Auditoria Baseada em Riscos com o AuditXP.
  
  
• Conheça nossos serviços de Apoio Técnico de Auditorias Internas e Auditorias de Conformidade Legal.
  
  
• Participe do nosso Curso Análise de Riscos e Controles com a Metodologia BowTie.