As Normas Internacionais para a Prática Profissional de Auditoria Interna são claras: os auditores internos devem ter os conhecimentos, habilidades e competências necessários para cumprir com suas responsabilidades. Alguns auditores internos também têm o conhecimento e as habilidades para realizar um exame de fraude de forma eficaz, mas a maioria não. E, em uma nova declaração de posicionamento, o The IIA enfatiza que não se deve esperar que os auditores internos tenham a expertise dos profissionais cuja principal responsabilidade seja investigar fraudes. O The IIA acredita que as investigações de fraude são realizadas com a maior qualidade pelas pessoas experientes o suficiente para realizar tais tarefas.

Espero que sua organização tenha um plano de resposta a fraudes que atribua deveres e responsabilidades específicos. Mas, se não tiver, não presuma automaticamente que, como auditor interno, você deva realizar uma investigação de fraude sozinho, ou que você mesmo deva liderar uma equipe de investigação de fraude.

Todos precisamos estar familiarizados com os indicadores de fraude, e precisamos ser capazes de avaliar os controles antifraude. Mas poucos auditores internos estão totalmente capacitados para atuar como investigadores de fraudes. Um interrogatório é muito diferente de uma entrevista de auditoria, e pode haver grande risco entre revisar evidências e contaminá-las. Quando se suspeita de fraude, um simples erro pode facilmente se tornar uma ação cara e limitante para sua carreira.

Tenho visto muitos casos, durante minha carreira, em que auditores internos bem-intencionados inadvertidamente prejudicaram as chances de uma investigação de fraude bem-sucedida, porque foram descuidados ou simplesmente não entenderam os riscos de suas ações. Sempre orientei minhas equipes a terem cuidado para não “meter os pés pelas mãos” ao se deparar com uma possível fraude durante o curso de uma auditoria interna. Pela minha experiência, os seguintes são apenas alguns tipos de erros que os auditores internos podem cometer quando encontram evidências de fraude.

  1. Não discuta a situação com qualquer pessoa que não tenha a necessidade de ser informada. Até mesmo a existência de uma investigação deve ser mantida em sigilo. Tenha em mente que o escopo de uma fraude ocupacional é frequentemente maior do que parece, e você pode não ter identificado ainda todos os envolvidos no crime. Um dos princípios do Código de Ética da nossa profissão é a confidencialidade, e não é apropriado conversar sobre investigações novas ou em andamento, mesmo com outros auditores internos.
  1. Não faça acusações ou julgue precipitadamente. Pode parecer que as evidências indiquem que alguém cometeu um crime, mas acusações podem levar a processos de calúnia, difamação ou desligamento irregular. Acusar alguém de fraude é raramente trabalho do auditor interno, então, contate seu supervisor antes de dizer algo do qual você possa se arrepender depois.
  1. Não interrompa as operações. Se fizer isso, você alertar os possíveis fraudadores de que estão sob suspeita. Suas ações podem levá-los a destruir evidências importantes, avisar cúmplices ou tomar atitudes que possam prejudicar a investigação.
  1. Não altere a cena de um crime em potencial ou faça qualquer coisa que possa contaminar ou destruir evidências digitais. Auditores internos são bons em examinar evidências, mas cuidados especiais devem ser tomados durante as investigações. Por exemplo, pode parecer apropriado examinar os registros do computador de um suspeito ou fazer backup de seus arquivos. Mas especialistas em computação forense nunca analisam a mídia original. Ao ligar o computador de um suspeito, abrir um arquivo ou fazer um backup, você está mudando os timestamps digitais e os valores de hash, possivelmente comprometendo evidências importantes. Às vezes, agir é inevitável: pode ser necessário isolar um computador para impedir conexões dentro e fora do sistema, por exemplo. Mas preservar evidências digitais é complicado. A não ser que você tenha treinamento especializado em forense digital, peça ajuda antes de continuar.
  1. Não deixe de alertar rapidamente o assessor jurídico e os profissionais de recursos humanos. É provável que seu plano de resposta a fraudes afirme que é necessário informar um assessor jurídico e um representante do departamento de Recursos Humanos (RH) antes que uma investigação formal seja iniciada. A contribuição do RH pode ser especialmente importante se uma demissão ou outras ações disciplinares puderem resultar da investigação. Dependendo das circunstâncias, sua organização pode ser obrigada a fazer divulgações sobre atividades criminosas a reguladores, autoridades, clientes, acionistas ou outras partes. O assessor jurídico pode ajudar a garantir que os requisitos regulatórios não sejam negligenciados; e o sigilo advogado-cliente pode ajudar a proteger sua organização contra a divulgação de detalhes que ela talvez não queira que se tornem públicos imediatamente.
  1. Não presuma que você deva conduzir interrogatórios. Quando realizados com perícia, os interrogatórios podem uma excelente fonte de informação. Sem essa experiência, uma investigação pode ser irreparavelmente prejudicada. Entrevistas e discussões de auditoria interna geralmente empregam abordagens colaborativas, que não são necessariamente apropriadas durante investigações; mas uma abordagem acusatória também pode ser um grande erro. Ninguém quer um suspeito hostil ou na defensiva.
  1. Não negligencie seus arquivos. Nunca é uma boa ideia deixar expostos os papéis de trabalho de auditoria interna, mas, quando se trata de uma fraude, é especialmente importante manter os documentos protegidos e confidenciais. Ter a cópia de um documento não é tão bom quanto ter o original.

Investigações de fraude podem ser trabalhos de alto risco. Se você acha que existe a possibilidade de fraude, não seja cauteloso. Você não deve tomar qualquer medida que possa alertar os possíveis fraudadores, ou comprometer evidências que não possam ser investigadas posteriormente. Não quero dizer que a auditoria interna nunca deveria estar envolvida em investigações de fraude, mas, se os auditores internos não forem investigadores plenamente treinados, é hora de buscar a ajuda de especialistas. Um auditor interno sábio entende os limites de seu próprio conhecimento e sabe quando pedir ajuda.

Aguardo suas opiniões sobre esse importante assunto.

(fonte: https://global.theiia.org/)

Divulgação:
Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para a InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.

Tradução: IIA Brasil

Revisão Técnica da Tradução: José Antonio Tiro Rodriguez, CIA.