Você sabe o que é gestão de riscos? Nosso Guest Post de hoje traz um estudo de caso do TCE-MS sobre a gestão de riscos aplicada através de inteligência artificial no setor público brasileiro. Confira!

Neste artigo você vai aprender:

• A história do gerenciamento de riscos
  • Gerenciamento de riscos e padronização
• A história da fraude
  • O triângulo da fraude
• Efetividade no controle externo de riscos e de fraudes
• Processo de Gerenciamento de Riscos
  • Plataforma de Gerenciamento de Riscos
  • Processo de Gerenciamento de Fraudes
• Estudo de caso TCE-MS: Ferramenta E-Extrator – Extração de Dados e o Gerenciamento de Risco de Fraudes
  • Como funciona o uso dessa tecnologia na prática?
  • Quais temas são considerados?
  • Qual o impacto alcançado nas organizações?

Está imperdível! Confira o artigo completo abaixo.

A ferramenta E-Extrator no gerenciamento de riscos e de fraudes. Uma abordagem no controle externo.

Waldir Neves Barbosa; Parajara Alves Moraes Junior; Douglas Avedikian

Tribunal de Contas do Estado de Mato Grosso do Sul

Artigo disponibilizado pelo Instituto MS Competitivo

A história da gestão de riscos

A expressão Risco tem sua origem no termo latim Risicu ou Riscu que significa ousar.

O gerenciamento de riscos (GR) em modelos concebidos no século XXI levam em consideração dois parâmetros: a probabilidade de o evento adverso ocorrer e o impacto caso esse evento ocorra.

As análises de cenários tendo como foco a probabilidade de um evento ocorrer têm um histórico comprovado desde 1654. Segundo Bernstein (2009) a teoria das probabilidades teve origem em resultados de estudos apresentados pelos matemáticos Pascal e Pierre.

As grandes empresas que operam em atividades que exigem um alto nível de segurança operacional adotam o gerenciamento de riscos. Que permite conhecer e analisar as ameaças e vulnerabilidades em sua operação.

Os maiores usuários da gestão de riscos desde o século passado são as empresas que operam com investimento. Os principais são em bolsa de valores, petróleo, atividades nucleares e, por fim, a aviação.

A primeira legislação que versa sobre a metodologia de gestão de riscos em órgãos públicos foi publicada em 2004. A autoria é do Departamento de Controle Interno (DCI) da Inglaterra, o Controller of Her Majesty’s Stationery Office (HMSO).

A publicação recebeu o título de: Orange Book – Gerenciamento de Riscos – Princípios e Conceitos. Em 2009 a referida entidade publicou a estrutura de Avaliação de Gerenciamento de Riscos.

Gerenciamento de riscos e padronização

Em 2009 a Organização Internacional para Padronização (ISO) publicou a primeira versão da ISO 31000. O tema era Gerenciamento de Riscos – Princípios e Guia. O foco desta publicação abrangia as áreas públicas e privadas. Segundo a ISO 31000 (2009) risco é a incerteza nos objetivos.

Neste mesmo ano o DCI da Inglaterra publicou mais um documento denominado a Estrutura de Avaliação da Gestão de Riscos.

Na mesma linha da ISO 31000 a Organização da Aviação Civil Internacional (ICAO) publicou em 2009 a segunda edição do DOC 9859 – SMM – Manual de Gerenciamento da Segurança Operacional. Segundo a ICAO (2009) risco é a avaliação das consequências de um perigo, expresso em termos de probabilidade e severidade.

A Organização Internacional de Entidades Fiscalizadoras Superiores (INTOSAI) publicou em 2009 o primeiro guia para gerenciamento de riscos para entidades públicas de auditoria que no Brasil são os Tribunais de Contas.

O documento INTOSAI GOV 9130 teve como título: Diretrizes para Padrões de Controle Interno para o Setor Público – Informações sobre Entidade de Gerenciamento de Risco. No Brasil a primeira publicação oficial de gerenciamento de riscos foi a Instrução de Serviço – IS 119 publicada em 2012 pela ANAC com o título de Sistema de Gerenciamento da Segurança Operacional.

O TCU – Tribunal de Contas da União segue os documentos emitidos pela INTOSAI e adota há alguns anos ações e recomendações de gerenciamento de riscos em seus relatórios e acórdãos. Em 2012 o TCU publicou o relatório 011.745/2012-5 que trata sobre gestão de riscos e controles em entidades da administração federal indireta.

Em dezembro de 2014 a Associação dos Membros dos Tribunais de Contas (ATRICON) publicou o Marco de Medição do Desempenho – Qualidade e Agilidade dos Tribunais de Contas do Brasil (MMD-QATC) com 29 quesitos que avaliaram a capacidade da utilização da metodologia de gerenciamento de riscos de cada TCE.

A história da fraude

A expressão Fraude tem sua origem no termo latim Fraus que significa dano, fraude. O conceito de fraude está associado ao de burla, que é um delito contra o patrimônio ou a propriedade alheia.

Em uma análise histórica é possível encontrar evidências da existência da prática de fraudes, por exemplo, no código de Hamurabi, conjunto de leis criadas pelo rei Hamurabi da primeira dinastia da Babilônia no século XVIII a.C., há na lei 265 a definição de vários tipos de fraudes e suas respectivas punições.

Na civilização egípcia, 500 anos a.C., há também evidências da prática de fraudes. Algumas múmias de animais sagrados, quando fraudadas, continham apenas gravetos e algodão sem mais nada em seu interior.

Segundo o professor Venosa a fraude nada mais é do que o uso de meio enganoso ou ardiloso com o intuito de contornar a lei ou um contrato, seja ele pré existente ou futuro.

O triângulo da fraude

Donald Cressey concebeu um modelo denominado o triângulo da fraude onde a prática de um ato de natureza fraudulenta é sempre antecedida de um processo de decisão por parte do respectivo autor e cujo sentido parece derivar da avaliação que faz sobre determinados aspectos que contextualizam o seu ―aqui e agora.

Este evento depende de três variáveis representadas na Figura 1.

A Oportunidade para a prática do ato fraudulento é o aspecto ou conjunto de aspectos de uma organização que denotam uma fragilidade em uma ou mais áreas da organização. Ela pode ser motivada pelas vulnerabilidades que a organização apresenta, por exemplo falta de controles ou controles fracos.

A Pressão é oriunda da vida particular do autor da fraude e resulta de urgentes necessidades de liquidez financeira tais como dívidas, vício de jogo ou de consumos, ou ostentação de determinados símbolos associados à posse de certos objetos que façam o autor sentir-se integrado em determinado grupo social.

Em qualquer dos casos a pressão resulta de uma necessidade de alcançar dinheiro ou bens de natureza material a fim de solucionar um problema (no primeiro caso), ou simplesmente para aumentar as disponibilidades financeiras para atender o status de integração social (no segundo caso).

A Racionalização é a capacidade que o autor da fraude possui para interpretar e correlacionar os diferentes dados sobre a realidade que o envolve analisando as perdas e ganhos culminando com a prática do ato fraudulento.

Em 2013 o Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO) publicou O Guia de Gerenciamento de Riscos e Fraude e este passou a ser o referencial metodológico para o Gerenciamento de Fraudes em órgãos públicos.

No Brasil o decreto lei 2848/40 do código penal, faz alusão a tais fraudes a partir do artigo 312.

Efetividade no controle externo de riscos e de fraudes

As Cortes de Contas procuram cada vez mais atingirem a efetividade na sua missão e visão. Em todas as ações é notória a busca incansável pela efetividade.

Segundo o dicionário da língua portuguesa Houaiss efetividade é: Capacidade de atingir o seu objetivo real. Logo, as Cortes de Contas buscam serem efetivas no controle externo. Buscando, assim, proporcionar para a sociedade os benefícios oriundos de uma efetiva e eficiente fiscalização da aplicação dos recursos públicos.

A ISO 31000 (2009) destaca que o gerenciamento de riscos quando implementado e mantido segundo a norma possibilita a uma organização:

• Melhorar a efetividade operacional;
• Aumentar a probabilidade de atingir os objetivos;
• Encorajar uma gestão proativa;
• Melhorar a identificação de oportunidades e ameaças;
• Melhorar a governança e os controles.

Desta forma, o gerenciamento de riscos devidamente implementado é fundamental para que os Tribunais de Contas cumpram a sua missão e atinjam a efetividade em suas ações cumprindo o seu papel constitucional.

O TCE-MS – Tribunal de Contas do Estado de Mato Grosso do Sul iniciou a implantação do gerenciamento de riscos em 2013 e em 2016 publicou o Manual e a Política de Gerenciamento de Riscos.

Ainda em 2016 adotou a metodologia em quatro áreas específicas: Saúde, Educação, Corregedoria e Controle Interno.

Processo de Gerenciamento de Riscos

O processo de gerenciamento de riscos adotado e normatizado pelo TCE-MS no seu Manual de Gerenciamento de Riscos está alinhado com o preconizado pela INTOSAI e ISO 31000 e é composto das seguintes etapas:

• Estabelecimento do contexto de riscos;
• Processo de avaliação de riscos (subdividido em identificação, análise, e avaliação de riscos);
• Tratamento de riscos;
• Comunicação e consulta;
• Monitoramento e análise crítica.

Alinhado ao preconizado pela INTOSAI, o TCE-MS adota a Matriz de Riscos com os parâmetros de: Probabilidade e Severidade conforme as escalas das Figura 2 e Figura 3.

O cruzamento das escalas de Probabilidade com a de Severidade é apresentado através da Matriz de Riscos, Figura 4, e permite classificar os riscos de cada uma das frentes de atuação escolhidas pelo TCE-MS.

As cores dos cruzamentos na matriz apresentada na Figura 4 permitem classificar a região em que o risco se encontra e adotar ações de mitigação do risco, de aceitar ou não aceitar o risco.

Plataforma de Gerenciamento de Riscos

A metodologia adotada pelo TCE-MS conjuga o processo de Gerenciamento de Riscos com uma plataforma de Tecnologia da Informação permitindo coletar as informações internas e externas dos jurisdicionados em determinados cenários, ameaças, vulnerabilidades e todas as informações dos referentes a uma determinada frente de atuação do Tribunal.

As informações coletadas passam de forma automatizada pelo sistema especialista no tema e pela matriz de riscos que possui uma base de riscos de cada tema no seu banco de dados.

Após, o usuário visualiza a informação final com a classificação do risco na tela do sistema de inteligência de negócio (BI) integrado na plataforma conforme esquematizado na Figura 6.

Desta forma e com a menor interface, o usuário ao visualizar na tela o relatório com a classificação do risco poderá tomar a decisão de como atuar em determinada frente em relação aos jurisdicionados analisados e à estratégia adotada para cada nível de riscos estabelecidos previamente no Tribunal.

Processo de Gerenciamento de Fraudes

O processo de gerenciamento de Fraudes adotado no TCE-MS está alinhado com o preconizado pelo COSO.

O COSO em 2013 publicou 17 princípios e 5 componentes obrigatórios para o Controle Interno das Organizações. Esta publicação é adotada pelo Governo Federal do Estados Unidos através de seu normativo Standards for Internal Controls in the Federal Government.

O Oitavo Princípio trata, especificamente, de fraudes: ¨A Organização considera o potencial para a fraude na sua avaliação de riscos para atingir os seus objetivos.¨

Neste contexto, a organização americana com funções semelhantes à do TCU no Brasil, GAO – Government Accountability Office, baseado no Oitavo Princípio e no Guia de Gerenciamento de Riscos de Fraude publicou a Estrutura de Gerenciamento de Riscos e Fraudes nos Programas Federais.

Os componentes e princípios do Gerenciamento de Fraudes preconizados pelo COSO (2013) e adotados pelo GAO são:

Governança no Risco de Fraude

A Governança no Risco e na Fraude, que é denominada o Controle do Ambiente, tem como Princípio 1: A Organização estabelece e comunica o Programa de Gestão de Riscos e de Fraudes que demonstra a expectativa da direção e gestores e seus compromissos com a alta integridade e valores éticos com relação aos riscos e às fraudes.

Avaliação de Risco de Fraude

A Avaliação de Risco e Fraude tem como Princípio 2: A Organização desempenha avaliações de riscos e fraudes de tal forma para identificar esquema de fraudes específicas e riscos, avalia a probabilidade e impacto deles, avalia e calcula, avalia as atividades de controle de fraudes existentes, e implementa ações para mitigar os riscos e fraudes residuais.

Atividade de controle de Fraude

A Atividade de controle de Fraude é um procedimento específico ou processo ou ambos destinados a prevenir a ocorrência de uma fraude ou detectar rapidamente uma fraude no evento que ela ocorra. Tem como Princípio 3: A Organização seleciona, desenvolve e monitora as atividades de controle preventiva e de detecção de fraudes para mitigar o risco de fraudes ocorrendo em eventos ou não detectados em tempo hábil.

Ação corretiva e investigação de Fraude

A Ação corretiva e investigação de Fraude tem como Princípio 4: A Organização estabelece um processo de comunicação para obter informações a cerca de uma fraude potencial e adotando uma aproximação coordenada para investigação e ação corretiva tratar a fraude apropriadamente e em tempo hábil.

Atividade de Monitoramento e Gerenciamento de Risco de Fraude

A Atividade de Monitoramento e Gerenciamento de Risco de Fraude é utilizada pelas organizações para garantir que os 5 princípios estão presentes e funcionando como designado e que as organizações identificam necessidades de mudança em tempo hábil.

Tem como Princípio 5: A organização utiliza avaliações contínuas para garantir os 5 princípios e comunica as deficiências em tempo hábil para adoção de ações corretivas.

O TCE-MS adota em sua Política e Manual de Gerenciamento de Riscos o que preconiza o COSO no escopo para que processo de Gerenciamento de Riscos de Fraudes representado na Figura 7 seja contínuo e abrangente:

1 – Estabelece uma política de gerenciamento de risco de fraude como parte da governança organizacional;

2- Desempenha uma abrangente avaliação de risco de fraude;

3- Estabelece um processo de reporte de fraude e uma abordagem coordenada para investigação e ação corretiva;

4 – Monitora o processo de gerenciamento de risco de fraude, reporta os resultados e melhora o processo.

Foto da Matthew Henry, licença freeware do Burst

E-Extrator – Extração de Dados e o Gerenciamento de Risco de Fraudes

O TCE-MS iniciou no final de 2016 o projeto piloto denominado E-EXTRATOR para extrair dados diretamente das bases dos jurisdicionados. Nesse caso não há necessidade do envio para o Tribunal de Contas. A metodologia apresentada na Figura 8 consiste em:

1. Extrair os dados diretamente do banco de dados do jurisdicionado;
2. Minerar estes dados;
3. Filtrá-los através da Inteligência Artificial;
4. Priorizá-los através da Matriz de Riscos;
5. Identificar indícios de Riscos de Fraudes;
6. Disponibilizar os indicadores que são apresentados na tela do BI para análise e tomada de decisão;
7. Disponibilizar indicadores de gestão municipal para os jurisdicionados em portal destinado a eles.

O E-Extrator possibilita, além da coleta automatizada dos dados dos jurisdicionados, a coleta automatizada de dados da Nota Fiscal eletrônica (NFe), da Junta Comercial, do MEC – Ministério da Educação, dos Sistemas do TCE-MS, da Saúde e demais bancos de dados conforme a frente estabelecida de atuação do TCE.

Como funciona o uso dessa tecnologia na prática?

O sistema E-Extrator integrado com o BI possibilita ao usuário uma visualização de forma organizada dos dados transformados em informações para a análise e tomada de decisão.

Com a Inteligência Artificial e BI o usuário visualiza a análise pronta na tela e, após a priorização pela Gestão de Riscos a análise estará elencada apresentando todos os riscos existentes. No módulo Fraude a indicação é pontual indicando o indício de irregularidade como apresentado na Figura 9.

A tela do Módulo Fraude demonstra as informações extraídas pelo E-Extrator diretamente do portal da transparência do jurisdicionado, filtradas pela Inteligência Artificial com regras previamente estabelecidas e com a Fraude identificada de forma pontual.

Na tela apresentada acima a servidora Neuza tem contrato temporário com o município, percebe uma remuneração mensal de R$ 27.455,00, trabalha 40 horas semanais na unidade de saúde da família Bem Te Vi e mais 40 horas semanais na unidade de saúde da família João Paulo, ou seja, trabalha 80 horas semanais, 320 horas mensais.

Na Figura 10 são apresentada as informações extraídas somente do banco de dados da Nota Fiscal Eletrônica (NFe). As informações foram classificadas pela Inteligência Artificial no tema gastos com medicamento e a Fraude identificou empresas que não possuem CNAE (Código Nacional de Atividades Econômicas) destinados ao fornecimento de medicamentos. Em outras palavras as empresas que forneceram medicamentos e emitiram as NFe não estavam autorizadas para esta atividade econômica.

As atividades apontadas na tela acima são: Serviços para Edifícios e Atividades Paisagísticas; Comércio e Reparação de Veículos; Fabricação de Celulose. Nenhuma das três com natureza de comércio de medicamentos.

Quais temas são considerados?

Em 2017 foram desenvolvidas 62 Telas (Dashboards) para visualização das extrações de dados oriundas do E-EXTRATOR nos seguintes temas:

1- Atenção Básica – Saúde

2- Balanços Gerais

3- Contratos – Obras

4- Folha – Saúde

5- Gastos com educação

6- Gastos com medicamentos

7- Indicadores – Saúde

8- Monitoramento da carga do banco de dados

9- Portal da transparência – Estado

10- Portal da transparência – Folha

11- Portal da transparência – Municípios

12- Índice Efetividade na gestão municipal

13- Produtividade das áreas

14- Rede Neural – Folha

O COSO cita em seu guia de gerenciamento de risco de fraude que todas as organizações estão sujeitas a riscos de fraude e é impossível eliminar todas as fraudes de todas as organizações. Entretanto, a implementação dos princípios contidos na publicação do COSO maximizará a probabilidade da fraude ser evitada ou detectada em tempo hábil. Criará também um forte efeito de retrocesso da fraude.

Qual o impacto alcançado nas organizações?

A Gespública (2013) no seu guia para gerenciamento de riscos afirma que o gerenciamento de riscos auxilia as organizações a melhorarem a efetividade de diversas formas: Melhoria na entrega de serviços ao cidadão; Melhor utilização de recursos; e Melhor planejamento e melhor gerenciamento de programas e projetos.

A metodologia adotada pelo TCE-MS conjuga o processo de gerenciamento de riscos de fraude com uma plataforma de TI. É permitido coletar as informações internas e externas relacionadas à determinada frente de atuação e, em alguns temas, de forma prévia.

Esta análise prévia levando em consideração todas as informações e riscos em uma determinada frente e a adoção antecipada de ações de mitigação dos riscos de fraudes, para que se atinja o objetivo proposto, denomina-se Abordagem Preditiva que é uma conjugação antecipada e em tempo hábil de análise estatística com tendência utilizando uma plataforma de TI.

Com a adoção do gerenciamento de riscos e o gerenciamento de risco de fraude o TCE-MS melhora a sua forma de atuação efetiva e, em algumas frentes, com abordagem preditiva.

O projeto-piloto E-Extrator associado à plataforma BI, à Inteligência Artificial e à metodologia de gerenciamento de riscos e de fraude proporcionam ao usuário as informações dispostas em telas com a análise já realizada pelo sistema bastando apenas a tomada de decisão segundo a estratégia adotada.

Como produto também de efetividade o TCE-MS disponibilizará ao final deste processo, em ambiente exclusivo para cada jurisdicionado, telas com indicadores de gestão municipal. O objetivo é auxiliar o gestor no acompanhamento de suas contas para que este melhore sua governança e gestão.

Desta forma, o TCE-MS poderá alcançar a efetividade plena em suas ações para o cumprimento da sua missão e visão como Corte de Contas conforme a Constituição Federal.

Em caso de dúvidas ou sugestões fale com um de nossos especialistas. A EOS tem a solução perfeita para você!