Gabriel Magalhães, Jornal i
Não obstante o atual e importante papel da auditoria interna na deteção de fraude, existem espaços e recursos (principalmente tecnológicos) para melhorar ainda mais a abordagem da auditoria interna face ao risco de fraude.
A principal fonte para deteção de fraude continua a ser a denúncia (tip) e representa mais de 40% dos casos detetados. Esta pode ser realizada através de canais próprios e definidos nas políticas de comunicação de irregularidades (whistleblowing), ou por canais ou meios oficiosos. Nos restantes 45% dos casos, a fraude foi detetada através: da revisão dos processos de gestão, em situações fortuitas; da conferência de contas; da análise de documentos, pela auditoria externa; de sistemas de monitorização/vigilância; de notificações legais; de controlos IT (information tecnology); ou até, por confissão do agente que cometeu a fraude.
Se analisarmos os dados ao pormenor, podemos relevar ainda mais o papel da auditoria interna na deteção de fraude. Na realidade, e apesar de as denúncias constituírem a maior fonte de deteção de fraude, 10% das denúncias foram comunicadas diretamente à auditoria interna das respetivas organizações. Por outro lado, é a auditoria interna que avalia a eficácia dos processos de controlo interno e de governance numa organização, facilitando, desta forma, a deteção da fraude através da revisão dos processos de gestão pelos respetivos responsáveis (sponsors). É também a auditoria interna que age como um dos principais parceiros dos auditores externos nas organizações, e constitui um elemento fundamental para a definição e controlo dos sistemas de monitorização e vigilância nas suas inúmeras facetas, inclusive, em ambientes IT.
Não obstante o atual e importante papel da auditoria interna na deteção de fraude, existem espaços e recursos (principalmente tecnológicos) para melhorar ainda mais a abordagem da auditoria interna face ao risco de fraude.
Esta abordagem foi sistematizada num estudo promovido pelo The Institute of Internal Auditors em 2015 que identificou 5 recomendações:
1. Definir objetivamente o papel da função de auditoria interna relativamente ao risco de fraude na organização, oficializando o seu papel institucional no estatuto / carta de auditoria interna e na política de prevenção, deteção e combate à fraude, mas nunca assumindo o papel de responsável (sponsor) pela gestão deste risco, para não comprometer a sua independência no seio da organização;
2. Instruir e alertar a Administração de topo e demais partes interessadas (stakeholders) sobre esta temática, de forma a promover a consciencialização, em toda a organização, sobre o risco de fraude, as normas e melhores práticas internacionais (standards and best practices), e o papel da auditoria interna;
3. Ser proativo na abordagem ao risco de fraude, através do benchmark das métricas da política de prevenção, deteção e combate à fraude em vigor na organização com os dados internacionais para organizações e setores semelhantes, ou aumentando as auditorias em áreas de alto risco de fraude em função de um risk assessment;
4. Criar uma base de dados integrada sobre todas as fraudes identificadas na organização, com a sua devida caracterização (tipologia, probabilidade, impacto, geografia, etc.), e com as respetivas lições aprendidas, de modo a ser utilizada como um dos critérios para priorizar os futuros esforços da auditoria interna;
5. Dotar os auditores internos com as skills necessárias para identificar e lidar com situações de fraude, especialmente na área tecnológica e comportamental e, se necessário, recorrer à formação, treino ou mesmo à contratação externa especializada (outsourcing).
Em resumo, a função da auditoria interna deverá ter em conta que todos os stakeholders da organização esperam que a identificação e a análise do risco de fraude seja uma parte integrante e fundamental de qualquer processo ou trabalho que venha a ser realizado, quer seja uma auditoria ou uma inspeção, quer assuma a natureza de garantia (assurance) ou de consultoria (consultancy), e que seja necessariamente escolhido em função de um determinado risk assessment, benchmark ou alerta, e desempenhado por profissionais devidamente capacitados e com acesso aos recursos necessários, com enfoque no uso de soluções tecnológicas, cada vez mais evoluídas e evolutivas (artificial intelligence, robotics, & automation).