Um dos casos mais graves de falha no controle dos registros contábeis foi a quebra da empresa norte-americana Enron, em 2001. Os executivos da empresa foram presos e milhares de pessoas, que em muitos casos investiram as economias da vida inteira, viram-se reduzidas à bancarrota. A perda para os acionistas chegou a US$ 74 bilhões.

Com a Enron, também foi duramente atingida a Arthur Andersen, umas das principais empresas de auditoria externa do mundo. Os bilhões em dívidas que a Enron carregava em seus registros contábeis foram ignorados pela Arthur Andersen, que acabou condenada por fraude contábil e, consequentemente, foi à falência pelo escândalo corporativo. 

A pergunta que esse episódio ensejou é a seguinte: o responsável por detectar fraudes é a empresa ou seus auditores externos? A resposta é simples: os administradores são os principais responsáveis por implementar controles internos, prevenir, detectar e mitigar riscos. Aos auditores externos cabe fornecer razoável segurança de que as demonstrações contábeis estão livres de distorções materiais e que foram preparadas de acordo com a estrutura contábil correta.t

Para garantir essa segurança, é feita uma análise prévia de risco, a fim de entender o ambiente de governança, suas operações e seus controles internos. Quanto maior o risco do negócio, mais evidências substantivas os auditores externos devem coletar antes de emitir uma opinião. O ISA 315 (International Standard of Audit) exige que os auditores avaliem a eficácia da estrutura de gestão de riscos da empresa, seja ela de capital aberto ou não, e apresenta procedimentos para que os auditores sejam mais proativos em busca de fraude durante o curso de uma auditoria.

No entanto, se há conluio entre funcionários da empresa ou entre os administradores, envolvendo falsificação, falha deliberada de registrar transações ou declarações falsas, fica bastante difícil para os auditores externos identificar fraudes. Por isso, sua responsabilidade é demonstrar que seguiram as diligências corretas exigidas pelas normas contábeis – do contrário, ficam passível de sanções e processos judiciais que já geraram diversas condenações por considerar que a falha em detectar fraudes foi resultante de negligências no trabalho do auditor.

As três linhas de defesa propostas pelo Instituto de Auditores Internos (IIA), também deixam claro que a administração é a principal responsável pela gestão de riscos da empresa. A primeira linha é formada pelas áreas de negócio, cuja função é manter controles internos eficazes e garantir a correta execução dos processos de gestão de riscos. A segunda são os especialistas setoriais de gestão de riscos (compliance, riscos, controladoria, financeiro, segurança da informação, segurança patrimonial, meio ambiente etc), responsáveis por facilitar e monitorar a implementação de práticas eficazes por parte das áreas de negócio, fornecendo conhecimento e ferramentas adequadas. Por fim, a terceira linha fica a cargo da auditoria interna, a qual tem como objetivo uma avaliação independente da gestão dos riscos, controles e governança da organização. 

A essas linhas de defesa cabe aplicar ferramentas e técnicas de prevenção, detecção e remediação de riscos de fraude, como: definir a governança de gestão de riscos; estruturar políticas e procedimentos; garantir a conformidade com leis e regulações; realizar a correta gestão de riscos de fornecedores e funcionários; evitar conflitos de interesse; monitorar transações financeiras (Data Analytics); indentificar deficiências em processos, controles e sistemas; treinar os funcionários; acompanhar mudanças no cenário regulatório e de riscos; entre outras atividades.

A auditoria externa fica fora da estrutura da organização, como uma defesa adicional, em conjunto com reguladores e outros órgãos externos. Ela desempenha um papel importante na estrutura de governança e controle, mas tem um menor escopo de acesso a informações do que as três linhas internas de defesa dentro da organização.

Em resumo, a administração deve tomar consciência de seu papel como gestora de riscos e atuar na implementação de mecanismos eficazes de proteção do negócio, sem se apoiar na avaliação de terceiros para identificar manipulações relevantes. Se realizada com digilência, a auditoria externa pode até identificar irregularidades e fraudes – no entanto, dependendo do tipo de fraude e do envolvimento da administração, pode ser impossível esperar esse resultado de uma auditoria. Detectar e evitar que irregularidades e fraudes ocorram, impedir que evoluam para esquemas fraudulentos e combater as causas que abrem espaço para que se instalem, isso tudo é e nunca deixará de ser uma responsabilidade central e intransferível da empresa.

__________

t*Fernanda Barroso é diretora-geral da Kroll no Brasil.

KROLL ASSOCIATES BRASIL LTDA