Compliance e
Engenharia Social
Genes Luís M. M. Monteiro
Mestre em Ciências Militares, Especialista em Inteligência Militar
e MBA em Gestão de Projetos (FGV/RJ).
“Apenas duas coisas são infinitas: o universo e a estupidez humana,
e eu não estou certo quanto a primeira.” (Albert Einstein)
Vamos iniciar este breve texto com uma situação hipotética: Numa empresa multinacional da área de saúde, marca consolidada globalmente, um colaborador em cargo de chefia do setor financeiro da companhia no país A recebeu algumas ligações telefônicas e alguns e-mails de um executivo sênior da matriz, que se localiza no país B. Nestas mensagens, o executivo determinou que o chefe do setor financeiro da filial do país A realizasse transferências de recursos monetários para contas localizadas nos países C, D e E. As operações foram concretizadas.
Até aqui temos uma situação aparentemente corriqueira, a não ser pelo fato de as mensagens não terem partido do executivo sênior da matriz da empresa, mas sim de alguém que se fez passar por ele, perpetrando um golpe financeiro, de transferir dinheiro para contas laranjas nos Países C, D e E, os quais, por ironia do destino, são conhecidos paraísos fiscais. Os nomes da organização e dos países foram omitidos, por não serem de grande relevância imediata para o nosso estudo, todavia o que foi relatado, de fato, aconteceu na década de 2010 e o prejuízo chegou a casa dos milhões de dólares, segundo a Action Fraud, empresa especializada no combate a fraudes no
Reino Unido.
O que foi descrito acima, resumidamente, denota uma bem-sucedida ação de Engenharia Social, termo concebido por Kevin Mitnick, nos anos 1990. Segundo Mitnick (2003), trata-se de “fazer com que as pessoas ajam de acordo com a vontade do atacante”. No caso mencionado, pode-se observar a denominada Fraude de CEO (CEO fraud) situação em que um criminoso se faz passar por diretores ou executivos de alto nível, como CEO (Chief Executive Officer) ou CFO (Chief Financial Officer), conforme mostra a Figura 1. Trata-se de uma variação de uma conhecida técnica de engenharia social denominada Impersonation ou Pretexting, geralmente realizada por telefone, VoIP ou outros meios eletrônicos. Trata-se do ato de criar e usar um determinado cenário de forma a conseguir com que a vítima forneça a informação ou execute uma determinada ação que numa outra circunstância não faria. A engenharia social pode se manifestar em qualquer organização por intermédio de variadas técnicas.
Figura 1: “O Impacto da Fraude de CEO”
Fonte: https://www.knowbe4.com/hs-fs/hubfs/CEOFraudXL.png?hsLang=en
Cada vez mais, a implementação do compliance tem se tornado uma necessidade para organizações, públicas ou privadas, com ou sem fins lucrativos. A importância reside, basicamente, na obtenção e na manutenção da imagem institucional de uma organização que tem seus processos balizados por efetivas práticas anticorrupção, o que agrega credibilidade à marca, trazendo, no caso das organizações com fins lucrativos, a possibilidade de incremento no seu valor de mercado. A formação de uma sólida imagem institucional pode ser considerada um valor intangível importante para qualquer organização, conquanto difícil de ser mensurada.
Um exemplo emblemático desta mudança de paradigma em empresas é o caso da Siemens, empresa alemã que, em pouco mais de uma década, passou de organização que tinha por prática comum o cometimento de diversos atos de corrupção (pagamento de propinas, direcionamento de licitações, formação de cartel, fraudes, etc.) em vários países do mundo; para a constituição de um case de sucesso em termos de mudança de cultura corporativa e implementação efetiva de compliance.
Fica claro, dentro desta abordagem, que um programa de compliance bem concebido, devidamente instrumentalizado (código de conduta, canal de denúncia, investigação, due diligence, etc.), adequadamente comunicado e incorporado à cultura organizacional (treinamento e tone at the top); é de fundamental importância para se prevenir de uma série de ocorrências relacionadas ao conflito de interesses, suborno, nepotismo, medidas anticorrupção, dentre outras.
E quando o que ocorre vai além disso?
O caso de emprego da Engenharia Social para a execução de ações ilegais que podem vir a manchar o nome de uma Organização exige uma reflexão mais aprofundada, pois, a rigor, o colaborador que executou a ordem o fez de boa-fé, não tendo a intenção de praticar um ato não compliant, embora, involuntariamente, o tenha executado, tendo sido vítima de um golpe. Houve flagrante desvio de conduta por parte do colaborador. Isso é fato.
É aí que temos uma das diversas possibilidades da utilização da atividade de Inteligência atuando de maneira sinérgica com a atividade de compliance. Dentro deste contexto, as maiores armas para a proteção contra a CEO fraud são o treinamento de pessoal e o acompanhamento e revisão constantes dos processos, notadamente aqueles concernentes a pagamentos e transferência de recursos, ainda mais para outros países. No presente artigo nos concentraremos no treinamento de pessoal.
Giovanini (2014) preconiza que o compliance, ao ser implementado pelo método da gestão por processos, deve seguir, grosso modo, os seguintes processos-macro: definição, customização, comunicação, execução, correção e aprendizado. Todos estes processos-macro formam, na opinião do autor, um círculo virtuoso (Figura 2).
Figura 2: Círculo virtuoso do compliance.
Fonte: Giovanini (2014), adaptado pelo Autor
Na implementação do processo-macro Comunicação, o setor/ encarregado de compliance da Organização deverá elaborar um Planejamento de Comunicação que inclui um Programa de Treinamento de Compliance. Nesta ocasião, o encarregado do treinamento de compliance deverá identificar as necessidades em termos de temas, assuntos e conhecimentos necessários. Neste momento, a inclusão de palestras e dinâmicas que abordem a Engenharia Social, as atitudes e procedimentos para a sua detecção e prevenção, serão de extrema valia para o combate a CEO fraud.
A inclusão de conteúdos de prevenção aos ataques de Engenharia Social poderá se constituir em diferencial para um programa de compliance já consolidado, fazendo com que, inicialmente, os colaboradores atentem para o tema (frequentemente a Engenharia Social é encarada como algo que só acontece com os outros). Posteriormente, deixará o integrante da Organização alerta de que, apesar de poder ter sua boa-fé ludibriada, ele cometeu um ato não compliant e que poderá ensejar um processo disciplinar, mesmo que não tenha dado causa, de maneira deliberada, ao prejuízo advindo de uma eventual CEO fraud.
O Atividade de Inteligência em uma Organização (pública ou privada), basicamente no que diz respeito à proteção do conhecimento ou contrainteligência, envolve medidas para a salvaguarda de todos os seus ativos (recursos humanos, material, informação e áreas e instalações), elabora o planejamento para a gestão de continuidade de negócios (resposta ao incidente, continuidade dos negócios/contingência, volta à normalidade, matriz de emergência) e produz conhecimento para fazer frente a ameaças que a Organização está sujeita, fruto de um elaborado estudo de gestão de riscos.
Os profissionais de Inteligência, basicamente aqueles especializados em segurança da informação e contrainteligência, poderão atuar como instrutores e facilitadores do aprendizado, no contexto de um treinamento de compliance que venha a abordar o assunto. A técnica de ensino de estudo de caso, aliado ao compartilhamento das experiências dos próprios integrantes é extremamente eficiente para a orientação e a detecção de falhas exploradas ou não por engenheiros sociais.
Todo este trabalho deve embasar, quando for o caso, mudanças em rotinas, procedimentos e processos da Organização visando fortalecê-los, no intuito de evitar a ocorrência de CEO fraud.
Desta forma podemos identificar mais algumas possibilidades de trabalho conjunto da inteligência com o compliance, podendo vislumbrar uma possível fusão de ambos. Mas isso é assunto para outro artigo...
Referências
BRASIL. Ministério da Defesa. Exército Brasileiro. Portaria nº 076-COTER, de 09 de julho de 2019. Aprova o Manual de Campanha EB 70-MC-10.220- Contrainteligência e dá outras providências. Publicado no Boletim do Exército nº30/2019, de 26 de julho de 2019.
BRASILIANO, A. C. R. Gestão de Continuidade de Negócios. 1 Ed. São Paulo: Sicurezza, 2011. 234 p.
BRASILIANO, A. C. R. Gestão de Risco de Fraude. 1 Ed. São Paulo: Sicurezza, 2015. 144 p.
BUSINESS ADVICE. What is CEO fraud and how can I identify it?. Disponível em: https://businessadvice.co.uk/tax-and-admin/invoicing/what-is-ceo-fraud-and-how-can-i-identify-it/. Acesso em: 23 Mar 2020.
GIOVANINI, W. Compliance, a Excelência na Prática. 1 Ed. São Paulo: Compliance Total. 505p.
KNOWBE4. How CEO fraud impacts you. Disponível em: https://www.knowbe4.com/hs-fs/hubfs/CEOFraudXL.png?hsLang=en. Acesso em 23 Mar 2020.
MELO, L. O que a Siemens faz para (tentar) evitar fraudes na empresa. Revista Exame. Disponível em: https://exame.abril.com.br/negocios/o-que-a-siemens-faz-para-tentar-evitar-fraudes-na-empresa/. Acesso em: 23 Mar 20.
MITNICK, K. D. A Arte de Enganar. 1 Ed. São Paulo: Pearson Education, 2003. 284 p.
MITNICK, K. D. A Arte de Invadir. 1 Ed. São Paulo: Pearson Prentice Hall, 2006. 236 p.
ROCHA, L. R. S. Desmistificando a Implementação de um Sistema de Compliance. E book. Disponível: https://interisk.brasiliano.com.br/desmistificandoprogramadecompliance . Acesso em: 20 ago. 2019.
ZUCCO, L. L.; SILVA, J. P. O Decisor.1 Ed. Porto Alegre: Grupo Jocemar & Associados, 2018. 174p.