Série: Auditoria do Futuro — do Calendário ao Tempo Real | Auditoria Baseada em Comportamento

Auditoria Baseada em Comportamento: quando o risco não está no processo, mas em quem decide

A auditoria interna, historicamente, foi construída sobre uma premissa lógica: se o processo é bem desenhado e os controles são adequados, o risco está mitigado.

Na prática, essa premissa é apenas parcialmente verdadeira.

Processos não tomam decisões sozinhos. Pessoas tomam.

E é justamente nesse ponto que reside um dos maiores riscos não capturados pelos modelos tradicionais: o comportamento humano como gerador e amplificador de risco.

Estudos da “Association of Certified Fraud Examiners” indicam, de forma consistente, que mais de 80% dos casos de fraude envolvem “override” de controles existentes, e não ausência de controles. Ou seja, o problema raramente está na estrutura — está na forma como ela é utilizada (ou contornada).

Ainda assim, a auditoria continua, em muitos casos, concentrada na validação do desenho e da execução formal dos processos.

Aí fica a pergunta, quantos controles são eficazes no papel… mas sistematicamente ignorados na prática?

O limite do modelo tradicional

O modelo clássico de auditoria interna foi concebido para responder a riscos estruturais — falhas de desenho, ausência de controles, inconsistências processuais etc.

Mas ele apresenta limitações quando o risco emerge de padrões comportamentais, como:

• Aprovação recorrente de exceções sem justificativa robusta

• Concentração de decisões críticas em poucos indivíduos

• Uso frequente de overrides de controle

• Tendência a contornar regras sob pressão por resultado

• Normalização de desvios ao longo do tempo

  
  

Esses elementos dificilmente são capturados por testes tradicionais, porque não representam, isoladamente, uma falha de controle — mas sim um padrão ao longo do tempo.

O COSO já reconhece, no componente de “Control Environment”, a importância da integridade, dos valores éticos e do comportamento organizacional. No entanto, sua mensuração prática ainda é um desafio para muitas organizações.

E não estamos propriamente tratando de fraudes intencionais, muitas vezes os controles se tornam mais flexíveis para facilitar o processo, reduzir despesas, dar mais agilidade

Não se trata, necessariamente, de fraudes intencionais. Em muitos casos, os controles são gradualmente flexibilizados como resposta a pressões operacionais — seja para ganhar agilidade, reduzir custos ou simplificar processos. Esse movimento, embora muitas vezes bem-intencionado, pode, ao longo do tempo, comprometer a efetividade do ambiente de controle.

O problema nem sempre começa com fraude. Muitas vezes começa com ‘só dessa vez’ — para ganhar tempo, reduzir custo ou destravar o processo.

A virada: Auditoria Baseada em Comportamento

A Auditoria Baseada em Comportamento propõe uma mudança de foco: não apenas auditar o processo, mas analisar o comportamento que opera dentro dele.

Essa abordagem incorpora conceitos da economia comportamental — como viés de confirmação, pressão social, excesso de confiança e racionalização — para entender por que os controles são, em certos contextos, ignorados.

Na prática, isso significa monitorar padrões como:

• Quem aprova exceções — e com que frequência

• Quem tende a concentrar decisões críticas

• Onde há recorrência de desvios “aceitáveis”

• Como determinadas áreas reagem a pressões por metas

• Quais comportamentos antecedem falhas relevantes

A auditoria interna passa, assim, a identificar não apenas o que deu errado, mas o padrão que aumenta a probabilidade de erro ou fraude.

Isso está alinhado com a evolução proposta pelo “The Institute of Internal Auditors”, que incentiva uma atuação mais analítica, consultiva e orientada a riscos emergentes.

A evolução da auditoria impõe um novo desafio: além de validar evidências objetivas, o auditor precisa interpretar padrões comportamentais, frequentemente não estruturados, mas decisivos na materialização do risco.

Nem todo risco está no número. E nem todo auditor foi treinado para ler o que não está no relatório.

Como implementar na prática

Apesar de parecer conceitualmente sofisticado, o modelo é viável com dados já disponíveis na maioria das organizações.

Um fluxo pragmático pode incluir:

1. Identificação de pontos críticos de decisão -  Processos com maior grau de julgamento humano (aprovações, exceções, alçadas).

2. Mapeamento de indicadores comportamentais - Exemplos:

• % de exceções aprovadas por usuário

• Frequência de override de controles

• Concentração de decisões por indivíduo

• Tempo de aprovação fora do padrão

3. Análise de padrões e outliers - Comparação entre usuários, áreas e períodos.

4. Priorização por risco - Foco em comportamentos recorrentes, não em eventos isolados.

5. Atuação direcionada - Micro auditorias, entrevistas, revisão de contexto e reforço de controles.

É importante destacar que a Auditoria Baseada em Comportamento não tem como objetivo avaliar indivíduos de forma isolada.

A máxima de que a auditoria interna avalia processos — e não pessoas — permanece válida e necessária, especialmente para garantir objetividade, imparcialidade e aderência às boas práticas estabelecidas pelo “The Institute of Internal Auditors.”

O que se propõe, neste contexto, é uma ampliação dessa perspectiva.

Processos são, em sua essência, operados em algum momento por decisões humanas. Ignorar como essas decisões se manifestam ao longo do tempo significa limitar a compreensão do próprio risco.

Assim, a abordagem comportamental não busca identificar “quem errou”, mas sim compreender como determinados padrões de decisão interagem com os controles existentes.

O foco, portanto, está em:

• Padrões agregados, e não indivíduos isolados

• Tendências ao longo do tempo, e não eventos pontuais

• Interação entre comportamento e controle, e não julgamento pessoal

Essa distinção é fundamental para evitar interpretações equivocadas e garantir que a auditoria continue atuando de forma técnica, ética e alinhada aos princípios do IPPF.

Antes de revisar mais processos, pode ser mais eficaz entender como as pessoas interagem com eles.

O novo papel da auditoria interna

Ao incorporar a dimensão comportamental, a auditoria interna amplia significativamente sua capacidade de geração de valor.

Deixa de atuar apenas como:

• Avaliadora de conformidade

• Revisora de processos

• Identificadora de falhas pontuais

E passa a atuar como:

• Analista de padrões de risco

• Intérprete do comportamento organizacional

• Agente de prevenção estruturada

• Parceira estratégica na cultura de controle

Isso reforça, na prática, o papel da auditoria como função essencial de governança, conforme estabelecido pelo “The Institute of Internal Auditors.”.

No limite, a maior mudança é conceitual: fraudes e desvios raramente são eventos isolados — são padrões de comportamento tolerados ao longo do tempo.

Importante que a auditoria interna deixe de olhar exclusivamente para os controles e passe a avaliar por quem e porquê eles foram ignorados?

Conclusão

A Auditoria Baseada em Comportamento não substitui os modelos tradicionais — ela os complementa.

O foco não está no indivíduo, mas na análise de padrões comportamentais que, ao longo do tempo, podem comprometer o ambiente de controle e gerar riscos para a organização.

Enquanto a auditoria clássica assegura a estrutura, a abordagem comportamental fortalece sua efetividade.

E, em um ambiente onde decisões são tomadas sob pressão, metas e incentivos, ignorar o fator humano não é apenas uma lacuna metodológica — é um risco estratégico.

No fim do dia, controles não falham sozinhos.

Eles falham quando comportamentos os tornam irrelevantes.

Talvez o maior risco não esteja no controle que falha, mas no comportamento que o torna irrelevante.