A gestão de risco de fraudes é uma área importante na governança corporativa e na gestão de riscos, afinal as fraudes podem ter um impacto devastador nas finanças, na reputação e na sustentabilidade de uma empresa.
O Que as Normas Dizem Sobre o Risco de Fraudes?
As normas internacionais para a prática profissional de auditoria interna, estabelecidas pelo IIA-The Institute of Internal Auditors (Instituto dos Auditores Internos), fornecem diretrizes claras sobre como a auditoria interna deve abordar o risco de fraudes.
A definição de fraude é abrangente, incluindo qualquer ato ilegal caracterizado por engano, ocultação ou violação de confiança, sem depender de ameaças de violência ou força física. Esta definição inclui uma ampla variedade de fraudes, como suborno e corrupção, e não faz distinção entre fraudes internas (por funcionários ou gestores) e externas (por fornecedores ou clientes).
Os padrões relevantes para a responsabilidade da auditoria interna em relação ao risco de fraudes incluem:
- 1210: Proficiência (1210.A2): Os auditores internos devem ter conhecimento suficiente para avaliar o risco de fraude e a maneira como a empresa o gerencia, mas não são esperados a ter a expertise de um especialista cuja responsabilidade principal é a detecção e investigação de fraudes.
- 2120: Gestão de Riscos (2120.A2): A atividade de auditoria interna deve avaliar o potencial de ocorrência de fraudes e como a empresa gerencia esse risco.
- 2210: Objetivos do Engajamento (2210.A2): Os auditores internos devem considerar a probabilidade de erros significativos, fraudes, não conformidades e outras exposições ao desenvolver os objetivos do engajamento.
O Que o COSO Diz Sobre o Risco de Fraudes?
O COSO (COSO (Committee of Sponsoring Organizations of the Treadway Commission)) atualizou seu framework de controle interno em 2013, incluindo um princípio específico para o risco de fraudes (Princípio 8).
Este princípio destaca a importância de considerar o potencial de fraudes na avaliação dos riscos para o alcance dos objetivos organizacionais, sendo dividido em quatro pontos de foco:
- Considerar Vários Tipos de Fraude: A avaliação de fraudes deve considerar relatórios fraudulentos, possível perda de ativos e corrupção resultante de diferentes formas de fraudes e má conduta.
- Avaliar Incentivos e Pressões: Considera os incentivos e pressões que podem levar à fraude.
- Avaliar Oportunidades: Analisa as oportunidades para aquisição, uso ou disposição não autorizada de ativos, alteração dos registros de relatórios da entidade ou cometimento de outros atos inadequados.
- Avaliar Atitudes e Racionalizações: Considera como a gestão e outros funcionários podem justificar ações inadequadas.
Nem sempre o risco de fraudes parece ser uma prioridade alta na agenda da gestão executiva ou dos departamentos de auditoria interna, mas sim há mais foco no risco de fraudes do ponto de vista da auditoria interna.
O foco no risco de fraudes tanto pela gestão executiva quanto pela auditoria interna é maior em empresas privadas em comparação com outros tipos de empresas (empresas de capital aberto, governo, organizações sem fins lucrativos, etc.).
Embora a maioria dos auditores internos acredite ter alguma responsabilidade pela detecção e prevenção de fraudes, os auditores não consideram a investigação ou dissuasão de fraudes uma atividade de alto valor agregado.
O risco de fraudes compõe uma pequena porção dos planos de auditoria interna, e poucos auditores acreditam que o foco no risco de fraudes aumentará no futuro.
De qualquer forma está claro que as áreas de auditoria estão procurando contratar auditores internos com habilidades em auditoria de fraudes ou em investigações forenses. No entanto, essas habilidades não estão entre as cinco principais para as quais estão contratando.
Responsabilidade da Auditoria Interna na Prevenção e Detecção de Fraudes:
A responsabilidade da auditoria interna na prevenção e detecção de fraudes é um tema complexo e muitas vezes compartilhado com a gestão. Em uma recente pesquisa, cerca de 30% dos participantes indicaram que a auditoria interna tem "toda ou a maior parte da responsabilidade" pela detecção ou prevenção de fraudes, enquanto aproximadamente 60% indicaram ter "alguma responsabilidade".
A auditoria interna idealmente não deve ter toda a responsabilidade pela prevenção e detecção de fraudes, pois isso comprometeria sua independência e o modelo das Três Linhas de Defesa.
Neste sentido, a alta administração e a primeira linha de defesa devem ser responsáveis por implementar controles internos efetivos, enquanto a auditoria interna avalia a eficácia desses controles, com a área de riscos e controles internos como segunda linha ajudando a primeira, para que não passe nada para a auditoria pegar.
Responder ao risco de fraudes envolve um esforço coordenado entre as três linhas de defesa, e a maioria dos auditores internos está envolvida nesse esforço.
Capacidades da Auditoria Interna em Responder ao Risco de Fraudes:
Os auditores internos parecem confiantes em suas habilidades para incorporar considerações de ética e fraudes em seus engajamentos e apoiar a conscientização sobre riscos de fraudes. Na pesquisa, apenas uma pequena porcentagem (5%) possui treinamento formal relacionado a fraudes e dedica a maior parte do tempo a essa área. Isso pode indicar uma lacuna de habilidades que precisa ser abordada com treinamento contínuo e desenvolvimento de capacidades.
Além disso, poucos auditores internos possuem certificações específicas em fraudes. Sem falar sobre a utilização de análise de dados para identificar fraudes, que é algo que está se tornando mais comum, especialmente em grandes empresas e fintechs, e pode ser um componente importante de um programa de prevenção de fraudes maduro.
Cinco Maneiras de Melhorar a Abordagem da Auditoria Interna ao Risco de Fraudes:
Estabelecer o Papel da Auditoria Interna em Relação à Fraude: Definir claramente o papel da auditoria interna nos esforços antifraude da empresa e documentar isso na carta de auditoria interna e na política antifraude.
Educar a Gestão Sobre o Risco de Fraude: Promover a conscientização sobre os riscos de fraudes, as normas e o papel da auditoria interna, reduzindo lacunas de expectativas entre a auditoria interna e a gestão.
Ser Proativo no Endereçamento do Risco de Fraudes: Implementar canais de denúncia, revisar controles de gestão sobre fraudes, estabelecer protocolos de investigação e programas de anticorrupção, e aumentar a frequência de auditorias em áreas de alto risco de fraudes.
Construir um Banco de Dados de Lições Aprendidas: Criar e manter um banco de dados com informações sobre casos de fraudes ocorridos, incluindo circunstâncias, esquemas, descobertas e resultados, para educar a equipe de auditoria e a gestão executiva.
Garantir Acesso às Habilidades Certas: Contratar, treinar ou terceirizar especialistas para garantir que a equipe de auditoria interna possua as habilidades necessárias para apoiar a prevenção e detecção de fraudes, incluindo a utilização de tecnologia.