No universo corporativo, uma pergunta tem sido feita cada vez com mais frequência na hora de aprimorar processos, práticas e reduzir a exposição das empresas a riscos desnecessários: Com que frequência as organizações devem realizar auditorias internas?
Normalmente, os responsáveis pelas auditorias definem a frequência e a data em que elas devem ocorrer, de acordo com experiências passadas ou, simplesmente, com base no feeling ou na disponibilidade das pessoas em determinada data. No entanto, há uma maneira mais simples e inteligente, que utiliza dados estatísticos, para auxiliar as organizações a definirem melhor quando as auditorias devem ocorrer.
Antes de agendar uma auditoria, é importante considerar seus objetivos e especificidades. O escopo de cada auditoria deve considerar as características, crescimento e evolução dos processos e atividades na organização, sejam estes operacionais ou estratégicos, incluindo os pontos de controle para avaliar se as iniciativas propostas estão ocorrendo conforme o esperado.
Embora as auditorias internas sejam importantes para qualquer organização, a maioria das empresas costuma lidar com conflitos entre a limitação de recursos (tempo e pessoas) e os requisitos necessários para atingir os objetivos dessas auditorias. Como resultado, as auditorias muitas vezes são agendadas de forma arbitrária ou apenas para fins de certificação.
Além disso, a ausência de um cronograma de auditoria fundamentada em dados estatísticos pode gerar riscos imprevisíveis nas operações, a qualquer momento. Dessa forma, as organizações tornam-se mais reativas ao implementarem ações de melhoria, o que pode reduzir a eficiência dos processos e consumir recursos valiosos - e limitados - de diversas áreas.
Considerando esses pontos, será que é possível saber com antecedência as mudanças inesperadas que podem ocorrer em um processo específico e quando? E se houvesse um método eficaz, baseado em análise estatística, que fornecesse uma recomendação científica para definir o intervalo ideal entre as auditorias internas?
Utilizando estatística para definir a frequência das auditorias internas
|
Dado qualquer processo, estima-se que há baixa probabilidade de que eventos inesperados aconteçam imediatamente após uma auditoria interna. No entanto, tais eventos podem ocorrer a uma taxa crescente e perceptível no próximo ano ou dois anos após a realização da auditoria!
Para representar essa situação, utiliza-se uma função matemática, em que a variável dependente é a probabilidade de ocorrência de eventos inesperados (riscos) e a variável independente é o tempo. Este conceito é semelhante ao de Tempo Médio Entre Falhas (MTBF), bastante utilizado na Engenharia da Confiabilidade.
Aplicação e etapas deste método estatístico
A seguir, mostramos um exemplo de como os conceitos aqui apresentados se relacionam.
Em uma planta para fabricação de cabos de telecomunicações, um dos processos críticos é a amostragem e teste de desempenho do produto na estação de controle final da qualidade.
De acordo com os registros (como auditorias internas anteriores, reclamações de clientes e taxa de falha detectada nessa estação), os dados estatísticos mostram que o MTBF para a 'ocorrência de um evento inesperado' no processo é de cerca de dois anos, ou 104 semanas.
Para um processo crítico como esse, define-se o limite de risco, ou risco tolerável para esse processo, em 0,05. Em seguida, pode-se calcular o intervalo ótimo para a realização de uma auditoria interna por meio da FDP exponencial:
P (x ≤ x0) = 1 – e^(-x0 / μ)
Esse cálculo pode ser feito facilmente utilizando o software MINITAB 2020, conforme mostrado a seguir.
No Minitab > Calc. > Distrib. de Prob.> Função de Distrib. Acum. Inversa
Frequência Ótima da Auditoria (clique na imagem para ampliar) |
Neste exemplo, obtém-se o resultado de cinco semanas (arredondado de 5,335). Em outras palavras, este é o intervalo ideal para agendar uma auditoria interna deste processo específico. Isso significa que, do ponto de vista estatístico, um evento individual inesperado ocorrerá no intervalo de cinco semanas, com uma probabilidade muito baixa, de cerca de 5%.
Dessa forma, o risco de o processo ou sistema de gestão oscilar dentro de tal intervalo (cinco semanas) é estimado em apenas 5%, o que é tolerável do ponto de vista da gestão de riscos.
O gráfico da FDP exponencial abaixo ajuda a ilustrar esse conceito de forma intuitiva.
FDP Exponencial (clique na imagem para ampliar) |
Em resumo, as etapas da abordagem proposta neste artigo são as seguintes:
1. Selecione um processo crítico a ser auditado utilizando o método aqui descrito. Enquanto isso, mantenha todos os outros processos seguindo sua programação usual de auditoria.
Os processos selecionados para esta abordagem devem ser os poucos considerados vitais. Ou seja, se um desses processos vitais falhar, haverá graves consequências para a organização, em termos de segurança, responsabilização ou grandes perdas econômicas. O limite de risco varia de empresa para empresa, mas, de um modo geral, não deve ser superior a 0,05 (ou 5%).
2. Colete dados históricos para calcular o MTBF dos processos críticos selecionados. O MTBF é definido de acordo com a robustez dos processos, especialmente pela eficácia dos controles existentes e pelo grau em que a cultura da organização está voltada à melhoria contínua.
3. Use a função densidade de probabilidade (FDP) exponencial para calcular o intervalo ideal entre cada auditoria.
4. Mantenha as etapas 2. e 3. sempre atualizadas, de acordo com novos achados das auditorias e problemas relatados, oriundos por exemplo de reclamações de clientes.
A maneira tradicional de estabelecer um cronograma de auditoria interna é definir sua frequência em um ciclo trimestral ou anual. Porém, comparativamente, percebe-se que os riscos nas auditorias tradicionais são consideravelmente maiores do que os toleráveis em uma abordagem científica.
O risco (aqui definido como a probabilidade de ocorrer um evento inesperado) seria de 0,12 se a frequência de cada auditoria fosse trimestral e de 0,39 se fosse anual, conforme a tabela abaixo. Isso representa, respectivamente, riscos cerca de 2,5 e 8,4 vezes maiores do que o limite de risco tolerável (de 0,05), segundo este método estatístico!!
Risco (Prob.) associado a cada intervalo entre auditorias (clique na imagem para ampliar) |
A tabela acima exibe o nível de risco, em termos de probabilidade, associado a cada intervalo entre auditorias.
Neste método estatístico, o MTBF é um parâmetro-chave. No entanto, o termo MTBF pode ser enganoso se não for compreendido estatisticamente. Pode-se interpretar, erroneamente, que não é necessário se preocupar com a ocorrência de eventos inesperados dentro do período de MTBF, embora a probabilidade de pelo menos uma ocorrência de evento inesperado dentro do período de MTBF seja de 0,63.
Apesar disso, não é incomum que o MTBF seja mal interpretado quando se discute a confiabilidade do produto... Este é apenas um exemplo que mostra que as intuições dos gestores nem sempre ajudam a tomar decisões e análises racionais. Isso explica a importância da análise estatística, mesmo para questões que não parecem complexas...
Aplicação em outros processos de negócios
A partir do exemplo acima, é possível utilizar o software MINITAB 20 de forma simples e rápida para elaborar esta análise estatística, que também pode ser realizada em uma planilha em Excel.
- Conheça nossos serviços de Análises Quantitativas de Riscos Baseadas na ISO 31000.
- Realize em sua organização nosso Curso de Capacitação em Gestão de Riscos e Auditoria Baseada em Riscos.
- Aprimore sua Auditoria Baseada em Riscos com o AuditXP.
- Conheça nossos serviços de Apoio Técnico de Auditorias Internas e Auditorias de Conformidade Legal.
- Participe do nosso Curso Análise de Riscos e Controles com a Metodologia BowTie.