As fraudes corporativas no Brasil e no mundo

As fraudes corporativas no Brasil e no mundo

As fraudes corporativas no Brasil e no mundo

18 Abr 2023

Empresas como JBS e Odebrecht possuíam (e ainda possuem) altíssimos graus de excelência em Governança Corporativa, mesmo assim houve fraudes em seus ambientes de negócio, detectadas durante a operação Lava Jato, com repercussões amplamente divulgadas nas mídias de todo país. Isso indica que as Fraudes Corporativas ocorrem independentemente da implementação de processos formais de Auditoria Interna, da obtenção de certificados de adequação a normas de governança, e do gerenciamento da segurança nos recursos de tecnologia da informação.

Toda fraude começa com um incentivo (econômico, social, político...), passa por uma oportunidade (falta de controle sobre ativos, excesso de confiança e/ou falha muito visível ou por longo período) e culmina com ações orquestradas em busca do objetivo em questão.

Então, como evitá-las? Se ocorrerem, como detectá-las? E o que fazer a respeito?


Metade das empresas no Brasil e no mundo já sofreram algum tipo de fraude.

As áreas de maior incidência de fraude nos últimos anos, considerando um apanhado das pesquisas e das denúncias, foram:
Vendas e Comissões (23%), Faturamento (22%), Compras (20%), TI (19%), Financeiro (12%), Recursos Humanos (3%) e Contabilidade (1%).


Os dois tipos de fraudes

1. Interna: Ações realizadas nos processos internos da empresa, cometida por pessoas com vínculo de trabalho com a empresa, beneficiando indivíduos e/ou causando perdas à empresa sejam tais perdas financeiras, de imagem ou da qualidade e efetividade dos serviços que realiza.
Exemplos: Alteração de dados dos bancos de dados da empresa, falsificação de documentos e registros internos da empresa, manipulação ou uso indevido dos recursos da empresa e outros.

2. Externa: Ações realizadas por clientes e indivíduos sem relação de trabalho com a empresa com o intuito de descumprir as leis e/ou manipular ou alterar o processo normal de execução dos serviços.
Exemplos: Tentativa de obter documentação legal para casos não aprovados de uso do serviço, adulterações temporárias de instalações e outras formas de burlar as premissas definidas para a prestação do serviço.


Como ocorrem as fraudes

Quase 80% das fraudes, segundo pesquisa da Kroll-UK começam a ser praticadas por excesso de oportunidades aparentes em processos e serviços.
Mesmo com toda a tecnologia existente e acessível nos dias de hoje, muitas empresas ainda não estão preparadas para lidar com determinados tipos de fraudes, seja por limitada abrangência dos controles internos, seja por falta ou falha na auditoria dos processos de negócio, ou desconsideração da engenharia social (fator humano) nas áreas de negócio onde a fraude normalmente ocorre.

O fraudador utiliza-se de “brechas” em determinadas áreas do negócio em busca de interesses próprios, principalmente o desvio de dinheiro, mas não limitado a ele: obtenção de informações sigilosas para benefício próprio, acesso a informações repassadas à concorrência, alteração de dados em sistemas de gestão, manipulação de informações estratégicas, etc. Os males dessas ações podem representar prejuízo bem maior do que um puro desvio de recursos financeiros, especialmente em empresas de capital aberto, com a perda no valor de suas ações, perda de imagem institucional no mercado, perda de vantagem competitiva frente aos concorrentes.

Quando dados pessoais de clientes ou funcionários são vazados, pela obtenção ilícita via fraude ou não, a empresa poderá receber multas equivalentes a até R$50.000.000,00 (cinquenta milhões de reais) por infração de acordo com a nova Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018). http://www.multicursos.com.br/blog/lgpd-lei-geral-de-protecao-de-dados Grandes empresas públicas e privadas possuem departamentos que tratam especificamente, se não exclusivamente, da prevenção contra fraudes, como os departamentos de Auditoria Interna, Governança e Compliance, Segurança da Informação, e outras denominações.

Na grande maioria das vezes, quase como regra, há a participação de mais de um funcionário no mecanismo da fraude. Daí a necessidade das equipes responsáveis por mitigar (reduzir) os riscos de fraudes serem formadas por profissionais de diversos setores. Isso para que falhas nos processos de negócio sejam mais facilmente detectadas, caso tenham ocorrido em função de uma fraude.

Os crimes cibernéticos (onde um computador ou uma rede de computadores é utilizada como ferramenta para a execução do crime) são vistos como os mais prevalentes quanto o assunto é fraude, ficando atrás apenas de corrupção e suborno. Muitos executivos assumiram que gastaram mais com investigações do que o dobro do que perderam com crime cibernético.

Associado ao crime cibernético, há o roubo digital, que pode incluir desvio de dinheiro, roubo de informações pessoais, propriedade intelectual, extorsão e pedido de resgate – o resgate ocorre quando o criminoso codifica arquivos e pede um valor financeiro para descodificá-los, tornando-os legíveis novamente.

Dê especial atenção aos principais fatores que facilitam, ou criam oportunidades para as fraudes ocorrerem:
- Facilidade no acesso aos sistemas e dados confidenciais;
- Ineficiência e/ou informalidade nos controles sobre os processos;
- Supervisão fraca e baseada em relações de amizade e bom senso.


Como se proteger?

A pergunta é clara e objetiva: como a empresa realmente deve agir para detectar, prevenir e agir diante de uma eventual fraude?

Áreas como prevenção e apuração de fraudes devem ser subordinadas diretamente ao conselho ou qualquer autoridade fora da hierarquia estabelecida pelo organograma gerencial e operacional da empresa. (i.e., não se reporta ao CEO e/ou CFO).

Há um perfil médio do fraudador: normalmente é homem, entre 30 e 40 anos, que trabalha há tempo razoável na empresa (conhece bem os processos de negócio), é respeitado no ambiente de trabalho e visto como amigável, em muitos casos.

Segue um perfil detalhado segundo pesquisa da Kroll-UK:

Idade: entre 30 e 40 anos de idade (59%)

Tempo na empresa:
De 2 a 3 anos (47%)
Acima de 6 anos (23%)

Nível hierárquico:
Assistente executivo (43%)
Gerente (30%)
Executivo (23%)

Nível salarial:
De 5 a 15 mínimos (46%)
De 15 a 25 mínimos (23%)

Suspeite de pedidos de venda de férias, adiantamento de 13º salário, empréstimo com desconto em folha de pagamento: tudo isso indica situações de dificuldade financeira do empregado.

Lembre-se: toda fraude precisa de um incentivo. A falta de dinheiro é uma delas, pois induz o fraudador a cometê-la.

O excesso de confiança dos colegas, direção e chefia no fraudador age em favor dele. Se detectar algo muito diferente do normal nas ações ou decisões de um profissional, que se desvie muito de seu comportamento considerado padrão, suspeite.

Porque os funcionários considerados “exemplares” são potenciais fraudadores? Porque quase nunca existe a necessidade de serem supervisionadas ou substituídos.

Sempre que possível realize o rodízio de profissionais ou a alternância, pois além de ser uma medida que estimula a continuidade, ajuda a reduzir as manipulações de processos.

Não permita a execução de todo o ciclo de determinado processo por uma única pessoa.

Reduza ao mínimo o número de exceções e desvios de processos e procedimentos.

Se uma determinada pessoa começa a falar muito mal de outra, muito frequentemente, suspeite de ações que possam ser conduzidas contra essa segunda pessoa, especialmente se a primeira for considerada “mais inteligente ou culto que a média”. Normalmente esse perfil não entra em confronto direto com seu desafeto, preferindo prejudicá-lo de forma “imperceptível”.

Se na empresa é permitido um comportamento antiético ou o tratamento dos mesmos incidentes é diferente dependendo do cargo, é mais do que certo que haverá focos pequenos de fraudes pela empresa.

Do total de fraudes corporativas descobertas, 73% ocorrem por denúncia.

Porcentagem de vezes que a fraude é descoberta por fonte de acusação*:
Denúncias: 73%
Controles internos: 40%
Auditoria anual: 27%
Contabilidade: 15%
* Porcentagens somam mais de 100% por admitir respostas múltiplas.


Monitoração é sempre a principal técnica de identificar um fraudador, se você sabe o que é normal, identifica facilmente o que não é.

Uma das formas da empresa se prevenir tecnologicamente é possuir um sistema de gestão que crie logs de transações (registros do que ocorreu, quando e quem fez as alterações no sistema), permitindo uma auditoria de sistemas mais assertiva. O histórico de transações aponta tendências, e indica se houve ou não uma ação suspeita ou ilícita. Peça ao seu fornecedor de sistemas para ativar ou implementar logs das transações mais críticas e que possam sofrer de fraudes.

Nas nem sempre investir em tecnologia significa 100% de proteção. Como dito acima, na maioria das vezes, a fraude depende do envolvimento de mais de uma pessoa. Quem representa uma “barreira” à fraude ocorrer é envolvido por seu idealizador. Esse trabalho de envolvimento é chamado de engenharia social. Assim, os recursos tecnológicos de segurança e prevenção à fraude devem ser implementados de tal forma que pessoas que os gerenciam não possam alterar o resultado gerado por eles. Ex: os vídeos armazenados pelas câmeras de segurança não podem ser acessados por quem monitora as telas, evitando apagá-los ou editá-los (apenas pessoas autorizadas, de maior hierarquia – de preferência, de outro setor); os logs de transação de sistemas não podem ser apagados ou excluídos pelos gerentes de sistema (apenas pessoas com credenciais suficientes podem acessar esses logs); os relatórios com informações estratégicas ou de grande valor ao negócio não devem ser armazenados em um só local, o que garante que a versão original exista com outras pessoas, em caso de dúvida quanto ao conteúdo original ter sido manipulado.

Se mesmo assim esses arquivos ou documentos foram excluídos ou alterados, os logs de quem, quando e o que foi excluído ou alterado irão delatar qualquer ação ilegítima ou fraudulenta.

Empréstimo de senhas porque seu colega esqueceu a dele jamais deverá ocorrer. Não só dará permissões que o colega não teria, como poderá implicar seu nome caso esse colega se utilize de suas credenciais para fraudar, e então seu nome é que estará vinculado aos logs gerados.

Nos processos corporativos, especial atenção para:
- Documentos faltando ou transações não documentadas
- Grande número de cancelamento de transações
- Atrasos e erros nas reconciliações (e.g. bancos, estoque, etc.)
- Necessidade de ajustes frequentes nas contas
- Reavaliação dos ativos da empresa sem explicação detalhada
- Cuidado com as contas diferidas, o deferimento ou apropriação futura, quase sempre cria “oportunidades”.
- Atenção com as reconciliações (Ex. bancária, estoques), especialmente se há uma possibilidade de colocar valores “in trânsito”.
- Tenha procedimentos e políticas claras para créditos e/ou estornos de valores (e.g. retorno de material ou produto, etc.)
- Acompanhe os sistemas que usam valores médios (controle de estoque), ou históricos (ativos a serem liquidados, recebidos em troca de dívida, imóveis).


Como agir diante de uma fraude

Infelizmente é muito comum empresas cometerem fraudes para apurar uma fraude, principalmente quando não investiu na prevenção antes!

Sobre o uso de recursos pessoais no trabalho (destaque para o termo pessoais): A legislação reconhece que os direitos individuais e privados são invioláveis e qualquer ação sobre um bem ou patrimônio de uma pessoa somente pode ser controlados e monitorados com a permissão expressa desta ou com uma ordem judicial específica.

Se a empresa necessita de celulares, notebooks, e-mails e outros recursos para que seus processos sejam executados, deveria prover estes aos empregados podendo então exercer total e pleno direito de controle, monitoração, acesso e supervisão, sem violar leis ou cometer crimes.

• Caso exista uma área de tratamento de fraudes na empresa, esta deve ser acionada para que a apuração seja realizada adequadamente.
• A coleta de informações deve ser feita da maneira mais discreta e sigilosa possível;
O fato não deve ser divulgado a ninguém até ter a certeza do que se sabe e do que se descobriu.
• Se possível a investigação deve ser disfarçada dentro de uma “auditoria de rotina”, processos de qualidade, melhoria contínua ou outros do gênero.
• É muito fácil passar de vítima a réu nestes processos de apuração de fraudes.
• Nada que possa implicar em cerceamento dos direitos da pessoa ou da privacidade da mesma deve ser feito, mesmo que seja suspeito de fato.
• Mais de uma empresa já foi processada pelo próprio fraudador por ter grampeado o telefone, conduzido uma entrevista de forma agressiva, ou quebrado os sigilos telefônicos e financeiros da pessoa de forma ilícita.
• A entrevista deve ser considerada como um dos últimos recursos, pois ela pode levar a descobertas para os dois lados.
• Se for realmente a única forma de obtenção de dados, a entrevista com as pessoas suspeitas deve estar desvinculada de qualquer processo investigatório, ao menos aparentemente;
• Antes, durante e logo após a realização da entrevista deve-se estar bastante atento ao comportamento do entrevistado, longos telefonemas, grande movimentação de arquivos, alterações em computadores podem indicar preocupação ou medo.
• Sempre se deve realizar as primeiras entrevistas individualmente;
• Deve-se evitar encarar ou confrontar o entrevistado com fatos e observações sobre os problemas ou atividades suspeitas logo na primeira entrevista;
• É um fato que as pessoas tendem a se descuidar mais quando se sentem muito confortáveis e seguras, deve-se tentar induzir o entrevistado a esta situação;
• Se possível as entrevistas devem ser gravadas para posterior comparação entre elas, observando expressões verbais, voz, contradições, nomes repetidos e fatos destacados. Estas entrevistas gravadas JAMAIS deverão usadas como provas.
• Escolher o momento das entrevistas ANTES de comentários ou informações sobre perdas e fraudes se espalharem pela empresa.
• Se possível, realizar a entrevista fora do local de trabalho do entrevistado e longe dos colegas;


Cultura antifraude

Uma cultura organizacional forte é capaz de sobrepor-se ao pensamento individualista ilegítimo, contrário a essa cultura, e servir de aliado na denúncia à fraude.

Uma política de denúncias e uma área de compliance bem divulgada podem funcionar como um ótimo alerta para antecipar problemas na organização.

Quando as pessoas passam a ter a fraude como algo inaceitável dentro de uma organização, tendo como obrigação denunciá-las, o nível de ocorrência de fraudes cai, decorrente do risco que o fraudador enxerga no ambiente em que atuaria.