Mário Sérgio Ribeiro (*)
O caso da Americanas trouxe de volta à cena as questões relacionadas à Fraude Ocupacional. As investigações prosseguem mas, os indícios, pelas notícias publicamente vinculadas, dão conta de que pode ter ocorrido uma fraude ocupacional (FO). Esse caso se tornou público pela manifestação do seu presidente na época, relatando a ocorrência à imprensa. Infelizmente o volume de fraudes ocupacionais não é pequeno, tanto no Brasil como no resto do Mundo, e é necessário por parte de toda e qualquer empresa entender e mitigar o risco da FO. Vamos tentar colaborar nesse sentido nesse blog.
Procurar entender do Porquê alguém comete uma FO é o primeiro passo. Difícil se cravar em cima disso, porque estamos falando de Pessoas. Mas segundo Cressey, uma pessoa pressionada (financeira, saúde, família…) ou motivada (inveja do que o vizinho tem, revanchismo à chefia…) pode vir a cometer uma FO. Se ela se encontra nessa situação e a empresa lhe dá a oportunidade de fazê-lo (fracos controles internos entre outros), está pronto o dueto; basta, pela teoria de Cressey, e isso o fraudador faz intuitivamente, racionalizar sua ação.
Podemos pela literatura definir três grandes categorias de FO: Manipulação Intencional de Documentos Financeiros (MIDF), Apropriação Indébita de Ativos Tangíveis e Intangíveis (AIAT-I) e Corrução. Das três, a que tem maior volume de ocorrência é a AIAT-I, mas os valores são considerados baixos; Corrupção vem em seguida, mas, aquela que tem menores ocorrências mas volumes de perda vultosos é a MIDF.
Dos três vértices do triângulo de Cressey que falei a empresa não tem qualquer controle sobre dois deles: pressão e racionalização. Já, sobre a Oportunidade, tem e deve fazer total controle. É simples: mitigando a oportunidade ao máximo da perpetração a chance da ocorrência do risco fica bem residual. Aqui cabe um pequeno parêntesis que exponho a seguir, antes de tratar da mitigação da Oportunidade.
Em vários casos ocorridos de MIDF foi verificado que existia certa e às vezes até grande pressão da Alta Administração por resultados (na maioria inexequíveis) mas com vultosas recompensas financeiras (bônus, prêmios). Se, os colaboradores envolvidos nessa “pressão deliberada” já estiverem sofrendo alguma pressão financeira particular ou estejam motivados a ter, por exemplo, o que seu vizinho tem, o cenário está montado para uma ocorrência de FO. Infelizmente as empresas que praticam essa pressão parecem desconhecer a linha tênue em que se metem e mais ainda, as pesquisas apontam que a maioria que comente uma FO nunca cometeu nenhum outro crime anterior.
Vamos à mitigação da Oportunidade.
O Combate à FO tem quatro grandes domínios: Prevenção, Dissuasão, Detecção, Resposta e Investigação. Dentro de cada um desses domínios temos um elenco de processos. É pelo entendimento de cada domínio, de seus processos, de suas entregas que começamos a “minar” a Oportunidade do perpetrador.
No domínio da Prevenção e Dissuasão devemos colocar em execução controles que de fato possam mitigar a ocorrência da FO. Esse domínio dentro do contexto de Combate é de extrema importância, isso porque, se esses processos e controles não estiverem devidamente mapeados e implementados podem ocorrer Impactos com materialidade. Lembrando que, o domínio Detecção, com seus processos e controles implementados, quando for entrar em ação pode ser tarde, pelas falhas nos domínios anteriores. Por exemplo, a Auditoria Interna ou Externa pode, ao realizar o seu trabalho, detectar que uma fraude está ocorrendo. Veja como coloquei o verbo, está ocorrendo. Isso quer dizer que, provavelmente, a materialidade está acontecendo. Nesse caso, a detecção, “enxerga o ferimento” e vai conhecer sua magnitude e recomendar estanca-lo (domínio de Resposta), mas a perda ocorreu!
Importante saber que a Auditoria também pode funcionar como um Controle Preventivo e até de Dissuasão quando realiza o seu trabalho, podendo enxergar sinais de possíveis fraudes a ocorrer em dado cenário. Quando isso ocorre, há tempo de usar a prevenção e dissuasão.
As entregas dos domínios citados só serão possíveis se for executado uma Avaliação de Risco da Fraude Ocupacional. O resultado dessa Avaliação é um Mapa da Fraude Ocupacional com a seleção e posterior implementação de Controles Preventivos e de Dissuasão. Controles de Detecção (que entram em ação se controles preventivos e de dissuasão foram suplantados ou não haviam sido projetados) também se utilizam do Mapa da FO para serem projetados e implantados.
Dependendo do tamanho da sua empresa e dos requisitos de Compliance que ela deva cumprir, uma estrutura mínima de Combate à FO deve ser montada. Essa estrutura, normalmente embaixo do Compliance, deve ter um responsável com a quantidade de colaboradores embaixo devidamente dimensionados. Em empresas de maior porte e que exijam uma área específica de Combate com responsáveis com cargo de Diretoria/Gerência, as metas são as mesmas, só muda a complexidade e tamanho.
Entre vários modelos você pode seguir o modelo do COSO para fazer o estruturamento das ações de sua área ou o ciclo de Deming (PDCA). O que não pode faltar em seu Programa Anual de Combate à Fraude Ocupacional (usando o ciclo PDCA):
Planejamento
(P):
– Elaborar a Avaliação do Risco da FO;
– Seleção dos Controles Antifraude;
Execução
(D):
– Implementação dos Controles Antifraude;
Controle
(C):
– Avaliar periodicamente (no máximo trimestral) os controles implementados;
Ação (A)
– Reavaliar
todo o programa corrigindo e melhorando o processo.
O assunto é tão amplo que fica difícil escolher o que falar em um espaço como esse. Como conclusão eu não posso deixar de falar no que se chama de Red Flags (Bandeiras vermelhas). As red flags são sinais, notadamente fornecido por um provável perpetrador de alguma FO que pode vir a ocorrer. Essas bandeiras vermelhas podem ser mapeadas também e você pode fazer para:
– Colaboradores de maneira geral;
– Gestores;
– Diretoria e Presidência (sim também existe e quando o trabalho vir encomendado pelo Conselho de Administração/Acionistas);
– Por categoria de Fraude Ocupacional.
Era isso pessoal. Espero ter contribuído. Opiniões contrárias e a favor são sempre bem-vindas! Se cuidem e abraço a todos!
_____________________________________________________________________
(*) Engenheiro, mestre em segurança da informação pela USP. Consultor, professor da FIA-USP e instrutor da Associação Brasileira de Bancos (ABBC).
