1. Contextualização

Num ambiente corporativo cada vez mais digitalizado, os dados consolidaram-se como um dos activos mais críticos das organizações e, simultaneamente, como uma das suas principais fontes de risco. A crescente integração de sistemas, o uso intensivo de plataformas digitais e a automatização de processos de negócio ampliaram exponencialmente o volume, a complexidade e a interdependência da informação produzida, partilhada e armazenada, tornando as organizações cada vez mais dependentes da fiabilidade dos sistemas que a processam.

Contudo, esta mesma evolução tecnológica abriu espaço para um fenómeno silencioso, sofisticado e de impacto significativo: a manipulação intencional de dados como instrumento de fraude corporativa. Hoje, adulterar um log de sistema, ajustar um parâmetro de configuração, alterar um script ou modificar uma base de dados pode produzir distorções relevantes na informação financeira e operacional, muitas vezes imperceptíveis para mecanismos tradicionais de controlo interno. Este tipo de fraude distingue-se das práticas clássicas por deslocar o risco do registo contabilístico visível para a lógica invisível dos sistemas de informação, dificultando a sua deteção por meio de procedimentos de auditoria convencionais baseados apenas em testes substantivos ou de conformidade documental.

Neste contexto, a Governança de Dados assume um papel estratégico e indissociável da função de auditoria. Mais do que uma abordagem meramente tecnológica, trata-se de uma estrutura organizacional formal que define princípios, políticas, normas e responsabilidades claras ao longo de todo o ciclo de vida da informação, desde a sua criação e recolha, armazenamento, processamento e utilização, até à sua retenção e destruição segura. Uma governança de dados eficaz fortalece o ambiente de controlo interno, promove a rastreabilidade e integridade da informação e cria as condições necessárias para que a auditoria possa avaliar, de forma consistente e sustentada, a fiabilidade dos dados que suportam a tomada de decisão e o relato financeiro.

 

2. O Problema: Dados como Novo Alvo Invisível da Fraude Corporativa

À medida que as empresas passam a depender de sistemas automatizados para gerar relatórios financeiros, métricas operacionais e indicadores ESG, surge um novo tipo de risco: a fraude digital baseada na manipulação informacional.

Quando a manipulação de informação se torna o novo território da fraude corporativa, o risco deixa de se concentrar exclusivamente nos na informação financeira ou nos processos manuais e passa a residir na arquitetura lógica dos sistemas que produzem e transformam os dados. Sob a perspetiva do COSO (Commitee of Sponsoring Organizations of TreadWay Comission) – Internal Control Integrated Framework, este fenómeno desafia diretamente a eficácia das componentes de Atividades de Controlo, Informação e Comunicação e Monitorização, uma vez que alterações indevidas em parâmetros, algoritmos, scripts ou bases de dados podem distorcer resultados financeiros e operacionais sem evidência imediata nos registos tradicionais. Neste novo território, a fraude manifesta-se de forma estrutural, explorando fragilidades na segregação de funções tecnológicas, na gestão de mudanças e na supervisão contínua dos sistemas, o que exige da auditoria uma abordagem mais profunda, orientada para a compreensão dos processos automatizados e dos riscos inerentes à lógica de processamento da informação:

Estas práticas podem incluir:

  • Alteração de logs para ocultar actividades;
  • Ajuste de algoritmos ou parâmetros críticos;
  • Falsificação de bases de dados operacionais ou financeiras;
  • Interferência em métricas sensíveis, como inventários, provisões, facturação ou indicadores de sustentabilidade.

Diferentemente das fraudes tradicionais, estas manipulações podem ocorrer dentro dos próprios sistemas, sem deixar evidências físicas ou facilmente detectáveis. Muitas organizações, ainda com baixa maturidade de governança de dados, não dispõem de mecanismos estruturados para monitorizar, validar ou auditar estas alterações.

O resultado é grave: decisões estratégicas comprometidas, relatórios distorcidos, perda de confiança institucional e riscos legais significativos perante reguladores. Na perspectiva da auditoria externa, este é hoje um dos maiores desafios na avaliação da fiabilidade dos controlos e da integridade da informação.

 

3. Desenvolvimento: A Importância de uma Política Robusta de Governança de Dados

Uma política eficaz de Governança de Dados estabelece uma rede de protecção clara e sistemática contra manipulações informacionais. Entre os seus principais pilares destacam-se:

a) Estrutura de papéis e responsabilidades

Define quem pode criar, alterar, aceder e eliminar informação. Quanto mais clara for a segregação de funções, menor o espaço para fraudes internas.

b) Normas e procedimentos formais

Incluem regras para classificação da informação, controlo de acessos, gestão de logs, auditoria contínua, retenção e destruição de dados. Estes mecanismos garantem que cada acção sobre a informação é rastreável e justificável.

c) Monitorização e validação contínua

Processos automáticos e revisões periódicas ajudam a detectar anomalias, padrões incomuns ou alterações não autorizadas no ciclo de vida dos dados.

d) Integração com a Auditoria Interna e Externa

Contar com políticas bem estruturadas facilita significativamente o trabalho dos auditores, permitindo:

  • identificar trilhas de auditoria claras;
  • confirmar a integridade dos sistemas;
  • validar que os dados suportam os valores reportados;
  • assegurar conformidade com regulamentos legais e fiscais.

Quando a governança de dados é fraca, o contrário acontece: os auditores enfrentam limitações, podem ser forçados a emitir opiniões modificadas e as organizações expõem-se a penalizações regulatórias.

e) Reforço da credibilidade corporativa

Empresas com práticas maduras de governança de dados transmitem confiança ao mercado, aos investidores, aos auditores, ao Estado e aos demais utilizadores da informação. A integridade dos dados deixa de ser apenas um requisito técnico e passa a ser um activo reputacional.

 

4. Conclusão

Num mundo empresarial em constante evolução impulsionado pelo fluxo “agressivo” de dados, a integridade da informação tornou-se um dos maiores determinantes da confiança corporativa. Fraudes informacionais são hoje mais sofisticadas, mais silenciosas e mais difíceis de detectar mas não inevitáveis.

A implementação de uma política robusta de Governança de Dados é uma das formas mais eficazes de proteger a organização contra manipulações deliberadas, reforçar a eficiência dos sistemas de controlo interno e apoiar o trabalho de auditores externos e reguladores.

Para as empresas modernas, governar dados não é mais uma opção, mas uma necessidade estratégica para garantir transparência, mitigar riscos e assegurar que cada decisão, relatório ou indicador tenha como base informação íntegra, completa e fidedigna.

Por outro lado, ao nível das Insituições Financeiras, as práticas inadequadas de governação de dados aumentam a sua vulnerabilidade e exposição aos riscos de segurança de informação. Medidas deficientes de segurança de dados, falta de controlos de acesso ou protocolos de encriptação inadequados podem expor informações financeiras sensíveis, acesso não autorizado, levando a fraude financeira, roubo de identidade e incumprimento regulamentar.