* Por Gibson Tavares
No
Brasil ainda existe um número muito grande de empresas que utilizam sistemas
legados dando suporte às suas atividades controladas em ERP´s. Na maioria dos
casos estas atividades apresentam baixo ou nenhum retorno financeiro, por isso
a desculpa de não investir na integração tecnológica do processo.
É muito comum também,
quando ocorre a implementação de um ERP moderno e caro, que as empresas decidam
deixar de fora inicialmente algumas atividades por questões de custo,
complexidade ou até mesmo por pura procrastinação. E a tal “segunda fase de
implementação” nunca chega, fazendo com que os sistemas legados ganhem
sobrevida.
Os sistemas legados
geralmente nascem de duas situações distintas: foram implementados em um
momento em que empresa possuía faturamento mais baixo e, obviamente,
optou por um sistema mais barato, ou não encontrou solução no mercado e
contratou profissionais para um desenvolvimento “caseiro”.
Independentemente da
situação vivenciada pela empresa, o fato é que os sistemas legados possuem níveis
de segurança e até mesmo de governança baixíssimos, para não dizer
inexistentes.
E aí chegamos ao assunto
abordado neste artigo: o aumento recente de atividades fraudulentas praticadas
por funcionários e que em sua maioria ocorrem nos sistemas legados.
Participo frequentemente
de projetos para investigação em fraudes e posso garantir que muitos deles
acontecem nestes sistemas no qual os funcionários se aproveitam exatamente das
falhas de segurança. Soma-se a isso o fato de tais sistemas controlarem baixos
valores monetários para a empresa, mas atraentes para pessoas comuns, e,
portanto, pela baixa materialidade não receberem nenhuma atenção e estarem fora
do escopo de auditorias, por exemplo.
Funcionários que lidam com
sistemas vulneráveis rapidamente identificam suas fragilidades. É um processo
natural e inevitável. Assim, está criada a oportunidade para a ocorrência da
fraude. A pressão advém de momentos de dificuldades econômico-financeiras, como
os que temos vivenciado ultimamente. A partir deste ponto, um funcionário com
conceitos éticos questionáveis parte rapidamente para a racionalização e
execução da fraude.
É importante ressaltar
aqui que os impactos de uma fraude corporativa vão além da perda financeira.
Como exemplo, é possível citar um caso que havia um grupo utilizando recursos
da empresa para lavar dinheiro do crime organizado. Tudo isso debaixo do nariz
de toda a alta direção. A exposição da fraude na mídia colocaria em dúvida a
idoneidade da empresa, uma multinacional, pois mesmo explicando que a empresa
também era vítima da situação, as manchetes circulariam de forma negativa na
imprensa.
Mas então qual a melhor
forma de prevenir fraudes em tais sistemas e, ainda assim, otimizar recursos?
A melhor resposta para
essa pergunta é, sem dúvida, o Data Analytics, que pode ser utilizado
frequentemente e torna mais produtivas as análises destes sistemas. Ele
identifica transações suspeitas e otimiza o tempo da equipe de auditoria.
Porém, para que o Data
Analytics seja eficiente e eficaz, é necessário analisar as bases de
informações dos sistemas legados e adaptá-las. É necessário planejar a
arquitetura dos dados.
Será preciso um esforço
inicial para levantar os riscos do sistema legado e dos processos atrelados a
ele, mas que trará tranquilidade a empresa por longo prazo. É preciso
desenvolver métodos para identificar a melhor forma de analisar os dados, a fim
de prevenir atividades indesejadas e adaptar as bases de informações para que
possam ser utilizadas em Data Analytics com a frequência apropriada.
A dica é que seja efetuado
um levantamento dos riscos e vulnerabilidades do seu sistema legado e dos
processos atrelados a ele, estruturando os dados para otimizar o Data Analytics
e reduzir custos com horas de auditoria. Em tempos de compliance, o
impacto de uma fraude corporativa pode trazer prejuízos relevantes e que não
serão recuperados em curto prazo.
* Gibson Tavares é
gerente de auditoria tecnológica no Brasil para as práticas de Auditoria
Interna e Financial Advisory na Protiviti, consultoria global especializada em
Gestão de Riscos, Auditoria Interna, Compliance, Gestão da Ética, Prevenção à
Fraude e Gestão da Segurança.