Prevenção de fraudes em sistemas legados
No Brasil ainda existe um número muito grande de empresas que utilizam sistemas legados dando suporte às suas atividades controladas em ERP’s. Na maioria dos casos estas atividades apresentam baixo ou nenhum retorno financeiro, por isso a desculpa de não investir na integração tecnológica do processo.
É muito comum também, quando ocorre a implementação de um ERP moderno e caro, que as empresas decidam deixar de fora inicialmente algumas atividades por questões de custo, complexidade ou até mesmo por pura procrastinação. E a tal “segunda fase de implementação” nunca chega, fazendo com que os sistemas legados ganhem sobrevida.
Os sistemas legados geralmente nascem de duas situações distintas: foram implementados em um momento em que empresa possuía faturamento mais baixo e, obviamente, optou por um sistema mais barato, ou não encontrou solução no mercado e contratou profissionais para um desenvolvimento “caseiro”.
Independentemente da situação vivenciada pela empresa, o fato é que os sistemas legados possuem níveis de segurança e até mesmo de governança baixíssimos, para não dizer inexistentes.
E aí chegamos ao assunto abordado neste artigo: o aumento recente de atividades fraudulentas praticadas por funcionários e que em sua maioria ocorrem nos sistemas legados.
Participo frequentemente de projetos para investigação em fraudes e posso garantir que muitos deles acontecem nestes sistemas no qual os funcionários se aproveitam exatamente das falhas de segurança. Soma-se a isso o fato de tais sistemas controlarem baixos valores monetários para a empresa, mas atraentes para pessoas comuns, e, portanto, pela baixa materialidade não receberem nenhuma atenção e estarem fora do escopo de auditorias, por exemplo.
Funcionários que lidam com sistemas vulneráveis rapidamente identificam suas fragilidades. É um processo natural e inevitável. Assim, está criada a oportunidade para a ocorrência da fraude. A pressão advém de momentos de dificuldades econômico-financeiras, como os que temos vivenciado ultimamente. A partir deste ponto, um funcionário com conceitos éticos questionáveis parte rapidamente para a racionalização e execução da fraude.
É importante ressaltar aqui que os impactos de uma fraude corporativa vão além da perda financeira. Como exemplo, é possível citar um caso que havia um grupo utilizando recursos da empresa para lavar dinheiro do crime organizado. Tudo isso debaixo do nariz de toda a alta direção. A exposição da fraude na mídia colocaria em dúvida a idoneidade da empresa, uma multinacional, pois mesmo explicando que a empresa também era vítima da situação, as manchetes circulariam de forma negativa na imprensa.
Mas então qual a melhor forma de prevenir fraudes em tais sistemas e, ainda assim, otimizar recursos?
A melhor resposta para essa pergunta é, sem dúvida, o Data Analytics, que pode ser utilizado frequentemente e torna mais produtivas as análises destes sistemas. Ele identifica transações suspeitas e otimiza o tempo da equipe de auditoria. Porém, para que o Data Analytics seja eficiente e eficaz, é necessário analisar as bases de informações dos sistemas legados e adaptá-las. É necessário planejar a arquitetura dos dados.
Será preciso um esforço inicial para levantar os riscos do sistema legado e dos processos atrelados a ele, mas que trará tranquilidade a empresa no longo prazo. É preciso desenvolver métodos para identificar a melhor forma de analisar os dados, a fim de prevenir atividades indesejadas e adaptar as bases de informações para que possam ser utilizadas em Data Analytics com a frequência apropriada.
A dica é que seja efetuado um levantamento dos riscos e vulnerabilidades do seu sistema legado e dos processos atrelados a ele, estruturando os dados para otimizar o Data Analytics e reduzir custos com horas de auditoria. Em tempos de compliance, o impacto de uma fraude corporativa pode trazer prejuízos relevantes e que não serão recuperados em curto prazo.
* Gibson Tavares é gerente de auditoria tecnológica no Brasil para as práticas de Auditoria Interna e Financial Advisory na Protiviti