Multas pesadas cobradas por reguladores dos EUA semanas atrás em dois casos importantes fornecem novos exemplos de como controles ineficazes podem levar a problemas significantes. Uma instância foi motivada por inadequações no gerenciamento de riscos de computação na nuvem, a outra resultou da rejeição conspícua e deliberada de boas práticas de governança. Em um caso, a auditoria interna foi parte do problema. No outro, ela foi vítima.

O mais conhecido dos dois casos envolveu a Capital One, a holding bancária com sede na Virgínia conhecida por sua campanha publicitária cativante "o que você tem em sua carteira?" O banco levou uma multa civil de US$ 80 milhões do Office of the Comptroller of the Currency (OCC) dos EUA, decorrente de uma violação de dados em 2019 que expôs mais de 106 milhões de registros de clientes.

O FBI prendeu uma ex-funcionária da Amazon em conexão com o crime, alegando que ela também violou 30 outras empresas e organizações. Ela é acusada de criar um programa para escanear os clientes da nuvem, em busca de uma configuração incorreta específica no firewall de aplicação web, associada ao Amazon Web Services. Depois de encontrada a configuração incorreta de destino, a hacker a explorou para extrair credenciais de contas de bancos de dados e outras aplicações web. Embora fosse claramente vítima do esquema de hacking, a Capital One estava comprovadamente suscetível, por causa de graves lapsos na avaliação de riscos básicos e nos processos de controle associados à computação na nuvem, de acordo com os detalhes da violação revelados em uma ordem de consentimento do OCC.

A Capital One não estabeleceu o gerenciamento de riscos apropriado para o ambiente operacional na nuvem, incluindo a falha em projetar e implantar “certos controles de segurança de rede, controles adequados de prevenção de perda de dados e disposição eficaz de alertas”, de acordo com a ordem. Mais preocupante, de acordo com o pedido, é que a auditoria interna do banco “falhou em identificar várias fraquezas e lacunas de controle no ambiente operacional da nuvem. A auditoria interna também não reportou e não destacou as fraquezas e lacunas identificadas ao Comitê de Auditoria”. E mesmo quando a auditoria interna levantou preocupações, concluiu o OCC, o conselho “falhou em tomar medidas eficazes para responsabilizar a gestão, especialmente ao abordar questões relacionadas a certas lacunas e fragilidades de controle interno”.

O banco, de acordo com o OCC, começou a abordar ações corretivas e se comprometeu a fornecer recursos para “sanar as deficiências”.

Os detalhes do relatório mostram um quadro geral do gerenciamento de riscos e governança em todos os níveis — conselho, gestão executiva e auditoria interna.

O segundo caso envolveu a World Acceptance Corp. (WAC), uma empresa de financiamento de pequenos empréstimos ao consumidor com sede na Carolina do Sul. A empresa foi multada em US$ 21,7 milhões pela Securities and Exchange Commission (SEC) dos Estados Unidos por violações da lei Foreign Corrupt Practices Act (FCPA) por sua ex-subsidiária integral no México. De acordo com a ordem de cease-and-desist da SEC, a subsidiária foi acusada de pagar $4,1 milhões em subornos a funcionários do governo e sindicatos durante um período de quase sete anos. Mas este caso foi tanto sobre controles deficientes quanto qualquer outra tentativa de encobrir ações supostamente ilegais.

A subsidiária mexicana foi acusada de pagar funcionários do governo e sindicatos para garantir que pagamentos dos empréstimos continuassem a ser feitos em tempo hábil, de acordo com a ordem da SEC. O esquema incluía o pagamento de intermediários para voar para diferentes municípios do país com "grandes sacos de dinheiro para pagar funcionários". A subsidiária identificou os pagamentos como despesas de "comissão" e "não tinha controles contábeis internos suficientes para detectar ou evitar esses pagamentos".

Além das violações óbvias da FCPA e lapsos de controle de contabilidade no México, as falhas de governança foram agravadas por um "tom no topo da gestão da WAC (que) não apoiava funções robustas de auditoria interna e conformidade, e prejudicava a eficácia dessas funções", de acordo com a ordem da SEC.

O relatório detalha questões que começaram em outubro de 2015, quando o então CEO demitiu o vice-presidente de auditoria interna, depois que ele levantou questões de conformidade, incluindo a falta de controles contábeis na subsidiária mexicana. O CEO, então, combinou as funções de auditoria interna e conformidade em um departamento e pressionou o vice-presidente quanto ao novo departamento, para cortar pessoal e promover seu "total despojamento”, de acordo com a ordem da SEC. Cerca de um ano depois, o CEO mudou as linhas de reporte do departamento, que deixou de reportar ao conselho e passou a reportar ao assessor geral. De acordo com a SEC, o vice-presidente de auditoria interna e conformidade foi logo afastado, supostamente por expressar preocupações de que as funções "não eram sólidas".

Em 2017, os auditores externos reportaram formalmente fraquezas materiais nos controles internos da empresa sobre o reporte financeiro. Especificamente, os auditores externos citaram lacunas de desenvolvimento de controles no gerenciamento de fornecedores e processos de pagamento nas subsidiárias da empresa no México.

No caso da Capital One, parece que as avaliações de riscos, gerenciamento de riscos, gerenciamento independente de riscos e testes de controles internos não existiam para os serviços na nuvem. Pior, parece que a auditoria interna forneceu pouca avaliação independente sobre esta área fundamental de risco. As ações corretivas exigidas na ordem do OCC incluem o desenvolvimento de um plano formal de auditoria interna que inclua:

• Reavaliar a avaliação de riscos cibernéticos e tecnológicos.
• Avaliar e validar a integralidade e precisão do inventário de ativos de tecnologia e dispositivos configuráveis e software documentado pela gestão.
• Incorporar as lições aprendidas sobre a análise de causa raiz de violações de cibersegurança.
• Revisar o plano de auditoria de tecnologia baseado em riscos.
• Avaliar a experiência da equipe de auditoria interna e suas necessidades de treinamento.

Uma lista tão abrangente não significa que qualquer uma dessas ações principais em particular estivesse faltando antes da violação, mas estabelece a complexidade das responsabilidades de avaliação que a auditoria interna deve assumir quando qualquer organização entrega armazenamento de dados e serviços de computação a terceiros.

No caso da WAC, a SEC aceitou a oferta da empresa de esforços corretivos que incluíam apoiar a investigação da SEC; a demissão de funcionários essenciais, incluindo o CEO e o assessor geral; e desfazer-se de suas operações no México.

Embora esses casos sejam diferentes, há uma moral comum às histórias: funções de auditoria interna fortes e eficazes podem manter suas organizações longe de problemas. Ignore a auditoria interna, ou pior, contorne-a, e os reguladores baterão à porta com acusações graves e multas pesadas.

Como sempre, aguardo seus comentários.

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para um blog da InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.

Este artigo foi reproduzido do InternalAuditor.org com permissão do Instituto de Auditores Internos, Inc. traduzido do inglês para o português.

Tradução IIA Brasil