Como profissão, os auditores internos têm cultivado um longo e respeitado legado como “provedores de retrospectiva”. Quase todos nós somos adeptos em analisar os dados dos últimos anos e dizer à administração onde foram cometidos erros do passado. Embora a retrospectiva seja uma parte necessária da auditoria interna, a retrospectiva 20/20 é uma de nossas habilidades menos valiosas. Muitas vezes, nossos clientes já têm conhecimento dos erros que ocorreram no passado.Page Content

Com o advento da auditoria operacional e, depois, a introdução da consultoria/aconselhamento em nosso portfólio de serviços, nos tornamos também provedores de insights. O insight é geralmente visto como algo mais valioso do que uma visão de retrospectiva para nossos stakeholders enclausurados, mas também sofre limitações em uma era em que os riscos emergem na velocidade da luz. O insight de hoje pode muito bem ser a retrospectiva de amanhã.

Sempre haverá a necessidade de visão de retrospectiva e de insight, mas a previsão é a fonte suprema de valor. Os stakeholders procuram navegar no futuro mais do que revisitar o passado ou permanecer no presente. Chegou a hora de concentrar nossos telescópios à frente. Precisamos nos concentrar nos riscos do amanhã, se quisermos não apenas proteger, mas também agregar valor às nossas organizações.

No entanto, nossa perspicácia para detectar riscos emergentes dificilmente impressiona os stakeholders. Em uma pesquisa da KPMG de 2016, com CFOs e presidentes de comitês de auditoria, apenas 10% concordaram que sua função de auditoria interna identificava e respondia adequadamente aos riscos emergentes que ameaçavam suas empresas.

Durante o ano passado, recorri muitas vezes a analogias meteorológicas quando falava de desafios e oportunidades para a profissão de auditoria interna. Muitas vezes, identificar riscos futuros é como prever o clima. Quando nossos pais e avós eram jovens, não havia radar meteorológico. Se eles estivessem curiosos ou preocupados com possíveis mudanças no clima, eles simplesmente espiavam pelas janelas ou ficavam em uma colina e examinavam o horizonte em busca de possíveis tempestades. É obvio que muitas vezes, suas previsões do tempo estavam erradas. Subir para o topo do morro pode ter ampliado sua visão, mas os padrões climáticos são complexos demais para saber se as nuvens que você vê contêm ventos prejudiciais, ou se tão somente estão vindo em sua direção.

É por isso que os meteorologistas modernos recorreram a métodos mais avançados. Eles monitoram as tempestades que se aproximam com o radar Doppler. Eles usam imagens digitais de satélite para registrar os padrões das nuvens em todo o mundo e conectam os dados a supercomputadores, aplicando equações e algoritmos estatísticos avançados para criar modelos de previsão mais precisos. Claro, todos nós sabemos que até os meteorologistas às vezes erram, mas seu grau de confiabilidade aumentou imensamente com a chegada de novas ferramentas e tecnologias.

Das colinas aos computadores, todos nós precisamos ser mais espertos quanto aos riscos e há muito que podemos aprender com os meteorologistas. Eles não apenas observam o tempo e fazem suposições sobre o que o futuro pode trazer. Eles usam todos os recursos à sua disposição para identificar potenciais problemas em diversos ângulos e padrões, antes que a tempestade chegue ou cause danos significativos.

Os auditores internos e os meteorologistas têm muitas coisas em comum. Mas nosso escopo é muito mais amplo do que prever o clima. Abrange praticamente todos os tipos de riscos, desde o impacto de mudanças sobre as condições de mercado ou pandemias, até problemas financeiros e de conformidade. E isso significa que nosso foco deve se estender muito além do futuro imediato.

Seria ótimo se houvesse tecnologias como o radar Doppler para identificar riscos emergentes. Algum dia, tais ferramentas podem existir, mas até lá, precisamos criar nosso próprio radar virtual para detectar e monitorar riscos emergentes/em aproximação. Isso exige que nos tornemos mais analíticos em nossa abordagem.

Como observou o sócio da KPMG Michael Hill, "os riscos emergentes podem surgir de muitas fontes – mudanças econômicas ou demográficas, mudanças no cenário dos concorrentes, avanços tecnológicos ou preferências dos clientes". Portanto, temos muito a observar quando se trata de riscos emergentes. O horizonte é tão vasto que o trabalho será simplesmente grande demais para um chief audit executive encarar sozinho. Seria necessário um “povoado” na auditoria interna para monitorar os riscos emergentes de uma empresa típica. Assim como os recursos do departamento são alocados quando os planos anuais de auditoria interna são formulados, os diversos especialistas também devem ser aproveitados na identificação e no monitoramento dos riscos emergentes. Por exemplo, a equipe com o maior conhecimento de TI deve monitorar o horizonte de riscos tecnológicos emergentes.

Fred Stuckel, vice-presidente de gerenciamento de riscos corporativos e auditoria da Express Scripts, compartilhou o processo que sua empresa usa para identificar riscos emergentes em um vídeo recente publicado pela Enterprise Risk Management Initiative da North Carolina State Poole College of Management. Stuckel observou que, dentro da Express Scripts, ele e sua equipe "passam muito tempo na internet e nas mídias sociais. Eles "examinam jornais internacionais que são traduzidos de um idioma estrangeiro para o inglês, a fim de obterem diferentes perspectivas sobre o impacto de qualquer tipo de mudança sobre os Estados Unidos ou o mercado global. "

Não há método garantido para identificar os riscos emergentes. Como toda avaliação de riscos, há uma dose de arte somada à ciência. No entanto, se a auditoria interna não estiver olhando na direção certa, há uma probabilidade maior de deixar passar os riscos emergentes. Mas, assim como as tempestades no Hemisfério Norte geralmente surgem do Ocidente, há direções a partir das quais os possíveis riscos que a empresa enfrenta provavelmente surgirão. Elas incluem:

• Previsões econômicas (macroeconômicas, e aquelas voltadas para a sua indústria);
• Riscos estratégicos do negócio já familiares para a sua empresa;
• Novas iniciativas corporativas em fase de planejamento;
• Perspectiva legislativa e regulatória específica de sua indústria;
• Eventos geopolíticos e riscos políticos nas regiões onde a sua empresa opera;
• Ameaças ou oportunidades disruptivas enfrentadas por sua indústria;
• Desempenho de seus principais concorrentes;
• Riscos emergindo como manchetes através de mídias tradicionais ou sociais.

A identificação de riscos emergentes deve ser um processo colaborativo com a administração. Afinal, é provável que a administração já tenha identificado muitos riscos emergentes que ameaçam a organização. Devemos nos posicionar como parceiros, não como concorrentes tentando administrar a empresa, quando se trata de uma visão de risco emergente. Depois de examinarmos cuidadosamente nosso inventário de riscos emergentes, devemos estar preparados para compartilhar nossas perspectivas com o comitê de auditoria. Nossa conversa deve incluir nossos próprios planos para monitorar e reagir a esses riscos como auditores internos da organização.

Entramos em uma era em que as crises se tornaram comuns e, após cada nova crise, surgem as mesmas questões: "Por que não vimos que isso aconteceria?" "Onde estavam os auditores internos?" As melhores funções de auditoria interna do mundo estão bem preparadas para responder a essas perguntas, e o fazem, em parte, concentrando-se no futuro, sendo ágeis, e proativamente identificando e lidando os riscos emergentes.

A retrospectiva é uma das nossas habilidades menos essenciais. É hora de virarmos nossos telescópios na outra direção.

Richard Chambers

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para a InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.

Tradução: IIA Brasil

Revisão Técnica da Tradução: Rodrigo Coimbra Moreno, CIA.