Queria hoje falar um pouco sobre gerenciamento de riscos de fraudes, e para isto usar como base alguns princípios e diretrizes recentemente divulgadas em uma atualização pelo COSO. Vale ressaltar que o risco de fraude pode impactar áreas que vão além das atividades contábeis e de gestão financeira. De fato, uma empresa que visa minimizar os impactos adversos da fraude deve considerar o risco de fraude em todas as áreas da empresa e de suas operações.
Mas antes colocar um contexto histórico, pois desde 1992, ou seja há mais de 30 anos, que o Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO) divulgou um primeiro trabalho sobre controles internos (Internal Control Integrated Framework), que desde lá conquistou ampla aceitação e é utilizado globalmente, sendo reconhecido como um dos principais para a criação, implementação e condução de controles internos e para a avaliação da eficácia destes controles.
E há 10 anos atrás, em 2013, o COSO revisou este documento original, e soltou o que chamou de "2013 framework", que incorporou 17 princípios, associados a cinco componentes de controle interno, que fornecem clareza para os usuários no desenho e implementação de sistemas de controle interno, além de auxiliar na compreensão dos requisitos para um controle interno eficaz. Sendo que para que o sistema de controle interno seja considerado eficaz, é essencial que todos os 17 princípios estejam presentes, funcionando e operando de forma integrada.
Mas hoje queria comentar sobre risco de fraude, e para isto usar como referência uma publicação deste ano do COSO chamada: "Fraud Risk Management Guide", que veio complementar o documento de 2013, atuando como uma orientação de melhores práticas para organizações abordarem o novo princípio de avaliação de risco de fraude.
Bom dizer que este documento acima usou como base outro bem interessante lançado em 2008 por instituições como AICPA, IIA e ACFE, chamado: "Managing the Business Risk of Fraud: A Practical Guide", que vale a pena também darem uma olhada.
Além de fornecer informações para realizar uma avaliação de risco de fraude, o documento também oferece orientações sobre como estabelecer um Programa de Gerenciamento de Risco de Fraude mais abrangente, abordando pontos como:
- Estabelecimento de políticas de governança de risco de fraude.
- Realização de uma avaliação de risco de fraude.
- Design e implantação de atividades de controle preventivo e detectivo contra fraudes.
- Realização de investigações.
- Monitoramento e avaliação do programa completo de gerenciamento de risco de fraude.
A fraude é definida pelo COSO como qualquer ato ou omissão intencional projetado para enganar terceiros, resultando em uma perda para a vítima e/ou em um ganho para o perpetrador.
Sabemos bem que todas as empresas estão sujeitas a riscos de fraude internas e externas, por isto acho que seja utópico pensar na eliminação total de fraudes, mas a implementação dos princípios sugeridos pelo COSO vai certamente aumentar a probabilidade de que a fraude seja prevenida ou detectada mais rapidamente, mitigando os efeitos e impactos que possam trazer. Reagir rápido é um dos segredos neste sentido.
Lembrando sempre do conceito de linhas de defesa, aqui também a responsabilidade pelo gerenciamento do risco de fraude não se limita apenas à área de riscos, mas abrange desde o conselho de administração, alta gestão, até pessoal em todos os níveis, incluindo gerências intermediárias, equipe operacional e auditores internos.
Para todos estes "atores" é esperado não só saber e entender como a empresa se prepara e responde aos riscos elevados e às regulamentações, mas também conhecer bem mais sobre o "Programa de Gerenciamento de Risco de Fraude" em vigor, entendendo como se identifica riscos de fraude, as ações para prevenção e detecção precoce, e os processos existentes para investigação e tomada de medidas corretivas em caso de fraudes identificadas.
A gestão deste risco de fraudes, assim como os demais riscos, é sempre um processo contínuo, que aqui visa eliminar fatores potenciais que poderiam levar a ocorrências fraudulentas, e para que isto seja efetivo algumas dicas do que deve fazer segundo o COSO:
- Estabelecer um processo rigoroso e visível de governança contra fraudes.
- Cultivar uma cultura organizacional transparente e robusta contra fraudes.
- Realizar avaliações periódicas e minuciosas dos riscos de fraude.
- Desenhar, implementar e manter processos e procedimentos de controle preventivos e detectivos contra fraudes.
- Responder rapidamente às fraudes, tomando medidas corretivas, inclusive contra aqueles que cometeram irregularidades.
Como comentei acima, queria agora falar mais sobre os cinco princípios de gerenciamento de riscos de fraude que o COSO coloca, e como eles estão correlacionados com os 17 princípios de controle interno do Framework COSO 2013.
1) A empresa estabelece e comunica um Programa de Gerenciamento de Riscos de Fraude que demonstra as expectativas do conselho de administração e da alta gestão, bem como seu compromisso com valores éticos e de integridade no que tange à gestão de riscos de fraude.
Este princípio de fraude está relacionado aos seguintes pontos:
- A empresa demonstra compromisso com a integridade e valores éticos.
- O conselho de administração demonstra independência da gestão e exerce supervisão sobre o desenvolvimento e desempenho do controle interno.
- A gestão, com supervisão do conselho, estabelece estruturas, linhas de comunicação e responsabilidades apropriadas na busca dos objetivos.
- A empresa compromete-se a atrair, desenvolver e reter indivíduos competentes alinhados aos objetivos.
- A empresa responsabiliza os indivíduos por seus papéis no controle interno na busca dos objetivos.
2) A empresa realiza avaliações de risco de fraude abrangentes para identificar esquemas e riscos específicos de fraude, avaliar sua probabilidade e significância, avaliar atividades de controle de fraude existentes e implementar ações para mitigar riscos de fraude residuais.
Este princípio de fraude está relacionado aos seguintes pontos:
- A empresa especifica objetivos com clareza suficiente para possibilitar a identificação e avaliação de riscos relacionados a tais objetivos.
- A empresa identifica riscos para o alcance de seus objetivos em toda a entidade e analisa riscos como base para determinar como os riscos devem ser gerenciados.
- A empresa considera o potencial de fraude ao avaliar riscos para o alcance dos objetivos.
- A empresa identifica e avalia mudanças que podem impactar significativamente o sistema de controle interno.
3) A empresa seleciona, desenvolve e implementa atividades de controle de fraude preventivas e detectivas para mitigar o risco de eventos fraudulentos ocorrerem ou não serem detectados em tempo hábil.
Este princípio de fraude está relacionado aos seguintes pontos:
- A empresa seleciona e desenvolve atividades de controle que contribuem para a mitigação de riscos ao alcance dos objetivos em níveis aceitáveis.
- A empresa seleciona e desenvolve atividades de controle gerais sobre a tecnologia para apoiar o alcance dos objetivos.
- A empresa implementa atividades de controle por meio de políticas que estabelecem o que é esperado e procedimentos que transformam políticas em ação.
4) A empresa estabelece um processo de comunicação para obter informações sobre fraudes em potencial e implementa uma abordagem coordenada para investigação e ação corretiva para tratar adequadamente e em tempo hábil a fraude.
Este princípio de fraude está relacionado aos seguintes pontos:
- A empresa obtém, gera e usa informações relevantes e de qualidade para apoiar o funcionamento de outros componentes de controle interno.
5) A empresa seleciona, desenvolve e realiza avaliações contínuas para verificar se cada um dos cinco princípios de gerenciamento de riscos de fraude está presente e funcionando. Além disso, comunica as deficiências do Programa de Gerenciamento de Riscos de Fraude de forma tempestiva às partes responsáveis por tomar medidas corretivas, incluindo a alta gestão e o conselho de administração.
Este princípio de fraude está relacionado aos seguintes pontos:
- A empresa seleciona, desenvolve e realiza avaliações contínuas e/ou separadas para assegurar que os componentes do controle interno estão presentes e funcionando.
- A empresa avalia e comunica as deficiências do controle interno de forma tempestiva àquelas partes responsáveis por tomar medidas corretivas, incluindo a alta gestão e o conselho de administração, conforme apropriado.