Um dos desafios persistentes que os auditores internos enfrentam é encontrar alinhamento com os stakeholders sobre os riscos que mais ameaçam suas organizações. Por muitos anos, escrevi sobre a importância de construir relacionamentos com aqueles para quem trabalhamos e nutrir comunicações que apoiem o alinhamento. De fato, os conselhos mais comuns que venho oferecendo aos chefes executivos de auditoria (CAEs) ao longo dos anos são "saibam o que está mantendo nossos stakeholders acordados à noite" e "sigam os riscos".

Um relatório publicado recentemente pela Protiviti e pela ERM Initiative da North Carolina State University ajuda a esclarecer esse alinhamento (ou desalinhamento). O documento em PDF Executive Perspectives on Top Risks: Key Issues Being Discussed in the Boardroom and C-Suite examina os riscos enfrentados pelas organizações em 2021 e além, como vistos por uma grande variedade de entrevistados, de membros do conselho até cada cargo do C-Suíte, incluindo CAEs.

Duas principais conclusões do relatório oferecem um cenário de boas e más notícias. Primeiro, a boa notícia: há uma uniformidade encorajadora em todo o mix de entrevistados sobre o risco nº 1 enfrentado pelas organizações em 2021 — o impacto das políticas e regulamentos relacionados ao COVID-19 sobre o desempenho dos negócios. A má notícia: é aí que o consenso termina. Embora isso não seja ideal do ponto de vista do ERM, é útil para construir a consciência da necessidade crítica de alinhamento.

Por exemplo, o segundo risco mais bem avaliado identificado pelos CAEs — gerenciar ciberameaças — não aparece em qualquer um dos cinco principais riscos para CEOs, diretores financeiros (CFOs) ou diretores de risco (CROs). Não quer dizer que o cibernético não siga sendo um risco alto, chegando em sexto no geral. No entanto, é significante que, entre os entrevistados do C-Suíte, apenas os CAEs o vejam entre os cinco principais riscos em 2021.

O foco dos CAEs em cibersegurança também é aparente no próximo relatório North American Pulse of Internal Audit de 2021. A cibersegurança, de fato, classificou-se como o risco mais bem avaliado entre os participantes do Pulse a cada ano, de 2016 a 2020. É importante ressaltar que a pesquisa para o relatório Pulse deste ano foi realizada em outubro/novembro, refletindo a influência significativa da pandemia sobre as avaliações globais de risco dos CAEs. No entanto, os dados do Pulse também mostram que a cibersegurança, como porcentagem de alocação do plano de auditoria, continua sendo uma prioridade menor, variando de 6% a 8% no mesmo período de cinco anos.

Então, quais são os riscos mais significativos na mente de nossos stakeholders? Dois riscos adicionais que chegaram ao top 5 para os conselhos, CEOs e CFOs no relatório da Protiviti/NC: as condições econômicas nos mercados podem restringir significativamente as oportunidades de crescimento, e as condições de mercado impostas pela pandemia podem afetar a demanda dos clientes por produtos e serviços.

Devo pontuar que a pesquisa agrupa os 36 riscos classificados pelos entrevistados em três categorias amplas: macroeconômica, operacional e estratégica. Também oferece insights sobre como cada grupo entrevistado vê o risco. Por exemplo, CEOs e CFOs classificaram três riscos macroeconômicos entre os cinco primeiros colocados, enquanto os cinco principais riscos classificados pelos CAEs eram operacionais. Além disso, tanto os CEOs quanto os CFOs incluem um risco estratégico — o risco que envolve o impacto da pandemia sobre a demanda por produtos e serviços. Os CAEs não incluíram qualquer risco estratégico em seus cinco primeiros

No entanto, devemos nos conscientizar de que os três riscos não estratégicos que aparecem no Top Cinco do conselho são os mesmos dos CAEs, embora não apareçam na mesma ordem.

O relatório da Protiviti/NC é rico em dados e fornece análises volumosas. Além da comparação das visões de risco para 2021, os entrevistados também foram questionados sobre suas visões de risco de longo prazo (para 2030). Além disso, o relatório fornece análises por porte da organização, indústria, região geográfica e se é pública versus não pública. Encorajo todos os meus leitores a fazer o download do relatório gratuito e mergulhar nos detalhes.

Uma das principais observações do relatório oferece uma visão importante que todos os participantes do gerenciamento de riscos devem compreender e levar a sério:

"Os resultados refletem como diferentes papéis avaliam os riscos de forma diferente, em diferentes ambientes e períodos econômicos, e enfatizam a importância crítica de trazer inúmeros pontos de vista dos stakeholders às discussões de risco. É de suma importância que tanto o conselho quanto a equipe de gestão se envolvam no diálogo sobre os riscos críticos à empresa, dadas as diferentes perspectivas que cada um traz à mesa e o potencial de falta de consenso. Sem clareza de foco, a equipe executiva pode não estar alinhada com o conselho sobre quais são os principais riscos. O que é ainda pior, podem não estar lidando devidamente com os riscos mais importantes enfrentados pela organização, deixando assim a organização potencialmente vulnerável a certos eventos de risco."

A pandemia global ainda feroz fornece duas lições importantes em relação ao gerenciamento de riscos: alertou a maioria das organizações para fraquezas nos controles e no planejamento da gestão de crises, e aumentou a conscientização sobre o valor do alinhamento sobre os riscos. Faria bem aos CAEs que examinassem as opiniões dos stakeholders no relatório da Protiviti/NC e aproveitassem os insights para melhorar o alinhamento dos riscos em suas próprias organizações.

Embora todas essas informações forneçam uma visão valiosa sobre o estado de alinhamento na forma como a auditoria interna e seus stakeholders veem os riscos, ela realmente não ajuda com um dos desafios mais significantes que os auditores internos enfrentam: como devemos seguir os riscos, se cada pessoa está apontando em uma direção diferente? Acredito que há três chaves: comunicar, comunicar, comunicar. Quando os auditores internos veem disparidade na forma como os riscos estão sendo avaliados pelos stakeholders da auditoria interna, devemos nos pronunciar e nos posicionar. Devemos ser corajosos o suficiente para alertar os membros do conselho e a gestão quando suas perspectivas sobre os riscos enfrentados pela organização divergem.

Podemos não ter todas as respostas, mas estamos idealmente posicionados para fazer perguntas. É um caminho perigoso o de realizar nossas próprias avaliações de riscos cegamente e elaborar nossos próprios planos de auditoria sem questionar por que vemos riscos onde outros não veem. Devemos ser a voz que nossas organizações precisam ouvir.

Uma vez destacadas as diferenças de pontos de vista, devemos oferecer um plano de auditoria que atenda aos riscos mais cruciais para nossas organizações. Haverá riscos abordados no plano de auditoria que podem não estar no radar do conselho ou da gestão. Mas tais áreas de foco devem ser claramente compreendidas, e não o produto do silêncio ou da falta de comunicação.

Como sempre, aguardo seus comentários.

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve um blog semanal para a InternalAuditor.org sobre questões e tendências relevantes para a profissão de auditoria interna.