As shadow investigations já não são uma novidade no ambiente de governança corporativa brasileira. Mas, à medida que se tornam mais comuns e abarcam um número maior de empresas, geram mais dúvidas sobre o seu funcionamento e questionamentos sobre o seu alcance.
Por mais que os profissionais que atuem na prestação de serviços na área de Compliance digam que é preciso atuar de forma preventiva, a realidade que se impõe é outra. Na prática, se acredita que a maior parte do orçamento acaba sendo aplicado em atividades reativas, notadamente as investigações internas que vão apurar denúncias de fraude, assédio, corrupção e outras situações que chegam pelo canal de denúncia ou comunicadas por outros meios, são identificadas pelos mecanismos de controles da área, ou ainda, demandadas por parceiros de negócios que desejam apurar ou aprofundar seu entendimento sobre determinadas situações que possam vir a lhes implicar.
Se a empresa em questão tem os seus resultados auferidos por uma empresa de auditoria independente, essa investigação interna, bem como denúncias e alegações relacionadas à determinadas condutas de profissionais da administração, podem gerar outros desdobramentos.
O papel do auditor independente é o de assegurar, mediante normas específicas, para o mercado e a quem possa interessar – incluindo acionistas e investidores da própria companhia e os reguladores – de que as demonstrações financeiras apresentadas pela empresa foram produzidas de acordo com as normas contábeis em vigor no País e de que representam, com razoabilidade, a realidade da situação econômica e financeira da companhia no período compreendido pelas demonstrações.
Não é responsabilidade funcional do auditor – e eles fazem sempre questão de ressaltar isso – perscrutar todos os dados da empresa em busca de pagamentos ilegais ou desvios de qualquer natureza, além de eventuais inconformidades com as leis e regulamentos em vigor que venham a ser identificadas no curso regular da auditoria. Isso é uma obrigação da administração da empresa que deve fazê-lo por meio das suas equipes de Compliance, Controles e Auditoria Interna. “Por isso, os auditores buscam estarem atentos aos mecanismos de controle da empresa e, principalmente, enxergar como a governança da companhia trata as questões geradas por eventuais suspeitas de atos ilícitos e inconformidades”, explica Rogério Andrade, sócio responsável pela área de Prática Profissional da KPMG, uma das big 4 do mercado global de auditoria.
A assinatura do auditor no relatório de auditoria não é garantia inequívoca de que os números da empresa apresentados nas demonstrações financeiras estão livres de eventuais fraudes ou malfeitos. Mas, dada à responsabilidade que ele assume ao dar o seu aval ao documento, inclusive como pessoa física, e frente ao aumento da pressão e dos questionamentos sobe o trabalho dos auditores em todo o mundo, a régua do ceticismo desses profissionais em relação às informações que lhes são passadas vem subindo ano após ano.
O trabalho do auditor é regulamentado pelas normas brasileiras e internacionais de auditoria. Essas normas, que norteiam a atuação dos profissionais da área e exigem a realização de uma série de testes e procedimentos para se assegurar de que o ambiente de governança e controle da empresa funciona a contento, vêm sendo aperfeiçoadas entre outras coisas, para reforçar a necessidade desses testes e de como lidar com situações de suspeitas de fraudes e malfeitos em diferentes situações e mercados.
Se o auditor passa a suspeitar, ou lê nos jornais qualquer notícia relacionada à fraude, corrupção ou qualquer outro tipo de má conduta, a primeira coisa que ele vai fazer é ligar para a empresa e pedir explicações sobre o ocorrido.
Danilo Simões, sócio da área de Risk Management também da KPMG, reforça que a NBC TA 250 (a norma brasileira de contabilidade – técnica de auditoria que versa sobre os trabalhos de auditoria independente sobre as demonstrações financeiras), trata não só de atos ilegais concretizados, mas também de suspeitas. “Se existe a denúncia ou a alegação, isso já traz uma obrigação para o auditor de obter uma resposta sobre a questão”, explica Simões. Essa resposta deve ser dada pela administração da empresa, que antes de formulá-la, deve realizar processos e análises específicas dentro da própria empresa.
Denúncias que envolvam supostas fraudes em áreas como vendas ou compras, cujo impacto sobre os números pode se dar direto na veia, alterando os resultados apresentados, são os pontos mais óbvios de preocupação, embora não os únicos. Qualquer suspeição que envolva membros da alta administração da companhia, por exemplo, é tema que demanda comunicação ao auditor com a explanação do problema e as medidas tomadas pela empresa para tentar identificar se aquilo realmente aconteceu. Se for algo pouco relevante, sem impacto sobre os números, justificado ao auditor com os porquês daquela situação e com dados e evidências que atestem que aquela resposta tem uma boa base, é bem possível, que o auditor se satisfaça com as informações prestadas pela própria empresa e que emita o seu relatório de auditoria sem maiores demandas.
Agora, se o auditor ainda não se sente suficientemente confortável com o que lhe foi apresentado, ou se o caso é de maior complexidade, o problema muda de patamar. E não muda pouco. Os auditores podem emitir o relatório de auditoria com ressalvas e apontamentos, dizendo que não foi possível avaliar a materialidade deste ou daquele aspecto em relação às demonstrações financeiras, impedindo que ele emitisse suas opiniões sobre aqueles pontos. Essas ressalvas são levadas a público no momento da publicação das demonstrações financeiras das companhias. É uma marca que os administradores não querem carregar. Em casos mais “cascudos”, o auditor pode simplesmente se recusar a emitir seu relatório de auditoria enquanto acreditar que nem todas as suas suspeitas e dúvidas em relação ao tratamento dado a questão foram sanadas. Sem esse documento, para os reguladores é como se as demonstrações financeiras não existissem para o mercado. E, como o leitor bem sabe, a não publicação do balanço acompanhado do relatório de auditoria dentro dos prazos legais tem consequências que podem ser catastróficas para as companhias: do vencimento antecipado de dívidas até a suspensão da negociação dos papéis. Isso dá as firmas de auditoria um poder e tanto para cobrar mais explicações, dados, informações e evidências das empresas que auditam.
É em partes para evitar que se chega a este ponto drástico que os auditores pedem da administração uma resposta adequada àquela denúncia que pode culminar em uma investigação interna. E, a partir daí, o processo de acompanhamento da investigação interna pela firma de auditoria, as famosas shadow investigations, ou investigações sombra. Por meio delas, busca-se fazer o acompanhamento dos processos relacionados à investigação contratada pela empresa. Na prática, a shadow é uma espécie de contraprova do auditor em relação à qualidade da investigação realizada ou contratada pela empresa para averiguar uma situação que pode vir a impactar de forma relevante às demonstrações financeiras das empresas, e por consequência, os trabalhos da auditoria independente.
Quando a Lei Sarbanes-Oxley (SOx) entrou em vigor, em 2002, passando a exigir mais diligência do trabalho dos auditores antes da assinatura dos relatórios de auditoria sobre as demonstrações financeiras, os pedidos por shadow explodiram. Com o tempo e o melhor entendimento da própria legislação, esse tipo de demanda se estabilizou num patamar mais baixo e hoje é algo normal.
Movimento parecido aconteceu no Brasil. Com a Lava Jato, tudo era motivo para uma investigação interna e, que, consequentemente, gerava a necessidade de uma investigação sombra. Afinal, no meio do furacão e com todos os holofotes sobre a corrupção praticada, nenhum auditor estava mais disposto a validar os balanços sem ter o mínimo de clareza do impacto dos malfeitos sobre os números das companhias investigadas na época. Além disso, muitas empresas apostavam nas investigações como uma forma de demonstrar ao mercado que estavam agindo para apurar todos os fatos. Ex-diretora de GRC da Eletrobras e atual membro do Comitê de Auditoria da empresa, Lucia Casasanta lembra que esse foi um período muito tenso, com cada uma das partes querendo se proteger ao máximo “As empresas já tinham contratado investigadores e aí as auditorias já tinham contratado outros investigadores e isso virou um trabalho muito caro. Do ponto de vista dos nossos advogados, que estavam liderando o processo, não tinha a menor necessidade de extensão das investigações”, diz a conselheira. “Isso só encareceu o projeto e criou desgaste entre as equipes, cada um querendo se proteger ao máximo, ao mesmo tempo em que não se conseguia olhar o todo para saber o que era realmente necessário para a resposta se o ambiente estava ou não contaminado e quais remediações poderiam ser feitas para tornar aquilo aceitável. Resumindo, ouve uma supervalorização da shadow como uma questão de proteção da auditoria, sem que isso fosse algo que a empresa pudesse se proteger do abuso, dos excessos”, emenda.
Passado o momento de tensão, a questão das investigações sombras vem se estabilizado por aqui e são hoje mais comuns do que muitos imaginam, inclusive em entidades que não tem capital aberto. “São muitas investigações que acontecem e geram resoluções internas. Isso acaba não indo para nos jornais”, conta Valdir Coscodai, sócio líder de Qualidade de Auditoria da PwC, outra big 4 e atual presidente-executivo do Ibracon, entidade que congrega os auditores independentes no País.
Um dos aspectos sobre os quais as normas de auditoria vêm apertando o processo é, justamente, em relação às suspeitas de não conformidade. Um novo comunicado emitido pelo Conselho Federal de Contabilidade, a partir de uma proposta desenvolvida por mais de um ano pelo Ibracon, o CTA 30, reforça a importância de os auditores darem mais atenção a eventuais suspeitas dessa natureza. Para não restar dúvidas, o comunicado, publicado no Diário Oficial da União no dia 1 de julho de 2021, usa como exemplo grandes casos de corrupção, favorecimento e lavagem de dinheiro como as operações Lava Jato, Carne Fraca e Zelote, embora o texto também deixe claro que o CTA 30, “visa esclarecer questões relacionadas a leis e regulamentos de forma geral”, incluindo investigações conduzidas por outros órgãos governamentais e reguladores, como o Ministério Público, a CGU e o CADE. No total, o documento cita 10 exemplos de “fontes” de informação sobre não conformidade com leis e regulamentos, incluindo aí a área de Compliance e suas ferramentas de monitoramento, como o canal de denúncias e notícias publicadas na mídia.
O CTA 30 reforça a importância das shadow investigations, ao deixar claro que não é esperada que uma investigação envolvendo suspeitas de não conformidade, cujo impacto sobre as demonstrações seja possível, seja conduzida sem o acompanhamento do auditor. Mas antes de chegar até ela, o próprio comunicado orienta o auditor para acompanhar de perto essas questões e já distingue algumas fraudes e atos ilegais que podem ser claramente inconsequentes. Ao mesmo tempo, caso o profissional chegue a conclusão de que a situação tem importância, o documento aponta o caminho a ser seguido. “A primeira coisa que o auditor tem que fazer é conversar com os responsáveis pela governança da empresa para saber se a companhia tem ciência do caso e se está tomando as providências. Assim, o auditor pode ter o entendimento de como a empresa está respondendo a situação e avaliar se as respostas estão de acordo para ele”, diz o presidente do Ibracon.
NÃO MAIS UMA LIBERALIDADE
Em primeiro lugar, vale dizer que apesar do nome, uma investigação sombra não é uma investigação propriamente dita. Trata-se de uma ferramenta por meio do qual os auditores acionam as áreas de “Forensic Services” e Compliance das suas firmas (atividades que compõem outro negócio da empresa, segundo elas mesmas, totalmente segregado do negócio de auditoria), para que se faça uma avaliação da investigação realizada de forma independente, por alguém contratado pela companhia para esse fim, em geral um escritório de advocacia. Nesse processo, os colegas do auditor vão avaliar a execução do escopo da investigação e eventualmente confrontá-la para garantir que as pessoas que precisavam ser entrevistadas realmente o foram da forma correta, se os documentos necessários foram acessados e, principalmente, se a investigação foi realizada com independência e com metodologia e escopos adequados.
A investigação sombra dá uma camada de segurança a mais para que auditores obtenham o “conforto” necessário para emitir seu relatório sobre as demonstrações financeiras auditadas das companhias. Sua realização está atrelada a outra norma que regula o trabalho desses profissionais, a NBC TA 620, que preconiza que o auditor deve buscar o apoio de especialistas sempre que necessário apurar ou aprofundar alguma análise mais específica e que para garantir a independência do processo, não pode ser realizado por alguém da alta administração. “Como auditores independentes, nós não fazemos investigações nas empresas que auditamos. A shadow representa a nossa visão, de que os procedimentos executados na investigação independente foram suficientes para cobrir os riscos implícitos aquele caso”, reforça Andrade, da KPMG.
DESCONFIANÇA DA FONTE
As shadow investigations não são (ou não deveriam ser) demandadas ao acaso. Além das suspeitas ou comunicação de fraudes e outros malfeitos que podem impactar nos números, a confiança que os auditores depositam em relação aos certificadores, os profissionais da empresa com responsabilidade legal de assinar e entregar as informações contidas nas demonstrações financeiras aos auditores (como especificado em outra norma, a NBC TA 580), é um fator extremamente relevante e tende a ser um gatilho para que o auditor questione a companhia quanto à resposta dada à alegação. Por muitas vezes, elas culminam em uma investigação interna, dando início à investigação sombra. O mesmo se aplica a outros membros da alta administração da companhia.
O trabalho do auditor é baseado em pressupostos e no seu julgamento profissional. Normalmente, os certificadores são executivos da companhia que prestam representações formais e não formais de que cumpriram sua responsabilidade pela elaboração das demonstrações financeiras. Daí o fato de que suspeitas, alegações ou denúncias de quaisquer natureza contra esses profissionais costumam acender uma luz vermelha de imediato, mesmo que seja um problema relativamente pequeno. “Se a questão envolvesse um funcionário qualquer, ela poderia até ser endereçada de outra forma. Mas, quando envolve a alta administração (independentemente do tamanho do problema), o auditor costuma parar. Justamente porque envolve pessoas que assinam as informações, para que o balanço seja validado”, pontua Coscodai. Nesse processo, o auditor deve seguir alguns caminhos para tentar entender o tamanho do assunto do ponto de vista qualitativo e quantitativo. “É preciso ter o maior número de informações possíveis, não necessariamente uma investigação sombra, e discutir com quem está na governança da companhia qual a avaliação deles sobre o caso. Numa empresa que tem canal de denúncias, isso é feito de forma natural”, reforça o sócio da PwC. Quando o auditor estabelece a necessidade de uma shadow investigation é porque o tema é ou acredita-se que possa ser relevante em sua perspectiva. A relevância pode-se dar pelo potencial materialidade da questão, ou seja, é um assunto que pode impactar nos números, mas também pela relevância quantitativa e qualitativa. “Uma suspeita de não conformidade pode ser relevante para a auditoria devido à sua natureza, mas pode não ser material para as demonstrações contábeis e, portanto, não resultar em distorção”, diz o texto da CTA 30. Então qual o caso aqui? Simples. A relevância do caso pode estar na identificação de uma deficiência em certos controles, ou em indícios de não cumprimento das leis e regulamentos aos quais está sujeita, ou mesmo, em relação a uma situação que leve a quebra de confiança no certificador. Mesmo sem impactos contábeis, são todas questões relevantes para o auditor, que a depender da situação, pode se ver, inclusive, obrigado a reportar o caso aos reguladores, caso a empresa não se manifeste sobre o assunto tempestivamente. Isso se dá, particularmente em casos de suspeitas relacionadas com lavagem de dinheiro e financiamento do terrorismo. Em relação à lei anticorrupção, embora não existam procedimentos específicos a serem realizados pelos auditores, eles devem questionar à administração sobre as medidas adotadas para tratar de aspectos relacionados. “O simples conhecimento por um indivíduo de atos potencialmente ilegais, sem uma apropriada manifestação ou ação, pode configurar uma não conformidade”, diz o texto da CTA 30.
O QUE OS AUDITORES QUEREM?
Os questionamentos e dúvidas dos auditores em relação a suspeitas ou alegações para o qual eles querem mais informações e evidências para entender o caso e suas eventuais implicações são normais. Assim como também é natural que a empresa e os advogados externos envolvidos na investigação, por exemplo, questionem certas demandas dos auditores. “Podemos ter pedidos que não façam sentido, que não sejam razoáveis naquela situação. É importante, entretanto, ouvir o auditor para compreender suas preocupações. Por vezes, elas já serão tratadas dentro do escopo da própria investigação. A razoabilidade nos pedidos dos auditores tem sido maior a cada dia”, explica Carlos Ayres, sócio do escritório Maeda, Ayres.
Pela própria natureza contínua do seu trabalho, os profissionais das firmas de auditoria costumam ter uma visão ampla do negócio, conhecer muito bem a operação, os mecanismos de controle e as pessoas que podem ser relevantes em diversos processos das empresas que auditam. “O auditor independente não fica dando ‘pitaco’ na investigação. Mas ele pode trazer alguns inputs que são bastante úteis. Por vezes, os auditores atuam na empresa há anos e podem trazer informações relevantes, especialmente no início da investigacão”, garante o advogado. Essa conversa sobre o escopo e a metodologia da investigação da empresa e dos investigadores independentes com os auditores e seus colegas é fundamental para evitar que ao fim do processo, o auditor entenda que o trabalho não cobriu aspectos importantes para a investigação. “O auditor não vai investigar. Nós vamos entender e criticar o plano de investigação e, depois, acompanhar (com o nosso time de investigação) sua execução”, reforça Coscodai.
Agora, um problema que costuma deixar os auditores bem mais céticos é quando eles não enxergam confiança na metodologia e, principalmente, na independência da investigação realizada. “Tudo isso liga um sinal de alerta. Nesses casos, ele vai querer tomar conta da investigação, até porque passa a ter pouco ou nenhum espaço para tomar eventuais medidas adicionais de auditoria, como realizar novos testes, se necessário. É importante que o escopo seja adequado e a metodologia robusta”, reforça Carlos Ayres.
Nos casos envolvendo membros da alta administração, a independência da investigação se torna um ponto ainda mais crítico. “Se temos uma fraude que envolve pessoas relevantes, o CEO, por exemplo, é preciso se perguntar qual o poder de influência que o investigado pode ter caso a investigação seja conduzida por alguém subordinado a ele?”, questiona o sócio da área de Forensics da EY, outra big 4, Antonio Vaz. O mesmo se aplica a outros executivos de alto gabarito na organização.
Em empresas com um bom nível de governança, casos dessa natureza costumam envolver a contratação de membros externos e a formação de comitês de investigação independentes, com report direto ao conselho ou a instâncias regionais ou globais das companhias. “Todas as preocupações que o auditor independente tem, os órgãos de governança deveriam ter também”, acredita Rogério Andrade. Ele exemplifica dizendo que se a área de Compliance tem uma denúncia de que o presidente ou o CFO esteja favorecendo um fornecedor ligado a um parente, a empresa geralmente faz uma demanda de investigação, executa os procedimentos e, na sequência, é feita a shadow. “Já tivemos de tudo no Brasil, situações que não deram em nada e outros nos quais esses dirigentes foram demitidos”, emenda o sócio da KPMG.
Os próprios conselhos de administração vêm dando mais atenção ao tema. Cientes dos riscos que correm, eles têm demandado mais e mais o trabalho de investigações internas e externas. Trata-se de uma decisão da empresa, mas, naturalmente, ao aprovar essas investigações, abre-se espaço para mais questionamentos e mais pedidos de shadow pelas auditorias. “Os conselhos estão sendo mais chamados às suas responsabilidades e acredito que as shadow investigations estão se tornando mais relevantes por isso também”, diz Felipe Faria, Head de Compliance e Riscos da Santo Antonio Energia, uma sociedade de propósito específico que tem como sócios empresas públicas, como Furnas e CEMIG, e privadas, como a Odebrecht e Andrade Gutierrez. “Para o conselho faz sentido, até para que o auditor possa assinar o seu relatório sobre as demonstrações financeiras de forma tranquila”, complementa Faria.
AVALIANDO A EQUIPE DE INVESTIGAÇÃO
Tão logo a empresa estabeleça a necessidade de uma investigação independente, o auditor vai fazer primeiro uma avaliação dos profissionais contratados. E aqui pode se dar um conflito considerável entre as partes. A escolha dos investigadores, via de regra, advogados especializados em Compliance, é crucial para que o auditor possa confiar no processo. Um primeiro ponto que eles costumam avaliar é o grau de experiência do profissional em investigações dessa natureza, se é um nome que além da competência técnica tenha senioridade e condições de realizar o seu trabalho com independência. Embora não seja um impeditivo mandatório, delegar à condução da investigação para um escritório com o qual a companhia mantenha um extenso rol de negócios, não costuma ser visto com bons olhos pelos auditores, que tendem a questionar um possível conflito de interesses na situação. A própria CTA 30 aborda esse aspecto.
Resumindo, a escolha do escritório para realizar a investigação faz diferença. “Às vezes, o advogado não concorda, ou não entende o que você está pedindo. Aí você não sabe se é o advogado ou se ele está falando em nome de alguém da empresa. Podem achar que o investigador é atrapalhado ou que ele quer atrapalhar”, diz Coscodai. O mesmo vale para situações nas quais existam suspeitas acerca do envolvimento, em algum grau, do diretor jurídico, por exemplo. Nesses casos, a auditoria pode requerer que outro escritório faça o trabalho.
A contratação de investigadores com experiência em shadow investigations também é uma vantagem importante, já que as grandes firmas de auditoria têm um bom número de sócios que atuam em auditoria independente, responsáveis por assinar os relatórios sobre as demonstrações financeiras das diferentes empresas por elas auditadas. Muitos deles nunca vivenciaram um caso com demanda por investigações mais complexas, mas o especialista em investigação sim, inclusive em casos com outros sócios da mesma firma, o que pode ajudar o auditor a buscar referências sobre como agir dentro de sua própria casa.
MAS AFINAL, O QUE É CONFORTO PARA O AUDITOR?
Dada à natureza do serviço, a conta de uma investigação sombra costuma ser salgada. Elas demandam pessoal altamente especializado e o trabalho é pontual e quase sempre precisa ser realizado em um curto espaço de tempo. Ou seja, não se podem diluir certos custos com pessoal, por exemplo, ou no decorrer dos anos de trabalho como acontece com os serviços de auditoria. “De forma geral, o trabalho é feito sem previsão contratual, porque não se sabe quando vai acontecer e depende muito da denúncia: se é assédio, fraude ou se é necessário revisar os últimos cinco anos, o escopo é outro. Depende muito das circunstâncias, mas tende a ser maior (na comparação com os custos da auditoria)”, explica Simões, da KPMG. No caso da Santo Antonio é criada uma linha de despesa específica para investigações dessa natureza, para manter a visibilidade sobre o orçamento real. “Sempre sou muito questionado (sobre as despesas) e quando é o conselho que valida à sombra, eu volto para o conselho e mostro que a shadow que eles pediram custou tanto”, conta Felipe Faria. Uma alternativa poderia ser a de negociar previamente os valores para o serviço já no contrato de auditoria, uma forma de dar mais previsibilidade aos processos. Mas, da parte das empresas, entende-se que isso poderia depor contra a empresa, no sentido de que ela já espera encontrar algum problema que demanda uma investigação sombra. Seria, na visão de muitos, assumir um pré-atestado de culpa.
Com orçamentos limitados e tendo que, em muitas dessas situações, arcar com uma despesa extra, não prevista no budget, o que os profissionais de Compliance costumam questionar não é a necessidade de se instaurar uma shadow, mas sim o tamanho do escopo. “Minha maior crítica é que, uma vez iniciada a shadow, vejo um trabalho que tem sido feito sem limites. Tem uma avenida para atuação por parte da auditora, sem que a empresa possa colocar qualquer limitação nesse trabalho. Se a metodologia da investigação foi validada, porque fazer uma nova investigação? Os auditores fazem questionamentos pertinentes, alinhados com o trabalho de investigação. Agora, não é para ser uma investigação paralela, vou insistir nisso”, diz Luciana Leme, Chief Compliance Officer da empresa de tecnologia Neoway.
Para Staino, definir papéis e responsabilidades é fundamental. “É preciso fazer uma investigação bem feita e a equipe da investigação sombra tem que entender que ela não vai fazer nenhum processo de investigação”, reforça. Ele lembra que os auditores adoram testar bases de dados automáticas, mas como fazer quando a base de dados é manual? “A shadow pode querer ampliar sua amostra de forma muito grande e vai se levar um monte de horas… Para eles, quanto mais ver, melhor, porque o nome do auditor e da firma está lá no final do documento”, diz o executivo da construtora. Mas ele reforça que a shadow não é um fim em si mesmo. “Não deixamos que isso aconteça, porque se deixarmos, no que depender deles, vão querer sempre, porque acham que o processo deles é mais bem feito. Daí que o jeito educado de conduzir isso é definir claramente com as partes o papel e a responsabilidade de cada um”, diz.
Nesse aspecto, Valdir Coscodai diz que o auditor precisa tomar muito cuidado com a proporcionalidade na hora de pedir mais evidências das empresas. Quando mais complexo o caso, obviamente respostas mais extensas e com mais evidências serão requeridas. Ao mesmo tempo, não se pode querer usar uma bala de canhão quando o caso é pequeno.
Outro ponto de questionamento da parte dos profissionais de Compliance nas empesas é que se não é papel da auditoria perseguir fraudes, por que tanto tempo de investigação sombra, em busca de fraudes? “O mercado começou a cobrar um papel que não é deles. Por que não viu a nota? Por que não pegou a fraude? Acabamos colocando a pressão nos ombros dos auditores e eles acabaram absorvendo isso e querendo fazer um trabalho maior do que tudo, buscando serem mais realistas que o Rei”, acredita Eduardo Staino, diretor de Compliance e Auditoria Interna da construtora Andrade Gutierrez.
ISSO É CONFORTO
O que os auditores querem encontrar de informação para que lhes seja dado o devido conforto?
Como a atividade do auditor está fundamentada em normas profissionais e técnicas que definem pressupostos e o auxiliam no exercício de seu julgamento e ceticismo profissional, Antonio Vaz, da EY, reforça que a transparência no relacionamento entre as partes é chave para o sucesso. Mas que não existe uma resposta única e objetiva à questão. “O conforto pode variar de acordo com a natureza dos incidentes, o nível de envolvimento ou conhecimento dos executivos, e o julgamento profissional do auditor sobre aquele determinado fato. Quando se referem a conforto, trata-se de fato da obtenção de evidência apropriada e suficiente de auditoria para fundamentação técnica do relatório sobre as demonstrações financeiras”, conta Vaz. Já o diretor da Andrade Gutierrez concorda que existe a questão do ceticismo e do julgamento do auditor, mas que a auditoria tem que ser o mais objetiva possível e menos interpretativa. “Ele tem que ter o espaço para exercer o seu ceticismo, só que eu acho que a turma foi buscar uma zona de conforto além do ponto”, pontua.
Se a definição de conforto pode variar de acordo com cada situação, as formas de se obtê-lo são basicamente as mesmas. Ele pode ser alcançado pelo próprio auditor, por meio dos seus trabalhos e processos aplicados; ou por meio das investigações sombra. A escolha vai depender dos fatores já listados acima, do nível de confiança e credibilidade da investigação realizada até o tipo de incidente sob apuração. O mesmo padrão vale para o que, no final das contas, as firmas de auditoria e seus sócios vão entender como suficiente para o seu conforto em casos equivalentes.
A depender do nível dos assuntos, ainda que seja um sócio a dar a sua assinatura no relatório de auditoria, a decisão de fazê-lo não é mais só dele. “Geralmente, no contexto das empresas maiores, cria-se um comitê que faz a avaliação daquela investigação, dos achados como um todo, e isso vira uma decisão de firma e não mais do sócio”, lembra o sócio da EY. Na prática, isso é um dos fatores que contribui para uma avaliação de risco e de processos mais standartizados dentro das firmas de auditoria.
O Compliance exerce papel fundamental em investigações que tratem de fraudes, desvios ou malfeitos, além de violações e conduta que possam ter incorrido em violações aos códigos e ao programa de Compliance das companhias. Mas nem sempre a investigação é conduzida pela área. Principalmente em empresas de capital aberto, acabam sendo tratadas nas instâncias mais altas da empresa, como o comitê de auditoria e o próprio conselho. O comitê de auditoria pode, inclusive, determinar que a área de Compliance não participe do exercício, só investigadores e auditores independentes. “Tem esse componente que pode gerar esse desconforto. Isso é comum. A governança da investigação é uma das coisas mais importantes que existe”, reforça Andrade, da KPMG.
Ainda assim, na prática do dia a dia, persiste certo desconforto de muitos profissionais de Compliance com a busca de conforto pelo auditor. “Para mim, o que fica é que não é tão claro para os sócios das firmas de auditoria, mesmo que sejam da mesma firma”, conta Felipe Faria. Na visão deles, existe um desafio em saber onde a decisão do que é conforto está. “São empresas muito grandes (as big 4). Às vezes você acerta algo e depois volta uma demanda de que Londres ou Nova York não estão confortáveis. Mas o pessoal daqui não deixa a gente falar com eles”, diz Staino. “Da noite para o dia, seu auditor vira seu adversário e o mesmo conforto que ele sempre teve, passa a não ter mais”, emenda.
QUANDO A SHADOW VIRA A INVESTIGAÇÃO PRINCIPAL
Se a empresa confia nos seus mecanismos de controle e investigação e no próprio trabalho realizado pelos investigadores independentes, ela pode “bater o pé” e não aceitar um pedido de revisão ou a ampliação de alguns aspectos pedidos pelos auditores e pelo time de shadow investigations em relação ao escopo da investigação. Nesse caso, a empresa sustenta a sua posição e passa a bola para o auditor decidir se aquela questão vai realmente gerar um apontamento ou não no seu relatório. “A investigação tem que chegar as vias de fato. Se achamos que está suficiente a gente bate o pé e eles (ou auditores) vão avaliar. Geralmente, eles voltam e dizem Ok. É preciso contrariá-los às vezes, mas sempre tendo informação para fazer isso”, reforça Casasanta.
Mas na persistência da falta de conforto com toda a informação passada até o momento, o auditor pode avaliar a realização de procedimentos adicionais de auditoria, ou mesmo questionar a administração sobre a necessidade de uma investigação mais extensiva, que será acompanhada pela shadow. Um caso que a administração entende que a investigação é suficiente, mas o auditor quer entrevistar mais cinco pessoas, se a administração não decide, o auditor volta para a sua árvore de decisão. “Ao ver (ou não conseguir ver) o quanto aquilo pode impactar, ele pode deixar isso claro no relatório do auditor, ressalvando que alguns elementos foram insuficientes para a sua análise e que possam impactar assim a sua opinião sobre as demonstrações financeiras”, reforça Vaz. “Às vezes, as companhias precisam liberar as informações financeiras naquele dia, mas ainda estão investigando determinado tema, e o objetivo da shadow é de entender se aquela eventual prática indevida se perpetuou no período do escopo de auditoria. É grande a discussão que se tem nesses casos, um dos pontos que mais exige da percepção e do julgamento do auditor”, emenda o sócio da EY.
Todo mundo sabe como começa uma investigação, mas ninguém sabe nem quando e nem como termina uma investigação. “Os achados vão surgindo. A partir de um e-mail você vai ver que tem gente que estava fora do escopo e precisa passar a estar… Não é que a shadow vira investigação, mas ela crítica o trabalho do investigador, porque ele pode não ter sido tão crítico e tão cético. A shadow força um pouco, ela tem esse condão de ampliar o escopo de uma investigação caso se indiquem outros rumos”, explica Danilo Simões, da KPMG.
É um ponto complexo, até porque, como alerta Lucia Casasanta, a condição primordial para o auditor é a independência e que deixar que shadow se torne a investigação principal é um problema seríssimo. Justamente porque se perde a independência.
GESTÃO DE EGOS
A dinâmica de trabalho de uma investigação por suspeita de fraudes ou malfeitos é sempre tensa e envolve ansiedade dos envolvidos. “Investigações internas e investigações sombra são projetos e um projeto não dorme verde e acorda vermelho”, lembra Staino, da Andrade Gutierrez. Por isso é fundamental para o bom andamento dos trabalhos o tom dado por quem está contratando os serviços, sejam os administradores, seja o comitê especial que dirige a investigação ou mesmo o gestor de Compliance, quando o caso estiver sob sua batuta.
Comunicação objetiva e, mais uma vez, clareza sob o papel e os limites de cada um, ajudam a mitigar os riscos de que a investigação vire um litígio na frente. Pequenos questionamentos e críticas de parte a parte podem ser o suficiente para desandar o processo. “Já me aconteceu de ter feito a investigação e a sensação era a de que o auditor ainda achava que tinha algo errado. São feitas muitas críticas em cima de pequenas coisas. O time de investigação tem que estar muito preparado para lidar com isso”, conta Faria.
Para além das tecnicidades, Staino lembra que existe também uma disputa de egos que pode convergir para uma relação conflituosa. “Quem vai investigar tem o seu escopo e não sai de casa para fazer um mau trabalho. O mesmo vale para o time da shadow. Se não se tratar os pequenos conflitos no dia a dia, buscar consensos, no final das contas acaba o prazo de investigações e você fica com uma lista de 500 itens não resolvidos ao longo do caminho”, alerta o executivo da Andrade Gutierrez, que reforça seu ponto afirmando que em processos de investigação não existe o depois, só o agora e que um dos principais erros é deixar essa mediação só para o final. Alguém tem que ser o mediador desse processo. “Tem muito trabalho de negociação, é preciso ser firme, estar ciente da extensão do que está sendo feito, para que possa bancar. ‘Até aqui é razoável a não ser que exista uma razão diferente e que eventualmente nós não tenhamos avaliado’”, aponta Lucia Casasanta.
A conselheira conta ter vivido casos que eram um verdadeiro cabo de guerra. “Os auditores vinham com argumentos de que estatisticamente a investigação deveria se aprofundar mais e nos mostrávamos que aquilo estava sendo coberto. A justificativa estatística não representava mais necessidade o que facilitou a decisão de falar não para o auditor”, lembra. Para além dos custos financeiros, demandas dessa natureza cobram caro em tempo e pessoas, num contexto em que a administração está preocupada em dar respostas rápidas para a situação. “É preciso acomodar, aceitar algumas coisas e eles tiveram que abrir mão de algumas exigências de extensão de escopo. Isso não é só na shadow”, reforça Lucia Casasanta.
A HORA DE AVISAR
Parte desse tom da liderança do processo passa por evitar surpresas para o auditor independente. Muitas empresas relutam em levar os temas a eles. Carlos Ayres garante que sabendo do problema, quanto antes à empresa interagir com o auditor, melhor. “Isso é benéfico porque dá ao auditor à chance de realizar procedimentos adicionais, buscar uma amostra diferente ou estabelecer processos que ele não faria numa situação normal”, reforça o advogado. “Se você não é comunicado tempestivamente é importante entender o porquê. Foi erro ou omissão?”, questiona Vaz, da EY. Isso pode levar o auditor a não depositar confiança na administração, principalmente se as circunstâncias dão a entender que os interlocutores tiveram conhecimento daquilo. “Se for demonstrado que a não comunicação se deu porque a administração não achou necessário, o nível de confiança pode ser afetado. E como consequência, têm-se a abertura de procedimentos adicionais como resposta.”, reforça o sócio da EY.
Coscodai diz que quando algo de grave é encontrado, o auditor deveria ser avisado de forma imediata. Nos Estados Unidos, a SEC tem regras explicitando que quando algo relevante é encontrado, a empresa tem 24 horas para comunicar o regulador e, por consequência, o auditor. “No Brasil, temos algumas regras nesse sentido também, não a questão das 24h, mas pela regulamentação do Banco Central e da Superintendência de Seguros Privados (SUSEP), o comitê de auditoria, quando instalado, deve individualmente ou em conjunto comunicar em no máximo três dias da identificação ou da evidência de fraude relevante ou que envolva a alta administração”, conta Coscodai.
Nesse ponto, talvez o grande desafio para os profissionais de Compliance e da administração seja o de avaliar e moderar o que deve ser considerado uma denúncia ou um caso grave. “Não é ‘recebi uma denúncia no canal de denúncias hoje e saio correndo para avisar’. Recebi a denúncia, comecei a apurar e vejo que é algo que parece ter fundamento e seja relevante para o auditor, aí sim a empresa deve considerar levar isso para ele”, explica Ayres.
De qualquer modo, durante o processo de validação das demonstrações financeiras, os auditores vão perguntar aos administradores se eles têm conhecimento de investigações, denúncias ou fatos relevantes para que eles enderecem essas questões aos seus auditores. No dia em que o relatório é assinado, existe uma representação formal de que o certificador não tem nenhuma informação até aquele momento de fatos que poderiam comprometer a integridade das demonstrações apresentadas.
Particularmente em relação ao compartilhamento de respostas de casos sobre investigação em andamento, cujas conclusões ainda não são claras para os profissionais de Compliance e para a administração, existe um receio em relação às ações dos auditores quando recebem uma preliminar do caso. “É uma discussão que temos no meio de uma shadow. Vamos supor que naquele momento eu compartilhe uma conclusão preliminar agora, mas que ela muda depois. O impacto pode ser totalmente diferente, inclusive em relação ao contingenciamento”, revela Luciana Leme. Para a CCO da Neoway, o momento correto de compartilhar conclusões com os auditores é quando são, de fato, conclusões finais. “Se não são finais, não tem como compartilhar porque a avaliação de impactos e contingências pode se basear em informações erradas”, emenda.
Do ponto de vista do auditor, busca-se adiantar ao máximo essas conversas, embora a decisão de fazê-lo seja da empresa. Por isso também que os auditores olham com atenção para o controle e a classificação do risco das denúncias realizadas pelos canais da companhia. As denúncias classificadas como de alto risco, são as que principalmente interessam aos auditores. Até porque, tradicionalmente denúncias contra membros da alta administração são classificadas nessa faixa e as empresas costumam já ter um roteiro para lidar com aquilo. “Quando o Compliance determina a abertura da investigação, ele pode falar com a gente de partida ou não. Isso tem a ver com como o trabalho acontece. Mas vamos tratar do assunto de uma forma ou de outra, antes ou depois”, pontua Simões, da KPMG.
Ainda existem situações nas quais as investigações já chegam prontas para os auditores. Nesses casos, não resta muito a fazer além de avaliar o trabalho realizado e ver se a investigação foi suficiente para lhes dar às respostas que precisavam. Mas Vaz reconhece que hoje, a questão da comunicação melhorou muito. “No passado, as comunicações em relação ao andamento das investigações eram feitas mais em cima da hora, até porque a própria prática da investigação estava se estruturando. Não existiam normas de auditoria como a NOCLAR (Responding to Non-Compliance with Laws and Regulations) que tratassem de descumprimentos de leis e regulamentos”, lembra.
Por outro lado, ele também alerta que investigações de incidentes supostamente menores na visão das companhias, questões corriqueiras da operação, ainda carecem de mais comunicação. “As empresas estão mais acostumadas a comunicar grandes eventos, mas o auditor precisa ter acesso ao todo, e avaliar aquilo que for relevante na perspectiva da emissão do relatório de auditoria sobre as demonstrações financeiras”, pontua Vaz, reforçando que a responsabilidade pela avaliação da necessidade de uma investigação é da companhia e que cabe a sua governança avaliar como deve se dar sua condução. “O auditor obtém acesso aos resultados da investigação e avalia os impactos em seu relatório de auditoria” ressalta o sócio da EY.
Embora tenha evoluído muito no decorre dos últimos anos, as investigações sombras ainda são um processo relativamente novo, que deve evoluir, inclusive por conta do recente boom do número de IPO´s na bolsa de valores, ampliado o número de companhias expostas ao escrutínio dos seus auditores. É natural que no decorrer dos próximos anos, a poeira tenda a baixar e a prática das shadow, bem como a relação entre empresas, investigadores e auditores ganhe em harmonia. O que não quer dizer que a relação deixará de ter um grau de tensionamento. Eduardo Staino reforça inclusive, que as companhias submetidas a esse tipo de escrutínio da investigação sombra, bem com seus profissionais de Compliance, defendam a boa execução do programa. “A corda do auditor e do auditado é, por natureza, tensionada. Ela não pode romper, mas a ausência de tensão pode deixar ambos achando que podem fazer o que quiserem. Precisamos ter uma postura mais firme com os auditores, saber lidar com a pressão deles e achar juntos esse denominador”, afirma o diretor da Andrade Gutierrez. Para Coscodai, da PwC, a tensão sempre vai existir. O que se faz necessário é que as pessoas entendam que não se trata de um cabo de guerra, no qual um lado ganha e o outro perde. “Uma investigação é um processo colaborativo, cada um dos lados precisa entender o que o outro precisa. Apesar de ser um processo complexo, quando você trabalha com pessoas experientes, que sabem como as coisas funcionam, o fluxo acontece sem grandes traumas. Parece que é música”, conclui.
O IMPACTO “MATERIAL” DO ASSÉDIO
A confiança sobre quem repassa as informações da empresa aos auditores, os certificadores, é fundamental. “Se existe uma pessoa denunciada fazendo uma representação verbal ou escrita ao auditor, é preciso entender o envolvimento dela na denúncia, para entender o quanto é possível depositar confiança nas representações feitas por essa pessoa a auditoria”, lembra Antonio Vaz, da EY. Qualquer sombra de desconfiança sobre a atuação e a conduta dos certificadores, mesmo em temas que não representem riscos óbvios a materialidade das informações financeiras prestadas, é motivo de grande atenção para os auditores. Daí que denúncias e alegações e assédio contra esses profissionais serem sim um ponto de preocupação. Uma denúncia de assédio pode ser inconsequente do ponto de vista à materialidade, não gerando impacto nas demonstrações financeiras. As próprias normas sobre o trabalho dos auditores não definem essa questão. Mas a questão que fica é de outra natureza. “Até que ponto condutas impróprias, como o assédio podem ser extensivas a ponto de impactarem a confiança que o auditor deposita no certificador, e, consequentemente, afetar a sua opinião de auditoria? Em palavras mais simples e diretas, a pergunta que fica quando há um caso de assédio envolvendo um certificador, por exemplo, é se o certificador seria um “crápula” a ponto de fazer representações impróprias à auditoria? É aí que fica a pulga atrás da orelha”, alerta o sócio da EY. Caso no curso da investigação, ou mesmo nas respostas dadas por ele aos auditores, ele minta nas explicações, aí vai se avaliar a relevância da questão. “É uma questão do grau de confiança. Assim, como a administração precisa avaliar se pode deixar aquele certificador representar sobre as demonstrações financeiras, o auditor independente, por sua vez, tem uma árvore de decisão para saber se pode depositar confiança naquele certificador ou não”, reforça Vaz.
Para os sócios da KPMG, o auditor quer segurança em relação ao comportamento dos administradores, até mesmo fora da empresa. “Se o auditor não está confortável com o respeito aos valores éticos da administração, ele não pode receber informações do representante. Não podemos receber informações de um CEO com acusações graves contra ele”, salienta Rogério. Nesses casos, não é incomum que o profissional seja afastado da administração, para que os negócios possam continuar e os balanços sejam assinados enquanto as investigações são realizadas. “Precisamos ter confiança na resposta da governança sobre esse tipo de assunto”, corrobora Danilo.
Agora, o pedido de abertura de uma shadow para casos que envolvam denúncias de assédio não são consideradas razoáveis, na maioria dos casos. “Eu acho que a shadow não se justifica por uma questão de denúncia de assédio”, diz Lucia Casasanta. Ela concorda que como o auditor avalia riscos de fraudes, ele pode ter que lidar com que tem o poder da caneta na demonstração e com o quanto eles podem estar pressionados para autorizar algo que não é correto e podem influenciar as informações financeiras, ou assediar outros para influenciar algo. “Aí sim é papel de o auditor avaliar a decisão sobre esse risco. Mas não com uma shadow. Você endereça o risco de fraude dentro da investigação”, pontua Casasanta.
“Me pediram a matriz de consequências (por infrações de Compliance), para ver como funciona e se existem protocolos de investigação. Eu entendo isso no contexto da auditoria financeira. Agora, querer saber quais penalidades foram impostas. Que juízo de valor o auditor quer fazer?”, questiona Faria, da Santo Antonio Energia, que conta que os casos são reportados em detalhes ao conselho e que se chegou a conclusão, olhando na minúcia, que se critica algo que não existe. “Um atestado médico falso, gerou uma suspensão. Ou um caso de homofobia, que teve outra penalidade. Se o auditor começa a questionar isso (as sanções), onde isso vai parar?”, conclui o head da companhia energética.
Confidencialidade
Outro ponto de discussão entre os profissionais das empresas e seus auditores diz respeito à confidencialidade dos dados que a investigação busca acessar. Ainda mais hoje, num contexto de proteção de dados pessoais. Para Danilo Simões, essa é uma discussão que acontece com alguma frequência, mas no final do dia, o que o auditor não pode ter é limitação de aceso. “A investigação vai ter que ter acesso às informações, sem limitações. O que pode acontecer é elas ficarem restritas aos sócios da auditoria. Mas sem o acesso as informações relevantes, não se conclui a auditoria”, afirma o sócio da KPMG. “E isso pode levantar mais suspeita do auditor, tentaram esconder alguma coisa aqui, e aí o auditor fica ligado”, corrobora Coscodai, para quem esconder essas informações do auditor e como ir ao médico e omitir certos sintomas, porque você não está confortável com a situação. “O diagnóstico vai ser impreciso”, diz. Claro que existem situações muito específicas, que envolvem o privilégio de sigilo da relação cliente e advogado, situação que precisa ser compreendida pelo auditor, mas o presidente do Ibracon lembra que com tantos casos de shadow no mercado, nunca se confirmou um vazamento pelo auditor. “Existem formas de isso ser tratado. Isso é mais desculpa para não assumir o risco e uma incompreensão. É imaturidade não passar o assunto para o auditor achando que isso nunca vai aparecer. É pior para ele”, reforça.
Na mesma linha, Eduardo Staino, da Andrade Gutierrez, diz que sua preocupação maior com a confidencialidade do investigador do que com o time da shadow, até porque, em linhas gerais, ele não precisa ter acesso aos dados em si. Agora, e se ele quiser acessar as informações em detalhes? “Vai muito do escopo. Tem uma linha tênue, agora se tiver um acordo de confidencialidade – e às vezes se negligencia isso –, acredito que isso possa ser facultado a eles, de ver um papel de trabalho, mostrar a guarda do material, o recording das entrevistas e aí ela vai recebendo o conforto. Agora, abrir para ele todos os contratos não me parece razoável”, conclui.
Artigo publicado originalmente na edição 32 da revista LEC.
Imagem: Freepik