il fatto
In un’importante società chimica il responsabile amministrazione e contabilità ha
sottratto 3 milioni di euro in pochi anni.
Lo ha potuto fare grazie all’accesso non autorizzato ai servizi bancari online che gli hanno permesso di effettuare dapprima alcuni pagamenti di importo ridotto, pari a 20.000 euro, poi aumentati gradualmente sino a raggiungere 80.000 euro al mese.
La frode è stata nascosta falsificando le riconciliazioni bancarie verificate da lui stesso e nascondendo gli importi nelle voci contabili scarsamente controllate dai revisori dei conti.
Alla fine la frode è stata scoperta per un controllo casuale degli estratti conto bancari scaricati online.
Ebbene, sembrerebbe che questo racconto sia da classificare come "fantasioso", al di fuori della realtà, ma non è così. Vediamo il perché.
Ricorrendo ai pilastri della triangle theory si potrebbe sostenere che chi ha effettuato l'atto fraudolento:
a) abbia avuto pressioni famigliari – il responsabile della contabilità era pressato da ingenti debiti legati alla separazione dalla moglie e da scelte d'investimento sbagliate;
b) si sia lasciato trascinare in un'escalation senza logica – la frode è incominciata sottraendo 20.000 euro al mese fino ad arrivare a 80.000 euro al mese;
c) lo stesso contesto sociale ha facilitato l'escalation – è scrollato il mercato delle materie prime nel quale il responsabile amministrativo-contabile aveva investito buona parte del suo patrimonio.
Ma come fare a prevenire questo tipo di frodi?
Innanzitutto, limitando i punti deboli nel sistema del controllo interno.
b) si sia lasciato trascinare in un'escalation senza logica – la frode è incominciata sottraendo 20.000 euro al mese fino ad arrivare a 80.000 euro al mese;
c) lo stesso contesto sociale ha facilitato l'escalation – è scrollato il mercato delle materie prime nel quale il responsabile amministrativo-contabile aveva investito buona parte del suo patrimonio.
Ma come fare a prevenire questo tipo di frodi?
Innanzitutto, limitando i punti deboli nel sistema del controllo interno.
Infatti, nonostante esistessero policy di autorizzazione e riconciliazione bancaria, queste erano del tutto inapplicate.
I codici di autenticazione elettronica utilizzati per effettuare i pagamenti online venivano conservati in un cassetto della scrivania, liberamente accessibile. Addirittura una delle password di accesso era riportata in un file word salvato nella rete aziendale.
I codici di autenticazione elettronica utilizzati per effettuare i pagamenti online venivano conservati in un cassetto della scrivania, liberamente accessibile. Addirittura una delle password di accesso era riportata in un file word salvato nella rete aziendale.
Inizialmente i pagamenti irregolari erano di importo molto basso, solo per verificare che nessuno si occupasse dei controlli e intercettasse tali flussi irregolari.
Il responsabile della contabilità, inoltre, ha incaricato se stesso di effettuare le riconciliazioni bancarie ritenendo questa procedura inutile e antieconomica per l'azienda.
Peraltro le riconciliazioni venivano effettuate in maniera superficiale e non formalizzata.
In secondo luogo non esistevano procedure automatiche finalizzate ad individuare indicatori di anomalia. I controlli budgetari erano scarsi e i forecast non erano monitorati attentamente da parte di una struttura a ciò preposta.
In secondo luogo non esistevano procedure automatiche finalizzate ad individuare indicatori di anomalia. I controlli budgetari erano scarsi e i forecast non erano monitorati attentamente da parte di una struttura a ciò preposta.
In terzo luogo non esisteva un piano di risposta alla frode ed erano assenti i canali per la denuncia anonima delle frodi da parte del personale (il cd. "whistleblowing").
Ma il fattore che ha favorito la frode, si deve certamente ricercare nella qualità dell'ambiente aziendale.
Infatti il livello di attenzione sulle tematiche anti-frode era, in generale, molto basso.
Non venivano organizzati corsi di formazione che sottolineassero l’importanza dei controlli e della vigilanze sui più importanti processi aziendali.
La struttura aziendale non era stata adeguatamente responsabilizzata sui rischi di frode interna e si tolleravano atteggiamenti scorretti da parte dei lavoratori.
Ma come potuta essere individuatala frode?
La frode poteva essere intercettata già a partire dal primo mese utilizzando strumenti e metodologie diverse. In ordine sparso:
- grazie alle verifiche sulla corretta tenuta delle credenziali di accesso ai conti correnti online e sullo loro modalità di utilizzo;
- attraverso una seconda verifica a campione delle riconciliazioni bancarie, da parte di un'altra area aziendale (ad esempio dall'ufficio tesoreria);
- grazie all'introduzione di un semplice programma routinario che avrebbe confrontato i pagamenti con tutta un'altra serie di dati (n. fattura, consegna della prestazione o del bene fornito, identità del fornitore, motivazione/autorizzazione del pagamento eccetera) al fine di fare emergere le incongruenze da investigare;
- grazie alla suddivisione su due o più strutture dei controlli sui bonifici effettuati;
- eccetera...