Baixe o app para aproveitar ainda mais
Prévia do material em texto
Reagindo ao Risco de Fraude Explorando a Posição da Auditoria Interna RISCO Closer Look Farah G. Araj CIA, CPA, CFE, QIAL CBOK The Global Internal Audit Common Body of Knowledge Patrocinado por ● A A Responsabilidade da Auditoria Interna pela Prevenção e Detecção de Fraudes <Os resultados não são inesperados. Há níveis diferentes de maturidade, tanto em entidades quanto em países, diferentes expectativas sociais, assim como muitas variáveis que influenciam a determinação do papel da auditoria interna em um ambiente de negócios e tecnologia em s informações em alguns manuais sugerem que a administração é responsável por estabelecer e manter os controles internos (incluindo os controles antifraude), enquanto os auditores internos precisam avaliar os controles da administração e estar atentos a alertas de fraude. A realidade é, frequentemente, diferente do ideal dos manuais. Os resultados da pesquisa mostram que há, frequentemente, uma responsabilidade compartilhada entre a auditoria interna e a administração, no que se trata do risco de fraude. Cerca de 3 a cada 10 dos participantes da pesquisa dizem que a auditoria interna tem “toda ou maior parte da responsabilidade” de detecção ou prevenção de fraudes em suas organizações, com cerca de 6 em cada 10 dizendo que têm “parte da responsabilidade” (veja o Documento 7). O documento mostra uma probabilidade um pouco maior de que os auditores internos sejam responsáveis pela detecção de fraudes do que pela prevenção de fraudes. O Problema de Toda ou Nenhuma Responsabilidade O Documento 7 também mostra que alguns participantes dizem que seus departamentos de auditoria interna não têm qualquer responsabilidade pela detecção (12%) ou prevenção (17%) de fraudes. Muitos líderes de auditoria interna discordam desse conceito de nenhuma responsabilidade, por parte da auditoria interna, pela detecção de fraudes. Lynn Fountain, autora da obra Raise the Red Flag: An Internal Auditor’s Guide to Detect and Prevent Fraud, comentou que “Os auditores internos precisam fazer um brainstorming dos riscos de fraude como parte de qualquer trabalho. Isso está nas Normas, mas os auditores não o estão fazendo com eficácia, na realidade.” Na outra ponta da escala, 6% dos participantes dizem que seus departamentos de auditoria interna assumem toda a responsabilidade pela detecção e prevenção de fraudes (veja o Documento 7). No entanto, rápida mudança.³ —Bruce Turner, CAE Documento 7 Responsabilidade da Auditoria Interna pela Detecção ou Prevenção de Fraudes aposentado, ex-Presidente imediato do International Public Sector Committee e Presidente do Comitê de Auditoria do IIA–Australia Detecção de 6% Fraudes Prevenção de 6% Fraudes 23% 21% 59% 57% 12% 17% 0% 20% 40% 60% 80% 100% Total responsabilidade Maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidade Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de fraudes em sua organização? 11.431 participantes. Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de fraudes em sua organização? 11.428 participantes. Devido ao arredondamento, alguns totais podem não somar 100%. ● <Dar à auditoria interna toda ou a maior parte da responsabilidade pela detecção de fraudes é uma abordagem antiga, e a coisa mais confortável que uma empresa pode fazer, porque significa que as outras áreas da organização não serão desafiadas a apoiar os esforços de detecção de fraudes.³ —Jorge Badillo, Gerente de Auditoria Interna, Sierra Gorda SCM, e Presidente da Federação Latino-Americana de Auditores Internos a responsabilidade total pela prevenção e detecção de fraudes vai contra o conceito de independência da auditoria interna e contra o Modelo das Três Linhas de Defesa.* Ashar comentou, “Não concordo com [a auditoria interna ter total responsabilidade pela prevenção de fraudes]. Essa responsabilidade é da administração e da primeira linha de defesa. No entanto, em muitos casos, é esperada da auditoria interna a revisão do desenvolvimento dos controles internos, antes que estes sejam implementados. Isso, de certa forma, faz parte da prevenção de fraudes.” Da mesma forma, é exigido dos auditores externos, por suas normas profissionais, que eles avaliem, ao auditar as demonstrações financeiras, o risco de distorção relevante advindo de fraudes e erros. Dar ao departamento de auditoria interna toda a responsabilidade pela prevenção e detecção de fraudes vai contra as Normas e as boas práticas. Os Auditores Internos de Empresas Privadas Estão Mais Envolvidos no Risco de Fraude A responsabilidade pela fraude também é diferente de acordo com o tipo de organização, com as empresas privadas reportando altos níveis de envolvimento. Para a detecção de fraudes, 36% dos participantes do setor privado dizem ter toda ou maior parte da responsabilidade, em comparação com a média de 29% (Q55, 11.431 participantes). A lacuna é maior para a prevenção de fraudes, com 35% do setor privado, em comparação com a média de 26% (Q56, 11.428 participantes). Isso pode ser atribuído à tendência de empresas privadas não terem uma segunda linha de defesa (ex., as funções de gerenciamento de riscos e compliance). * Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eßcazes, Janeiro de 2013, 3-5. Quando os auditores internos têm responsabilidade por certos aspectos da prevenção e detecção de fraudes, essas responsabilidades incluem investigar suspeitas de fraude, facilitar avaliações do risco de fraude, monitorar o canal de denúncias, auditar os controles antifraude da administração e fornecer treinamento de conscientização de fraude. As Regiões Diferem Muito em Níveis de Responsabilidade Os Documentos 8 e 9 mostram as grandes diferenças entre as regiões. O maior nível de responsabilidade pela prevenção e detecção de fraudes é reportado no Sul da Ásia (composto, em sua maioria, por participantes da Índia), onde cerca de 5 a cada 10 participantes dizem ter “toda ou maior parte da responsabilidade (barras verdes).” Outras regiões com altos níveis de responsabilidade são Oriente Médio e África do Norte, América Latina e Caribe, e a África Subsaariana (de 31% a 38%). Ashar explica como as estruturas de regulamentação e controle estão moldando o papel da auditoria interna quanto à fraude na Índia: “A lei indiana Companies Act de 2013 e o COSO de 2013 puseram muita ênfase na auditoria interna, com abordagem direta à fraude. As empresas estão investindo no estabelecimento de departamentos de auditoria interna e no desenvolvimento das capacidades dos já existentes.” Além disso, a cultura e maturidade organizacional também têm grande efeito nos resultados, explicou Owen Purcell, parceiro líder da EY no EMEIA Risk Centre of Excellence, no Reino Unido. “No geral, quando examinamos a Europa, vemos maturidade na forma como as empresas gerenciam o risco de fraude. A auditoria interna tem um papel; no entanto, geralmente não estão liderando o processo. A administração e ● 65% 58% 59% 57% 51% 52% 54% 42% 44% 38% 37% 31% 27% 24% 24% 26% 19% 15% 15% 17% 17% 10% 11% 7% Documento 8 Detecção de Fraudes: Responsabilidade da Auditoria Interna (Visão Regional) 80% 60% 40% 20% 0% Sul da Ásia Oriente Médio e África do Norte América Latina e Caribe África Subsaariana Leste Asiático e Pacífico Europa América do Norte Média Global Toda ou maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidadeObservação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar 100%. 11.281 participantes. Documento 9 Prevenção de Fraudes: Responsabilidade da Auditoria Interna (Visão Regional) 80% 60% 40% 20% 0% Sul da Ásia Oriente Médio e África do Norte América Latina e Caribe África Subsaariana Leste Asiático e Pacífico Europa América do Norte Média Global Toda ou maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidade Observação: Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar 100%. 11.279 participantes. 77% 59% 56% 58% 58% 51% 48% 46% 49% 38% 35% 31% 29% 28% 29% 13% 14% 13% 13% 14% 15% 12% 6% 8% ● a segunda linha de defesa (conformidade, riscos, etc.) são responsáveis, em geral, pelo controle e gestão do risco de fraude”. Purcell diz que as atitudes culturais perante a fraude e a auditoria interna também afetam o papel da auditoria interna. “No Sul da Ásia e no Oriente Médio, há uma crença de que a auditoria interna deve sempre verificar a possibilidade de fraude. Há diversas camadas de aprovações e assinaturas, com os auditores internos ‘verificando os verificadores’. As funções de auditoria interna estabelecidas no Oriente Médio têm destaque em suas empresas e, como resultado, a administração tenderia a delegar maior responsabilidade pela detecção de fraudes a elas.” Departamentos Maiores Têm Maior Responsabilidade Os departamentos maiores de auditoria interna tendem a assumir maior responsabilidade por prevenir e detectar fraudes do que departamentos menores. Em organizações com mais de 50 auditores internos, 37% dos participantes declararam ter “toda ou maior parte da responsabilidade” pela detecção de fraudes, em comparação com a média global de 29% (veja o Documento 10). Para a prevenção de fraudes, os resultados foram parecidos, com 33% das organizações com mais de 50 auditores internos assumindo toda ou maior parte da responsabilidade, em comparação com a média global de 26% (veja o Documento 11). Os resultados podem ser explicados pela existência de especialistas em fraude ou investigadores dedicados em departamentos maiores de auditoria interna, o que normalmente não pode ser justificado em departamentos menores, por conta das limitações de custo. A existência desses especialistas ou investigadores de fraude dedicados aumenta a percepção de que a auditoria interna deva fazer mais para prevenir e detectar fraudes. Além disso, as expectativas da administração para as funções de auditoria interna também têm um papel a desempenhar. “Na minha experiência, a maioria das empresas indianas não tem um departamento separado e único de investigação. Isso inclui empresas listadas. A responsabilidade recai sobre a auditoria interna e a expectativa da administração é que a auditoria interna deve assumir um papel de liderança em resposta ao risco de fraude”, diz Ashar. Uma Abordagem Coordenada ao Risco de Fraude é a Melhor Opção A auditoria interna não é o meio de detecção de fraudes que mais prevalece, de acordo com a Association of Certißed Fraud Examiners (ACFE) (veja o Documento 12). Em vez disso, a fraude é detectada mais frequentemente pelos controles internos (denúncias) e pela primeira linha de defesa (revisão por parte da administração). Uma resposta eficaz ao risco de fraude deve incluir múltiplas linhas de defesa, com o envolvimento do comitê de auditoria, da alta administração e dos setores de conformidade, jurídico, recursos humanos e auditoria interna. Dr. Al Faddagh compartilha sua opinião: “Precisamos pensar na gestão do risco de fraude como um processo. Nele, há responsabilidades compartilhadas entre a auditoria interna, a administração e as funções da segunda linha. Quando se trata da detecção, acredito que a auditoria interna tenha uma porção maior de responsabilidade do que ela tem pela prevenção de fraudes.” Sem uma abordagem coordenada, há um maior risco de falha em detectar fraudes e em reagir com eficácia após sua detecção. ● Documento 10 80% Detecção de Fraudes: Responsabilidade da Auditoria Interna (Visão por Porte do Departamento de Auditoria Interna) 60% 58% 61% 64% 54% 60% 40% 37% 27% 26% 25% 29% 20% 14% 13% 12% 9% 12% 0% 1 a 3 4 a 9 10 a 49 50 ou mais Média Toda ou maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidade Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar 100%. 10.542 participantes. Documento 11 Prevenção de Fraudes: Responsabilidade da Auditoria Interna (Visão por Porte do Departamento de Auditoria Interna) Toda ou maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidade Observação: Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar 100%. 10.540 participantes. 80% 60% 58% 58% 60% 57% 52% 40% 33% 26% 26% 23% 23% 19% 20% 16% 17% 15% 17% 0% 1 a 3 4 a 9 10 a 49 50 ou mais Média ● Método de Detecção % de casos Denúncias 42% Revisão da Administração 16% Auditoria Interna 14% Outros métodos, tais como por acidente, auditoria externa, agências de aplicação da lei, etc. 28% Documento 12 Formas de Detecção Inicial de Fraudes Fonte: ACFE 2014 Report to the Nations on Occupational Fraud and Abuse (Association of Certified Fraud Examiners, 2014), tradução livre da figura 11. Usada com permissão. Conclusão Pergunta 2: Até que ponto os auditores internos são responsáveis pela prevenção e detecção de fraudes? Não há apenas uma resposta correta. Depende amplamente da cultura e maturidade da organização, e da visão/posicionamento da auditoria interna dentro dela. Para organizações de menor porte, pode ser inviável manter equipes separadas de auditoria interna e investigações. No entanto, quando a auditoria interna se envolve extensivamente nas investigações de fraude, ela pode não ser capaz de agregar o máximo valor à organização. De acordo com o Presidente e CEO do IIA, Richard Chambers, o envolvimento nas investigações de fraude pode afetar ● os relacionamentos da auditoria interna dentro da organização. “Quando os auditores internos estão profundamente envolvidos em investigações que possam resultar em ações disciplinares contra executivos ou outros funcionários, pode ser difícil que os auditores internos sejam vistos, depois, como ‘conselheiros confiáveis’ que estão ‘ali para ajudar’, quando retomarem seu papel de auditoria interna,” diz.* Ainda assim, a auditoria interna deve considerar o risco de fraude na preparação de sua avaliação de risco, deve estar atenta a alertas durante os trabalhos e deve reagir de acordo com as políticas da organização e leis aplicáveis. * Richard Chambers, “Me Dangers to Internal Audit of Donning a ‘Black Hat.’” Obtido em: iaonline.theiia.org, 15 de Julho de 2014.
Compartilhar