Em 2019, escrevi um artigo de blog intitulado “Os 5 Cs que deveriam manter os conselhos (e auditores) acordados à noite”. Compartilhei a lista pela primeira vez em um evento do Institute of Directors (IOD) em Joanesburgo, na África do Sul. O artigo em questão foi muito popular e amplamente compartilhado entre as comunidades de auditoria interna e diretores corporativos da época.

Na publicação, observei que a pergunta que mais temo após uma falha corporativa de alto perfil é: “onde estavam os auditores internos?” Também destaquei uma pergunta que costuma vir junto: “onde estava o conselho?” Como todos sabemos, nunca faltam riscos que possam se concretizar e criar danos substanciais ao valor para acionistas/stakeholders de nossas organizações. Embora os 5 Cs que compartilhei ainda sejam riscos para muitas organizações, como o mundo mudou drasticamente desde 2019, adicionei mais 2 Cs (COVID-19 e Clima) à lista. Então, conforme nos preparamos para entrar na segunda metade de 2021, aqui estão os 7 Cs nos quais vale a pena ficar de olho:

COVID-19. Muito foi dito e escrito sobre esta pandemia e seu impacto de longo alcance sobre o mundo e nossas vidas. A COVID gerou crises gêmeas na saúde e segurança, e na economia. Daqui que a pandemia fique para trás, é provável que ela já tenha mudado nossas vidas para sempre. Embora progresso na administração das vacinas esteja sendo feito em todo o mundo, certamente não estamos fora de perigo. As avaliações de riscos devem continuar a enfocar a saúde e segurança dos clientes e funcionários; volatilidade das cadeias de suprimento; e a continuidade de negócios.

Change velocity – a velocidade da mudança. Se os últimos dois anos nos mostraram algo, é que a velocidade da mudança contribui diretamente para a velocidade do risco. É influenciada por muitas coisas, incluindo a pandemia de COVID, tecnologia, geopolítica e desastres naturais. Todos os participantes do processo de gerenciamento de riscos devem estar bem cientes da rapidez com que uma disrupção significante pode surgir e impactar a organização. O risco aqui é tanto sobre a capacidade da organização de lidar com o inesperado quanto sobre a disrupção em si, o que me leva ao terceiro C da lista: crise (gestão de crises).

Crise – gestão de crises. A COVID-19 desafiou repetidamente a capacidade das organizações de enfrentar uma crise. Como argumentei em 2019, a forma como uma organização sobrevive a uma crise está diretamente ligada a como ela se planeja para uma. Portanto, é essencial ter uma função de auditoria interna vigilante, com uma visão proativa sobre a gestão de crises. Isso começa com a avaliação de que os planos de preparação para desastres estão em vigor e de que são flexíveis o suficiente para lidar com turbulências repentinas, como as vivenciadas em 2020, mas robustos e detalhados o suficiente para fornecer orientação suficiente. Quando ocorre uma crise como a da COVID, a auditoria interna deve ativamente prestar avaliação de como os planos de gestão de crises são executados.

Tal como acontece com a velocidade da mudança, as organizações devem identificar e procurar os primeiros sinais de alerta de crises em desenvolvimento. Também é igualmente importante que a auditoria interna ajude a posicionar a organização para olhar o lado positivo da moeda, ajudando a identificar os momentos fugazes em que a crise pode se transformar em oportunidade. Muitas empresas de tecnologia e varejistas online fizeram exatamente isso nos últimos 18 meses.

Cibersegurança. Como escrevi em um artigo de blog no mês passado:

Na época em que vivemos, não entendo como alguém ainda pode ser surpreendido por um ciberataque. Ainda assim, de acordo com pesquisas do IIA, os membros do conselho corporativo costumam manter um nível equivocado de confiança na eficácia do gerenciamento de riscos de cibersegurança. De acordo com minha experiência, muitas vezes, os auditores internos não são de muita ajuda, porque têm dificuldade em obter recursos adequados e a expertise necessária para avaliar a eficácia desse risco crítico.

Em pouco mais de uma década, a cibersegurança passou de um problema obscuro de TI para um que domina o cenário de risco de quase todas as organizações. O potencial de danos financeiros, danos de reputação e, cada vez mais, danos regulatórios parece crescer exponencialmente a cada ano. De fato, apenas nos últimos cinco anos, o gerenciamento de riscos envolvendo cibersegurança evoluiu da prevenção de ciberataques para a resposta à violação cibernética inevitável, protegendo dados e cumprindo com leis e regulamentos cada vez mais rigorosos de privacidade de dados. Só na semana passada, o ciberataque contra o maior oleoduto dos Estados Unidos expôs, mais uma vez, as graves vulnerabilidades de nossa infraestrutura.

Compliance. A conformidade regulatória está listada entre os cinco principais riscos de praticamente todas as pesquisas de C-Suíte e conselhos. O novo presidente dos Estados Unidos e seu governo provavelmente buscarão novas prioridades regulatórias, de fiscalização e legislativas que afetarão os negócios em todo o país. Como todos sabemos, novas legislações e regulamentos geram novos riscos de conformidade. Esses riscos de conformidade novos e emergentes apenas prometem se tornar mais complexos e rigorosos nos próximos anos. Já escrevi que o arco do pêndulo regulatório tende a oscilar mais em tempos de crise. Certamente, estamos vivendo um desses momentos.

Cultura. A cultura continua sendo um dos riscos mais negligenciados, embora substanciais, que as organizações enfrentam, porque desempenha um papel significante em muitos outros riscos. A cultura de uma organização influencia todos os aspectos do gerenciamento de riscos, desde os esforços para impedir ataques simples de phishing até a capacidade geral da organização de coletar, gerenciar, alavancar e proteger os dados.

A auditoria interna deve ficar mais confortável e habilidosa com a auditoria de cultura, mas também deve educar os stakeholders sobre seu impacto abrangente sobre todo o portfólio de riscos.

Clima – mudanças climáticas. Embora as mudanças climáticas fossem certamente um risco em 2019, não as incluí nos 5 Cs do meu artigo do blog. No entanto, dois anos depois, o potencial de impactos das mudanças climáticas em nossas vidas está se tornando cada vez mais claro. As mudanças climáticas serão claramente uma prioridade do novo governo. Conforme relatado recentemente em um artigo do JDSupra.com:

O governo Biden-Harris tem como objetivo uma ambiciosa pauta de política ambiental, enfocando as mudanças climáticas e a justiça ambiental como iniciativa principais, e pretende implantar sua pauta por meio de uma abordagem de ‘todo o governo’. A estratégia ‘todo o governo’ emprega uma abordagem coordenada, envolvendo vários departamentos e várias agências para lidar com problemas especialmente complexos.

Os 7 Cs de risco que deveriam estar em nosso radar estão inevitavelmente interconectados. Assim como a COVID-19 e a velocidade da mudança impactam e ditam a gestão de crises, a cultura influencia a cibersegurança, a conformidade e como lidamos com questões como as mudanças climáticas. Os conselhos devem permanecer em alerta máximo em relação a esses riscos, e a auditoria interna deve educar os stakeholders quanto a essa complexa teia de riscos relacionados e estar preparada para oferecer avaliação e insights para ajudar a organização a navegar por eles.

© 2021 Richard F Chambers and Associates, LLC. Usado com permissão.