AdSense4

Bing

AdSense3

lunedì 26 dicembre 2011

I reati economico-finanziari non conoscono crisi

Grazie alla partnership tra l’Osservatorio di revisione della SDA Bocconi e la società multinazionale di consulenza e revisione contabile PricewaterhouseCoopers, è stato istituito il “Laboratorio frodi aziendali”.
Obiettivo dichiarato dell’iniziativa, unica nel suo genere nella realtà italiana, è lo studio della criminalità economica e la ricerca teorico-pratica di metodi e approcci innovativi finalizzati a perfezionare le strategie di contrasto, prevenzione, monitoraggio e investigazione degli illeciti societari.
Il gruppo di lavoro, formato da professionisti e accademici di primo livello, ha altresì il compito di esaminare con senso critico la normativa di riferimento e la relativa capacità di perseguire i comportamenti fraudolenti.

domenica 18 dicembre 2011

Trashing… la nostra immondizia è fonte di informazioni! (risposte alle domande)

Alcuni lettori del blog mi hanno rivolto alcune domande riguardo al post “Trashing… la nostraimmondizia è fonte di informazioni!”, pubblicato lo scorso 17 dicembre.
Sono molto sorpreso e gratificato nel constatare quanto questi post, e in generale questo giovane blog, abbiano attirato l'attenzione di così tanti lettori.
Dal giorno della sua nascita, era il 19 ottobre, il blog ha visto l’accesso di circa 1.600 utenti e sono numerosi i feedback inviati di apprezzamento, ma anche di critica e di invito a fare di più o ad approfondire determinati argomenti. Nell'ultimo periodo il blog ha registrato una media di 40 accessi al giorno.
In particolare il post “Trashing… la nostra immondizia è fonte di informazioni!” ha scalato la classifica degli argomenti più apprezzati in sole 24 ore. Un vero successo!
Probabilmente il motivo è da attribuire alla generale inconsapevolezza di quanto la carta che buttiamo possa permettere una frode.
E’ frequente osservare, infatti, come i processi di redazione di un documento riservato si concentrino soprattutto sulla forma espositiva, sulla profondità delle analisi, sulla completezza degli argomenti trattati…. ma non sulla sorte che quel documento avrà se gettato tra i rifiuti.
Ho deciso pertanto di rispondere alle domande pervenutemi tramite un nuovo post, invitando i lettori ad utilizzare i “commenti” per porre nuove domande o contribuire alla discussione.

sabato 17 dicembre 2011

Trashing… la nostra immondizia è fonte di informazioni!

Il “trashing” (altrimenti chiamato “bin-raiding”) consiste nel ricercare dati ed informazioni personali e riservate setacciando i cassonetti dei rifiuti.
Si tratta del sistema più semplice e meno rischioso per entrare in possesso di documentazione sensibile, quale ad esempio: estratti conto bancari, buste con indirizzi di residenze private o professionali, bollette contenenti il dettaglio del traffico telefonico o dei dati di navigazione, scontrini fiscali con l’elenco dei prodotti acquistati, ricevute della carta di credito, stampe di mail, eccetera.
Tali documenti, classificabili come “sensibili” per la tipologia delle informazioni che contengono, divengono in tal modo disponibili a chiunque voglia utilizzarli in modo illecito.
La problematica del trashing riguarda anche aziende e professionisti, in particolare quelle realtà che trattano quotidianamente informazioni riservate, ad esempio gli studi legali, le aziende farmaceutiche o ospedaliere, le istituzioni finanziarie, la Pubblica Amministrazione.

martedì 13 dicembre 2011

L'intelligence britannica alla ricerca di competenze certificate

Qualche settimana fa ho letto un articolo pubblicato sul sito del Corriere della Sera dal titolo: “Gran Bretagna, l’intelligence cerca hacker” e il sistema di selezione era descritto in questo modo: “Cracca il sito. E noi ti assumiamo”.
Una modalità di selezione, almeno per il contesto italiano, piuttosto innovativa ma che esprime pienamente la volontà di accertare e premiare la competenza senza perdere troppo tempo.
Ci dimostri di saperci fare e noi ti assumiamo!
La grossa novità introdotta dall’intelligence britannica rispetto ad analoghe esperienze passate, riguarda l’invito rivolto agli hacker a “bucare” il sito del Government Communications Head Quarter, cioè del Quartier Generale Governativo per le Comunicazioni, pubblicizzato in rete attraverso un vero e proprio bando di concorso.

martedì 6 dicembre 2011

L’head hunter nella lotta alle frodi aziendali

Anche l'head hunter può contribuire a limitare il rischio di frode aziendale?
A mio avviso, certamente sì!
A tal proposito, sono particolarmente interessanti gli studi teorici in ambito sociologico e psicologico che hanno portato alla definizione delle procedure di screening impiegate per selezionare i “top manager”.

lunedì 5 dicembre 2011

Utilizzo delle tecnologie avanzate di fraud prevention e di fraud detection

Riporto un interessante articolo del collega Ing. Maurizio Bedarida, pubblicato nel novembre 2011 sull'edizione online de Il Sole 24 Ore - Diritto24  (http://www.diritto24.ilsole24ore.com/avvocatoAffari/professioneLegale/2011/11/utilizzo-delle-tecnologie-avanzate-di-fraud-prevention-e-di-fraud-detection.html).
L'autore è un esperto di sistemi informatici idonei a prevenire o a individuare le frodi aziendali, con particolare riferimento alle realtà interessate da un numero di transazioni molto elevato (società di gestione di carte di credito, banche, assicurazioni, credito al consumo, retail, eccetera).
Queste aziende sono oggetto privilegiato di attacchi messi in atto da organizzazioni criminali o di attività fraudolente compiute da dipendenti infedeli.
I sistemi descritti dall'Ing. Bedarida sono molto avanzati e implicano una costante "manutenzione" per accrescerne la capacità di bloccare all'origine i comportamenti fraudolenti.
In base alle esperienze maturate, i benefici apportati alla redditività aziendale dall'utilizzo di questi strumenti IT sono evidenti e superano di gran lunga gli investimenti effettuati per la loro introduzione e gestione.


----------------------------------------------------------------------------------------------
(Da Il Sole 24 Ore - Diritto24 - Sez. "Avvocato d'affari" - 28 novembre 2011)
Utilizzo delle tecnologie avanzate di fraud prevention e fraud detection

Il ruolo ormai preponderante assunto dai sistemi informativi nella gestione del core business delle aziende, oltre all'avvento della rete come canale privilegiato per il b2c e il b2b, ha imposto nuovi approcci per le attività di fraud prevention e di fraud detection.
Se infatti, i sistemi informativi aziendali contengono quantità sempre crescenti di dati - rendendo le attività ispettive oltremodo complesse - proprio la mole elevata di dati raccolti può favorire una più efficace lotta alle frodi.
Accanto alle metodiche di fraud auditing di tipo “classico” (quali le verifiche su base campionaria), oggi il fraud auditor può impiegare nuovi strumenti basati su modelli logico/matematici in grado di elaborare ed analizzare enormi quantità di dati; si tratta, in sostanza, di metodologie che utilizzano particolari algoritmi in grado di prevenire, nonché segnalare, la presenza di eventi fraudolenti tra migliaia di transazioni.
Per fare un esempio, in ambito bancario l’apertura di più conti correnti associati ad anagrafiche non corrette potrebbe indicare la presenza di una potenziale attività fraudolenta, come pure movimentazioni di somme di piccola entità su conti correnti diversi o con causali anomale potrebbe allo stesso modo segnalare la presenza di un’attività fraudolenta in corso o già avvenuta.
Le indagini di fraud prevention e di fraud detection, per essere efficaci, devono pertanto essere supportate da processi di “data mining”, cioè da modelli di estrazione dati (originariamente utilizzati dalle funzioni marketing e controllo di gestione), idonei ad aggregare, collegare o associare informazioni provenienti da sistemi informativi diversi ed eterogenei.

Si pensi, al proposito all'utilità di un processo di “data mining” progettato con finalità antifrode in un contesto aziendale multinazionale operante nel mercato farmaceutico; in tale ambito sarebbe necessario operare focalizzandosi su specifiche correlazione di dati inerenti:
  • ordini di vendita;
  • gare d’appalto pubbliche o private;
  • congressi, convegni e simposi scientifici;
  • incarichi di consulenza;
  • atti liberali a favore di enti caritatevoli, ONG e fondazioni;
  • distribuzione di campioni medicinali a medici di famiglia, ospedali e farmacie;
  • produzione di informazione scientifica o di studi clinici sul farmaco;
  • richiesta di rimborsi spese da parte degli informatori scientifici sul farmaco.
La realizzazione di un efficace sistema di “data mining” comporta l’applicazione di idonee metodologie atte a:
  • assicurare la qualità del dato in origine;
  • assicurare la normalizzazione delle informazioni;
  • definire le correlazioni ed il modello logico/matematico più efficiente per estrarre informazioni in grado di individuare, con il minor numero di errori (falsi positivi e falsi negativi), il fenomeno fraudolento da prevenire e/o rilevare;
  • definire i criteri di controllo sull'efficacia del modello applicato.
Poiché generalmente i dati oggetto di analisi sono archiviati su piattaforme informatiche differenti, si rende necessario assicurare il conseguimento preventivo della cosiddetta qualità del dato originario, che si articola in:
  • qualità sintattica: il dato deve essere reso conforme ad una sintassi definita. Se ad esempio il “campo” destinato alla registrazione di una data di calendario fosse di tipo testuale, cioè senza regole sintattiche, la grandezza al suo interno potrebbe assumere valori variabili, quali: “01/01/11”, “01 gennaio 2011”, “1 gen 11”, eccetera;
  • affidabilità: il sistema, ad esempio, non deve permettere l’introduzione di codici fiscali non coerenti con gli altri dati anagrafici, oppure impedire l’esistenza di campi vuoti.
Il secondo aspetto necessario per la definizione del modello è la normalizzazione del dato: tale operazione ha lo scopo di uniformare la semantica e la sintassi delle informazioni in modo tale che il processo di “data mining” possa riconoscerle ed elaborarle.
Una volta garantita la bontà della base dati da analizzare è possibile applicare su di essa i modelli matematico\statistici utili all’estrapolazione delle informazioni di interesse.
Nella realtà professionale le metodologie utilizzate nell’attività di fraud prevention e di fraud detection sono numerose ed eterogenee, quali, fra le altre:
  • i “link” o “pattern analysis”: ricerca di associazioni e interconnessioni tra gruppi di eventi e o persone;
  • i “geometric clustering”: sotto insieme del precedente modello, in cui i raggruppamenti sono funzioni delle distanze geometriche;
  • le “machine learning”: modelli auto-apprendenti che modificano i propri parametri in funzione delle variazioni nel tempo dei dati esaminati;
  • le “neural networks”: sistemi particolari di auto-apprendimento derivati dalla teoria delle reti neuronali.
I primi due modelli ricadono in una speciale branca dell’analisi informatica conosciuta con l’espressione di “social network analysis”.
Il fraud auditor utilizza questi sistemi, peraltro alquanto sofisticati, per rendere palesi i rapporti d’interconnessione tra soggetti ed eventi, apparentemente non legati tra di loro, allo scopo di ricostruire la presenza di reciproche relazioni o rapporti causa-effetto tra i medesimi.
A tale ultimo proposito, si pensi alle analisi aventi ad oggetto l’enorme mole di traffico telefonico generato in un determinato periodo in una certa zona geografica. Ad un primo esame l’insieme dei dati appare come un esteso elenco di informazioni di vario genere ma, applicando un modello che considera il “flusso” delle chiamate (entrata/uscita) e le sequenze temporali di generazione delle medesime, è possibile tracciare precisi schemi di comunicazioni tra soggetti.

Per fare un esempio, a seguito di un evento criminoso commesso al tempo t0, è possibile stabilire dalla sequenza delle chiamate effettuate e ricevute dal soggetto A e quelle ricevute dal soggetto B, la catena delle comunicazioni che indica un passaggio di informazioni tra A e B anche se non esistono collegamenti diretti tra i due soggetti. Spesso infatti, le organizzazioni criminali adottano accorgimenti tali per cui il soggetto A e il soggetto B comunicano solo per il tramite di uno o più intermediari.

Gli schemi ripetitivi di azioni\eventi simili tra loro possono invece costituire la base dati sulla quale applicare i modelli di “geometric cluster analysis” utili a stabilire analogie tra accadimenti tra loro non correlati e può essere utilizzata per individuare il modus operandi, ad esempio, di un omicida ed indirizzare conseguentemente le indagini.
Questi modelli di analisi fondano la loro efficacia sull'assunto secondo il quale ogni evento è caratterizzato da un “array multidimensionale (l’evento è caratterizzato cioè da un insieme di elementi che lo definiscono ai fini investigativi).

In breve, se un modello è implementato correttamente è possibile individuare, sul fondamento di variabili ben definite (per esempio, nel caso di ricorrenti furti in un magazzino, orari, tipologia di serrature forzate, modalità di effrazione, tipo di merci rubate, eccetera), similitudini atte a favorire la ricostruzione di un modus operandi (nel caso, una banda di ladri o un magazziniere infedele).
I modelli basati su algoritmi di “machine learning” invece, sono fra quelli utilizzati per analizzare grandi basi dati con l’intento di determinare la presenza di reciproche correlazioni; essi, infatti sono in grado di relazionare frequenze di accadimenti difficilmente rilevabili con i normali meccanismi di interrogazione dei database. Tali sistemi sono utilizzati dai fraud auditor per rispondere a domande quali: “come e quando la frode ha più probabilità di accadere?” oppure “quali sono le caratteristiche di un operatore di borsa disonesto?”.

Tali tecniche sono anche molto utilizzate nella prevenzione e rilevazione di attacchi informatici; sono, per esempio, in grado di correlare le molte centinaia di migliaia di eventi generati dai sistemi di rete e dai computer con i ritardi o le interruzioni di servizio di un server causati da un virus non ancora conosciuto.
Si definiscono “machine learning” proprio perché questi sistemi letteralmente “imparano” e si adattano ai cambiamenti dell’ambiente di riferimento in modo da mantenere inalterata la propria efficacia di rilevazione degli accadimenti fraudolenti.

L’avanguardia di questi modelli è, da ultimo, rappresentata dall'utilizzo delle reti neurali per le analisi di enormi volumi di dati. Le reti neurali sono sistemi software che, per l’appunto, simulano il processo neurologico di apprendimento e memorizzazione di un essere umano e, pertanto, sono in grado di “prevedere” l’effettuazione di nuove ulteriori osservazioni su campioni di dati storici dopo aver effettuato una serie di processi cognitivi sempre più specifici di una determinata problematica.
Nella realtà professionale, le reti neurali sono impiegate per rilevare transazione finanziarie fraudolente avvenute mediante l’utilizzo di carte di credito ed in numerose altre attività anti-frode.

Sebbene i modelli teorici legati alle “social network analisys” siano ormai ben consolidati ed esistano software in grado di utilizzare tali modelli con un ottimo grado di affidabilità, il successo di questi sistemi non dipende solo dalla tecnologia bensì anche dalla capacità tecnico-organizzativa di coloro che li utilizzano.
In particolare, il fraud auditor deve essere in grado di comprendere quali informazioni siano di maggiore utilità, come estrapolarle, come garantirne l’affidabilità al fine di alimentare correttamente i modelli di analisi e, non ultimo, di saper interpretare nel modo corretto gli “alert” generati da questi sofisticati sistemi di fraud detection e di fraud prevention.

Da ultimo ma, non meno importante per il successo dell’applicazione di questi sistemi, è la messa a punto di processi di controllo che ne valutino l’efficacia nel tempo e che ne permettano l’evoluzione.

(Senior manager presso JNP S.r.l. – www.jnpforensic.com)


mercoledì 23 novembre 2011

Forensic accounting e università

Da alcuni anni si assiste ad un’impennata dei casi di frode aziendale (il cosiddetto “white collar crime”). Non passa giorno senza che le pagine delle testate giornalistiche economiche mondiali forniscano notizie di frodi perpetrate da operatori dell’industria, della finanza, dei servizi come pure della pubblica amministrazione.
La totalità degli studi e delle ricerche promossi da varie organizzazioni indipendenti (ad esempio dall’ACFE - Association of Certified Fraud Examiners) confermano che il fenomeno produce danni economici rilevanti.
E’ stato stimato su un campione di 106 paesi, infatti, che nel biennio 2008-2009 le aziende hanno subito perdite economiche provocate da frodi per un importo pari al 5% del loro fatturato, con una perdita globale stimata in più di 2,9 miliardi di dollari. Valutazioni molto ottimistiche, si potrebbe ragionevolmente presumere.

Una reazione a questo fenomeno endemico non è dunque più prorogabile!

Una prima risposta sembra essere promossa dalle associazioni di categoria, dagli albi professionali, dalle stesse aziende vittime degli illeciti, dalla pubblica amministrazione e, non ultime, dalle università con l’introduzione di corsi accademici, di formazione professionale e di master di specializzazione sull'argomento “frodi aziendali”.
L’opera di sensibilizzazione (portata avanti anche grazie ad interessanti inchieste giornalistiche), sta producendo un forte incremento della domanda di esperti (i cosiddetti forensic accountants o fraud auditors) in grado non solo di condurre le indagini sui crimini economici in modo professionale, ma anche di guidare le imprese nell'implementazione di sistemi di controllo adeguati alla prevenzione del rischio di frode.
Le professionalità richieste dalle aziende e dalle società di consulenza specializzate, spaziano in più aree di competenza, quali la materia giuridica, organizzativa, contabile, informatica, nonché in tema di governance, di controllo interno e di fraud risk management.

La multidisciplinarietà in questo settore è fondamentale!

I più recenti corsi di laurea e post-laurea sono mirati a trattare materie diverse con l’obiettivo di fornire strumenti formativi che spaziano dalla procedura penale, alla definizione dei fraud programs, dalle tecniche investigative a quelle mirate a proteggere il know-how aziendale, come i marchi e i brevetti.
In Italia tuttavia l’offerta universitaria risulta particolarmente scarsa se confrontata con gli altri paesi occidentali (Stati Uniti in primis ma anche Canada, Regno Unito e Francia) e ciò anche a motivo del fatto che, come testimoniano le ricerche pubblicate a partire dal 2003 su riviste quali Issue in Accounting Education, Advances in Accounting Education, Journal of the Academy of Business Education, le università in generale hanno difficoltà a sviluppare percorsi di studio in quanto risulta difficile reperire un corpo docenti adeguatamente preparato alla formazione di tali materie. 

In breve, il paradosso!

Da una parte il mondo economico (pubblica amministrazione, imprese e società di consulenza) ricerca con interesse e in modo massivo queste figure professionali, dall’altra il settore preposto a formare le professionalità non ha ancora risposto con sufficienza con offerte convincenti.
Nel 2002 a livello globale, solamente 19 atenei offrivano corsi specializzati in fraud auditing e in forensic accounting; il numero è ora salito a circa 300.

Tra queste c’è l’Università Bocconi di Milano, che a partire dal 2005 propone un corso opzionale specialistico in “Forensic accounting, frauds and litigation”, seguito mediamente da 60-70 studenti all'anno e che ha già laureato in questa materia oltre 50 studenti, immediatamente assorbiti dal mercato del lavoro nei dipartimenti anti-frode, di internal audit e dalle società specializzate nella consulenza forensic.
Tale corso si propone di illustrare agli studenti le attività e le tecniche di forensic accounting e fraud auditing, ricorrendo ampiamente all'esame di casi aziendali in aula e con lavori (indagini simulate) sviluppati in autonomia e in gruppo.
Già nella prima lezione gli studenti iniziano a comprendere come con il termine “forensic accounting” si intendano le attività investigative di supporto al contenzioso in sede civile e penale inerenti, rispettivamente, violazioni contrattuali e reati, che implicano controversie su tematiche di contabilità e bilancio, condotte per conto di aziende private, studi legali o in qualità di consulenti tecnici o periti.

I laureandi nelle materie economiche e giuridiche in tal modo assimilano tecniche specialistiche per affrontare procedimenti arbitrali, dispute in materia di proprietà intellettuale (royalty audit e warranty claims), asset tracing (ricerca dei movimenti finanziari correlati a frodi e reati, fra i quali, in particolare, il riciclaggio di denaro) o accertare violazioni contrattuali, frodi aziendali, frodi informatiche, truffe, appropriazioni indebite, eccetera.

*   *   *

Per maggiori informazioni sul corso in Bocconi: "Forensic accounting, frauds & litigation".




lunedì 21 novembre 2011

Document manipulation

Capita sempre più spesso di indagare frodi interne portate a termine da manager tramite l’utilizzo di documenti creati ad hoc.

Armati di modernissimi scanner, questi individui riescono a riprodurre ogni sorta di documento, come ad esempio fatture, contabili bancarie, schede contabili, partitari, registri di magazzino, conti correnti o di lettere di bonifico.
In tal modo sono replicati fedelmente loghi, firme autografe, bolli o timbri, etichette, layout e form avendo cura, peraltro, di utilizzare la carta con la giusta dimensione e il medesimo spessore, peso e colore del documento originale.
La cronaca infatti ci informa di quanto questi contraffattori siano accurati e meticolosi nella scelta dei caratteri, dei colori, delle dimensioni al fine di creare un documento esattamente identico a quello originale, a differenza di qualche anno fa quando la manipolazione non poteva passare inosservata ad un occhio attento, visto il ricorso a pratiche più caserecce basate sull'utilizzo delle forbici, della colla stick e della fotocopiatrice in bianco e nero.

Oggi il fenomeno dell'alterazione documentale è divenuto possibile e frequente grazie a strumenti hardware e software molto sofisticati ma accessibili a costi ridotti. Inoltre la gamma degli editing software, reperibili gratuitamente in rete, rende la manipolazione di intere stringhe di testo o numeriche non identificabile se non mediante il ricorso ad apposite procedure di computer forensic.


In base alle esperienze maturate sul campo, lo schema di frode si sviluppa attraverso due distinti comportamenti: il primo mirato ad alterare documenti autentici modificandone i dati ivi riportati, per esempio il prezzo, la quantità, il saldo, il numero di conto corrente, i riferimenti anagrafici eccetera, il secondo tramite la realizzazione di un documento ex novo con dati di fantasia.
Generalmente il fine del frodatore è la creazione di un supporto documentale fittizio ad un’altrettanto fittizia scrittura contabile o movimentazione bancaria affinché si possa iscrivere in bilancio un fatturato inesistente (nel caso di fatture attive fittizie) o ridurre la base imponibile da assoggettare a tassazione (nel caso delle fatture passive), mostrare una situazione finanziaria migliore di quella reale (nel caso della contraffazione di documenti bancari), rappresentare un volume di magazzino superiore, o inferiore, a quello effettivo (nel caso dell'alterazione dei documenti di trasporto e dei registri di carico o di scarico dei prodotti).
Alla manomissione dei documenti corrisponde quasi sempre la creazione di un "ambiente economico fittizio" credibile, in quanto capace di simulare una realtà parallela a quella in cui l'azienda opera.
Le frodi più elaborate, infatti, implicano innanzitutto la costituzione di una o più società di comodo in un Paese a fiscalità ridotta, gestita da prestanomi.
Per rendere la società di comodo più credibile, si crea il sito internet nel quale si racconta la mission aziendale, si espone il logo sociale, si pubblicano i profili degli esponenti aziendali (in molti casi completamente inventati) e si riportano le informazioni inerenti il prodotto/servizio fornito (ad esempio una consulenza). Dopodiché si crea il formato della fattura, si stampano le business card e si costituiscono i conti correnti bancari.
Senza spingermi oltre nella descrizione dei dettagli, è bene precisare che questo schema di frode solitamente è pianificato nei minimi particolari e messo in atto con lucida capacità criminale.
Con una buona dose di fantasia e audacia, il frodatore (ad esempio un responsabile amministrativo) saprà non destare sospetti quando richiederà la creazione dell’anagrafica della società di comodo e autorizzerà i pagamenti a favore di quest'ultima a fronte di prestazioni inesistenti (o parzialmente inesistenti).
Nei casi come quello descritto, l'azienda si dovrebbe tutelare:
  • ex-ante, mediante la definizione di un sistema dei controlli idoneo a prevenire una tale fattispecie (ad esempio tramite l'introduzione di un "fraud program" specifico);
  • ex-post, grazie ad un'attività di fraud auditing mirata a calcolare l’ammontare del danno procurato, a identificare i responsabili della frode e a dimostrare il comportamento illecito. E' bene sottolineare, infine, che le indagini in questo caso non possono che coinvolgere specialisti di computer forensic in grado di individuare nei sistemi informatici le tracce della manipolazione documentale e ricondurle al loro autore.
-----

News:
l'Espresso: Quel "genio della finanza" truffatore seriale Così Marco Russo falsificava titoli al pc



martedì 15 novembre 2011

I cinque tipici “errori” dei Modelli 231, dieci anni dopo

A qualche anno di distanza dall'entra in vigore del D.Lgs 231/2001, l’esperienza accumulata da società e professionisti come pure le prime importanti sentenze e interpretazioni giurisprudenziali sull'argomento consentono di fare il punto su quelli che possono definirsi i più tipici “errori” di impostazione e redazione dei Modelli di gestione, organizzazione e controllo previsti dalla normativa.
Come è noto, tra gli elementi che la normativa prevede essere fondamentali ai fini dell’esenzione della responsabilità amministrativa di un ente si annovera il requisito della efficace adozione di “modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi” (art. 6, co.1. lett. a). Al proposito è unanimemente accettato che il termine “modelli” si riferisca ai sistemi di controllo interno che, in quanto tali, devono essere conformi al framework rappresentato dagli standard emanati dal C.o.S.O., Committe of Sponsoring Organizations, nel 1992 (Internal Control Integrated Framework) e nel 2004 (Enterprise Risk Management Framework). Tali standard sono dunque una pietra angolare per tutti i professionisti che si occupano di tale tema, ivi compresi revisori, internal auditor, compliance officer, preposti al controllo interno, dirigenti ai sensi della legge 262/2005 ecc.
In ossequio a quanto stabilito da tali framework, l’impostazione di un sistema di controllo interno si fonda su diverse componenti quali la definizione degli obiettivi di controllo, la valutazione dei rischi di errore/frode, la definizione di apposite contromisure rispetto ai rischi maggiormente significativi ed il monitoraggio della efficace attuazione e funzionamento delle contromisure adottate (a loro volta fondate su specifiche componenti in termini di “ambiente di controllo” e di “attività di controllo”).
Chi si occupa di tali sistemi sa bene che i controlli devono tradursi, nella pratica, in procedure operative applicate ai diversi processi aziendali come pure in adeguati meccanismi di reporting degli errori/anomalie riscontrate. In tale ottica l’attuazione dei controlli interni richiede l’adeguato bilanciamento tra la dimensione informativa, ovvero l’utilizzo di informazioni e sistemi informativi per raccogliere, elaborare e controllare le attività svolte, e quella organizzativa, ovvero la definizione di opportune regole di suddivisione dei compiti e dei correlati meccanismi (tra i quali il sistema premiante/sanzionatorio, il presidio delle competenze del personale ecc.).
Tale premessa consente di avviare la disamina degli “errori” tipici riscontrabili in tale ambito.

1. Predisporre un modello 231 senza alcun corredo di procedure di controllo interno riferite ai singoli processi aziendali (elemento rientrante in quello che, nella pratica, si suole denominare “Parte Speciale” del modello) costituisce un assurdo logico. Solo la disamina delle procedure redatte ed attuate con riferimento agli obiettivi di prevenzione dei reati 231 consente di apprezzare il significato delle logiche di impostazione del sistema di controllo che sono tipicamente contenute nella c.d. Parte Generale; è infatti proprio in tale ottica che la normativa menziona i c.d. “specifici protocolli” all’art. 6, comma 2, lett. b). L’inesistenza di procedure operative redatte con specifico ed esplicito riferimento alla prevenzione dei reati 231 (e non riferiti ad altri obiettivi aziendali) costituisce una lacuna insanabile.

2. I modelli fanno spesso riferimento ad una valutazione dei rischi di compimento dei reati, in ossequio a quanto previsto dalla normativa all’art. 6, comma 2, lett. a). Nella pratica le “attività nel cui ambito possono essere commessi reati” sono definite “attività sensibili”. Trattasi di una attività di risk assessment e, nonostante gli apprezzabili sforzi di alcune Linee Guida emanate da Associazioni di Categoria, il riferimento metodologico per l’individuazione dei rischi non può che essere costituito dal framework Enterprise Risk Management sopra menzionato.
Il documento stabilisce che la valutazione dei rischi implica l’esplicita identificazione degli eventi negativi (nel caso di specie, i possibili comportamenti attuativi del reato) nonché la valutazione di probabilità e impatto a questi ascrivibile. Nella individuazione dei comportamenti attuativi del reato un riferimento metodologico imprescindibile è costituito dai c.d. fraud schemes, ben noti agli esperti di fraud auditing, che esplicitano le tipiche modalità attuative dei comportamenti fraudolenti. E’ proprio con riferimento a tali elementi che si deve valutare chiaramente l’eventualità che siano posti in essere azioni illecite.
La valutazione dei rischi in termini di probabilità e impatto pone problemi di ordine non solo metodologico ma anche “strategico” che devono trovare adeguata riposta da parte dei vertici aziendali: ma qual è il livello di tolleranza ammesso dalla direzione aziendale con riferimento a possibili comportamenti illeciti?
E’ di tutta evidenza che una attività di risk assessment svolta senza definire i livelli di tolleranza (le cd. risk tolerance) associati alle diverse fattispecie di illecito sia priva di significato sotto il profilo metodologico e, a nostro avviso, insostenibile ai fini della esenzione della responsabilità.
Al proposito risultano essenziali quegli indicatori (KPI, Key Performance Indicator e KRI,Key Risk Indicator) elaborati allo specifico scopo di garantire una elevata efficacia segnaletica dei c.d. red flag, cioè di quelle anomalie che possono rivelare la presenza di una eventuale frode; in questa prospettiva, i menzionati indicatori devono essere il più possibile “vicini” ai processi aziendali, essere raccolti e monitorati con tempestività ed essere agevolmente comprensibili, in modo che il loro valore segnaletico non si presti a errori interpretativi generati da eccessiva discrezionalità; ad evidenza, la progettazione di tali indicatori richiede la profonda comprensione di come determinati fraud scheme possano trovare applicazione in uno specifico processo aziendale, così da definire criteri di controllo, monitoraggio e analisi sufficientemente articolati. Oltre a ciò è anche imprescindibile che siano ben chiarite le soglie di tolleranza oltre le quali gli indicatori in esame forniscono indicazione della presenza di situazioni preoccupanti.
Ad oggi sono davvero ben pochi i modelli che entrano nel merito dei menzionati aspetti, anche nell'ambito della c.d. Parte Generale.

3. L’ottica di prevenzione degli illeciti prescritta dalla normativa comporta la necessità di spostare il baricentro dei controlli interni su quei sistemi che, strutturalmente, sono applicati ex ante e risultano anche difficilmente “aggirabili”. Ne deriva che i controlli successivi (cd. detective controls) devono essere giudicati consoni solo se possiedono caratteri di elevata efficacia segnaletica e tempestività.
Il massivo utilizzo di controlli automatizzati (automated controls), che tipicamente possiedono tassi di eccezione molto bassi (se non nulli), consente di garantire elevati standard di adeguatezza nel funzionamento dei modelli mentre i controlli svolti dal management e dal personale aziendale (manual controls) devono essere "centellinati" e ridotti al minimo, confinandoli là dove non esistano alternative di possibile automazione.
Analogamente occorre valorizzare i controlli sulle transazioni in quanto queste possono essere presidiate tramite meccanismi di autorizzazione e controllo delegabili ai sistemi informatici; ciò impone la necessità di definire meccanismi di autorizzazione preventiva e regole di controllo degli attributi informativi delle transazioni assai stringenti, in modo da “blindare” l’operatività aziendale entro parametri giudicati accettabili e consentire, successivamente, l’immediata segnalazione di operazioni anomale. Risulta anche imprescindibile applicare strumenti atti a garantire elevati livelli di tracciabilità delle operazioni, mediante sistemi di documentazione delle attività che siano il più possibile delegati ai sistemi informatici difficilmente manipolabili.
Quanto sopra deve trovare opportuna declinazione proprio nella “Parte Speciale” dei modelli 231, ovvero nell'ambito delle procedure operative predisposte in relazione ai singoli processi aziendali.

4. Tutti i modelli enunciano l’importanza del principio della separazione dei compiti. La componente di “segregation of duties” non deve tuttavia trascurare il fenomeno della collusione tra più soggetti, fermo restando che le procedure dovrebbero essere sempre “a tenuta di frode” perpetrata dal singolo manager o dipendente; atti illeciti che trovano fondamento su comportamenti collusivi dovrebbero dunque essere ridotti drasticamente da adeguati controlli interni, almeno in quelle aree di attività aziendale dove il fenomeno potrebbe produrre un impatto rilevante, se non catastrofico. La collusione non può essere valutata, aprioristicamente, un fattore idoneo a dimostrare l’elusione fraudolenta del modello e, conseguentemente, favorire, per sé, l’esenzione da responsabilità dell’ente.
I modelli devono quindi affrontare il tema di quale sia il livello di rigore richiesto all'applicazione del principio di separazione dei compiti, da un lato, e di quale siano le fattispecie collusive che i controlli interni presidiano, dall'altro.

5. Tra i vari meccanismi organizzativi previsti dalla componente "ambiente di controllo" merita attenzione specifica il sistema premiante, fondato su incentivi e sanzioni che operano, rispettivamente, nel caso di comportamenti virtuosi e devianti; molto si è scritto e detto in merito alle distorsioni che il sistema degli incentivi può provocare in termini di aumento della propensione a comportamenti fraudolenti; in termini generali, un peso significativo attribuito alla retribuzione variabile rispetto a quella fissa aumenta il rischio di frode, con la conseguente necessità di apportare notevoli rafforzamenti dei controlli proprio in quelle aree di business ed in quei processi aziendali ove le retribuzioni variabili costituiscono un elemento assai appetibile per il management/personale. Con ciò non si esclude a priori l’utilità strategica dei sistemi di retribuzione variabile, ma è quanto mai opportuno potenziare i sistemi di controllo preventivo a presidio di quelle aree ove operano manager e dipendenti che ne beneficiano. Sorprendentemente poco si è scritto e fatto - ed, ancor peggio, si ritrova nei modelli 231 - in relazione a due elementi fondamentali.
Il primo riguarda la previsione di sistemi di incentivo correlati agli esiti delle attività di controllo: se gli obiettivi di controllo anti frode o, in generale, di compliance, sono giudicati importanti dalla direzione e dagli azionisti, ad essi dovrebbero essere collegati sistemi premianti. I modelli 231 prevedono quanto sopra?
Il secondo elemento si richiama alla "dark side" dei sistemi premianti, ovvero ai sistemi sanzionatori, che esercitano un ruolo di deterrenza in tutti gli ambiti il cui il controllo ha una prospettiva di compliance e anti frode ovvero ove si intenda rafforzare l'attitudine alla legalità.

Anche il D.Lgs. 231 afferma la rilevanza del "sistema disciplinare" (art. 6, comma 2, lett. e), e poco si occupa – ben comprensibilmente - del sistema premiante. E’ ben noto che la progettazione di meccanismi sanzionatori risulti particolarmente complessa e delicata richiedendo opportuno coordinamento con la normativa giuslavorista, ma a tale aspetto occorre dedicare particolare enfasi allo scopo di esplicitare i profili di responsabilità penale e civile in ottica anti frode.
I modelli 231 devono essere chiari sui temi sopra menzionati, anche in virtù della loro pericolosità nella generazione di comportamenti illeciti.
In conclusione, si osserva che i modelli in argomento costituiscono un corredo all'esistenza, ed efficace attuazione, di procedure 231 applicate ai singoli processi aziendali. Questi, però, aggiungono valore alle procedure esistenti solo qualora rappresentano un documento di sintesi dell’approccio aziendale al controllo interno ai fini della citata Legge; in termini più espliciti il modello risulta efficace solo se affronta con chiarezza i cinque snodi metodologici menzionati, oltre ad altri aspetti previsti dalla normativa, quali il sistema di formazione e comunicazione, l’Organismo di Vigilanza ecc.
Si auspica che, a dieci anni dall'entrata in vigore della normativa, enti e professionisti coinvolti operino in queste direzione consentendo così la “reale” attuazione delle finalità previste dalla Legge.


lunedì 14 novembre 2011

Bugiardo patologico o bugiardo abituale?


Nel corso delle attività di fraud auditing accade sempre più spesso di ascoltare dichiarazioni palesemente false rilasciate da soggetti verosimilmente coinvolti nella frode.
Ricordo in particolare quella volta che un manager al vertice di una nota società di trasporti, davanti a prove schiaccianti e inequivocabili che lo inchiodavano alle sue responsabilità, esibendo sicurezza e massima tranquillità, continuava fermamente a negare l’evidenza.
In un’altra occasione un responsabile amministrativo colto con le mani nel sacco, invitato dal Consiglio di Amministrazione a fornire la propria versione sui fatti accaduti, ha ammesso soltanto una modesta omissione di controllo ma non di essere il solo colpevole della frode.
La negazione ostinata, “ad oltranza” sarebbe meglio dire, di un fatto illecito dimostrato da evidenze documentali, da testimonianze o da prove informatiche, non è cosa rara! Soprattutto nei contesti aziendali quando le funzioni di internal audit o di fraud audit esibiscono al dipendente infedele le prove della frode.


Si tratta quindi di “bugiardi patologici”?
Per rispondere a questa domanda faccio riferimento al racconto di un esperto investigatore che ha lavorato parecchi anni per il Dipartimento di Giustizia della Nord Carolina.
Nella zona di sua competenza, Salisbury nella Contea di Rowan, si trovava un ospedale psichiatrico che assisteva i reduci di guerra con problemi mentali. In molte occasioni questi pazienti, durante le sporadiche uscite, si recavano presso la banca locale per prelevare somme di denaro dai conti a loro intestati.
Purtroppo però tali conti non esistevano affatto e i funzionari della banca si vedevano costretti a far intervenire le autorità di polizia per placare gli animi assai agitati dei falsi correntisti. Ascoltati dall’investigatore, questi soggetti erano realmente convinti di possedere grosse somme di denaro depositate presso la banca. Era la patologia di cui erano affetti a determinarne il comportamento!
Il racconto è utile per far comprendere come l’espressione “bugiardo patologico” non abbia molto senso. Infatti il “bugiardo” che mi capita di incrociare nel corso delle attività di fraud auditing, è quel soggetto che intende ingannare. Pertanto nel bugiardo è sempre presente l’elemento dell’intenzionalità, mentre con il termine “patologico” si stabilisce che il soggetto è del tutto inconsapevole di sostenere un fatto non vero.
La "patologia" appartiene alla materia medica, ma i bugiardi di cui parlo sono sanissimi!
I casi osservati nel corso della mia attività di fraud auditor sono riconducibili, piuttosto, al fenomeno assai più diffuso del “bugiardo abituale”. Si tratta di un soggetto abituato a ricorrere alla menzogna, all'inganno e alla simulazione. Lo fa deliberatamente, con frequenza e in modo naturale.

Se si volesse fare un esempio cinematografico, Leonardo Di Caprio ha interpretato sia il soggetto patologico convinto di vivere in una realtà diversa da quella reale, nel film Shutter Island di Martin Scorsese, sia il bugiardo abituale (o seriale) nel film Prova a prendermi diretto da Steven Spielberg.

mercoledì 9 novembre 2011

La “spirale in discesa” - le frodi nel settore bancario

Gli istituti di credito, come ogni altra azienda, sono esposti a numerose tipologie di frodi messe in atto da soggetti interni alla struttura o da soggetti terzi. In particolare, la teoria distingue le frodi di tipo “generico”, cioè non direttamente collegate all’attività economica svolta (ne sono un esempio le appropriazioni indebite di beni aziendali) da quelle di tipo “specifico”, cioè peculiari del settore finanziario.
Sono tre le aree tipicamente interessate dalle frodi specifiche del settore bancario e sono: l’erogazione del credito, la raccolta di fondi e la negoziazione di titoli e valute. Ovviamente questa è solo una semplificazione vista la notevole gamma di attività e servizi forniti dalle aziende di credito alla loro clientela.

venerdì 28 ottobre 2011

Fraud interviewing techniques - La "tecnica ad imbuto"

Nell’ambito delle attività di fraud auditing condotte da forensic accountant esterni all’azienda finalizzate a dimostrare un caso di white collar crime, sono frequenti i momenti di confronto con il top management, più o meno coinvolto nel fatto fraudolento.
Generalmente tali incontri sono pianificati in base a precise tecniche che aiutano l’investigatore ad ottenere le informazioni ricercate.
Esiste a tal proposito una disciplina teorico/pratica molto interessante che mira ad insegnare "le tecniche d’interrogatorio".
Una parte di questi insegnamenti, ad esempio, è dedicata al modo di porre la domanda.
Esistono numerose tipologie di domanda, ad esempio quella aperta o chiusa, di alternativa o provocatoria, comparativa o situazionale, a scelta multipla o riepilogativa, eccetera. 
L'intervista può articolarsi attraverso un mix di domande appartenenti a più tipologie tra quelle appena elencate, in base alla cd. "tecnica ad imbuto”.
La risposta ad una domanda aperta infatti può fornire informazioni utili ma rischia di assumere un grado di approfondimento superficiale o impreciso ed allora le eventuali lacune nella descrizione di un determinato fatto  possono essere colmate attraverso successive domande, con l’obiettivo di esaminare nel dettaglio uno specifico particolare.
Le tecniche di intervista “ad imbuto” sono molto usate nel contesto giudiziario in quanto forniscono un valido strumento per acquisire in modo graduale ma incalzante le informazioni di maggior utilità, scartando cioè argomenti marginali per concentrarsi sugli aspetti importanti.
 Generalmente tale approccio prevede:
  • una domanda aperta;
  • una serie di domande specifiche su particolari argomenti di interesse;
  • l’eventuale riformulazione di domande con riferimento alle risposte ritenute evasive, incoerenti, contradditorie e superficiali (ad esempio utilizzando le cd. “domande riepilogative”);
  • una serie di domande chiuse sugli elementi acquisiti, con il fine di consolidare il risultato.
L'utilizzo delle varie tipologie di domande deve continuare fino a quando si sono ottenute tutte le informazioni che l’interlocutore può fornire.
Un breve esempio di tecnica "ad imbuto" può essere la seguente:
Fraud Auditor: “Mi racconti meglio come sono effettuate le riconciliazioni bancarie”;
F.A.: “Con quale frequenza sono avvenute?”
F.A.: “Nell’ultimo mese, chi ha svolto tale attività?
F.A.: “Quali problematiche sono emerse?
F.A.: “Come avete risolto il problema?
F.A.: “Quindi lei intende dire che il problema permane, corretto?
F.A.: “Lei ha comunicato il problema? A Chi? Sarebbe in grado di dimostrare che la comunicazione è avvenuta?"

mercoledì 26 ottobre 2011

Alphonse Gabriel Capone e il nuovo redditometro

Questa mattina le varie top news dei siti d'informazione online hanno illustrato alcuni meccanismi di funzionamento del “nuovo redditometro” progettato dall'Agenzia delle Entrate per stanare gli evasori fiscali.

L'Agenzia delle entrate ha presentato oggi a Roma il nuovo redditometro. Dalla barca al cavallo, dal pezzo di antiquariato all'iscrizione al circolo sportivo, passando per asili, spese per colf, o pay tv, sono circa cento le voci del nuovo strumento ritenuto fondamentale nella lotta all'evasione fiscale. "Con una procedura semplicissima - ha spiegato il direttore dell'Agenzia delle Entrate, Attilio Befera - i contribuenti potranno verificare la coerenza tra il livello di spesa il reddito dichiarato" (26.10.2011 - La Repubblica)

«Il nuovo redditometro non sarà utilizzato per accertamenti di massa. Sarà uno strumento di compliance». Dovrà supportare l'attività di accertamento del fisco sulle persone fisiche cercando di orientare i contribuenti a dichiarare al fisco un reddito "coerente" rispetto alla loro reale capacità di spesa” (26.10.2011 - Il Sole 24 Ore)

Dalle spese per gli asili nido, le scuole e i corsi di lingua straniera a quelle per le colf e gli elettrodomestici, dall'iscrizione al circolo sportivo e dai centri di benessere ai viaggi organizzati, dall'abbonamento telefonico all'Ipad: sono oltre 100 le voci di spesa che finiranno nel mirino del fisco con l'arrivo del nuovo redditometro” (26.10.2011 - AGI – Agenzia Giornalistica Italiana)

La nota contenuta sul sito di Borsa Italiana ci consente inoltre di avere un ulteriore elenco dei dati considerati dal fisco:

L'Agenzia riversa tutte le informazioni che dispone su un contribuente, a partire da quelle dell'anagrafe tributaria che tra poco saranno arricchite anche dai dati dello spesometro e quelle relative ai c/c per i quali, grazie all'ultimo decreto salva-spread, e' caduto il segreto bancario. E poi i dati Inps sulle pensioni e la previdenza integrativa, quelli del Pra sulle auto possedute e persino quelli che saranno acquisiti dalla Guardia di finanza attraverso apposite campagne sul territorio. Le voci prese in considerazione dal redditometro saranno oltre 100, compresi gli investimenti in titoli, oro, derivati, buoni postali, le spese in asili nido, hotel, viaggi, centri benessere, pay tv e chi piu' ne ha piu' ne metta. Il software, in base a tutte le informazioni, dira' quanto il contribuente dovrebbe dichiarare al Fisco” (26.10.2011 - Borsa Italiana)

L’idea è buona e la logica è chiara: se un individuo può permettersi spese incoerenti con i propri guadagni deve dimostrare quali siano le sue fonti di reddito, evidentemente alternativo a quello ufficiale.
A livello teorico il metodo scelto dal fisco italiano non sembra essere debole, in quanto ricava le sue informazioni nell'oceano di database, server o dossier contenenti migliaia di dati di carattere economico/finanziario che ci riguardano.

Questa strategia ha un suo fondamento storico.
Si pensi al film al film The Untouchables di Brian De Palma, e al loro eroico sforzo per portare alla sbarra per frode fiscale Alphonse Gabriel Capone, detto "Al Capone".

Non riuscendo ad incastrare il principale boss mafioso di Chicago, l’Internal Revenue Service, poi divenuto Bureau of Internal Revenue Service, istituì un pool di agenti federali coordinati dal mitico Eliot Ness.
Si trattava di un gruppo di super esperti forensic accountanttax fraud examiners e investigatori sul campo specializzati nelle intercettazioni telefoniche e nei pedinamenti, incorruttibili e coraggiosi 

Eliot Ness

Lavorando alacremente e rischiando più volte la vita, Eliot Ness e il suo fedelissimo team, ottennero diverse testimonianze ed evidenze documentali comprovanti che Al Capone aveva speso circa 300.000 dollari dell’epoca, in automobili, abiti costosi ed altri beni di lusso, pur non avendo alcun bene a sé intestato.

Gli “intoccabili” analizzarono centinaia di transazioni bancarie e ogni più piccolo indizio che collegasse Al Capone alla sua rete di attività lecite verso le quali, attraverso prestanome, aveva riciclato i milioni di dollari ricavati tramite le scommesse clandestine, il commercio illegale di alcolici e il contrabbando di armi.

Questi primi forensic accountant ce la fecero e Al Capone fu rinviato a giudizio per frode fiscale e condannato a 11 anni di reclusione (trascorsi prima nel carcere di Atlanta e poi ad Alcatraz) e ad una ammenda di 80.000 dollari. 

Alphonse Gabriel Capone

Fu il trionfo delle indagini di natura economico-finanziaria.
Furono dunque i forensic accountant a porre fine alle scorribande di uno dei più pericolosi criminali di tutti i tempi!


martedì 25 ottobre 2011

Manager anti frode, sale la domanda


Contro il boom di falsi e le truffe le aziende cercano nuove competenze

Un po' è per colpa del web, che alimenta gli hacker alla caccia dei segreti aziendali. In più ci sono i social network, i blog e i forum d' ogni tipo, che inducono a parlare (troppo) dell' impresa in cui si lavora e di ciò che produce. Ma soprattutto il problema viene da chi fa della copiatura dei prodotti altrui la sua ragione di business. Un mix che causa una crescita esponenziale di due reati che stanno colpendo pesantemente le aziende: la contraffazione e la pirateria commerciale. E la dimensione del boom è evidenziata da un delta di tre cifre: +164%. Tanto infatti è l' incremento delle condanne per quei reati tra il 2000 e il 2008, il dato più recente misurato dal «Laboratorio frodi», una nuova collaborazione tra Sda Bocconi e PricewaterhouseCoopers.
L' indagine fa suonare un fragoroso allarme per le aziende svelando che la crescita del pericolo non riguarda solo le contraffazioni, ma si allarga a tutti i crimini economico-finanziari, con un numero di condanne lievitato del 36%. In particolare i reati fallimentari rappresentano il 40% delle condanne, seguiti dall' appropriazione indebita con il 21%. Le frodi contabili ed extracontabili, invece, pesano per il 4% e i fenomeni corruttivi per il 7%.

domenica 23 ottobre 2011

Chasing dirty money

L’introduzione di limiti alla circolazione del contante, l’obbligo di utilizzare la rete bancaria per effettuare determinate transazioni economiche e una maggiore vigilanza sugli istituti di credito, hanno certamente reso la vita un po’ più difficile ai riciclatori di denaro di provenienza illecita.
Dagli studi descritti in dottrina sappiamo che un processo di riciclaggio si compone essenzialmente di tre fasi: “placement”, “layering” e “integration”.
I casi di scuola, come pure le numerose esperienze maturate sul campo, ci insegnano che un sicario, per fare un esempio qualsiasi, ben difficilmente è remunerato, a fronte della “prestazione” fornita, attraverso un bonifico bancario.
Al contrario è più ragionevole pensare che la maggior parte delle transazioni illecite avvengano grazie al passaggio fisico di cartamoneta, contenuta, ad esempio, in anonime valigette transitanti di mano in mano. Affidarsi allo strumento di pagamento più tradizionale, il biglietto cartaceo appunto, assicura infatti l’anonimato, l’intracciabilità del flusso finanziario, la possibilità di frammentare la somma in importi più ridotti al fine di trasportarla comodamente e dislocarla in luoghi diversi. Questa è la fase di “placement”.
Una volta che il fondo illecito è collocato in un luogo sicuro, il problema da affrontare riguarda principalmente il suo impiego in attività lecite. E allora ci s’ingegna ad escogitare un sistema efficiente che faccia arrivare il denaro da un punto A ad un punto B, aggirando le normative antiriciclaggio e senza che A e B siano in nessun modo collegabili. Questa è la fase di “layering”. E sono vari i metodi grazie ai quali si attua l’attività di “layering dirty money”!!
Alcune tecniche di riciclaggio sfruttano le carenze di controllo esistenti presso le filiali bancarie “periferiche”, ubicate ad esempio nei Paesi ad elevato grado di corruzione, al fine d’introdurre la provvista illecita nel sistema; dopodiché le somme sono movimentate attraverso la rete bancaria.
Altri utilizzano complicate operazioni che implicano la sottoscrizione di prodotti finanziari creati ad hoc o di particolari polizze assicurative idonee a garantire l’anonimato sulla titolarità dei fondi.  Nei casi più sofisticati sono utilizzate strutture societarie operanti presso i centri finanziari cd. off-shore. Tornerò in futuro su questo argomento.
L’obiettivo è quello di frammentare la provvista iniziale in più rivoli, stratificarla, movimentarla, aggregarla e disaggregarla più volte e in tempi rapidissimi, facendola transitare in più conti correnti accesi presso banche diverse e continuando a trasformarla in valute differenti, mischiandola e camuffandola con fondi di provenienza lecita. Moving money, insomma!!
Una vera e propria “centrifuga monetaria” che implica anche l’utilizzo di pratiche interruttive del tracciamento del flusso bancario, ne è esempio classico il prelievo di contante presso una determinata banca e il contestuale deposito della medesima somma presso un altro istituto di credito.
Ma come in seguito ad ogni buon lavaggio i panni tornano puliti, così anche il denaro sporco dopo un vigoroso processo di riciclaggio torna a profumare...


Una volta ripulito, il denaro è depositato su conti correnti accesi anche presso le più autorevoli e blasonate istituzioni bancarie occidentali, pronto per essere reimpiegato nelle più disparate attività lecite. Questa è la fase di “integration”.


Ma quali possono essere le attività di contrasto al fenomeno di “cleaning money”?
Le risposte, sicuramente non esaustive (questo è solo un blog!), nei prossimi post…

venerdì 21 ottobre 2011

Il fraud risk assessment non e' per i manager

Ripropongo l'articolo scritto di Nicola Pecchiari pubblicato sulla rivista "Via Sarfatti 25 - Il quotidiano della Bocconi" il 19 luglio 2011.
Mi trovo completamente d'accordo con le osservazioni formulate dal professore in quanto rispecchiano le esperienze maturate sul campo durante gli incarichi di fraud auditing. Ma quale credibilità possono avere mappature dei rischi di frode realizzate dallo stesso management, quando questo, come dimostrano le indagini empiriche, è spesso coinvolto in prima persona nella commissione delle frodi?



Following the money

Quando ho iniziato a svolgere il lavoro del fraud auditor, una delle regole auree che mi venivano suggerite era: "segui la traccia del denaro e scoprirai chi ha commesso la frode!!".
Infatti i primi incarichi che mi sono stati affidati avevano lo scopo di ricostruire i vari trasferimenti di denaro da un conto corrente ad un altro. 
L'obiettivo era quello di tracciare una catena formata da vari anelli, i c/c appunto, che univano un soggetto "A" ad un soggetto "B" tramite un flusso finanziario che transitava attraverso la rete bancaria.
Altri tempi.... oserei dire!


E' passato più di un decennio e quella modalità di indagine purtroppo non sembra più essere idonea a definire i legami tra i vari soggetti coinvolti in una frode.
Oggigiorno infatti è meno probabile riscontrare un legame economico diretto tra chi corrompe e chi è corrotto. 
Il corruttore "professionista" sa che disporre un bonifico a favore del corrotto sarebbe un gravissimo errore.
Nel corso di un'indagine dunque, la transumanza di denari tra conti correnti non è più il solo fenomeno da approfondire!
La corruzione assume, nello scenario attuale, forme diverse e si concretizza attraverso modalità apparentemente lecite, non necessariamente di natura economica (si parla quindi di "indebito vantaggio di qualsiasi natura").
Basti pensare agli avanzamenti di carriera non meritati o alle nomine a ruoli in totale assenza di specifiche competenze.
In questa ottica l'espressione "follow the money" non rappresenta più la sola tecnica regina per individuare i fenomeni di corruzione...


mercoledì 19 ottobre 2011

Oggi il fraud auditor parla italiano

Negli ultimi quindici anni è andata sviluppandosi anche nel panorama italiano una figura professionale già consolidata negli altri sistemi economici occidentali e soprattutto nel mondo anglosassone, quella del fraud auditor o del forensic accountant.

In buona sostanza si tratta di un esperto chiamato a svolgere attività investigative di natura economico-finanziaria e contabile allorché si rivelino, o si paventino, casi di frode aziendale. Questa professione è stata introdotta in Italia negli anni ‘90 grazie principalmente alle accounting firm multinazionali.

In quel periodo infatti, alcune di queste furono chiamate a svolgere accurate analisi tecniche finalizzate alla ricostruzione di intricate operazioni illecite nell’ambito delle indagini promosse dalla Magistratura milanese.

Fin da subito è apparso chiaro che questa tipologia d’incarico doveva necessariamente essere affrontata da personale altamente specializzato e qualificato, mediante il ricorso ad un approccio significativamente diverso rispetto a quello utilizzato, ad esempio, dalla revisione contabile.

All’epoca l’investigazione economico-finanziaria svolta da professionisti non era certo una branca conosciuta o diffusa in Italia e in molte occasioni per portare a termine le consulenze si dovevano arruolare specialisti provenienti dall’estero.

Chi ha avuto l’opportunità di vivere quelle straordinarie esperienze può di sicuro confermare la passione e l’entusiasmo con cui si affrontavano le problematiche tecniche, le difficoltà dovute alla complessità delle strutture societarie da indagare presenti presso diverse giurisdizioni e l’apprendimento di procedure del tutto nuove nella gestione dei dati e della documentazione oggetto d’analisi.

Così negli anni presso le “big 4” sono nati i dipartimenti “risk & compliance” specializzati nell’offerta di una variegata gamma di servizi aventi carattere investigativo quali: forensic accounting, fraud auditing & investigation, dispute resolution & litigation, computer forensics, intellectual property protection, fraud risk management, corporate intelligence, contract compliance ecc..

Fin da subito i servizi offerti dai “forensic deparment” sono stati apprezzati dal settore privato e soprattutto da quegli studi legali che necessitavano di consulenze tecniche altamente qualificate a supporto delle varie azioni da questi promosse.

Grazie al continuo aumento della domanda di tali servizi specialistici, in anni recenti il mercato si è sviluppato ulteriormente con la nascita di diverse realtà consulenziali di piccole e medie dimensioni, molte delle quali esclusivamente dedicate all’esercizio dell’attività forensic. Ciò ha prodotto da una parte l’incremento dell’offerta su tutto il territorio nazionale e dall’altra la proliferazione di professionisti variamente specializzati.

Sta quindi diventando quanto mai necessario potenziare ancor di più le competenze degli operatori del settore attraverso una formazione specifica e organizzata, curata da personale competente e di sicura esperienza. In questa ottica sarebbe auspicabile la diffusione già nel contesto universitario e post-universitario di corsi in materie quali “forensic accounting” e “fraud auditing”, primariamente rivolti agli studenti di economia e giurisprudenza. Posto che le conoscenze preliminari della contabilità e del diritto sono essenziali in questa professione, la disciplina in esame dovrebbe essere presente anche nei corsi di Laurea specialistica, Master di specializzazione e, naturalmente, nella formazione post-universitaria rivolta ai professionisti iscritti agli Albi, quali commercialisti e avvocati.

Quella del fraud auditor deve peraltro essere una professione autonoma rispetto a quelle che tradizionalmente già operano in Italia, in quanto richiede l’integrazione di competenze multidisciplinari in materie giuridiche, organizzative, contabili, nonché in tema di governance, di controllo interno e di fraud risk management (realizzazione e gestione dei modelli di prevenzione del rischio di frode).

Un ruolo centrale è inoltre assunto dalla competenza in materia informatica (computer forensics), diventata ormai imprescindibile per chi esercita l’attività di fraud auditing.

Oggigiorno, infatti, i dati sensibili sono archiviati quasi esclusivamente in formato elettronico, pertanto le evidenze maggiormente indicative di un comportamento illecito sono individuabili sempre più spesso attraverso il recupero dei file cancellati, l’analisi del comportamento dell’utente in base alle tracce lasciate sulle dotazioni informatiche e l’esame dei messaggi di posta elettronica (ovviamente le acquisizioni informatiche devono avvenire secondo protocolli che ne garantiscano l’autenticità e l’inalterabilità, nel rispetto delle normative vigenti).

Inoltre, tra le principali abilità di cui il fraud auditor d’esperienza è dotato c’è certamente quella del sapersi “muovere” in contesti aziendali sempre diversi, a volte molto complessi ed articolati, applicando con padronanza le tecniche investigative più adatte all’ambiente in cui il fenomeno criminale è stato perpetrato.

Al fine di garantire una piena ricostruzione dell’evento illecito, il fraud auditor è tuttavia consapevole che la sola tecnica non basta; a questa si deve associare un approccio volto allo spirito critico, il cosiddetto scetticismo professionale, con riguardo ad ogni elemento acquisito nel corso delle indagini.

La frode è spesso il frutto di una fervida fantasia criminale mirata a sfruttare le debolezze dei sistemi di controllo mediante l’adozione di schemi originali, i quali, proprio perché accuratamente progettati e realizzati, non sono “intercettati” dai modelli di fraud prevention meno evoluti.

Per tale motivo il fraud auditor non può svolgere un incarico professionale attraverso procedure rigide e standardizzate, ma al contrario deve essere in grado di “calarsi” nella realtà in cui opera e agire dosando in modo virtuoso la tecnica e le capacità maturate con l’esperienza. Questo tipo d’approccio manifesta in modo evidente il suo potenziale quando è applicato nella ricostruzione di fattispecie illecite particolarmente complesse, ad esempio, a beneficio delle difese legali (indagini difensive) con la finalità di attestare le operazioni effettuate ed altri fatti rilevanti.

Analogamente si assiste al continuo incremento della domanda di “forensic due diligence”, quando è necessario individuare potenziali perdite latenti dovute a frodi in capo alle società oggetto di acquisizione.

Inoltre le tecniche di fraud auditing e di corporate intelligence si sono rivelate essenziali nei procedimenti arbitrali e nei contenziosi tra aziende al fine di dimostrare i comportamenti fraudolenti della controparte, come pure nella tutela dei marchi attraverso le cosiddette “royalty audit”, mirate ad accertare il corretto pagamento delle royalty da parte dei licenziatari.

Infine non sono da trascurare i notevoli contributi che il fraud auditor può fornire ai dipartimenti di internal audit, ad esempio nel condurre una mappatura più rigorosa dei rischi di frode e nel progettare modelli di prevenzione dei comportamenti fraudolenti sempre più efficaci. Tanto che, dopo aver utilizzato in outsourcing servizi di fraud auditing, alcune imprese hanno deciso di istituire al proprio interno uffici specializzati in questo tipo di attività.

s.m.