O papel da Auditoria Interna em juntar os pedaços

*Richard Chambers, presidente do The IIA Global

Escrevi várias postagens no blog sobre grandes falhas de risco, controle e governança nos últimos anos, da Volkswagen à Toshiba e ao Wells Fargo. Alguns artigos analisaram as lições aprendidas, enquanto outros exploraram o papel ou a ausência da auditoria interna nesses fracassos corporativos.

O escândalo público é o alimento preferido dos críticos e os especialistas transformaram comentários sobre o fracasso em uma verdadeira indústria. Mas gostaria de me concentrar nos pensamentos de um dos líderes mais citados e inspiradores do século XX, Winston Churchill. O primeiro-ministro do Reino Unido, celebrado como ousado, corajoso, resoluto e incansável em sua liderança durante a Segunda Guerra Mundial, também teve sua parcela de fracassos políticos e militares.

Ao longo de sua carreira política, ele aprendeu que o sucesso e o fracasso estão intimamente interligados. A citação de Churchill que melhor transmite isso é: “O sucesso não é definitivo, o fracasso não é fatal. O que vale é a coragem de continuar.”

Com isso como inspiração, vamos explorar como a auditoria interna pode contribuir para a recuperação de uma organização de um escândalo infame ou de fracassos públicos de controle e risco.

A Uber, inovação em compartilhamento de viagens, passou por diversos escândalos, desde revoltas dos motoristas e revelações de seu uso de software para contornar regras em cidades onde opera, à suposta indiferença da empresa ao assédio sexual e à falta de diversidade. A repercussão prejudicou seriamente a reputação da empresa e levou à derrubada de seu diretor executivo, o rígido Travis Kalanick. A abordagem do novo CEO para reabilitar a reputação da Uber consiste de um grande esforço de escuta, seguido por ação decisiva. Sob a liderança de Dara Khosrowshahi, a Uber está respondendo a questões de cultura que fervilham há muito tempo na raiz de muitos de seus problemas. As mudanças no aplicativo apresentaram uma opção de gorjeta para os motoristas e um novo recurso de emergência para os passageiros que se sentirem ameaçados. A nova liderança também enfatizou a diversidade e a inclusão.

Facebook e Wells Fargo, que sofreram danos significativos à reputação por uma série de escândalos, adotaram uma abordagem diferente. A imagem pública da reabilitação dessas duas empresas – uma relativamente jovem e outra com mais de 150 anos – é composta por campanhas publicitárias multimídia caras e sofisticadas. Mas eles não param por aí.

O Wells Fargo, que recebeu multas regulatórias nas centenas de milhões de dólares americanos por seu escândalo de contas falsas, anunciou uma revisão de seu processo de gerenciamento de riscos e mudou seu plano de incentivos para os caixas e outros funcionários do banco. Recentemente, chegou a um acordo em um processo coletivo de clientes no valor de US$ 142 milhões.

Os controles fracos do Facebook permitiram que a Cambridge Analytica coletasse ilegalmente informações de mais de 87 milhões de usuários. O escândalo, que ocorreu quando detalhes da operação vieram à tona, tirou o fundador do Facebook Mark Zuckerberg de sua típica reclusão, para defender publicamente o gigante das mídias sociais nas audiências do Congresso dos EUA.

Zuckerberg depôs que a empresa está examinando todos os aplicativos de seu site que tenham acesso a grandes quantidades de dados dos usuários e prometeu que qualquer uso inapropriado de dados seria banido e que os usuários afetados seriam informados.

Nos três exemplos, essas falhas públicas e os danos resultantes à reputação foram alimentados, pelo menos em parte, por riscos imprevistos dos esforços para aumentar as receitas. A priorização da administração em garantir novos negócios, superar um concorrente ou atingir metas de vendas irreais cria riscos que podem “voltar às origens”. Eles podem tornar a organização mais suscetível a riscos conhecidos e expô-la a riscos previamente desconhecidos ou imprevistos.

Os auditores internos podem participar do esforço de conscientizar o conselho e o comitê de auditoria dos momentos em que a administração possa não estar administrando os riscos de forma eficaz ou em que possa estar extrapolando o apetite ao risco previamente acordado com o conselho. Em artigos anteriores, descrevi a definição do apetite ao risco como se fosse o conselho delineando as faixas de uma rodovia. Essencialmente, o conselho diz à administração: “essas são as faixas fora das quais não queremos nos aventurar. Fiquemos dentro dessas pistas”. É tarefa da auditoria interna alertar o conselho quando a administração desviar dessas faixas. Mas qual é o papel da auditoria interna quando a organização está juntando os cacos de um grande fracasso de gerenciamento de riscos?

As circunstâncias de cada desastre ditam o papel específico desempenhado pela auditoria interna, mas aqui estão alguns papéis preventivos ou reativos a serem considerados:

Nós tentamos avisar

A falha poderia ter sido evitada, se a administração e o conselho seguissem as recomendações da auditoria interna? Violação cibernética recente sofrido pela cidade norte-americana de Atlanta é um bom exemplo desse cenário. A violação provavelmente teria sido evitada, se tivesse sido seguida a exigência da auditoria interna de abordar as vulnerabilidades cibernéticas identificadas meses antes da violação. Nesses casos, a auditoria interna deve pressionar incansavelmente para que suas recomendações iniciais sejam implementadas.

Onde está o plano de crise?

A auditoria interna deve prestar avaliação sobre as comunicações de crise e os planos de continuidade do negócio que sirvam de orientação no caso de um escândalo público. Após a crise, a auditoria interna pode examinar a eficácia com que os planos foram executados.

Novo e melhorado

O Wells Fargo e o Facebook estão investindo em campanhas de publicidade para reparar suas imagens danificadas. Enquanto alguns podem criticar tais ações como superficiais ou cosméticas, a auditoria interna pode desempenhar um papel na prestação de avaliação sobre as alegações e promessas feitas por essas campanhas. Afinal, os consumidores, reguladores e outros serão ainda menos tolerantes em um segundo escândalo.

Mudanças no gerenciamento de riscos

O Wells Fargo, o Facebook e a Uber comprometeram-se a mudar alguns aspectos de seus processos de gerenciamento de riscos, incluindo a modernização do gerenciamento de riscos do Wells Fargo. A auditoria interna pode fornecer uma perspectiva empresarial importante para tais revisões e avaliar os novos processos resultantes.

A cultura é tudo

Funcionários da Uber e do Wells Fargo comentaram publicamente como a cultura contribuiu para seus problemas. Por exemplo, Khosrowshahi descreveu como o sucesso da Uber mascarou seus problemas culturais. “O sucesso serve de desculpa para o mau comportamento”, disse a Andrew Ross Sorkin, do New York Times, em 2017. Quanto mais a auditoria interna puder incorporar ao seu trabalho o estudo de sua cultura, maior a probabilidade de poder alertar o conselho e a administração sobre possíveis problemas. Estes são apenas alguns exemplos do papel da auditoria interna após um escândalo. Estou interessado em saber suas opiniões também.

maxresdefault
*Richard Chambers é presidente do The IIA Global e mantém um blog atualizado sobre auditoria interna em inglês, francês e espanhol

Texto original em inglês, traduzido pelo IIA Brasil

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s