Contabilizando qualidade desde 1981
Auditoria de controles internos: passo adiante na prevenção de fraudes empresariais
É humano pensar assim, porque a nossa espécie lida especialmente mal com surpresas negativas
E o auditor, onde estava? A cada novo escândalo financeiro, essa é a pergunta que corre na boca do povo, na imprensa e nos meios empresariais. Afinal, como é que o auditor não viu o que estava acontecendo, se a função do auditor independente é justamente "fiscalizar" os administradores das empresas?
É humano pensar assim, porque a nossa espécie lida especialmente mal com surpresas negativas. Sabemos que as incertezas da vida nos trazem ansiedades e aflições desagradáveis. Por isso, somos propensos a construir estados mentais que nos levam a crer que os acontecimentos da vida seguem padrões de racionalidade, a despeito de serem, em grande medida, aleatórios. Passado algum tempo, essa mesma ilusão nos faz acreditar que o evento imprevisto era, sim, previsível. E essa crença é tanto mais forte quanto mais drásticas tenham sido as consequências do acontecimento em questão.
Essa forma de pensar é compreensível, porque errar é humano. Sim, quem pensa que a auditoria independente existe para "fiscalizar" a empresa auditada está muitíssimo enganado. Pior ainda, nenhuma lição útil poderá ser aprendida com a experiência adquirida a cada nova fraude empresarial, se essa falsa premissa for a origem da indignação que usualmente acompanha a pergunta com que comecei este artigo.
Com efeito, quem busca a verdade deve, antes de tudo, aprender a fazer as perguntas certas. Causará espanto a grande parte das pessoas saber que, segundo as normas que regem a profissão, a finalidade do trabalho do auditor independente não é identificar erros ou fraudes contábeis. Como dispõe o item 3 da Norma Brasileira de Contabilidade, NBC-TA 200, editada pelo Conselho Federal de Contabilidade ao encampar as normas internacionais de auditoria, o objetivo da auditoria é "aumentar o grau de confiança nas demonstrações contábeis", mediante a expressão de uma opinião quanto à existência de "segurança razoável" de que as demonstrações contábeis foram elaboradas, em todos os aspectos relevantes, com obediências às normas contábeis aplicáveis.
Segundo as mesmas normas, "segurança razoável" é um nível elevado de convicção de que as demonstrações contábeis estão livres de distorções "relevantes", quer em decorrência de erros ou fraudes. Essa segurança, porém, não é absoluta, dado que, em razão de a auditoria ser realizada em base amostral e segundo critérios de materialidade, "há um risco inevitável de que algumas distorções relevantes das demonstrações contábeis não sejam detectadas, embora a auditoria seja adequadamente planejada e executada em conformidade com as normas de auditoria" (NBC-TA 200, item A.53).
A despeito de não ser sua a responsabilidade primária pela detecção de erros ou fraudes, o dever de ceticismo obriga o auditor supor, ao longo do seu trabalho, que as demonstrações financeiras possam conter distorções não identificadas, sejam elas decorrentes de erros ou fraudes. Ao planejar o trabalho, o profissional deve estruturar seus testes e verificações de modo adequado, para que esteja autorizado a concluir que é suficientemente baixo o risco da existência de distorções relevantes não identificadas nas demonstrações financeiras.
Risco baixo, porém não inexistente. São as normas profissionais que afirmam que "a descoberta posterior de uma distorção relevante das demonstrações contábeis, resultante de fraude ou erro, não indica por si só, uma falha na condução de uma auditoria em conformidade com as normas de auditoria".
Se não é ao auditor, quem, então, será o real responsável pela obrigação de prevenir erros ou fraudes?
Segundo a lei e as normas de auditoria, não há a menor dúvida de que os maiores responsáveis por essa obrigação são os administradores das empresas, estejam elas sujeitas ou não a auditoria independente.
O dever de diligência dos administradores das companhias, conforme o artigo 153 da Lei das Sociedades Anônimas (Lei nº 6.404/1976), compreende três principais subdeveres: (i) o de informar-se, (ii) o de vigiar e (iii) o de investigar. De acordo com a jurisprudência da Comissão de Valores Mobiliários (CVM), não se afere a diligência do administrador pelos resultados obtidos com sua atuação.
A diligência se mede pela higidez dos "procedimentos" adotados para a tomada da decisão, no âmbito da chamada business judgement rule. Segundo essa regra, o "mérito" das decisões negociais não pode ser questionado pelo julgador, sempre que o administrador tiver adotado procedimentos apropriados para a tomada da decisão. Já os subdeveres de supervisão e fiscalização exigem do administrador que adote "medidas e controles que permitam o adequado acompanhamento dos negócios sociais".
Em que pese, todavia, a business judgement rule impeça a discussão do mérito das decisões negociais tomadas de maneira "informada, refletida e desinteressada", falhas no dever de monitoramento, por sua vez, não são passíveis de proteção pela regra. Ou seja, as omissões da administração quanto ao exercício dos deveres de vigiar e de investigar estão sujeitas, pela lei, a um padrão de análise mais rigoroso do que o estabelecido para as decisões negociais, propriamente ditas.
As normas internacionais de auditoria independente não destoam dos critérios da lei. Assim, por exemplo, o item 4 da NBC TA 240 (R1), que dispõe sobre os deveres do auditor em relação a erros ou fraudes, afirma textualmente que a "principal responsabilidade pela prevenção e detecção da fraude é dos responsáveis pela governança da entidade e da sua administração".
É igualmente da administração da empresa a responsabilidade pelo seu sistema de controles internos, que é planejado, implementado e mantido "pelos responsáveis pela governança, pela administração e por outros empregados para fornecer segurança razoável quanto ao alcance dos objetivos da entidade no que se refere à confiabilidade dos relatórios financeiros, à efetividade e eficiência das operações e à conformidade com leis e regulamentos aplicáveis". (NBC TA 315 (R2), item 12, "m").
Deveras, os controles internos são de suma importância para a consecução dos objetivos empresariais, da mesma forma que seu bom funcionamento é crucial para que as informações divulgadas pela empresa, com especial destaque para suas demonstrações financeiras, sejam fidedignas.
Poucos sabem, contudo, que, segundo as normas internacionais, a auditoria independente não inclui a emissão de opinião sobre os controles internos da entidade auditada. Assim, por exemplo, o item 21 da NBC TA 315 (R2) exige que o auditor obtenha um entendimento adequado sobre o ambiente de controles existente na entidade, para, com base nisso, planejar o trabalho de forma proporcional aos riscos que forem identificados.
Não obstante, no relatório final de auditoria, o auditor independente não manifesta opinião sobre a qualidade dos controles internos da entidade. Caso constate a existência de deficiências de controle interno, cabe ao profissional informar o fato à administração e aos responsáveis pela governança da entidade, consoante determina a NBC TA 265. Note-se que o auditor independente não tem liberdade para decidir o que deve ou não constar de sua opinião de auditoria. Tudo é detalhadamente regrado e pré-definido pela lei e pelas normas profissionais.
Tampouco se exige dos administradores das empresas que prestem informações específicas ao mercado sobre o desempenho de sua obrigação de fiscalizar os negócios sociais, testando os controles internos existentes, introduzindo aprimoramentos e criando novos mecanismos, para suprir deficiências, quando necessário.
A falta de um comprometimento mais explícito dos administradores das companhias foi considerada, nos Estados Unidos da América, como deficiência nos padrões de governança empresarial. Já em 2002, como reação ao escândalo da Enron, foi editada a Lei Sarbanes-Oxley, dentre cujos aprimoramentos passou a ser exigida dos administradores das companhias a prestação de informações específicas sobre os cuidados dispensados para assegurar efetividade aos controles internos. Criou-se ainda a exigência de que tais informações passassem a ser submetidas à auditoria independente, segundo regras pré-estabelecidas.
Nesse contexto, cabe aos auditores independentes aplicar testes e verificações sobre os controles, de modo atestar que o relato da administração reflete adequadamente as providências adotadas para a gestão dos controles internos.
Esse sistema tem a vantagem de gerar maior comprometimento dos administradores com a efetividade dos controles, provendo ao mercado informações mais detalhadas e de melhor qualidade sobre o cumprimento dos deveres de monitoramento e fiscalização por parte da administração.
Passados mais de 20 anos da edição da Sarbanes-Oxley, a legislação brasileira ainda não adotou a auditoria de controles internos visando a aprimorar a prevenção de fraudes empresariais. Um passo importante nessa direção foi dado com a aprovação do Projeto de Lei nº 2581/2023, do Senador Sergio Moro pela Comissão de Constituição e Justiça do Senado.
Embora, inicialmente, o projeto se limitasse a regras eminentemente de natureza penal, a CCJ acolheu a emenda proposta pelo Senador Izalci Lucas, para introduzir na Lei nº 6.385/1976 a exigência de divulgação, pelas companhias, de relatórios emitidos pela pessoa jurídica sobre os controles internos voltados à prevenção de erros ou fraudes contábeis, na mesma periodicidade aplicável à divulgação das demonstrações financeiras. Esses relatórios estarão sujeitos a auditoria independente, na forma das regras a serem editadas pela CVM.
Aprovado em caráter terminativo na CCJ, o projeto foi encaminhado à apreciação da Câmara dos Deputados, onde se espera que as novas regras sejam aprovadas e possam ser aprimoradas ainda mais. Por exemplo, deixaram de ser acolhidas no Senado propostas que visavam a (a) explicitar melhor a responsabilidade da administração sobre a implementação e o monitoramento de controles internos, (b) dar status legislativo à exigência de criação de comitês de auditoria em companhias abertas, assim como (c) instituir a obrigação de que essas entidades mantenham canais de denúncias em funcionamento.
Como se percebe, para quem deseja aprimorar a prevenção a fraudes empresariais, há muito ainda a fazer, em lugar de ficar, inutilmente, repetindo a pergunta: onde estava o auditor?
Sergio Bruna é advogado e doutor em Direito Econômico e Financeiro pela FDUSP (Faculdade de Direito da Universidade de São Paulo). Organizador do livro "Auditoria independente: Missão e Responsabilidades — Estudos e Pareceres", do Ibracon (Instituto de Auditoria independente do Brasil).