Na era da informação sem fronteiras, as fraudes na internet tomaram de assalto o noticiário. Não é incomum verificar diariamente novas notas dando conta de práticas ilegais envolvendo roubo de senhas, identidades, difamação, estelionato e tantas outras mazelas que sempre fizeram parte do nosso dia a dia, mas que foram de alguma forma turbinadas pelo uso de uma rede mundial cada vez mais acessível.

Existem diversas formas de prevenção, é verdade, mas ainda não foi criado um aplicativo contra o mau-caratismo. Muito pior, há uma nova onda de crimes sendo cometidos por meios eletrônicos, mas agora tendo como alvo as empresas. E a ameaça pode vir de dentro.

Fraude ou abuso interno é um problema corporativo sério. Segundo estudo da ACFE (Association of Certified Fraud Examiners), organizações americanas perderam 7% de receitas anuais em fraudes internas durante 2008. Baseado no PIB americano, isso representa US$ 994 bilhões. A título de comparação, o pacote do governo americano para suavizar os efeitos da crise mundial deflagrada em setembro de 2008 foi de cerca de US$ 700 bilhões.

Os casos públicos sobre fraudes corporativas que aparecem no noticiário são, obviamente, de empresas que admitem ter sofrido um golpe. Contudo, estima-se que, para cada caso relatado, ao menos outros cinco tenham ocorrido. No Brasil são poucos (e pouco atualizados) os dados que tratam do tema.

Com a extensiva informatização dos sistemas e processos das corporações seria natural que estelionatários e tantos outros buscassem neles, os sistemas, a sua nova fonte de renda. O empregado mal intencionado passa a explorar de maneira crescente um sistema vulnerável. Enquanto sentir-se seguro para aplicar o golpe, cada mordida sua será maior.

A cultura do silêncio e os controles internos

Na maioria dos casos, colegas diretos do fraudador são os primeiros a descobrir. Em vez de denunciarem, optam pelo silêncio. Quando o caso chega à direção, se ela não tiver uma estrutura capaz de comprovar a fraude, a única opção é mandá-lo embora sem justa causa. A ineficácia em punir o infrator deixa uma mensagem perigosa para seus colegas: a de que realmente vale a pena praticar atos ilegais, o que alimenta novamente a perigosa cultura do silêncio.

A informatização das rotinas financeiras, e conseqüentes implantações de controles têm funcionado para coibir irregularidades. Contudo a implantação apressada ou mal estruturada de sistemas acaba por gerar lacunas de controle que são exploradas por fraudadores. Novas ferramentas e novos softwares proporcionam uma inteligência nesse processo, trazendo pontos de verificação que são cruciais. Mas não se pode dispensar uma equipe de consultoria para customizar esse serviço às plataformas específicas utilizadas pela empresa. A opção por implantar uma solução que seja mais rápida aos usuários, por exemplo, pode significar aumento dos riscos. Já para detectar irregularidades, é preciso estabelecer pontos de controle em itens críticos para que uma revisão dos números finais possa identificar por completo as exceções suspeitas.

Sistema de TI atuando na prevenção

Os setores naturalmente vulneráveis a fraudes são os que concentram movimentações financeiras: financeiro (Contas a Pagar, Contas a Receber e Tesouraria), compras/contratação de serviços e mesmo RH. Logo é de se esperar que os controles sistêmicos sobre os sistemas que dão apoio a essas áreas seriam os mais visados para exploração de vulnerabilidades, certo?

No sentido da prevenção, um sistema de TI precisa ser implantado em conjunto com uma análise de processos e avaliação de riscos. Sem isso muitas empresas terão dificuldades na implantação de controles por não estarem preparados para a identificação de riscos. Um controle deve atender à redução de exposição a uma ameaça. A probabilidade de que o limite entre controle e burocracia seja excedido, principalmente após um evento traumático como uma fraude, são imensas.