Com o final do ano, é hora de relembrar as manchetes que deveriam ter atraído a atenção dos auditores internos. Assim como nos últimos anos, 2018 teve uma série de grandes escândalos corporativos de destaque. Vários podem ter plantado as sementes para a próxima onda de regulamentações que poderiam impactar o trabalho da auditoria interna.

 

A Porca do Gerenciamento de Riscos Torceu o Rabo em 2018

Multas e acordos regulatórios de escândalos passados geraram muitas manchetes em 2018, envolvendo a Equifax, o a Wells Fargo e a Volkswagen. Eles também ensinaram lições importantes sobre o gerenciamento de riscos.

 

O acordo de uma ação coletiva movida contra a Equifax por oito estados americanos sinalizou o que descrevi em um artigo de julho como "uma declaração ousada sobre a importância da auditoria interna. O termo de ajuste de conduta da Equifax, decorrente da incrível violação de dados de 2017, que expôs dados pessoais de mais de 140 milhões de norte americanos, foi elaborado, em parte, para solucionar deficiências na auditoria interna e na supervisão do conselho e da administração.

 

 Da forma semelhante, uma multa de um bilhão de dólares emitida por dois reguladores dos EUA contra a Wells Fargo, pelo tratamento indevido de seguros de automóveis e empréstimos imobiliários, também levou a um acordo para mudar as práticas de risco e conformidade de credores. Isso incluiu produzir para seu Conselho um plano detalhado que fortaleça suas funções de conformidade e gerenciamento de riscos.

 

O Federal Reserve dos EUA foi além, limitando a capacidade do banco de aumentar seu balanço além dos níveis de 2017, até que medidas sejam tomadas para lidar com as deficiências de gerenciamento de riscos. A Wells Fargo estima que a limitação reduziria seu lucro anual em até US$ 400 milhões.

 

 Quanto à Volkswagen, as consequências perduram três anos após o início do escândalo de suas emissões. O "Dieselgate", que já custou à montadora mais de US$ 15 bilhões em multas, levou a maior escrutínio e ceticismo entre os reguladores europeus – não apenas para a Volkswagen, mas também para a Daimler-Benz e BMW.

 

Escrevi sobre a lição importante que essas situações ensinaram aos gerentes de auditoria interna e de riscos no artigo de julho do blog:

 

Na verdade, escândalos desde a Volkswagen até a Wells Fargo e a Equifax aumentaram a conscientização de que todos os participantes do gerenciamento de riscos devem trabalhar coletivamente e igualmente para atingir o sucesso. No fim das contas, sempre há consequências quando os principais componentes dos sistemas de gerenciamento de riscos fracassam.

 

O Colapso da Carillion Expôs Problemas no Gerenciamento de Riscos Sistêmicos

A queda impressionante de uma das maiores empresas de construção do Reino Unido trouxe à tona falhas na supervisão do conselho, na supervisão governamental e nas funções de auditoria interna e externa da Carillion.

 

A pior notícia, do ponto de vista da auditoria, foi o que só pode ser descrito como um processo de avaliação independente altamente disfuncional exposto dois comitês seletos de investigações parlamentares. (frase bem confusa em inglês) Um relatório do comitê descreveu as empresas externas que prestaram serviços de auditoria ou consultoria como "um clube acolhedor, incapaz de fornecer o grau de desafio independente necessário".

 

As consequências da Carillion atingiram seu pico no final do ano, quando a Competition and Markets Authority do Reino Unido emitiu um relatório pedindo a separação da auditoria dos serviços de consultoria entre as Big Four KPMG, EY, Deloitte e PwC. Isso inclui uma divisão entre os negócios de auditoria e consultoria, com administração e contas separadas.

 

Os relatórios também incluem recomendações para criar prestação de contas adicional para aqueles que nomeiam auditores, e o desenvolvimento de um sistema de “auditoria conjunta”, onde as Big Four teriam que trabalhar com empresas menores nas auditorias.

 

As Descobertas da Auditoria Interna Poderiam Ter Prevenido o Ataque de Ransomware a Atlanta

 

Nem todas as manchetes de 2018 foram sobre falhas de auditoria interna. De fato, novos relatórios indicaram que o ataque de ransomware de Atlanta poderia ter sido evitado, se os líderes da cidade tivessem agido de acordo com as recomendações da auditoria interna para lidar com as sérias vulnerabilidades cibernéticas.

 

O auditor da cidade apresentou deficiências terríveis no departamento de TI de Atlanta e advertiu que, basicamente, não havia planos formais para proteger a cidade de ameaças cibernéticas. O relatório de auditoria alertou que a complacência e a grave escassez de recursos em TI criaram um "nível significativo de exposição a risco evitável para a cidade" e concluiu que a cidade "não tinha processos formais para gerenciar riscos".

 

Prisão do Presidente da Nissan Motors Expôs a Fraca Governança

 

A prisão do presidente do conselho da Nissan Motors, Carlos Ghosn, por acusações de que ele subnotificou seriamente sua remuneração às autoridades japonesas, levantou questões importantes sobre os processos de governança e avaliação da montadora.

 

Na verdade, o CEO da Nissan, Hiroto Saikawa, descreveu o "lado negro" de colocar grande parte do poder da empresa nas mãos de uma só pessoa e chamou a estrutura de governança corporativa dentro empresa de "fraca", segundo a Bloomberg News. Levantei uma questão mais fundamental em um artigo do blog sobre o escândalo:

 

Mas a pergunta que não está sendo feita é: por que uma estrutura de governança reconhecidamente “fraca” foi sequer permitida em uma empresa da Fortune 100? E uma pergunta ainda mais fundamental é: quem era encarregado de garantir a boa governança na Nissan?

 

 

Informações Internas do PCAOB Vazadas para Funcionários da KPMG

Acusações criminais foram movidas contra o antigo PCAOB (Public Company Accounting Oversight Board) e funcionários da KPMG acusados de usar informações vazadas do PCAOB para ajudar uma das Big Four a melhorar seus resultados de auditoria. O delito foi exposto por uma investigação interna da KPMG e uma investigação federal associada, e as prisões resultaram na admissão de culpa de um ex-executivo da KPMG em outubro.

 

Para seu crédito, a KPMG agiu rapidamente quando soube do esquema e cooperou totalmente com os investigadores federais. Também demitiu os três executivos envolvidos. Como escrevi em um artigo relacionado do blog, as organizações devem estabelecer padrões éticos, comunicá-las clara e repetidamente, determinar punições adequadas para transgressões e agir de forma consistente ao punir pelas violações éticas, independentemente de quem as cometer.

 

O acontecimento serve de lição para os praticantes para que estejam cientes de que a ética profissional vive e morre no nível individual. Em outras palavras, a bússola moral é guiada, no fim das contas, pelo indivíduo. A liderança executiva deve entender esta realidade e estar preparada para reagir de maneira decisiva e ética, quando a fraqueza pessoal de um funcionário colocar a organização em risco.

 

Escândalo do Facebook Aumentou a Privacidade de Dados

 

Impulsionados pelas revelações via canal de denúncias, os detalhes do desastre Facebook-Cambridge Analytica aumentaram a importância da privacidade dos dados em março, apenas dois meses antes que as novas regras de privacidade de dados da União Europeia entrassem em vigor.

 

Muitos acusaram o Facebook de negligenciar seus protocolos de privacidade e suas configurações confusas de privacidade, que colocam as informações pessoais de quase 90 milhões de pessoas em risco e expõem ainda mais como as mídias sociais podem ser politicamente exploradas.

 

As revelações do Facebook geraram discussões sobre políticas e promulgações significantes entre os legisladores dos EUA sobre a privacidade de dados. O Ato de Privacidade do Consumidor da Califórnia (A California Consumer Privacy Act), sancionada em junho e em vigor a partir de janeiro de 2020, exige consentimento explícito para compartilhar informações do consumidor.

 

Provavelmente não vai acabar aí. Na verdade, a Casa Branca disse em julho que trabalharia com os legisladores para criar proteções à privacidade do consumidor. A Apple e a Google participaram em setembro, pedindo ao Congresso que crie com urgência uma nova legislação federal sobre privacidade.

 

O Movimento #EuTambém (#MeToo) Continuou Derrubando Executivos Corporativos Poderosos

 

O movimento #EuTambém MeToo redefiniu como muitas organizações veem os riscos associados ao assédio sexual e à desigualdade no local de trabalho. Embora essas duas áreas fossem categorias de riscos conhecidas antes do movimento, a explosão de alegações de conduta indevida contra executivos da indústria do entretenimento e de outros lugares aumentou significativamente esses riscos. O movimento também mostrou o poder das mídias sociais e a velocidade da luz com a qual os riscos atípicos podem impactar as organizações.

 

O impacto do movimento #EuTambém #MeToo foi demonstrado pelo comparecimento às urnas nas eleições intermediárias dos EUA e por um número recorde de mulheres sendo eleitas para o Congresso. Essa nova dinâmica pode influenciar a legislação e os regulamentos no ano que vem e no futuro.

 

IIA Busca Atualizar as Três Linhas de Defesa

Em dezembro, o IIA anunciou um projeto de um ano para revisar e atualizar as Três Linhas de Defesa, um dos modelos de gerenciamento de riscos mais conhecidos. O projeto é liderado por um grupo principal de trabalho, composto por especialistas em governança que aproveitaram as vastas experiências de um grupo consultivo de 30 membros. O projeto inclui uma revisão abrangente das abordagens de governança do mundo todo, e buscará e incorporará comentários públicos por meio de um processo de exposição formal.

 

Desde o início, o objetivo do The IIA tem sido explorar a melhor forma de atualizar o modelo das Três Linhas de Defesa, de modo a refletir as mudanças no moderno gerenciamento de riscos e governança ao mesmo tempo preservando sua abordagem direta e clara. De acordo com sua intenção original, a atualização se concentrará em papéis, não em estruturas organizacionais. Em resposta a críticas, o objetivo é tornar o modelo mais flexível, adequado a todos os setores e responsivo aos desafios e oportunidades que os riscos apresentam.

 

As consequências associadas a várias das manchetes descritas aqui destacam o potencial para nova regulamentação ou escrutínio regulatório. Os auditores internos devem monitorar os desenvolvimentos nessas áreas no próximo ano e estar preparados para falar abertamente com os stakeholders sobre as fraquezas de controle na cibersegurança, a privacidade de dados e outras áreas que deixem suas organizações vulneráveis.

 

Como sempre, aguardo seus comentários.

 

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para a InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.

 

Tradução: IIA Brasil

Revisão Técnica da Tradução: Jorgina Blanco, CCSA.