Queria dar continuidade ao tema Fraude, que abordei ontem, desta vez falando de que a gestão eficaz dos riscos de fraude é bem importante para a sustentabilidade e sucesso de qualquer empresa, pois não é (ou deveria ser) apenas uma função reativa, mas sim na minha visão uma abordagem proativa que se integra profundamente à governança corporativa e ao ambiente de controle interno.
Queria abordar abaixo os principais pontos de que se deve dar atenção, e como isto se relaciona com os princípios do COSO.
1) Governança de Risco de Fraude:
A governança de risco de fraude é um componente fundamental da governança corporativa e do ambiente de controle interno. A governança corporativa trata da maneira pela qual o conselho de administração, seus conselhos consultivos de riscos e auditoria, e também a própria gestão, devem cumprir suas respectivas obrigações e responsabilidades e papéis, para alcançar os objetivos da empresa, incluindo suas responsabilidades fiduciárias e legais perante as partes interessadas. De forma que o ambiente de controle interno cria a disciplina que suporta a avaliação de riscos para o alcance dos objetivos da empresa.
Princípio 1: Ambiente de Controle
A empresa estabelece e comunica o seu "Programa de Gerenciamento de Riscos de Fraude", que por sua vez demonstra as expectativas do conselho de administração e da alta gestão, assim como seu apetite e compromisso em manter altos valores de integridade e ética no gerenciamento de riscos de fraude.
2) Avaliação de Risco de Fraude:
Uma avaliação de risco de fraude é um processo dinâmico e iterativo para identificar e avaliar riscos de fraude relevantes para a empresa, que aborda por exemplo para começar o risco de relatórios financeiros fraudulentos, relatórios não financeiros fraudulentos, apropriação indevida de ativos e atos ilegais (incluindo corrupção). As empresas podem personalizar esta abordagem para atender suas necessidades individuais, complexidades e objetivos, mas a avaliação de risco de fraude não é apenas um componente integral da avaliação de risco e controle interno, mas também está especificamente vinculada ao princípio 8 do Framework COSO de 2013.
- Princípio 2: Avaliação de Risco
A empresa realiza avaliações de risco de fraude abrangentes para identificar esquemas e riscos específicos de fraude, avaliar sua probabilidade e significância, avaliar atividades de controle de fraude existentes e implementar ações para mitigar riscos de fraude residuais.
3) Atividade de Controle de Fraude:
Uma atividade de controle de fraude é uma ação estabelecida através de políticas e procedimentos que ajuda a garantir que as diretrizes da gestão para mitigar riscos de fraude sejam executadas. Ela é um procedimento ou processo específico destinado a prevenir a ocorrência de fraude ou a detectá-la rapidamente, caso ocorra. As atividades de controle de fraude são geralmente classificadas como preventivas (destinadas a evitar um evento ou transação fraudulenta no momento da ocorrência inicial) ou detectivas (destinadas a descobrir um evento ou transação fraudulenta após o processamento inicial).
A seleção, desenvolvimento, implementação e monitoramento de atividades de controle de fraude preventivas e detectivas são elementos fundamentais no gerenciamento do risco de fraude, que deve ser bem documentadas com descrições do risco e esquema de fraude identificado, a atividade de controle de fraude projetada para mitigar o risco e a identificação daqueles responsáveis pela atividade de controle de fraude.
- Princípio 3: Atividade de Controle
A empresa seleciona, desenvolve e implementa atividades de controle de fraude preventivas e detectivas para mitigar o risco de eventos de fraude ocorrerem ou não serem detectados de maneira oportuna.
4) Investigação de Fraude e Ação Corretiva:
As atividades de controle não podem fornecer garantia absoluta contra fraudes. Como resultado, o conselho de administração e seus comitês técnicos garantem que a mesma desenvolva e implemente um sistema para revisão, investigação e resolução competentes, rápidas e confidenciais de instâncias de não conformidade e alegações envolvendo fraude e má conduta. Uma empresa pode melhorar suas chances de recuperação de perdas, minimizando a exposição a litígios e danos à reputação, ao estabelecer e planejar cuidadosamente os processos de investigação e ação corretiva.
Princípio 4: Informação e Comunicação
A organização estabelece um processo de comunicação para obter informações sobre possíveis fraudes e implementa uma abordagem coordenada para investigação e ação corretiva para tratar a fraude de forma adequada e oportuna.
5) Atividades de Monitoramento do Gerenciamento de Riscos de Fraude:
O quinto princípio está relacionado ao monitoramento do processo geral de gerenciamento de riscos de fraude. As empresas devem usar as atividades de monitoramento para garantir que cada um dos cinco princípios de gerenciamento de riscos de fraude esteja presente e funcionando conforme o projetado e que identifiquem as mudanças necessárias em tempo hábil. As empresas usam avaliações contínuas e separadas (periódicas), ou alguma combinação das duas, para realizar as atividades de monitoramento de fraude. Assim como no Framework COSO de 2013, avaliações contínuas em um "Programa de Gerenciamento de Riscos de Fraude" que são integradas aos processos de negócios da organização em diferentes níveis fornecem informações oportunas. Em contraste, as organizações realizam avaliações separadas periodicamente que variam em escopo e tempo com base em vários fatores, incluindo os resultados das avaliações contínuas.
Princípio 5: Atividades de Monitoramento
A empresa seleciona, desenvolve e realiza avaliações contínuas para verificar se cada um dos cinco princípios de gerenciamento de riscos de fraude está presente e funcionando e comunica as deficiências do Programa de Gerenciamento de Riscos de Fraude de forma tempestiva às partes responsáveis por tomar medidas corretivas, incluindo a alta gestão e o conselho de administração.
A integração de práticas robustas de gerenciamento de riscos de fraude, juntamente com um compromisso contínuo de monitoramento, investigação e correção, fornece às organizações uma abordagem ampla para enfrentar e minimizar a ameaça contínua de atividades fraudulentas. A adoção e a implementação eficaz desses princípios e componentes ajudam a garantir uma postura proativa em relação à fraude, protegendo os ativos, a reputação e o futuro da empresa.
Os conceitos da gestão de riscos de fraudes devem ser utilizados por qualquer empresa, independentemente de seu status como pública, privada, governamental, acadêmica ou sem fins lucrativos; seu tamanho relativo; ou sua indústria. Naturalmente, cada empresa que implementa os mesmos vai adaptar esses princípios de gerenciamento de riscos de fraude à sua realidade, em particular as menores e geridas por proprietários sem conselhos diretivos, que também podem adaptar estes conceitos à sua realidade.
Segue abaixo um roteiro com os passos de um processo contínuo e abrangente de Gerenciamento de Riscos de Fraude:
- Estabeleça uma política de gerenciamento de riscos de fraude como parte da governança organizacional.
- Realize uma avaliação abrangente de risco de fraude.
- Selecione, desenvolva e implemente atividades de controle de fraude preventivas e detectivas.
- Estabeleça um processo de comunicação de fraudes e abordagem coordenada para investigação e ação corretiva.
- Monitore o processo de gerenciamento de riscos de fraude, reporte resultados e melhore o processo.
Esta abordagem acima reconhece e enfatiza a diferença fundamental entre as fraquezas de controle interno que resultam em erros e as fraquezas que resultam em fraudes. Esta diferença fundamental é a intenção, pois simplesmente adicionar a avaliação de riscos de fraude à avaliação de controle interno existente pode não examinar e identificar adequadamente as possibilidades de atos intencionais destinados a:
- Apresentar informações financeiras erroneamente,
- Distortar informações não financeiras,
- Apropriação indevida de ativos,
- Perpetrar atos ilegais ou corrupção,