Como deve ser o futuro da auditoria interna?

Nos últimos anos, tenho presenciado uma transformação significativa na função de auditoria interna, que envolve desde a forma de planejar e executar suas atividades até o modo de comunicar e acompanhar os resultados dos trabalhos efetuados. Por experiência própria, posso afirmar que todos os agentes envolvidos, sejam os próprios auditores internos ou os níveis executivos e de conselho, esperam que esta função não esteja somente focada em identificar situações de exceção, mas que esteja apta para propor alternativas factíveis de preservação e geração de valor dentro da organização.  Neste sentido, espera-se cada vez mais dos auditores internos uma postura ágil e proativa, que combine de modo balanceado atividades de asseguração e aconselhamento, e que possam, na prática, representar um elemento de vantagem competitiva.

Para atender estas expectativas, os auditores internos devem estar focados nos riscos prioritários e temas relevantes para os negócios, que favoreçam uma atuação alinhada às diretrizes estratégicas das suas organizações.  O foco em eventos ocorridos no passado não é mais suficiente, uma vez que há uma demanda crescente por antecipação de eventos e identificação de riscos emergentes, bem como uma qualificação e quantificação assertiva de seus achados e conclusões. Este novo cenário vem exigindo dos profissionais de auditoria interna um processo constante de desenvolvimento pessoal, que permita adquirir novas habilidades técnicas e comportamentais, ampliando sua capacidade de interação objetiva e colaborativa com os stakeholders.

Estudo recente da Deloitte, denominado Auditoria Interna no Brasil - Rumo à Consolidação do Impacto e da Influência, realizado em parceria com o Instituto de Auditores Internos do Brasil, comprova que essa transformação já está em curso, e pode ser considerada irreversível. Tanto é que mais da metade dos líderes de Auditoria Interna que fizeram parte deste estudo espera investir mais de US$ 100 mil em inovação nos próximos cinco anos nas empresas em que atuam.

Outro dado relevante é que a maior parte dos líderes enxerga como prioridades para os próximos cinco anos ações inovadoras, como a adoção de novas abordagens de trabalho (ex.: analytics e métodos ágeis de auditoria interna), melhor integração com as atividades da segunda linha de defesa, implementação de tecnologias cognitivas e de automação de processos (robótica).

Os resultados do estudo evidenciaram que as empresas, em todos os setores, estão inovando – o que impulsiona também a necessidade de a Auditoria Interna acompanhar essa evolução. A maioria das organizações – e certamente aquelas posicionadas para ter sucesso em um ambiente de constantes transformações - está empregando novos modelos de negócios e tecnologias, desenvolvendo novos processos e formas de trabalhar e estabelecendo novas parcerias com terceiros.

Mas, então, como as áreas de Auditoria Interna devem se preparar para estas mudanças? Por onde começar?

Para facilitar, separei alguns pontos que julgo importantes para que a Auditoria Interna possa iniciar um processo voltado para ampliar sua relevância e fomentar um impacto positivo no futuro de uma organização. Este processo pode envolver a adoção de novos métodos ou ferramentas, como a implementação de analytics ou uma abordagem de trabalho ágil para auditoria interna.  Porém, mais do que mudanças em padrões metodológicos ou adoção de ferramentas, essa transformação envolve incorporar uma cultura de inovação e busca de aprimoramento contínuo.  Como exemplo, envolve considerar como escopo de seu trabalho segmentos que vão além dos temas clássicos de conformidade e avaliação de controles internos, ampliando sua atuação em riscos cibernéticos, ambientais, de cultura organizacional e planejamento estratégico.

Dos tópicos explorados nesta pesquisa, mais da metade está relacionada à tecnologia, o que comprova a importância deste tema e seu potencial de transformação, conforme exemplos demonstrados na sequência:

Automação de processos robóticos e inteligência cognitiva – a automação por meio de processos robóticos envolve o uso de softwares para executar tarefas baseadas em regras em um ambiente virtual, imitando as ações de um usuário para obter o mesmo resultado ou resultados ainda mais aprimorados.   Por sua vez, a inteligência cognitiva vai um passo além da automação e inclui processamento de linguagem natural e inteligência artificial, que pode extrair conceitos e relacionamentos a partir de dados, interpretando de forma lógica seu significado e “aprendendo” com padrões de dados e experiências anteriores.  Tais cenários já fazem parte do ambiente de negócios de muitas empresas, e estarão cada vez mais presentes nos trabalhos de auditoria interna.

A adoção de analytics pela área de Auditoria Interna encontra-se em franca evolução, porém ainda longe do potencial de transformação que pode representar. Esta abordagem deveria ser vista como parte integrante das atividades área, desde o planejamento e execução dos trabalhos até a comunicação dos resultados aos níveis operacionais e alta administração.

Outro ponto importante diz respeito aos processos de asseguração contínua, que envolve uso de ferramentas automatizadas para prover rotinas de verificação e consistências sistêmicas, em tempo real, que possibilitam a identificação e tratamento “on-line” de exceções, com base em fluxos e padrões pré-estabelecidos.

Adicionalmente, compõem a lista a auditoria de risco digital que inclui, entre outras coisas, a revisão de ferramentas que automatizam os controles e fluxos de dados, bem como métodos de desenvolvimento de aplicativos, equipes dev-ops (que combinam desenvolvimento e profissionais operacionais) e uso de outras soluções em dispositivos móveis.

Enquanto a maioria das atividades ligadas à segurança cibernética, outro item da lista, incide tradicionalmente sobre a área de Tecnologia, é fundamental que sejam considerados riscos relevantes que emanam do uso de sistemas com armazenamento de dados baseados em nuvem, trabalhando com desenvolvedores externos e usando aplicações fora do ambiente de tecnologia da organização.

No que tange à privacidade de dados, as novas regulamentações, como a GDPR (lei europeia que regula o uso de dados) e a LGPD – Lei Geral de Proteção de Dados, sancionada recentemente no Brasil - podem representar ameaças reais para as organizações que ainda não contam com processos adequados para preservar dados de natureza pessoal.  Tais regulamentações são consideradas hoje como extremamente relevantes na pauta dos stakeholders.

Outro fator relevante está relacionado aos riscos de terceiros, pelo impacto e relevância que podem representar aos negócios de uma organização. Isso se dá principalmente pela complexidade inerente a alguns relacionamentos contratuais, dificuldades para monitoramento, precificação e aceite dos serviços e bens fornecidos, bem como a exposição financeira e de imagem envolvida.

Muitas organizações hoje contam com um plano de gerenciamento de crises para prover uma resposta organizada e suficiente para situações inesperadas.  Neste sentido, a Auditoria Interna pode representar uma fonte confiável para assegurar a adequação deste plano, provendo conforto aos executivos quantos à sua eficiência e eficácia.

Uma das principais expectativas dos stakeholders envolve a velocidade de resposta das organizações aos eventos inesperados e riscos emergentes.  Desta forma, a Auditoria Interna deve estar suportada por uma estrutura de profissionais e processos que favoreçam o atendimento dessas demandas em tempo hábil.  Com base nesta demanda, as áreas de Auditoria Interna estão adotando cada vez mais métodos ágeis para gestão de suas atividades e aceleradores de processos internos, buscando mais velocidade, eficiência e aumento na cobertura dos trabalhos.

Recomendo a leitura da íntegra de nossa pesquisa para uma visão mais detalhada destas estratégias e conhecimento de outros temas relevantes, que podem favorecer o impacto e a relevância da auditoria interna na jornada de transformação em suas organizações.

Paulo Vitale é sócio de Risk Advisory e líder do segmento de Auditoria Interna da Deloitte no Brasil

Opiniões e conceitos expressos nos artigos são de responsabilidade dos autores