AdSense4

Bing

AdSense3

martedì 27 marzo 2012

Riciclaggio: la tecnica della frammentazione

Il denaro di provenienza illecita è riciclato attraverso varie modalità più o meno avanzate e più o meno conosciute, ma tutte finalizzate ad interrompere la tracciabilità tra l'origine e la destinazione dei fondi.
Una delle modalità di riciclaggio più frequenti da osservare utilizza la tecnica della "frammentazione".
La "frammentazione del denaro sporco", lo dice il termine, si realizza tramite la dispersione, la suddivisione, la disgregazione dell'importo originato dal fatto illecito in più canali di drenaggio che lo portano ad ambiti economico-finanziari apparentemente leciti.
L'obiettivo è sempre lo stesso. Cioè quello di rendere difficile la riconducibilità degli investimenti finali all'origine (illecita) dei fondi.


Si è potuto osservare come un'organizzazione criminale che aveva accumulato un fondo pari a 100 € (per fare un esempio) grazie ai proventi derivanti dal traffico degli stupefacenti, lo abbia frammentato investendolo nel modo seguente:
€ 10 in immobili,  
€ 15 in titoli di Stato, 
€ 10 in polizze assicurative, 
€ 5 in disponibilità liquide depositate su vari c/c bancari accesi presso alcuni istituti di credito, 
€ 10 in prodotti finanziari derivati, 
€ 5 in metalli preziosi e opere d'arte, 
€ 15 in pacchetti azionari di varie aziende,
€ 5 in attività commerciali al minuto,
€ 10 in operazioni di pronti contro termine,
€ 15 in altra attività illecita: l'usura.

A queste tecniche di frammentazione si risponde con opportune tecniche di indagine mirate a ricostruire i canali del flusso illecito...


giovedì 15 marzo 2012

Legge 12/12 in materia di crimine informatico

La Legge 12/2012, entrata in vigore pochi giorni fa, introduce la possibilità per gli Organi Giudiziari di confiscare la strumentazione informatica utilizzata dal cybercrime al fine di riutilizzarla per le indagini.
La logica della legge è piuttosto chiara: ed è quella di garantire anche agli organi inquirenti l'utilizzo di mezzi altamente sofisticati quali quelli utilizzati oggigiorno dai criminali informatici.
L'evoluzione tecnologica ha, fin'ora, avvantaggiato questa categoria di criminali, i quali, disponendo di ampie risorse economiche, riescono ad assicurare un elevato livello tecnologico ai propri apparati hardware e software.
I problemi riscontrati nelle indagini di natura informatica non sono legati solamente, per fare un esempio qualsiasi, alla velocità con cui sono effettuate le analisi dei file sequestrati, ma riguardano tematiche che spaziano dalla decriptazione delle trasmissioni dei dati, all'analisi delle tracce lasciate dalle conversazioni effettuate mediante skype, twitter o altri social network, dalla definizione dei profili degli utilizzatori dei dispositivi elettronici, all'apertura di file protetti da password o al recupero dei file cancellati.
A mio avviso, ma dovrebbe essere normale pensarlo (!), i mezzi a disposizione della Giustizia devono essere più avanzati rispetto a quelli utilizzati dal crimine.
Se tuttavia, per cause che sarebbe decisamente complesso qui sintetizzare, gli organi inquirenti non riuscissero ad aggiornarsi con la necessaria celerità... bé allora, la via migliore potrebbe essere proprio quella indicata dalla Legge 12/12.
Nei prossimi anni sarà possibile giudicarne la validità.

Per il momento segnalo il commento sulla Legge in oggetto pubblicato sull'edizione on-line de Il Sole 24 Ore (Diritto24) dall'Ing. Maurizio Bedarida (consulente informatico).
Commento che si può leggere al seguente indirizzo:
http://www.diritto24.ilsole24ore.com/avvocatoAffari/professioneLegale/2012/03/legge-n122012-e-contrasto-ai-fenomeni-di-criminalita-informatica.html

lunedì 12 marzo 2012

4.000 accessi

Siamo alla vigilia dei 4.000 accessi (in questo momento siamo a 3.992).
Tutto ciò che sta accadendo è decisamente superiore ad ogni mia attesa.
E pensare che l'idea di creare un blog su questo argomento è dovuta solamente al riconoscimento che devo al mio maestro.
Purtroppo Christian è mancato improvvisamente nell'estate 2011.

giovedì 1 marzo 2012

Il manager con la piuma di fagiano (vite da forensic accountant)

A volte un comportamento insolito o stravagante, per non dire violento, può essere sintomo di una frode in atto.

Intendiamoci però, al giorno d'oggi in ufficio se ne vedono davvero di tutti i colori e la famosissima sitcom Camera Caffè è riuscita a rappresentarlo molto bene!
Pertanto le regole puramente empiriche potrebbero non essere molto significative.

A tal proposito ho ancora molto vivo il ricordo di un'attività di fraud auditing che svolsi agli albori della mia carriera.
Si trattava di una filiale italiana appartenente ad un gruppo tedesco operante nel mercato dell'elettronica di consumo.
Ebbene questa piccola realtà italiana, costituita da poco più di 30 dipendenti, era totalmente in balia di un amministratore iracondo, eccentrico e... ladro.

La situazione di particolare gravità venne a galla grazie al numero verde anti-frode istituito dalla casa madre, ma mai reclamizzato nella filiale italiana (sic!), al quale giunse una segnalazione anonima.
La fonte descrisse di come nel corso di una riunione, alla domanda su che sorte avessero avuto le forniture di vini pregiati destinati ad omaggiare la migliore clientela, l'amministratore, in uno dei suoi frequentissimi scatti d'ira, avesse scagliato verso il suo interlocutore un mug, con tutto il suo contenuto (caffè e latte, per la precisione).

Successivamente la casa madre ricevette ulteriori segnalazioni; delle vere e proprie richieste d'aiuto, nonché prove documentali a dimostrazione di varie ruberie, truffe e alterazioni contabili.
Pertanto si decise di intervenire inviando un ispettore.
Ebbene, il povero ispettore il giorno dopo il suo arrivo presso gli uffici italiani si vide "accompagnare" alla porta dal corpulento amministratore (un omone baffuto di 140 kg per 2 metri di altezza).

Il fatto provocò l'intervento diretto del potentissimo Socio Fondatore e Presidente Operativo Globale della multinazionale, non foss'altro perché il giovane ispettore preso a calci, era... suo nipote!

Sì organizzò dunque un blitz.
Il "commando", alle dirette dipendenze del Presidente Globale appositamente arrivato da Berlino, era composto da un avvocato giuslavorista, da due fraud auditor (il sottoscritto e un collega), dall'ispettore malmenato e da... una guardia del corpo!

Ebbene sì! Il truce amministratore si vantava si possedere una collezione di armi da caccia, frustini e altri mezzi di offesa di foggia medioevale, tutti esposti in bella mostra nel proprio ufficio.

Alle ore 10.30 di un nebbioso martedì di dicembre, si presentò presso la portineria dell'azienda il Presidente Globale chiedendo di incontrare l'amministratore, il quale, mostrando sorpresa per la visita inaspettata, lo fece subito accompagnare in sala riunioni.
Dopodiché chiese alla segretaria di portare... il mug con caffè e latte.

Alle ore 10.45 fece irruzione il resto del "commando"!
Ognuno di noi aveva un ruolo.
L'avvocato, insieme al Presidente Globale, provvide all'immediata sospensione dell'amministratore dalle attività lavorative, noi fraud auditor iniziammo a fotografare e a catalogare tutta la documentazione e gli oggetti contenuti negli uffici, a sigillare gli armadi e i cassetti, a conservare il contenuto dei cestini dei rifiuti e a verbalizzare le prime testimonianze dei dipendenti sui fatti accaduti, la guardia del corpo si occupò invece di mettere in sicurezza le varie armi disseminate nei locali societari, l'ispettore, ancora piuttosto impaurito, fu mandato dallo zio ad ispezione l'automobile di rappresentanza data in uso all'amministratore e parcheggiata nel piazzale antistante l'azienda.

Alle 13.30 l'amministratore lasciò i locali aziendali e con un taxi si diresse verso casa. Aveva con sé due grossi scatoloni contenenti gli oggetti di sua proprietà. Oggetti, beninteso, fotografati, catalogati e fatti dichiarare formalmente "come propri" all'amministratore.

Seguì, nel pomeriggio, la riunione generale con i dipendenti.
Alcuni erano ancora molto scossi, altri increduli e altri finalmente sereni. Tutti però quel giorno ebbero la percezione che il passato... era veramente passato!

Ci accolsero come se fossimo stati l'Esercito della Salvezza.

Seguirono due settimane di intenso lavoro. Dovemmo ricostruire a tempo di record i fatti fraudolenti più eclatanti, calcolando i danni arrecati all'azienda e inventariando i molti beni aziendali sottratti illecitamente dall'amministratore, il tutto attraverso l'analisi approfondita della documentazione amministrativa, contabile e bancaria.

Il Presidente Globale decise di nominare il nipote come nuovo amministratore pro-tempore della sede italiana e di riconoscere un aumento di stipendio a tutti i dipendenti a titolo di risarcimento per ciò che avevano subìto.
Mentre per l'amministratore disonesto la sorte fu decisa in base all'esito delle attività di fraud auditing: licenziamento per giusta causa e denuncia all'Autorità giudiziaria.

Osservo, per concludere, che i primi sospetti di frode in capo all'amministratore, cominciarono ad emergere non tanto per il suo comportamento violento (materia più di competenza sindacale) o eccentrico (usava presentarsi in azienda, da buon patriota tedesco, indossando il "ledertracht", cioè l'abito tradizionale dell'Alta Baviera, con tanto di copricapo accessoriato con una lunga e vigorosa piuma di fagiano) ma perché, al suo arrivo, fece insonorizzare il proprio ufficio e periodicamente usava commissionare approfondite bonifiche elettroniche al fine di individuare eventuali apparati di spionaggio...

s.m. 
(forensic accountant)


venerdì 17 febbraio 2012

Intervista col frodatore (Parte II) - L’ascolto attivo

In base alle caratteristiche o alle finalità dell'interrogatorio, è bene assumere strategie di contatto o “ascolto attivo” allo scopo di massimizzare le informazioni acquisite.
Tali strategie variano molto in considerazione dei contesti nei quali si opera, generalmente, tuttavia, si tendono ad assumere le seguenti regole comportamentali:
  • mantenere il contatto visivo con l’interlocutore; 
  • osservare le espressioni facciali e il linguaggio del corpo; 
  • non trascurare la propria postura; 
  • dosare attentamente manifestazioni quali l'annuire o il mostrare solidarietà; 
  • adottare un tono di voce appropriato e composto; 
  • evitare i commenti su quanto si sta apprendendo; 
  • formulare domande opportune e chiare;
  • dimostrare di conoscere i fatti solo se ritenuto conveniente;
  • non polemizzare.
Se si tratta dell'interrogatorio di un testimone informato sui fatti ma non coinvolto nella frode, restio a fornire informazioni, ad esempio per eccessiva timidezza, per estrema riservatezza o per paura, lo si può facilitare attraverso appropriate tecniche di “rapport building”, quali ad esempio:
  • l’utilizzo di espressioni capaci di rompere il ghiaccio o di incoraggiare; 
  • l'ottenimento di un’atmosfera di collaborazione; 
  • la concessione di pause o di momenti di relax nel corso dell'intervista; 
  • il ricorso a frasi spiritose volte a ricercare un clima informale; 
  • l'evitare momenti di silenzio;
  • il formulare "domande aperte" solo quando il "clima" è disteso e favorevole. 

domenica 12 febbraio 2012

Sistemi antifrode: i pilastri fondamentali

(Fonte: http://www.diritto24.ilsole24ore.com/avvocatoAffari/professioneLegale/2012/02/sistemi-antifrode-i-pilastri-fondamentali.html)

------------------------------------------------------------------------------------------------------------

Sistemi antifrode: i pilastri fondamentali

I recenti casi di frode aziendale hanno portato l’attenzione del mondo economico e non solo, a focalizzarsi sui meccanismi che risultano essere maggiormente idonei a prevenire l’accadimento di determinati fenomeni criminali.
E’ stato ampiamente dimostrato infatti che proprio quelle aziende che intraprendono percorsi proattivi nell’implementazione di meccanismi volti a prevenire il verificarsi di comportamenti fraudolenti, ne registrano il minor numero di casi e che, conseguentemente, risultano maggiormente tutelate dalle eventuali conseguenze.
La sola definizione e introduzione di un sistema antifrode permette indubbiamente di mitigare il livello di rischio ma non assicura di per sé la soluzione del problema. Un serio ed organico programma di contrasto ai fenomeni illeciti, per essere davvero efficace, deve essere adottato in modo esteso dalla struttura organizzativa e deve essere costantemente aggiornato per riflettere le continue evoluzioni degli scenari interni ed esterni all’impresa.
Basti solo pensare quanto una ristrutturazione ovvero l’adempimento di una nuova norma legislativa, possano incidere sulla struttura organizzativa aziendale, comportando la necessità di aggiornare le procedure interne, tra le quali va annoverato il sistema antifrode.
L’intero management è chiamato ad essere responsabile dell’aggiornamento continuo dei processi di gestione del rischio di frode e più in particolare, gli organismi aziendali di governo, gestione e controllo, quali ad esempio il Consiglio di Amministrazione, i Comitati Esecutivi e Operativi, il Comitato di Vigilanza e Controllo, la funzione di Internal Audit e di Fraud Risk Management, la Security, eccetera.
Ma se da una parte è abbastanza chiaro chi abbia la responsabilità di gestire il più pericoloso dei rischi operativi (il rischio di frode appunto), dall’altra, nella realtà di tutti i giorni, non è semplice pensare di dirigere e coordinare risorse umane appartenenti a varie strutture e funzioni aziendali in modo tale da farle lavorare ad un progetto comune finalizzato alla definizione di un sistema organico e realmente efficace nel contrastare le frodi aziendali.
Per evitare le situazioni testé descritte, invero piuttosto frequenti da osservare, si è assistito all’istituzione di team di lavoro multidisciplinari creati “ad hoc”, immaginati e strutturati come unità autonome interamente preposte alla gestione dei programmi antifrode.
Ma quali sono i pilastri sui quali dovrebbe poggiare un buon sistema antifrode per risultare idoneo a prevenire il verificarsi di comportamenti fraudolenti?
Ad approcciare il problema e a cercare di fornire una risposta convincente sono state in prima istanza le istituzioni internazionali, fra le quali, per citarne solo alcune, l’American Institute of Certified Public Accountants, l’Association of Certified Fraud Examiners,l’Institute of Internal Auditors e l’Information Systems Audit and Control Association.
Secondo queste organizzazioni un sistema antifrode dovrebbe articolarsi sui seguenti pilastri:
  1. la creazione e il mantenimento di una cultura aziendale basata sull’etica e l’onestà;
  2. l’aggiornamento continuo dei sistemi e delle procedure di mitigazione del rischio di frode;
  3. il potenziamento e lo sviluppo delle strutture preposte alle attività di vigilanza e controllo.
Le ricerche confermano dunque come la prima priorità sia quella di migliorare l’ambiente di lavoro, cioè la cultura aziendale. Per semplicità si potrebbe affermare che la cultura aziendale è “il clima che si respira” in un ambiente di lavoro, il quale può essere orientato all’onestà e alla lealtà oppure essere malsano e quindi predisposto a tollerare ingiustizie di vario genere o violazioni di ridotta o elevata importanza.
Una cultura aziendale incentrata sull’etica e sul “fare la cosa giusta” è infatti il miglior antidoto per inibire o interrompere sul nascere comportamenti non corretti, disonesti o iniqui. Se da un lato tutta la struttura deve essere permeata da buoni principi, dall’altro è l’intero management chiamato per primo a dare il buon esempio, stabilendo la matrice dei valori ai quali tendere, ma soprattutto a comportarsi di conseguenza.
Tra i mezzi a disposizione per raggiungere lo scopo possono annoverarsi il Codice di Comportamento o il Codice Etico, da diffondere tramite gli strumenti più opportuni a tutti i livelli aziendali.
Un ambiente di lavoro positivo, sereno e corretto in cui il lavoratore non si senta abusato, sfruttato o semplicemente ignorato, è già una buona garanzia di successo nella lotta alle frodi aziendali interne. In questo ambiente favorevole i dipendenti, solitamente quelli più produttivi, diventano vere e proprie “sentinelle antifrode” rispettando in prima persona le regole ed esigendo che queste vengano rispettate anche dai colleghi meno disciplinati.
Il secondo pilastro dei modelli antifrode riguarda il complesso delle procedure e dei controlli adottati dall’azienda. Il primo passo da compiere consiste nell’individuare i punti di debolezza del sistema in essere e capire se da questi possano scaturire potenziali danni all’azienda.
Questa attività è chiamata “Fraud Risk Assessment” e risulta essere lo strumento più adatto ad effettuare la valutazione del complesso dei processi, delle procedure e delle attività aziendali al fine di individuarne i punti di debolezza. Solitamente questa attività è svolta da professionisti esterni, in quanto è necessaria una valutazione autonoma, indipendente e critica sulle reali vulnerabilità dei sistemi antifrode.
Una volta identificati i punti di debolezza occorre adeguare il modello di prevenzione, individuazione e deterrenza in modo da renderlo idoneo a gestire efficacemente un rischio, quale quello di frode, mai del tutto eliminabile e potenzialmente letale per l’azienda.
Il sistema così implementato non deve essere statico bensì deve evolvere nel corso degli anni. Il sistema economico è infatti dinamico, pertanto anche un sistema antifrode che si vuole mantenere in efficienza, seppur adeguato alle esigenze del momento, deve essere costantemente monitorato e migliorato.
L’ultimo pilastro sul quale poggia un valido programma di prevenzione del rischio di frode, riguarda le strutture preposte all’attività di vigilanza e controllo. Tale compito può essere assunto da vari organismi sia interni che esterni all’azienda, quali a titolo esemplificativo, il Comitato di Internal Audit, il Consiglio di Amministrazione, i fraud auditor.
In questa sede non è opportuno addentrarsi in disquisizioni di dettaglio in merito ai compiti da assegnare ai vari organi testé menzionati, compiti e responsabilità già ampiamente dibattuti sia a livello accademico che aziendale. Quello che preme sottolineare riguarda piuttosto due aspetti cruciali: da un lato il grado di autonomia assegnato a queste strutture di vigilanza e dall’altro il loro campo d’azione.
Assicurare il giusto grado di indipendenza e autonomia al personale preposto ai controlli è infatti necessario per il buon esito di qualsiasi iniziativa di contrasto degli illeciti. L’azienda dovrà dunque garantire piena capacità di iniziativa nella conduzione delle verifiche e delle attività investigative, tutelare gli operatori antifrode da possibili ritorsioni o vendette, assicurare momenti di formazione e aggiornamento.
Non sarebbe infatti efficace o sarebbe addirittura inutile, se ad esempio il Comitato di Internal Audit non disponesse, quando la situazione lo richiedesse, dell’autorità necessaria per condurre verifiche a sorpresa o per richiedere e ottenere dal managementrisposte convincenti riguardo determinati fatti accaduti.
Con riferimento invece al campo d’azione, preme sottolineare che questi organismi dovrebbero svolgere una funzione sostanzialmente duplice. Da un lato dovrebbero monitorare con senso critico la reale efficacia dei controlli posti in essere, dall’altro dovrebbero dare impulso al miglioramento dei sistemi di controllo sia a fronte delle inefficienze riscontrate sia a fronte dei mutamenti degli scenari interni o esterni all’azienda.

Stefano Martinazzo
Simone Migliorini

------------------------------------------------------------------------------------------------------------


mercoledì 8 febbraio 2012

Intervista col frodatore

Nel corso delle attività di fraud auditing condotte all'interno delle aziende private, mi è capitato, in varie occasioni, di interrogare (probabilmente sarebbe meglio utilizzare il termine "intervistare") colui che si sospettava essere il responsabile della frode o un soggetto a lui vicino.
Questa è un'eventualità che va presa in considerazione in presenza di alcune circostanze specifiche, come ad esempio quando si ha la necessità di:
  • ottenere la conferma di un'ipotesi investigativa;
  • raccogliere nuovi elementi da vagliare;
  • reperire ulteriore documentazione di supporto alle evidenze investigative;
  • valutare la consapevolezza o la percezione del frodatore sul danno arrecato all'azienda;
  • raccogliere in modo formale una testimonianza (tramite la redazione di un verbale);
  • verificare eventuali collusioni o complicità.
Il confronto con la "persona informata sui fatti" è una tappa critica nel processo di fraud auditing e, pertanto, sarebbe un errore affrontarla con superficialità e scarsa concentrazione. Per tale ragione l'incontro deve essere pianificato nei minimi dettagli e con il contributo fondamentale dei consulenti legali. 

Innanzitutto è necessario definire l’obiettivo che si vuole raggiungere, in secondo luogo individuare il soggetto più indicato a fornire l’informazione ricercata ("soggetto target") e, infine, determinare il momento adatto in cui procedere. 
La volontà di ricorrere all'intervista, salvo casi specifici, deve essere concordata con il committente dell'incarico di forensic accounting, che deve concedere la formale autorizzazione.
Anche gli argomenti da trattare, le domande da porre, le tecniche di fraud interviewing da utilizzare e gli eventuali documenti da sottoporre all'intervistato, devono essere definiti con la massima precisione.

Solitamente questa fase di contatto tra chi indaga e chi è coinvolto nella frode, si snoda in due fasi differenti. Una prima fase, che si potrebbe definire "preparatoria", riguarda la definizione della strategia, dell'approccio e della forma dell'intervista, mentre la seconda fase, di natura prettamente "operativa", si traduce nella convocazione e intervista del soggetto. 

Ad esempio, se in presenza di un sospetto di frode on the book (frode contabile o di bilancio) commessa da un funzionario dell’ufficio amministrativo, l’obiettivo del fraud auditor fosse quello di appurare i meccanismi attraverso i quali sia stato possibile alterare il dato del fatturato, la procedura da adottare potrebbe essere simile alla seguente: 

FASE PREPARATORIA
  • assunzione delle "informazioni di contesto": organigramma dell'ufficio amministrativo, procedure operative adottate, caratteristica dei report prodotti dal sistema contabile, eccetera;
  • ottenimento di informazioni sul "soggetto target": data di assunzione, esperienze pregresse, eventi accaduti nel corso della vita lavorativa, presenza di conflitti con i colleghi o con l'azienda, avanzamenti di carriera, premi/bonus percepiti, eccetera;
  • acquisizione di informazioni sulle attività svolte presso l'ufficio amministrativo: ruoli e mansioni ricoperte, livelli di responsabilità, usi e consuetudini di lavoro, eccetera;
  • pianificazione dell'incontro: definizione delle domande e di chi le pone, del luogo dell'incontro e della forma di convocazione da utilizzare, identificazione dei tabulati contabili e delle prove documentali da condividere con l'intervistato, eccetera). 
FASE OPERATIVA
  • convocazione del soggetto;
  • conduzione dell'intervista mediante l'applicazione delle tecniche di fraud interviewing;
  • eventuale redazione di un verbale;
  • eventuale comminazione di sanzioni o di provvedimenti disciplinari.

Naturalmente l’approccio e le modalità di esecuzione dello scenario prospettato variano notevolmente da caso a caso.
Inoltre non bisogna dimenticare mai che il fraud auditor si può muovere solo all'interno di precisi, e non derogabili, paletti legislativi. In altre parole al fraud auditor non possono essere attribuite funzioni quali quelle esercitabili in via esclusiva dagli organi di polizia giudiziaria.

Per tali motivi non è possibile definire un criterio univoco o un protocollo standard di svolgimento dell’intervista col frodatore.
Ogni esperienza vissuta, infatti, rappresenta una storia a sé stante, con dettagli e condizioni notevolmente differenti.

mercoledì 1 febbraio 2012

Fraud Risk Management

Tra gli strumenti utilizzati dalla corporate governance per gestire o, meglio, mitigare il rischio di frode aziendale, si devono menzionare i modelli di Fraud Risk Management (o FRM).
Si tratta sostanzialmente di un'insieme organico di regole, metodologie, procedure e attività di controllo finalizzate a garantire:
  • l'applicazione diligente e scrupolosa del modello antifrode;
  • la capacità di creare misure correttive al modello in modo da mantenerlo efficace;
  • che le attività di fraud auditing possano avvenire secondo criteri di indipendenza e di autonomia.
Tuttavia, è bene dirlo, non è assolutamente facile intercettare i più variegati comportamenti illeciti mediante sistemi automatizzati di prevenzione più o meno sofisticati.
Solitamente, infatti, chi froda con astuzia si pone l'obiettivo di celare la propria condotta illecita simulando informazioni e/o comportamenti apparentemente ragionevoli e coerenti e quindi non riconoscibili dai sistemi di monitoraggio aziendali.
Inoltre le strategie e le regole elaborate per bloccare le frodi sono inevitabilmente svelate nel momento stesso in cui sono applicate, pertanto il frodatore può beneficiare di un vantaggio se individua un sistema per aggirare i controlli.

A mio avviso dunque, si commetterebbe un grave errore se si pensasse di risolvere il problema delle frodi aziendali con la sola introduzione di un modello di FRM, seppur implementato e gestito attraverso i più elevati standard teorici e dottrinali.
Il contrasto alle frodi aziendali può avviene solo grazie ad un sistema permanente di azioni e reazioni idoneo a rincorrere ed anticipare le evoluzioni dei fenomeni illeciti.
Per tale ragione sono sempre più convinto che l'introduzione dei sistemi di FRM debba essere gestita esclusivamente da personale altamente qualificato, quale i fraud auditor.

Sono numerosi gli studi dottrinali che identificano i migliori approcci di FRM. Alcuni sono basati sui modelli di controllo interno quali il CoSO e il CoCO framework, altri sulle teorie sociologiche riassunte dalla famosa (e vetusta) “fraud triangle theory”.
Tutti questi modelli però si snodano attraverso fasi successive di intervento, sostanzialmente riconducibili ai seguenti step:
  • la prevenzione (fraud prevention);
  • l'individuazione di anomalie (fraud detection);
  • l'indagine e l'investigazione delle anomalie (fraud investigation);
  • lo sviluppo di contromisure (fraud response).
In seguito all'analisi e all'applicazione di numerosi modelli di FRM, posso affermare che i risultati migliori sono stati raggiunti nelle realtà aziendali in cui un top management onesto e leale, ha saputo informare i propri dipendenti che un eventuale illecito sarebbe stato considerato un atto immorale, disonesto e sfavorevole e pertanto sarebbe stato combattuto con ogni mezzo e che la reazione dell'azienda sarebbe stata tempestiva e rigorosa (questo approccio si basa sulle teorie di fraud deterrence).
Condivido infatti chi sostiene che l’intento dei programmi antifrode è prima di tutto quello di educare all’onestà ogni soggetto che interagisce con l’azienda: dai dipendenti agli organi sociali, dai soci/azionisti agli amministratori, dai soggetti terzi quali fornitori e clienti ai consulenti e revisori.
L’utilizzo fermo di codici di deterrenza ha garantito, almeno nei casi di cui mi sono occupato, una certa diffusione dell'onestà in quanto chi froda è consapevole che se individuato andrà incontro, senza eccezioni, a conseguenze disciplinari e penali.
Pertanto, in base a tale prospettiva, le regole vigenti in azienda devono impedire che i soggetti disonesti abbiano vantaggi tali da diffondere un principio alquanto pericoloso, cioè che l’abilità a frodare paghi!

In buona sostanza, un’azienda dotata di un sistema di regole virtuoso considera il dipendente disonesto, a maggior ragione se appartenente agli organismi direttivi, come colui che ha violato una sorta di dovere di fedeltà verso l'organizzazione per la quale presta lavoro.
Pertanto credo che un modello di FRM deve fondarsi innanzitutto su profili etici di assoluta levatura, volti alla ricerca di un ambiente leale e onesto, nel quale regna la fiducia e il rispetto reciproco.
Tali risultati si ottengono incentivando la collaborazione, applicando le regole con equilibrio e in modo uniforme, premiando adeguatamente le responsabilità e le competenze, creando valore per il lavoratore, non solo economico, ma anche, ad esempio, attraverso il miglioramento dello stile di vita in azienda.


martedì 24 gennaio 2012

C'è chi froda... prendendo un taxi

OVERTURE
Una volta giunto a destinazione il tassista si voltò verso il suo cliente e gli disse: "Signore, eccoci in piazza Garibaldi. Sono 8 euro". "Ecco qui!" rispose il passeggero e subito proseguì chiedendo: "Mi potrebbe fare una ricevuta? Ma non si preoccupi, la compilo io... non le voglio far perder tempo". "Grazie, lei è molto gentile Signore, buona giornata" rispose il tassista consegnando al suo cliente una ricevuta in bianco.
Una volta giunto nel suo ufficio, il manager compilò la ricevuta inserendo la data e l'importo della corsa. Scrisse: € 33,50.
Dopodiché completò l'opera con uno scarabocchio illeggibile nel posto adibito alla firma del tassista.
Come ogni mese, dei sui 29 anni di carriera, prese la ricevuta del taxi, la mise insieme alle altre spese di viaggio e richiese il rimborso alla sua azienda.
Un totale di 485,35 euro, di cui 305,50 euro a fronte di corse effettuate con il taxi.

ATTO I
Qualche anno dopo un giovane fraud auditor appena assunto dalla funzione di internal audit, fu incaricato, per farsi le ossa, di verificare le spese di viaggio presentate mensilmente dal management per ottenere il rimborso.
Era quella un'attività considerata da tutti i colleghi più anziani noiosa e umile, che nessuno voleva svolgere.
Il giovane si mise subito con entusiasmo a verificare la corrispondenza tra l'ammontare complessivo dei rimborsi mensili richiesti e la sommatoria delle singole pezze giustificative allegate (scontrini, ricevute, biglietti di viaggio, eccetera).
Questo primo controllo non fece riscontrare alcuna anomalia di rilievo.
Scorrendo però i giustificativi di spesa, il giovane notò una circostanza singolare.
Mentre le cene, i pranzi, i viaggi in aereo e in treno e i pernottamenti in albergo erano supportati da documentazione chiaramente prodotta da dispositivi elettronici quali i registratori di cassa, la totalità delle ricevute dei taxi apparivano compilate a mano!
"Questo potrebbe essere normale", pensò il giovane.
Ma dopo una più attenta analisi, osservò che raramente tali ricevute contenevano la data, il luogo di partenza e quello di destinazione, e ciò avrebbe meritato un ulteriore approfondimento...

ATTO II
Le ulteriori analisi portarono a focalizzare le verifiche proprio sul manager che qualche anno prima prese il taxi che lo portò in piazza Garibaldi.
Il giovane isolò tutte le ricevute che apparivano compilate con la medesima calligrafia o riportanti una firma (scarabocchio) molto simile.
Iniziò dunque ad elencare in un foglio elettronico tutte le ricevute ritenute "anomale", inserendo la data del viaggio e la città presso la quale la corsa era stata effettuata.
Da queste semplici attività risultò che molte delle ricevute sospette appartenevano ad un'unica organizzazione di tassisti, inoltre le ricevute allegate ai rimborsi sembravano far parte di uno stesso blocchetto (molte di esse riportavano una particolare lacerazione nel medesimo punto).
In seguito ad altre verifiche incrociate che il fraud auditor effettuò in collaborazione con l'ufficio personale, la segreteria del manager ed altre strutture aziendali, si individuarono numerose altre incongruenze.
Ad esempio che il manager non poteva aver utilizzato il taxi in quel giorno o in quella città in quanto impegnato in altri luoghi oppure che la spesa chiesta a rimborso non era coerente con il tragitto effettuato (aeroporto-ufficio oppure sede del cliente-ufficio).

EPILOGO
Da una superficiale ispezione presso l'ufficio del manager si accertò che quest'ultimo era in possesso di alcuni blocchetti di ricevute di taxi e, in particolare, di quello intaccato dalla lacerazione notata dal giovane fraud auditor.
I sospetti dunque furono confermati da riscontri oggettivi.
Ulteriori verifiche appurarono che quel manager disonesto si era intascato negli anni non meno di 20.000 euro a fronte di richieste di rimborso spese illegittime.

*   *   *

Peraltro mi sono sempre chiesto perché anche per le corse in taxi non si possa prevedere il rilascio di una ricevuta elettronica contenente i dati effettivi della prestazione (data, ora, luogo di partenza, luogo di destinazione, km percorsi, numero passeggeri, tariffa al km, costo complessivo del viaggio).
Ciò aiuterebbe da una parte a limitare i rischi di frode aziendale e dall'altra anche quelli legati all'evasione fiscale.


News:
Regione Liguria: spese pazze per i TAXI (25.6.14)



mercoledì 18 gennaio 2012

Martedì 18 ottobre 2011...

...nasceva questo blog dedicato alla materia che negli anni è divenuta la mia professione.
Da qualche tempo pensavo ad uno strumento diretto ed efficace che mi potesse permettere di divulgare con semplicità i tanti aspetti ancora sconosciuti di una professione davvero unica e affascinante, quale quella del fraud auditor.
Ho ritenuto il blog lo strumento più adatto per raccontare le mie esperienze e per pubblicare la numerosissima mole di materiale prodotto in questi anni.

Tre mesi di vita dunque, 2.360 accessi complessivi, una media di 40 lettori giornalieri nell'ultimo mese, 22 post pubblicati (altri 12 già pronti in bozza per una futura pubblicazione), molti accessi anche dall'estero (135 dalla Federazione Russa, 114 dagli Stati Uniti d'America, 70 dalla Germania, 44 dai Paesi Bassi e poi dalla Svizzera, Regno Unito, Svezia, Francia), lettori provenienti da settori differenti (colleghi fraud auditor, insegnanti, studenti universitari, avvocati, head hunter, eccetera)... insomma sono molto contento (e sorpreso) dal grande successo riscosso dal blog!
Devo ringraziare tutti quanti mi hanno incoraggiato a continuare nello sviluppo del blog, a quanti mi hanno inviato mail di apprezzamento, ma anche di critica (soprattutto per l'aspetto grafico...), ai numerosi studenti universitari che mi hanno scritto chiedendomi consigli e suggerimenti su come poter intraprendere la carriera del fraud auditor, ai colleghi e amici che mi aiutano ad identificare gli argomenti e definire i contenuti. Grazie anche ai lettori occasionali e a quanti hanno postato i loro commenti (anonimi inclusi)!!
Il primo post pubblicato il 19 ottobre 2011, titolato "La figura del Fraud Auditor", è stato letto solamente da 11 visitatori, mentre il post "007 e Università" è stato un vero successo, in soli 15 giorni ha scalato la classifica degli articoli più letti, arrivando a 113 accessi.
Anche altri post come "Trashing… la nostra immondizia è fonte di informazioni!", "L'head hunter nella lotta alle frodi aziendali" e "Document manipulation" hanno fatto segnare un grande interesse tra i lettori!
Per il futuro ho molte idee per migliorare ancora di più la qualità dei post.
Innanzitutto sto cercando di convincere i colleghi fraud auditor, più bravi di me, ad aiutarmi a pubblicare esperienze e punti di vista sull'argomento con contributi a loro firma.
Vorrei anche spronare gli studenti che mi scrivono e che sono interessati a questa materia, a contribuire con loro scritti inerenti l'esperienza universitaria o sulle aspettative o aspirazioni professionali inerenti la carriera del fraud auditor oppure semplicemente per comunicare il loro punto di vista e, perchè no?, anche per esprimere le proprie osservazioni o intuizioni su come migliorare le tecniche investigative.
Insomma c'è molto da fare, ma l'entusiasmo, spero si sia capito, non manca!