Pular para o conteúdo

Descomplicando a Auditoria: Modelo de classificação de nível de maturidade de processos

    Esta é uma série de posts de autoria do colega Walter Alexandre Reimberg Lopes chamada “Descomplicando a Auditoria”, com o objetivo de tratar alguns temas relacionados a Controles Internos e Auditoria Interna, de forma leve, bem-humorada e de fácil leitura, mas com conteúdo prático e compartilhamento de experiências, as quais o autor obteve nos quase 20 anos atuando no mercado corporativo de grandes corporações.

    Hoje vamos descomplicar o universo de classificação de nível de maturidade de processos, também chamado de BPMM – Business Process Maturity Model.

    Para começar, pensando em cenários de 3 Linhas de Defesa, membros da Auditoria Interna representam a 3ª Linha de Defesa (“LOD”), ou seja, na prática não deveria serem os aplicadores do modelo de classificação de nível de maturidade nas empresas, mas vamos em frente.

    Outro ponto importante é não misturar esse conceito de nível de maturidade com matriz de riscos. Isso trata de outra coisa: as matrizes de riscos estão mais ligadas a apetite ao risco em diferentes cenários (risco inerente/sem controles, risco residual/com controles existentes e risco target/com controles a serem implantados) e com a construção de controles gerenciais e operacionais para contornar ou mitigar esses riscos.

    Aliás, também acho que isso não compete a 3ª LOD (Auditoria), quem deve gerenciar a matriz de risco da companhia é a 2ª LOD, prestando consultoria a 1ª LOD (essa sim é total responsável pelos riscos) na construção desses controles chaves, e as áreas de Controles devem ser gestoras de processos de identificação, quantificação e proposição de situações de contorno ou assunção de riscos. Mas isto será tema de outro post.

    Mas para vocês não acharem que a Auditoria Interna não faz nada, além de testar a eficácia dos controles e de gerar um monte de relatório de GAPs, e que tudo é responsabilidade de 1ª e 2ª LOD, vamos tocar o tema. É importante lembrar da separação do entendimento do que é papel de Controles (2ª linha) e o que é papel de Auditoria (3ª linha) e reforçar a mensagem de que a Auditoria está tendo um papel mais consultivo e etc.

    Mas enfim, posta esta introdução, acredito muito nos modelos de maturidade que vemos na internet e que podem nos apoiar a montar algo, não precisa ser nada muito estruturado, afinal, as respostas que queremos, na prática, nós já sabemos antes mesmo de conversar com os gestores dos processos, e toda esta “estruturação” só serve para suportar a discussão e para trazer algum consenso a execução do trabalho. Mas em geral, o modelo de classificação que mais gosto é o seguinte:

    1. Nível de maturidade inicial: é o estágio que ocorre de maneira imprevisível;
      .
    2. Nível de maturidade gerenciado: aqui, os processos já têm alguns padrões de execução, porém não são procedimentos definidos. Ou seja, os métodos dependem muito da experiência dos profissionais envolvidos;
      .
    3. Nível de maturidade padronizado: é aquele que tem rotinas preestabelecidas e escaláveis, ambas baseadas nas melhores práticas observadas;
      .
    4. Nível de maturidade previsível: esse ponto, além da padronização, também tem a capacidade de ser controlado e medido estatisticamente. Em consequência disso, por seu comportamento ser conhecido, o estágio favorece a previsão de possíveis problemas;
      .
    5. Nível de maturidade otimizado: é a última fase, aquela em que a empresa tem um gerenciamento completo, padronizado, controlado e escalável. A força desse processo está em alocar esforços para que a organização atinja os resultados almejados.

    Este modelo é super simples e funciona!

    Para aplicar isso aos processos internos, divida a empresa por Vice-Presidência, Diretoria e Gerência, fazendo um drilldown de atividades o que vai te gerar mais ou menos uns 15 a 20 processos a serem analisados (depende do porte da empresa e ramo de atuação). Elabore um formulário para fazer um walkthrough (WT) escalável, visando encontrar o nível e agende reuniões com os gestores de processos e siga em frente. Na prática funciona assim:

    Nível 1

    Comece vendo se existe algum local na intranet com Políticas e Procedimentos publicados e veja se existe algum sobre a área/processo que está sendo analisado.

    Se não tiverem procedimentos divulgados na intranet, praticamente está cravado que é Nível 1 e isso encerra uma série de discussões, esforço zero nesse estágio.

    Nível 2

    Já que você tem quase certeza de que não há um procedimento descrito, mas ainda assim quer aprofundar mais (lembra que você está fazendo uma abordagem consultiva, então falar com as pessoas é essencial para se colocar junto com elas e engajar para disseminação da cultura de controles).

    Então pergunte ao gestor do processo em questão: “Vocês possuem processos definidos para realização de suas atividades?”. A primeira resposta do gestor da área será: “Sim, claro, temos sim!”. Ai já entre mostrando que fez sua lição de casa e diga: “Não encontrei na intranet, você poderia me disponibilizar?”. Tenho quase certeza que se não está divulgado na intranet, a chance de existir o procedimento descrito dentro da área é mínima (quem escreve um procedimento, quer mais é mostrar ao mundo).

    Mas, na sequência da conversa, o gestor ou vai te entregar um procedimento descrito ou vai olhar com uma certa expressão e vai dizer: “Não tenho nada descrito, mas meus profissionais são seniores, altamente treinados e capacitados e sabem como os processos funcionam”. Pronto, é apontamento de auditoria, não tem procedimento descrito ou encerra a discussão e classifica no nível 2 ou volta para o nível 1, sem procedimento descrito não pode ser nível 3.

    Mas aí, você lembra que está sendo consultivo e pergunta: “Tem algum treinamento que é dado pelos mais experientes (seniores) aos menos experientes (Juniores) que possa evidenciar essa gestão do conhecimento e disseminação das práticas?”. Se te responderem que sim, que fazem treinamentos, peça algum material usado no treinamento ou uma simples lista de profissionais treinados e, se por acaso te apresentarem isso, ok, mantenha-os em nível 2. Do contrário, é apontamento de novo, não terá nada documentado e você tem evidências plausíveis de que os processos não seguem uma rotina estabelecida, e aí volta novamente para o nível 1.

    Nível 3

    Em geral, as áreas vão dizer que os treinamentos ocorrem “on the job” e que a disseminação do conhecimento e dos processos são uniformizados dessa forma e etc. Beleza, pode até ser mesmo, e aí que entra o fato bacana de você ser da Auditoria, e informe que, para validar isso que está sendo informado, você vai colher informações e testar substantivamente a fim de certificar que as rotinas estão realmente ocorrendo (teste de eficácia simples).

    Se encontrar alguma discrepância (nem precisa ir muito a fundo, sem procedimento descrito você rapidamente vai encontrar algo), aí volta para o nível 2, no mínimo. Se estiver tudo ok, beleza, mantém no nível 3 e somente gera uma recomendação para estabelecer um procedimento formal, aprovado e divulgado e que voltará a testar em alguns meses para validar as ações (follow-up normal) e que se não tiver isso feito, vai voltar para o nível 2 (lembre-se que estamos sendo consultivo e disseminando cultura de controles e etc). Acreditem, a maior parte do seu esforço ficará neste nível, aceite isso.

    Nível 4

    Bom, passado o trauma do nível 3, alguns processos (mesmo que mínimos) podem realmente estar almejando o nível 4: possuem procedimentos, uniformidade, conhecimento disseminado, cenários previsíveis, mas agora chegou a hora de vermos se ele é controlado.

    Comece perguntando se possuem estatísticas dos processos, benchmarking, KPIs internos, desdobramentos de metas e resultados corporativos, gestão de inaderência e de consequências, rotinas de atualizações dos controles CCPs, dentre outros.

    Nesse nível as coisas ficam bem mais simples, se a área faz tudo isso, apresentam com orgulho e ganham uma estrelinha. Se não fazem nada disso, vão te olhar com a cara do “gato do Shrek” e perguntar: “Mas eu tinha que ter isso?”. Pronto, aí é “pau” novamente e volta para o nível 3 e não precisamos nem tocar mais no assunto. Geram ações de controle e rotinas de revisão e monitoramento e segue o baile.

    Nível 5

    Bom, pela minha experiência, não vamos precisar testar o nível 5, vamos parar no nível 4. O nível 5 é onde todos os acionistas e altos executivos querem estar e até acham que estão, e também é o que a Auditoria Interna “vende” que conseguirá entregar (por isso as empresas contratam profissionais de Controles e Auditoria). Mas, na pratica, é quase uma utopia, mas vocês não estão preparados para esta conversa… rsrs.

    .

    * * * * *

    .

    Pulicado originalmente no LinkedIn do Walter Alexandre Reimberg Lopes.

    Conteúdo adaptado/modificado por Tiago Souza, com a devida autorização do autor.

    Imagem do post: wayhomestudio via freepik (banco de imagens)

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.