Na semana passada, cheguei com antecedência à Califórnia, para me preparar para a Conferência Internacional de 2019 do The IIA. Enquanto relaxava um pouco fora do meu hotel em 4 de julho, fui sacudido por um terremoto de magnitude 6,4, com epicentro localizado a mais de 160km de distância. Depois que o tremor parou, perguntei a mim mesmo: "por que não pensei em um terremoto quando considerei todos os riscos relacionados à nossa próxima conferência?"

 

Na noite seguinte, um terremoto ainda mais forte, de magnitude 7,1, atingiu a região enquanto eu jantava com minha família perto do local da nossa conferência. Enquanto todos no restaurante se recuperavam após o terremoto, um dos funcionários do restaurante confessou que os exercícios preparatórios para um terremoto deixaram de ser realizados há alguns anos.

 

Mesmo antes dos terremotos na Califórnia, a mídia estava divulgando amplamente a onda de calor na Europa. Ao longo de junho, as altas temperaturas em grande parte das regiões sudoeste e central do continente quebraram recordes, incluindo a temperatura mais alta já registrada na França, quando Gallargues-le-Montueux chegou à máxima de 45,9°C (114,6°F).

 

O calor extremo foi relacionado às mortes de mais de uma dúzia de pessoas em regiões onde as temperaturas do verão raramente chegam a 38°C (100 ° F). Grande parte da região afetada parecia estar mal preparada para lidar com o calor inesperado.

 

Os terremotos da Califórnia e a onda de calor da Europa trouxeram à mente a forma como podemos caracterizar o clima extremo e os eventos geológicos em termos de risco. Até semana passada, havia 20 anos desde o último grande terremoto no sul da Califórnia. No entanto, os geólogos há muito tempo alertam que a área está em atraso. Enquanto isso, na Europa, as autoridades de saúde pública entendem a importância e o valor da preparação para climas perigosos, e a história recente sugere que a mudança climática está aumentando a probabilidade de tais eventos climáticos extremos. Os verões mais quentes da Europa nos últimos 500 anos ocorreram todos nos últimos 17 anos. Globalmente, dos 17 anos mais quentes registrados, 16 ocorreram desde 2000.

 

Costumo usar analogias climáticas para explicar o valor que a auditoria interna oferece às organizações. Os profissionais podem prever eventos de risco e ajudar a preparar suas organizações para lidar com eles. As variáveis que afetam o clima são tão complexas quanto as variáveis que afetam o risco e o gerenciamento de riscos. Compreender essas variáveis e encontrar formas de monitorá-las e mitigá-las é o que tanto a auditoria interna quanto a meteorologia se esforçam para alcançar.

 

Os recentes terremotos e ondas de calor trouxeram à mente outra analogia — a do cisne negro. O conceito de cisne negro no gerenciamento de riscos foi proposto pela primeira vez pelo escritor e acadêmico Nassim Taleb, em seu livro de 2007, The Black Swan: The Impact of the Highly Improbable.

 

Taleb descreveu os eventos "cisne negro" como tendo três características: são raros, têm um impacto extremo e são previsíveis retrospectivamente (em retrospectiva, seria possível prevê-los seguindo um raciocínio lógico). Desde então, outros sugeriram que o foco da auditoria interna deveria ser em "cisnes cinzas" — eventos definidos pela Investopedia como os "que podem ser antecipados até certo ponto, mas considerados improváveis de ocorrer, e com impacto considerável." Acredito que é aqui que caem os terremotos da Califórnia e a onda de calor europeia.

 

Terremotos e mudanças climáticas não são novidade, e os problemas que a onda de calor criou para governos e empresas provavelmente deveriam ter sido antecipados. Na verdade, as mudanças climáticas estão gerando muitos dos maiores riscos que as organizações enfrentam globalmente. O World Economic Forum (WEF) de 2019 lista os eventos climáticos extremos, desastres naturais e o fracasso da mitigação e adaptação às mudanças climáticas como os três maiores riscos em termos de probabilidade e impacto. Esses três riscos, juntamente com ciberataques e fraudes de dados ou roubos, compartilharam os cinco principais riscos globais do WEF em termos de probabilidade em 2018 e 2019.

 

Há um grande número de outros cisnes cinzas em potencial por aí, como um Brexit complicado, consequências econômicas contínuas decorrentes de guerras tarifárias, a incerteza geopolítica e a tensão entre EUA e Irã irem além da provocação. Então, qual é o papel da auditoria interna na preparação de uma organização para cisnes cinzas?

 

Existem duas abordagens para lidar com a incerteza. A primeira depende de algo com que a maioria dos auditores internos está familiarizada: avaliar o impacto e a probabilidade de qualquer risco em particular. Essas duas características orientam os planos de auditoria há décadas, mas são mais adequadas aos riscos inerentes e residuais — os riscos que são conhecidos, compreendidos e com controles em prática que podem ser monitorados e auditados.

 

A segunda abordagem busca criar flexibilidade na organização para suportar riscos inesperados, implantando barreiras de segurança (pense na cibersegurança), controles de qualidade e abrangendo redundâncias, manutenção e testes. Essas ações criam uma resiliência que ajuda as organizações a se adaptar às mudanças, gerenciar interrupções e evitar surpresas.

 

Parte dessa criação de resiliência pode incluir processos, práticas e profissionais voltados para testes, através do uso de "equipes vermelhas". Esses grupos independentes assumem funções antagônicas, que desafiam a organização a provar sua resiliência, testando aleatoriamente a eficácia de seus processos e práticas.

 

Para a auditoria interna, a melhor abordagem para lidar com cisnes cinzas pode ser adotar o que há de melhor nas duas abordagens. Claramente, terremotos e mudanças climáticas são riscos conhecidos e a preparação para diferentes cenários pode fazer parte dos esforços de gerenciamento de riscos de uma organização. As auditorias dos planos de gestão de crises, testes de penetração e exercícios de ataque à segurança planejados pela "equipe vermelha" também têm um lugar no processo.

 

É certo que as limitações de tempo, recursos e equipe tornam impossível o planejamento para todas as eventualidades. No entanto, isso não deve nos impedir de apoiar todos os esforços para impedir riscos que deveriam ser previsíveis.

 

Como sempre, aguardo seus comentários.

 

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para um blog da InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.

 

Tradução: IIA Brasil

Revisão Técnica da Tradução: Marcelo Fridori, CIA, CCSA, CRMA.