Como a Auditoria Interna pode atuar e apoiar as organizações a enfrentar disrupções aceleradas.
Sobre a Pesquisa Global de Riscos da PwC
O foco da Pesquisa Global de Riscos da PwC é a aceitação de riscos diante da disrupção. O estudo enfatizou a necessidade de os executivos adaptarem suas estratégias e modelos operacionais e transformarem suas capacidades relacionadas a riscos para evitar disrupções e aproveitar novas oportunidades. São recomendadas cinco ações principais que as organizações devem considerar para impulsionar seus recursos de gerenciamento de riscos.
A pesquisa foi realizada com 3.584 executivos de negócios e riscos, auditoria e compliance, entre 4 de fevereiro a 31 de março de 2022. Os executivos de negócios representam 49% da amostra, e os 51% restantes são divididos entre executivos de auditoria (16%), gestão de riscos (24%) e compliance (11%). O levantamento foi conduzido pela PwC Research, centro de excelência global da PwC para pesquisas e insights de mercado.
A seguir abordamos os resultados do ponto de vista da Auditoria Interna (AI).
Entendendo o novo multiverso de riscos
Em um mundo cada vez mais interconectado, os impactos dos recentes eventos geopolíticos e sanitários, da volatilidade do mercado financeiro e da escassez de suprimentos continuam afetando diferentes territórios, indústrias e organizações de todos os tamanhos e indústrias. Neste cenário desafiador e com disrupções aceleradas, os riscos precisam ser observados também em suas múltiplas dimensões. Por exemplo: um único evento, como um ataque cibernético, pode causar danos em áreas como operações, tecnologia, finanças, clientes, fornecedores, conformidade regulatória e reputação comercial.
Aceitar esse multiverso de riscos permite tomadas de decisões mais conscientes e sustentáveis, seja em movimentos estratégicos – como lançamento de novos produtos, aquisições e entrada em mercados adjacentes –, ou na jornada de transformação digital da organização.
O que isso significa para a Auditoria Interna
O propósito, a objetividade e o alcance da Auditoria Interna nas organizações enfatizaram a importância da função na conexão dos pontos neste multiverso de riscos e podem ajudar as empresas a navegar com confiança em meio às turbulências. Isso significa que a AI pode cumprir seu papel de proteger e criar valor, alcançando seu potencial como assessora confiável, capaz de fornecer segurança aos diferentes stakeholders em relação ao amplo panorama de riscos.
| Mensagem da Pesquisa de Riscos | O que isso significa para a Auditoria Interna | |
| Participe desde o início e use insights de riscos para apoiar decisões | Redefina o papel da AI para um modelo de governança unificado e destaque a importância de ter “um lugar à mesa” com vistas ao envolvimento precoce em iniciativas de transformação | |
| Adote uma visão panorâmica dos riscos | Use a tecnologia e os dados em todo o ciclo de vida da AI (e não apenas em testes) para fornecer insights diferentes ou destacar novas áreas de risco | |
| Defina e use o apetite a riscos para aproveitar as oportunidades de ganho | Trabalhe com funções de primeira e segunda linha para ajudar a alinhar prioridades e convencionar uma linguagem de riscos comum | |
| Use tecnologia para facilitar decisões fundamentadas em riscos | A AI deve entender como a administração usa a tecnologia para incorporar o risco em sua tomada de decisão – e estar disposta a compartilhar dados, ferramentas e técnicas que ajudem a fazer isso |
Os entrevistados da Pesquisa Global de Riscos 2022 deram opiniões diferentes sobre quem poderia ser considerado responsável pela gestão de riscos. Isso sugere que ainda há muito trabalho a ser feito na criação de uma abordagem unificada e eficaz para o risco. Por outro lado, oferece uma oportunidade para a AI ser ágil, proativa e pioneira na busca por esse objetivo.
Responsabilidade pela gestão de riscos
| Riscos | Financeiro | Estratégico | Operacional | Digital | Relatórios | Compliance | Reputação |
| Diretor de Risco (CRO) | 9% | 16% | 14% | 12% | 21% | 17% | 18% |
| Diretor Financeiro (CFO) | 58% | 8% | 8% | 7% | 20% | 9% | 8% |
| CEO | 10% | 29% | 15% | 10% | 13% | 13% | 25% |
| Diretor de Operações (COO) | 5% | 12% | 39% | 6% | 7% | 8% | 9% |
| Diretor de Segurança da Informação (CISO) | 3% | 7% | 4% | 18% | 7% | 6% | 5% |
| Diretor de Informação (CIO) | 3% | 5% | 4% | 16% | 9% | 5% | 6% |
| Diretor de Tecnologia (CTO) | 2% | 5% | 4% | 22% | 4% | 4% | 4% |
| Diretor de Auditoria (CAE) | 3% | 3% | 2% | 2% | 6% | 4% | 4% |
| Diretor de Compliance (CCO) | 1% | 2% | 1% | 2% | 3% | 24% | 5% |
| Diretor Jurídico | 1% | 2% | 1% | 1% | 3% | 4% | 4% |
| Conselho | 2% | 8% | 3% | 2% | 3% | 3% | 7% |
| Nenhum executivo responsável | 1% | 2% | 3% | 2% | 3% | 2% | 5% |
| Não sabe | 0% | 0% | 0% | 0% | 1% | 0% | 1% |
Participe desde o início e use insights de riscos para apoiar decisões
A AI precisa consolidar seu “lugar à mesa” e se envolver desde o início em iniciativas de transformação
Segundo nossa Pesquisa Global de Riscos 2022:
- 85% dos brasileiros (79% no mundo) afirmam que acompanhar a velocidade de transformações digitais e de outras mudanças é um grande desafio de gerenciamento de riscos.
- 54% dos executivos de negócios brasileiros (39% no mundo) dizem estar tomando decisões melhores e alcançando resultados duradouros ao consultar profissionais de risco desde o início dos projetos.
- 67% dos brasileiros (70% no mundo) estão priorizando a diversidade nas suas equipes de riscos.
Esses dados fornecem à AI uma oportunidade relevante de participação proativa para ampliar seu valor e oferecer informações mais oportunas sobre riscos novos ou emergentes. Percebemos que algumas funções de alto desempenho em AI estão sendo solicitadas para realização de avaliações de verificação de integridade antes da implementação de iniciativas de transformação ou de tecnologia. Isso garante que os riscos sejam enfatizados desde o início, evitando que se reflitam em problemas pós-implementação – mais complexos e custosos de resolver.
A participação da AI em projetos pode, por exemplo, fornecer aos comitês de supervisão uma perspectiva mais diversificada e independente sobre o risco e ajudá-los a ter uma visão prévia sobre se o projeto está no caminho certo para alcançar os benefícios esperados.
Medidas que o líder de AI pode tomar:
- Criar uma conscientização sobre as iniciativas planejadas de transformação digital para permitir que as contribuições da AI sejam incorporadas aos fóruns de orçamento e governança (como comitês de supervisão).
- Explorar como a AI pode fornecer feedback em tempo real quando envolvida em iniciativas de transformação – por exemplo: usando monitoramento por pareceres de risco ou por indicadores-chave de risco (KRI), em vez de relatórios de AI tradicionais.
- Compartilhar com stakeholders estudos de caso que demonstrem o benefício da participação da AI desde o início, como economias de custos decorrentes de melhores decisões no projeto.
Adote uma visão panorâmica dos riscos
A AI deve continuar a usar tecnologia e dados ao longo de todo o seu ciclo de vida (não apenas em testes) para fornecer diferentes insights ou destacar novas áreas de risco
Nossa Pesquisa Global de Riscos 2022 descobriu que:
- 60% dos brasileiros (65% no mundo) estão aumentando seus gastos gerais com tecnologia de gerenciamento de riscos.
- 72% (75% no mundo) planejam aumentar gastos com análise de dados, automação de processos (77% no Brasil e 74% no mundo) e tecnologia para apoiar a detecção e o monitoramento de riscos (70% e 73%).
- 30% dos brasileiros e 38% no mundo relatam que suas áreas de gestão de riscos não estão buscando insights externos para avaliar e monitorar riscos.
Esse cenário mostra que há um apetite nas empresas por mais informações baseadas em dados. A auditoria pode ser pioneira em fornecer esses insights usando sua experiência na extração e análise de dados para transformá-los em ações práticas – isso permite que a liderança identifique e quantifique as exposições e direcione a atenção para assuntos de maior complexidade ou que representem uma oportunidade relevante.
Vemos, por exemplo, que as funções de AI mais relevantes são as que demonstram competência digital, não só no aproveitamento dos dados, mas em sua forma de apresentar oportunidades para criar ou proteger valor. Essa apresentação pode trazer imagens e gráficos gerados por ferramentas de visualização de dados, como PowerBI, Tableau ou Qlikview, que ajudam a audiência enxergar o risco de maneira diferente.
Medidas que o líder de AI pode tomar:
- Investir no aprimoramento de recursos e tecnologias digitais para complementar a experiência existente em relação a riscos, controles e processos.
- Fornecer insights, métricas e análises quantificáveis que mostrem o uso dos dados na detecção e no monitoramento de riscos, antes que virem problemas.
- Experimentar diferentes estilos de relatórios para provocar o maior impacto no público-alvo.
Defina e use o apetite a riscos para aproveitar as oportunidades de ganho
A AI pode ser mais relevante para as funções de primeira e segunda linhas, ajudando a elencar prioridades e a estabelecer uma linguagem de risco comum
Nossa Pesquisa Global de Riscos descobriu que:
- 17% dos brasileiros (22% no mundo) percebem os benefícios de definir ou redefinir o apetite e os limites de risco.
- 47% (56% no mundo) estavam, em 2022, investindo em uma cultura de riscos e avaliando o risco comportamental.
- 56% (47% no mundo) estão muito confiantes na capacidade de sua área de gestão de riscos de desenvolver uma cultura mais consciente sobre riscos.
A AI tem um papel importante na construção da confiança dos stakeholders, sobretudo na forma como a organização vê – e aborda – o risco. Percebemos conselhos e comitês de auditoria envolvendo cada vez mais a AI, inclusive em áreas como ESG, segurança cibernética, mudança regulatória, fusões e aquisições e gerenciamento de terceiros.
A AI entende o impacto dos riscos em uma organização e pode conectar os pontos entre diferentes estruturas e processos para fornecer uma perspectiva consolidada sobre a cultura geral de riscos e as possíveis ameaças.
Ela não pode, contudo, fazer isso sozinha. É importante que uma organização tenha uma abordagem unificada entre as diferentes linhas. Isso inclui a linguagem usada para falar sobre risco, a abordagem, as ferramentas e o esforço empregado para mitigá-lo ou aceitá-lo. Sem esse alinhamento, a complexidade e a natureza interconectada do multiverso do risco podem deixar as empresas no escuro, o que prejudica a cultura geral de risco.
Medidas que o líder de AI pode tomar:
- Manter-se atualizado sobre o apetite a risco da empresa e estar ciente das perspectivas possivelmente diferentes entre os grupos de stakeholders (como conselho, comitê de auditoria e risco e executivos).
- Fornecer insights e recomendações de AI sobre o apetite a risco e limites de risco da empresa para ajudar a priorizar o que é importante agora e depois, à medida que os riscos mudarem.
- Trabalhar com funções de primeira e segunda linhas para destacar as diferenças na linguagem, abordagem e prioridades assumidas para o risco em toda a organização. Isso também inclui evidenciar exemplos de boas práticas nos quais funções ou indivíduos demonstrem inovação ou progresso significativo na abordagem de riscos.
Use tecnologia para facilitar decisões fundamentadas em riscos
AI deve entender como a administração usa tecnologia para incorporar o risco em sua tomada de decisão e estar disposta a compartilhar dados, ferramentas e técnicas
Nossa Pesquisa Global de Riscos 2022 descobriu que:
- 68% das empresas brasileiras (74% no mundo) estão aumentando gastos para agregar tecnologia e recursos digitais à área de gestão de riscos.
- 50% (54% no mundo) complementam os investimentos em tecnologia de riscos com mudanças em pessoas e processos.
- 85% (75% no mundo) dizem que soluções tecnológicas que não funcionam de forma integrada são um desafio relevante de gerenciamento de riscos.
É importante que a AI seja capaz não apenas de usar tecnologia de forma eficaz para realizar seu próprio trabalho, mas também de entender como as ferramentas digitais são incorporadas à tomada de decisões em todos os níveis da organização. O ritmo acelerado das mudanças tecnológicas e a falta de habilidades digitais por parte dos profissionais da organização tornam essa questão um imperativo estratégico para a AI.
A experiência da AI em entender e avaliar fluxos complexos de informações, integridade de dados, configuração de sistemas e relatórios significa que ela está bem posicionada para fornecer recomendações – que são úteis na identificação de pontos críticos de decisão e no entendimento sobre os fatores de risco envolvidos. Incorporar esse mindset em uma abordagem de avaliação integrada com funções de segunda linha também pode reduzir a duplicidade de esforços na atividade de avaliação.
Além disso, quando conveniente, a AI deve estar preparada para compartilhar suas ferramentas, técnicas e os dados para apoiar a primeira e a segunda linhas no desenvolvimento de suas capacidades. Em alguns casos, essa questão pode envolver o desenvolvimento conjunto de abordagens para que as decisões e os controles baseados em risco sejam “incorporados” aos processos subsequentes. Isso pode incluir, por exemplo, scripts analíticos (para destacar tendências ou outliers em um conjunto de dados), Automação de Processos Robóticos – RPA (para agrupar e testar relatórios) ou ferramentas de visualização (para ajudar a inspecionar e apresentar informações).
Medidas que o líder de AI pode tomar:
- Identificar as ferramentas, técnicas e dados da AI que sejam úteis à primeira e à segunda linhas no desenvolvimento de suas capacidades de decisão com base em risco.
- Atualizar a metodologia de AI e fornecer treinamento para ajudar os auditores internos a planejar, procurar e avaliar os principais pontos de decisão de gerenciamento, os riscos relacionados e os sistemas e dados envolvidos em um processo.
- Revisar a estratégia e o plano de TI da organização e compará-los com a estratégia de tecnologia de AI para descobrir oportunidades de investimento e desenvolvimento conjunto ou de compartilhamento de conhecimento.
Considerações finais
Os riscos para as empresas – e para o mundo – nunca foram tão complexos e interconectados. Da mesma forma, as oportunidades para a Auditoria Interna intervir e ajudar a enfrentar esse novo multiverso de riscos estão em seu nível máximo e mais importante.
A AI já dispõe de muitos dos principais recursos necessários para enfrentar esse cenário de risco desafiador, mas precisa combiná-los com outros ativos na primeira e segunda linhas, ou pensar em desenvolvê-los, caso não existam. Alcançar esse “efeito multiplicador” será a única maneira de abordar o amplo panorama de riscos de maneira eficaz, principalmente em áreas como ESG, cibernética e regulação
