Como a velocidade do risco, o final de 2018 está se aproximando com grande rapidez. Isso significa que muitos de vocês estão dando os últimos retoques em seu plano anual de auditoria interna para 2019. Tenho certeza de que seu processo foi exaustivo e que você está se preparando para apresentar para o seu comitê de auditoria um plano que reflita as prioridades baseadas em riscos que são apropriadas para sua organização. No entanto, antes que a tinta seque em seu plano, achei que seria útil dar uma olhada nas prioridades que seus colegas planejam abordar no próximo ano.

 

O risco define o mundo do auditor interno. No fim das contas, é o risco que molda nossos planos de auditoria, que direciona nossos stakeholders e que determina nosso sucesso ou fracasso. É por isso que investimos tanto tempo e esforço em ajudar nossas organizações a identificar, entender e mitigar ou alavancar os riscos. Compreender a combinação única de riscos que as nossas organizações enfrentam e os apetites de risco dos nossos stakeholders é crucial para que a auditoria interna agregue valor.

 

Diversas organizações produzem relatórios anuais que tentam vislumbrar o horizonte, para identificar os riscos do próximo ano. Às vezes, é fácil prever quais serão esses riscos, pois alguns deles são de longo prazo, quando não são perpétuos. O desafio é identificar ou prever riscos inesperados, emergentes ou atípicos que possam amadurecer nas próximas semanas ou meses, na esperança de se preparar para se proteger contra eles ou de usá-los para beneficiar a organização.

 

Dois relatórios publicados recentemente, um da Gartner Inc. e outro da European Confederation of Institutes of Internal Auditing (ECIIA), identificam um inimigo familiar como o maior risco para 2019: a cibersegurança. Ao longo dos anos, esse desafio para as organizações subiu consistentemente na hierarquia de riscos nos relatórios anuais. Também abriu nossos olhos para outras categorias de riscos, à medida que nossa compreensão do ciberespaço se torna mais sofisticada e nossas abordagens para administrá-lo amadurecem.

 

De fato, o foco na cibersegurança ajudou-nos a entender que a tecnologia e os dados estão inexoravelmente interligados, e aumentou nossa conscientização sobre os riscos relacionados à governança de dados e à privacidade de dados. Isso levou-nos a ser mais conscientes dos riscos relativos aos relacionamentos com terceiros, à governança de TI e à cultura. Por exemplo, quatro dos cinco principais riscos do relatório da Gartner derivam indiscutivelmente do nosso foco sobre a cibersegurança – a preparação para a cibersegurança, privacidade de dados, governança de dados e riscos de terceiros. O Risk in Focus 2019, relatório desenvolvido e produzido pela ECIIA, agrupa a cibersegurança, a governança de TI e os riscos de terceiros em uma categoria. Outra categoria do relatório da ECIIA é a proteção dos dados e estratégias em um mundo pós-GDPR.

 

Dados e tecnologia também são essenciais para as discussões de riscos sobre digitalização, automação e inteligência artificial. Essas discussões demonstram claramente o desafio de equilibrar riscos e oportunidades. Como o relatório da ECIIA aponta:

 

“Os benefícios de custo e eficiência da automação e de outros processos digitais podem ser transformadores, se forem aproveitados em todo o seu potencial. Mas as organizações também devem considerar o risco associado a essa transformação”.

 

Os dados coletados desde 2016 pelo The IIA em suas pesquisas anuais do Pulse of Internal Audit refletem o mesmo foco sobre o cibernético. A porcentagem de chief audit executives norte-americanos (CAEs) que classificaram o cibernético como um alto risco para suas organizações cresceu de 60% para 68% entre 2016 e 2018. No mesmo período, o percentual de CAEs que classifica a TI como um risco principal cresceu de 39% para 53% e o risco de relacionamentos com terceiros também teve algum crescimento.

 

O relatório da Gartner, que entrevistou 144 CAEs, revelou que dois terços dos entrevistados disseram que sofreram uma interrupção relacionada a terceiros nos últimos dois anos ou que não tinham conhecimento suficiente das atividades de terceiros para identificar uma interrupção.

 

O que se sabe é que os riscos de terceiros estão se tornando mais complexos à medida que a digitalização, o compartilhamento de dados e a fraca supervisão dos relacionamentos com terceiros ameaçam expor as organizações a danos reputacionais.

 

É fácil se fixar em riscos orientados por dados e tecnologia, mas certamente existem outros, como os dois relatórios de risco concordam. A Gartner identifica ética e integridade como um risco que evoluiu a partir dos riscos culturais identificados em seu relatório de 2018. O relatório da ECIIA também identifica a cultura no local de trabalho como um risco.

 

Em 2018, o movimento #MeToo redefiniu como as organizações veem os riscos associados ao assédio sexual e à desigualdade no local de trabalho. Embora essas duas áreas sejam conhecidas como categorias de risco, a explosão de alegações sérias contra executivos de destaque do setor de entretenimento e os subsequentes danos reputacionais às suas organizações aumentaram significativamente esse nível de risco. O papel significante das mídias sociais não pode visto como exagero. Aqui, novamente, a tecnologia está influenciando a forma como vemos o risco.

 

O escândalo Cambridge Analytica é outro exemplo. O Facebook e seu icônico fundador, Mark Zuckerberg, sofreram danos reputacionais significativos, por permitirem que a empresa britânica extraísse informações pessoais de milhões de usuários do serviço. O escândalo também aumentou a conscientização sobre as responsabilidades éticas associadas à proteção de dados e à privacidade, que agora são vistas como um risco significante nos relatórios da Gartner e da ECIIA.

 

À medida que olhamos para 2019, o cenário de riscos provavelmente enfocará a cibersegurança, a governança e a privacidade de dados, o risco de terceiros e os riscos crescentes associados ao impacto da tecnologia sobre a ética, cultura e integridade organizacionais.

 

Ao preparar seus planos de auditoria interna para o próximo ano, você deve se certificar de ter considerado todos os riscos enfrentados por sua organização e deve discuti-los com seus comitês de auditoria e gerência executiva. A lista não é, de forma alguma, abrangente ou necessariamente aplicável a todas as organizações. No entanto, ela serve como ponto de referência útil, por contemplar o que pode estar à frente em 2019.

 

Como sempre, aguardo seus comentários.

 

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para a InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.