Executivos do país entrevistados para o Relatório Global de Fraude & Risco 2016/2017 da Kroll reportaram menor incidência de irregularidades e incidentes cibernéticos do que a média global
Para consultoria, fato sugere sério problema de detecção de riscos
Roubo de ativos e funcionários representam as principais vulnerabilidades locais, mas medidas de combate prioritárias não mitigam diretamente essas ameaças
Fevereiro de 2016 – Na contramão do que é apresentado regularmente no noticiário nacional, as ocorrências de fraude nas empresas diminuíram durante o último ano no Brasil. Isto é pelo menos o que se conclui a partir das entrevistas com executivos do país que responderam à pesquisa do Relatório Global de Fraude & Risco 2016/2017 da Kroll, consultoria em gestão de riscos corporativos e investigações. Realizado anualmente, o estudo ouve gestores de diferentes setores em todo o mundo que influenciam ou respondem por estratégias de combate ao risco e a irregularidades em suas empresas. Na edição atual, participaram cerca de 550 profissionais. Embora nove a cada 10 respondentes brasileiros (94%) admitam que a exposição à fraude aumentou, apenas 68% relataram ter sido vítimas de más-práticas no período, índice nove pontos menor do que a edição de 2015. O número surpreende ainda mais à luz da experiência internacional. Globalmente, a média de empresas afetadas foi de 82% – 14 pontos superior, portanto. Além disso, a tendência mundial é de crescimento nos registros de fraude desde 2012 – a incidência partiu, respectivamente, de 61% naquele ano, a 70% (2013), 75% (2015) até a marca atual. Para Fernanda Barroso, diretora da operação brasileira da Kroll, essa disparidade sugere problemas de detecção pelas organizações brasileiras e cria uma falsa sensação de segurança. “Mesmo com uma trajetória de amadurecimento, ainda se atribui pouca importância ao compliance no país e, consequentemente, demora-se mais para identificar erros e fraudes do que em nações onde programas de conformidade são melhor estruturados”, comenta. O Brasil, contudo, não está sozinho. Itália (77%) e Índia (68%) igualmente reportaram menos ocorrências. Maior do que o de fraudes, o índice de incidentes cibernéticos também surge em desalinho. Enquanto a média global dessa categoria é de 85%, por aqui ela alcançou 76%, posicionando o país em situação melhor que a de nações mais desenvolvidas em segurança e tecnologia da informação, como Estados Unidos (88%) e Reino Unido (92%). Ameaça interna Apesar das preocupações generalizadas com ataques externos, os resultados revelam que os autores mais comuns de fraudes e incidentes cibernéticos, dentro e fora do país, foram os colaboradores (insiders). Cerca de seis a cada 10 irregularidades relatadas no país foram cometidas por autônomos/temporários (26%), funcionários juniores (22%) e de médio ou baixo escalão (9%), portanto, por gente de casa, soma que supera a de ex-funcionários (43%). Já um quinto dos incidentes cibernéticos foi associada a agentes e intermediários (19%). Ambiente complexo A vasta gama de perpetradores e a natureza em constante evolução dos incidentes refletem um ambiente de gestão de risco cada vez mais complexo para as empresas. Todas as categorias de fraude registaram um aumento acentuado entre 2015 e 2016 globalmente. Os maiores acréscimos ocorreram com conluio de mercado (15%) e apropriação indevida de fundos (11%). Em total consonância com o vivenciado no Brasil, o roubo de bens físicos continuou sendo o tipo de irregularidade mais recorrente no ano passado, seguido por fraude de compradores, vendedores ou fornecedores, e por roubo, perda ou ataques à informação. Em segurança cibernética, ataque por vírus é também um inimigo comum, liderando os rankings nacional e mundial como a ocorrência mais reportada. E na era do Big Data, a eliminação ou perda de dados devido a problemas de sistema é outro problema que aproxima o Brasil de outros países. A exceção no comparativo fica por conta da violação de dados resultando em perda de informações de clientes e funcionários, que figura na segunda posição brasileira, com 29% de indicações, mas não consta entre os três acontecimentos mais recorrentes em nível global. O caminho para a resiliência Enquanto os insiders são citados como os principais autores de fraude, globalmente eles também são os mais propensos a descobri-la. A maioria, quase a metade (44%) do total de entrevistados, relatou ter descoberto a má-prática através de um whistleblower (denunciante), sendo este o principal meio de detecção. No Brasil, por outro lado, esse recurso foi o menos efetivo, com menção por apenas 17% dos participantes. Por aqui, a identificação se dá majoritariamente (43%) por meio de auditoria externa. “Na cultura brasileira ainda é muito comum a repulsa pela figura do whistleblower, que facilmente associa-se à imagem de traidor, mesmo quando está em favor da ética e contra a perpetuação de crimes”, explica Ian Cook, diretor de investigações e disputas da Kroll no país. Chama também atenção na experiência brasileira o fato de que as medidas em expansão ou adoção não respondem diretamente às fraudes mais vivenciadas, embora sejam relevantes no contexto de mitigação de riscos. Voltadas a coibir roubos e a mencionada ameaça de pessoal – principais vulnerabilidades locais –, a implantação de sistemas de segurança física e registro de ativos e a checagem de histórico pré-contratação (background screening), surgem apenas como quinta prioridade, ambas empatadas com 59% de citações. As ações prioritárias são due diligence em parceiros, clientes e fornecedores (74%), controles financeiros e combate à lavagem de dinheiro (71%) e monitoramento de mídia, controles de conformidade e revisão legal (65%). Já para a mitigação de riscos cibernéticos, as apostas mais citadas foram sistemas de detecção de intrusão por dispositivo e centro de operações de segurança, ambas com 71%, além de políticas e procedimentos internos de cibersegurança (68%). “Sob a ótica cultural, as empresas aos poucos começam a perceber que a gestão de risco deixa de ser um custo dispensável para se tornar um investimento que pode evitar prejuízos reais financeiros, à imagem e reputação corporativa”, comenta Fernanda.