RISCO

Reagindo ao Risco
de Fraude Closer Look

Explorando a Posição da Auditoria Interna

Farah G. Araj
CIA, CPA, CFE, QIAL

Patrocinado por
CBOK
The Global Internal Audit
Common Body of Knowledge
 A Responsabilidade da Auditoria
Interna pela Prevenção e
Detecção de Fraudes
s informações em alguns manuais
<Os resultados não
são inesperados.
A sugerem que a administração é
responsável por estabelecer e manter os
O Problema de Toda ou
Nenhuma Responsabilidade

controles internos (incluindo os O Documento 7 também mostra que

controles antifraude), enquanto os
Há níveis diferentes
auditores internos precisam avaliar os
de maturidade, tanto controles da administração e estar
atentos a alertas de fraude. A realidade
em entidades quanto é, frequentemente, diferente do ideal
dos manuais. Os resultados da pesquisa
em países, diferentes mostram que há, frequentemente, uma
responsabilidade compartilhada entre a
expectativas sociais, auditoria interna e a administração, no
que se trata do risco de fraude. Cerca de
assim como muitas
3 a cada 10 dos participantes da
variáveis que pesquisa dizem que a auditoria interna
tem “toda ou maior parte da
influenciam a responsabilidade” de detecção ou
prevenção de fraudes em suas
determinação do organizações, com cerca de 6 em cada
10 dizendo que têm “parte da
papel da auditoria responsabilidade” (veja o Documento
7). O documento mostra uma
interna em um probabilidade um pouco maior de que
os auditores internos sejam responsáveis
ambiente de negócios
pela detecção de fraudes do que pela
e tecnologia em prevenção de fraudes.
alguns participantes dizem que seus
departamentos de auditoria interna não
têm qualquer responsabilidade pela
detecção (12%) ou prevenção (17%) de
fraudes. Muitos líderes de auditoria
interna discordam desse conceito de
nenhuma responsabilidade, por parte da
auditoria interna, pela detecção de
fraudes. Lynn Fountain, autora da obra
Raise the Red Flag: An Internal Auditor’s
Guide to Detect and Prevent Fraud,
comentou que “Os auditores internos
precisam fazer um brainstorming dos
riscos de fraude como parte de qualquer
trabalho. Isso está nas Normas, mas os
auditores não o estão fazendo com
eficácia, na realidade.”
Na outra ponta da escala, 6% dos
participantes dizem que seus
departamentos de auditoria interna
assumem toda a responsabilidade pela
detecção e prevenção de fraudes (veja o
Documento 7). No entanto,

rápida mudança. ³ Documento 7

Responsabilidade da Auditoria Interna
pela Detecção ou Prevenção de Fraudes
—Bruce Turner, CAE
aposentado, ex-Presidente Detecção de 6%
23% 59% 12%
imediato do International Fraudes
Public Sector Committee e
Prevenção de 6%
Presidente do Comitê de Fraudes
21% 57% 17%
Auditoria do IIA–Australia
0% 20% 40% 60% 80% 100%

Total responsabilidade Parte da responsabilidade

Maior parte da responsabilidade Nenhuma responsabilidade

Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de

fraudes em sua organização? 11.431 participantes. Q56: Qual o grau de responsabilidade da
auditoria interna pela prevenção de fraudes em sua organização? 11.428 participantes. Devido
ao arredondamento, alguns totais podem não somar 100%.

●
 a responsabilidade total pela prevenção
<Dar à auditoria e detecção de fraudes vai contra o
interna toda ou a conceito de independência da auditoria
interna e contra o Modelo das Três
maior parte da Linhas de Defesa.* Ashar comentou,
“Não concordo com [a auditoria
responsabilidade
interna ter total responsabilidade pela
pela detecção de prevenção de fraudes]. Essa
responsabilidade é da administração e
fraudes é uma da primeira linha de defesa. No
entanto, em muitos casos, é esperada da
abordagem antiga,
auditoria interna a revisão do
e a coisa mais desenvolvimento dos controles internos,
antes que estes sejam implementados.
confortável que uma
Isso, de certa forma, faz parte da
prevenção de fraudes.” Da mesma
empresa pode fazer,
forma, é exigido dos auditores externos,
porque significa que por suas normas profissionais, que eles
avaliem, ao auditar as demonstrações
as outras áreas da
financeiras, o risco de distorção
relevante advindo de fraudes e erros.
organização não
Dar ao departamento de auditoria
interna toda a responsabilidade pela
serão desafiadas a
prevenção e detecção de fraudes vai
apoiar os esforços contra as Normas e as boas práticas.
de detecção de Os Auditores Internos de
fraudes.³ Empresas Privadas Estão Mais
Envolvidos no Risco de Fraude
—Jorge Badillo, A responsabilidade pela fraude também
Gerente de Auditoria é diferente de acordo com o tipo de
Interna, Sierra Gorda SCM, organização, com as empresas privadas
e Presidente da Federação
reportando altos níveis de envolvimento.
Latino-Americana de
Para a detecção de fraudes, 36% dos
Auditores Internos
participantes do setor privado dizem ter
toda ou maior parte da responsabilidade,
em comparação com a média de 29%
(Q55, 11.431 participantes). A lacuna é
maior para a prevenção de fraudes, com
35% do setor privado, em comparação
com a média de 26% (Q56, 11.428
participantes). Isso pode ser atribuído à
tendência de empresas privadas não
terem uma segunda linha de defesa (ex.,
as funções de gerenciamento de riscos e
compliance).
* Declaração de Posicionamento do IIA, As
Três Linhas de Defesa no Gerenciamento de
Riscos e Controle Eßcazes, Janeiro de 2013, 3-5.
Quando os auditores internos têm
responsabilidade por certos aspectos da
prevenção e detecção de fraudes, essas
responsabilidades incluem investigar
suspeitas de fraude, facilitar avaliações
do risco de fraude, monitorar o canal de
denúncias, auditar os controles
antifraude da administração e fornecer
treinamento de conscientização de
fraude.
As Regiões Diferem Muito
em Níveis de Responsabilidade
Os Documentos 8 e 9 mostram as
grandes diferenças entre as regiões. O
maior nível de responsabilidade pela
prevenção e detecção de fraudes é
reportado no Sul da Ásia (composto,
em sua maioria, por participantes da
Índia), onde cerca de 5 a cada 10
participantes dizem ter “toda ou maior
parte da responsabilidade (barras
verdes).” Outras regiões com altos níveis
de responsabilidade são Oriente Médio
e África do Norte, América Latina e
Caribe, e a África Subsaariana (de 31%
a 38%). Ashar explica como as
estruturas de regulamentação e controle
estão moldando o papel da auditoria
interna quanto à fraude na Índia: “A lei
indiana Companies Act de 2013 e o
COSO de 2013 puseram muita ênfase
na auditoria interna, com abordagem
direta à fraude. As empresas estão
investindo no estabelecimento de
departamentos de auditoria interna e no
desenvolvimento das capacidades dos já
existentes.”
Além disso, a cultura e maturidade
organizacional também têm grande
efeito nos resultados, explicou Owen
Purcell, parceiro líder da EY no EMEIA
Risk Centre of Excellence, no Reino
Unido. “No geral, quando examinamos
a Europa, vemos maturidade na forma
como as empresas gerenciam o risco de
fraude. A auditoria interna tem um
papel; no entanto, geralmente não estão
liderando o processo. A administração e
●
Documento 8 Detecção de Fraudes: Responsabilidade da Auditoria Interna (Visão Regional)

80% 77%

58% 58% 59%

60% 56%
49% 51%
48% 46%

40% 38%
35%
31%
29% 28% 29%

20% 15%
13% 14% 13% 13% 14%
12%
8%
6%

0%

Sul da Oriente Médio América Latina África Leste Asiático Europa América Média
Ásia e África do Norte e Caribe Subsaariana e Pacífico do Norte Global

Toda ou maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidade

Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de fraudes em sua organização? Devido ao
arredondamento, alguns totais podem não somar 100%. 11.281 participantes.

Documento 9 Prevenção de Fraudes: Responsabilidade da Auditoria Interna (Visão Regional)

80%

65%
58% 59%
60% 57%
54%
51% 52%

44%
42%
40% 38% 37%
31%
27% 26%
24% 24%
19%
20% 17% 17%
15% 15%
10% 11%
7%

0%
Sul da Oriente Médio América Latina África Leste Asiático Europa América Média
Ásia e África do Norte e Caribe Subsaariana e Pacífico do Norte Global

Toda ou maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidade

Observação: Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de fraudes em sua organização? Devido ao
arredondamento, alguns totais podem não somar 100%. 11.279 participantes.

●
a segunda linha de defesa (conformidade,
riscos, etc.) são responsáveis, em geral,
pelo controle e gestão do risco de
fraude”.
Purcell diz que as atitudes culturais
perante a fraude e a auditoria interna
também afetam o papel da auditoria
interna. “No Sul da Ásia e no Oriente
Médio, há uma crença de que a auditoria
interna deve sempre verificar a
possibilidade de fraude. Há diversas
camadas de aprovações e assinaturas,
com os auditores internos ‘verificando os
verificadores’. As funções de auditoria
interna estabelecidas no Oriente Médio
têm destaque em suas empresas e, como
resultado, a administração tenderia a
delegar maior responsabilidade pela
detecção de fraudes a elas.”
Departamentos Maiores Têm
Maior Responsabilidade
Os departamentos maiores de auditoria
interna tendem a assumir maior
responsabilidade por prevenir e detectar
fraudes do que departamentos menores.
Em organizações com mais de 50
auditores internos, 37% dos
participantes declararam ter “toda ou
maior parte da responsabilidade” pela
detecção de fraudes, em comparação
com a média global de 29% (veja o
Documento 10). Para a prevenção de
fraudes, os resultados foram parecidos,
com 33% das organizações com mais de
50 auditores internos assumindo toda ou
maior parte da responsabilidade, em
comparação com a média global de 26%
(veja o Documento 11).
Os resultados podem ser explicados
pela existência de especialistas em fraude
ou investigadores dedicados em
departamentos maiores de auditoria
interna, o que normalmente não pode
ser justificado em departamentos
menores, por conta das limitações de
custo. A existência desses especialistas ou
investigadores de fraude dedicados
aumenta a percepção de que a auditoria
interna deva fazer mais para prevenir e
detectar fraudes.
Além disso, as expectativas da
administração para as funções de
auditoria interna também têm um papel
a desempenhar. “Na minha experiência, a
maioria das empresas indianas não tem
um departamento separado e único de
investigação. Isso inclui empresas listadas.
A responsabilidade recai sobre a auditoria
interna e a expectativa da administração é
que a auditoria interna deve assumir um
papel de liderança em resposta ao risco de
fraude”, diz Ashar.
Uma Abordagem Coordenada ao
Risco de Fraude é a Melhor Opção
A auditoria interna não é o meio de
detecção de fraudes que mais prevalece,
de acordo com a Association of Certißed
Fraud Examiners (ACFE) (veja o
Documento 12). Em vez disso, a fraude é
detectada mais frequentemente pelos
controles internos (denúncias) e pela
primeira linha de defesa (revisão por
parte da administração).
Uma resposta eficaz ao risco de fraude
deve incluir múltiplas linhas de defesa,
com o envolvimento do comitê de
auditoria, da alta administração e dos
setores de conformidade, jurídico,
recursos humanos e auditoria interna.
Dr. Al Faddagh compartilha sua opinião:
“Precisamos pensar na gestão do risco de
fraude como um processo. Nele, há
responsabilidades compartilhadas entre a
auditoria interna, a administração e as
funções da segunda linha. Quando se
trata da detecção, acredito que a auditoria
interna tenha uma porção maior de
responsabilidade do que ela tem pela
prevenção de fraudes.” Sem uma
abordagem coordenada, há um maior
risco de falha em detectar fraudes e em
reagir com eficácia após sua detecção.
●
 Detecção de Fraudes: Responsabilidade da
Documento 10 Auditoria Interna (Visão por Porte do
Departamento de Auditoria Interna)
80%

64%
61% 60%
60% 58%
54%

40% 37%

29%
27% 26% 25%

20%
14% 13% 12% 12%
9%

0%
1a3 4a9 10 a 49 50 ou mais Média

Toda ou maior parte Parte da Nenhuma

da responsabilidade responsabilidade responsabilidade

Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de

fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar
100%. 10.542 participantes.

Prevenção de Fraudes: Responsabilidade da

Documento 11 Auditoria Interna (Visão por Porte do
Departamento de Auditoria Interna)
80%

58% 60%
60% 58% 57%
52%

40%
33%

26% 26%
23% 23%
19%
20% 16% 17% 17%
15%

0%
1a3 4a9 10 a 49 50 ou mais Média

Toda ou maior parte Parte da Nenhuma

da responsabilidade responsabilidade responsabilidade

Observação: Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de

fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar
100%. 10.540 participantes.

●
Documento 12 Formas de Detecção Inicial de Fraudes

% de
Método de Detecção
casos

Denúncias 42%

Revisão da Administração 16%

Auditoria Interna 14%

Outros métodos, tais como por acidente, auditoria externa, 28%

agências de aplicação da lei, etc.

Fonte: ACFE 2014 Report to the Nations on Occupational Fraud and Abuse (Association of
Certified Fraud Examiners, 2014), tradução livre da figura 11. Usada com permissão.

●
Conclusão

Pergunta 2: Até que ponto os auditores internos são responsáveis pela prevenção
e detecção de fraudes?

Não há apenas uma resposta correta. Depende amplamente da cultura e

maturidade da organização, e da visão/posicionamento da auditoria interna dentro
dela. Para organizações de menor porte, pode ser inviável manter equipes separadas de
auditoria interna e investigações. No entanto, quando a auditoria interna se envolve
extensivamente nas investigações de fraude, ela pode não ser capaz de agregar o máximo
valor à organização.
De acordo com o Presidente e CEO do IIA, Richard Chambers, o envolvimento nas
investigações de fraude pode afetar
os relacionamentos da auditoria interna dentro da organização. “Quando os auditores internos estão
profundamente envolvidos em investigações que possam resultar em ações disciplinares contra executivos ou outros
funcionários, pode ser difícil que os auditores internos sejam vistos, depois, como ‘conselheiros confiáveis’ que
estão ‘ali para ajudar’, quando retomarem seu papel de auditoria interna,” diz.* Ainda assim, a auditoria interna
deve considerar o risco de fraude na preparação de sua avaliação de risco, deve estar atenta a alertas durante os
trabalhos e deve reagir de acordo com as políticas da organização e leis aplicáveis.

* Richard Chambers, “Me Dangers to Internal Audit of Donning a ‘Black Hat.’” Obtido em: iaonline.theiia.org, 15 de Julho de 2014.