Escrito por Richard F Chambers em 16 de janeiro de 2023

Ao longo dos anos, conversei com inúmeros membros do conselho sobre suas funções e expectativas em relação aos auditores internos. A maioria elogia os auditores internos das organizações que supervisionam. Frequentemente, se referem aos auditores como seus “olhos e ouvidos” e enfatizam o quanto dependem do departamento de auditoria interna.

Mas há uma expectativa dos membros do conselho que me preocupa: eles frequentemente enfatizam que procuram os auditores internos para ajudá-los a evitar surpresas.

Não posso deixar de me incomodar quando ouço isso, especialmente em uma era de riscos que parecem surgir do nada e pegam todos de surpresa. Mesmo quando uma questão poderia ser previsível, é importante observar que, embora os auditores internos possam auditar qualquer coisa, eles não podem auditar tudo.

Basta olhar para o número chocante de escândalos corporativos prejudiciais da última década: o desastre contábil da Toshiba, o dieselgate da Volkswagen, as contas falsas da Wells Fargo, o colapso da Carillion, o fiasco salarial do CEO da Nissan.

Os defensores da boa governança — investidores, reguladores, gerentes de compliance e riscos e prestadores de avaliação independente — ficaram profundamente preocupados com esses incidentes de alto destaque. Além do mais, as falhas de governança dessas corporações maduras e altamente sofisticadas tinham um subcontexto comum e preocupante: em todos os casos, em grande parte, os conselhos estavam “no escuro” a respeito de falhas significativas no gerenciamento de riscos e na cultura, que corroeram o valor do acionista.

Após esses acontecimentos, vem uma pergunta que chamo de “as cinco palavras mais assustadoras” para nossa profissão: “Onde estavam os auditores internos?” Em resposta, muitas vezes, pergunto (em voz baixa): “Onde estava o conselho?”

A sala do conselho deve ser preenchida com indivíduos altamente qualificados, que tenham profundo tino comercial, disposição para questionar a gestão e uma boa dose de ceticismo profissional. A sala do conselho não deveria acomodar vasos de plantas dependentes unicamente dos auditores internos e externos como fonte de luz.

Tenho pensado muito sobre esta questão. Quando uma grande falha corporativa pega os membros do conselho totalmente de surpresa, há pelo menos três razões possíveis:

Os membros do conselho estão com a cabeça na areia. O trabalho do membro do conselho moderno é cada vez mais complexo e demorado, em meio a um cenário de risco dinâmico, impulsionado pela tecnologia e pelo rápido ritmo. A era de um conselho focado principalmente em finanças não existe mais. Essa nova realidade está impulsionando pedidos de mudança no perfil típico do conselho, para tornar seus membros mais diversificados, mais conhecedores da tecnologia e mais jovens.

Mas a diversidade de experiência e a perspectiva jovem por si só não conseguem resolver um problema mais básico: os conselhos que não questionam criticamente as informações trazidas a eles pela gestão executiva podem nunca obter uma imagem completa e precisa do risco e do gerenciamento de riscos. Frequentemente, os membros do conselho carecem de um nível adequado de ceticismo profissional.

Uma contribuição significativa para essa deficiência é a forma como muitos — se não a maioria — dos executivos acabam nos conselhos. Muitos são escolhidos a dedo pelo presidente/CEO ou têm alguma outra conexão preexistente com a organização, CEO ou membro do conselho. Por muito tempo, a jornada até o conselho tem sido menos sobre o que você sabe do que sobre quem você conhece. Esse combinado confortável faz com que os conselhos se sintam em dívida com a gestão e, portanto, menos propensos a fazer perguntas investigativas.

As práticas da alta administração de “não pergunte, não conte”. Um relatório de 2020 do IIA analisou como os conselhos, a gestão executiva e a auditoria interna classificaram 11 riscos principais em termos de maturidade do gerenciamento de riscos. Descobriu-se que os conselhos viam a capacidade de sua organização de gerenciar riscos de forma mais otimista do que a alta administração.

Isso foi bastante revelador. Quando o conselho classifica consistentemente as capacidades de gerenciamento de riscos em um nível mais alto do que aqueles que trabalham nas trincheiras, por assim dizer, isso sugere que a gestão não está sendo totalmente transparente.

Isso é compreensível, se não desculpável. Executivos que têm pouco tempo de contato com conselhos que se reúnem apenas duas ou quatro vezes por ano devem cobrir uma grande quantidade de informações nessas reuniões. Não é surpreendente, então, que alguns riscos não sejam transmitidos tão completamente quanto deveriam. Mas, francamente, acredito que é mais provável que a gestão executiva aproveite essas oportunidades limitadas para mostrar o melhor de si e minimizar os aspectos negativos.

O CAE não se manifesta. Como a única voz que presta avaliação independente sobre o gerenciamento de riscos, a auditoria interna tem a obrigação de se manifestar quando os conselhos não estão obtendo uma imagem completa, tempestiva e precisa.

Claro, isso é mais fácil de falar do que fazer. Frequentemente, a auditoria interna não está em posição de avaliar as informações que vão para o conselho. De fato, vários estudos mostram que os CAEs raramente abordam o conselho ou a gestão sobre a integridade e a tempestividade das informações submetidas ao conselho. A auditoria interna deve fazer melhor.

Este exercício demonstra duas coisas: a pergunta que deveríamos fazer não é “onde estava o conselho?” Deveria ser: “quem é o culpado pela visão distorcida do conselho sobre o gerenciamento de riscos?” A resposta é clara: o conselho, a gestão executiva e a auditoria interna têm alguma culpabilidade.

A solução deveria ser igualmente clara: prestação de contas e transparência em torno dos esforços de gerenciamento de riscos de uma organização são vitais para o entendimento e alinhamento adequados entre o conselho, a gestão executiva e a auditoria interna. Qualquer coisa menos do que isso é uma ameaça inaceitável para a boa governança. 

© 2023 Richard F Chambers and Associates, LLC. Usado com permissão. Autor Richard F. Chambers, texto publicado em 16 de janeiro de 2023, no site oficial de Richard Chambers.