Le aziende private italiane sono sottoposte ad ogni forma di vigilanza e controllo.
Di matrice interna (internal audit, servizi ispettorato, funzioni di governance, compliance e antiriciclaggio) ed esterna (revisori dei conti, authority, sindaci). Si tratta di controlli di carattere "ordinario" o "routinario" (perché previsti dall'ordinamento giuridico, dallo statuto societario o dalle procedure aziendali) o "straordinario" (perché originati da fatti particolari). Gli accertamenti sono condotti grazie a strutture organizzate in modo differente e quindi si possono osservare all'opera organismi, collegi, comitati, ispettorati, consigli, dipartimenti e commissioni.
Anche gli ambiti, le competenze e le modalità d'azione seguono protocolli a volte molto differenti tra loro, altre volte coincidenti e sovrapponibili.
Come è evidente la materia è complessa. Persino confusa.
Iniziamo dall'ABC. Il "programma antifrode" che cos'è?
Semplificando, è l'insieme delle attività mirate a ridurre il
rischio di frode. Sia esso connesso alle operazioni svolte dall'alta direzione come a quelle di competenza della restante struttura organizzativa. Di fonte interna (come le
management frauds) o esterna (come gli attacchi informatici o le truffe).
Il gestore di tali programmi è il "fraud manager".
Figura assai rara da incrociare nei corridoi aziendali. Almeno in Italia. Alla quale è indispensabile garantire una piena autonomia ed indipendenza.
Egli è innanzitutto responsabile della predisposizione di un efficace programma antifrode, visto come sistema integrato e armonizzato con ogni altro elemento del sistema di controllo interno; idoneo a presidiare nel tempo il rischio del verificarsi di un’attività fraudolenta interna o esterna.
Per arrivare a tale obiettivo è necessario condurre un corretto esame dell’ambiente di controllo di alto livello (il “tone at the top”) al fine di valutare il grado qualitativo della cosiddetta “cultura aziendale”, cioè dell’esistenza e della condivisione di quei canoni morali di correttezza, onestà e integrità, utili ad immunizzare il contesto aziendale dalle infiltrazioni fraudolente.
Si esamina dunque il clima aziendale e in particolare l’ambiente di lavoro, il Codice Etico se esistente, la struttura e l’organizzazione della funzione di corporate governance e compliance, ed in generale si valuta la quota di reddito che l’azienda destina alle attività di miglioramento del benessere dei propri dipendenti e allo sviluppo della realtà sociale e ambientale nella quale essa opera.
Vero anche che il momento di crisi non facilita lo stanziamento di questo tipo di investimenti, troppo spesso considerati come marginali se non addirittura inutili.
Il fraud manager è consapevole che ogni struttura di controllo e vigilanza è aggirabile, soprattutto dagli esponenti di più alto rango aziendale (“management override”).
Ma come valutare il grado di vulnerabilità dei sistemi antifrode? Tale attività si concretizza grazie allo svolgimento di specifici test mirati a verificare se i processi di rilevazione e di controllo in essere riescano effettivamente a mitigare o vanificare i comportamenti illeciti ipotizzati come possibili (fraud test).
In altre parole, applicando un determinato schema di frode, i
fraud test devono appurare se i sistemi di controllo in essere diano o meno un avviso immediato e sufficientemente chiaro (
alert) agli
internal fraud auditor, i quali provvederanno ad assumere tutte le iniziative e i provvedimenti del caso.
Se un sistema di
fraud risk prevention è adeguatamente implementato sarà in grado di individuare, come minimo, tutti gli schemi di frode realizzati nel passato all'interno dell’azienda.
Ulteriore attenzione si deve prestare ai canali informativi di tipo delatorio, quali ad esempio il
whistleblowing (procedura di segnalazione anonima da parte dei dipendenti di fatti potenzialmente illeciti o irregolari), di tipo preventivo (tramite l'utilizzo di sistemi di
alert), di tipo investigativo o ispettivo (attività di
fraud auditing) o derivanti dal monitoraggio sulla corretta applicazione delle procedure aziendali.
Infine è fondamentale l’attività di costante potenziamento dei programmi antifrode.
Gli schemi e i meccanismi fraudolenti infatti migliorano continuamente per complessità e raffinatezza, pertanto, al fine di contenere il rischio di frode, è indispensabile effettuare un aggiornamento continuo dei protocolli e dei modelli di prevenzione.
-----------------------------------------
Sistemi antifrode: i pilastri fondamentali (approfondimento).
-----------------------------------------