*Richard Chambers, presidente do The IIA Global
Escrevi várias postagens no blog sobre grandes falhas de risco, controle e governança nos últimos anos, da Volkswagen à Toshiba e ao Wells Fargo. Alguns artigos analisaram as lições aprendidas, enquanto outros exploraram o papel ou a ausência da auditoria interna nesses fracassos corporativos.
O escândalo público é o alimento preferido dos críticos e os especialistas transformaram comentários sobre o fracasso em uma verdadeira indústria. Mas gostaria de me concentrar nos pensamentos de um dos líderes mais citados e inspiradores do século XX, Winston Churchill. O primeiro-ministro do Reino Unido, celebrado como ousado, corajoso, resoluto e incansável em sua liderança durante a Segunda Guerra Mundial, também teve sua parcela de fracassos políticos e militares.
Ao longo de sua carreira política, ele aprendeu que o sucesso e o fracasso estão intimamente interligados. A citação de Churchill que melhor transmite isso é: “O sucesso não é definitivo, o fracasso não é fatal. O que vale é a coragem de continuar.”
Com isso como inspiração, vamos explorar como a auditoria interna pode contribuir para a recuperação de uma organização de um escândalo infame ou de fracassos públicos de controle e risco.
A Uber, inovação em compartilhamento de viagens, passou por diversos escândalos, desde revoltas dos motoristas e revelações de seu uso de software para contornar regras em cidades onde opera, à suposta indiferença da empresa ao assédio sexual e à falta de diversidade. A repercussão prejudicou seriamente a reputação da empresa e levou à derrubada de seu diretor executivo, o rígido Travis Kalanick. A abordagem do novo CEO para reabilitar a reputação da Uber consiste de um grande esforço de escuta, seguido por ação decisiva. Sob a liderança de Dara Khosrowshahi, a Uber está respondendo a questões de cultura que fervilham há muito tempo na raiz de muitos de seus problemas. As mudanças no aplicativo apresentaram uma opção de gorjeta para os motoristas e um novo recurso de emergência para os passageiros que se sentirem ameaçados. A nova liderança também enfatizou a diversidade e a inclusão.
Facebook e Wells Fargo, que sofreram danos significativos à reputação por uma série de escândalos, adotaram uma abordagem diferente. A imagem pública da reabilitação dessas duas empresas – uma relativamente jovem e outra com mais de 150 anos – é composta por campanhas publicitárias multimídia caras e sofisticadas. Mas eles não param por aí.
O Wells Fargo, que recebeu multas regulatórias nas centenas de milhões de dólares americanos por seu escândalo de contas falsas, anunciou uma revisão de seu processo de gerenciamento de riscos e mudou seu plano de incentivos para os caixas e outros funcionários do banco. Recentemente, chegou a um acordo em um processo coletivo de clientes no valor de US$ 142 milhões.
Os controles fracos do Facebook permitiram que a Cambridge Analytica coletasse ilegalmente informações de mais de 87 milhões de usuários. O escândalo, que ocorreu quando detalhes da operação vieram à tona, tirou o fundador do Facebook Mark Zuckerberg de sua típica reclusão, para defender publicamente o gigante das mídias sociais nas audiências do Congresso dos EUA.
Zuckerberg depôs que a empresa está examinando todos os aplicativos de seu site que tenham acesso a grandes quantidades de dados dos usuários e prometeu que qualquer uso inapropriado de dados seria banido e que os usuários afetados seriam informados.
Nos três exemplos, essas falhas públicas e os danos resultantes à reputação foram alimentados, pelo menos em parte, por riscos imprevistos dos esforços para aumentar as receitas. A priorização da administração em garantir novos negócios, superar um concorrente ou atingir metas de vendas irreais cria riscos que podem “voltar às origens”. Eles podem tornar a organização mais suscetível a riscos conhecidos e expô-la a riscos previamente desconhecidos ou imprevistos.
Os auditores internos podem participar do esforço de conscientizar o conselho e o comitê de auditoria dos momentos em que a administração possa não estar administrando os riscos de forma eficaz ou em que possa estar extrapolando o apetite ao risco previamente acordado com o conselho. Em artigos anteriores, descrevi a definição do apetite ao risco como se fosse o conselho delineando as faixas de uma rodovia. Essencialmente, o conselho diz à administração: “essas são as faixas fora das quais não queremos nos aventurar. Fiquemos dentro dessas pistas”. É tarefa da auditoria interna alertar o conselho quando a administração desviar dessas faixas. Mas qual é o papel da auditoria interna quando a organização está juntando os cacos de um grande fracasso de gerenciamento de riscos?
As circunstâncias de cada desastre ditam o papel específico desempenhado pela auditoria interna, mas aqui estão alguns papéis preventivos ou reativos a serem considerados:
Nós tentamos avisar
A falha poderia ter sido evitada, se a administração e o conselho seguissem as recomendações da auditoria interna? Violação cibernética recente sofrido pela cidade norte-americana de Atlanta é um bom exemplo desse cenário. A violação provavelmente teria sido evitada, se tivesse sido seguida a exigência da auditoria interna de abordar as vulnerabilidades cibernéticas identificadas meses antes da violação. Nesses casos, a auditoria interna deve pressionar incansavelmente para que suas recomendações iniciais sejam implementadas.
Onde está o plano de crise?
A auditoria interna deve prestar avaliação sobre as comunicações de crise e os planos de continuidade do negócio que sirvam de orientação no caso de um escândalo público. Após a crise, a auditoria interna pode examinar a eficácia com que os planos foram executados.
Novo e melhorado
O Wells Fargo e o Facebook estão investindo em campanhas de publicidade para reparar suas imagens danificadas. Enquanto alguns podem criticar tais ações como superficiais ou cosméticas, a auditoria interna pode desempenhar um papel na prestação de avaliação sobre as alegações e promessas feitas por essas campanhas. Afinal, os consumidores, reguladores e outros serão ainda menos tolerantes em um segundo escândalo.
Mudanças no gerenciamento de riscos
O Wells Fargo, o Facebook e a Uber comprometeram-se a mudar alguns aspectos de seus processos de gerenciamento de riscos, incluindo a modernização do gerenciamento de riscos do Wells Fargo. A auditoria interna pode fornecer uma perspectiva empresarial importante para tais revisões e avaliar os novos processos resultantes.
A cultura é tudo
Funcionários da Uber e do Wells Fargo comentaram publicamente como a cultura contribuiu para seus problemas. Por exemplo, Khosrowshahi descreveu como o sucesso da Uber mascarou seus problemas culturais. “O sucesso serve de desculpa para o mau comportamento”, disse a Andrew Ross Sorkin, do New York Times, em 2017. Quanto mais a auditoria interna puder incorporar ao seu trabalho o estudo de sua cultura, maior a probabilidade de poder alertar o conselho e a administração sobre possíveis problemas. Estes são apenas alguns exemplos do papel da auditoria interna após um escândalo. Estou interessado em saber suas opiniões também.

Texto original em inglês, traduzido pelo IIA Brasil