A Drª Georgina Morais, membro da direção do IPAI (IIA Portugal) e diretora da tradicional escola de negócios em Portugal - Coimbra Business School foi nossa entrevistada durante o 38º Congresso Brasileiro de Auditoria Interna no Rio de Janeiro, nos ajuda a compreender melhor como esses profissionais poderão acompanhar as mudanças no mercado.
O cenário da AUDITORIA
Vivemos hoje a chamada quarta revolução industrial, onde o tempo precisa ser valorizado e a preparação pragmática. As atividades desenvolvidas por profissionais que atuam com riscos corporativos, sendo gestores ou auditores, estão mais dinâmicas e integradas. Conversamos com a Drª Georgina Morais para compreender melhor como esses profissionais poderão acompanhar as mudanças no mercado.
Quais as principais mudanças que estão acontecendo na área em Brasil e Portugal?
Os acontecimentos adversos aqui no Brasil com as circunstancias de corrupção têm alertado as organizações para a necessidade de um acompanhamento e monitoramento continuo em termos de auditoria interna, tanto que isso tem contribuído para o crescimento da procura por auditoria interna.
Em Portugal eu diria que a auditoria interna é uma profissão que não tem desemprego porque há muita procura por esses profissionais. Um panorama em termos de mercado na auditoria interna tem tido grandes desenvolvimentos, incluindo a vertente da consultoria interna.
Fale um pouco sobre a sua experiência em Auditoria
Atuo em auditoria desde 1992 mais ou menos, portanto são 25 anos na auditoria interna e o que eu noto é que o setor tem evoluído bastante, percebo um crescimento em termos do reconhecimento da função a nível global, especialmente em Portugal e no Brasil, tem aumentado muito o conhecimento sobre o setor.
Sob seu ponto de vista, que tem muita experiência em auditoria interna no setor privado, mas também passou por empresas públicas, quais as principais diferenças entre a auditoria em Portugal nesses setores?
Acredito que no privado, digamos que existe mais vontade em termos de motivação para a auditoria interna. As empresas públicas, por dependerem de legislação, desenvolvem a auditoria interna pela obrigatoriedade.
Em Portugal temos essa perspectiva diferente: enquanto no privado as organizações pensam, têm vontade de criar e avançam, o setor público fica muito dependente da legislação e da vontade política.
..a auditoria interna precisa desenvolver seu trabalho considerando todo este contexto em função do risco para depois fazer o plano baseado no risco..
Qual a sua opinião sobre a Auditoria Baseada em Riscos?
Esse é um tema perfeitamente atual, em cima da mesa e que vem sendo falado há muitos anos e assim vai continuar, hoje nós temos um organismo internacional que todos os anos divulga o relatório global de riscos, portanto a auditoria interna precisa desenvolver seu trabalho considerando todo este contexto em função do risco para depois fazer o plano baseado no risco.
A gestão de riscos está presente em tudo, na auditoria interna, nos sistemas de gestão, por exemplo: Se nós analisarmos as próprias normas ISO que estão ligadas à materiais de qualidade, ambiente, segurança do trabalho, tem a ISO 31.000 que é específica da Gestão de Riscos, todas elas alteraram e se alinharam com riscos, portanto o pensamento baseado nos riscos faz parte desses normativos ligados a gestão. Nós estamos na era do risco porque à uma grande variedade deles, o importante é ver quais são as melhores metodologias, as melhores ferramentas que permitem identificar os riscos em tempo real mais rapidamente e depois ver quais são as ferramentas e as metodologias que permitem mitigar esses riscos, esse é o grande desafio.
Qual a sua opinião sobre a Auditoria Baseada em Riscos?
Esse é um tema perfeitamente atual, em cima da mesa e que vem sendo falado há muitos anos e assim vai continuar, hoje nós temos um organismo internacional que todos os anos divulga o relatório global de riscos, portanto a auditoria interna precisa desenvolver seu trabalho considerando todo este contexto em função do risco para depois fazer o plano baseado no risco.
A gestão de riscos está presente em tudo, na auditoria interna, nos sistemas de gestão, por exemplo: Se nós analisarmos as próprias normas ISO que estão ligadas à materiais de qualidade, ambiente, segurança do trabalho, tem a ISO 31.000 que é específica da Gestão de Riscos, todas elas alteraram e se alinharam com riscos, portanto o pensamento baseado nos riscos faz parte desses normativos ligados a gestão. Nós estamos na era do risco porque à uma grande variedade deles, o importante é ver quais são as melhores metodologias, as melhores ferramentas que permitem identificar os riscos em tempo real mais rapidamente e depois ver quais são as ferramentas e as metodologias que permitem mitigar esses riscos, esse é o grande desafio.
Como você avalia a dinamicidade dos riscos?
Pensar em riscos, desde a estratégia operacional, é uma realidade irreversível, nós temos que continuar porque riscos novos surgem à todo instante, são os chamados riscos emergentes. A uns anos atrás, ninguém falava em riscos cibernéticos, não se falava tanto em risco ambiental, hoje estamos todos preocupados com esses riscos, portanto esse tema de risco está em crescente e é uma realidade.
O desafio é e encontrar as melhores metodologias e ferramentas que permitam identificar e mitigar esses riscos. As tecnologias também têm e continuarão tendo um papel determinante, quando entramos em áreas como Business Intelligence que já estão trabalhando nessa vertente com ferramentas que nos ajudam a identificar e permitem mitigar os riscos.
Como as organizações devem se preparar para encarar o cenário atual?
As organizações precisam estar munidas de uma cultura de riscos, sem a cultura de riscos é difícil conseguir criar toda a gestão de riscos, por que a gestão de riscos precisa envolver todos na organização, obviamente. Não vou criar um mapa de riscos, não vou mapear riscos sozinha, tem que haver todo um envolvimento da cultura organizacional e corporativa.
Qual sua opinião sobre o processo de 3 linhas de defesa?
Existem muitas organizações que não tem a segunda linha de defesa, tanto no Brasil como em Portugal, nós sentimos que normalmente é o setor financeiro que tem o melhor funcionamento das 3 linhas de defesa. Em Portugal, na maioria das organizações existe uma passagem da primeira para a terceira linha de defesa, o que na minha opinião não quer dizer que esteja incorreto, porque depende sempre da estrutura, da complexidade das organizações e do tamanho da função da auditoria interna. Não faz sentido criar linhas só por criar linhas.
É preciso que o objetivo, âmbito e escopo estejam perfeitamente definidos e o seu posicionamento correto em questão da independência, se tudo estiver perfeitamente clarificado não vejo problema em não existir uma linha de defesa, mas é preciso que esteja totalmente definido qual é toda essa limitação, os objetivos, a independência da auditoria interna, porque depois depende sempre do tamanho, da dimensão, complexidade das organizações e da estrutura da auditoria interna também.
Agora quando existem as 3 linhas é fundamental nessas organizações que cada uma delas tenha o limite perfeitamente definido, para que a auditoria interna faça os trabalhos da segunda linha de defesa, portanto se a gestão de risco está na segunda linha de defesa.
Como funciona o sistema de ensino aplicado em Coimbra?
Nós temos um MBA de auditoria interna, com o apoio do IIA Brasil e que participam alunos de Portugal, Brasil, Angola, etc. com unidades de Governance, Risk e Controll, com temas atuais. Nós em Coimbra também temos pós-graduações e mestrados onde o tema de riscos aparece, tanto que nós temos uma pós graduação de Auditoria, Risco e Controle de Sistemas da informação, onde nós abordamos o risco numa perspectiva mais tecnológica, envolvendo toda a parte de tecnologias e depois temos também o mestrado da auditoria e gestão de riscos, em termos do ensino nós temos muita sensibilidade.
Agora quando existem as 3 linhas é fundamental nessas organizações que cada uma delas tenha o limite perfeitamente definido