Artigo
17/10/2024
Atualizado em 02/05/2026

Governança e Auditoria na Gestão de Riscos de Fraude

A auditoria interna e as três linhas de defesa são essenciais para identificar, mitigar e monitorar riscos de fraude, promovendo uma cultura ética e controles eficazes nas organizações.

Imagem de capa do artigo

A auditoria interna também deveria desempenhar como terceira linha de defesa um papel fundamental na gestão dos riscos de fraude, mas para que isso seja possível, os auditores precisam ter uma compreensão profunda dos riscos e uma habilidade apurada para atuar em ambientes complexos de controle e cultura corporativa.

Pois é este o tema que queria abordar hoje, com os conceitos de fraude, riscos de fraude e governança dos riscos de fraude, incluindo como sempre gosto de fazer, os desafios enfrentados e práticas recomendadas.

Começo com o conceito de fraude, que é um ato intencional que visa obter vantagem injusta ou ilegal, causando prejuízo a terceiros. Que pode ocorrer de diversas formas, como manipulação de informações financeiras, desvio de ativos, corrupção, e práticas enganosas.

Esse tipo de conduta geralmente envolve a violação da confiança e pode ser cometido tanto por pessoas internas da empresa (funcionários, executivos) quanto por agentes externos (fornecedores, clientes, hackers e demais criminosos).

A fraude pode ser classificada em vários tipos, como fraude financeira, ocupacional e externa. Fraude financeira envolve a manipulação dos demonstrativos financeiros com o objetivo de enganar investidores ou outros stakeholders. Exemplos incluem falsificação de receitas, subestimação de despesas ou ocultamento de passivos. Fraude ocupacional ocorre quando colaboradores utilizam suas posições para ganho pessoal em detrimento da empresa, como desvio de recursos ou aceitação de subornos. Já a fraude externa envolve agentes de fora da empresa, como fornecedores que utilizam documentos falsificados para obter vantagens indevidas.

Já os riscos de fraude referem-se à probabilidade de ocorrerem atos fraudulentos que possam resultar em prejuízos financeiros, reputacionais ou operacionais para a empresa. Esses riscos são influenciados por fatores como cultura organizacional, pressão para atingir metas, oportunidades para cometer fraudes e a racionalização dos indivíduos envolvidos. A pressão pode ser decorrente da necessidade de alcançar metas financeiras ou enfrentar dificuldades pessoais. A oportunidade surge quando há falhas nos controles internos, enquanto a racionalização envolve justificar o comportamento fraudulento, convencendo-se de que não é algo errado. Os riscos de fraude podem ser classificados em categorias como riscos estratégicos, operacionais, de conformidade e reputacionais. Os riscos estratégicos são aqueles que afetam a estratégia da empresa, como a manipulação de informações para atender às expectativas do mercado. Os riscos operacionais afetam as atividades diárias da empresa, como desvio de ativos. Os riscos de conformidade são violações de leis e regulamentos, como pagamento de subornos. Por fim, os riscos reputacionais ocorrem quando a descoberta de fraudes prejudica a imagem da empresa e leva à perda de confiança dos stakeholders.

Enquanto que a governança dos riscos de fraude envolve criar uma estrutura robusta para identificar, avaliar, mitigar e monitorar esses riscos. Uma governança eficaz deve englobar todos os níveis da organização, desde o conselho de administração até os colaboradores da linha de frente. A governança dos riscos de fraude é, geralmente, estruturada com base no Modelo das Três Linhas, que define responsabilidades claras para a gestão operacional, funções de controle (como compliance) e auditoria interna. No Modelo das Três Linhas na Governança dos Riscos de Fraude, a Primeira Linha (Gestão Operacional) é composta pela gestão operacional e colaboradores que estão diretamente envolvidos nas atividades do dia a dia. Eles são responsáveis pela identificação e gestão dos riscos de fraude no ponto de origem, garantindo que os controles sejam implementados e mantidos. Essa linha deve assegurar que as políticas e procedimentos antifraude sejam rigorosamente seguidos e que exista uma cultura de integridade e transparência. A gestão operacional é fundamental para detectar fraudes em seus estágios iniciais, pois está mais próxima dos processos e das operações. A Segunda Linha (Funções de Controle) é composta pelas funções de controle, como compliance, gerenciamento de riscos e outras funções especializadas que monitoram a implementação e eficácia dos controles. Elas têm a responsabilidade de desenvolver políticas e procedimentos antifraude, realizar análises independentes, e dar suporte à primeira linha na mitigação dos riscos. Essa linha também realiza treinamentos periódicos e promove a cultura de ética dentro da organização. A segunda linha atua como uma camada adicional de supervisão, garantindo que os controles implementados pela primeira linha sejam eficazes e que as políticas sejam constantemente revisadas e atualizadas. Já a Terceira Linha (Auditoria Interna) fornece uma avaliação independente da eficácia dos controles internos e da gestão dos riscos de fraude. A auditoria interna verifica se as práticas adotadas pela primeira e segunda linhas estão sendo seguidas e se os controles são suficientes para prevenir e detectar fraudes. Além disso, faz recomendações para o aprimoramento dos controles e políticas, identificando vulnerabilidades e propondo ações corretivas. Essa linha é fundamental para garantir a objetividade e independência na avaliação dos riscos de fraude.

Os Componentes Fundamentais da Governança dos Riscos de Fraude incluem a Cultura de Ética e Integridade, que é a base da governança dos riscos de fraude. A liderança deve servir de exemplo e incentivar comportamentos éticos em toda a organização, incluindo a definição de políticas e códigos de conduta e demonstrando, por meio de ações concretas, o compromisso com práticas éticas. A Política e Procedimentos Antifraude é outra peça chave, que deve ser abrangente e incluir definições de fraude, exemplos de comportamentos inadequados, diretrizes para a prevenção de fraudes, procedimentos para a investigação de incidentes, e as consequências para aqueles que se envolverem em atos fraudulentos. Esses documentos devem ser amplamente divulgados e revisados regularmente. O Educação e Treinamento periódicos são necessários para conscientizar todos os colaboradores sobre os riscos de fraude e suas responsabilidades. Esses treinamentos devem incluir exemplos práticos, estudos de caso e orientações claras sobre como identificar e reportar sinais de fraude. A eficácia dos treinamentos pode ser aumentada por meio de avaliações que verifiquem o entendimento dos colaboradores sobre os conceitos apresentados. Outro componente é a existência de Canais Seguros de Denúncia, que permitam aos colaboradores reportarem suspeitas de fraudes sem medo de retaliação. O uso de plataformas independentes para o recebimento de denúncias pode aumentar a confiança dos colaboradores no processo. A Avaliação de Riscos de Fraude periódica também é essencial para que a organização identifique áreas vulneráveis e implemente controles específicos para mitigá-los. O Monitoramento e Auditoria deve ser constante, com a auditoria interna realizando avaliações regulares para garantir que os controles antifraude sejam eficazes. Ferramentas de análise de dados podem ser utilizadas para identificar padrões suspeitos e ajudar na detecção de fraudes de forma mais proativa. Finalmente, é fundamental ter um Plano de Resposta a Incidentes de Fraude para mitigar os impactos financeiros e reputacionais de um incidente.

Entre os Desafios na Governança dos Riscos de Fraude, está a Resistência Cultural, que pode dificultar a implementação de uma cultura organizacional forte em relação à ética e integridade. Superar essa resistência requer comunicação contínua, treinamento e o exemplo dado pela liderança. A Falta de Recursos também pode ser um obstáculo, principalmente para organizações menores, sendo essencial a alocação adequada de recursos e a priorização das áreas mais críticas. Outro desafio importante é a Coordenação entre as Linhas de Defesa, onde falta de comunicação ou desalinhamento entre as linhas de defesa pode comprometer a eficácia dos esforços antifraude. A colaboração entre as linhas é essencial para garantir que os riscos de fraude sejam geridos de forma integrada.

Por fim, algumas Práticas Recomendadas para Melhorar a Governança dos Riscos de Fraude incluem o Engajamento da Alta Administração, onde a liderança deve estar diretamente envolvida nos esforços antifraude, demonstrando um compromisso sério com a prevenção de fraudes. As Revisão e Atualização Contínua das políticas e procedimentos antifraude devem ser realizadas periodicamente, levando em consideração as lições aprendidas de incidentes anteriores. Além disso, o Uso de Tecnologia, como ferramentas de análise de dados e tecnologias de monitoramento, pode ajudar a identificar padrões e anomalias, tornando os processos de monitoramento mais eficientes e ampliando a capacidade de detecção, permitindo uma abordagem mais proativa na gestão dos riscos de fraude.

Assim, a auditoria interna, em conjunto com as demais linhas de defesa, desempenha um papel essencial na prevenção e detecção de fraudes, contribuindo para um ambiente de negócios mais seguro e ético.

Um ponto importante a ser considerado no contexto da governança dos riscos de fraude é a importância de promover a transparência em todos os processos organizacionais. A transparência é essencial para reduzir oportunidades de fraudes, pois, quando há um ambiente de comunicação aberta e processos claros, os colaboradores ficam menos propensos a cometer atos ilícitos e a própria organização tem mais facilidade em identificar irregularidades.

Papel da Comunicação na Governança dos Riscos de Fraude

A comunicação desempenha um papel crucial na mitigação dos riscos de fraude. As organizações devem implementar uma comunicação clara e consistente sobre as políticas antifraude, os canais de denúncia e as consequências de atos fraudulentos. Essa comunicação deve começar no topo, com os líderes da organização, e permeia toda a estrutura da empresa. Campanhas internas de conscientização podem ser usadas para educar os colaboradores sobre comportamentos que indicam fraude e sobre a importância de relatar tais eventos.

Treinamentos contínuos são uma ferramenta valiosa para fortalecer a comunicação e garantir que todos compreendam seus papéis e responsabilidades no combate à fraude. Além disso, programas de conscientização voltados a fornecedores e parceiros de negócios podem ajudar a reduzir os riscos externos e assegurar que todos os envolvidos no ecossistema empresarial estejam alinhados às expectativas éticas e legais.

Exemplos Práticos de Mitigação dos Riscos de Fraude

Códigos de Conduta e políticas antifraude são documentos essenciais para definir o comportamento esperado de todos os colaboradores e stakeholders. No entanto, para que sejam eficazes, não basta apenas criá-los: é preciso garantir que sejam compreendidos e aplicados. Algumas práticas incluem a realização de workshops que simulem cenários de fraudes possíveis e a apresentação de estudos de casos reais que demonstrem as consequências de atos fraudulentos.

Um exemplo prático de mitigação do risco de fraude é a segregação de funções. Esse conceito envolve a divisão de responsabilidades dentro de um processo de forma que nenhuma pessoa tenha controle completo sobre todas as etapas do processo. Por exemplo, uma pessoa que aprova um pagamento não deve ser a mesma que cria a ordem de pagamento. A implementação dessa prática reduz significativamente a possibilidade de uma fraude ser cometida sem ser detectada.

Além disso, o uso de ferramentas de análise de dados pode ajudar a detectar anomalias em transações financeiras e operacionais. O monitoramento contínuo de indicadores de risco permite identificar padrões suspeitos que podem indicar a existência de fraudes. Por exemplo, em um processo de análise de reembolsos de despesas, pode ser utilizado um software que analise os valores reembolsados e identifique solicitações que se desviam significativamente da média para aquele tipo de despesa, indicando um risco potencial de fraude.

Governança Corporativa e o Papel do Conselho de Administração

O conselho de administração é fundamental na governança dos riscos de fraude, pois é responsável por definir o apetite ao risco da organização e por supervisionar a implementação dos controles antifraude. O apetite ao risco deve refletir o equilíbrio entre a necessidade de manter um ambiente seguro e os custos associados à implementação de controles. Além disso, o conselho deve garantir que a alta administração esteja alinhada com as expectativas éticas e de conformidade da organização.

O comitê de auditoria, geralmente composto por membros do conselho de administração, desempenha um papel relevante ao supervisionar as atividades da auditoria interna e garantir que os controles sejam revisados periodicamente. Além disso, o comitê de auditoria deve acompanhar de perto os incidentes de fraude e as medidas adotadas para mitigar riscos futuros, assegurando que todos os envolvidos sejam responsabilizados e que as lacunas nos controles sejam corrigidas.

Práticas Tecnológicas no Combate à Fraude

Com o avanço da tecnologia, a automação de processos e o uso de inteligência artificial se tornaram grandes aliados na prevenção de fraudes. Sistemas automatizados são capazes de monitorar transações em tempo real e identificar padrões de comportamento que fogem do esperado, alertando os gestores sobre possíveis fraudes. Por exemplo, sistemas antifraude de monitoramento de transações financeiras podem cruzar informações e detectar transações que tenham características típicas de operações fraudulentas, como divisão de valores para burlar limites de auditoria.

Além disso, a implementação de tecnologias de machine learning pode ajudar na detecção de anomalias ao aprender continuamente sobre padrões comportamentais normais e sinalizar atividades suspeitas. Outra ferramenta importante são os sistemas de análise de voz, utilizados em centrais de atendimento para detectar sinais de estresse ou inconsistência durante as interações dos clientes, o que pode indicar uma tentativa de fraude.

Indicadores de Desempenho na Gestão dos Riscos de Fraude

Os indicadores de desempenho (KPIs) são essenciais para avaliar a eficácia da gestão dos riscos de fraude e dos controles implementados. Exemplos de KPIs incluem o número de denúncias de fraudes recebidas, o tempo médio para investigar denúncias e a quantidade de treinamentos realizados sobre práticas antifraude. Esses indicadores permitem ao conselho de administração e à alta direção medir a eficácia das ações implementadas e identificar áreas que precisam de melhorias.

Os indicadores-chave de risco (KRIs) também são ferramentas importantes para o monitoramento dos riscos de fraude. KRIs são métricas que indicam potenciais riscos antes que eles se materializem. Um exemplo é a frequência de alterações nos acessos aos sistemas críticos da empresa. Se houver um aumento súbito e inexplicável no número de alterações de permissões de acesso, isso pode ser um sinal de que um risco de fraude está aumentando.

Resposta a Incidentes de Fraude

Em um cenário em que uma fraude é detectada, a resposta rápida e adequada é crucial para mitigar os danos e evitar a repetição do incidente. Um plano de resposta a fraudes deve incluir uma equipe de resposta previamente designada, composta por representantes de diferentes áreas, como auditoria interna, jurídico, compliance e recursos humanos. O plano deve detalhar os passos para investigar a fraude, preservar as evidências, realizar a comunicação apropriada, tanto interna quanto externamente, e implementar ações corretivas para prevenir futuras ocorrências.

Também é fundamental ter uma estratégia de comunicação para os stakeholders. A forma como a organização lida com a comunicação sobre o incidente pode afetar significativamente sua reputação. A transparência, combinada com uma abordagem resolutiva, ajuda a restaurar a confiança dos stakeholders e demonstra o compromisso da empresa com a integridade e a ética.

A governança dos riscos de fraude é uma atividade complexa que exige uma abordagem integrada, envolvendo todos os níveis da organização. A auditoria interna desempenha um papel fundamental na avaliação da eficácia dos controles, enquanto a alta administração e o conselho de administração devem promover uma cultura de integridade e garantir que os recursos necessários sejam alocados para a mitigação dos riscos. Por meio de uma combinação de políticas claras, educação contínua, uso estratégico de tecnologia e monitoramento constante, as organizações podem não apenas mitigar os riscos de fraude, mas também criar um ambiente onde a ética e a transparência sejam valores centrais. Assim, a gestão de riscos de fraude se torna uma vantagem competitiva, fortalecendo a confiança dos stakeholders e promovendo a sustentabilidade do negócio.

As opiniões dos autores convidados da nossa comunidade são independentes e não necessariamente representam a opinião da Okai.

Autor

Foto de perfil de Luiz Henrique Lobo

Luiz Henrique Lobo

Membro Independente de Conselhos | Comitê de Riscos da Caixa e de Auditoria da BR Partners | Consultor e Palestrante