Reagindo ao Risco de Fraude

Transcrição

1 Reagindo ao Risco de Fraude RISCO Closer Look Explorando a Posição da Auditoria Interna Farah G. Araj CIA, CPA, CFE, QIAL CBOK The Global Internal Audit Common Body of Knowledge Patrocinado por

2 Sobre o CBOK FATOS DA PESQUISA Participantes Países Idiomas 14,518* NÍVEIS DOS FUNCIONÁRIOS* Chief audit executive (CAE) 26% 13% Diretor 17% Gerente 44% Equipe *As taxas podem variar por pergunta. O Common Body of Knowledge (CBOK) Global de Auditoria Interna é o maior estudo contínuo global no mundo sobre a profissão da auditoria interna, incluindo estudos sobre os praticantes de auditoria interna e suas partes interessadas. Um dos componentes principais do CBOK 2015 é a pesquisa global do praticante, que fornece uma perspectiva abrangente das atividades e características dos auditores internos do mundo todo. Este projeto tem como base as duas pesquisas globais do praticante anteriores, conduzidas pela The IIA Research Foundation em 2006 (9.366 respostas) e 2010 ( respostas). Os relatórios serão lançados mensalmente até Julho de 2016 e podem ser baixados de graça, graças às contribuições generosas e ao apoio de indivíduos, organizações profissionais, filiais do IIA e institutos do IIA. Mais de 25 relatórios foram planejados em três formatos: 1) core reports, que abordam tópicos gerais, 2) closer looks, que exploram mais a fundo as principais questões, e 3) fast facts, com foco em uma região ou ideia específica. Esses relatórios exploram diferentes aspectos de oito áreas de conhecimento, incluindo tecnologia, riscos, talento e outras. Visite o CBOK Resource Exchange em para download das perguntas da pesquisa e dos relatórios seguintes, conforme forem disponibilizados. Pesquisa do Praticante CBOK 2015: Participação das Regiões Globais Europa & Ásia 23% Central América 19% do Norte Oriente Médio & África 8% do Norte América Latina 14% & Caribe África 6% Subsaariana Sul da Ásia 5% Leste Asiático 25% & Pacífico Observação: As regiões globais são baseadas nas categorias do Banco Mundial. Para a Europa, menos de 1% dos participantes era da Ásia Central. As respostas da pesquisa foram coletadas entre 2 de Fevereiro de 2015 e 1º de Abril de O link da pesquisa online foi distribuído via listas de mailing dos institutos, sites do IIA, newsletters e redes sociais. Pesquisas parcialmente preenchidas foram incluídas na análise, desde que as perguntas demográficas tivessem sido completadas. Nos relatórios CBOK 2015, perguntas específicas são chamadas de Q1, Q2 e assim por diante. Uma lista completa das perguntas da pesquisa está disponível para download no CBOK Resource Exchange.

3 Áreas de Conhecimento do CBOK Conteúdos Futuro Sumário Executivo 4 Introdução 5 Perspectiva Global 1 O Foco Global no Risco de Fraude 7 2 A Responsabilidade da Auditoria Interna pela Prevenção e Detecção de Fraudes 12 Governança Gestão 3 As Capacidades da Auditoria Interna na Reação ao Risco de Fraude 18 4 Cinco Formas de Melhorar a Abordagem da Auditoria Interna ao Risco de Fraude 22 Anexo A: Sumário das Principais Descobertas 25 Risco Normas & Certificações Talento Tecnologia

4 Sumário Executivo O risco de fraude é uma realidade que todas as organizações encaram hoje em dia. Recentemente, grandes casos de fraude capturaram a atenção da mídia e o escrutínio de reguladores no mundo todo. Quando uma fraude séria ocorre em uma organização, a reputação da empresa pode ser prejudicada e, normalmente, há um realinhamento súbito das prioridades das partes interessadas. É nessa hora que, frequentemente, ouvimos a pergunta, E onde estavam os auditores internos? Reagindo ao Risco de Fraude: Explorando a Posição da Auditoria Interna oferece uma análise global atual da importância do risco de fraude para a auditoria interna e suas partes interessadas, do grau de responsabilidades da auditoria interna quanto à prevenção e detecção de fraudes, e das percepções das capacidades da auditoria interna na reação ao risco de fraude. As descobertas foram baseadas na Pesquisa Global do Praticante de Auditoria Interna CBOK 2015, a maior pesquisa de auditores internos do mundo, assim como em amplas entrevistas com líderes de auditoria interna de diversas regiões. Os auditores internos podem usar este relatório para educar suas partes interessadas, definir como a auditoria interna pode dar apoio aos esforços antifraude da organização, e desenvolver as capacidades da equipe de auditoria interna. O relatório é concluído com as cinco principais formas por meio das quais os chief audit executives (CAEs) podem melhorar sua abordagem ao risco de fraude em suas organizações.

5 Introdução RECURSOS Guia Prático, Auditing Anti-bribery and Anti-corruption Programs (Altamonte Springs, FL: The Institute of Internal Auditors, 2014). Guia Prático, Internal Auditing and Fraud (Altamonte Springs, FL: The Institute of Internal Auditors, 2009). Global Technology Audit Guide (GTAG) 13: Fraud Prevention and Detection in an Automated World (Altamonte Springs, FL: The Institute of Internal Auditors, 2009). A ntes de revisar as descobertas da pesquisa, é importante examinar os principais pontos de referência usados pelos auditores internos para definir seu papel com relação ao risco de fraude. Em primeiro lugar, examinamos os materiais do IIA e, então, examinaremos o novo princípio da obra Controle Interno - Estrutura Integrada atualizada do COSO (Committee of Sponsoring Organizations of the Treadway Commission). O Que as Normas Dizem Sobre o Risco de Fraude? As Normas Internacionais para a Prática Profissional de Auditoria Interna (Normas) do IIA definem fraude como: Quaisquer atos ilegais caracterizados por desonestidade, dissimulação ou quebra de confiança. Estes atos não implicam o uso de ameaça de violência ou de força física. As fraudes são perpetradas por partes e organizações, a fim de se obter dinheiro, propriedade ou serviços; para evitar pagamento ou perda de serviços; ou para garantir vantagem pessoal ou em negócios. Esta é uma definição ampla, que inclui uma variedade de tipos de fraudes, incluindo suborno e corrupção. Adicionalmente, esta definição não diferencia as fraudes executadas por partes internas à organização (funcionários, administração, etc.) daquelas externas à organização (fornecedores, clientes, etc.). Consequentemente, se combinarmos a fraude com a definição de risco nas Normas, o risco de fraude poderia ser definido como a possibilidade de ocorrência de fraude que terá impacto sobre o atingimento dos objetivos. Com esta definição em mente, examinemos o que as Normas dizem sobre a responsabilidade da auditoria interna no que tange ao risco de fraude. As normas mais relevantes são as que seguem (não é uma lista abrangente; ênfase acrescentada): 1210: Proficiência (1210.A2) - Os auditores internos devem possuir conhecimento suficiente para avaliar o risco de fraude e a maneira como é gerenciado pela organização, porém não se espera que possuam a especialização de uma pessoa cuja principal responsabilidade seja detectar e investigar fraudes. 2120: Gerenciamento de Riscos (2120.A2) - A atividade de auditoria interna deve avaliar o potencial de ocorrência de fraude e como a organização gerencia o risco de fraude. 2210: Objetivos do Trabalho de Auditoria (2210.A2) - Os auditores internos devem considerar a probabilidade de erros significativos, fraudes, não conformidades e outras exposições ao desenvolver os objetivos do trabalho.

6 Além disso, há outras normas que incluem fraude e há normas relativas ao papel da auditoria interna na avaliação da ética e dos valores da empresa, o que também impacta a eficácia de como o risco de fraude é gerido. O Que o COSO Diz Sobre o Risco de Fraude? Outra fonte importante de perspectiva é o novo Princípio 8 da Controle Interno - Estrutura Integrada atualizada do COSO. O fato de que a estrutura atualizada inclui um princípio dedicado ao risco de fraude é outro sinal de que a conscientização do risco de fraude está crescendo. O Documento 1 mostra o novo princípio e os quatro pontos de ação recomendados que podem ser aplicados pelos auditores internos em todos os níveis da organização. Documento 1 Controle Interno Estrutura Integrada, Princípio 8, que avalia o risco de fraude O Princípio 8 da Controle Interno Estrutura Integrada do COSO (2013) diz: A organização considera o potencial de fraude na avaliação dos riscos ao atingimento dos objetivos. Este princípio é melhor explicado em quatro pontos de foco recomendados: Considera vários tipos de fraude. A avaliação da fraude considera o reporte fraudulento, possível perda de ativos e corrupção derivada das várias formas de fraude e má conduta que podem ocorrer. Avalia incentivos e pressões. A avaliação do risco de fraude considera incentivos e pressões. Avalia oportunidades. A avaliação do risco de fraude considera oportunidades de aquisição, uso ou disposição não autorizados de ativos, alteração dos registros de reporte da organização, ou outras ações inapropriadas. Avalia atitudes e racionalizações. A avaliação do risco de fraude considera como a administração e outros funcionários podem se envolver ou justificar ações inapropriadas. Fonte: Tradução livre de trecho da obra Internal Control Integrated Framework (Committee of Sponsoring Organizations of the Treadway Commission (COSO), 2013). Usado com permissão. Como os Auditores Internos Estão Abordando Hoje o Risco de Fraude? Mantendo o papel da auditoria interna em mente, examinemos o que a pesquisa nos diz sobre como os auditores internos estão, de fato, envolvidos em lidar com o risco de fraude. Pergunta 1: Qual a importância do risco de fraude para a gerência executiva e CAEs? Pergunta 2: Até que ponto os auditores internos são responsáveis pela prevenção e detecção de fraudes? Pergunta 3: Os auditores internos são capazes de reagir ao risco de fraude? Em resposta a estas descobertas, a seção 4 deste relatório fornece cinco passos principais que os auditores internos podem dar para melhorar sua eficácia ao lidar com o risco de fraude.

7 1 O Foco Global no Risco de Fraude O s auditores internos estão amplamente envolvidos em lidar com o risco de fraude em suas organizações e esta seção do relatório explora suas respostas às perguntas da pesquisa quanto aos tópicos a seguir: O risco de fraude como um dos cinco principais riscos organizacionais A investigação de fraudes como uma atividade de valor agregado para a auditoria interna O risco de fraude como parte dos planos de auditoria interna O recrutamento de habilidades de risco de fraude A Auditoria Interna Pode Priorizar o Risco de Fraude Mais do Que a Administração CAEs que responderam à pesquisa classificaram os cinco principais riscos nos quais a gerência executiva e a auditoria interna estão se concentrando. Globalmente, apenas 19% acreditam que sua gerência executiva se concentre na fraude como um dos cinco principais riscos, enquanto 31% dizem que a auditoria interna tem foco na fraude como um dos cinco riscos principais (veja o Documento 2). Em outras palavras, a auditoria interna dá maior ênfase ao risco de fraude do que acreditam que a gerência executiva faça. Documento 2 Fraude Escolhida como uma das 5 Prioridades de Risco em 2015 (Visão Regional) 60% 50% 53% 40% 30% 20% 10% 0% 36% Sul da Ásia 17% 39% 25% América Latina e Caribe 33% 19% 14% 14% Europa 31% 26% 5% África Subsaariana 30% 19% 11% Leste Asiático e Pacífico 29% 21% 8% Oriente Médio e África do Norte 22% 13% 9% América do Norte 31% 19% Média Global 12% Auditoria interna Gerência executiva Lacuna Observação: Q66: Por favor, identifique os cinco principais riscos nos quais seu departamento de auditoria interna está focando o maior nível de atenção em Tópico: Fraude não coberta em outras auditorias. CAEs apenas participantes. Q65: Por favor, identifique os cinco principais riscos nos quais sua gerência executiva está focando o maior nível de atenção em Tópico: Fraude não coberta em outras auditorias. CAEs apenas participantes.

8 O tom no topo é crítico para a resposta ao risco de fraude. Se um CEO declara em reuniões que fraudes não serão toleradas e que será impiedoso no tratamento dos perpetradores, este tom no topo transmitirá uma mensagem muito forte e positiva por toda a organização. Dr. Khalid Al Faddagh, ex-cae, Saudi Aramco Conforme demonstrado pelas barras douradas no Documento 2, a lacuna entre as prioridades percebidas foi maior no Sul da Ásia (17%) e menor na África Subsaariana (5%). Essas lacunas podem indicar situações nas quais a auditoria interna não esteja alinhada com as expectativas da gerência executiva. O Sul da Ásia tem Maior Foco no Risco de Fraude Globalmente, o maior foco no risco de fraude parece ser dado no Sul da Ásia, onde a grande maioria das respostas à pesquisa vem da Índia. A Índia está em um período de transformação, conforme muitas empresas são listadas no exterior, disse Umesh Ashar, gerente geral sênior auditoria interna na Tata Motors Limited em Mumbai, Índia. A nova lei Companies Act colocou grandes responsabilidades sobre o comitê de auditoria e exige que o auditor estatutário de empresas de capital aberto reporte qualquer fraude ao governo central. Portanto, a gerência executiva está muito interessada em evitar o risco reputacional e em garantir que o risco de fraude seja abordado e tratado apropriadamente. Com relação aos resultados do Oriente Médio, Dr. Khalid Al Faddagh, ex-cae da Saudi Aramco, disse, Estou surpreso e preocupado que o risco de fraude não tenha aparecido como um dos cinco principais na região. É possível que os executivos participantes estejam em negação e acreditem que a fraude apenas aconteça em outras empresas e países da região. O Foco no Risco de Fraude é Maior em Empresas Privadas Além disso, o risco de fraude não é citado como um dos principais em qualquer região, indústria, tipo de organização, etc. No entanto, os auditores internos em empresas privadas dão maior prioridade ao risco de fraude do que aqueles em outros tipos de organização, com 38% escolhendo tal risco como um dos cinco principais, em comparação com a média global de 31% (veja o Documento 3). Documento 3 Fraude Escolhida como uma das 5 Prioridades de Risco para a Auditoria Interna em 2015 (Visão Organizacional) Privada (excluindo setor financeiro) Pública (excluindo setor financeiro) Organização sem fins lucrativos 34% 33% 38% Setor público (incluindo agências e operações mantidas pelo governo) 28% Setor financeiro (privado e público) 24% Média global 31% 0% 10% 20% 30% 40% 50% Observação: Q66: Por favor, identifique os cinco principais riscos nos quais seu departamento de auditoria interna está focando o maior nível de atenção em CAEs apenas participantes.

9 A Investigação de Fraude Agrega Valor Depois de Outras Atividades Na Pesquisa Global de Auditoria Interna CBOK 2010, 71% dos participantes disseram conduzir investigações de fraudes e irregularidades como parte de suas atividades.* A crise financeira global foi citada como um dos motivos para o alto nível da atividade. A pesquisa de 2015 pediu aos CAEs que listassem as cinco atividades que mais agregam valor à auditoria interna em suas organizações, a partir de uma lista que incluía a opção investigar ou dissuadir fraudes. Ao responder tal pergunta, apenas 3 a cada 10 escolheram investigar ou dissuadir fraudes como uma das cinco principais atividades agregadoras de valor (veja o Documento 4). Isso não é inesperado, porque detectar e investigar fraudes toma tempo considerável e redireciona esforços de auditoria interna de questões organizacionais importantes. * Marco Allegrini et al., What s Next for Internal Auditing? Relatório IV da Pesquisa CBOK 2010 (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2011), 33. O Risco de Fraude é uma Pequena Porção dos Planos de Auditoria; Esperam-se Aumentos Apenas um pequeno número de participantes da pesquisa (4,5%) disse ter treinamento especializado em fraude e dedicar a maior parte de seu tempo ao trabalho nesta área (Q11, participantes). Isso é relativamente consistente em todos os níveis/posições, tipos de organização, número de funcionários na auditoria interna e tipo de indústria. De forma similar, examinando os planos de auditoria interna, apenas 3,5% são compostos de risco de fraude não coberto em outras auditorias (veja o Documento 5). Isso é relativamente consistente em todos os tipos de organização, número de funcionários na auditoria interna e tipo de indústria. Além disso, apenas 25% dos CAEs do mundo acreditam que o foco da auditoria interna no risco de fraude aumentará em 2015, em comparação com o ano anterior (veja o Documento 6). Regionalmente, no entanto, essa porcentagem aumenta para cerca de 40% Documento 4 Principais Formas por Meio das Quais a Auditoria Interna Agrega Valor Garantindo a adequação e eficácia do sistema de controle interno 86% Recomendando a melhoria do negócio 55% Avaliando os processos de gerenciamento de riscos da organização 53% Avaliando a conformidade regulatória 50% Informando e aconselhando a administração 40% Identificando riscos emergentes 37% Avaliando os processos de governança da organização 37% Investigando ou dissuadindo fraudes 29% Informando e aconselhando o comitê de auditoria 28% Testando a avaliação dos controles por parte da administração 23% Observação: Q89: Quais são as cinco principais atividades que agregam o maior valor à sua organização? (Escolha até cinco.) CAEs apenas participantes.

10 Documento 5 O Risco de Fraude no Plano de Auditoria Operacional 24.5% Conformidade/regulatório 14.9% Avaliação/eficácia do gerenciamento de riscos 12.1% Riscos estratégicos do negócio 10.8% Tecnologia da Informação (TI), não coberta em outras auditorias 8.3% Financeiros gerais 6.7% Governança corporativa 6.2% Fraude não coberta em outras auditorias 3.5% Outros (em especial, solicitações, treinamento, etc.) 3.3% Redução ou contenção de custos/gastos 3.2% Teste ou apoio à Sarbanes-Oxley (Estados Unidos apenas) 2.8% Relacionamentos com terceiros 2.4% Gestão de crises 1.2% Total 100.0% Observação: Q49: Qual porcentagem de seu plano de auditoria de 2015 corresponde a cada uma das categorias gerais de riscos a seguir? CAEs apenas participantes. Documento 6 CAEs Que Esperam um Aumento no Foco da Auditoria Interna Sobre o Risco de Fraude África Subsaariana 41% Sul da Ásia Oriente Médio e África do Norte 37% 39% América Latina e Caribe 31% Leste Asiático e Pacífico 27% Europa 23% América do Norte 12% Média Global 25% 0% 10% 20% 30% 40% 50% Observação: Q50: Em comparação com 2014, indique se o foco de auditoria em cada uma das áreas a seguir aumentará, permanecerá o mesmo ou diminuirá. Tópico: Fraude não coberta em outras auditorias. CAEs apenas participantes

11 na África Subsaariana e Sul da Ásia. De acordo com Bruce Turner, CAE aposentado, ex-presidente imediato do International Public Sector Committee do IIA e presidente do Comitê de Auditoria do IIA-Austrália, A auditoria interna precisa dedicar tempo adequado, em seus planos, a cobrir todos os fatores básicos (incluindo o risco de fraude) e, então, provisionar a cobertura das áreas mais interessantes, emergentes e estratégicas de risco. As Habilidades de Risco de Fraude Estão Sendo Recrutadas Moderadamente As habilidades buscadas para os departamentos de auditoria interna também são indicadores do foco geral no risco de fraude. Apesar dos CAEs buscarem contratar auditores internos com habilidades em auditoria de fraude e em investigações forenses e de outras naturezas, essas habilidades não estão entre as cinco principais que estão contratando. Apenas 23% dos CAEs escolheram auditoria de fraude como uma das cinco principais habilidades que estão recrutando ou desenvolvendo em seus departamentos de auditoria interna. Uma categoria parecida, investigações forenses e demais, foi selecionada como uma das cinco principais habilidades por apenas 15% dos CAEs. Os grupos com maior ênfase na auditoria de fraude são da América Latina (31%) e da indústria de construção (30%), enquanto para investigações forenses e demais, a maior ênfase é dada na África Subsaariana (29%) e Sul da Ásia (26%) (Q30, participantes). Conclusão Pergunta 1: Qual a importância do risco de fraude para a gerência executiva e CAEs? Em valor nominal, a fraude não parece se destacar em termos de foco por parte da gerência executiva ou CAEs. No entanto, vale notar que certos regulamentos, tais como a lei americana Sarbanes-Oxley de 2002, foram implementados como um resultado da fraude. Há um bom volume de esforços antifraude dedicados à conformidade a partir deste regulamento. Por conta da Controle Interno Estrutura Integrada de 2013 do COSO, os auditores externos vêm dedicando mais tempo ao Princípio 8 e à adequação da avaliação do risco de fraude por parte da administração. Em mercados em desenvolvimento ou emergentes, os CAEs dão maior ênfase ao risco de fraude. O mesmo é aplicável a organizações privadas. Apesar de uma grande parte dos esforços de auditoria interna não ser dedicada estritamente ao risco de fraude, os auditores internos devem ter em mente que o risco de fraude pode ter sérias consequências para uma organização ou um departamento de auditoria interna. Em Espanhol, temos uma frase típica: abra o guarda-chuva antes que a chuva chegue, diz Jorge Badillo, gerente de auditoria interna na Sierra Gorda SCM e presidente da Federação Latino-Americana de Auditores Internos.

12 2 A Responsabilidade da Auditoria Interna pela Prevenção e Detecção de Fraudes Os resultados não são inesperados. Há níveis diferentes de maturidade, tanto em entidades quanto em países, diferentes expectativas sociais, assim como muitas variáveis que influenciam a determinação do papel da auditoria interna em um ambiente de negócios e tecnologia em rápida mudança. Bruce Turner, CAE aposentado, ex-presidente imediato do International Public Sector Committee e Presidente do Comitê de Auditoria do IIA Australia A s informações em alguns manuais sugerem que a administração é responsável por estabelecer e manter os controles internos (incluindo os controles antifraude), enquanto os auditores internos precisam avaliar os controles da administração e estar atentos a alertas de fraude. A realidade é, frequentemente, diferente do ideal dos manuais. Os resultados da pesquisa mostram que há, frequentemente, uma responsabilidade compartilhada entre a auditoria interna e a administração, no que se trata do risco de fraude. Cerca de 3 a cada 10 dos participantes da pesquisa dizem que a auditoria interna tem toda ou maior parte da responsabilidade de detecção ou prevenção de fraudes em suas organizações, com cerca de 6 em cada 10 dizendo que têm parte da responsabilidade (veja o Documento 7). O documento mostra uma probabilidade um pouco maior de que os auditores internos sejam responsáveis pela detecção de fraudes do que pela prevenção de fraudes. Documento 7 Detecção de Fraudes Prevenção de Fraudes 6% 6% O Problema de Toda ou Nenhuma Responsabilidade Responsabilidade da Auditoria Interna pela Detecção ou Prevenção de Fraudes 23% 21% O Documento 7 também mostra que alguns participantes dizem que seus departamentos de auditoria interna não têm qualquer responsabilidade pela detecção (12%) ou prevenção (17%) de fraudes. Muitos líderes de auditoria interna discordam desse conceito de nenhuma responsabilidade, por parte da auditoria interna, pela detecção de fraudes. Lynn Fountain, autora da obra Raise the Red Flag: An Internal Auditor s Guide to Detect and Prevent Fraud, comentou que Os auditores internos precisam fazer um brainstorming dos riscos de fraude como parte de qualquer trabalho. Isso está nas Normas, mas os auditores não o estão fazendo com eficácia, na realidade. Na outra ponta da escala, 6% dos participantes dizem que seus departamentos de auditoria interna assumem toda a responsabilidade pela detecção e prevenção de fraudes (veja o Documento 7). No entanto, 59% 57% 17% 12% 0% 20% 40% 60% 80% 100% Total responsabilidade Maior parte da responsabilidade Parte da responsabilidade Nenhuma responsabilidade Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de fraudes em sua organização? participantes. Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de fraudes em sua organização? participantes. Devido ao arredondamento, alguns totais podem não somar 100%.

13 Dar à auditoria interna toda ou a maior parte da responsabilidade pela detecção de fraudes é uma abordagem antiga, e a coisa mais confortável que uma empresa pode fazer, porque significa que as outras áreas da organização não serão desafiadas a apoiar os esforços de detecção de fraudes. Jorge Badillo, Gerente de Auditoria Interna, Sierra Gorda SCM, e Presidente da Federação Latino-Americana de Auditores Internos a responsabilidade total pela prevenção e detecção de fraudes vai contra o conceito de independência da auditoria interna e contra o Modelo das Três Linhas de Defesa.* Ashar comentou, Não concordo com [a auditoria interna ter total responsabilidade pela prevenção de fraudes]. Essa responsabilidade é da administração e da primeira linha de defesa. No entanto, em muitos casos, é esperada da auditoria interna a revisão do desenvolvimento dos controles internos, antes que estes sejam implementados. Isso, de certa forma, faz parte da prevenção de fraudes. Da mesma forma, é exigido dos auditores externos, por suas normas profissionais, que eles avaliem, ao auditar as demonstrações financeiras, o risco de distorção relevante advindo de fraudes e erros. Dar ao departamento de auditoria interna toda a responsabilidade pela prevenção e detecção de fraudes vai contra as Normas e as boas práticas. Os Auditores Internos de Empresas Privadas Estão Mais Envolvidos no Risco de Fraude A responsabilidade pela fraude também é diferente de acordo com o tipo de organização, com as empresas privadas reportando altos níveis de envolvimento. Para a detecção de fraudes, 36% dos participantes do setor privado dizem ter toda ou maior parte da responsabilidade, em comparação com a média de 29% (Q55, participantes). A lacuna é maior para a prevenção de fraudes, com 35% do setor privado, em comparação com a média de 26% (Q56, participantes). Isso pode ser atribuído à tendência de empresas privadas não terem uma segunda linha de defesa (ex., as funções de gerenciamento de riscos e compliance). * Declaração de Posicionamento do IIA, As Três Linhas de Defesa no Gerenciamento de Riscos e Controle Eficazes, Janeiro de 2013, 3-5. Quando os auditores internos têm responsabilidade por certos aspectos da prevenção e detecção de fraudes, essas responsabilidades incluem investigar suspeitas de fraude, facilitar avaliações do risco de fraude, monitorar o canal de denúncias, auditar os controles antifraude da administração e fornecer treinamento de conscientização de fraude. As Regiões Diferem Muito em Níveis de Responsabilidade Os Documentos 8 e 9 mostram as grandes diferenças entre as regiões. O maior nível de responsabilidade pela prevenção e detecção de fraudes é reportado no Sul da Ásia (composto, em sua maioria, por participantes da Índia), onde cerca de 5 a cada 10 participantes dizem ter toda ou maior parte da responsabilidade (barras verdes). Outras regiões com altos níveis de responsabilidade são Oriente Médio e África do Norte, América Latina e Caribe, e a África Subsaariana (de 31% a 38%). Ashar explica como as estruturas de regulamentação e controle estão moldando o papel da auditoria interna quanto à fraude na Índia: A lei indiana Companies Act de 2013 e o COSO de 2013 puseram muita ênfase na auditoria interna, com abordagem direta à fraude. As empresas estão investindo no estabelecimento de departamentos de auditoria interna e no desenvolvimento das capacidades dos já existentes. Além disso, a cultura e maturidade organizacional também têm grande efeito nos resultados, explicou Owen Purcell, parceiro líder da EY no EMEIA Risk Centre of Excellence, no Reino Unido. No geral, quando examinamos a Europa, vemos maturidade na forma como as empresas gerenciam o risco de fraude. A auditoria interna tem um papel; no entanto, geralmente não estão liderando o processo. A administração e

14 Documento 8 Detecção de Fraudes: Responsabilidade da Auditoria Interna (Visão Regional) 80% 77% 60% 58% 56% 48% 51% 49% 46% 38% 40% 59% 58% 35% 31% 20% 29% 14% 13% 29% 28% 14% 13% 13% 15% 12% 8% 6% 0% Sul da Ásia Oriente Médio América Latina e África do Norte e Caribe África Subsaariana Leste Asiático e Pacífico Europa Parte da responsabilidade Toda ou maior parte da responsabilidade América do Norte Média Global Nenhuma responsabilidade Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar 100% participantes. Documento 9 Prevenção de Fraudes: Responsabilidade da Auditoria Interna (Visão Regional) 80% 65% 60% 51% 58% 54% 52% 59% 57% 44% 42% 38% 40% 37% 31% 27% 24% 19% 20% 15% 7% 15% 24% 26% 17% 17% 11% 10% 0% Sul da Ásia Oriente Médio América Latina e África do Norte e Caribe Toda ou maior parte da responsabilidade África Subsaariana Leste Asiático e Pacífico Parte da responsabilidade Europa América do Norte Média Global Nenhuma responsabilidade Observação: Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar 100% participantes.

15 a segunda linha de defesa (conformidade, riscos, etc.) são responsáveis, em geral, pelo controle e gestão do risco de fraude. Purcell diz que as atitudes culturais perante a fraude e a auditoria interna também afetam o papel da auditoria interna. No Sul da Ásia e no Oriente Médio, há uma crença de que a auditoria interna deve sempre verificar a possibilidade de fraude. Há diversas camadas de aprovações e assinaturas, com os auditores internos verificando os verificadores. As funções de auditoria interna estabelecidas no Oriente Médio têm destaque em suas empresas e, como resultado, a administração tenderia a delegar maior responsabilidade pela detecção de fraudes a elas. Departamentos Maiores Têm Maior Responsabilidade Os departamentos maiores de auditoria interna tendem a assumir maior responsabilidade por prevenir e detectar fraudes do que departamentos menores. Em organizações com mais de 50 auditores internos, 37% dos participantes declararam ter toda ou maior parte da responsabilidade pela detecção de fraudes, em comparação com a média global de 29% (veja o Documento 10). Para a prevenção de fraudes, os resultados foram parecidos, com 33% das organizações com mais de 50 auditores internos assumindo toda ou maior parte da responsabilidade, em comparação com a média global de 26% (veja o Documento 11). Os resultados podem ser explicados pela existência de especialistas em fraude ou investigadores dedicados em departamentos maiores de auditoria interna, o que normalmente não pode ser justificado em departamentos menores, por conta das limitações de custo. A existência desses especialistas ou investigadores de fraude dedicados aumenta a percepção de que a auditoria interna deva fazer mais para prevenir e detectar fraudes. Além disso, as expectativas da administração para as funções de auditoria interna também têm um papel a desempenhar. Na minha experiência, a maioria das empresas indianas não tem um departamento separado e único de investigação. Isso inclui empresas listadas. A responsabilidade recai sobre a auditoria interna e a expectativa da administração é que a auditoria interna deve assumir um papel de liderança em resposta ao risco de fraude, diz Ashar. Uma Abordagem Coordenada ao Risco de Fraude é a Melhor Opção A auditoria interna não é o meio de detecção de fraudes que mais prevalece, de acordo com a Association of Certified Fraud Examiners (ACFE) (veja o Documento 12). Em vez disso, a fraude é detectada mais frequentemente pelos controles internos (denúncias) e pela primeira linha de defesa (revisão por parte da administração). Uma resposta eficaz ao risco de fraude deve incluir múltiplas linhas de defesa, com o envolvimento do comitê de auditoria, da alta administração e dos setores de conformidade, jurídico, recursos humanos e auditoria interna. Dr. Al Faddagh compartilha sua opinião: Precisamos pensar na gestão do risco de fraude como um processo. Nele, há responsabilidades compartilhadas entre a auditoria interna, a administração e as funções da segunda linha. Quando se trata da detecção, acredito que a auditoria interna tenha uma porção maior de responsabilidade do que ela tem pela prevenção de fraudes. Sem uma abordagem coordenada, há um maior risco de falha em detectar fraudes e em reagir com eficácia após sua detecção.

16 Documento 10 80% Detecção de Fraudes: Responsabilidade da Auditoria Interna (Visão por Porte do Departamento de Auditoria Interna) 58% 60% 64% 61% 60% 54% 37% 40% 27% 29% 26% 20% 25% 14% 13% 12% 12% 9% 0% 1a3 4a9 10 a ou mais Parte da responsabilidade Toda ou maior parte da responsabilidade Média Nenhuma responsabilidade Observação: Q55: Qual o grau de responsabilidade da auditoria interna pela detecção de fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar 100% participantes. Documento 11 80% Prevenção de Fraudes: Responsabilidade da Auditoria Interna (Visão por Porte do Departamento de Auditoria Interna) 60% 58% 58% 60% 57% 52% 40% 33% 26% 23% 20% 19% 16% 26% 23% 17% 15% 17% 0% 1a3 4a9 Toda ou maior parte da responsabilidade 10 a 49 Parte da responsabilidade 50 ou mais Média Nenhuma responsabilidade Observação: Q56: Qual o grau de responsabilidade da auditoria interna pela prevenção de fraudes em sua organização? Devido ao arredondamento, alguns totais podem não somar 100% participantes.

17 Documento 12 Formas de Detecção Inicial de Fraudes Método de Detecção % de casos Denúncias 42% Revisão da Administração 16% Auditoria Interna 14% Outros métodos, tais como por acidente, auditoria externa, agências de aplicação da lei, etc. 28% Fonte: ACFE 2014 Report to the Nations on Occupational Fraud and Abuse (Association of Certified Fraud Examiners, 2014), tradução livre da figura 11. Usada com permissão. Conclusão Pergunta 2: Até que ponto os auditores internos são responsáveis pela prevenção e detecção de fraudes? Não há apenas uma resposta correta. Depende amplamente da cultura e maturidade da organização, e da visão/posicionamento da auditoria interna dentro dela. Para organizações de menor porte, pode ser inviável manter equipes separadas de auditoria interna e investigações. No entanto, quando a auditoria interna se envolve extensivamente nas investigações de fraude, ela pode não ser capaz de agregar o máximo valor à organização. De acordo com o Presidente e CEO do IIA, Richard Chambers, o envolvimento nas investigações de fraude pode afetar os relacionamentos da auditoria interna dentro da organização. Quando os auditores internos estão profundamente envolvidos em investigações que possam resultar em ações disciplinares contra executivos ou outros funcionários, pode ser difícil que os auditores internos sejam vistos, depois, como conselheiros confiáveis que estão ali para ajudar, quando retomarem seu papel de auditoria interna, diz.* Ainda assim, a auditoria interna deve considerar o risco de fraude na preparação de sua avaliação de risco, deve estar atenta a alertas durante os trabalhos e deve reagir de acordo com as políticas da organização e leis aplicáveis. * Richard Chambers, The Dangers to Internal Audit of Donning a Black Hat. Obtido em: iaonline.theiia.org, 15 de Julho de 2014.

18 3 As Capacidades da Auditoria Interna na Reação ao Risco de Fraude O s auditores internos são capazes de reagir ao risco de fraude? Eles têm as habilidades certas? Esta seção analisa as capacidades dos auditores internos em relação à resposta ao risco de fraude. Ela discute como os auditores internos avaliam suas capacidades relativas ao risco de fraude, qual porcentagem dos auditores internos tem certificações relativas a fraude e até que ponto os auditores internos utilizam a análise de dados para detectar e prevenir fraudes. Os Auditores Internos Parecem Confiantes em Suas Habilidades de Risco de Fraude Os auditores internos parecem confiantes quanto à incorporação do risco de fraude em seus trabalhos e quanto ao apoio à conscientização do risco de fraude, apesar de apenas uma porção muito pequena (5%) dos participantes ter tido treinamento formal relativo à fraude e dedicar a maior parte de seu tempo ao trabalho nessa área Documento 13 Níveis de Habilidade de Competências Relativas à Fraude 40% 30% 34% 31% 28% 32% 28% 1-Iniciante 2-Treinado 20% 17% 3-Competente 13% 4-Avançado 10% 7% 4% 8% 5-Especialista 0% Apoio à conscientização do risco de fraude Incorporação das considerações de ética e fraude aos trabalhos de auditoria Observação: Estime sua proficiência em cada competência, usando a escala a seguir: 1-Iniciante; 2-Treinado; 3-Competente; 4-Avançado; 5-Especialista. Q81: Tópico: Apoio à conscientização do risco de fraude ( participantes) e Q83: Incorporação das considerações de ética e fraude aos trabalhos de auditoria ( participantes).

19 Se sua política de fraude ou seu estatuto de auditoria interna diz que você tem responsabilidades de investigação de fraude, você precisa ter a capacidade de contratar ajuda ou de contar com as habilidades internamente; do contrário, não o faça. Lynn Fountain, Autora de Raise the Red Flag: An Internal Auditor s Guide to Detect and Prevent Fraud (Q11, participantes). Cerca de 6 em cada 10 participantes acreditam ter conhecimento avançado ou especializado quanto à incorporação de considerações de ética e fraude nos trabalhos de auditoria, e outros 5 a cada 10 pensam o mesmo sobre apoiar a conscientização do risco de fraude (veja as barras dourada e roxa no Documento 13). Esse nível de confiança pode indicar que os auditores internos não estão cientes do conhecimento especializado necessário para responder com eficácia ao risco de fraude. A reação ao risco de fraude não gira apenas em torno da análise do risco e da auditoria dos controles existentes. Há técnicas de investigação, de entrevista, de exame forense digital e outras abordagens especializadas que precisam ser acessíveis à auditoria interna, para que ela possa reagir apropriadamente à fraude. Os auditores internos podem se tornar complacentes e pensar que entendem de fraude, mas, de fato, não entendem realmente os aspectos únicos de programas antifraude e esquemas de fraude emergentes, diz Turner. Poucos Auditores Internos Têm Certificações Relativas à Fraude Apenas 6% dos auditores internos do mundo (5% em 2010) têm uma certificação de examinador de fraude, como a certificação certified fraud examiner (CFE) da ACFE (veja o Documento 14). A região com maior taxa de auditores internos com certificações de exame de fraude foi a América do Norte, com 15%, seguida pelo Oriente Médio, com 8%. As demais regiões do mundo tiveram uma média de cerca de 3%. Adicionalmente, na Pesquisa Global de Auditoria Interna CBOK 2010, 11% dos participantes disseram planejar obter uma certificação de exame de fraude. Parece que muito poucos realizaram este plano ao longo dos últimos cinco anos. Isso não é de surpreender, porque os auditores internos normalmente buscam credenciais de auditoria interna, tais RECURSO Documento 14 Participantes com Certificações de Fraude Lynn Fountain, Raise the Red Flag: An Internal Auditor s Guide to Detect and Prevent Fraud (Altamonte Springs, FL: The Institute of Internal Auditors Research Foundation, 2015). América do Norte 15% Oriente Médio e África do Norte Europa África Subsaariana América Latina e Caribe 3% 4% 4% 8% Leste Asiático e Pacífico 3% Sul da Ásia 2% Média Global 6% 0% 5% 10% 15% 20% Observação: Q13: Quais certificações profissionais você tem em áreas que não sejam auditoria interna? (Escolha todas as aplicáveis.) Tópico: Exame de fraude (como CFE) participantes.

20 como o certified internal auditor (CIA) ou a qualification in internal audit leadership (QIAL), antes de obter certificações especializadas, tais como a CFE. O papel da auditoria interna na reação ao risco de fraude e a atitude do CAE em relação às certificações podem explicar esses resultados, diz Turner. Na Austrália, entidades de grande porte e bem estabelecidas frequentemente têm equipes especializadas em investigações de fraude. Então, a auditoria interna não investiga fraudes nesses casos. Outro fator é quando os escritórios de auditoria interna não têm planos de desenvolvimento profissional, por não enxergarem o valor em obter certificações no nível do departamento de auditoria interna. Acho que esta é uma perspectiva limitada que precisa mudar, para que os departamentos de auditoria interna sejam totalmente eficazes. Além disso, os resultados da pesquisa mostram que certificações de exame de fraude, quando disponíveis, são obtidas mais tarde na carreira de um auditor interno: 75% dos auditores internos com certificação de exame de fraude estão no nível de gerência ou maior. Da mesma forma, 66% dos auditores internos com certificação de exame de fraude têm 40 anos de idade ou mais (Q13, participantes). Logicamente, os auditores internos buscam a credencial CIA antes de obter outras certificações. Especialistas discordam quanto ao tópico das certificações de exame de fraude. De acordo com Fountain, Não ter uma certificação de exame de fraude não significa que você não será capaz de avaliar como a organização reage ao risco de fraude. O conhecimento da organização e de sua indústria é crítico para entender os tipos de esquemas de fraude que poderiam ocorrer. Por outro lado, Purcell comentou, Auditores internos não-especialistas seriam capazes de criar e preservar um rastro de evidências aceitável em juízo? Por fim, os auditores internos que terão papel ativo na reação ao risco de fraude precisarão tanto de certificações de exame de fraude, quanto de treinamento e experiência especializados. A Análise de Dados é Muito Usada para Identificar Fraudes O uso da análise de dados é um componente importante de programas antifraude amadurecidos. Cerca de 5 em cada 10 departamentos de auditoria interna que têm atividades de análise de dados utilizam as mesmas para identificar possíveis fraudes, entre outras coisas. Isso aumenta para 62% em organizações com mais de funcionários (veja o Documento 15). Tais resultados não são de surpreender, considerando que a implantação da análise de dados exige investimento de tempo e recursos. De acordo com um relatório da ACFE, o monitoramento/análise de dados de forma proativa é um dos controles antifraude mais eficazes em termos de reduzir perdas e durações medianas de fraude.* O monitoramento de dados aumenta a probabilidade de detecção de esquemas de fraude (ex., funcionários ou fornecedores fictícios) e alertas de fraude (pagamentos ou cobranças duplicadas, tendências/ padrões incomuns, o momento das transações, entradas manuais nos registros, etc.). Dr. Al Faddagh concorda com o uso da análise de dados para reagir ao risco de fraude. Os departamentos de auditoria interna precisam criar um banco de dados inteligente, que inclua todos os incidentes de fraude acontecidos ao longo dos anos. Esse banco de dados deve ser pesquisável e, então, você pode analisar tendências e obter insights úteis sobre hotspots de fraude e sobre as circunstâncias que levam à perpetração da fraude, diz. * Report to the Nations on Occupational Fraud and Abuse Examiners, 2014).

21 Documento 15 Análise de Dados Usada para Identificar Possíveis Fraudes (Visão por Porte da Organização) Menos de % 500 a % a % a % Mais de % Média 49% 0% 20% 40% 60% 80% Observação: Q96: Seu departamento de auditoria interna usa mineração ou análise de dados para as atividades a seguir? O documento mostra os participantes que escolheram identificação de possíveis fraudes participantes. Além disso, a análise de dados pode ser ainda mais eficaz se for incorporada como parte da primeira linha de defesa. Purcell diz, As empresas podem usar a análise de dados como parte da administração do departamento de auditoria interna, mas também precisam saber usá-la no decorrer da gestão do negócio, para detectar e analisar transações comerciais diárias em busca de fraudes. Novas ferramentas e técnicas estão emergindo e são mais imediatas do que históricas em suas análises. Incorporar a análise de dados no negócio também provavelmente resultará em maior eficiência operacional, não apenas na melhoria da detecção de fraudes. Conclusão Pergunta 3: Os auditores internos são capazes de reagir ao risco de fraude? Como os auditores internos podem se sentir confiantes em sua habilidade de reagir ao risco de fraude, se a maioria deles não é proprietária do risco, dedica relativamente pouco tempo ao risco de fraude e a grande maioria não possui certificações relativas à fraude? Uma resposta lógica seria que a maioria dos auditores internos tem uma lacuna de habilidades no que tange ao risco de fraude. Isso significa que eles precisariam receber treinamento regular sobre fraude para ter conhecimentos suficientes sobre os alertas de fraude e para atender os requisitos das Normas. A partir do ponto de vista tecnológico, a análise de dados (quando implantada) é usada pelos auditores internos para identificar fraudes e alertas de fraude. Alguns especialistas suspeitam que a atividade esteja centrada principalmente em torno da análise rotineira de gastos com viagens e entretenimento, a não ser que haja um programa antifraude maduro em prática (o que é verdade, mais provavelmente, em indústrias específicas ou empresas de grande porte). Apesar dos participantes dizerem usar a análise de dados para detectar fraudes, isso pode estar acontecendo apenas em um nível superficial.

22 4 Cinco Formas de Melhorar a Abordagem da Auditoria Interna ao Risco de Fraude O risco de fraude não é abordado adequadamente. Com o aumento do uso da tecnologia, a auditoria interna precisa incorporar avaliações do risco de fraude em qualquer processo de auditoria. Umesh Ashar, Gerente Geral Sênior Auditoria Interna, Tata Motors Limited L idar com fraudes, ou até falar sobre isso, pode ser algo que a administração tenda a evitar, não importa a materialidade. A natureza de alguns casos de fraude (seja a ambiguidade em torno deles ou as posições delicadas dos perpetradores) pode tirar a atenção dos objetivos e riscos fundamentais do negócio. A fraude também pode prejudicar o moral, os recursos e a reputação de uma organização. Isso é o que torna o risco de fraude mais complexo do que outros riscos do negócio. A grande maioria dos auditores internos do mundo indica ter ao menos parte da responsabilidade de detecção e prevenção de fraudes em suas organizações (88% e 84%, respectivamente; veja o Documento 7). No entanto, o risco de fraude compõe apenas 4% da maioria dos planos de auditoria interna (veja o Documento 5) e apenas 25% dos CAEs acreditam que o foco no risco de fraude aumentará em 2015 (veja o Documento 6). E, apesar da grande maioria dos auditores internos não ter certificações de exame de fraude (94%; veja o Documento 14), cerca da metade acredita ser competente ou melhor no apoio à conscientização de fraude e na incorporação das considerações de fraude nos trabalhos de auditoria (veja o Documento 13). Quando os CAEs escolheram as cinco principais áreas de risco, uma média global de 3 a cada 10 escolheu a fraude, mas há grandes diferenças entre as regiões (53% no Sul da Ásia, em comparação com 22% na América do Norte; veja o Documento 2). Os resultados também indicam que os auditores internos de empresas privadas são mais focados no risco de fraude do que em outros tipos de organização (veja o Documento 3). Por fim, o risco de fraude é mais provavelmente escolhido como uma das cinco prioridades pela auditoria interna do que pela administração, de acordo com as percepções da auditoria interna (veja o Documento 2). Apesar do risco de fraude não ser o foco principal da auditoria interna, quando grandes fraudes ocorrem em uma organização, a administração e os auditores internos frequentemente redirecionam todo o seu foco e energia para o risco de fraude. Isso é um dilema para os CAEs. Como se planejar para uma situação como essa? Para estarem preparados, os CAEs devem se certificar de que o papel da auditoria interna esteja claro para todas as partes interessadas. Do contrário, podem surgir dúvidas quanto à eficácia e valor do departamento de auditoria interna. Isso significa que os CAEs precisam ser proativos no que tange à abordagem ao risco de fraude e à aplicação de uma abordagem baseada em riscos para seus esforços. O Caminho À Frente As mensagens da pesquisa de 2015 e deste relatório precisam resultar em ações tangíveis para os CAEs e departamentos de auditoria interna. As cinco recomendações a seguir podem ajudar a melhorar a abordagem da auditoria interna em relação ao risco de fraude em todos os tipos de organização.

23 1. Estabeleça o papel da auditoria interna quanto à fraude. Qual é o papel da auditoria interna nos esforços antifraude da organização? Quais atividades (se houver) o departamento de auditoria interna executará para prevenir e detectar fraudes? Os CAEs precisarão entender as expectativas das partes interessadas e os requisitos das Normas para posicionar seus departamentos e documentar o papel no estatuto de auditoria interna e na política antifraude da organização. Considerando que a investigação ou dissuasão de fraude foi escolhida por apenas 29% dos CAEs como a principal forma por meio da qual a auditoria interna agrega valor, os CAEs podem querer delegar o máximo que puderem da responsabilidade de detecção e prevenção de fraudes para a primeira (gestão operacional) e a segunda (funções de gerenciamento de riscos e conformidade) linhas de defesa. Purcell diz, Os auditores internos devem trabalhar para empurrar a responsabilidade de fraude e gestão do risco de fraude para o negócio. A auditoria interna pode ser educadora e garantir que a estrutura de controle esteja operando corretamente, e que a primeira e segunda linhas de defesa estejam fazendo seu trabalho; a auditoria interna não deve se tornar a primeira ou a segunda linha de defesa. No entanto, se você trabalha em uma empresa privada ou em uma região com grande foco em fraude, você pode precisar aumentar o envolvimento do departamento de auditoria interna no risco de fraude e buscar a melhor forma de agregar valor ao programa antifraude da organização. 2. Eduque a administração sobre o risco de fraude. Os auditores internos parecem muito confiantes no apoio à conscientização de fraude, então faria sentido colocar essas habilidades em prática. Promova o Modelo das Três Linhas de Defesa. Conscientize sua organização sobre o risco de fraude, as Normas e o papel da auditoria interna. Você pode precisar abordar as lacunas de expectativas, diz Fountain. É muito desafiador atender as Normas e acompanhar as expectativas da administração. Os CAEs precisam comunicar periodicamente o papel da auditoria interna quanto à fraude, tanto para o comitê de auditoria quanto para a administração. 3. Seja proativo ao abordar o risco de fraude. Não apenas se sente e espere que a fraude aconteça; seja proativo! Use os canais de denúncia da auditoria, audite os controles da administração sobre fraudes, audite protocolos de investigação e audite programas antissuborno e corrupção. Além disso, você pode facilitar avaliações do risco de fraude, aumentar a frequência das auditorias em processos de alto risco de fraude, promover a necessidade de uma capacidade forense digital e assim por diante. Certifique-se de estar de acordo com seu comitê de auditoria sobre qual tarefa agregaria maior valor à organização. Turner recomenda, Os auditores internos precisam de foco razoável em facilitar as avaliações do risco de fraude, porque essa é uma área em que podem agregar muito valor, trazendo soluções estratégicas para minimizar o risco de fraudes potencialmente significantes. As Normas exigem que o auditor interno avalie o potencial de fraude, e facilitar as avaliações do risco de fraude é um bom passo em direção a atender esse requisito. 4. Desenvolva um banco de dados de lições aprendidas. Quando a fraude ocorre, ela deve (entre outras coisas) levar à correção de