02 de abril, de 2017 | 22:17

Prevenção de fraudes em sistemas legados

Gibson Tavares

No Brasil ainda existe um número muito grande de empresas que utilizam sistemas legados dando suporte às suas atividades controladas em ERP´s (Enterprise Resource Planning, ou Planejamento de Recursos Corporativos, em português). Na maioria dos casos, estas atividades apresentam baixo ou nenhum retorno financeiro, por isso a desculpa de não investir na integração tecnológica do processo.

É muito comum também, quando ocorre a implementação de um ERP moderno e caro, que as empresas deixem de fora inicialmente algumas atividades por questões de custo, complexidade ou até mesmo por pura procrastinação. E a tal “segunda fase de implementação” nunca chega, fazendo com que os sistemas legados ganhem sobrevida.

Os sistemas legados geralmente nascem de duas situações distintas: foram implementados em um momento em que empresa possuía faturamento mais baixo e, obviamente, optou por um sistema mais barato, ou não encontrou solução no mercado e contratou profissionais para um desenvolvimento “caseiro”.

Independentemente da situação vivenciada pela empresa, o fato é que os sistemas legados possuem níveis de segurança e até mesmo de governança baixíssimos, para não dizer inexistentes.

E aí chegamos ao assunto abordado neste artigo: o aumento recente de atividades fraudulentas praticadas por funcionários, e que em sua maioria ocorrem nos sistemas legados. Participo frequentemente de projetos para investigação em fraudes, e posso garantir que muitos acontecem nestes sistemas no qual os funcionários se aproveitam exatamente das falhas de segurança.

Soma-se a isso o fato destes sistemas controlarem baixos valores monetários para a empresa, mas atraentes para pessoas comuns e, portanto, pela baixa materialidade, não receberem nenhuma atenção e estarem fora do escopo de auditorias, por exemplo.

Funcionários que lidam com sistemas vulneráveis rapidamente identificam suas fragilidades. É um processo natural e inevitável. Assim, está criada a oportunidade para a ocorrência da fraude. A pressão advém de momentos de dificuldades econômico-financeiras, como os que temos vivido ultimamente. A partir deste ponto, um funcionário com conceitos éticos questionáveis parte rapidamente para a racionalização e execução da fraude.

É importante ressaltar aqui que os impactos de uma fraude corporativa vão além da perda financeira. Como exemplo, é possível citar um caso que havia um grupo utilizando recursos da empresa para lavar dinheiro do crime organizado. Tudo isso debaixo do nariz de toda a alta direção. A exposição da fraude na mídia colocaria em dúvida a idoneidade da empresa, uma multinacional, pois mesmo explicando que a empresa também era vítima da situação, as manchetes circulariam de forma negativa na imprensa.

Mas então qual a melhor forma de prevenir fraudes em tais sistemas e, ainda assim, otimizar recursos?
A melhor resposta para essa pergunta é, sem dúvida, o Data Analytics, que pode ser utilizado frequentemente e torna mais produtivas as análises destes sistemas. Ele identifica transações suspeitas e otimiza o tempo da equipe de auditoria. Porém, para que o Data Analytics seja eficiente e eficaz, é necessário analisar as bases de informações dos sistemas legados e adaptá-las. É necessário planejar a arquitetura dos dados.

Será preciso um esforço inicial para levantar os riscos do sistema legado e dos processos atrelados a ele, mas que trará tranquilidade à empresa por longo prazo. É preciso desenvolver métodos para identificar a melhor forma de analisar os dados, a fim de prevenir atividades indesejadas e adaptar as bases de informações para que possam ser utilizadas em Data Analytics com a frequência apropriada.

A dica é que seja efetuado um levantamento dos riscos e vulnerabilidades do seu sistema legado e dos processos atrelados a ele, estruturando os dados para otimizar o Data Analytics e reduzir custos com horas de auditoria. Em tempos de compliance, o impacto de uma fraude corporativa pode trazer prejuízos relevantes, que não são recuperados em curto prazo.

* Gerente de auditoria tecnológica, Auditoria Interna e Financial Advisory na Protiviti, consultoria em Gestão de Riscos, Auditoria Interna, Compliance, Gestão da Ética, Prevenção à Fraude e Gestão da Segurança.