Building a Better Auditor: O Risco do Controle Excessivo
Blogs Jami Shine, CIA, CRMA, CISA, CRISC nov 04, 2024
A auditoria baseada em riscos tem sido a norma há anos, com foco em levar em conta o apetite e as tolerâncias a risco da organização, em vez de tentar eliminar todos os riscos. Porém, na prática, muitos auditores ainda promovem o controle excessivo, frequentemente em detrimento de nossas organizações.
Em Amsterdã, no verão passado, observei crianças pequenas andando de bicicleta sem capacete, muitas vezes nas ruas principais. Crianças menores sentadas atrás das bicicletas de seus pais, com o cinto de segurança frouxo, isso quando o usavam, em uma cena que faria muitos pais tremerem de medo. Bicicletas, carros e pedestres se moviam rapidamente em sincronia uns com os outros, executando uma dança complicada. E enquanto eu pulava nervosamente para sair da frente sempre que ouvia o som de um sininho de bicicleta, percebi, no meio da viagem, que não tinha presenciado um único acidente de trânsito. Um morador local nos disse: “Ensinamos nossas crianças a andar de bicicleta desde muito cedo, por isso não temos muitos acidentes”. Com base nas estatísticas que encontrei, a taxa estimada de mortalidade no trânsito per capita dos Países Baixos em 2023 era menos de um terço da dos EUA, então, parece que a abordagem deles era eficaz.
Como auditores, pode ser tentador procurar todas as formas em que o risco poderia se concretizar e fazer recomendações para tapar todos os buracos. No entanto, essa abordagem pode ser menos eficaz – e muito mais cara – do que investir em controles informais, como treinamento e cultura. Os ciclistas holandeses têm um interesse de autopreservação para evitar acidentes de trânsito, mas também são treinados e capacitados desde cedo. Treinar os funcionários – e então incentivar os comportamentos desejados – pode ajudar as organizações a atingirem os resultados desejados sem recorrer a camadas desnecessárias de burocracia.
Embora os controles internos sejam cruciais para atingir os objetivos, o controle excessivo pode ser mais perigoso do que muitos de nós imaginamos. Há o custo óbvio associado à implementação de controles redundantes ou ineficazes, especialmente para áreas de baixo risco. O controle excessivo também pode criar ineficiências que podem reduzir a vantagem competitiva de uma empresa. Talvez o mais prejudicial seja o impacto do controle excessivo no moral e no comportamento dos funcionários. Se os funcionários sentirem que os controles em vigor estão impedindo sua capacidade de desempenhar suas responsabilidades com eficiência, eles geralmente encontrarão soluções alternativas, o que leva à shadow IT. Alternativamente, podem permitir que o sistema do controle excessivo impacte a experiência do cliente.
Tenho sensibilidade ao glúten e recentemente fiz uma viagem ao meu parque de diversões favorito. Eu tinha visto fotos de panquecas fofas sem glúten em um dos restaurantes do parque e fui ansioso fazer meu pedido. O funcionário do caixa explicou que, de acordo com a política, era preciso que um chef de cozinha registrasse pedidos de pessoas com alergias. Aguardei no caixa, embaraçosamente, por mais de 10 minutos, enquanto o pobre funcionário ia várias vezes aos fundos tentando encontrar um chef de cozinha disponível. Finalmente, o chef de cozinha chegou, escreveu “panquecas sem glúten” em um bloco de notas, sem me fazer qualquer pergunta sobre a natureza da minha alergia, e desapareceu. Nesse caso, o controle bem-intencionado resultou em uma experiência ruim para o cliente e para o funcionário. Fiquei me perguntando por que os funcionários do caixa não poderiam ser autorizados a fazer pedidos básicos para pessoas com alergias e envolver um chef de cozinha apenas quando fosse justificável pelo risco, como em casos de alergias múltiplas ou graves, ou a pedido do cliente. E se os chefs de cozinha fossem envolvidos somente em situações de alto risco, eles teriam mais tempo para discutir a natureza das alergias, a fim de garantir que quaisquer precauções adicionais, além do protocolo padrão de alergias, fossem tomadas, o que resultaria em maior eficiência e, possivelmente, em uma mitigação de riscos ainda mais eficaz.
Em outro exemplo, conversei com um amigo que trabalha em uma organização com baixo apetite a risco. A organização desse amigo proibiu certas tecnologias comumente usadas que podem criar eficiências. Meu amigo admitiu que ele e seus colegas de trabalho ignoram os controles e usam a tecnologia mesmo assim. Um controle mais eficaz poderia ter sido a organização treinar os funcionários sobre como usar a tecnologia com segurança e implementar processos de governança sólidos, em vez de proibi-la totalmente.
Na minha experiência, observei as falhas de controle mais significantes em dois tipos de ambientes: 1) aqueles em que os funcionários eram confiáveis, mas não eram treinados ou responsabilizados; e 2) aqueles em que havia controles excessivamente restritivos, incentivando os funcionários a seguir cegamente um checklist ou a encontrar soluções alternativas para contornar os controles.
Talvez devêssemos aprender uma lição com os holandeses e começar a treinar até mesmo os funcionários de níveis mais baixos, para que entendam o “porquê” por trás dos controles que executam. Meu palpite é que treinar e capacitar esses funcionários trará melhores resultados do que um controle excessivo e rígido.