Assisti recentemente a um documentário sobre um conjunto de crimes cometidos contra crianças de até 5 anos nos Estados Unidos. Em uma pequena cidade americana, a morte de uma menina de 5 anos por choque anafilático iniciou investigação do FBI. A culpada era a assistente da pediatra onde a criança fora levada para uma consulta de revisão. Enquanto a médica conversava com a mãe, a assistente preparava a criança para o exame. Inoculava, através de uma injeção, uma substância rara e que provocava choque imediato. Nos exames de sangue que se seguiam, a substância tinha difícil identificação. O ponto mais crítico deste caso: quando a criminosa foi identificada, descobriu-se, através de seu depoimento e de outras checagens, que ela já tinha cometido este crime 38 vezes nos últimos 12 anos! Todos os crimes foram executados da mesma forma, embora somente o último resultou em morte. Todos os crimes foram executados em hospitais e consultórios pediátricos onde ela trabalhou e que não estavam distantes da pequena cidade americana onde foi descoberta mais do que 300 km. O mais impressionante: muitos ex-colegas e ex-chefes da criminosa admitiram em seus depoimentos que “tinham quase certeza” sobre o comportamento estranho da assistente de enfermagem, mas nunca relataram “por não ter certeza absoluta”.
O mesmo acontece em um número muito grande de outras empresas: riscos no sistema, suspeitas de fraude e comportamentos estranhos de funcionários não são relatados para as organizações. Falha a auditoria, falha o sistema de controles internos, falha o processo de prevenção de riscos (que a maioria das empresas não possui) e falham os gestores porque não estão atentos para crimes ou para o risco deles acontecerem. Vejam o caso de Jérôme Kerviel, funcionário do banco Société Générale, que gerou perdas de 4,9 bilhões de euros para investidores. Quais foram as fissuras dos sistema que ele aproveitou para protagonizar a maior fraude na história dos bancos?
O remédio? As organizações devem criar rigoroso processo de auditoria e de gestão de riscos (controles internos), estimular que qualquer funcionário faça denúncias e precisam se assegurar de que os gestores de risco tenham de fato autoridade. Muitas vezes, esses indivíduos ganham menos do que as pessoas que devem "vigiar", e também são menos respeitados. Esse é o tipo de situação que impede que as más notícias cheguem rapidamente ao alto escalão.
Também pode estar incluído neste pensamento o erro não intencional: simplesmente o sistema tem pontos tão frágeis que possibilita que perdas gigantes possam ser geradas por funcionários muito humildes. Muitas vezes, um simples funcionário tem poder muito grande de alterar dados no sistema ou provocar perdas por crime ou por desleixo.

Riscos no sistema, suspeitas de fraude e comportamentos estranhos de funcionários não são relatados para as organizações. Falha a auditoria, falha o sistema de controles internos, falha o processo de prevenção de riscos (que a maioria nas empresas não possui) e falham os gestores porque não estão atentos para crimes ou para o risco deles acontecerem.