closer look explorando a posição da auditoria interna documents/responding-to-fraud... · favor,...
TRANSCRIPT
Closer Look
RISCO
Reagindo ao Riscode FraudeExplorando a Posição da Auditoria Interna
CBOKThe Global Internal Audit Common Body of Knowledge
Farah G. ArajCIA, CPA, CFE, QIAL
Patrocinado por
●
Sobre o CBOK
Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a pro�ssão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela �e IIA Research Foundation em 2006 (9.366 respostas) e 2010 (13.582 respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações pro�ssionais, �liais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia especí�ca. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em www.theiia.org/goto/CBOK para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados.
O
Pesquisa do Praticante CBOK 2015: Participação das Regiões Globais
8%
6%
14%
19%
5%
25%
23%
Américado Norte
AméricaLatina & Caribe
ÁfricaSubsaariana
Oriente Médio& Áfricado Norte
Europa& ÁsiaCentral
Sul daÁsia
Leste Asiático& Pacífico
Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de 2015. O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange.
FATOS DA PESQUISA
Participantes
Países
Idiomas
NÍVEIS DOS FUNCIONÁRIOS*
Chief audit executive (CAE)
Diretor
Gerente
Equipe
*As taxas podem variarpor pergunta.
14,518*
166
23
26%
13%
17%
44%
●
Conteúdos
Sumário Executivo 4
Introdução 5
1 O Foco Global no Risco de Fraude 7
2 A Responsabilidade da Auditoria Interna pelaPrevenção e Detecção de Fraudes
12
3 As Capacidades da Auditoria Interna naReação ao Risco de Fraude
18
4 Cinco Formas de Melhorar a Abordagem daAuditoria Interna ao Risco de Fraude
22
Anexo A: Sumário das Principais Descobertas 25
Áreas deConhecimento
do CBOK
Futuro
Governança
Gestão
Risco
Normas & Certificações
Talento
Tecnologia
PerspectivaGlobal
●
Sumário Executivo
O risco de fraude é uma realidade que todas as organizações encaram hoje em dia. Recentemente, grandes casos de fraude capturaram a atenção da mídia e o escrutínio de reguladores no mundo todo. Quando uma fraude séria ocorre em uma organização, a reputação da empresa pode ser prejudicada e, normalmente, há um realinhamento súbito das prioridades das partes interessadas. É nessa hora que, frequentemente, ouvimos a pergunta, “E onde estavam os auditores internos?” Reagindo ao Risco de Fraude: Explorando a Posição da Auditoria Interna oferece uma análise global atual da importância do risco de fraude para a auditoria interna e suas partes interessadas, do grau de responsabilidades da auditoria interna quanto à prevenção e detecção de fraudes, e das percepções das capacidades da auditoria interna na reação ao risco de fraude. As descobertas foram baseadas na Pesquisa Global do Praticante de Auditoria Interna CBOK 2015, a maior pesquisa de auditores internos do mundo, assim como em amplas entrevistas com líderes de auditoria interna de diversas regiões. Os auditores internos podem usar este relatório para educar suas partes interessadas, de�nir como a auditoria interna pode dar apoio aos esforços antifraude da organização, e desenvolver as capacidades da equipe de auditoria interna. O relatório é concluído com as cinco principais formas por meio das quais os chief audit executives (CAEs) podem melhorar sua abordagem ao risco de fraude em suas organizações.
●
A
O Que as Normas Dizem Sobre o Risco de Fraude?
●
●
●
Introdução
RECURSOS
Guia Prático, Auditing Anti-bribery and Anti-corruption Programs (Altamonte Springs, FL: The Institute of Internal Auditors, 2014).
Guia Prático, Internal Auditing and Fraud (Altamonte Springs, FL: The Institute of Internal Auditors, 2009).
Global Technology Audit Guide (GTAG) 13: Fraud Prevention and Detection in an Automated World (Altamonte Springs, FL: The Institute of Internal Auditors, 2009).
ntes de revisar as descobertas da pesquisa, é importante examinar os principais pontos de referência usados pelos auditores internos para de�nir seu papel com relação ao risco de fraude. Em primeiro lugar, examinamos os materiais do IIA e, então, examinaremos o novo princípio da obra Controle Interno - Estrutura Integrada atualizada do COSO (Committee of Sponsoring Organizations of the Treadway Commission).
As Normas Internacionais para a Prática Pro�ssional de Auditoria Interna (Normas) do IIA de�nem fraude como:
Quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de con�ança. Estes atos não implicam o uso de ameaça de violência ou de força física. As fraudes são perpetradas por partes e organizações, a �m de se obter dinheiro, propriedade ou serviços; para evitar pagamento ou perda de serviços; ou para garantir vantagem pessoal ou em negócios.
Esta é uma de�nição ampla, que inclui uma variedade de tipos de fraudes, incluindo suborno e corrupção. Adicionalmente, esta de�nição não diferencia as fraudes executadas por partes internas à organização (funcionários, administração, etc.) daquelas externas à organização (fornecedores, clientes, etc.). Consequentemente, se combinarmos a fraude com a de�nição de risco nas Normas, o risco de fraude poderia ser de�nido como “a possibilidade de ocorrência de fraude que terá impacto sobre o atingimento dos objetivos”. Com esta de�nição em mente, examinemos o que as Normas dizem sobre a responsabilidade da auditoria interna no que tange ao risco de fraude. As normas mais relevantes são as que seguem (não é uma lista abrangente; ênfase acrescentada):
1210: Pro�ciência (1210.A2) - Os auditores internos devem possuir conhecimento su�ciente para avaliar o risco de fraude e a maneira como é gerenciado pela organização, porém não se espera que possuam a especialização de uma pessoa cuja principal responsabilidade seja detectar e investigar fraudes.
2120: Gerenciamento de Riscos (2120.A2) - A atividade de auditoria interna deve avaliar o potencial de ocorrência de fraude e como a organização gerencia o risco de fraude.
2210: Objetivos do Trabalho de Auditoria (2210.A2) - Os auditores internos devem considerar a probabilidade de erros signi�cativos, fraudes, não conformidades e outras exposições ao desenvolver os objetivos do trabalho.
●
Como os Auditores Internos Estão Abordando Hoje o Risco de Fraude?
Pergunta 1: Qual a importância do risco de fraude para a gerência executiva e CAEs?
Pergunta 2: Até que ponto os auditores internos são responsáveis pela prevençãoe detecção de fraudes?
Pergunta 3: Os auditores internos são capazes de reagir ao risco de fraude?
O Que o COSO Diz Sobre o Risco de Fraude?
Documento 1 Controle Interno – Estrutura Integrada, Princípio 8,que avalia o risco de fraude
O Princípio 8 da Controle Interno – Estrutura Integrada do COSO (2013) diz:
A organização considera o potencial de fraude na avaliação dos riscosao atingimento dos objetivos.
Este princípio é melhor explicado em quatro pontos de foco recomendados:
1
2
3
4
Fonte: Tradução livre de trecho da obra Internal Control – Integrated Framework (Committeeof Sponsoring Organizations of the Treadway Commission (COSO), 2013). Usado com permissão.
Além disso, há outras normas que incluem fraude e há normas relativas ao papel da auditoria interna na avaliação da ética e dos valores da empresa, o que também impacta a e�cácia de como o risco de fraude é gerido.
Outra fonte importante de perspectiva é o novo Princípio 8 da Controle Interno - Estrutura Integrada atualizada do COSO. O fato de que a estrutura atualizada inclui um princípio dedicado ao risco de fraude é outro sinal de que a conscientização do risco de fraude está crescendo. O Documento 1 mostra o novo princípio e os quatro pontos de ação recomendados que podem ser aplicados pelos auditores internos em todos os níveis da organização.
Considera vários tipos de fraude. A avaliação da fraude considera oreporte fraudulento, possível perda de ativos e corrupção derivada dasvárias formas de fraude e má conduta que podem ocorrer.
Avalia incentivos e pressões. A avaliação do risco de fraude consideraincentivos e pressões.
Avalia oportunidades. A avaliação do risco de fraude considera oportuni-dades de aquisição, uso ou disposição não autorizados de ativos, alteraçãodos registros de reporte da organização, ou outras ações inapropriadas.
Avalia atitudes e racionalizações. A avaliação do risco de fraudeconsidera como a administração e outros funcionários podem se envolverou justificar ações inapropriadas.
Mantendo o papel da auditoria interna em mente, examinemos o que a pesquisa nos diz sobre como os auditores internos estão, de fato, envolvidos em lidar com o risco de fraude.
Em resposta a estas descobertas, a seção 4 deste relatório fornece cinco passos principais que os auditores internos podem dar para melhorar sua e�cácia ao lidar com o risco de fraude.
●
O
1.
2.
3.
4.
A Auditoria Interna Pode Priorizar o Riscode Fraude Mais do Que a Administração
1 O Foco Global no Risco de Fraude
0%
10%
20%
30%
50%
60%
LacunaGerência executivaAuditoria interna
Documento 2 Fraude Escolhida como uma das 5 Prioridades de Risco em 2015 (Visão Regional)
36%
25%
19%
26%
19%21%
9%
19%
53%
39%
33%31% 30% 29%
22%
31%
17%14% 14%
5%
11%8%
13% 12%
O risco de fraude como um dos cinco principais riscos organizacionais
A investigação de fraudes como uma atividade de valor agregado para a auditoria interna
O risco de fraude como parte dos planos de auditoria interna
O recrutamento de habilidades de risco de fraude
CAEs que responderam à pesquisa classi�caram os cinco principais riscos nos quais a gerência executiva e a auditoria interna estão se concentrando. Globalmente, apenas 19% acreditam que sua gerência executiva se concentre na fraude como um dos cinco principais riscos, enquanto 31% dizem que a auditoria interna tem foco na fraude como um dos cinco riscos principais (veja o Documento 2). Em outras palavras, a auditoria interna dá maior ênfase ao risco de fraude do que acreditam que a gerência executiva faça.
40%
MédiaGlobal
Sul daÁsia
Leste Asiáticoe Pacífico
Américado Norte
Oriente Médioe África do Norte
EuropaAmérica Latinae Caribe
ÁfricaSubsaariana
Observação: Q66: Por favor, identifique os cinco principais riscos nos quais seu departamento de auditoria interna está focando o maior nível de atenção em 2015. Tópico: Fraude não coberta em outras auditorias. CAEs apenas. 2.704 participantes. Q65: Porfavor, identifique os cinco principais riscos nos quais sua gerência executiva está focando o maior nível de atenção em 2015.Tópico: Fraude não coberta em outras auditorias. CAEs apenas. 2.705 participantes.
s auditores internos estão amplamente envolvidos em lidar com o risco de fraude em suas organizações e esta seção do relatório explora suas respostas às perguntas da pesquisa quanto aos tópicos a seguir:
●
O Sul da Ásia tem Maior Focono Risco de Fraude
O Foco no Risco de Fraude é Maiorem Empresas Privadas
0% 10% 20% 30% 40% 50%
Média global
Setor financeiro (privado e público)
Setor público (incluindo agênciase operações mantidas pelo governo)
Organização sem fins lucrativos
Pública(excluindo setor financeiro)
Privada(excluindo setor financeiro)
38%
34%
33%
28%
24%
31%
Documento 3 Fraude Escolhida como uma das 5 Prioridades de Riscopara a Auditoria Interna em 2015 (Visão Organizacional)
❝ O tom no topo é
crítico para a
resposta ao risco de
fraude. Se um CEO
declara em reuniões
que fraudes não
serão toleradas e
que será impiedoso
no tratamento dos
perpetradores, este
tom no topo
transmitirá uma
mensagem muito
forte e positiva por
toda a organização.❞
—Dr. Khalid Al Faddagh, ex-CAE,
Saudi Aramco
Conforme demonstrado pelas barras douradas no Documento 2, a lacuna entre as prioridades percebidas foi maior no Sul da Ásia (17%) e menor na África Subsaariana (5%). Essas lacunas podem indicar situações nas quais a auditoria interna não esteja alinhada com as expectativas da gerência executiva.
Globalmente, o maior foco no risco de fraude parece ser dado no Sul da Ásia, onde a grande maioria das respostas à pesquisa vem da Índia. “A Índia está em um período de transformação, conforme muitas empresas são listadas no exterior”, disse Umesh Ashar, gerente geral sênior – auditoria interna na Tata Motors Limited em Mumbai, Índia. “A nova lei Companies Act colocou grandes responsabilidades sobre o comitê de auditoria e exige que o auditor estatutário de empresas de capital aberto reporte qualquer fraude ao governo central. Portanto, a gerência executiva está muito interessada em
evitar o risco reputacional e em garantir que o risco de fraude seja abordado e tratado apropriadamente.” Com relação aos resultados do Oriente Médio, Dr. Khalid Al Faddagh, ex-CAE da Saudi Aramco, disse, “Estou surpreso e preocupado que o risco de fraude não tenha aparecido como um dos cinco principais na região. É possível que os executivos participantes estejam em negação e acreditem que a fraude apenas aconteça em outras empresas e países da região”.
Além disso, o risco de fraude não é citado como um dos principais em qualquer região, indústria, tipo de organização, etc. No entanto, os auditores internos em empresas privadas dão maior prioridade ao risco de fraude do que aqueles em outros tipos de organização, com 38% escolhendo tal risco como um dos cinco principais, em comparação com a média global de 31% (veja o Documento 3).
Observação: Q66: Por favor, identifique os cinco principais riscos nos quais seu departamentode auditoria interna está focando o maior nível de atenção em 2015. CAEs apenas. 2.742 participantes.
●
A Investigação de Fraude AgregaValor Depois de Outras Atividades
* Marco Allegrini et al., What’s Next for Internal Auditing? Relatório IV da Pesquisa
Institute of Internal Auditors Research Foundation, 2011), 33.
O Risco de Fraude é uma PequenaPorção dos Planos de Auditoria;Esperam-se Aumentos
Documento 4 Principais Formas por Meio das Quais a Auditoria Interna Agrega Valor
86%
Recomendando a melhoria do negócio 55%
Avaliando os processos de gerenciamento de riscos da organização 53%
Avaliando a conformidade regulatória 50%
Informando e aconselhando a administração 40%
Identificando riscos emergentes 37%
Avaliando os processos de governança da organização 37%
Investigando ou dissuadindo fraudes 29%
Informando e aconselhando o comitê de auditoria 28%
Testando a avaliação dos controles por parte da administração 23%
Na Pesquisa Global de Auditoria Interna CBOK 2010, 71% dos participantes disseram conduzir “investigações de fraudes e irregularidades” como parte de suas atividades.* A crise �nanceira global foi citada como um dos motivos para o alto nível da atividade. A pesquisa de 2015 pediu aos CAEs que listassem as cinco atividades que mais agregam valor à auditoria interna em suas organizações, a partir de uma lista que incluía a opção “investigar ou dissuadir fraudes”. Ao responder tal pergunta, apenas 3 a cada 10 escolheram “investigar ou dissuadir fraudes” como uma das cinco principais atividades agregadoras de valor (veja o Documento 4). Isso não é inesperado, porque detectar e investigar fraudes toma tempo considerável e redireciona esforços de auditoria interna de questões organizacionais importantes.
Apenas um pequeno número de participantes da pesquisa (4,5%) disse ter treinamento especializado em fraude e dedicar a maior parte de seu tempo ao trabalho nesta área (Q11, 12.716 participantes). Isso é relativamente consistente em todos os níveis/posições, tipos de organização, número de funcionários na auditoria interna e tipo de indústria. De forma similar, examinando os planos de auditoria interna, apenas 3,5% são compostos de “risco de fraude não coberto em outras auditorias” (veja o Documento 5). Isso é relativamente consistente em todos os tipos de organização, número de funcionários na auditoria interna e tipo de indústria. Além disso, apenas 25% dos CAEs do mundo acreditam que o foco da auditoria interna no risco de fraude aumentará em 2015, em comparação com o ano anterior (veja o Documento
6). Regionalmente, no entanto, essa porcentagem aumenta para cerca de 40%
Garantindo a adequação e eficácia do sistema de controle interno
Observação: Q89: Quais são as cinco principais atividades que agregam o maior valor à suaorganização? (Escolha até cinco.) CAEs apenas. 2.636 participantes.
CBOK 2010 (Altamonte Springs, FL: �e
●
Documento 5 O Risco de Fraude no Plano de Auditoria
Operacional 24.5%
Conformidade/regulatório 14.9%
12.1%
Riscos estratégicos do negócio 10.8%
Tecnologia da Informação (TI), não coberta em outras auditorias 8.3%
Financeiros gerais 6.7%
Governança corporativa 6.2%
Fraude não coberta em outras auditorias 3.5%
Outros (em especial, solicitações, treinamento, etc.) 3.3%
Redução ou contenção de custos/gastos 3.2%
Teste ou apoio à Sarbanes-Oxley (Estados Unidos apenas) 2.8%
Relacionamentos com terceiros 2.4%
Gestão de crises 1.2%
Total 100.0%
Documento 6 CAEs Que Esperam um Aumento no Foco daAuditoria Interna Sobre o Risco de Fraude
Média Global
América do Norte
Europa
Leste Asiático e Pacífico
América Latina e Caribe
Oriente Médio eÁfrica do Norte
Sul da Ásia
África Subsaariana
0% 10% 20% 30% 40% 50%
41%
39%
37%
31%
27%
23%
12%
25%
Observação: Q49: Qual porcentagem de seu plano de auditoria de 2015 corresponde a cadauma das categorias gerais de riscos a seguir? CAEs apenas. 2.677 participantes.
Avaliação/eficácia do gerenciamento de riscos
Observação: Q50: Em comparação com 2014, indique se o foco de auditoria em cada uma dasáreas a seguir aumentará, permanecerá o mesmo ou diminuirá. Tópico: Fraude não coberta emoutras auditorias. CAEs apenas. 2.476. participantes
●
As Habilidades de Risco de FraudeEstão Sendo RecrutadasModeradamente
Conclusãona África Subsaariana e Sul da Ásia. De acordo com Bruce Turner, CAE aposentado, ex-presidente imediato do International Public Sector Committee do IIA e presidente do Comitê de Auditoria do IIA-Austrália, “A auditoria interna precisa dedicar tempo adequado, em seus planos, a cobrir todos os fatores básicos (incluindo o risco de fraude) e, então, provisionar a cobertura das áreas mais interessantes, emergentes e estratégicas de risco.”
As habilidades buscadas para os departamentos de auditoria interna também são indicadores do foco geral no risco de fraude. Apesar dos CAEs buscarem contratar auditores internos com habilidades em auditoria de fraude e em investigações forenses e de outras naturezas, essas habilidades não estão entre as cinco principais que estão contratando. Apenas 23% dos CAEs escolheram “auditoria de fraude” como uma das cinco principais habilidades que estão recrutando ou desenvolvendo em seus departamentos de auditoria interna. Uma categoria parecida, “investigações forenses e demais”, foi selecionada como uma das cinco principais habilidades por apenas 15% dos CAEs. Os grupos com maior ênfase na auditoria de fraude são da América Latina (31%) e da indústria de construção (30%), enquanto para investigações forenses e demais, a maior ênfase é dada na África Subsaariana (29%) e Sul da Ásia (26%) (Q30, 3.288 participantes).
Pergunta 1: Qual a importânciado risco de fraude para a gerênciaexecutiva e CAEs?
Em valor nominal, a fraude não parece se destacar em termos de foco por parte da gerência executiva ou CAEs. No entanto, vale notar que certos regulamentos, tais como a lei americana Sarbanes-Oxley de 2002, foram implementados como um resultado da fraude. Há um bom volume de esforços antifraude dedicados à conformidade a partir deste regulamento. Por conta da Controle Interno – Estrutura Integrada de 2013 do COSO, os auditores externos vêm dedicando mais tempo ao Princípio 8 e à adequação da avaliação do risco de fraude por parte da administração. Em mercados em desenvolvimento ou emergentes, os CAEs dão maior ênfase ao risco de fraude. O mesmo é aplicável a organizações privadas. Apesar de uma grande parte dos esforços de auditoria interna não ser dedicada estritamente ao risco de fraude, os auditores internos devem ter em mente que o risco de fraude pode ter sérias consequências para uma organização ou um departamento de auditoria interna. “Em Espanhol, temos uma frase típica: ‘abra o guarda-chuva antes que a chuva chegue’”, diz Jorge Badillo, gerente de auditoria interna na Sierra Gorda SCM e presidente da Federação Latino-Americana de Auditores Internos.
●
A O Problema de Toda ouNenhuma Responsabilidade
2 A Responsabilidade da AuditoriaInterna pela Prevenção e Detecção de Fraudes
Documento 7 Responsabilidade da Auditoria Internapela Detecção ou Prevenção de Fraudes
0% 20% 40% 60% 80% 100%
Detecção deFraudes
Prevenção deFraudes
Nenhuma responsabilidade
Parte da responsabilidade
Maior parte da responsabilidade
Total responsabilidade
6%
6%
23%
21%
59%
57%
12%
17%
❝ Os resultados não
são inesperados.
Há níveis diferentes
de maturidade, tanto
em entidades quanto
em países, diferentes
expectativas sociais,
assim como muitas
variáveis que
influenciam a
determinação do
papel da auditoria
interna em um
ambiente de negócios
e tecnologia em
rápida mudança.❞
—Bruce Turner, CAEaposentado, ex-Presidente
imediato do InternationalPublic Sector Committee e
Presidente do Comitê deAuditoria do IIA–Australia
Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção defraudes em sua organização? 11.431 participantes. Q56: Qual o grau de responsabilidade daauditoria interna pela prevenção de fraudes em sua organização? 11.428 participantes. Devidoao arredondamento, alguns totais podem não somar 100%.
s informações em alguns manuais sugerem que a administração é responsável por estabelecer e manter os controles internos (incluindo os controles antifraude), enquanto os auditores internos precisam avaliar os controles da administração e estar atentos a alertas de fraude. A realidade é, frequentemente, diferente do ideal dos manuais. Os resultados da pesquisa mostram que há, frequentemente, uma responsabilidade compartilhada entre a auditoria interna e a administração, no que se trata do risco de fraude. Cerca de 3 a cada 10 dos participantes da pesquisa dizem que a auditoria interna tem “toda ou maior parte da responsabilidade” de detecção ou prevenção de fraudes em suas organizações, com cerca de 6 em cada 10 dizendo que têm “parte da responsabilidade” (veja o Documento
7). O documento mostra uma probabilidade um pouco maior de que os auditores internos sejam responsáveis pela detecção de fraudes do que pela prevenção de fraudes.
O Documento 7 também mostra que alguns participantes dizem que seus departamentos de auditoria interna não têm qualquer responsabilidade pela detecção (12%) ou prevenção (17%) de fraudes. Muitos líderes de auditoria interna discordam desse conceito de nenhuma responsabilidade, por parte da auditoria interna, pela detecção de fraudes. Lynn Fountain, autora da obra Raise the Red Flag: An Internal Auditor’s Guide to Detect and Prevent Fraud, comentou que “Os auditores internos precisam fazer um brainstorming dos riscos de fraude como parte de qualquer trabalho. Isso está nas Normas, mas os auditores não o estão fazendo com e�cácia, na realidade.” Na outra ponta da escala, 6% dos participantes dizem que seus departamentos de auditoria interna assumem toda a responsabilidade pela detecção e prevenção de fraudes (veja o Documento 7). No entanto,
●
❝
❞
Os Auditores Internos deEmpresas Privadas Estão MaisEnvolvidos no Risco de Fraude
Dar à auditoria
interna toda ou a
maior parte da
responsabilidade
pela detecção de
fraudes é uma
abordagem antiga,
e a coisa mais
confortável que uma
empresa pode fazer,
porque significa que
as outras áreas da
organização não
serão desafiadas a
apoiar os esforços
de detecção de
fraudes.
—Jorge Badillo,Gerente de Auditoria
Interna, Sierra Gorda SCM,e Presidente da Federação
Latino-Americana deAuditores Internos
a responsabilidade total pela prevenção e detecção de fraudes vai contra o conceito de independência da auditoria interna e contra o Modelo das Três Linhas de Defesa.* Ashar comentou, “Não concordo com [a auditoria interna ter total responsabilidade pela prevenção de fraudes]. Essa responsabilidade é da administração e da primeira linha de defesa. No entanto, em muitos casos, é esperada da auditoria interna a revisão do desenvolvimento dos controles internos, antes que estes sejam implementados. Isso, de certa forma, faz parte da prevenção de fraudes.” Da mesma forma, é exigido dos auditores externos, por suas normas pro�ssionais, que eles avaliem, ao auditar as demonstrações �nanceiras, o risco de distorção relevante advindo de fraudes e erros. Dar ao departamento de auditoria interna toda a responsabilidade pela prevenção e detecção de fraudes vai contra as Normas e as boas práticas.
A responsabilidade pela fraude também é diferente de acordo com o tipo de organização, com as empresas privadas reportando altos níveis de envolvimento. Para a detecção de fraudes, 36% dos participantes do setor privado dizem ter toda ou maior parte da responsabilidade, em comparação com a média de 29% (Q55, 11.431 participantes). A lacuna é maior para a prevenção de fraudes, com 35% do setor privado, em comparação com a média de 26% (Q56, 11.428 participantes). Isso pode ser atribuído à tendência de empresas privadas não terem uma segunda linha de defesa (ex., as funções de gerenciamento de riscos e compliance).
* Declaração de Posicionamento do IIA, AsTrês Linhas de Defesa no Gerenciamento deRiscos e Controle E�cazes, Janeiro de 2013, 3-5.
Quando os auditores internos têm responsabilidade por certos aspectos da prevenção e detecção de fraudes, essas responsabilidades incluem investigar suspeitas de fraude, facilitar avaliações do risco de fraude, monitorar o canal de denúncias, auditar os controles antifraude da administração e fornecer treinamento de conscientização de fraude.
As Regiões Diferem Muitoem Níveis de Responsabilidade
Os Documentos 8 e 9 mostram as grandes diferenças entre as regiões. O maior nível de responsabilidade pela prevenção e detecção de fraudes é reportado no Sul da Ásia (composto, em sua maioria, por participantes da Índia), onde cerca de 5 a cada 10 participantes dizem ter “toda ou maior parte da responsabilidade (barras verdes).” Outras regiões com altos níveis de responsabilidade são Oriente Médio e África do Norte, América Latina e Caribe, e a África Subsaariana (de 31% a 38%). Ashar explica como as estruturas de regulamentação e controle estão moldando o papel da auditoria interna quanto à fraude na Índia: “A lei indiana Companies Act de 2013 e o COSO de 2013 puseram muita ênfase na auditoria interna, com abordagem direta à fraude. As empresas estão investindo no estabelecimento de departamentos de auditoria interna e no desenvolvimento das capacidades dos já existentes.” Além disso, a cultura e maturidade organizacional também têm grande efeito nos resultados, explicou Owen Purcell, parceiro líder da EY no EMEIA Risk Centre of Excellence, no Reino Unido. “No geral, quando examinamos a Europa, vemos maturidade na forma como as empresas gerenciam o risco de fraude. A auditoria interna tem um papel; no entanto, geralmente não estão liderando o processo. A administração e
●
Documento 8 Detecção de Fraudes: Responsabilidade da Auditoria Interna (Visão Regional)
Toda ou maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidade
0%
20%
40%
60%
48%
38%35%
31% 29% 28%
15%
29%
46%49% 51%
56% 58% 58%
77%
59%
6%
13% 14% 13% 13% 14%
8%12%
0%
20%
40%
60%
51%
38% 37%
31%27%
24%
11%
26%
42%
52%
44%
54%58% 59%
65%
57%
7%10%
19%15% 15%
17%
24%
17%
MédiaGlobal
Sul daÁsia
Leste Asiáticoe Pacífico
Américado Norte
Oriente Médioe África do Norte
EuropaAmérica Latinae Caribe
ÁfricaSubsaariana
80%
Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de fraudes em sua organização? Devido aoarredondamento, alguns totais podem não somar 100%. 11.281 participantes.
Observação: Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de fraudes em sua organização? Devido aoarredondamento, alguns totais podem não somar 100%. 11.279 participantes.
80%
Toda ou maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidade
MédiaGlobal
Sul daÁsia
Leste Asiáticoe Pacífico
Américado Norte
Oriente Médioe África do Norte
EuropaAmérica Latinae Caribe
ÁfricaSubsaariana
Documento 9 Prevenção de Fraudes: Responsabilidade da Auditoria Interna (Visão Regional)
●
Departamentos Maiores TêmMaior Responsabilidade
a segunda linha de defesa (conformidade, riscos, etc.) são responsáveis, em geral, pelo controle e gestão do risco de fraude”. Purcell diz que as atitudes culturais perante a fraude e a auditoria interna também afetam o papel da auditoria interna. “No Sul da Ásia e no Oriente Médio, há uma crença de que a auditoria interna deve sempre veri�car a possibilidade de fraude. Há diversas camadas de aprovações e assinaturas, com os auditores internos ‘veri�cando os veri�cadores’. As funções de auditoria interna estabelecidas no Oriente Médio têm destaque em suas empresas e, como resultado, a administração tenderia a delegar maior responsabilidade pela detecção de fraudes a elas.”
Os departamentos maiores de auditoria interna tendem a assumir maior responsabilidade por prevenir e detectar fraudes do que departamentos menores. Em organizações com mais de 50 auditores internos, 37% dos participantes declararam ter “toda ou maior parte da responsabilidade” pela detecção de fraudes, em comparação com a média global de 29% (veja o Documento 10). Para a prevenção de fraudes, os resultados foram parecidos, com 33% das organizações com mais de 50 auditores internos assumindo toda ou maior parte da responsabilidade, em comparação com a média global de 26% (veja o Documento 11). Os resultados podem ser explicados pela existência de especialistas em fraude ou investigadores dedicados em departamentos maiores de auditoria interna, o que normalmente não pode ser justi�cado em departamentos menores, por conta das limitações de custo. A existência desses especialistas ou
Uma Abordagem Coordenada aoRisco de Fraude é a Melhor Opção
A auditoria interna não é o meio de detecção de fraudes que mais prevalece, de acordo com a Association of Certi�ed Fraud Examiners (ACFE) (veja o Documento 12). Em vez disso, a fraude é detectada mais frequentemente pelos controles internos (denúncias) e pela primeira linha de defesa (revisão por parte da administração). Uma resposta e�caz ao risco de fraude deve incluir múltiplas linhas de defesa, com o envolvimento do comitê de auditoria, da alta administração e dos setores de conformidade, jurídico, recursos humanos e auditoria interna. Dr. Al Faddagh compartilha sua opinião: “Precisamos pensar na gestão do risco de fraude como um processo. Nele, há responsabilidades compartilhadas entre a auditoria interna, a administração e as funções da segunda linha. Quando se trata da detecção, acredito que a auditoria interna tenha uma porção maior de responsabilidade do que ela tem pela prevenção de fraudes.” Sem uma abordagem coordenada, há um maior risco de falha em detectar fraudes e em reagir com e�cácia após sua detecção.
investigadores de fraude dedicados aumenta a percepção de que a auditoria interna deva fazer mais para prevenir e detectar fraudes. Além disso, as expectativas da administração para as funções de auditoria interna também têm um papel a desempenhar. “Na minha experiência, a maioria das empresas indianas não tem um departamento separado e único de investigação. Isso inclui empresas listadas. A responsabilidade recai sobre a auditoria interna e a expectativa da administração é que a auditoria interna deve assumir um papel de liderança em resposta ao risco de fraude”, diz Ashar.
Documento 10 Detecção de Fraudes: Responsabilidade daAuditoria Interna (Visão por Porte doDepartamento de Auditoria Interna)
0%
20%
40%
60%
80%
Toda ou maior parteda responsabilidade
Parte daresponsabilidade
Nenhumaresponsabilidade
Média50 ou mais10 a 494 a 91 a 3
27% 26% 25%
37%
29%
58%61%
64%
54%
60%
14% 13% 12%9%
12%
Documento 11
0%
20%
40%
60%
80%
Média50 ou mais10 a 494 a 91 a 3
Toda ou maior parteda responsabilidade
Parte daresponsabilidade
Nenhumaresponsabilidade
26%23% 23%
33%
26%
58% 58% 60%
52%
57%
16%19%
17% 15%17%
Prevenção de Fraudes: Responsabilidade daAuditoria Interna (Visão por Porte doDepartamento de Auditoria Interna)
Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção defraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar100%. 10.542 participantes.
Observação: Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção defraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar100%. 10.540 participantes.
●
●
Conclusão
Documento 12 Formas de Detecção Inicial de Fraudes
Método de Detecção% decasos
Denúncias 42%
Revisão da Administração 16%
Auditoria Interna 14%
Outros métodos, tais como por acidente, auditoria externa, agências de aplicação da lei, etc.
28%
Fonte: ACFE 2014 Report to the Nations on Occupational Fraud and Abuse (Association of Certified Fraud Examiners, 2014), tradução livre da figura 11. Usada com permissão.
Pergunta 2: Até que ponto osauditores internos são responsáveispela prevenção e detecção de fraudes?
Não há apenas uma resposta correta. Depende amplamente da cultura e maturidade da organização, e da visão/posicionamento da auditoria interna dentro dela. Para organizações de menor porte, pode ser inviável manter equipes separadas de auditoria interna e investigações. No entanto, quando a auditoria interna se envolve extensivamente nas investigações de fraude, ela pode não ser capaz de agregar o máximo valor à organização. De acordo com o Presidente e CEO do IIA, Richard Chambers, o envolvimento nas investigações de fraude pode afetar
os relacionamentos da auditoria interna dentro da organização. “Quando os auditores internos estão profundamente envolvidos em investigações que possam resultar em ações disciplinares contra executivos ou outros funcionários, pode ser difícil que os auditores internos sejam vistos, depois, como ‘conselheiros con�áveis’ que estão ‘ali para ajudar’, quando retomarem seu papel de auditoria interna,” diz.* Ainda assim, a auditoria interna deve considerar o risco de fraude na preparação de sua avaliação de risco, deve estar atenta a alertas durante os trabalhos e deve reagir de acordo com as políticas da organização e leis aplicáveis.
* Richard Chambers, “�e Dangers to InternalAudit of Donning a ‘Black Hat.’” Obtido em:iaonline.theiia.org, 15 de Julho de 2014.
●
O Os Auditores Internos ParecemConfiantes em Suas Habilidadesde Risco de Fraude
3 As Capacidades da AuditoriaInterna na Reação aoRisco de Fraude
0%
10%
20%
30%
40%
5-Especialista
4-Avançado
3-Competente
2-Treinado
1-Iniciante
Incorporação das consideraçõesde ética e fraude aos trabalhos
de auditoria
Apoio à conscientizaçãodo risco de fraude
Documento 13 Níveis de Habilidade deCompetências Relativas à Fraude
7%
4%
13%
8%
34%
28%
31%32%
17%
28%
s auditores internos são capazes de reagir ao risco de fraude? Eles têm as habilidades certas? Esta seção analisa as capacidades dos auditores internos em relação à resposta ao risco de fraude. Ela discute como os auditores internos avaliam suas capacidades relativas ao risco de fraude, qual porcentagem dos auditores internos tem certi�cações relativas a fraude e até que ponto os auditores internos utilizam a análise de dados para detectar e prevenir fraudes.
Os auditores internos parecem con�antes quanto à incorporação do risco de fraude em seus trabalhos e quanto ao apoio à conscientização do risco de fraude, apesar de apenas uma porção muito pequena (5%) dos participantes ter tido treinamento formal relativo à fraude e dedicar a maior parte de seu tempo ao trabalho nessa área
Observação: Estime sua proficiência em cada competência, usando a escala a seguir:1-Iniciante; 2-Treinado; 3-Competente; 4-Avançado; 5-Especialista. Q81: Tópico: Apoio àconscientização do risco de fraude (11.090 participantes) e Q83: Incorporação dasconsiderações de ética e fraude aos trabalhos de auditoria (11.204 participantes).
●
❝ Se sua política
de fraude ou seu
estatuto de
auditoria interna
diz que você tem
responsabilidades
de investigação
de fraude, você
precisa ter a
capacidade de
contratar ajuda
ou de contar com
as habilidades
internamente; do
contrário,
não o faça.❞—Lynn Fountain,
Autora de Raise the
Red Flag: An Internal Auditor’s Guide to
Detect and Prevent Fraud
RECURSO
Lynn Fountain, Raise the Red Flag: An Internal Auditor’s Guide to Detect and Prevent Fraud (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2015).
0% 5% 10% 15% 20%
Europa
Oriente Médio eÁfrica do Norte
América do Norte 15%
8%
4%
4%
3%
3%
2%
6%
Documento 14 Participantes com Certificações de Fraude
Média Global
Leste Asiáticoe Pacífico
América Latinae Caribe
Sul da Ásia
África Subsaariana
programas antifraude e esquemas de fraude emergentes”, diz Turner.
Apenas 6% dos auditores internos do mundo (5% em 2010) têm uma certi�cação de examinador de fraude, como a certi�cação certi�ed fraud examiner (CFE) da ACFE (veja o Documento 14). A região com maior taxa de auditores internos com certi�cações de exame de fraude foi a América do Norte, com 15%, seguida pelo Oriente Médio, com 8%. As demais regiões do mundo tiveram uma média de cerca de 3%. Adicionalmente, na Pesquisa Global de Auditoria Interna CBOK 2010, 11% dos participantes disseram planejar obter uma certi�cação de exame de fraude. Parece que muito poucos realizaram este plano ao longo dos últimos cinco anos. Isso não é de surpreender, porque os auditores internos normalmente buscam credenciais de auditoria interna, tais
Observação: Q13: Quais certificações profissionais você tem em áreas que não sejamauditoria interna? (Escolha todas as aplicáveis.) Tópico: Exame de fraude (como CFE).12.716 participantes.
(Q11, 12.716 participantes). Cerca de 6 em cada 10 participantes acreditam ter conhecimento avançado ou especializado quanto à incorporação de considerações de ética e fraude nos trabalhos de auditoria, e outros 5 a cada 10 pensam o mesmo sobre apoiar a conscientização do risco de fraude (veja as barras dourada e roxa no Documento 13). Esse nível de con�ança pode indicar que os auditores internos não estão cientes do conhecimento especializado necessário para responder com e�cácia ao risco de fraude. A reação ao risco de fraude não gira apenas em torno da análise do risco e da auditoria dos controles existentes. Há técnicas de investigação, de entrevista, de exame forense digital e outras abordagens especializadas que precisam ser acessíveis à auditoria interna, para que ela possa reagir apropriadamente à fraude. “Os auditores internos podem se tornar complacentes e pensar que entendem de fraude, mas, de fato, não entendem realmente os aspectos únicos de
Poucos Auditores Internos TêmCertificações Relativas à Fraude
●
A Análise de Dados é Muito Usadapara Identificar Fraudes
* Report to the Nations on Occupational Fraud and AbuseExaminers, 2014).
como o certi�ed internal auditor (CIA) ou a quali�cation in internal audit leadership (QIAL), antes de obter certi�cações especializadas, tais como a CFE. O papel da auditoria interna na reação ao risco de fraude e a atitude do CAE em relação às certi�cações podem explicar esses resultados, diz Turner. “Na Austrália, entidades de grande porte e bem estabelecidas frequentemente têm equipes especializadas em investigações de fraude. Então, a auditoria interna não investiga fraudes nesses casos. Outro fator é quando os escritórios de auditoria interna não têm planos de desenvolvimento pro�ssional, por não enxergarem o valor em obter certi�cações no nível do departamento de auditoria interna. Acho que esta é uma perspectiva limitada que precisa mudar, para que os departamentos de auditoria interna sejam totalmente e�cazes.” Além disso, os resultados da pesquisa mostram que certi�cações de exame de fraude, quando disponíveis, são obtidas mais tarde na carreira de um auditor interno: 75% dos auditores internos com certi�cação de exame de fraude estão no nível de gerência ou maior. Da mesma forma, 66% dos auditores internos com certi�cação de exame de fraude têm 40 anos de idade ou mais (Q13, 11.106 participantes). Logicamente, os auditores internos buscam a credencial CIA antes de obter outras certi�cações. Especialistas discordam quanto ao tópico das certi�cações de exame de fraude. De acordo com Fountain, “Não ter uma certi�cação de exame de fraude não signi�ca que você não será capaz de avaliar como a organização reage ao risco de fraude. O conhecimento da organização e de sua indústria é crítico para entender os tipos de esquemas de fraude que poderiam ocorrer.” Por outro lado, Purcell comentou, “Auditores internos não-especialistas seriam capazes de criar e preservar um rastro de evidências aceitável em juízo?”
Por �m, os auditores internos que terão papel ativo na reação ao risco de fraude precisarão tanto de certi�cações de exame de fraude, quanto de treinamento e experiência especializados.
O uso da análise de dados é um componente importante de programas antifraude amadurecidos. Cerca de 5 em cada 10 departamentos de auditoria interna que têm atividades de análise de dados utilizam as mesmas para identi�car possíveis fraudes, entre outras coisas. Isso aumenta para 62% em organizações com mais de 100.000 funcionários (veja o Documento 15). Tais resultados não são de surpreender, considerando que a implantação da análise de dados exige investimento de tempo e recursos. De acordo com um relatório da ACFE, o monitoramento/análise de dados de forma proativa é um dos controles antifraude mais e�cazes em termos de reduzir perdas e durações medianas de fraude.* O monitoramento de dados aumenta a probabilidade de detecção de esquemas de fraude (ex., funcionários ou fornecedores �ctícios) e alertas de fraude (pagamentos ou cobranças duplicadas, tendências/ padrões incomuns, o momento das transações, entradas manuais nos registros, etc.). Dr. Al Faddagh concorda com o uso da análise de dados para reagir ao risco de fraude. “Os departamentos de auditoria interna precisam criar um banco de dados inteligente, que inclua todos os incidentes de fraude acontecidos ao longo dos anos. Esse banco de dados deve ser pesquisável e, então, você pode analisar tendências e obter insights úteis sobre hotspots de fraude e sobre as circunstâncias que levam à perpetração da fraude”, diz.
●
0% 20% 40% 60% 80%
Média
Mais de 100.000
10.001 a 100.000
1.501 a 10.000
500 a 1.500
Menos de 500 44%
45%
51%
56%
62%
49%
Documento 15 Análise de Dados Usada para Identificar PossíveisFraudes (Visão por Porte da Organização)
Observação: Q96: Seu departamento de auditoria interna usa mineração ou análise de dadospara as atividades a seguir? O documento mostra os participantes que escolheram“identificação de possíveis fraudes”. 11.101 participantes.
Além disso, a análise de dados pode ser ainda mais e�caz se for incorporada como parte da primeira linha de defesa. Purcell diz, “As empresas podem usar a análise de dados como parte da administração do departamento de auditoria interna, mas também precisam saber usá-la no decorrer da gestão do negócio, para detectar e analisar transações comerciais diárias em busca de fraudes. Novas ferramentas e técnicas estão emergindo e são mais ‘imediatas’ do que históricas em suas análises.” Incorporar a análise de dados no negócio também provavelmente resultará em maior e�ciência operacional, não apenas na melhoria da detecção de fraudes.
Pergunta 3: Os auditores internossão capazes de reagir ao risco defraude?
Como os auditores internos podem se sentir con�antes em sua habilidade de reagir ao risco de fraude, se a maioria deles não é proprietária do risco, dedica
Conclusão
relativamente pouco tempo ao risco de fraude e a grande maioria não possui certi�cações relativas à fraude? Uma resposta lógica seria que a maioria dos auditores internos tem uma lacuna de habilidades no que tange ao risco de fraude. Isso signi�ca que eles precisariam receber treinamento regular sobre fraude para ter conhecimentos su�cientes sobre os alertas de fraude e para atender os requisitos das Normas. A partir do ponto de vista tecnológico, a análise de dados (quando implantada) é usada pelos auditores internos para identi�car fraudes e alertas de fraude. Alguns especialistas suspeitam que a atividade esteja centrada principalmente em torno da análise rotineira de gastos com viagens e entretenimento, a não ser que haja um programa antifraude maduro em prática (o que é verdade, mais provavelmente, em indústrias especí�cas ou empresas de grande porte). Apesar dos participantes dizerem usar a análise de dados para detectar fraudes, isso pode estar acontecendo apenas em um nível super�cial.
●
L
O Caminho À Frente
4 Cinco Formas de Melhorar aAbordagem da Auditoria Internaao Risco de Fraude
❝ O risco de fraude
não é abordado
adequadamente.
Com o aumento do
uso da tecnologia,
a auditoria interna
precisa incorporar
avaliações do risco
de fraude em
qualquer processo
de auditoria.❞
—Umesh Ashar, Gerente Geral Sênior –
Auditoria Interna, Tata Motors Limited
idar com fraudes, ou até falar sobre isso, pode ser algo que a administração tenda a evitar, não importa a materialidade. A natureza de alguns casos de fraude (seja a ambiguidade em torno deles ou as posições delicadas dos perpetradores) pode tirar a atenção dos objetivos e riscos fundamentais do negócio. A fraude também pode prejudicar o moral, os recursos e a reputação de uma organização. Isso é o que torna o risco de fraude mais complexo do que outros riscos do negócio. A grande maioria dos auditores internos do mundo indica ter ao menos parte da responsabilidade de detecção e prevenção de fraudes em suas organizações (88% e 84%, respectivamente; veja o Documento 7). No entanto, o risco de fraude compõe apenas 4% da maioria dos planos de auditoria interna (veja o Documento 5) e apenas 25% dos CAEs acreditam que o foco no risco de fraude aumentará em 2015 (veja o Documento
6). E, apesar da grande maioria dos auditores internos não ter certi�cações de exame de fraude (94%; veja o Documento 14), cerca da metade acredita ser competente ou melhor no apoio à conscientização de fraude e na incorporação das considerações de fraude nos trabalhos de auditoria (veja o Documento 13). Quando os CAEs escolheram as cinco principais áreas de risco, uma média global de 3 a cada 10 escolheu a fraude, mas há grandes diferenças entre as regiões (53% no Sul da Ásia, em comparação com 22% na América do Norte; veja o Documento 2). Os
As mensagens da pesquisa de 2015 e deste relatório precisam resultar em ações tangíveis para os CAEs e departamentos de auditoria interna. As cinco recomendações a seguir podem ajudar a melhorar a abordagem da auditoria interna em relação ao risco de fraude em todos os tipos de organização.
resultados também indicam que os auditores internos de empresas privadas são mais focados no risco de fraude do que em outros tipos de organização (veja o Documento 3). Por �m, o risco de fraude é mais provavelmente escolhido como uma das cinco prioridades pela auditoria interna do que pela administração, de acordo com as percepções da auditoria interna (veja o Documento 2). Apesar do risco de fraude não ser o foco principal da auditoria interna, quando grandes fraudes ocorrem em uma organização, a administração e os auditores internos frequentemente redirecionam todo o seu foco e energia para o risco de fraude. Isso é um dilema para os CAEs. Como se planejar para uma situação como essa? Para estarem preparados, os CAEs devem se certi�car de que o papel da auditoria interna esteja claro para todas as partes interessadas. Do contrário, podem surgir dúvidas quanto à e�cácia e valor do departamento de auditoria interna. Isso signi�ca que os CAEs precisam ser proativos no que tange à abordagem ao risco de fraude e à aplicação de uma abordagem baseada em riscos para seus esforços.
●
1. Estabeleça o papel da auditoriainterna quanto à fraude.
2. Eduque a administração sobreo risco de fraude.
3. Seja proativo ao abordar orisco de fraude.
4. Desenvolva um banco dedados de lições aprendidas.
Qual é o papel da auditoria interna nos esforços antifraude da organização? Quais atividades (se houver) o departamento de auditoria interna executará para prevenir e detectar fraudes? Os CAEs precisarão entender as expectativas das partes interessadas e os requisitos das Normas para posicionar seus departamentos e documentar o papel no estatuto de auditoria interna e na política antifraude da organização. Considerando que a investigação ou dissuasão de fraude foi escolhida por apenas 29% dos CAEs como a principal forma por meio da qual a auditoria interna agrega valor, os CAEs podem querer delegar o máximo que puderem da responsabilidade de detecção e prevenção de fraudes para a primeira (gestão operacional) e a segunda (funções de gerenciamento de riscos e conformidade) linhas de defesa. Purcell diz, “Os auditores internos devem trabalhar para empurrar a responsabilidade de fraude e gestão do risco de fraude para o negócio. A auditoria interna pode ser educadora e garantir que a estrutura de controle esteja operando corretamente, e que a primeira e segunda linhas de defesa estejam fazendo seu trabalho; a auditoria interna não deve se tornar a primeira ou a segunda linha de defesa.” No entanto, se você trabalha em uma empresa privada ou em uma região com grande foco em fraude, você pode precisar aumentar o envolvimento do departamento de auditoria interna no risco de fraude e buscar a melhor forma de agregar valor ao programa antifraude da organização.
de fraude, então faria sentido colocar essas habilidades em prática. Promova o Modelo das Três Linhas de Defesa. Conscientize sua organização sobre o risco de fraude, as Normas e o papel da auditoria interna. Você pode precisar abordar as lacunas de expectativas, diz Fountain. “É muito desa�ador atender as Normas e acompanhar as expectativas da administração. Os CAEs precisam comunicar periodicamente o papel da auditoria interna quanto à fraude, tanto para o comitê de auditoria quanto para a administração.”
Os auditores internos parecem muito con�antes no apoio à conscientização
Não apenas se sente e espere que a fraude aconteça; seja proativo! Use os canais de denúncia da auditoria, audite os controles da administração sobre fraudes, audite protocolos de investigação e audite programas antissuborno e corrupção. Além disso, você pode facilitar avaliações do risco de fraude, aumentar a frequência das auditorias em processos de alto risco de fraude, promover a necessidade de uma capacidade forense digital e assim por diante. Certi�que-se de estar de acordo com seu comitê de auditoria sobre qual tarefa agregaria maior valor à organização. Turner recomenda, “Os auditores internos precisam de foco razoável em facilitar as avaliações do risco de fraude, porque essa é uma área em que podem agregar muito valor, trazendo soluções estratégicas para minimizar o risco de fraudes potencialmente signi�cantes.” As Normas exigem que o auditor interno avalie o potencial de fraude, e facilitar as avaliações do risco de fraude é um bom passo em direção a atender esse requisito.
Quando a fraude ocorre, ela deve (entre outras coisas) levar à correção de
●
5. Crie acesso às habilidades certas.❝ Quando você
investiga fraudes,
você deve ter as
habilidades
para fazê-lo
corretamente.❞
—Owen Purcell, Parceiro Líder da EY,
EMEIA (Europe, Middle East, India, Asia)
Risk Centre of Excellence, Reino Unido
quaisquer de�ciências de controle. Assuma propriedade da criação de um banco de dados do que deu errado, das circunstâncias que levaram à fraude, do esquema, de como ele foi descoberto, do local onde ocorreu e do resultado. Isso servirá como uma ferramenta excelente para educar o departamento de auditoria interna e a gerência executiva. Também fornecerá dados históricos sobre a probabilidade e impacto de certos esquemas por localização, para priorizar os esforços de auditoria ou debater quanto à aceitação de quaisquer riscos.
Certi�que-se de que sua equipe tenha as habilidades certas para apoiar os esforços de prevenção ou detecção de fraudes. Contrate, treine ou terceirize. Sua equipe precisa ser capaz de avaliar o risco de fraude e de estar atenta a alertas de fraude; isso exige experiência e maturidade. Além disso, não se esqueça de treinar a equipe sobre como a tecnologia pode ser usada para cometer fraude. Considere se você precisa contratar auditores internos com especialização em auditoria de fraude ou investigações. Alternativamente, negocie um contrato de tarifa com um prestador terceirizado, para que você tenha fácil acesso a especialistas, quando necessário.
●
Seção 1: O Foco Global no Risco de Fraude
●
●
●
●
●
Seção 2: A Responsabilidade da Auditoria Interna pela Prevenção eDetecção de Fraudes
●
●
●
Seção 3: As Capacidades da Auditoria Interna na Reação ao Risco de Fraude
●
Anexo A: Sumário das Descobertas
Em valor nominal, o risco de fraude não parece estar no topo da pauta da gerência executiva ou dos departamentos de auditoria interna. No entanto, há maior foco no risco de fraude a partir do ponto de vista da auditoria interna.
O foco no risco de fraude por parte da gerência executiva e auditoria interna é maior em organizações privadas, em comparação com outros tipos de organizações (capital aberto, governamentais, sem �ns lucrativos, etc.).
Apesar da maioria dos auditores internos acreditar que têm certa responsabilidade pela detecção e prevenção de fraudes, os CAEs não consideram a investigação ou dissuação de fraudes como atividades de grande valor agregado.
O risco de fraude compõe uma porção muito pequena dos planos de auditoria interna e poucos CAEs acreditam que o foco no risco de fraude aumentará em 2015, em comparação com 2014.
Os CAEs estão buscando contratar auditores internos com habilidades em auditoria de fraude ou investigações forenses e de outras naturezas. No entanto, essas habilidades não estão entre as cinco principais que estão contratando.
Reagir ao risco de fraude envolve um esforço coordenado por parte das três linhas de defesa e a maioria dos auditores internos está envolvida neste esforço.
No Sul Asiático, Oriente Médio e África do Norte, e América Latina e Caribe, uma proporção maior dos auditores internos acredita que eles têm “toda ou maior parte da responsabilidade” de prevenção e detecção de fraudes.
Em organizações privadas e naquelas com departamentos de auditoria interna com mais de 50 auditores internos, recai sobre o auditor interno uma maior ênfase para prevenir e detectar fraudes.
Os auditores internos parecem con�antes quanto à incorporação do risco de fraude em seus trabalhos e quanto ao apoio à conscientização do risco de fraude, apesar de apenas uma porção muito pequena deles dedicar a maior parte de seu tempo ao trabalho relativo à fraude.
●
●
●
Seção 4: Cinco Formas de Melhorar a Abordagem da Auditoria Internaao Risco de Fraude
1. Estabeleça o papel da auditoria interna quanto à fraude.
2.
Eduque a administração sobre o risco de fraude.
3. Seja proativo ao abordar o risco de fraude.
4.
Desenvolva um banco de dados de lições aprendidas.
5. Crie acesso às habilidades certas.
As certi�cações de investigação de fraude não são comuns entre auditores internos. Quando disponíveis, certi�cações relacionadas à fraude parecem ser obtidas mais tarde na carreira do auditor interno.
O uso mais comum da análise de dados em departamentos de auditoria interna é na identi�cação de possíveis padrões de fraude.
Use as expectativas das partes interessadas e os requisitos das Normas para identi�car o papel da auditoria interna quanto à fraude em sua organização. Documente essa informação no estatuto da auditoria interna e na política antifraude da organização.
Promova a conscientização em toda a organização sobre o risco de fraude, as Normas e o papel da auditoria interna.
Seja proativo, auditando métricas anticorrupção em prática na organização, ou aumentando as auditorias em áreas de alto risco de fraude. Ao mesmo tempo, certi�que-se de estar de acordo com o comitê de auditoria sobre qual tarefa agregará maior valor.
Crie um banco de dados com as circunstâncias dos casos de fraude em sua organização e utilize-o para priorizar futuros esforços de auditoria.
Certi�que-se de que sua equipe tenha as habilidades certas, especialmente na área de tecnologia. Contrate, treine ou terceirize conforme necessário.
●
F
Equipe de Desenvolvimento do CBOK
Co-Presidentes do CBOK: Analista de Dados Primários: Dr. Po-ju Chen Dick Anderson (Estados Unidos) Desenvolvedora de Conteúdo: Deborah Poulalion Jean Coroller (França) Gerentes de Projeto: Selma Kuurstra e Presidente do Subcomitê da Pesquisa do Praticante: Kayla Manning Michael Parkinson (Austrália) Editora Sênior: Lee Ann CampbellVice-Presidente da IIARF: Bonnie Ulmer
Comitê de Revisão do Relatório
Sezer Bozkus (Turquia) Michael Parkinson (Austrália)John Brackett (Estados Unidos) Beatriz Sanz-Redrado (Bélgica)John McLaughlin (Estados Unidos) Maritza Villanueva (El Salvador)
Agradecimentos
Sobre o Autor
Sobre a Equipe do Projeto
arah G. Araj, CIA, CPA, CFE, QIAL, é um líder de auditoria interna com mais de 15 anos de experiência pro�ssional, tanto como consultor das �rmas Big 4, quanto CAE. Também atuou como membro independente do comitê de auditoria. Araj é membro ativo do IIA dos Emirados Árabes Unidos (EAU) e vem contribuindo para suas pesquisas e publicações. Além disso, trabalhou como defensor de projeto da Pesquisa Global do Praticante de Auditoria Interna CBOK 2015 nos EAU.
O autor gostaria de agradecer todos os líderes de auditoria interna que dedicaram seu tempo a analisar os resultados da pesquisa e a participar das entrevistas pós-pesquisa (incluindo aqueles que participaram anonimamente). Em especial, o autor expressa sua gratidão a Dr. Khalid Al Faddagh, Umesh Ashar, Jorge Badillo, Lynn Fountain, Owen Purcell e Bruce Turner, por compartilharem suas análises e comentários valiosos sobre as principais descobertas.
Sobre a The IIA Research Foundation
Limitação de Responsabilidade
Contate-nos
SUA DOAÇÃO EM AÇÃOOs relatórios CBOK estão disponíveis gratuitamente para o público graças às contribuições generosas de indivíduos, organizações, filiais do IIA e institutos IIA do mundo todo.
DOE PARAO CBOK
CBOKwww.theiia.org/goto/
Sede do The Institute of Internal Auditors Global247 Maitland AvenueAltamonte Springs, Flórida, 32701-4201, EUA
O CBOK é administrado pela The IIA Research Foundation (IIARF), que fornece pesquisas inovadoras para a profissão de auditoria interna há quatro décadas. Por meio de iniciativas que exploram questões atuais, tendências emergentes e necessidades futuras, a IIARF tem sido uma força propulsora por trás da evolução e do avanço da profissão.
A IIARF publica este documento para propósitos informativos e educacionais apenas. A IIARF não dá orientações jurídicas ou contábeis ou qualquer garantia de resultados jurídicos ou contábeis por meio da publicação deste documento. Quando questões jurídicas ou contábeis surgirem, assistência profissional deve ser buscada e obtida.
Copyright © 2015, The Institute of Internal Auditors Research Foundation (IIARF). Todos os direitos reservados. Para permissão para reprodução ou citação, favor contatar [email protected]. ID # 2015-1872