Auditores Internos: Se virem algo, digam algo

*Richard Chambers, presidente do The IIA Global

Na lista das “5 Resoluções do Auditor Interno para 2019” eu incluiu um ponto importante que é familiar para a maioria em diferentes contextos, mas também para nossa profissão: “se você vir algo, diga algo”. Normalmente usados no contexto da segurança pública, o slogan tem desempenhado um importante – embora às vezes controverso – papel na prevenção de bombardeios e outros ataques terroristas, de acordo com relatos da mídia.

À primeira vista, “se vir algo, diga algo” pode não parecer um problema da auditoria interna. Mas o conceito se aplica a situações que os auditores internos enfrentam todos os dias. Frequentemente, vemos problemas e reportamos sobre eles durante as auditorias, mas “se vir algo, diga algo” também se aplica a problemas que podem não estar no escopo de uma auditoria. É fácil fazer vista grossa quando algo não está formalmente documentado em nossos papéis de trabalho. Mas temos uma obrigação maior – um propósito maior. Como as organizações tem essa consciência, devemos estar constantemente vigilantes.

No início da minha carreira, passei pela situação de receber ordens para fazer vista grossa, porque algo não estava no escopo de uma auditoria. Como auditor interno júnior, estava trabalhando em uma auditoria de administração de contratos em uma base do Exército dos EUA. Estávamos revendo os arquivos de contratos em uma instalação de manutenção de veículos, quando percebi que vários contêineres de materiais de resíduos tóxicos estavam largados em um canto da instalação. Eles não estavam marcados, mas eu tinha certeza de que eles continham derivados de petróleo usados. Mais importante ainda, pelo menos dois dos recipientes de 50 litros estavam vazando. Relatei isso ao meu chefe. Ainda me lembro de sua resposta: “Richard, não é para isso que estamos aqui. Se começarmos a reportar tudo que vemos errado, nunca sairemos daqui.”

Embora meu chefe tenha se recusado a comentar sobre o que eu tinha certeza que era uma violação de conformidade ambiental, tornei-me um forte defensor da inclusão de uma revisão da manutenção de resíduos perigosos no plano de auditoria interna do ano seguinte. Percebi que o dano já havia sido feito, mas sempre acreditei que, quando vemos algo, devemos dizer algo.

Manifestar-se sobre observações que não estão no escopo de nossas auditorias pode exigir luvas de pelica – não luvas de boxe. Quando você encontrar problemas, a forma como você os aponta pode determinar se você é visto como útil ou como um fofoqueiro sabichão; como uma fonte confiável de informações e conselhos, ou como um dedo-duro. Você não precisa gritar aos quatro ventos toda vez que perceber um pequeno problema. Mas se você vê algo errado e você é um auditor interno, você precisa dizer algo, e muitas vezes você precisa dizê-lo rapidamente e com cuidado. Você não precisa usar um tom acusatório e não precisa atribuir culpa a alguém. Se você estiver em uma equipe de auditoria, alerte o líder da equipe (como eu fiz). Se você reportar diretamente ao chief audit executive (CAE), aborde o assunto com ele ou ela. Se você for o CAE, então leve a questão à administração – ou se a administração estiver envolvida ou não for responsiva, leve a questão ao comitê de auditoria.

Como auditores internos, apontar possíveis áreas problemáticas é uma parte fundamental de nossos trabalhos. Devemos estar dispostos a tomar a iniciativa e falar com coragem quando vemos comportamentos potencialmente prejudiciais ou que criem riscos, mesmo quando os principais executivos estiverem envolvidos. Alguns exemplos de coisas que podemos observar que podem justificar dizer alguma coisa são:

  • Segurança física negligente nas instalações que estamos auditando.
  • Proteção inadequada de documentos confidenciais ou proprietários em instalações que estamos auditando.
  • Práticas de gastos extravagantes ou de desperdício na organização.
  • Violações de políticas corporativas ou regulamentos fora do escopo da auditoria (como as violações de armazenamento de petróleo que observei).
  • Comportamento indevido da equipe ou da administração nas instalações onde estamos realizando as auditorias (assédio sexual ou outro tipo de assédio aos membros da equipe de auditoria ou outros funcionários).
  • Utilização de atalhos pelo pessoal ou administração que viola políticas para atingir os objetivos predeterminados (comportamento de “os fins justificam os meios”).
  • Declaração indevida ou deturpação de fatos em uma reunião de equipe ou reunião do conselho, ou informações imprecisas fornecidas a um regulador.

Manifestarmo-nos quando vemos algo impróprio não se limita às ações da gerência organizacional ou da equipe. Nós também devemos nos considerar responsáveis. Por exemplo, se notarmos que os colegas de auditoria interna estão pegando atalhos que podem prejudicar a precisão ou a credibilidade de uma auditoria interna, não devemos hesitar em dizer algo.

Nos últimos meses, tenho escrito e falado sobre os riscos que os déficits de coragem apresentam à nossa profissão. Devemos constantemente checar nossa própria bússola moral para validar se estamos agindo ética e corajosamente na execução de nossas responsabilidades. Quando você observa algo errado (mesmo que não esteja no escopo de sua auditoria), você tem a oportunidade e a obrigação de compartilhar as informações necessárias que possam ajudar sua organização. Algumas pessoas podem ver isso como ser dedo-duro. Mas em muitos casos, aqueles que castigam alguém como um dedo-duro estão com raiva de terem sido pegos em suas transgressões. Para as nossas organizações e outras pessoas que estejam sendo ameaçadas ou feridas pela transgressão, as iniciais SNITCH (“dedo-duro” em inglês) simplesmente significam “Share Needed Information That Can Help” (“compartilhe informações necessárias que podem ajudar).

Aguardo suas opiniões sobre o ato de se manifestar.

maxresdefault

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve um blog semanal para o InternalAuditor.org sobre questões e tendências relevantes para a profissão de auditoria interna.

Anúncios

6 sinais de que sua última Auditoria Interna marcou um golaço

*Richard Chambers, presidente do The IIA Global

Como venho escrevendo em meu blog há quase 10 anos, acho que a auditoria interna pode ser um dos trabalhos mais gratificantes do planeta. Mas, sejamos sinceros, não importa o quão bom você seja em seu trabalho, é improvável que as pessoas visitem seu escritório todos os dias, ou publiquem um comentário nas mídias sociais, só para dizer o quanto elas amaram sua última auditoria. Ainda assim, como escrevi em 2011, há sinais inconfundíveis de que sua última auditoria foi, de fato, um grande sucesso. Aqui estão alguns dos meus indicadores favoritos de que um relatório de auditoria interna acertou em cheio e marcou um golaço.

1. Seu comitê de auditoria pede especificamente que você informe os membros sobre sua última auditoria

Na maioria das organizações, o CAE participa regularmente das reuniões do comitê de auditoria, mas é menos provável que outros auditores internos também participem. Se você normalmente não é convidado, mas desta vez o comitê de auditoria quer ouvir você, parabéns! Muito provavelmente, sua auditoria tratou de um risco crítico ou teve repercussões importantes e seus esforços estão sendo notados. Nesse caso, você e a auditoria interna marcaram um golaço. (A não ser que o comitê de auditoria tenha chamado você simplesmente porque os membros queriam criticar sua auditoria. Aí, infelizmente, não foi um golaço, e sim um gol contra. 

2. O CEO ou CFO esbarra com você no corredor e começa a falar sobre a auditoria

Quando as pessoas param o que estão fazendo apenas para falar sobre os resultados de uma auditoria recente, é bem provável que você esteja fazendo a diferença em sua organização. Qualquer reconhecimento especial de uma auditoria, mesmo em uma reunião improvisada, indica que as pessoas têm pensado sobre o seu relatório e suas consequências. Vejo isso como um grande sinal de que a auditoria interna está funcionando como um agente de mudança positiva.

3. Suas recomendações de auditoria levam a significativas economias de custo, aumentos de receita e/ou a ganhos de eficiências

Todo mundo ama dinheiro. Se o seu relatório de auditoria interna resultou em uma redução significativa de custos ou melhorou materialmente o resultado da organização, tenho certeza de que você já sabe que a auditoria marcou um golaço. Estes são resultados que deixariam qualquer auditor orgulhoso. Os auditores internos sabem que dinheiro não é a única coisa que importa – mas nunca é demais.

4. Sua auditoria interna revela um grande risco, antes não reconhecido, ou impede uma grande fraude

Quando uma auditoria interna descobre um problema sério ou impede que um grande problema ocorra, você sabe que fez a diferença. Lidar com um risco grave pode não aumentar a receita, mas, às vezes, uma recomendação de auditoria interna pode até salvar uma vida – e a auditoria interna que fizer isso, terá marcado um golaço, na opinião de qualquer um.

5. A gerência operacional pede seus conselhos sobre questões adicionais ou relacionadas a um relatório recente de auditoria

Se você receber um retorno da gerência operacional, pedindo orientações adicionais, você pode considerar que sua auditoria foi um sucesso. Quando a gerência operacional pede sua opinião sobre as operações, é provável que sua auditoria tenha acertado em cheio. Mas não conta se alguém ligar para você apenas para pedir conselhos sobre como redigir uma resposta a uma recomendação de auditoria.

6. Sua auditoria divulga (e a gerência concorda) que a cultura é a causa (raiz) de uma ou mais descobertas de seu relatório

Para ser honesto, este item não estava na lista que publiquei pela primeira vez em 2011. No entanto, as expectativas de que a auditoria interna comente sobre a cultura aumentaram drasticamente nos últimos anos. Qualquer auditor interno que possa identificar claramente a cultura como causa raiz em um relatório de auditoria, para mim, pode ser indicado para ganhar a “bola de ouro”.

Estes não são os únicos indicadores de que a auditoria interna marcou um golaço. Na verdade, o sinal mais forte de que uma auditoria interna foi bem-sucedida é muitas vezes único às circunstâncias daquele trabalho específico. É claro que, se uma única auditoria obteve todos os resultados acima, as chances são de que não foi apenas um golaço. Foi a conquista da Copa!

Adoraria receber suas opiniões. Você tem exemplos reais de momentos em que você percebeu que sua última auditoria interna foi um sucesso? Compartilhemos as experiências!

maxresdefault

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve um blog semanal para o InternalAuditor.org sobre questões e tendências relevantes para a profissão de auditoria interna.

Os Auditores Internos Podem Auditar Qualquer Coisa – Mas Não Podem Auditar Tudo

*Richard Chambers, presidente do The IIA Global

Há momentos em que os clientes de auditoria interna e outros profissionais têm expectativas irreais sobre nossa profissão. Não é de surpreender, então, que possa haver confusão sobre o nosso papel. Afinal, os auditores internos usam muitos “chapéus”. Somos analistas, especialistas em controles, consultores, professores, parceiros de negócios, vigias, consultores financeiros, especialistas em conformidade e mais. Nós realmente podemos auditar quase qualquer coisa. Embora alguns riscos claramente exijam experiência adicional para auditar, como escrevi em um artigo de 2014, “você não precisa ser um palhaço para auditar o circo”. No entanto, como observei na época, embora possamos auditar qualquer coisa, não podemos auditar tudo.

Cada vez que uma grande falha de controle aparece nas manchetes, alguém inevitavelmente pergunta: “Onde estavam os auditores internos?” Como infelizmente vimos com muita frequência no ano passado, os auditores internos se engajaram e, de fato, fizeram alertas antes das calamidades. Mas os avisos não foram tratados satisfatoriamente pela administração. Dado o tamanho e a complexidade de muitas organizações hoje em dia, isso demandaria funções de auditoria interna incrivelmente grandes para lidar com todos os riscos que as organizações enfrentam. Às vezes, simplesmente não há recursos suficientes de auditoria interna para cobrir todos os riscos significantes e, sim, também há momentos em que a auditoria interna acaba por negligenciar um risco essencial, que se prova catastrófico.

Na melhor das hipóteses, a função de auditoria interna só consegue ser tão eficaz quanto os recursos, treinamento e talento disponíveis. Os auditores internos não são infalíveis e, dadas as realidades dos orçamentos e as justificativas de custos, também não podemos ser onipresentes.

Isso pode levar a lacunas de expectativa e mal-entendidos sobre o que os auditores internos podem fazer ou sobre o que está sendo abordado. Diversos estudos, nos últimos anos, observaram grandes lacunas entre as percepções dos auditores internos, dos presidentes de comitês de auditoria, dos membros de conselhos administrativos e da alta administração sobre como suas empresas gerenciam os riscos de fraude e ética. Um estudo da PwC de alguns anos atrás mostrou que 53% dos presidentes de comitês de auditoria, membros do conselho e da alta administração achavam que os riscos de fraude e ética eram bem administrados, enquanto apenas 35% dos chief audit executives partilhavam desse sentimento.

Peter Tickner, consultor do Reino Unido sobre questões de governança corporativa e fraude, observou as diferenças de opinião sobre quem é responsável pela dissuasão de fraudes e por estabelecer e avaliar a cultura ética. Citação de Tickner: “A alta administração estava convencida de que uma das principais funções do chief audit executive era lidar proativamente com os riscos de fraude e corrupção, enquanto, em geral, os CAEs viam isso como um problema e uma responsabilidade da alta administração”.

Se Tickner estiver certo, é hora de examinar seriamente os papéis e responsabilidades das “Três Linhas de Defesa”.

Infelizmente, nossas partes interessadas (stakeholders), às vezes, querem mais garantias do que podemos oferecer. Um bom exemplo é a área de cibersegurança. De acordo com o Instituto Ponemon, 7 em cada 10 organizações dizem que seus riscos de segurança aumentaram significativamente em 2017. Como Jonathan Crowe, da Barkly, observou recentemente, “o início de 2018 coincidiu com a impressionante divulgação das vulnerabilidades do Meltdown e do Specter, que colocam praticamente todos os sistemas operacionais e dispositivos do planeta em risco”.

As estatísticas são impressionantes e, obviamente, os auditores internos das organizações de hoje não podem dar garantia absoluta sobre os controles de cibersegurança de suas organizações. Quando se trata de riscos e controles, fornecemos garantias importantes, mas não podemos dar garantia ilimitada. E, embora realizar avaliações seja um papel essencial dos auditores internos, devemos nos precaver de dar garantias falsas. As expectativas dos nossos clientes não são criadas do nada. Eles podem ter expectativas irreais, simplesmente por terem “audição seletiva”, mas parte do problema também pode ser nossa. As lacunas de expectativa podem se desenvolver por causa de algo que dizemos ou fazemos, ou da maneira como dizemos. Ou elas podem resultar do nosso silêncio.

Todos nós explicamos regularmente o que podemos fazer pelas nossas organizações e como podemos agregar valor. É importante que as partes interessadas compreendam os benefícios da auditoria interna, por isso, incorporamos tais mensagens em nossos documentos, procedimentos, anúncios de auditoria, nossas reuniões de abertura de trabalhos e em outras comunicações. No entanto, embora possamos ser bons em explicar como a auditoria interna pode ajudar, talvez devêssemos gastar um pouco mais de tempo explicando as possíveis limitações de nossas capacidades, tendo em mente o antigo mantra de atendimento ao cliente, que diz que devemos “prometer menos e entregar mais”.

Sempre haverá riscos, não importa o que a auditoria interna faça. Certos desastres estão fadados a acontecer, independentemente do número ou da qualidade dos auditores internos que protegem nossas organizações. Quando as crises ocorrem, todos os olhos da organização podem se virar para a auditoria interna, para que ela avalie as causas e consequências. A canção da banda Lady Antebellum, I Run to You, diz bem: “este mundo gira cada vez mais rápido em direção a um novo desastre, então, eu corro para você”. É natural que a administração e o conselho recorram a nós após uma falha de risco ou de controle. Por mais que possamos tentar avaliar os principais riscos antes das falhas ocorrerem, não podemos auditar tudo. Essa é uma mensagem que merece destaque na hora de estabelecer as principais expectativas das partes interessadas.

Quais são suas opiniões sobre cuidar e monitorar as expectativas das partes interessadas?

maxresdefault
Richard Chambers é presidente do The IIA Global e mantém um blog atualizado sobre auditoria interna em inglês, francês e espanhol

Texto original em inglês, traduzido pelo IIA Brasil