On the Frontlines: O ERM Jedi
Blogs Jason Stepnoski, CIA, CPA, CFE and CISA jul 14, 2022
Os auditores internos são, em essência, os Jedi de suas organizações. Auditores, como os Jedi, somos enviados por toda a galáxia de organizações com nosso plano de auditoria para nos guiar na solução de problemas complexos. Os Jedi abordam suas missões da mesma forma que os auditores executam projetos. Considere as três fases de uma auditoria:
- Um Jedi precisa aprender sobre uma questão, para identificar problemas e determinar suas causas raízes.
- Trabalho de campo. Um Jedi deve executar o que aprendeu e coletar evidências sobre observações reportáveis.
- Um Jedi deve recomendar soluções para problemas de alto risco, que, se implantadas, podem ajudar a organização a atingir seus objetivos. (Espera-se que não haja negociações agressivas.)
Se estamos indo bem em todas essas fases, ganhamos o apelido de conselheiro de confiança, também conhecido como mestre Jedi. As equipes de auditoria, como os Jedi, são parceiros de negócios independentes, com uma estrutura única de reporte. A auditoria interna, normalmente, é o único departamento a reportar diretamente a um comitê do conselho. (Ou você vai me dizer que as reuniões do Conselho Jedi não têm uma semelhança impressionante com as reuniões do comitê de auditoria?)
Um dos outros serviços vitais que a auditoria interna presta é a assessoria relevante e valiosa, com base em suas avaliações de riscos. E, assim como os Jedi usam a força, os auditores devem estar constantemente atentos aos negócios e cenários sociais em constante mudança, para identificar e avaliar os riscos atuais e futuros.
É meio irônico, então, que os Jedi não tenham sido tão parecidos assim com os auditores internos, pois foram terríveis na avaliação de riscos. Se os Jedi tivessem alocado alguns recursos para o gerenciamento de riscos corporativos ou para a auditoria interna, ou se talvez tivessem incluído alguns livros da IIA Bookstore em sua vasta biblioteca, eles teriam detectado e impedido que o maior fraudador de todos se tornasse o Imperador da Galáxia.
Lordes Sith acabaram não sendo a especialidade dos Jedi, como Obi-Wan Kenobi afirmou uma vez, enquanto estava a poucos metros do próprio Lorde Sith, Palpatine, que não muito tempo depois causou diretamente o fim da Ordem Jedi como havia sido constituída. Os Jedi ignoraram completamente os riscos representados pelos eventos que ocorreram ao longo dos três filmes anteriores, o que levou a abordar indevidamente a questão de um Lorde Sith ser o líder de seu órgão de governança até que fosse tarde demais.
A resposta dos Jedi foi ignorar a maioria dos alertas vermelhos que levaram à grande revelação do Lorde Sith Palpatine, apesar de muitos, muitos anos antes terem sabido da ameaça das travessuras de Darth Maul. Imagine avaliar indevidamente seu risco mais significativo por uma década. Os Jedi foram como a Blockbuster moderna, que ignorou o risco das tecnologias emergentes de serviços de streaming e reagiu tarde demais para sobreviver de maneira significativa. Agora, como os Jedi, só sobrou uma Blockbuster.
Até mesmo organizações com as melhores intenções devem permanecer focadas em identificar e avaliar devidamente os riscos. Talvez alguma diligência adicional tivesse sido justificada quando o exército de clones surgiu de repente, em um momento muito conveniente para algumas fusões e aquisições necessárias. Os Jedi, então, foram além de seu objetivo de agentes da paz e se tornaram generais de combate para um exército de clones. Ações eticamente questionáveis, na melhor das hipóteses, e definitivamente fora de qualquer estatuto de auditoria aprovado.
Yoda certamente não vinha promovendo uma cultura corporativa saudável. Ele é o auge da microgestão. Com um dia de treinamento, ele já estava montado nas costas de Luke Skywalker, gritando instruções. Não há como esse método de ensino fazer com que uma Academia Jedi tenha uma fórmula vencedora para a cultura da empresa. Essas não são as ações de uma agência que leva a sério o gerenciamento de riscos.
A auditoria interna deve estar atenta para manter sua independência, ainda aproveitando as oportunidades para oferecer insights objetivos e relevantes a nossos parceiros de negócios e stakeholders. E o mais importante, deve ser uma defensora da boa cultura e da boa governança, mantendo-se atenta ao escopo de seu estatuto de auditoria. Essas são lições que, definitivamente, até os mestres Jedi poderiam aprender com os auditores.