Artigo
07/06/2024
Atualizado em 21/04/2026

Auditoria e a Gestão de Riscos de Fraudes, Corrupção e Suborno

A auditoria interna desempenha papel crucial na garantia da eficácia dos controles contra fraudes, corrupção e suborno, avaliando riscos, políticas e processos para prevenir e detectar irregularidades.

Imagem de capa do artigo

Queria falar hoje mais sobre o tema das fraudes, e da corrupção e do suborno, e começo dizendo que acredito que a gestão de risco de fraude é uma parte essencial do controle interno e de governança, e a auditoria tem sim um papel significativo a desempenhar, focado principalmente na função de garantia, ou seja, embora a responsabilidade pela gestão direta do risco de fraude recaia sobre a administração, como primeira linha de defesa, a auditoria interna como terceira linha deve fornecer uma opinião independente e objetiva sobre a eficácia das estratégias e controles de prevenção à fraude implementados pela empresa.

O papel da auditoria na gestão de risco de fraude e corrupção inclui várias responsabilidades específicas como:

  • Prover Garantia: A função primária da auditoria interna é prover uma garantia independente de que os riscos, incluindo o risco de fraude, estão sendo gerenciados de forma eficaz. Isso envolve a avaliação dos controles internos e a identificação de áreas de melhoria.
  • Avaliar a Gestão de Riscos: Os auditores internos devem avaliar a forma como a empresa gerencia o risco de fraude, incluindo a revisão das políticas e procedimentos existentes e a identificação de lacunas que possam ser exploradas por atividades fraudulentas.
  • Relatórios de Conformidade: A auditoria interna deve relatar periodicamente à alta administração e ao conselho e seus comitês, em especial os de riscos e de auditoria, sobre a eficácia dos controles internos relacionados à prevenção de fraude, incluindo qualquer exposição significativa a riscos e questões de controle identificadas durante o trabalho de auditoria.
  • Engajamento Proativo: Embora a detecção direta de fraudes não seja a função principal da auditoria interna, os auditores devem considerar o potencial de fraude em cada engajamento de auditoria e identificar indicadores de possíveis atividades fraudulentas ou de controle insuficiente que possam aumentar a vulnerabilidade à fraude.

Mas o que é fraude exatamente?

Vamos entrar neste conceito, e começar dizendo que a fraude é um termo amplamente utilizado para descrever uma variedade de comportamentos desonestos, como decepção, suborno, corrupção, falsificação, representação falsa, conluio e ocultação de fatos materiais.

A fraude envolve privar uma pessoa de algo por meio de engano, o que pode incluir o uso indevido de fundos ou outros recursos, ou a oferta de informações falsas. Para que um ato seja considerado fraudulento, não é necessário que haja ganho ou perda real, mas deve haver a intenção de obter uma vantagem ou causar um prejuízo. Requer que o fraudador aja de maneira desonesta e tenha a intenção de obter um ganho ou causar uma perda a outro, de uma das seguintes maneiras:

  • Falsa Representação: Envolve a apresentação de informações falsas, enganosas ou desonestas para obter uma vantagem.
  • Omissão de Informações: Consiste em não divulgar informações relevantes que deveriam ser divulgadas, com a intenção de obter um ganho ou causar uma perda.
  • Abuso de Posição: Ocorre quando uma pessoa em uma posição de confiança abusa dessa posição para obter um ganho ou causar uma perda.
  • Posse de Artigos para Uso em Fraude: Possuir itens que possam ser usados para cometer fraude, como hardware ou software de computador ou informações para roubo de identidade.
  • Fabricação ou Fornecimento de Artigos para Uso em Fraude: Criar ou fornecer itens destinados a serem usados em fraudes.
  • Obtenção Desonesta de Serviços: Obter serviços de maneira desonesta, como baixar software ilegalmente.

Em relação a suborno:

  • Oferecer ou Pagar Suborno: O ato de oferecer, prometer ou dar uma vantagem financeira ou outra vantagem a outra pessoa, com a intenção de induzi-la a realizar de forma inadequada uma função ou atividade relevante.
  • Solicitar ou Receber Suborno: O ato de solicitar, concordar em receber ou aceitar uma vantagem financeira ou outra vantagem, como um incentivo para agir de forma inadequada.
  • Suborno de Funcionário Público Estrangeiro: Oferecer, prometer ou dar uma vantagem financeira ou outra vantagem a um funcionário público estrangeiro com a intenção de influenciá-lo no desempenho de suas funções oficiais.
  • Falha Corporativa em Prevenir Suborno: Uma empresa é considerada culpada se falhar em prevenir suborno realizado em seu nome, a menos que possa demonstrar que tinha procedimentos adequados para prevenir o suborno.

Mas como combater a fraude e o suborno?

Abaixo algumas dicas genéricas para fazer isto:

  • Procedimentos Proporcionais: As políticas e procedimentos preventivos devem ser proporcionais às circunstâncias da empresa, levando em conta seu tamanho, estrutura, complexidade e exposição ao risco. A tal da abordagem baseada em riscos tão usada e propagada por PLD.
  • Compromisso da Alta Direção: A alta direção deve demonstrar um compromisso claro com a prevenção da fraude e do suborno, refletido e comunicado por meio de políticas apropriadas.
  • Avaliação de Riscos: A empresa deve identificar e avaliar os riscos de fraude e suborno, garantindo que todas as áreas de risco sejam abordadas.
  • Diligência Devida: Realizar verificações de antecedentes e due diligence em pessoas que prestam serviços para ou em nome da empresa.
  • Comunicação e Treinamento: As políticas de prevenção de fraude e suborno devem ser comunicadas de forma eficaz a todos os funcionários, contratados e outras partes interessadas, e o treinamento contínuo deve ser implementado.
  • Monitoramento e Revisão: Realizar revisões regulares e auditorias dos processos relevantes para garantir que os riscos de corrupção continuem a ser gerenciados de forma eficaz.

Mas qual o papel da auditoria em relação a estes assuntos de fraude e corrupção?

Acredito que a auditoria desempenha sim um papel fundamental na garantia de que os riscos de fraude e corrupção são gerenciados de maneira eficaz dentro das empresas, ainda que não seja a responsabilidade primária da auditoria detectar fraudes, ela deve fornecer uma opinião independente baseada em uma avaliação objetiva do ambiente de governança, gestão de riscos e controles. Os padrões de auditoria interna estabelecem diretrizes claras sobre as responsabilidades e condutas esperadas dos auditores internos.

Por mais que seja meio óbvio, mas não custa lembrar que para isto precisam atuar com:

  • Honestidade, Diligência e Responsabilidade: Devem realizar seu trabalho com honestidade, diligência e responsabilidade.
  • Observância da Lei: Devem observar a lei e fazer as divulgações esperadas pela lei e pela profissão.
  • Atividade Ilegal: Não devem, conscientemente, ser parte de qualquer atividade ilegal ou envolver-se em atos que desacreditem a profissão de auditoria interna ou a organização.
  • Objetivos Éticos: Devem respeitar e contribuir para os objetivos legítimos e éticos da organização.
  • Independência: Não devem aceitar nada que possa prejudicar ou ser presumido como prejudicial ao seu julgamento profissional.

Outro ponto importante, e ainda muitas vezes existe mais dificuldades, é que os auditores devem possuir conhecimento suficiente para avaliar o risco de fraude e a forma como é gerenciado pela empresa, embora não sejam esperados a ter a mesma expertise de uma pessoa cuja responsabilidade principal é a detecção e investigação de fraudes.

Outro ponto importante que queria mencionar é que a auditoria deve sempre relatar periodicamente à alta administração e ao conselho e seus comitês técnicos (CoRis e CoAud) sobre o propósito, autoridade, responsabilidade e desempenho da atividade de auditoria interna em relação ao seu plano, onde o relatório deve incluir exposições significativas de riscos e questões de controle, incluindo riscos de fraude, questões de governança e outros assuntos conforme necessário ou solicitado pela alta administração e pelo conselho e seus comitês.

Mas o que deve fazer então em relação ao tema?

  • Revisão da Avaliação de Riscos: Buscar evidências para basear uma opinião de que os riscos de fraude e corrupção foram devidamente identificados e respondidos de forma apropriada, e que esteja dentro do apetite de risco definido.
  • Opinião Independente: Fornecer uma opinião independente sobre a eficácia dos processos de prevenção e detecção implementados para reduzir o risco de fraude e corrupção.
  • Revisão de Novos Programas e Políticas: Avaliar se o risco de fraude e corrupção foi considerado adequadamente em novos produtos e políticas, bem como nas alterações de políticas e programas existentes, fornecendo uma opinião sobre a provável eficácia dos controles projetados para reduzir o risco.
  • Consideração de Fraude em Todas as Auditorias: Considerar o potencial de fraude e corrupção em cada auditoria e identificar indicadores de que um crime pode ter sido cometido ou fraquezas de controle que possam indicar uma vulnerabilidade à fraude ou corrupção.
  • Revisão de Áreas com Fraudes Significativas: Revisar áreas onde ocorreram fraudes ou corrupções significativas para identificar quaisquer fraquezas do sistema que foram exploradas ou controles que não funcionaram corretamente, e fazer recomendações sobre o fortalecimento dos controles internos, quando apropriado.
  • Assistência em Investigações: Auxiliar em investigações sobre casos suspeitos ou reais de fraude ou corrupção, se possuírem a expertise adequada e entendimento das leis relevantes para realizar esse trabalho de maneira eficaz. Se a investigação for realizada, a gestão deve ser informada de que o auditor interno está atuando fora do escopo principal de auditoria interna e do impacto provável no plano de auditoria.
  • Opinião sobre a Estratégia de Risco de Fraude e Corrupção: Fornecer uma opinião sobre a eficácia da estratégia de risco de fraude e corrupção da empresa como: políticas, planos de resposta, política de denúncia, códigos de conduta, e se essas foram comunicadas efetivamente em toda a empresa.

Os auditores também devem sempre relatar suspeitas de atividades criminosas que venham à tona como resultado do trabalho de campo de auditoria a uma terceira parte apropriada, de acordo com a política de fraude e plano de resposta a fraudes. Devendo identificar, avaliar e monitorar quaisquer riscos relevantes de fraude ou corrupção dentro da unidade de auditoria interna associada à prestação do serviço de auditoria interna.

Queria abordar agora o ponto em relação a política, e também a estratégia, em relação à fraude e corrupção, que são fundamentais para estabelecer diretrizes claras sobre o papel da auditoria na identificação, prevenção e resposta a esses riscos.

Ao meu ver a responsabilidade da atividade de auditoria em investigações de fraudes ou corrupção precisa ser claramente definida no estatuto de auditoria. Então se a auditoria aceitar alguma forma de responsabilidade pela gestão de riscos nessas áreas, isso deve ser explicitamente declarado no estatuto, deixando claro que o trabalho não é realizado como parte do papel principal de auditoria e identificando como a independência e objetividade serão respeitadas.

Importante ressaltar que esta política deve também esclarecer os passos a serem seguidos e quem deve ser alertado no caso de indicadores de fraude ou corrupção serem identificados durante o trabalho de campo da auditoria ou quando suspeitas forem relatadas.

E o que deve conter esta política?

  • Clareza de Responsabilidades: A política deve especificar claramente as responsabilidades da equipe de auditoria na identificação e resposta a fraudes e corrupção. Deve haver uma linha de comunicação definida para relatar suspeitas e garantir que essas sejam tratadas adequadamente.
  • Coordenação com Políticas Organizacionais: A política de auditoria deve estar alinhada com a política de fraude da empresa e o plano de resposta. Isso inclui coordenação com outras funções, como compliance e jurídico, para garantir uma abordagem coesa.
  • Processos de Detecção e Prevenção: A política deve incluir diretrizes sobre como a auditoria avaliará os processos de detecção e prevenção de fraudes e corrupção. Isso pode envolver revisões periódicas dos controles internos e a realização de testes específicos quando fraquezas forem identificadas.
  • Treinamento e Capacitação: A equipe de auditoria deve receber treinamento contínuo sobre técnicas de detecção de fraudes e os últimos desenvolvimentos em prevenção de corrupção. Isso garantirá que a equipe esteja bem equipada para identificar e lidar com riscos de fraude.
  • Independência e Objetividade: A política deve abordar como a independência e objetividade da auditoria serão mantidas, especialmente quando a equipe for envolvida em investigações de fraudes. Isso pode incluir a definição de limites claros para o envolvimento da auditoria em investigações e a implementação de revisões independentes dos trabalhos realizados.
  • Relatórios e Comunicação: A política deve definir como e quando os achados de fraudes serão comunicados à alta administração e ao conselho e seus comitês de riscos e auditoria. Deve haver procedimentos claros para relatar suspeitas de atividades criminosas às autoridades apropriadas, conforme necessário.

Mas como colocar isto tudo funcionando na prática?

Abaixo algumas dicas do passo a passo para a implementação da estratégia de auditoria com as seguintes etapas:

  • Desenvolvimento de Procedimentos Detalhados: A partir da política estabelecida, desenvolver procedimentos detalhados para guiar a equipe de auditoria na execução de suas responsabilidades.
  • Comunicação da Política: Garantir que todos os membros da equipe de auditoria e outras partes relevantes estejam cientes da política e dos procedimentos. Isso pode ser feito através de sessões de treinamento e a distribuição de materiais de referência.
  • Monitoramento e Revisão Contínua: Implementar um sistema de monitoramento contínuo para avaliar a eficácia da política e dos procedimentos. Isso pode envolver revisões periódicas e ajustes conforme necessário para responder a mudanças no ambiente de risco ou nas regulamentações.
  • Engajamento da Alta Administração: Envolver a alta administração no desenvolvimento e revisão da política para garantir que haja apoio e compromisso com as iniciativas de prevenção de fraudes e corrupção.

Durante o trabalho de auditoria interna, é possível que os auditores identifiquem fraquezas de controle que poderiam levar a fraudes ou corrupção, e assim precisem tomar ações ao detectar tais fraquezas ou ao encontrar evidências de que fraudes ou corrupções estão ocorrendo. O objetivo aqui é garantir que essas descobertas sejam tratadas de maneira apropriada e eficaz, minimizando os riscos.

Então quando os auditores internos identificam fraquezas de controle que poderiam levar à fraude ou corrupção, devem tomar as seguintes ações:

  • Relatar Imediatamente: O auditor deve relatar a questão imediatamente a um gerente de auditoria ou comitê de auditoria e riscos.
  • Decisão sobre Trabalho Adicional: Em conjunto com o gerente de auditoria, deve-se decidir se o trabalho de auditoria deve ser estendido para incluir testes adicionais direcionados à identificação de atividades que possam indicar que fraude ou corrupção está ocorrendo. Esse trabalho adicional deve ser realizado com cuidado para não alertar potenciais perpetradores ou prejudicar qualquer investigação subsequente.
  • Recomendações de Redução de Riscos: O auditor deve fazer recomendações à gestão para reduzir o risco de fraude ou corrupção, baseadas nas fraquezas de controle identificadas.
  • Captura da Extensão da Preocupação: Deve-se garantir que a extensão da preocupação seja capturada adequadamente, para que as implicações possam ser consideradas.

Se os auditores internos encontrarem evidências de que fraudes ou corrupções estão ocorrendo, devem tomar as seguintes ações:

  • Relatar Imediatamente: Os auditores devem relatar suas preocupações imediatamente ao gerente de auditoria e comitês de auditoria e riscos, que deve seguir quaisquer diretrizes estabelecidas na política de fraude e no plano de resposta.
  • Ação Apropriada: Deve-se garantir que as ações apropriadas sejam tomadas como parte da resposta. Isso pode incluir inclusive a notificação às autoridades e a implementação de medidas corretivas imediatas para mitigar o risco.

Um ponto polêmico que é preciso comentar, é que no caso da auditoria ser solicitada a liderar ou participar de uma investigação sobre um possível caso de fraude ou corrupção, devem ser seguidos os seguintes cuidados:

  • Separação do Papel de Auditoria: Deve ficar claro para a gestão que esse trabalho é separado do papel estabelecido de auditoria. O trabalho só deve ser aceito se a equipe de auditoria possuir as habilidades e a experiência específicas necessárias para realizar a investigação de forma eficaz.
  • Independência da Auditoria: Cuidados devem ser tomados para garantir que o trabalho possa ser auditado de forma independente em uma fase posterior, evitando quaisquer conflitos de interesse.

Por fim, não podemos deixar de comentar que os auditores devem garantir que todas as descobertas e as ações tomadas sejam bem documentadas e comunicadas de acordo com a política de fraude e o plano de resposta, ou seja:

  • Documentação Completa: Manter registros completos de todas as descobertas, comunicações e ações tomadas em resposta a fraudes ou corrupções detectadas.
  • Relatórios Regulares: Fornecer relatórios regulares à alta administração e ao conselho e seus comitês de auditoria e riscos sobre as descobertas e as medidas corretivas implementadas.
  • Garantia de Conformidade: Garantir que todas as ações estejam em conformidade com as leis e regulamentos aplicáveis, bem como com as políticas internas.
As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante