Historicamente, o Brasil enfrenta inúmeros casos de fraudes fiscais e esquemas que resultam em rombos bilionários. Afinal, onde a fiscalização não alcança, a corrupção floresce. Exemplo disso seria o caso envolvendo o Banco Master e a Operação Compliance Zero, que revelou um caso de corrupção que chega perto da repercussão que a Operação Lava Jato teve entre 2014 e 2021.
Diante deste cenário, evidencia-se a importância de uma auditoria interna eficaz, capaz de identificar riscos e mitigar atos ilícitos. Dessa forma, é possível não apenas detectar irregularidades em processos de fusões e aquisições (M&A), como também permitir que a organização se desvencilhe de armadilhas que possam comprometer a reputação e a saúde financeira da marca.
Dos títulos bancários à voz de prisão
Apesar da projeção nacional do esquema de corrupção ter ocorrido somente em novembro de 2025, a investigação em torno do Banco Master teve início em 2024. Foi quando o Ministério Público Federal (MPF) requisitou que a Polícia Federal (PF) investigasse a emissão de títulos de crédito fraudulentos no Sistema Financeiro Nacional.
Esses elementos fundamentaram então a deflagração da Operação Compliance Zero pela Polícia Federal, que apontou crimes de gestão fraudulenta e organização criminosa, com fraudes estimadas em R$ 17 bilhões. As investigações apontam que os gestores substituíam ativos originais sem avaliação técnica logo após as fiscalizações do Banco Central (BC). Além disso, as auditorias indicaram que o volume de ativos problemáticos saltou de R$ 2 bilhões para R$ 48 bilhões, como resultado da operação. Isso inclui R$ 12,2 bilhões em créditos fictícios negociados com o Banco de Brasília (BRB).
Diante dos fatos, o Judiciário determinou o bloqueio de mais de R$ 5,7 bilhões em bens. Na primeira fase da operação, realizada em novembro de 2025, foram apreendidos itens de luxo, incluindo o jato de Daniel Vorcaro, que teria sido detido ao tentar deixar o país. Como desdobramento, em novembro de 2025, o Banco Central teria decretado a liquidação extrajudicial do Banco Master. Atualmente, a operação encontra-se em sua segunda fase, visando endereços ligados a Vorcaro e seus familiares.
Irregular desde o nascimento
José Guimarães, chief compliance officer da COESA Engenharia e presidente da Comissão de Compliance Nacional (CCN), afirma que a crise e as irregularidades no Banco Master derivaram de uma série de falhas estruturais e comportamentais, restando pouca margem de manobra para o departamento de conformidade.
"O que acontecia em relação ao Banco Master é que certamente, desde o início, eles já denotavam comportamentos impróprios. Portanto, não foi um problema do compliance officer. Ele tinha uma função exclusivamente voltada a políticas e procedimentos internos. A governança não atuava em apoio à administração para mitigar as ações comerciais impróprias que geraram prejuízo", afirma o executivo.
No bojo das investigações da PF, sugere-se que os departamentos de controle interno, gestão de riscos e prevenção à lavagem de dinheiro possuíam caráter meramente formal, carecendo de efetividade. Para Guimarães, o cenário poderia ter sido evitado se o compliance detivesse maior autonomia para investigar e mitigar riscos, o que não ocorreu na instituição.
Efeito dominó
Com a decretação da liquidação do Banco Master, iniciou-se um efeito dominó que atingiu outras instituições financeiras, como o Will Bank e o Banco Pleno. Diante da insolvência da instituição, que apresentava apenas R$ 4 milhões disponíveis em caixa no momento em que foi liquidado extrajudicialmente, o processo de ressarcimento dos credores e correntistas ficou a cargo do Fundo Garantidor de Crédito (FGC).
Até fevereiro de 2026, o FGC comunicou ter adimplido 92% do volume total das garantias elegíveis, o que representa o pagamento a 84% dos beneficiários. Segundo dados da entidade, já foram desembolsados aproximadamente R$ 37,2 bilhões, contemplando cerca de 653 mil investidores em todo o território nacional.
O escândalo também reverberou na esfera política e na cúpula do Judiciário. Após perícia realizada pela Polícia Federal no material apreendido com Daniel Vorcaro, surgiram indícios de transações financeiras que supostamente vinculariam o investigado a uma empresa ligada ao Ministro do Supremo Tribunal Federal (STF), Dias Toffoli.
O cenário tornou-se juridicamente sensível pelo fato de Toffoli ser relator dos processos relacionados ao Banco Master. A proximidade gerou críticas sobre um eventual conflito de interesses e suposto envolvimento com os alvos da Operação Compliance Zero. Em meio à pressão, o Ministro declinou da relatoria, que foi redistribuída para o Ministro André Mendonça.
Auditoria interna: Um pilar estratégico
Dentro de uma organização, a auditoria deve figurar como um componente estratégico da gestão, voltado à identificação de fragilidades antes da eclosão de crises. Ao menos, é o que defende José Guimarães.
O executivo afirma ser imperativo construir um conjunto de elementos para uma prevenção eficaz, o qual denomina "tríade da prevenção". A auditoria interna, o compliance e a alta administração compõem esta estrutura. Segundo Guimarães, o Conselho de Administração e a diretoria devem assegurar a independência técnica da auditoria interna, garantindo acesso irrestrito às informações, autonomia para o reporte de riscos relevantes e apoio integral da área de conformidade.
"Essa integração estrutural entre auditoria e compliance é fundamental, pois a auditoria avalia a eficácia dos controles. Quando essas áreas atuam de forma integrada, compartilhando a matriz de riscos e o plano anual de indicadores, o nível de maturidade da governança corporativa aumenta significativamente. Associando esses elementos, fortalece-se inegavelmente uma cultura de prevenção, e não meramente de detecção", afirma Guimarães.
Para Eduardo Leal, advogado do escritório Mortari e Bolico Advogados e especialista em contencioso estratégico, nenhuma estratégia de controle deve ser considerada infalível na tarefa de reconciliar a Demonstração do Resultado do Exercício (DRE) com o fluxo de caixa real a fim de encontrar irregularidades. Somente uma abordagem robusta pode conferir segurança jurídica e contábil sobre a natureza do lucro de uma companhia.
"A estratégia de auditoria interna certamente deve focar na reconciliação técnica para discernir o lucro ‘contábil’ do caixa efetivo da empresa. Para tanto, a auditoria precisa se concentrar na análise minuciosa entre o lucro líquido e o fluxo de caixa operacional, para que sejam identificados eventuais distorções que possam ocultar insolvências", afirma o advogado.
O processo de responsabilização
A auditoria interna sempre deve ser conduzida por especialistas que analisam tecnicamente registros contábeis, comunicações eletrônicas e até mesmo logins de chats corporativos. A partir desses dados, são realizadas entrevistas e análises documentais para determinar se houve fraude ou se a irregularidade decorreu de um "erro honesto".
Paula Scandiuzzi Bichuete, diretora jurídica, de compliance e DPO da Valeo Sistemas Automotivos, elucida que esse "erro honesto" pode ser meramente acidental. "Às vezes, o colaborador não cometeu fraude; ele apenas buscou 'ajudar a empresa' ao encurtar caminhos de forma contrária às normas internas, sem mensurar as consequências", explica.
Em situações dessa natureza, Paula esclarece que o profissional está sujeito a medidas disciplinares, como suspensão ou advertência, ou ainda a processos de retreinamento sobre as políticas de conformidade da companhia. Contudo, em casos confirmados de fraude, o rigor é significativamente maior.
"Se ficar comprovado que o erro foi deliberado, especialmente se houver conluio para lesar a organização, a companhia aplica a rescisão contratual, muitas vezes por justa causa", complementa a executiva.
A autonomia da auditoria interna
Em diversos cenários, as investigações de governança atingem o corpo executivo e até mesmo a diretoria da organização. É nesse momento que o setor de conformidade precisa ter autonomia e independência funcional para responsabilizar todos os envolvidos em processos de fraude ou corrupção.
José Guimarães afirma que a empresa deve estruturar sua governança sobre uma base técnica sólida e multidisciplinar para garantir auditorias efetivas e poder de veto perante a gestão. É imperativo, para o executivo, possuir uma visão sistêmica de prevenção, detecção e resposta para sustentar posicionamentos firmes e contundentes diante de um Conselho de Administração.
"É fundamental que o compliance seja maduro e possua, além de competência técnica, então a coragem e a sensatez necessárias para se posicionar adequadamente. A postura do profissional faz toda a diferença na cultura organizacional", afirma Guimarães.
O executivo destaca que a alta liderança deve implementar o programa de governança tone at the top, fundamentando-o em três pilares: prevenção, detecção e resposta. O passo inicial consiste em uma análise de riscos alinhada à estratégia do Conselho de Administração e às vulnerabilidades inerentes à operação da companhia.
"O pilar da prevenção é composto por um código de conduta e ética substanciado, análise de riscos, políticas e procedimentos internos, registros e certamente um plano de comunicação e treinamento massificado", explica Guimarães.
O presidente da Comissão de Compliance Nacional e Mais Admirado no anuário ANÁLISE EXECUTIVOS ressalta que a prevenção deve estar diretamente vinculada a mecanismos de detecção, como canais de denúncia robustos. Neles, o denunciante deve sentir-se seguro e protegido por investigações confidenciais, muitas vezes terceirizadas, que contam com o suporte irrestrito da auditoria interna. Somente então, vem a última parte.
"O pilar da resposta envolve a sanção ou a readequação de conduta, determinadas por um Comitê de Ética independente. Para garantir sua isenção, o comitê deve atuar com autonomia frente à presidência da empresa. Com liberdade para deliberar com a participação do compliance e de diretores sêniores", complementa o executivo.
Manchas reputacionais
A depender da gravidade do caso de corrupção e de sua repercussão em escala nacional, as empresas podem comprometer irreversivelmente seu maior ativo perante o mercado: a reputação. Esse dano não se restringe à marca da companhia, mas contamina todos os departamentos e colaboradores envolvidos.
Paula Bichuete utiliza o caso do Banco Master para exemplificar essa fragilidade. Segundo a especialista, a governança deveria monitorar a conduta da alta administração para evitar escândalos desse tipo, e evitar que o processo de compliance fosse questionado. "Se os próprios gestores estão envolvidos, certamente torna-se inócuo alegar a existência de um programa de compliance que ninguém cumpria", afirma.
A diretora jurídica, de compliance e DPO da Valeo Sistemas Automotivos e eleita Mais Admirada no anuário ANÁLISE EXECUTIVOS, pontua os limites do poder de atuação do departamento de governança em estruturas corrompidas.
"Quando a corrupção ou as fraudes são tão profundas que subvertem o resultado e a reputação da empresa, grandes multinacionais frequentemente optam pelo encerramento das atividades. Outra alternativa é a substituição integral da diretoria por profissionais com expertise em auditoria e saneamento técnico para corrigir a rota. No caso mencionado, pode-se argumentar que a natureza das irregularidades era estrutural, o que inviabilizaria qualquer tentativa de correção", sustenta Bichuete.
Como consequência dessas falhas éticas, as organizações acabam destruindo seu valor de mercado e a confiança dos investidores. Esses são ativos que as empresas levam décadas para construir, mas que podem ser destruídos em segundos.
Para onde a auditoria interna deve olhar?
Os maiores riscos das empresas nem sempre estão aparentes em uma primeira análise. Por isso, saber exatamente onde investigar pode evitar inúmeros problemas. E isso não se restringe apenas aos executivos das empresas, mas também à organização como um todo.
Para Eduardo Leal, os maiores riscos residem em processos judiciais não provisionados, estoques obsoletos e ativos intangíveis. Isso ocorre porque, nestas áreas, as avaliações dependem de estimativas e julgamentos subjetivos da administração. Portanto, as equipes de auditoria devem estar atentas e preparadas ao analisar esses pilares.
"A auditoria deve obter uma opinião formal e independente dos assessores jurídicos externos sobre a probabilidade de perda e a estimativa de valor de cada contingência. Além disso, deve-se analisar o histórico de pagamentos de processos pretéritos para validar a assertividade das provisões da empresa", afirma o advogado.
Ao projetar como seria sua atuação como a responsável pela auditoria interna em uma empresa com faturamentos atípicos, Paula Bichuete elucida o passo inicial. "A primeira medida certamente seria estabelecer um diálogo franco com a diretoria para compreender o histórico e eventuais inconsistências. Para isso, buscaria então construir uma relação de confiança que permita identificar gargalos."
Contudo, caso falte transparência, Paula afirma que recorreria a especialistas para analisar balanços e contratos. E caso seja confirmada a suspeita de fraude, a estratégia mudaria da amostragem para uma análise detalhada de até 80% da documentação. Além disso, essa auditoria seria amparada por um time sênior e técnico capaz de lidar com a complexidade do caso.
José Guimarães ressalta que empresas devem avaliar a integridade de acionistas (KYC), utilizando meios próprios ou softwares especializados. "É fundamental assegurar a credibilidade da marca. Fintechs de sucesso, por exemplo, evitam 'bolas divididas', ou seja, negócios com alto risco reputacional", afirma.
No setor bancário, o executivo defende que o melhor caminho é a observância estrita das normas do Banco Central. Segundo as investigações da Polícia Federal, este foi o caminho ignorado pelos envolvidos no caso do Banco Master. "É preciso adotar um conservadorismo inegavelmente estratégico como lição de crescimento. Além disso, é preciso manter um programa de governança robusto e alinhado às normativas do BC", pondera Guimarães.