As Auditorias do ISPS Code: uma análise crítica ... - Marcus Dantas

As Auditorias do ISPS Code: uma análise crítica
Como uma das medidas de prevenção e combate ao terrorismo após os
atentados terroristas às torres gêmeas do WTC e ao Pentágono em 2001, foi
estabelecido um código internacional para a proteção de navios e instalações
portuárias denominado International Ship and Port Facility Security Code
(ISPS Code).
Esse código estabeleceu requisitos e diretrizes para as instalações portuárias e
navios envolvidos no comércio internacional, com a obrigatoriedade de se
elaborarem avaliações de riscos e planos de segurança e de se realizarem
auditorias.
E é justamente sobre as auditorias que estamos escrevendo este artigo, com o
objetivo de se realizar uma análise crítica da forma pela qual essas auditorias
devem ser realizadas.
Conceito de auditoria
A auditoria é uma atividade formal, documentada e executada por pessoal
habilitado, e destina-se a verificar a conformidade e a eficácia de um sistema,
mediante evidências em documentos, registros, observações e entrevistas,
relatando ao final as não conformidades, para a adoção de ações corretivas e
preventivas.
Tipos de auditoria
As auditorias podem ser de dois tipos: internas e externas. As auditorias
internas são aquelas conduzidas pela própria instituição ou em seu nome. As
auditorias externas são realizadas por pessoal de fora da organização, como
clientes, fornecedores e organismos certificadores.
Competência para a realização das auditorias
O ISPS Code estabelece a obrigatoriedade, para as instalações portuárias, de
se realizarem auditorias, ao estabelecer no subitem 13 do item 16.3 que
devem constar no plano de segurança os procedimentos para auditar o plano,

além do disposto no item 16.3.1, ambos da parte A, combinados com os itens
16.58 e 16.59 da parte B do código. Para os governos contratantes, a
obrigatoriedade de se estabelecerem procedimentos adequados para auditar a
continuidade da relevância do plano aprovado (item 16.61 da parte B).
A Resolução CONPORTOS 47/2011 estabeleceu critérios e disposições para a
realização de auditorias nas instalações portuárias e atribuiu a competência
para a realização dessas auditorias à CONPORTOS, mediante procedimento de
fiscalização da ANTAQ.
De acordo com esses instrumentos normativos, concluímos que são
competentes para realizar as auditorias: a própria instalação portuária e a
CONPORTOS. A primeira, na realização das auditorias internas, que possuem a
previsão de sua realização no ISPS Code e nos próprios planos de proteção. A
segunda, como órgão certificador e/ou fiscalizador na realização das auditorias
externas, para a emissão ou manutenção da certificação internacional de
proteção ao atestar a conformidade com o padrão estabelecido no ISPS Code.
Dessa forma, a não realização das auditorias internas pelas próprias
instalações portuárias configura o não atendimento às disposições
estabelecidas no ISPS Code e no seu plano de proteção, o que evidencia a
constatação de não conformidades, como também a não realização das
auditorias externas por parte da CONPORTOS evidencia o descumprimento de
obrigação imposta pelo ISPS Code ao governo contratante, tornando-se
evidente a constatação de não conformidade em relação ao ISPS Code.
Etapas da auditoria
Para atestarem a conformidade com um padrão estabelecido, como as do ISPS
Code, as auditorias devem ser realizadas em 3 etapas.
A primeira etapa consiste na verificação dos requisitos da norma aplicáveis à
instalação com relação à elaboração da avaliação de riscos, plano de proteção,
e normas internas para atender o plano, como a de controle de acesso, etc.,
ou seja, é o exame realizado para verificar se esses documentos foram

elaborados de acordo com os requisitos normativos. Essa fase é conhecida
como de adequação ou intenção.
A segunda etapa consiste no exame operacional do sistema para verificar se
os controles foram implementados de acordo com o estabelecido nas normas
de referência (ISPS Code, plano de segurança, etc.). É a busca da constatação
da conformidade dos controles implementados. Essa etapa é conhecida como
de conformidade.
A terceira etapa consiste na avaliação da eficácia dos controles do sistema de
proteção. É a fase na qual as evidências são analisadas para se avaliar se os
controles do sistema de proteção atendem aos objetivos para os quais foram
estabelecidos.
A Resolução CONPORTOS 47/2011 em seu § 1 o do Art.1 o estabelece:
§ 1o. A auditoria referida no caput consiste na verificação:
I – da adequação da Avaliação de Risco e do Plano de Segurança com o
ISPS Code e resoluções da CONPORTOS;
II – da conformidade com as especificações, requisitos técnicos, normas
de segurança e documentação exigidos pelo ISPS Code e a
regulamentação interna, bem como aferição da eficácia dos
controles do sistema de proteção.
§ 2º. Para a realização das auditorias deverão ser observados, como
requisitos mínimos, os constantes do Anexo.
Com relação ao inciso I do § 1 o acima citado, o exame de adequação objetiva
verificar se os requisitos e as diretrizes do ISPS Code foram contemplados
quando da elaboração desses instrumentos (Avaliação de Risco e Plano de
Segurança), como também se estão de acordo com as disposições
estabelecidas nas Resoluções da CONPORTOS.
Para atestar a adequação, faz-se necessário que todo e qualquer requisito e
diretriz do código, bem como as disposições da CONPORTOS, sejam
alcançados pela avaliação de riscos e pelo plano de proteção (segurança),
pois, em não tendo sido, não se pode falar em adequação, e, portanto, não se

pode atestar esses instrumentos como estando em conformidade com o ISPS
Code.
Para se estar adequado, não é suficiente o atendimento a uma Resolução, mas
aos requisitos e diretrizes do código, bem como às disposições das resoluções
envolvidas. Esse cuidado deve ser redobrado para não ter uma avaliação de
riscos aprovada com base em uma resolução da CONPORTOS, mas em não
conformidade com os requisitos e diretrizes do código e, portanto, inadequada.
Exemplificando: Para se atestar a adequação de uma avaliação de riscos, não
se deve realizar o exame apenas com base em uma resolução, como, por
exemplo, a Resolução 10/2003, porque essa resolução não considera todos os
requisitos e diretrizes estabelecidos no código. Para tal, faz-se necessário que
a avaliação de riscos seja examinada, tendo como critério de auditoria o ISPS
Code (requisitos e diretrizes) e as resoluções CONPORTOS, pois uma avaliação
de riscos que for realizada por um método qualquer pode atender ao disposto
na resolução 10/2003, mas não atender aos requisitos e diretrizes do código. E
essa deve ser a preocupação de todos: da instalação portuária e da
CONPORTOS.
Com relação ao inciso II do § 1 o acima citado, o exame de conformidade deve
ser realizado com base nas especificações, requisitos técnicos, normas de
segurança e documentação exigidos pelo ISPS Code e pela regulamentação
interna. Um exame de conformidade tem como pressuposto verificar se
determinado padrão, processo, procedimento e equipamento estão conforme
foram estabelecidos nos documentos de referência, ou seja, é verificar se o
que consta no plano foi implementado de acordo com o estabelecido, e se está
em funcionamento conforme foi estabelecido para funcionar.
Exemplificando: Para se atestar a conformidade com o plano de segurança,
deve-se verificar se o que foi estabelecido no plano foi implementado e se está
sendo executado conforme foi implementado. Para obter a evidência de
auditoria, deve-se utilizar como referência o documento plano de segurança.
Por exemplo, a não realização das auditorias previstas nos planos evidencia a

constatação de não conformidade, independentemente da justificativa. É não
conformidade.
Ainda com relação ao inciso II do § 1 o acima citado, o exame de auditoria deve
aferir a eficácia dos controles do sistema de proteção. A aferição da eficácia
pode ser feita com base nos objetivos de controle ou em critérios pré-
estabelecidos. A primeira é realizada sobre os objetivos de controle e tem
como base avaliar se os controles atendem à finalidade para os quais foram
criados. A segunda é realizada sobre critérios previamente estabelecidos e
pode ser medida segundo os níveis de maturidade, indicadores de
desempenho, etc.
A filosofia de um exame de eficácia reside na constatação de que um controle
atende ao seu objetivo, e essa identificação de eficácia não pode ser feita
pela simples observação do auditor, uma vez que o exame de auditoria é
realizado tendo como referência um critério de auditoria, que é a norma, o
padrão, o procedimento, os indicadores de desempenho, etc., para que não se
abra espaço para o questionamento do exame com base na simples dedução
do auditor em apontar uma ineficácia para determinado controle. Essa é uma
das grandes preocupações da auditoria para aferir a eficácia.
No nosso entendimento, se não existir um critério previamente estabelecido,
não há como sustentar a constatação de ineficácia por ausência de evidências
objetivas. Ratifico: evidências objetivas, e não nas conclusões baseadas no
mero discernimento do auditor, por mais experiente que ele seja. Essa
ausência de critério de auditoria é um ponto balizador e determinante para as
constatações da auditoria e indicação de não conformidades.
Constatações, evidências e não conformidades
A constatação de auditoria é o resultado da avaliação de evidência, o que, se
comparada com o critério de auditoria, leva o auditor a atestar a conformidade
ou não do item de seu exame, ou seja, para se constatar uma não

conformidade faz-se necessário que existam a evidência 1 e o critério de
auditoria. 2
Exemplificando: O exame físico das câmeras do sistema de monitoramento
deve basear-se na quantidade de câmeras estabelecidas no plano de
segurança (critério de auditoria). A identificação de apenas parte dessas
câmeras (previstas no plano) configura a evidência que, na comparação com a
quantidade prevista no plano (critério), leva o auditor a constatar uma não
conformidade. A não realização das auditorias previstas nos planos (critério) é
a evidência necessária para se constatar a não conformidade com o plano.
O Art. 1 o da Resolução CONPORTOS 47/2011, em seu § 2 o , diz:
§ 2º. Para a realização das auditorias deverão ser observados, como
requisitos mínimos, os constantes do Anexo.
Esses requisitos mínimos, mencionados no § 2 o acima citado, não podem ser
considerados critérios de auditoria e não podem ser utilizados como referência
para se atestar a constatação de não conformidades.
O mencionado anexo é composto de vários itens a serem verificados pela
auditoria, e deve ser interpretado como o requisito mínimo que objetiva
orientar os auditores no seu exame. Ele deve ser utilizado como um checklist
balizador das atividades mínimas que os auditores irão realizar.
A constatação de não conformidades com base nos itens do mencionado anexo
não encontra elementos de sustentação para a atribuição de não
conformidades, por falta de critério de auditoria.
Exemplificando: o item 11 do anexo da Resolução CONPORTOS 47/2011
orienta verificar se “possui plano de proteção aprovado e atualizado?”. Ao se
constatar que não existe um plano de proteção aprovado e atualizado, o
auditor encontrou uma evidência (o fato), e o critério de não conformidade
1 A evidência é o registro, a apresentação de fatos, a informação colhida durante a auditoria.
2 O critério é a norma, a política, o processo, o procedimento. É o ISPS Code, o plano de
segurança, uma resolução CONPORTOS, o plano operacional, etc.

não pode ser o item 11 do anexo, e sim o item do ISPS Code que estabelece
essa obrigatoriedade para se atestar a conformidade com o ISPS Code.
O procedimento do auditor em relação ao fato acima é de buscar nas normas
de referência (ISPS Code, Resoluções CONPORTOS, etc.) o link de ligação com
a evidência. É utilizar os itens do anexo como um roteiro de seu exame, e, ao
se deparar com uma evidência de auditoria, ter como obrigação identificar
quais itens do critério de auditoria (ISPS Code, Plano, normas, procedimentos,
etc.) estão sendo descumpridos, para assim poder aferir a constatação de uma
não conformidade.
Outro ponto que merece atenção com relação às não conformidades diz
respeito à sua classificação. Se a instalação portuária possuir uma classificação
para as não conformidades, essa classificação deverá ser utilizada pela
auditoria interna. Já as auditorias da CONPORTOS utilizarão a classificação
estabelecida por ela na Resolução 49/2011.
A Resolução CONPORTOS 49/2011, em seu Art. 2 o e 3 o diz:
Art. 2º - Classificar as não conformidades do Anexo I da Resolução
47/2011 - Conportos da seguinte forma:
I - Leve - as obrigações dispostas dos itens 15 ao 46 da alínea "b";
II - Moderada - as obrigações dispostas dos itens 47 ao 91 da alínea "c";
III - Grave - as obrigações dispostas dos itens 1 ao 13 da alínea "a" e
item 14 da alínea "b".
§ 1º - Considera-se ainda moderada a cumulação de 3 (três) não-
conformidades leves; e grave a cumulação de 3 (três) não-
conformidades moderadas.
§ 2º - O disposto na alínea "d" será classificado, caso necessário, pela
equipe técnica durante a realização das auditorias.
Art. 3º - No caso de reincidência específica de não-conformidades em
auditorias sucessivas, estas serão classificadas como graves.

Na prática, toda vez que o auditor da CONPORTOS se deparar com uma não
conformidade relacionada ao item do anexo da Resolução 47/2011, ele deverá
atribuir uma relevância a essas não conformidades de acordo com o
estabelecido na Resolução 49/2011.
Entretanto, seguindo a linha de raciocínio adotada nos parágrafos anteriores,
não há como entender e aceitar uma não conformidade por descumprir um
item do anexo da Resolução 47/2011 (no exemplo anterior, o item 11). Não há
sustentação. O argumento sustentável e correto é o da não conformidade ao
item específico da norma que estabelece a obrigatoriedade de se ter um plano
aprovado e atualizado. Esse anexo não estabelece tal obrigação, apenas
orienta sobre os requisitos mínimos a que a auditoria deve obedecer em seu
exame. É instrumento balizador.
Outro ponto do exame diz respeito às vulnerabilidades encontradas. Se
determinado fato não estiver estabelecido em documento de referência, como,
por exemplo, no plano de segurança, não se lhe pode atribuir uma não
conformidade, porque não haverá um critério de auditoria determinante para a
constatação da não conformidade. Apenas a evidência, ou seja, o fato.
Exemplificando: Durante o exame de auditoria, é encontrado um funcionário
na subestação de energia, a qual fica dentro da área restrita. Esse funcionário
não faz parte da equipe de manutenção, mas desempenha suas atividades em
outro local dentro da área restrita. A evidência: funcionário de outro setor
encontrado dentro da subestação de energia. A indagação: é não
conformidade? Depende. Se a proibição não existir no critério de auditoria,
não podemos atribuir uma não conformidade. Trata-se da observação de uma
vulnerabilidade encontrada, mas não uma não conformidade por não existir o
critério específico de auditoria para ser comparado com a evidência
encontrada.
Podemos concluir que, para se poder atestar uma não conformidade, o
procedimento correto do auditor nas auditorias internas consiste em identificar
a evidência e compará-la com o critério de auditoria do seu exame. O
procedimento correto do auditor da CONPORTOS é utilizar o anexo como um

papel de trabalho para o roteiro de sua auditoria, pois, ao identificar uma
evidência de não conformidade (fato), deve identificar qual o critério de
auditoria (ISPS Code, Plano de segurança, normas de controle de acesso,
planos operacionais, etc.) e qual o item de caracterização do critério de
auditoria que está sendo descumprido (item 16.1 da parte A do ISPS Code,
por exemplo), e assim obter a constatação de auditoria e classificar a não
conformidade.
Insistir na argumentação da não conformidade com base no anexo da
Resolução CONPORTOS 47/2011 é prover ações administrativas e judiciais,
que só dificultarão ainda mais o processo de conformidade com o ISPS Code.
Esse é um cuidado especial que todos devem ter, sejam auditores internos ou
externos, pois as não conformidades podem levar a penalidades e infrações.
Penalidades e infrações
As instalações portuárias certificadas internacionalmente segundo os requisitos
de proteção do ISPS Code constarão no site da IMO (www.imo.org) como
portos seguros.
Tal certificação é um instrumento importante para um mercado altamente
competitivo e preocupado com a proteção do comércio internacional contra
atos terroristas e de riscos, que possam interromper as atividades dos navios
envolvidos em viagens internacionais, e as instalações portuárias que servem
a tais navios, ou causar danos materiais, acidentes pessoais ou mortes.
O ISPS Code não estabeleceu penalidades. A penalização maior pela não
conformidade com o código é a de mercado, pois os portos não certificados
poderão ser evitados e, consequentemente, ser excluídos, por não serem
considerados portos seguros para o comércio internacional neste acirrado
cenário mundial.
Para se atribuir uma penalidade deve existir a obrigação de se fazer ou
deixar de fazer algo. A competência para se estabelecer a obrigação é o
instrumento normativo que obriga a fazer ou deixar de fazer algo. A

competência está relacionada com a legitimidade e a legalidade do ente
jurídico para tal. E o instrumento normativo que estabelece a obrigação deve
atender ao princípio da legalidade, consagrado no inciso II do artigo 5 o da
Constituição Federal, que diz: Ninguém será obrigado a fazer ou deixar de
fazer alguma coisa senão em virtude de lei. 3
A Resolução ANTAQ 2192, de 28/07/2011, aprovou a inserção de obrigação
nos anexos da Resolução nº 858-ANTAQ, de 23/08/2007, Resolução nº 1.555-
Antaq, de 03/12/2009, Resolução nº 1.556-Antaq, de 03/12/2009, Resolução
nº 1.590-Antaq, de 09/02/2010, Resolução nº 1.660-Antaq, de 08/04/2010,
quanto ao cumprimento do disposto nas Resoluções 47/2011-Conportos e
49/2011-Conportos, as quais disciplinam os procedimentos das auditorias em
conformidade com o código internacional de proteção de navios e instalações
portuárias - ISPS Code.
As obrigações inseridas foram as de:
Cumprir e fazer cumprir as determinações da Comissão Nacional de
Segurança Pública nos Portos, Terminais e Vias Navegáveis - Conportos
quanto à implantação, manutenção e execução dos Planos de Segurança
das instalações portuárias.
Essas obrigações alcançam a Administração Portuária (Resolução Antaq 858,
de 23/08/2007, Art. 10 - LVI), a Estação de Transbordo de Cargas (Resolução
Antaq 1.555, de 03/12/2009, Art. 12 - XVI), o Terminal Portuário de Uso
Privativo de Turismo para a Movimentação de Passageiros (Resolução Antaq
1.556, de 03/12/2009, Art. 15 - XVII), a Instalação Portuária Pública de
Pequeno Porte (Resolução Antaq 1.590, de 09/02/2010, Art. 14 - XVI), e o
Terminal Portuário de Uso Privativo (Resolução Antaq 1.660, de 08/04/2010,
Art. 14 - XXII).
O descumprimento dessas obrigações leva á aplicação de infrações de multa
de até R$ 1.000.000,00 para a Administração Portuária (Resolução Antaq 858,
de 23/08/2007- Art. 13 - LVII); de até R$ 100.000,00 para a Estação de
3 É tido o entendimento de que o conceito de Lei referido neste princípio diz respeito aos atos
normativos, como medidas provisórias, resoluções, decretos, etc.

Transbordo de Cargas (Resolução Antaq 1.555, de 03/12/2009- Art. 16 - XX),
para o Terminal Portuário de Uso Privativo de Turismo para a Movimentação
de Passageiros (Resolução Antaq 1.556, de 03/12/2009 Art. 22 - XXXVII), e
para a Instalação Portuária Pública de Pequeno Porte (Resolução Antaq 1.590,
de 09/02/2010, Art. 21 - XXXII); e de até R$ 300.000,00 para o Terminal
Portuário de Uso Privativo (Resolução Antaq 1.660, de 08/04/2010, Art. 18 -
XXXII).
Pelo que foi visto, o descumprimento das obrigações inseridas na Resolução
ANTAQ 2192/2011 é fato gerador de infrações que podem levar a uma
multa de até 1.000.000,00 (um milhão de reais). Essas obrigações serão
aferidas nas auditorias da CONPORTOS com a identificação das não
conformidades.
Pode-se concluir que são duas as espécies de penalidades: a de mercado e a
pecuniária. A penalidade de mercado advém da não certificação com o ISPS
Code, ou pelo cancelamento dessa certificação. E a pecuniária advém do não
cumprir e não fazer cumprir as determinações da CONPORTOS quanto à
implantação, manutenção e execução dos planos de segurança. Ambas as
penalidades alcançam um mesmo objeto: a conformidade com o ISPS Code.
Conclusão
A adequação ao ISPS Code pelos benefícios que ele trazia ao ser conhecido
internacionalmente como um porto seguro, era o que parecia direcionar as
instalações portuárias para a certificação. Era como se existisse um
sentimento de voluntariedade, como nas normas ISO. A não certificação
levava a possibilidade da penalidade de mercado, que mais cedo ou mais tarde
se tornaria realidade.
A adequação ao código para não ser penalizado pecuniariamente tende a ser o
principal agente motivador para a certificação do ISPS Code, e o sentimento
passa a ser o de cumprir uma determinação imposta pelo Estado no pleno
exercício do poder de polícia, ao realizar as auditorias mediante o
procedimento de fiscalização da ANTAQ, cujas não conformidades encontradas
poderão caracterizar infração às obrigações inseridas na Resolução ANTAQ

2192/2011, e ter como consequência a aplicação de multa. Agora, o agente
motivador é a obrigação interposta por lei.
Com certeza, a aplicação de infração deve gerar questionamentos
administrativos e judiciais. Questionamentos que passarão pela discussão da
legitimidade e competência da ANTAQ, para atribuir obrigações e estabelecer
penalidades com relação à segurança portuária, como também pelo
irrepreensível processo das auditorias externas realizadas pela CONPORTOS.
Ao se falar de auditoria em procedimento de fiscalização, por mais estranho
que se pareça, os auditores devem atentar cuidadosamente para a realização
das suas auditorias lastreadas nos procedimentos, evidências e critérios de
auditoria para poderem se aferir a exata e justa constatação de auditoria e
atestarem a conformidade ou não com o ISPS Code.
Um ponto é pacífico: a adequação aos requisitos e diretrizes estabelecidos no
ISPS Code passa pela conscientização e profissionalização de todas as pessoas
envolvidas nesse importante processo de se certificar.
Uma premissa é certa: a presteza em relação aos critérios da atividade de
auditoria constitui um marco diferencial na qualidade e na consolidação desta
importante ferramenta de exame de conformidade com o ISPS Code, sejam
elas internas, patrocinadas pela própria instalação portuária, ou externas,
realizadas pelo órgão certificador, como a CONPORTOS.
Um resultado é esperado: a conformidade com o ISPS Code.
Marcus Leal Dantas (marcusdantas@uol.com.br)
É autor dos livros: Segurança preventiva: conduta inteligente do cidadão; Auditoria
em instalações portuárias; Segurança da informação: uma abordagem focada em
gestão de riscos; e Avaliação de riscos em instalações portuárias.
É mentor e instrutor do curso Auditoria em instalações portuárias - formação de
auditor ISPS Code.