di Alberto Gabriele Piva
Segregation of Duties o Separation of Duties (lett. segregazione o separazione dei compiti) è una modalità di organizzazione delle attività svolte in qualsiasi struttura sociale ed è stata considerata dal pensiero illuminista come uno degli elementi costitutivi della moderna concezione di Stato (si veda il concetto di separazione o tripartizione dei poteri in Montesquieu, “Lo spirito delle leggi”, 1748).
Nell'ambito dei sistemi di controllo interno la Segregation of Duties (SoD) è uno strumento efficacie per contrastare le frodi ed è spesso invocata come rimedio per ridurne il rischio.
Per effettuare un’efficacie SoD è necessario identificare i cicli operativi a rischio di frode ed individuare all'interno di questi le attività a maggiormente esposte a questo rischio.
Individuate le attività “a rischio frode”, si procede all'implementazione della SoD. Secondo la prassi internazionale (cfr fra i tanti ACFE, “Fraud-Related Internal Controls”, 2013), la segregazione dei compiti è efficacie se e solo se le attività di:
- Autorizzazione ad eseguire operazioni;
- Registrazione dei dati (relativi alle operazioni medesime);
- Gestione e movimentazione (fisica o virtuale) dei beni oggetto delle operazioni;
Se una persona o un’entità svolge allo stesso tempo almeno due di queste attività, si creano occasioni per commettere frodi. Infatti:
- se una persona o un’entità dispone dei poteri per autorizzare operazioni ed allo stesso tempo ne cura la registrazione, essa può scegliere alternativamente di omettere la registrazione delle operazioni oppure di falsificarne i dati presenti nel sistema informativo (es. tramite l’alterazione delle scritture contabili o di altri dati tecnico-economici presenti nel sistema informativo dell’organizzazione).
- se una persona o un’entità dispone dei poteri per autorizzare transazioni ed allo stesso tempo è responsabile della gestione e movimentazione dei beni oggetto delle stesse operazioni, essa può distrarre risorse dall'organizzazione attraverso la realizzazione di transazioni formalmente rispettose delle procedure ma fraudolente nella loro sostanza (es. transazioni effettuate in conflitto d’interessi e/o a condizioni non di mercato, interposizione fittizia di entità correlate).
- se una persona o un’entità è incaricata di gestire i beni di un’organizzazione ed allo stesso tempo cura la registrazione dei dati relativi alle transazioni collegate a quegli stessi beni, essa può appropriarsi indebitamente dei beni “intercettandoli” prima che la loro acquisizione sia rilevata nei sistemi informativi dall'organizzazione oppure essa può fare un uso indebito o addirittura illegale dei beni dell’organizzazione ad insaputa di quest’ultima (es. appropriazione di incassi da clienti con rilevazione nel sistema informativo dell’organizzazione di “perdite per inesigibilità” per un ammontare pari a quello degli incassi distratti, furto di beni aziendali, peculato d’uso).
- i dati elaborati dall'organizzazione;
- i dati e le informazioni forniti da terze parti (meglio se indipendenti);
- la verifica dell’effettiva situazione di fatto e di diritto dei beni dell’organizzazione.
In questi casi, la possibilità di prevenire ed individuare frodi è di gran lunga inferiore. Infatti, chi svolge o sovraintende allo svolgimento di tutte le attività (i.e. gestione dei beni, autorizzazione ed registrazione delle operazioni) non solo ha la possibilità di commettere frodi ma anche di eliminarne le tracce delle transazioni fraudolente cancellando molte delle incongruenze rilevabili.
In questo ambito rientrano non solo le frodi compiute da persone o entità alle dipendenze di un’organizzazione ma quelle compiute da chi dirige ed amministra l’intera organizzazione ovverosia i suoi vertici. Chi sovraintende l’intera operatività di un’organizzazione ha in sé non solo il potere di autorizzare l’esecuzione di operazioni ma anche quello di gestire i beni collegati a tutte le transazioni ed di elaborarne le relative informazioni.
La SoD è quindi un strumento molto efficacie per ridurre il rischio di frode tuttavia, come ogni attività di controllo e prevenzione, essa comporta per l’organizzazione il sostenimento di costi e può provocare una perdita di efficienza complessiva (es. riduzione della velocità nell'esecuzione dei compiti).
La SoD è in ogni caso poco efficacie nei casi di frodi commesse dai vertici di un’organizzazione.
Un sistema anti-frode ed in generale un sistema di controllo interno efficiente è frutto di una valutazione dei benefici e dei costi generati dall'implementazione del controllo e dall'importanza che le attività oggetto di segregazione hanno all'interno dell’organizzazione. L’efficacia dei controlli anti-frode ed in generale dell’intero sistema dipende invece dalla condotta delle persone che appartengono ad un’organizzazione ed in particolare dei suoi vertici.
Un sistema anti-frode ed in generale un sistema di controllo interno efficiente è frutto di una valutazione dei benefici e dei costi generati dall'implementazione del controllo e dall'importanza che le attività oggetto di segregazione hanno all'interno dell’organizzazione. L’efficacia dei controlli anti-frode ed in generale dell’intero sistema dipende invece dalla condotta delle persone che appartengono ad un’organizzazione ed in particolare dei suoi vertici.
Alberto Gabriele Piva
Dottore commercialista e Revisore legale dei conti