Olá! Seja bem-vindo a mais uma pílula de conhecimento do Blog do Studio: hora de dar aquela paradinha de cinco minutos para desopilar um pouco, mas, sempre com um café encorpado na mão e em pautas que apreciamos. Vamos juntos!
Se eu pergunto, hoje, como está o seu dia a dia, o que você responde? Há uma operacionalização excessiva? Você considera que a sua liderança é centralizadora? Os times estão menores por conta dos custos revisados nos últimos anos? A cultura é de resultados a qualquer custo? As pessoas e os processos são lentos? Os processos são mal organizados, ou sequer existem? Você sente que a gestão de riscos deveria ser aprimorada – por exemplo, mediante monitoramento contínuo? Como, de fato, está estruturada a organização que você lidera? Qual a base e qual o norte?
Muito se fala em Governança Corporativa, Gerenciamento de Risco e Compliance e o que se vê na prática são ações burocráticas e marketeiras pontuais sobre o tema – vide, inclusive, a ‘pauta’ ESG –, ao invés de uma abordagem prática de implementação atrelada à estratégia das empresas – o que tornaria essas agendas mais claras, fluidas e, acima de tudo, prioritárias desde o início.
Acredito que quando reflexões como essas permeiam a rotina sob a nossa gestão, trazer luz por meio de conceitos é importante para que comecemos a sair do olho do furacão e pensar em estruturação como base e, por conseguinte, em estratégia. O caminho é quase ao contrário, ou melhor, têm-se a VISÃO, e a construção de trás para a frente do caminho a ser percorrido.
Modelo de Três Linhas de Defesa
Aqui nessa conversa considero pertinente o entendimento do modelo das três linhas de defesa desenvolvidos na Europa pelo Instituto dos Auditores Internos (ECIIA), em conjunto com a Federação Europeia de Gestão de Riscos (FERMA), em 2011 e homologado pelo Instituto dos Auditores Internos (IIA), em 2013.
Esse modelo facilita a compreensão e comunicação, nas empresas, sobre os papéis e responsabilidades no gerenciamento de riscos e controles internos, ajudando a identificar estruturas e processos que melhor auxiliam no atingimento dos objetivos estratégicos, táticos fortalecendo a Governança Corporativa – afinal, RISCO MEDIDO É FONTE DE OPORTUNIDADE PARA ESTRATÉGIA.
Esse era o modelo em 2013:
Havia muitas críticas a esse modelo quanto à primeira e à segunda linha, que não eram tão definidas e separadas quanto o modelo predefinia. Dessa forma, era comum que a gestão participasse das atividades de monitoramento de riscos, gerando estresse, sobrecarga e confusão entre as funções que permeavam cada uma das linhas de defesa.
Portanto, a partir de 2020 o modelo foi atualizado pelo IIA, ficando assim:
Na nova configuração do Modelo das Três Linhas de Defesa, os principais papéis são ocupados, respectivamente, pelos Órgãos de Governança, a Gestão, a Auditoria interna e os Prestadores Externos de avaliação. Além disso, nele a Gestão assume a primeira e a segunda linha, juntando-se com a Alta administração no Gerenciamento de Riscos – ambos têm a responsabilidade de entrega de produtos e serviços aos clientes da organização, enquanto a segunda linha atua prestando apoio na mitigação dos riscos periodicamente avaliados.
O novo Modelo das 3 Linhas de Defesa foi otimizado por:
▪ Adotar uma abordagem baseada em princípios e adaptar o modelo para atender aos objetivos e circunstâncias organizacionais;
▪ Focar na contribuição que o gerenciamento de riscos oferece para atingir objetivos e criar valor, bem como questões de “defesa” e proteção de valor;
▪ Compreender claramente os papéis e responsabilidades representados no modelo e os relacionamentos entre eles;
▪ Implantar medidas para garantir que as atividades e os objetivos estejam alinhados com os interesses priorizados dos stakeholders.
Outro aspecto importante é que a AUDITORIA INTERNA ganha mais independência por conta do reporte direto ao corpo administrativo – isto é, recebe demandas e relata os resultados obtidos.
Para saber mais a respeito, clique aqui.
Não raras vezes, nos deparamos, em projetos de implementação de estruturas de GRC, com organogramas nos quais é possível constatar, sem demasiados esforços, confusão entre os papeis desempenhados pelos diferentes atores das três linhas de defesa, os quais, quando não estão mal posicionados (até mesmo, sobrepostos), acumulam funções indevidamente – isto é, exercem atividades típicas de primeira e de segunda linha, ou de primeira e terceira, ou, por fim, de segunda e terceira linha.
Outro filme que, certamente, você também já teve a chance de assistir de camarote, é aquele em que não existem gerentes, mas, tão somente supervisores reportando ao C-LEVEL, ou, então, gerentes que são tratados como Diretores sem estarem investidos de mandatos Executivos, e reportando diretamente à Presidência como se o estivessem.
Justamente por isso, não cansamos de externar nossa preocupação com estruturas GRC burocráticas, implementadas para os olhos do mercado, e não voltadas à Estratégia e resultado.
É sobre isso que precisamos falar de modo mais recorrente, e o Modelo das Três Linhas é um forte aliado no desafio que aceitamos diariamente, de disseminação das melhores práticas.
Nesse sentido, por que não trabalhar a reorganização atentando às Três Linhas:
– CORPO ADMINISTRATIVO
– GESTÃO
– AUDITORIA INTERNA
– PRESTADORES EXTERNOS DE AVALIAÇÃO
Falando sobre o suporte e sustentabilidade do modelo, trago aqui, mais especificamente, o papel da AUDITORIA INTERNA como crucial para que toda essaa roda gire, assegurando não só a eficiência dos processos internos e gerenciamento de riscos, mas, intrinsecamente, A ESTRATÉGIA DO NEGÓCIO. Ela é o que denominamos “luz no meio do CAOS”.
Inclusive, vale deixar aqui mais uma sugestão de leitura sobre a temática de risk management.
Riscos e oportunidades para as organizações
Recentemente, a Deloitte publicou um material sobre os riscos e oportunidades para as organizações em 2022, além da Auditoria Interna e seu respectivo planejamento.
De forma muito lúcida, esse Relatório pondera que organizações, muitas vezes envoltas somente na resolução de problemas operacionais, não priorizam a análise dos cenários negativos que podem impactar o seu negócio – merecendo ênfase não apenas os de ordem estritamente financeira, como, também, os socioambientais e de integridade, os quais podem ser visualizados como perda ou como não-ganho. Aqui, cada custo de oportunidade deve ser medido, e ganha destaque a auditoria interna, como asseguradora da perenidade dos negócios e assertividade das oportunidades do mercado.
Na sequência, elencamos os principais riscos e oportunidades que as organizações devem ter em seu radar, sendo eles:
- Gestão de Riscos de Terceiros;
- ESG – Ambiental, Social e Governança;
- Antifraude;
- Fusões e Aquisições;
- Segurança Psicológica;
- Cibersegurança;
- Diversidade, igualdade e inclusão;
- Asseguração no Design;
- Bullying e Assédio;
- Controles Financeiros;
- Automação.
No Modelo das Três Linhas de Defesa, e pelo quanto podemos concluir do estudo acima referido, o papel da auditoria interna, antes visto como negativo – uma célula de extremo controle e burocratização – passa a ser menos defensivo e mais estratégico.
Em conclusão, a auditoria se ressignifica, e, com isso, as organizações só têm a ganhar. Aqui no Studio, nós, que vivemos a implementação de estruturas de GRC diariamente, além de atuarmos como auditores internos as a service, temos essas questões, críticas à perenidade dos negócios, como pautas que nos alimentam diariamente, fazendo-nos buscar a excelência das empresas que ajudamos a conduzir no caminho.
Acreditamos no potencial do business, entendemos o contexto macro e micro do negócio e não temos a opção de falhar. Já imaginou ter um Squad com o papel de auditoria interna na sua organização? Você não precisa seguir sozinho o caminho, vamos juntos.
See you soon.
2 respostas
Parabéns pelo excelente artigo Maria Eugênia. Sua percepção do alcance de uma auditoria interna para para qualquer negócio organizacional extrapola os limites para atendimento somente a requisitos normativos. Sucesso!!!
Muito obrigada Julio. Desejos de Sucesso a você também!!!! Estamos juntos!