Auditoria de Segurança: O que é, O que faz, Tipos e Como fazer

Auditoria de Segurança é um exame sistemático dos controles de segurança implementados em determinada empresa ou setor, que tem por objetivo averiguar se eles estão de acordo com as disposições planejadas e/ou estabelecidas previamente, se foram implementados com eficácia e se estão adequados as necessidades de segurança da organização.

A auditoria de segurança busca examinar a integridade, a aplicação, a eficácia e a adequação dos controles de segurança implementados na organização. Visa examinar se as politicas e programas de segurança implementados estão sendo aplicados e se seus resultados estão de acordo com o esperado para o bem estar da organização.

Escrito por José Sérgio Marcondes
Postado 21/06/2022

Definição de Auditoria

Quando o assunto é auditoria, automaticamente há uma associação com a contabilidade, pois é um termo muito mais utilizado por profissionais da área contábil. Entretanto, conforme Botha e Boon (2004), é possível encontrar no mundo comercial diferentes tipos de auditorias, como a Auditoria da Comunicação, Auditoria Financeira, Auditoria Técnica, Auditoria da Informação, Auditoria de Segurança e etc.

Cada auditoria possui suas finalidades e objetivos próprios e deve atender a requisitos, normas e regras especificas de cada organização. A auditoria possui como objetivo geral diagnosticar, descobrir e verificar recursos da organização.

Auditoria é um termo que vem do inglês “to audit”, que significa examinar, ajustar, corrigir, certificar, e é esse o propósito da auditoria, examinar alguma coisa com base em requisitos pré-estabelecidos. É uma atividade realizada na forma de projeto de segurança, que tem um início, meio e fim, e que visam produzir resultados dentro de custos, prazos e qualidades esperadas.

Definição de Segurança

A palavra segurança pode ser interpretada sob dois contextos: primeiro, de “certeza, confiança, firmeza”. Que exprime uma condição de crença e convicção em si ou em outra pessoa. Segundo, de “ação ou efeito de segurar; situação do que está seguro; afastado do risco/perigo.

A palavra segurança, no contexto de proteger, refere-se ao ato de defender; afastar algo ou alguém do risco ou perigo; abrigar-se do mal; resguardar-se; procurar mecanismos de defesa da vida e de seus direitos. Implica minimizar ou eliminar qualquer tipo de risco a vida e/ou a propriedade.

Segurança preventiva, refere-se ao planejamento, preparação, implementação e supervisão de medidas de segurança que visam eliminar ou reduzir o risco resultante de uma vulnerabilidade/ameaça.

Em termos empresariais, a segurança deve ser um facilitador de negócios, fazendo parte do dia-a-dia dos negócios da organização, onde a auditoria de segurança é uma das ferramenta do sistema de gestão da segurança utilizada para checagem da conformidade dos controles de segurança

Quero saber mais sobre Sistema de Gestão da Segurança

O que é Auditoria de Segurança?

A Auditoria de Segurança é um exame sistemático dos controles de segurança implementados em determinada empresa ou setor, que tem por objetivo averiguar se eles estão de acordo com as disposições planejadas e/ou estabelecidas previamente, se foram implementados com eficácia e se estão adequados as necessidades de segurança da organização.

A auditoria de segurança envolve ações devidamente estruturadas para examinar criteriosamente a situação dos controles de segurança implementados na organização, especialmente por meio da análise de objetos e seus indicadores de desempenho. É voltada a testar a eficiência e eficácia dos controles de segurança implantados com o objetivo de expressar uma opinião sobre determinado dado.

As auditorias de segurança também são consideradas um mecanismo de controle, uma vez que visam examinar a realidade da segurança e confrontar com os padrões que a organização havia pré-estabelecido e então apontar possíveis soluções para eventuais divergências identificadas.

Quero saber mais sobre Controles de Segurança

Objetivos da Auditoria de Segurança

A auditoria de segurança tem como principal objetivo evitar e combater fraudes, erros, irregularidades, vulnerabilidades, inconformidades ou ineficácia no sistema de segurança implementado pela organização.

O objetivo geral de uma auditoria de segurança é, basicamente, atestar que os controles de segurança em prática são eficientes e eficazes, evitando dessa forma a exposições da organização a riscos que podem provocar danos, se concretizados. Visa identificar inconformidades e deficiências no sistema de segurança da organização, apresentando recomendações para melhorá-los.

A auditoria de segurança visa também obter informações, com base em evidências, que serão utilizadas para uma análise de confiabilidade e eficiência do sistema de gestão da segurança. É por meio dela que os gestores de segurança conseguem identificar pontos fora do padrão de conformidade e aplicar medidas corretivas.

Alusão a auditoria de segurança — Auditoria de Segurança

O que faz o Auditor de Segurança?

A auditoria de segurança é a expressão de opinião feita por um profissional de segurança devidamente qualificado, acerca de uma determinada situação, relacionada a segurança da organização, e documentada na forma de um relatório ou parecer.

Neste contexto, o auditor de segurança, no exercício da auditoria emprega práticas de exames de dados, baseadas em métodos racionais e em evidências, com responsabilidade, cuidado e habilidade profissional, a fim de produzir uma parecer técnico sobre o assunto abordado na auditoria.

Em linhas gerais, o auditor de segurança busca assegurar, por meio de parecer técnico que os ativos da organização, considerados os objetos de auditoria, estão absolutamente sob controle da organização. Para tal, ele precisa certificar-se, por meio de evidencias documentadas, que os controles de segurança estão de acordo com os requisitos e objetivos estabelecidos nos programas de segurança estabelecidos para esses ativos, bem como se o que está em operação alcança os objetivos de segurança definidos.

Quero saber mais sobre Programas de Segurança

Diferença entre Auditoria de Segurança e Avaliação de Riscos

Muitas pessoas confundem auditoria de segurança com avaliação de riscos de segurança. Embora seus objetivos gerais se complementem, esses dois termos tem objetivos específicos diferentes.

A avaliação de riscos busca identificar, analisar e avaliar os riscos de segurança reais e potenciais aos quais a organização possa estar exposta, em seu meio de atuação. Busca fornecer subsidio para elaboração do planejamento da segurança e para implementação dos controles de segurança.

Por sua vez, a auditoria de segurança é um exame cuidadoso e sistemático das atividades e controles de segurança desenvolvidas em determinada organização, cujo objetivo é averiguar se eles estão de acordo com as diretrizes planejadas e/ou estabelecidas previamente, se foram implementadas com eficácia e de formas adequadas (em conformidade) à consecução dos objetivos.

A avaliação de riscos busca identificar e avaliar vulnerabilidades, ameaças e riscos, propiciando subsídios para elaboração do planejamento e controles de segurança. A auditoria de segurança busca examinar aplicação do planejamento e dos controles de segurança e sua eficácia.

Classificação da Auditoria de Segurança

As auditorias de segurança podem ser classificadas quanto a sua origem e sua finalidade em:

Auditora Interna;
Auditoria Externa;
Auditoria de Gestão;
Auditoria Operacional
Auditoria de Conformidade.

Tipos de Auditoras de Segurança Quanto a Origem

Auditoria Interna (Auditoria de 1ª parte): são aquelas auditorias conduzidas pela própria organização, por meio de auditorias do seu próprio quadro de colaboradores.
Auditorias Externas: incluem aquelas geralmente chamadas de auditorias de segunda e terceira partes. Auditorias de segunda parte são conduzidas por partes que têm um interesse na organização, como clientes, ou por outras pessoas em seu nome. Auditorias de terceira parte são conduzidas por organizações de auditoria independentes, como aquelas que fornecerem certificações e registro de conformidade, ou por agências governamentais.

Tipos de Auditorias de Segurança Quanto a Finalidade

Auditoria de Gestão: tem o propósito de examinar como os processos de gestão da segurança estão sendo realizadas. Consiste basicamente em verificar se os processos de gestão de segurança foram implantados plenamente, e se estão atingindo os objetivos e metas estabelecidos;
Auditoria Operacional: visa examinar se as operações de segurança estão sendo executadas conforme os requisitos do planejamento e se estão tangido os objetivos desejados;
Auditoria de Conformidade: buscaria verificar que os controles de segurança que constituem parte do controle interno da organização estão implementados e funcionais. A auditoria de conformidade também tem forte lastro no arcabouço normativo da organização e na legislação vigente.

Princípios de Auditoria

A auditoria é baseada em uma série de princípios fundamentais que são definidos na ISO 19011 e que garantem que a auditoria seja uma ferramenta eficiente e confiável, baseada em suas políticas e controles de gestão. Compreender e seguir esses princípios garante que as conclusões da auditoria sejam relevantes e suficientes, e permite que os auditores, trabalhando de forma independente, alcancem conclusões semelhantes em circunstâncias semelhantes.

Princípios de Auditoria:

Integridade;
Apresentação Imparcial;
Cuidados Profissionais Devidos;
Confidencialidade;
Independência;
Abordagem Baseada em Evidências.

1. Integridade:

Refere-se ao profissionalismo. Os auditores devem:

Realizar seu trabalho com honestidade, diligência e responsabilidade.
Observe e cumpra todos os requisitos legais aplicáveis.
Demonstre sua competência no desempenho de seu trabalho.
Desempenhe seu trabalho com imparcialidade, ou seja, permaneça justo e imparcial em todas as suas ações.
Seja sensível a qualquer influência que possa ser exercida em seu julgamento durante a realização de uma auditoria.

2. Apresentação Imparcial:

Refere-se à obrigação de informar com veracidade e precisão.

As constatações, conclusões e relatórios da auditoria devem refletir atividades de auditoria com veracidade e precisão. Obstáculos significativos encontrados durante a auditoria devem ser relatados e opiniões divergentes não resolvidas entre a equipe de auditoria e o auditado. A comunicação deve ser verdadeira, precisa, objetiva, oportuna, clara e completa.

3. Cuidados Profissionais Devidos:

Refere-se à aplicação de diligência e julgamento na auditoria.

Os auditores devem proceder com o devido cuidado, de acordo com a importância da tarefa que realizam e a confiança depositada neles pelo cliente de auditoria e outras partes interessadas. Um fator importante no desempenho de seu trabalho com o devido cuidado profissional é ter a capacidade de fazer julgamentos fundamentados em todas as situações de auditoria.

4. Confidencialidade:

Refere-se à segurança da informação.

Os auditores devem exercer discrição no uso e proteção das informações adquiridas no decurso das suas tarefas. A informação da auditoria não deve ser usado de forma inadequada para benefício pessoal do auditor ou do cliente de auditoria, ou de forma que prejudique o interesse legítimo do auditado. Este conceito inclui o tratamento adequado de informações sensíveis ou confidenciais.

5. Independência:

Refere-se à base para a imparcialidade da auditoria e a objetividade das conclusões da auditoria.

Os auditores devem ser independentes da atividade auditada sempre que possível e, em todos os casos, devem agir de forma que todas as suas ações sejam livres de preconceitos e não envolvam qualquer conflito de interesse. Para auditorias internas, os auditores devem ser independentes da função auditada. Os auditores devem manter a objetividade durante todo o processo de auditoria para garantir que as constatações e conclusões da auditoria sejam baseadas apenas nas evidências de auditoria.

6. Abordagem Baseada em Evidências:

Refere-se ao método racional usado em um processo de auditoria sistemático que permite que conclusões de auditoria confiáveis sejam alcançadas e reproduzível.

Como as auditorias são realizadas em um período limitado e com recursos finitos, a obtenção de evidências geralmente é feita na amostra de todas as informações disponíveis. A utilização de técnicas de amostragem deve ser adequada, uma vez que a sua seleção e aplicação estão intimamente relacionadas com a confiança que se pode depositar nas conclusões da auditoria.

Importância da Auditoria de Segurança

As políticas e controle de segurança são de pouca utilidade se não forem aplicados. Uma auditoria de segurança avalia a eficácia com que as políticas e controles estão sendo implementadas. Elas buscam mostrar onde podem existir lacunas, inconformidades e vulnerabilidades no sistema de segurança atual.

Uma auditoria de segurança é um exame da postura de segurança de uma organização. Ela examina os processos de gestão e os controles de segurança da organização para determinar se esses estão sendo seguidos e identifica áreas de melhoria. Ela verifica a funcionalidade dos sistemas de segurança, buscando a identificação de vulnerabilidades, instabilidades e falhas que facilitem ou propiciem erros de execução, ataques de forças adversas e outros problemas.

O processo de gestão da segurança envolve a implementação de diversos tipos de controles de segurança e o estabelecimento de métricas e medições de desempenho. Esses mecanismos de gestão podem e devem ser examinados periodicamente, para checagem de eficácia e eficiência, e é neste contexto que atua as auditorias de segurança.

Como fazer Auditoria de Segurança?

A auditoria de segurança é um procedimento preventivo que busca identifica inconformidades de segurança com potencial de gerar riscos a segurança da organização. Isso se dá, basicamente, pela comparação do que foi feito/atingido com o que se esperava ser feito/atingido.

A seguir apresento um passo-a-passo simplificado de como fazer uma auditoria de segurança. Vários modelos de processos e metodologias de auditoria podem ser encontrados na literatura. O modelo descrito a seguir é composto por 10 passos:

Planejamento do escopo: é a definição que determina os limites da auditoria e identifica os elementos, processos, serviços e/ou atividades que serão auditados;
Decisão sobre o propósito da auditoria;
Identificação de objetos e padrões de referencia;
Definição de técnicas para obter evidências e procedimentos de controle;
Montagem da roteirização de auditoria;
Coleta e registro de evidências;
Verificação, validação e avaliação de evidências;
Produção de pareceres e outros entregáveis;
Relatório de auditoria: produto final do projeto de auditoria, é o ferramenta usada pelo auditor para relatar suas descobertas, conclusões e recomendações.
Acompanhamento pós-auditoria.

Programa de Auditoria de Segurança

Toda organização que precisa realizar auditorias deve estabelecer um programa de auditoria que ajude a determinar a eficácia do sistema de gestão auditado. O programa de auditoria pode incluir auditorias que levem em consideração uma ou mais normas do sistema de gestão, realizadas de forma individual ou integrada.

O escopo de um programa de auditoria deve ser baseado no tamanho e a natureza da organização auditada, bem como a natureza, funcionalidade, complexidade e nível de maturidade do sistema de gestão a ser auditado.

Logicamente, não é o mesmo auditar um sistema recém-implementado cuja maturidade provavelmente ainda está em um nível baixo, do que auditar um sistema que já está enquadrado em um sistema há vários anos.

Para garantir que as auditorias sejam realizadas de forma eficaz e eficiente, o programa de auditoria deve incluir as informações e os recursos necessários para realizá-las.

Perguntas Frequentes

1. O que é Auditoria de Segurança?

2. Para que serve a Auditoria de Segurança?

A Auditoria de Segurança serve para checar se os controles de segurança planejados previamente, se foram implementados com eficácia e se estão adequados as necessidades de segurança da organização.

3. Quais são objetivos da Auditoria de Segurança?

Você Gostou do Artigo? Sem sim, colabore com o crescimento e divulgação do Blog

Aqui no Blog publico frequentemente artigos relacionados a segurança privada e gestão organizacional, visando sempre agregar conhecimento para os leitores, visando seu desenvolvimento profissional e pessoal.

Para continuar publicando e disponibilizando os artigos de forma gratuita a todos, solicito a você leitor ou leitora, que ajude na divulgação e crescimento do blog, fazendo pelo menos uma das práticas a seguir:

Deixe seu comentário no final do artigo, ele é muito importante para mim;
Divulgue, curta e compartilhe as publicações com seus amigos pelas redes sociais;
Inscreve-se na nossa Newsletter. Cadastre seu e-mail logo abaixo e receba avisos sobre novas publicações.

[jetpack_subscription_form show_subscribers_total=”false” button_on_newline=”true” custom_font_size=”16px” custom_border_radius=”0″ custom_border_weight=”1″ custom_padding=”15″ custom_spacing=”10″ submit_button_classes=”” email_field_classes=”” show_only_email_and_button=”true”]

Forte abraço e sucesso!
José Sérgio Marcondes – CES
Especialista em Segurança Empresarial
Consultor em Segurança Privada
Diretor do IBRASEP

Dados para Citação Artigo

MARCONDES, José Sérgio ( 21 de junho de 2022). Auditoria de Segurança: O que é, O que faz, Tipos e Como fazer. Disponível em Blog Gestão de Segurança Privada: https://gestaodesegurancaprivada.com.br/auditoria-de-seguranca-o-que-e/– Acessado em (inserir data do acesso).

Referencia Bibliográficas

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 19011/2018: Diretrizes para auditorias de sistemas de gestão. Rio de Janeiro, 2018.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 17021-1:2016: Avaliação da conformidade — Requisitos para organismos que fornecem auditoria e certificação de sistemas de gestão Parte 1: Requisitos. Rio de Janeiro, 2016.

BERTOLINO, Marco Túlio & COUTO, Marcello. Handbook do auditor e do auditado em sistemas de gestão: Técnicas & Comportamento. 1º EDIÇÃO – NITERÓI, RJ: Produção Independente com apoio SGI 68, 2020.

"? Fique por Dentro! Junte-se ao Nosso Grupo de WhatsApp!

Quer ser o primeiro a receber todas as atualizações do nosso blog? Então, não perca tempo! Junte-se ao nosso Grupo de WhatsApp agora mesmo e esteja sempre atualizado(a) com as últimas postagens.

Quero entrar no grupo!

2 Comentários

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

José Sérgio Marcondes disse:

25/06/2022 às 11:25

Olá Maria Zambo!
Obrigado pelo seu comentário.
Forte abraço e sucesso.
Maria Zambo disse:

25/06/2022 às 08:08

Como sempre ,Impressionante .
É o que eu preciso.
Muito obrigada.