Fraudes e controles: lados da ilicitude

Por: Francisco Petros e Rosana Silva

Fraudes empresariais são fruto de omissões, quando políticas corporativas existem, mas o monitoramento, a detecção e a resposta aos incidentes não são rigorosas. Na atualidade, grandes entidades que, mesmo em setores altamente regulados e com governança aparentemente ativa, expõem vulnerabilidades estruturais às vezes mantidas por longos períodos.

Diante desse cenário, controles internos efetivos e bem desenhados deixam de ser uma formalidade e se tornam condição da integridade empresarial: é o que pode garantir a observância de processos, normas e códigos internos e externos, acima de vontades individuais nas diversas instâncias da companhia.

Se tomarmos o Triângulo da Fraude do jurista norte-americano Donald R. Cressey (1919-1987) como referência, o risco se materializa quando (i) a pressão (“motivação”), (ii) a oportunidade (“chance de cometer o ato”) e a (iii) racionalização (“justificativa mental”) convergem. Por sua vez, a Teoria da Agência fornece o pano de fundo estrutural dessa dinâmica.

O conflito entre investidores, acionistas ou sócios (“principal”) e gestores e executivos (“agente”), sobretudo quando permeado por interesses pessoais e potencializado pela assimetria de informação, cria terreno para oportunidades de desvio em contextos de supervisão (governança) frágil e alimenta racionalizações em culturas permissivas a atalhos, como aprovações sem análise substancial, ausência de documentação de suporte, reporte opaco e validações meramente formais.

O processo de mapeamento de riscos, assim como a estruturação de políticas, procedimentos e controles internos, não objetiva extirpar riscos, mas conhecê-los, classificá-los e mitigá-los na medida do apetite e da capacidade de controle da organização. À luz da Teoria da Agência, isso implica reduzir assimetrias de informação, alinhar incentivos e erigir barreiras efetivas à oportunidade de que fraudes sejam cometidas.

Nesse contexto, o monitoramento contínuo e um plano de resposta a incidentes ágil e bem desenhado são determinantes para reduzir impactos e corrigir a arquitetura de controles. Além disso, a experiência mostra que os canais de denúncia constituem ferramenta institucional relevante para a detecção tempestiva de ilícitos.

Na análise global de fraudes ocupacionais de 2024, da ACFE (Association of Certified Fraud Examiners), as denúncias foram o meio de descoberta em 43% dos casos, enquanto a auditoria interna respondeu por 14%. A análise também revelou que a simples existência de uma linha direta (hotline ou canal de denúncia) está associada à redução de aproximadamente 50% na perda mediana e na duração mediana da fraude.

Em paralelo, a Pesquisa Nacional de Canais de Denúncia da Aliant (10ª edição) registrou 235.677 denúncias em 2024, predominantemente via site (72%) e voz (20%), das quais 68% foram qualificadas para apuração. Quanto aos desfechos, registraram-se 56,3% de medidas educativas ou preventivas, 16,1% de medidas disciplinares leves e 20,0% de medidas disciplinares graves, além de 7,6% de medidas de acompanhamento ou mitigação.

Na prática, o compliance não se esgota em políticas formais nem em comunicação e treinamento avulsos. Exige controles antifraude bem desenhados e efetivamente implementados, com testes de eficácia, evidências de funcionamento, supervisão independente e capacidade instalada para investigar e remediar incidentes.

À luz dos frameworks COSO (Committee of Sponsoring Organizations of the Treadway Commission), um sistema de controles antifraude, bem projetado e efetivamente implementado, é um dos princípios fundamentais de um programa holístico de gestão de riscos de fraude. Ademais, os números demonstram que a efetividade dos controles internos se prova no tratamento de incidentes.

O papel da governança e do compliance é tornar a fraude improvável, detectável, corrigível e capaz de traduzir integridade em resultado. Por isso, reduzir o espaço da fraude implica tratar os controles internos como infraestrutura sólida da governança corporativa, com desenho coerente com o porte e a natureza da organização, execução consistente e constante, evidência de funcionamento e monitoramento independente, articulados a canais de denúncia efetivos e a um plano de resposta a incidentes ágil.