O Papel da Auditoria Interna no Combate às Fraudes A perspectiva da União Europeia Robert GIELISSE, CIA, CGAP Conselheiro-Chefe (PA), responsável pelos projetos PIC/PIFC (Comissão Europeia) Direção-Geral de Orçamento – PA.02

Apresentador Robert GIELISSE – nacionalidade holandesa Certificações CIA, CGAP Conselheiro-Chefe, chefe da Força-Tarefa para Controle Interno Público/Controle Interno das Finanças Públicas (PIC/PIFC) da Comissão Europeia Presidente da Rede e do Grupo de Trabalho EU28 PIC (Controle Interno Público) Na Comissão Europeia desde 1983, várias cargos de gestão desde 1993 Administração Fiscal Holandesa 1978 – 1983 Graduações em Economia e Direito 2

Premissas Referência para Controle Interno: framework do COSO framework/diretrizes da INTOSAI Referência para Auditoria Interna: Estrutura Internacional de Práticas Profissionais (IPPF) do IIA CI/AI são executadas no nível de entidade (AI pode ser centralizada ou descentralizada) Investigação (quando presente) em nível central como atividade ex-post (não proativa) 3

Definição de Controle Interno Controle Interno (Definição do COSO) Processo, efetuado pela gestão, pelo conselho diretor ou por outra equipe da entidade, projetado para prover segurança razoável sobre os atingimento dos objetivos nas seguintes categorias: eficiência e eficácia das operações – atingimento da missão; confiabilidade (financeira e outras) dos relatórios – dados precisos para tomada de decisão cumprimento das leis e regulamentos salvaguarda de ativos 4

Controle Interno, na essência Na essência … trata de Processos Pessoas Razoável segurança Objetivos claros 5

Definição de Auditoria Interna (IPPF do IIA) Auditoria interna é uma atividade independente e objetiva de garantia e consultoria, concebida para agregar valor e melhorar as operações da organização. Auxilia a organização a atingir seus objetivos trazendo uma abordagem sistemática e disciplinada para avaliar e melhorar a eficácia dos processo de gestão de risco, controle e governança 6

Auditoria Interna, na essência Auditoria Interna (serviços de avaliação) Na essência – trata-se de Agregar valor: pretende-se melhorar as operações avaliadas Segurança razoável (não absoluta) de que: Os processos de Gestão de Riscos, Controle e Governança operam conforme planejados 7

1. Definição de Auditoria Interna - Obrigatório IPPF Estrutura Internacional de Práticas Profissionais International Professional practice Framework (IPPF) 1. Definição de Auditoria Interna - Obrigatório 2. Código de Ética - Obrigatório 3. Normas (de Atributos e de Desempenho) - Obrigatório 4. Orientações Práticas - Recomendado 5. Guias Práticos - Recomendado 6. Declarações de Posicionamento - Recomendado 7. Glossário 8

Definição de Fraude - 1 Fraude: Definição de 2008 do IIA, do Instituto Americano de Contadores Públicos Certificados (AICPA) e da Associação de Examinadores Certificados de Fraudes (ACFE) “Qualquer ato ou omissão intencional destinado a enganar a outros, resultando em perda para a vítima ou em benefício para o autor" AICPA: American Institute of Certified Public Accountants ACFE: Association of Certified Fraud Examiners The IIA IPPF Glossary definition of fraud: "Any illegal act characterized by deceit, concealment or violation of trust. These acts are not dependent upon the application of threat or violence or physical force. Frauds are perpetrated by parties and and organisations to obtain money, property or services; or to secure personal of business advantage" 9

Definição de Fraude - 2 Fraude pode ser lesiva para a organização (setores público e privado) Pode ser benéfica para a organização (geralmente setor privado) em benefício de um ou mais indivíduos (setores público e privado) em benefício da organização (geralmente setor privado) Foco na fraude que é lesiva à organização e em benefício de um ou mais indivíduos 10

Exemplos de fraude no setor público Contratação de Bens e Serviços Suborno e corrupção Contratação de Pessoal Roubo de dados e propriedade intelectual Golpe Gestão da folha de pagamentos e dos gastos Examples of fraud: - Acceptance of bribes or kickbacks - Embezzlement via misappropriation of money or property - Ghost employees on payroll - Submitting claims for services or goods that were never provided - Improper payments, including bribes, kickbacks, payoffs to officials - Intentional failure to act in circumstances where action is required by law or the entity's - Intentional and improper representation of value of transactions, assets, liabilities and income - Intentional errors in tax declarations - Unauthorized sale of assets - Unauthorized or illegal use of confidential information - Theft, including petty cash 11

Combate à Fraude: principais atores O fraudador A gestão Auditoria Interna Investigação Auditoria Externa 12

Qualquer pessoa pode cometer fraude O Fraudador - Perfil Perfil dele/dela Qualquer pessoa pode cometer fraude mas Perfil Chave (PWC 2014 – Setor Privado): Masculino 31 – 40 anos 6+ anos de serviço Nível superior 13

O Fraudador: o triângulo da fraude Pré-condições para fraudar: 1) Como? Oportunidade 2) Por quê? Motivo 3) Por quê não? Racionalização Opportunity: - No controls, lack of controls - Possibility to override controls (management) Collusion Motive: - Power - Greed, addiction Pressure Rationalisation: - Bad tone at the top (If they can do it, why can't I?) - Just borrowing… - There's money enough where it comes from - Compensates for a promotion I never got 14

Gestão e Fraude Papel da gestão no combate à fraude: Preventivo, Detectivo e Responsivo Principal responsabilidade da gestão é assegurar a existência de Controle Interno adequado Estruturas de governança devem considerar risco de fraude: Estratégia e políticas anti-fraude francas Ambiente ético que define o “tom” correto (inclusive no topo) Risco de fraude deve ser incluído nas avaliações de risco Conceber controles preventivos e detectivos que sejam efetivos Resposta a casos de fraude deve ser consistente e aberta Relatar a Fraude 15

Auditoria Interna e Fraude Um dos principais objetivos da Auditoria Interna é fornecer segurança razoável de que o sistema de controle interno opera conforme esperado. Isto pressupõe que o sistema de CI deve ser suficientemente a prova de fraudes e que a Auditoria Interna busca testar a robustez do sistema de CI para os tipos de fraudes mais prováveis: se controles foram instituídos para prevenir e detectar ocorrências de fraude e se estes controles são eficazes Auditores Internos devem possuir conhecimento suficiente para identificar indícios de fraude, mas não necessitam ter a experiência das pessoas cuja responsabilidade primária é detectar e investigar fraudes Se o Auditor Interno provê razoável segurança sobre a qualidade do sistema de Controle Interno, isto não significa que não ocorreu fraude o que ela não ocorrerá (‘Lacuna de Auditoria’) Não se espera do Auditor Interno que detecte ou investigue fraude! 16

Padrões do IPPF Aplicáveis Papel do Auditor Interno – 1 Padrões do IPPF Aplicáveis IPPF – Padrões Internacionais para Auditoria Interna relacionados a Fraude 1210.A2 Conhecimento (conhecimento suficiente para avaliar o risco de fraude) 1220.A1 – Devido Zelo Profissional (considerar a probabilidade de fraude) 2060 – Reportar à Gerência Executiva e ao Conselho (relatórios devem incluir riscos de fraude) 2110.A1 Programas de Ética (avaliar os objetivos e programas da organização relacionados à ética) 2120.A2 Exame do Risco de Fraude (avaliar o potencial de ocorrência de fraude e a gestão de risco de fraude) 2210.A2 Fraude Significante (considerar a probabilidade de fraudes significantes quando do desenvolvimento dos objetivos do trabalho) 1210.A2 Knowledge - must have sufficient knowledge to evaluate the risk of fraud and the manner in which it is managed by the organisation - not expected to have the expertise of a fraud detector and - investigator 1220.A1 - Due Professional Care - must exercise due professional care by considering - probability of significant errors, fraud, or noncompliance 2060 - Reporting to Senior Management and the Board must report periodically to senior management and the board Reporting must also include significant risk exposures and control issues, including fraud risks, governance issues, and other matters  2110.A1 Ethics programmes - evaluate organisation’s ethics-related objectives, programs and activity 2120.A2 Fraud Risk Examination - evaluate the potential for the occurrence of fraud and how the organisation manages fraud risk 2210.A2 Significant Fraud - when developing the engagement objectives, internal auditors to consider the probability of significant … fraud 17

Responsabilidade dos Auditores Internos relacionadas a fraude Papel do Auditor Interno – 2 Responsabilidade dos Auditores Internos relacionadas a fraude A avaliação objetiva sobre o quadro de governança, gestão de riscos e controle interno da organização Aplicar o devido zelo profissional e ceticismo profissional Prevenir e detectar fraude e corrupção não é um papel primário da auditoria interna Não se espera dos auditores internos que ajam como investigadores profissionais 18

Papel do Auditor Interno – 3 Durante o trabalho de auditoria interna O Auditor Interno deve: Considerar os riscos de fraude no planejamento da atividade de auditoria Considerar os riscos de fraude na avaliação do sistema de controle interno Documentar as considerações sobre riscos de fraude Identificar os grandes riscos de fraude e considerar a eficácia dos controles mitigadores Estar alerta às deficiências do controle; se elas são identificadas, o que aconteceu? Verificar se a gestão endossa ativamente o programa de riscos de fraude Chamar a atenção para as deficiências do controle, assegurar o monitoramento e o prosseguimento de casos de fraude reportados Comunicar à alta administração e ao conselho os casos de fraude significante Recomendar a investigação quando apropriado, em vez de aprofundar a investigação Assess the ethical environment: Tone-at-the –top? Ethical Code? - Is there an effective anti-fraud policy in place and has it been communicated? - Are preventive and detective controls in place? Are they effective? - Is fraud-risk included in the monitoring activities? - What about fraud measurement, response and reporting… 19

Analisando a Avaliação de Risco de Fraude Passos Principais para a Auditoria Interna Identificar fatores de risco de fraudes relevantes Identificar esquemas potenciais de fraude e priorizá-los com base no risco Mapear controles existentes para os esquemas potenciais de fraudes e identificar as lacunas Testar a eficácia dos controles Documentar e relatar a análise da avaliação de risco de fraude 20

Indicadores de Fraude 1: Alerta Vermelho Alerta Vermelho – um sinal de aviso ou dica sobre algo que necessite de atenção extra para descartar ou confirmar a fraude potencial. Alertas vermelhos relacionados a pessoas Estilo de vida luxuoso sem compatibilidade com a renda Aumento repentino de riqueza (carros luxuosos, casa de campo, jóias) Relutância em tirar férias Recusa de mudança de cargo, responsabilidades, arquivos Mudança de personalidade, oscilações de humor, mudança de comportamento 21

Indicadores de Fraude 2: Alerta Vermelho Alertas vermelhos relacionados à Organização Controles internos ineficazes Clima organizacional pobre em relação à ética Sem ‘exemplo que vem de cima’ Procedimentos de recrutamento deficientes Rotatividade alta ou muito baixa para cargos com funções sensíveis 22

Papel do Auditor Interno na Investigação da Fraude A função da Auditoria Interna não é prevenir, detectar ou investigar fraudes A Auditoria interna deve estar alerta para a possibilidade de fraude na condução dos seus trabalhos: isto é, estar atenta aos ‘alertas vermelhos’ Se a fraude for descoberta, o auditor deve alertar a gestão e/ou os serviços especializados Exceções Atuação específica sobre fraude (deve estar no Regimento) Auditoria Forense (para coletar evidências de fraude para casos na justiça) Auditor interno pode ser solicitado a auxiliar os investigadores de fraudes (mas deve possuir conhecimento suficiente) 23

Controle Financeiro (Investigação) e fraude Papel principal do Controle Financeiro nos casos de fraude (compatível com o COSO) Função central especializada (Função de polícia) ("Inspection Générale des Finances") esquadrão/polícia especializada em combate à fraude Baseada em alegações ou suspeita Detectar, investigar Foco em irregularidades Ação corretiva 24

Controle Financeiro: proativo ou reativo 2 modalidades tradicional proativa compatível c/ COSO reativa 25

Papel tradicional da Investigação (na ausência de controle interno/auditoria interna descentralizado(a)) Abordagem proativa exercida através de exames regulares, baseados em plano de trabalho Controle financeiro de operações individuais Controle ex-ante para prevenir descumprimento de normas, irregularidades ou fraude Controle ex-post para corrigir descumprimentos Relatório ao Ministro das Finanças e ao Ministério Público 26

Papel da Investigação compatível com o controle interno descentralizado (COSO) Compatível com o COSO - abordagem reativa – controle ex-post, caso a caso Investigação acionada por suspeição ou fraude, alegação (documentada), denúncia, relatórios de auditoria (interna e externa) Inspeção com o objetivo de investigar irregularidades e fraudes; impor sanções, penalidades quando pertinente Função de 'Polícia' 27

Papel da Auditoria Externa Auditoria Financeira e de desempenho (compatível com INTOSAI) Avaliar o funcionamento do sistema de CI no setor público e informar a gestão (INTOSAI GOV 9100) Considerar o risco de fraude no planejamento e realização de auditoria O foco não é na detecção ou investigação de fraudes, mas na supervisão do CI; a não ser em caso de ausência de CI no setor público Relatórios para o parlamento Tem independência financeira e funcional do executivo Conclusão: auditoria externa é comparável com auditoria interna em relação à fraude 28

Auditoria Interna versus Investigação: uma visão geral Diferenças entre Auditoria Interna e Investigação Auditoria Interna Investigação Acionamento Baseada em risco Baseado em denúncias, suspeição Objetivo Garantia razoável sobre a governança, gestão de riscos, controle Foco no delito e sua correção Escopo Questões de gestão Gerais Legal Tipo de relação Cordial (amigo crítico) Contraditório, interrogativo Premissa Provável adequação Possível impropriedade Motivação Agregar valor Ação corretiva Ambiente Parte Integrante do Controle Interno Externo à entidade 29

Conclusões 1 Fraudador: Oportunidade, Motivo e Racionalização Gestão: Assegura ambiente ético e liderar pelo exemplo Avalia o risco de fraude - projeta controles preventivos e detectivos Age caso uma fraude seja revelada 30

Conclusões 2 Auditoria Interna: Controle Financeiro: Avalia se os controles funcionam À procura de alertas vermelhos Relata casos de presunção de fraude Controle Financeiro: Examina os casos de suspeita de fraude Visa reparar o dano financeiro Garante que fraudador é relatado para indiciamento Auditoria Externa: Papel compatível com a auditoria interna 31

Conclusões 3 No que concerne fraudes, lembre-se: A maioria das fraudes começa pequena Segregação de tarefas é crucial para atividades sensíveis a transações financeiras (cash) Antiguidade, reputação ou confiança não podem justificar perda ou ausência de controles internos: mesmos controles para todos A confiança é um denominador comum subjacente a muitas fraudes 32

Fontes IPPF – Practical Guide: Internal Auditing and Fraud – Dezembro de 2009, IIA CIA-Part2, Topic 2, Conducting the Internal Audit Engagement – Awareness of the Potential Fraud, 2010, IIA Auditing Fraud – How to do it right: A Practical Guide. Apresentação de Martin Robinson na IIA Global conference, Londres, Junho 2014 Donald McConnell Jr/Fanghry Josan, Internal Audit Magazine, Agosto 2014 33

Obrigado! Questões 34