Texto Complementar auditorias e fraudes

Prévia do material em texto

Reagindo ao Risco 
de Fraude 
 
 
Explorando a Posição da Auditoria Interna 
RISCO 
 
Closer Look 
 
 
 
 
Farah G. Araj 
CIA, CPA, CFE, QIAL 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
CBOK 
The Global Internal Audit 
Common Body of Knowledge 
 
Patrocinado por 
 
 
● 
A 
A Responsabilidade da Auditoria 
Interna pela Prevenção e 
Detecção de Fraudes 
 
 
<Os resultados não 
são inesperados. 
Há níveis diferentes 
de maturidade, tanto 
em entidades quanto 
em países, diferentes 
expectativas sociais, 
assim como muitas 
variáveis que 
influenciam a 
determinação do 
papel da auditoria 
interna em um 
ambiente de negócios 
e tecnologia em 
 
s informações em alguns manuais 
sugerem que a administração é 
responsável por estabelecer e manter os 
controles internos (incluindo os 
controles antifraude), enquanto os 
auditores internos precisam avaliar os 
controles da administração e estar 
atentos a alertas de fraude. A realidade 
é, frequentemente, diferente do ideal 
dos manuais. Os resultados da pesquisa 
mostram que há, frequentemente, uma 
responsabilidade compartilhada entre a 
auditoria interna e a administração, no 
que se trata do risco de fraude. Cerca de 
3 a cada 10 dos participantes da 
pesquisa dizem que a auditoria interna 
tem “toda ou maior parte da 
responsabilidade” de detecção ou 
prevenção de fraudes em suas 
organizações, com cerca de 6 em cada 
10 dizendo que têm “parte da 
responsabilidade” (veja o Documento 
7). O documento mostra uma 
probabilidade um pouco maior de que 
os auditores internos sejam responsáveis 
pela detecção de fraudes do que pela 
prevenção de fraudes. 
 
O Problema de Toda ou 
Nenhuma Responsabilidade 
O Documento 7 também mostra que 
alguns participantes dizem que seus 
departamentos de auditoria interna não 
têm qualquer responsabilidade pela 
detecção (12%) ou prevenção (17%) de 
fraudes. Muitos líderes de auditoria 
interna discordam desse conceito de 
nenhuma responsabilidade, por parte da 
auditoria interna, pela detecção de 
fraudes. Lynn Fountain, autora da obra 
Raise the Red Flag: An Internal Auditor’s 
Guide to Detect and Prevent Fraud, 
comentou que “Os auditores internos 
precisam fazer um brainstorming dos 
riscos de fraude como parte de qualquer 
trabalho. Isso está nas Normas, mas os 
auditores não o estão fazendo com 
eficácia, na realidade.” 
Na outra ponta da escala, 6% dos 
participantes dizem que seus 
departamentos de auditoria interna 
assumem toda a responsabilidade pela 
detecção e prevenção de fraudes (veja o 
Documento 7). No entanto, 
rápida mudança.³ 
—Bruce Turner, CAE 
Documento 7 
Responsabilidade da Auditoria Interna 
pela Detecção ou Prevenção de Fraudes 
aposentado, ex-Presidente 
imediato do International 
Public Sector Committee e 
Presidente do Comitê de 
Auditoria do IIA–Australia 
Detecção de 6% 
Fraudes 
 
Prevenção de 
6%
 
Fraudes 
23% 
 
 
21% 
59% 
 
 
57% 
12% 
 
 
17% 
0% 20% 40% 60% 80% 100% 
 
Total responsabilidade 
Maior parte da responsabilidade 
Parte da responsabilidade 
Nenhuma responsabilidade 
 
 
Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de 
fraudes em sua organização? 11.431 participantes. Q56: Qual o grau de responsabilidade da 
auditoria interna pela prevenção de fraudes em sua organização? 11.428 participantes. Devido 
ao arredondamento, alguns totais podem não somar 100%. 
● 
<Dar à auditoria 
interna toda ou a 
maior parte da 
responsabilidade 
pela detecção de 
fraudes é uma 
abordagem antiga, 
e a coisa mais 
confortável que uma 
empresa pode fazer, 
porque significa que 
as outras áreas da 
organização não 
serão desafiadas a 
apoiar os esforços 
de detecção de 
fraudes.³ 
—Jorge Badillo, 
Gerente de Auditoria 
Interna, Sierra Gorda SCM, 
e Presidente da Federação 
Latino-Americana de 
Auditores Internos 
a responsabilidade total pela prevenção 
e detecção de fraudes vai contra o 
conceito de independência da auditoria 
interna e contra o Modelo das Três 
Linhas de Defesa.* Ashar comentou, 
“Não concordo com [a auditoria 
interna ter total responsabilidade pela 
prevenção de fraudes]. Essa 
responsabilidade é da administração e 
da primeira linha de defesa. No 
entanto, em muitos casos, é esperada da 
auditoria interna a revisão do 
desenvolvimento dos controles internos, 
antes que estes sejam implementados. 
Isso, de certa forma, faz parte da 
prevenção de fraudes.” Da mesma 
forma, é exigido dos auditores externos, 
por suas normas profissionais, que eles 
avaliem, ao auditar as demonstrações 
financeiras, o risco de distorção 
relevante advindo de fraudes e erros. 
Dar ao departamento de auditoria 
interna toda a responsabilidade pela 
prevenção e detecção de fraudes vai 
contra as Normas e as boas práticas. 
Os Auditores Internos de 
Empresas Privadas Estão Mais 
Envolvidos no Risco de Fraude 
A responsabilidade pela fraude também 
é diferente de acordo com o tipo de 
organização, com as empresas privadas 
reportando altos níveis de envolvimento. 
Para a detecção de fraudes, 36% dos 
participantes do setor privado dizem ter 
toda ou maior parte da responsabilidade, 
em comparação com a média de 29% 
(Q55, 11.431 participantes). A lacuna é 
maior para a prevenção de fraudes, com 
35% do setor privado, em comparação 
com a média de 26% (Q56, 11.428 
participantes). Isso pode ser atribuído à 
tendência de empresas privadas não 
terem uma segunda linha de defesa (ex., 
as funções de gerenciamento de riscos e 
compliance). 
 
* Declaração de Posicionamento do IIA, As 
Três Linhas de Defesa no Gerenciamento de 
Riscos e Controle Eßcazes, Janeiro de 2013, 3-5. 
Quando os auditores internos têm 
responsabilidade por certos aspectos da 
prevenção e detecção de fraudes, essas 
responsabilidades incluem investigar 
suspeitas de fraude, facilitar avaliações 
do risco de fraude, monitorar o canal de 
denúncias, auditar os controles 
antifraude da administração e fornecer 
treinamento de conscientização de 
fraude. 
As Regiões Diferem Muito 
em Níveis de Responsabilidade 
 
Os Documentos 8 e 9 mostram as 
grandes diferenças entre as regiões. O 
maior nível de responsabilidade pela 
prevenção e detecção de fraudes é 
reportado no Sul da Ásia (composto, 
em sua maioria, por participantes da 
Índia), onde cerca de 5 a cada 10 
participantes dizem ter “toda ou maior 
parte da responsabilidade (barras 
verdes).” Outras regiões com altos níveis 
de responsabilidade são Oriente Médio 
e África do Norte, América Latina e 
Caribe, e a África Subsaariana (de 31% 
a 38%). Ashar explica como as 
estruturas de regulamentação e controle 
estão moldando o papel da auditoria 
interna quanto à fraude na Índia: “A lei 
indiana Companies Act de 2013 e o 
COSO de 2013 puseram muita ênfase 
na auditoria interna, com abordagem 
direta à fraude. As empresas estão 
investindo no estabelecimento de 
departamentos de auditoria interna e no 
desenvolvimento das capacidades dos já 
existentes.” 
Além disso, a cultura e maturidade 
organizacional também têm grande 
efeito nos resultados, explicou Owen 
Purcell, parceiro líder da EY no EMEIA 
Risk Centre of Excellence, no Reino 
Unido. “No geral, quando examinamos 
a Europa, vemos maturidade na forma 
como as empresas gerenciam o risco de 
fraude. A auditoria interna tem um 
papel; no entanto, geralmente não estão 
liderando o processo. A administração e 
● 
65% 
58% 59% 57% 
51% 52% 
54% 
42% 
44% 
38% 37% 
31% 
27% 
24% 24% 
26% 
19% 
15% 15% 
17% 17% 
10% 11% 
7% 
Documento 8 Detecção de Fraudes: Responsabilidade da Auditoria Interna (Visão Regional) 
 
80% 
 
 
 
60% 
 
 
 
40% 
 
 
 
20% 
 
 
 
0% 
 
Sul da 
Ásia 
 
 
Oriente Médio 
e África do Norte 
 
 
América Latina 
e Caribe 
 
 
África 
Subsaariana 
 
 
Leste Asiático 
e Pacífico 
 
 
Europa 
 
 
América 
do Norte 
 
 
Média 
Global 
 
Toda ou maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidadeObservação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de fraudes em sua organização? Devido ao 
arredondamento, alguns totais podem não somar 100%. 11.281 participantes. 
 
 
Documento 9 Prevenção de Fraudes: Responsabilidade da Auditoria Interna (Visão Regional) 
 
80% 
 
 
 
60% 
 
 
 
40% 
 
 
 
20% 
 
 
 
0% 
Sul da 
Ásia 
 
 
Oriente Médio 
e África do Norte 
 
 
América Latina 
e Caribe 
 
 
África 
Subsaariana 
 
 
Leste Asiático 
e Pacífico 
 
 
Europa 
 
 
América 
do Norte 
 
 
Média 
Global 
 
Toda ou maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidade 
 
 
Observação: Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de fraudes em sua organização? Devido ao 
arredondamento, alguns totais podem não somar 100%. 11.279 participantes. 
77% 
59% 
56% 
58% 58% 
51% 
48% 
46%
 
49% 
38% 
35% 
31% 
29% 28% 29% 
13% 14% 13% 13% 14% 
15% 
12% 
6% 
8% 
● 
a segunda linha de defesa (conformidade, 
riscos, etc.) são responsáveis, em geral, 
pelo controle e gestão do risco de 
fraude”. 
Purcell diz que as atitudes culturais 
perante a fraude e a auditoria interna 
também afetam o papel da auditoria 
interna. “No Sul da Ásia e no Oriente 
Médio, há uma crença de que a auditoria 
interna deve sempre verificar a 
possibilidade de fraude. Há diversas 
camadas de aprovações e assinaturas, 
com os auditores internos ‘verificando os 
verificadores’. As funções de auditoria 
interna estabelecidas no Oriente Médio 
têm destaque em suas empresas e, como 
resultado, a administração tenderia a 
delegar maior responsabilidade pela 
detecção de fraudes a elas.” 
Departamentos Maiores Têm 
Maior Responsabilidade 
Os departamentos maiores de auditoria 
interna tendem a assumir maior 
responsabilidade por prevenir e detectar 
fraudes do que departamentos menores. 
Em organizações com mais de 50 
auditores internos, 37% dos 
participantes declararam ter “toda ou 
maior parte da responsabilidade” pela 
detecção de fraudes, em comparação 
com a média global de 29% (veja o 
Documento 10). Para a prevenção de 
fraudes, os resultados foram parecidos, 
com 33% das organizações com mais de 
50 auditores internos assumindo toda ou 
maior parte da responsabilidade, em 
comparação com a média global de 26% 
(veja o Documento 11). 
Os resultados podem ser explicados 
pela existência de especialistas em fraude 
ou investigadores dedicados em 
departamentos maiores de auditoria 
interna, o que normalmente não pode 
ser justificado em departamentos 
menores, por conta das limitações de 
custo. A existência desses especialistas ou 
investigadores de fraude dedicados 
aumenta a percepção de que a auditoria 
interna deva fazer mais para prevenir e 
detectar fraudes. 
Além disso, as expectativas da 
administração para as funções de 
auditoria interna também têm um papel 
a desempenhar. “Na minha experiência, a 
maioria das empresas indianas não tem 
um departamento separado e único de 
investigação. Isso inclui empresas listadas. 
A responsabilidade recai sobre a auditoria 
interna e a expectativa da administração é 
que a auditoria interna deve assumir um 
papel de liderança em resposta ao risco de 
fraude”, diz Ashar. 
Uma Abordagem Coordenada ao 
Risco de Fraude é a Melhor Opção 
 
A auditoria interna não é o meio de 
detecção de fraudes que mais prevalece, 
de acordo com a Association of Certißed 
Fraud Examiners (ACFE) (veja o 
Documento 12). Em vez disso, a fraude é 
detectada mais frequentemente pelos 
controles internos (denúncias) e pela 
primeira linha de defesa (revisão por 
parte da administração). 
Uma resposta eficaz ao risco de fraude 
deve incluir múltiplas linhas de defesa, 
com o envolvimento do comitê de 
auditoria, da alta administração e dos 
setores de conformidade, jurídico, 
recursos humanos e auditoria interna. 
Dr. Al Faddagh compartilha sua opinião: 
“Precisamos pensar na gestão do risco de 
fraude como um processo. Nele, há 
responsabilidades compartilhadas entre a 
auditoria interna, a administração e as 
funções da segunda linha. Quando se 
trata da detecção, acredito que a auditoria 
interna tenha uma porção maior de 
responsabilidade do que ela tem pela 
prevenção de fraudes.” Sem uma 
abordagem coordenada, há um maior 
risco de falha em detectar fraudes e em 
reagir com eficácia após sua detecção. 
● 
 
Documento 10 
 
80% 
Detecção de Fraudes: Responsabilidade da 
Auditoria Interna (Visão por Porte do 
Departamento de Auditoria Interna) 
 
 
 
60% 
 
 
58% 
 
61% 
64% 
 
 
 
54% 
 
60% 
 
 
40% 37% 
 
27% 26% 
 
 
25% 
 
29% 
 
20% 
14% 
 
13% 12% 
9% 
 
12% 
 
0% 
1 a 3 
 
 
4 a 9 
 
 
10 a 49 
 
 
50 ou mais 
 
 
Média 
 
Toda ou maior parte 
da responsabilidade 
Parte da 
responsabilidade 
Nenhuma 
responsabilidade 
 
 
Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de 
fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar 
100%. 10.542 participantes. 
 
 
Documento 11 
Prevenção de Fraudes: Responsabilidade da 
Auditoria Interna (Visão por Porte do 
Departamento de Auditoria Interna) 
 
 
Toda ou maior parte 
da responsabilidade 
Parte da 
responsabilidade 
Nenhuma 
responsabilidade 
 
 
Observação: Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de 
fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar 
100%. 10.540 participantes. 
80% 
60% 58% 
58% 60% 57% 
52% 
40% 
33% 
26% 26% 
23% 23% 
19% 
20% 16% 17% 15% 
17% 
0% 
1 a 3 4 a 9 10 a 49 50 ou mais Média 
● 
Método de Detecção 
% de 
casos 
Denúncias 42% 
Revisão da Administração 16% 
Auditoria Interna 14% 
Outros métodos, tais como por acidente, auditoria externa, 
agências de aplicação da lei, etc. 
28% 
Documento 12 Formas de Detecção Inicial de Fraudes 
 
Fonte: ACFE 2014 Report to the Nations on Occupational Fraud and Abuse (Association of 
Certified Fraud Examiners, 2014), tradução livre da figura 11. Usada com permissão. 
 
 
 
 
 
Conclusão 
 
Pergunta 2: Até que ponto os auditores internos são responsáveis pela prevenção 
e detecção de fraudes? 
 
Não há apenas uma resposta correta. Depende amplamente da cultura e 
maturidade da organização, e da visão/posicionamento da auditoria interna dentro 
dela. Para organizações de menor porte, pode ser inviável manter equipes separadas de 
auditoria interna e investigações. No entanto, quando a auditoria interna se envolve 
extensivamente nas investigações de fraude, ela pode não ser capaz de agregar o máximo 
valor à organização. 
De acordo com o Presidente e CEO do IIA, Richard Chambers, o envolvimento nas 
investigações de fraude pode afetar 
● 
 
os relacionamentos da auditoria interna dentro da organização. “Quando os auditores internos estão 
profundamente envolvidos em investigações que possam resultar em ações disciplinares contra executivos ou outros 
funcionários, pode ser difícil que os auditores internos sejam vistos, depois, como ‘conselheiros confiáveis’ que 
estão ‘ali para ajudar’, quando retomarem seu papel de auditoria interna,” diz.* Ainda assim, a auditoria interna 
deve considerar o risco de fraude na preparação de sua avaliação de risco, deve estar atenta a alertas durante os 
trabalhos e deve reagir de acordo com as políticas da organização e leis aplicáveis. 
 
* Richard Chambers, “Me Dangers to Internal Audit of Donning a ‘Black Hat.’” Obtido em: iaonline.theiia.org, 15 de Julho de 2014.