Chi fa da sè ...fa per tre?

Le procedure di fraud auditing si snodano secondo fasi successive che si originano con il conferimento formale dell'incarico al fraud auditor e si concludono con l'emissione della relazione/perizia tecnica e con l'eventuale supporto alle azioni legali.
C'è però una fase che anticipa l'accettazione dell'incarico.
Si tratta di un momento importante che determina l'intero rapporto fra il cliente vittima della frode e il fraud auditor.
In questa fase preliminare si definiscono l'oggetto delle verifiche e le procedure da compiere, si pianificano le tempistiche entro le quali saranno portate a termine le analisi, si identificano le competenze necessarie e le tecniche da applicare.

Molte volte però il buon esito delle attività di forensic accounting è incerto a causa delle indagini "fai da te" condotte precedentemente all'arrivo del fraud auditor da personale appartenente all'azienda non avente le necessarie competenze.
Non parlo, ovviamente, delle attività svolte dai vari organismi di vigilanza interna, bensì delle pratiche spensierate e maldestre svolte da chi si immedesima nel tenente Colombo improvvisando gli accertamenti.
Si provi ad immaginare la situazione.
All'arrivo del professionista specializzato nella ricostruzione di un fatto presumibilmente fraudolento, questo si sente dire: "Egregio dottore, è tutto chiaro ormai! Tutto provato! Tizio ha rubato, Caio l'ha aiutato e l'unica cosa da fare è scrivere una bella relazione che riassuma il lavoro che abbiamo fatto al nostro interno... tutto qui! Lei si limiti a scrivere e poi i nostri avvocati penseranno a farci vincere la causa ed ottenere un lauto risarcimento dei danni".

Purtroppo succede anche questo!

In casi come quello descritto di certo c'è solo l'elevatissimo rischio di aver alterato in modo irrecuperabile le evidenze documentali della frode, tanto da renderle inutilizzabili in un procedimento penale o civile.
Si pensi ad esempio ai dati digitali (ormai qualsiasi documento è creato ed archiviato in formato elettronico) i quali, se non acquisiti secondo particolari protocolli di computer forensic, divengono inopponibili ai terzi e non accoglibili dal Giudice come mezzi di prova.

Il fraud auditor si trova dunque davanti ad un bivio.
Accettare l'incarico e limitarsi a certificare un lavoro fatto da altri, senza svolgere ulteriori accertamenti che potrebbero determinare risultanze difformi ovvero opposte a quelle già assimilate.
Oppure rifiutare l'incarico in assenza di precise garanzie sulla possibilità di operare in modo indipendente ed autonomo.
Per quanto mi riguarda, la scelta da fare è scontata!
Il rischio infatti è chiaro: il fatto fraudolento è accaduto realmente, l'azienda ha subito un danno, ma il  colpevole può farla franca grazie alla mancanza di strategia e competenza.
Chi fa da sè, in questi casi, rischia...

Prova o indizio?

Non so dire in quante occasioni mi sono ritrovato a ragionare se un certo documento fosse da considerare prova o soltanto indizio di un fatto illecito.

Nelle stesse medesime occasioni, tuttavia, sono arrivato a ritenere questo esercizio mentale totalmente superfluo! 

Il forensic accountant, infatti, commetterebbe un grossolano errore se si mettesse a giudicare se una certa scrittura contabile piuttosto che un'operazione "back to back" rappresenti o meno una prova o sia da classificare come semplice indizio.

Il forensic accountant è tenuto a descrivere un determinato fatto attraverso ricostruzioni meramente tecniche e oggettive e si dovrebbe astenere dall'entrare nel merito delle presunte responsabilità penali o formulare ipotesi sui reati commessi e sulle relative pene e sanzioni ovvero, ancora, dovrebbe evitare ogni altra valutazione relativa alla natura probatoria o indiziaria della documentazione analizzata.

Queste considerazioni non sono di sua competenza.
La valutazione della prova e degli indizi è delegata, dal nostro ordinamento giuridico, esclusivamente al Giudice. Senza eccezioni!

Sono due le fonti normative che stabiliscono tale principio: l'art. 192 del Codice di Procedura Penale e l'art. 2729 del Codice Civile.

In particolare, l'art. 192 C.p.p., dal titolo "Valutazione della prova", afferma ai commi 1 e 2 che:

"1. Il giudice valuta la prova dando conto nella motivazione dei risultati acquisiti e dei criteri adottati 

2. L’esistenza di un fatto non può essere desunta da indizi a meno che questi siano gravi, precisi e concordanti". 

Mentre l'art. 2729 c.c., dal titolo "Presunzioni semplici" al comma 1 stabilisce che: "Le presunzioni non stabilite dalla legge sono lasciate alla prudenza del giudice, il quale non deve ammettere che presunzioni gravi, precise e concordanti".

La norma è chiara!
La "prova" è valutata, motivata e giustificata esclusivamente dal Giudice.

Mentre l'"indizio" è assimilabile a "prova" se, e solo se, è "grave, preciso e concordate" (e qui si perdono le disquisizioni teorico-dottrinali sul significato giuridico da attribuire ai termini "grave", "preciso" e "concordante", dalle quali fuggo volentieri...).

Inoltre per la legge la "presunzione" non esiste come dato oggettivo, ma solo come conseguenza di una valutazione presa dal Giudice, il quale in scienza e coscienza stabilisce che l'indizio a lui sottoposto debba essere accolto in quanto giustifica in modo pieno e preciso una relazione logica e consequenziale tra gli eventi accaduti.

All'investigatore contabile non compete tale valutazione!
Anzi incorrerebbe in un grave difetto giuridico e professionale se si attribuisse un esercizio non richiesto e per di più espressamente proibito dal nostro ordinamento.

Piuttosto il forensic accountant si dovrebbe chiedere se il suo lavoro ha prodotto un risultato completo ed esaustivo rispetto agli elementi disponibili.

La domanda giusta da porsi non è, infatti, se e come un certo documento sia idoneo ad incastrare il responsabile della frode ma se e come si possa descrivere una certa operazione finanziaria in modo maggiormente attendibile, preciso, concordante e convincente.

Il processo di ricostruzione documentale di un fatto presumibilmente illecito (ancora una volta, è il Giudice a valutare se un comportamento è illecito o meno) dovrebbe non dare adito ad equivoci, interpretazioni, verosimiglianze e genericità.

Il forensic accountant in questo caso faciliterà il lavoro del Giudice.

s.m.

Timeline analysis & Visual intelligence

Nell'ambito delle attività d’indagine riveste un ruolo rilevante l’analisi degli avvenimenti o delle operazioni finanziarie dal punto di vista cronologico.
Tale attività è denominata “timeline analysis”.
Negli incarichi di fraud auditing la "timeline analysis" è solitamente parte della cosiddetta "visual intelligence".
La "visual intelligence" è lo strumento di rappresentazione grafica di un determinato fatto e viene realizzata utilizzando particolari software che aiutano il fraud auditor a condurre gli accertamenti, procedendo passo dopo passo ed aggiungendo elementi nuovi allo schema.

Un po' come in un mosaico, tassello dopo tassello, si ricostruisce e raffigura l'evento fraudolento.

Gli applicativi utilizzati (alcuni ottimi per la loro versatilità e la facilità d'impiego), sono strutturati per rappresentare operazioni finanziarie, successioni di fatti, interazioni tra soggetti, legami societari, correlazioni tra avvenimenti, rapporti di dipendenza eccetera.
Grazie alla "visual intelligence", pertanto, anche l'evento più caotico può essere illustrato con relativa semplicità, nella sua globalità e dinamicità, evidenziandone lo scorrere dei fatti nel tempo e le interazioni tra le entità coinvolte.
Da questo punto di vista la "visual intelligence" ha lo scopo di raccontare una storia facilitandone la comprensione.
Si immagini infatti quanto sia difficoltoso, senza ricorrere a questo strumento, il dover descrivere in un'aula di tribunale, per fare un esempio, davanti a Giudici, PM, avvocati e consulenti di parte (come anche davanti ad un Consiglio di Amministrazione) una complicatissima operazione "back to back" portata a termine utilizzando prodotti finanziari derivati, strutturati da istituti bancari off-shore, pianificata da una società riconducibile ad un trust e gestita da fiduciari...
Il rischio per il fraud auditor è piuttosto evidente: creare confusione ed incomprensioni tra gli interlocutori, cadere in contraddizione, trascurare aspetti importanti; in altre parole, vanificare il lavoro fatto!

In queste circostanze dunque, le tecniche di "visual intelligence" aiutano certamente a descrivere in modo chiaro, corretto ed esaustivo ogni aspetto della vicenda.

Sniffing: un rischio reale anche in ufficio!

Si osserva ormai da qualche tempo un'impennata della domanda di servizi rivolti al contrasto dello spionaggio industriale. Sono infatti notevoli i danni economici procurati alle aziende da questo fenomeno predatorio.
La conseguenza immediata del furto di informazioni strategiche è rappresentata dalla perdita del vantaggio competitivo.
La sottrazione illecita di dati riservati inerenti, ad esempio, i progetti industriali, le innovazioni tecnologiche, gli accordi di partnership, i piani tariffari o l'elenco dei fornitori e dei clienti, nei casi più estremi può favorire anche altri fenomeni criminali quali il ricatto e l'estorsione.

Mi piacerebbe proseguire nell'approfondimento di quanto ho iniziato a descrivere... ma inverto subito la rotta!

Vorrei invece trattare dell'altra faccia della luna dello spionaggio industriale... cioè del cosiddetto "sniffing da ufficio".
Si tratta di una fattispecie grave e pericolosa, che si origina all'interno dell'azienda ed è facilitata dalla larga diffusione degli strumenti di spionaggio "fai da te". Questi apparati sono accessibili a tutti, proposti in modo massivo attraverso la rete o le televendite, sono relativamente economici, semplici da usare e assicurano buoni risultati.
E' uno spionaggio tanto casereccio quanto invasivo, praticato con disinvoltura anche nei luoghi di lavoro.
Recentemente mi è capitato di condurre incarichi professionali aventi l'obiettivo di stanare chissà quale audace 007 infiltratosi nella struttura aziendale, per poi riscontrare che il responsabile del crimine era il ben più umile e schivo geometra dell'ufficio lubrificazione impianti...

Solitamente l'obiettivo iniziale di tali attività spionistiche è molto terra-terra ed è associato all'ossessione voyeuristica di farsi gli affari altrui o al desiderio di misurare la propria abilità nell'accedere abusivamente agli archivi aziendali con il fine di conoscere, ad esempio, lo stipendio del proprio superiore o il contenuto del richiamo disciplinare rivolto al vicino di scrivania; salvo poi esibire questi "trofei" con imbarazzante leggerezza.
Una volta assecondate le curiosità prioritarie, tuttavia, la spia aziendale, forte di averla fatta franca, potrebbe alzare il tiro arrivando a sottrarre informazioni sempre più strategiche e vitali; il fine potrebbe dunque mutare ed assumere connotati più simili allo spionaggio industriale di tipo tradizionale.
Se poi tali informazioni sono carpite attraverso l'intercettazione dei dati transitanti nella rete aziendale si è in presenza dello "sniffing informatico".
Sniffing deriva dal termine inglese “to sniff”, annusare, odorare, sniffare; e sebbene tale attività possa essere condotta anche per scopi legittimi, ad esempio per l'individuazione di problemi tecnici di rete, il termine è comunemente utilizzato per identificare le attività di intercettazione fraudolenta di password o di altre informazioni sensibili.

Materialmente l’intercettatore abusivo si avvale di appositi software o hardware detti "sniffer", che hanno anche altre funzionalità quali ad esempio l’analisi del traffico internet, la decodifica dei pacchetti di dati trasmessi in rete o l'identificazione dell'ubicazione geografica (o di rete) dell'utente.
E' bene dirlo, lo spione di turno può trarre vantaggi anche grazie a comportamenti superficiali purtroppo molto diffusi in ufficio... ad esempio, l'annotazione di password, user-id o procedure di accesso sui "post-it" applicati ai monitor dei PC.
Inoltre oggigiorno lo sniffing ha incrementato le probabilità di successo grazie alla diffusione negli ambienti di lavoro delle reti locali senza fili o “WiFi”.
Di fatto l’utilizzo di sistemi wireless, soprattutto se di vecchia generazione, facilita le intrusioni.
Ma attenzione, perché anche gli apparati WiFi più moderni che prevedono standard di sicurezza elevati, possono essere vulnerabili se non sono configurati correttamente.
Sostanzialmente il furto di dati sensibili avviene attraverso l’identificazione da parte dell’intruso della “chiave” che protegge il traffico circolante nella rete WiFi.
Pertanto il problema è sempre lo stesso: la facilità di reperimento della password!
Attraverso tale chiave lo sniffer può sottrarre le informazioni circolanti sulla rete locale oppure, nei casi più gravi, penetrare direttamente nel PC del collega e copiare, modificare, cancellare o incollare ogni tipo di file.
Può anche capitare che il controllo dell'attività informatica del malcapitato vicino di scrivania, sia condotta in modo costante e a 360°, grazie all'istallazione sul suo PC di uno dei tanti spy-software facilmente reperibili in rete...

Riciclaggio: la tecnica della frammentazione

Il denaro di provenienza illecita è riciclato attraverso varie modalità più o meno avanzate e più o meno conosciute, ma tutte finalizzate ad interrompere la tracciabilità tra l'origine e la destinazione dei fondi.

Una delle modalità di riciclaggio più frequenti da osservare utilizza la tecnica della "frammentazione".

La "frammentazione del denaro sporco", lo dice il termine, si realizza tramite la dispersione, la suddivisione, la disgregazione dell'importo originato dal fatto illecito in più canali di drenaggio che lo portano ad ambiti economico-finanziari apparentemente leciti.

L'obiettivo è sempre lo stesso. Cioè quello di rendere difficile la riconducibilità degli investimenti finali all'origine (illecita) dei fondi.

Si è potuto osservare come un'organizzazione criminale che aveva accumulato un fondo pari a 100 € (per fare un esempio) grazie ai proventi derivanti dal traffico degli stupefacenti, lo abbia frammentato investendolo nel modo seguente:

€ 10 in immobili,  

€ 15 in titoli di Stato, 

€ 10 in polizze assicurative, 

€ 5 in disponibilità liquide depositate su vari c/c bancari accesi presso alcuni istituti di credito, 

€ 10 in prodotti finanziari derivati, 

€ 5 in metalli preziosi e opere d'arte, 

€ 15 in pacchetti azionari di varie aziende,

€ 5 in attività commerciali al minuto,

€ 10 in operazioni di pronti contro termine,

€ 15 in altra attività illecita: l'usura.

A queste tecniche di frammentazione si risponde con opportune tecniche di indagine mirate a ricostruire i canali del flusso illecito...

Legge 12/12 in materia di crimine informatico

La Legge 12/2012, entrata in vigore pochi giorni fa, introduce la possibilità per gli Organi Giudiziari di confiscare la strumentazione informatica utilizzata dal cybercrime al fine di riutilizzarla per le indagini.
La logica della legge è piuttosto chiara: ed è quella di garantire anche agli organi inquirenti l'utilizzo di mezzi altamente sofisticati quali quelli utilizzati oggigiorno dai criminali informatici.
L'evoluzione tecnologica ha, fin'ora, avvantaggiato questa categoria di criminali, i quali, disponendo di ampie risorse economiche, riescono ad assicurare un elevato livello tecnologico ai propri apparati hardware e software.
I problemi riscontrati nelle indagini di natura informatica non sono legati solamente, per fare un esempio qualsiasi, alla velocità con cui sono effettuate le analisi dei file sequestrati, ma riguardano tematiche che spaziano dalla decriptazione delle trasmissioni dei dati, all'analisi delle tracce lasciate dalle conversazioni effettuate mediante skype, twitter o altri social network, dalla definizione dei profili degli utilizzatori dei dispositivi elettronici, all'apertura di file protetti da password o al recupero dei file cancellati.
A mio avviso, ma dovrebbe essere normale pensarlo (!), i mezzi a disposizione della Giustizia devono essere più avanzati rispetto a quelli utilizzati dal crimine.
Se tuttavia, per cause che sarebbe decisamente complesso qui sintetizzare, gli organi inquirenti non riuscissero ad aggiornarsi con la necessaria celerità... bé allora, la via migliore potrebbe essere proprio quella indicata dalla Legge 12/12.
Nei prossimi anni sarà possibile giudicarne la validità.

Per il momento segnalo il commento sulla Legge in oggetto pubblicato sull'edizione on-line de Il Sole 24 Ore (Diritto24) dall'Ing. Maurizio Bedarida (consulente informatico).
Commento che si può leggere al seguente indirizzo:
http://www.diritto24.ilsole24ore.com/avvocatoAffari/professioneLegale/2012/03/legge-n122012-e-contrasto-ai-fenomeni-di-criminalita-informatica.html

4.000 accessi

Siamo alla vigilia dei 4.000 accessi (in questo momento siamo a 3.992).
Tutto ciò che sta accadendo è decisamente superiore ad ogni mia attesa.
E pensare che l'idea di creare un blog su questo argomento è dovuta solamente al riconoscimento che devo al mio maestro.
Purtroppo Christian è mancato improvvisamente nell'estate 2011.

Il manager con la piuma di fagiano (vite da forensic accountant)

A volte un comportamento insolito o stravagante, per non dire violento, può essere sintomo di una frode in atto.

Intendiamoci però, al giorno d'oggi in ufficio se ne vedono davvero di tutti i colori e la famosissima sitcom Camera Caffè è riuscita a rappresentarlo molto bene!
Pertanto le regole puramente empiriche potrebbero non essere molto significative.

A tal proposito ho ancora molto vivo il ricordo di un'attività di fraud auditing che svolsi agli albori della mia carriera.
Si trattava di una filiale italiana appartenente ad un gruppo tedesco operante nel mercato dell'elettronica di consumo.
Ebbene questa piccola realtà italiana, costituita da poco più di 30 dipendenti, era totalmente in balia di un amministratore iracondo, eccentrico e... ladro.

La situazione di particolare gravità venne a galla grazie al numero verde anti-frode istituito dalla casa madre, ma mai reclamizzato nella filiale italiana (sic!), al quale giunse una segnalazione anonima.
La fonte descrisse di come nel corso di una riunione, alla domanda su che sorte avessero avuto le forniture di vini pregiati destinati ad omaggiare la migliore clientela, l'amministratore, in uno dei suoi frequentissimi scatti d'ira, avesse scagliato verso il suo interlocutore un mug, con tutto il suo contenuto (caffè e latte, per la precisione).

Successivamente la casa madre ricevette ulteriori segnalazioni; delle vere e proprie richieste d'aiuto, nonché prove documentali a dimostrazione di varie ruberie, truffe e alterazioni contabili.
Pertanto si decise di intervenire inviando un ispettore.
Ebbene, il povero ispettore il giorno dopo il suo arrivo presso gli uffici italiani si vide "accompagnare" alla porta dal corpulento amministratore (un omone baffuto di 140 kg per 2 metri di altezza).

Il fatto provocò l'intervento diretto del potentissimo Socio Fondatore e Presidente Operativo Globale della multinazionale, non foss'altro perché il giovane ispettore preso a calci, era... suo nipote!

Sì organizzò dunque un blitz.
Il "commando", alle dirette dipendenze del Presidente Globale appositamente arrivato da Berlino, era composto da un avvocato giuslavorista, da due fraud auditor (il sottoscritto e un collega), dall'ispettore malmenato e da... una guardia del corpo!

Ebbene sì! Il truce amministratore si vantava si possedere una collezione di armi da caccia, frustini e altri mezzi di offesa di foggia medioevale, tutti esposti in bella mostra nel proprio ufficio.

Alle ore 10.30 di un nebbioso martedì di dicembre, si presentò presso la portineria dell'azienda il Presidente Globale chiedendo di incontrare l'amministratore, il quale, mostrando sorpresa per la visita inaspettata, lo fece subito accompagnare in sala riunioni.
Dopodiché chiese alla segretaria di portare... il mug con caffè e latte.

Alle ore 10.45 fece irruzione il resto del "commando"!
Ognuno di noi aveva un ruolo.
L'avvocato, insieme al Presidente Globale, provvide all'immediata sospensione dell'amministratore dalle attività lavorative, noi fraud auditor iniziammo a fotografare e a catalogare tutta la documentazione e gli oggetti contenuti negli uffici, a sigillare gli armadi e i cassetti, a conservare il contenuto dei cestini dei rifiuti e a verbalizzare le prime testimonianze dei dipendenti sui fatti accaduti, la guardia del corpo si occupò invece di mettere in sicurezza le varie armi disseminate nei locali societari, l'ispettore, ancora piuttosto impaurito, fu mandato dallo zio ad ispezione l'automobile di rappresentanza data in uso all'amministratore e parcheggiata nel piazzale antistante l'azienda.

Alle 13.30 l'amministratore lasciò i locali aziendali e con un taxi si diresse verso casa. Aveva con sé due grossi scatoloni contenenti gli oggetti di sua proprietà. Oggetti, beninteso, fotografati, catalogati e fatti dichiarare formalmente "come propri" all'amministratore.

Seguì, nel pomeriggio, la riunione generale con i dipendenti.
Alcuni erano ancora molto scossi, altri increduli e altri finalmente sereni. Tutti però quel giorno ebbero la percezione che il passato... era veramente passato!

Ci accolsero come se fossimo stati l'Esercito della Salvezza.

Seguirono due settimane di intenso lavoro. Dovemmo ricostruire a tempo di record i fatti fraudolenti più eclatanti, calcolando i danni arrecati all'azienda e inventariando i molti beni aziendali sottratti illecitamente dall'amministratore, il tutto attraverso l'analisi approfondita della documentazione amministrativa, contabile e bancaria.

Il Presidente Globale decise di nominare il nipote come nuovo amministratore pro-tempore della sede italiana e di riconoscere un aumento di stipendio a tutti i dipendenti a titolo di risarcimento per ciò che avevano subìto.
Mentre per l'amministratore disonesto la sorte fu decisa in base all'esito delle attività di fraud auditing: licenziamento per giusta causa e denuncia all'Autorità giudiziaria.

Osservo, per concludere, che i primi sospetti di frode in capo all'amministratore, cominciarono ad emergere non tanto per il suo comportamento violento (materia più di competenza sindacale) o eccentrico (usava presentarsi in azienda, da buon patriota tedesco, indossando il "ledertracht", cioè l'abito tradizionale dell'Alta Baviera, con tanto di copricapo accessoriato con una lunga e vigorosa piuma di fagiano) ma perché, al suo arrivo, fece insonorizzare il proprio ufficio e periodicamente usava commissionare approfondite bonifiche elettroniche al fine di individuare eventuali apparati di spionaggio...

s.m. 
(forensic accountant)

Intervista col frodatore (Parte II) - L’ascolto attivo

In base alle caratteristiche o alle finalità dell'interrogatorio, è bene assumere strategie di contatto o “ascolto attivo” allo scopo di massimizzare le informazioni acquisite.

Tali strategie variano molto in considerazione dei contesti nei quali si opera, generalmente, tuttavia, si tendono ad assumere le seguenti regole comportamentali:

• mantenere il contatto visivo con l’interlocutore; 
• osservare le espressioni facciali e il linguaggio del corpo; 
• non trascurare la propria postura; 
• dosare attentamente manifestazioni quali l'annuire o il mostrare solidarietà; 
• adottare un tono di voce appropriato e composto; 
• evitare i commenti su quanto si sta apprendendo; 
• formulare domande opportune e chiare;
• dimostrare di conoscere i fatti solo se ritenuto conveniente;
• non polemizzare.

Se si tratta dell'interrogatorio di un testimone informato sui fatti ma non coinvolto nella frode, restio a fornire informazioni, ad esempio per eccessiva timidezza, per estrema riservatezza o per paura, lo si può facilitare attraverso appropriate tecniche di “rapport building”, quali ad esempio:

• l’utilizzo di espressioni capaci di rompere il ghiaccio o di incoraggiare; 
• l'ottenimento di un’atmosfera di collaborazione; 
• la concessione di pause o di momenti di relax nel corso dell'intervista; 
• il ricorso a frasi spiritose volte a ricercare un clima informale; 
• l'evitare momenti di silenzio;
• il formulare "domande aperte" solo quando il "clima" è disteso e favorevole. 

Sistemi antifrode: i pilastri fondamentali

(Fonte: http://www.diritto24.ilsole24ore.com/avvocatoAffari/professioneLegale/2012/02/sistemi-antifrode-i-pilastri-fondamentali.html)

------------------------------------------------------------------------------------------------------------

Sistemi antifrode: i pilastri fondamentali

I recenti casi di frode aziendale hanno portato l’attenzione del mondo economico e non solo, a focalizzarsi sui meccanismi che risultano essere maggiormente idonei a prevenire l’accadimento di determinati fenomeni criminali.
E’ stato ampiamente dimostrato infatti che proprio quelle aziende che intraprendono percorsi proattivi nell’implementazione di meccanismi volti a prevenire il verificarsi di comportamenti fraudolenti, ne registrano il minor numero di casi e che, conseguentemente, risultano maggiormente tutelate dalle eventuali conseguenze.
La sola definizione e introduzione di un sistema antifrode permette indubbiamente di mitigare il livello di rischio ma non assicura di per sé la soluzione del problema. Un serio ed organico programma di contrasto ai fenomeni illeciti, per essere davvero efficace, deve essere adottato in modo esteso dalla struttura organizzativa e deve essere costantemente aggiornato per riflettere le continue evoluzioni degli scenari interni ed esterni all’impresa.
Basti solo pensare quanto una ristrutturazione ovvero l’adempimento di una nuova norma legislativa, possano incidere sulla struttura organizzativa aziendale, comportando la necessità di aggiornare le procedure interne, tra le quali va annoverato il sistema antifrode.
L’intero management è chiamato ad essere responsabile dell’aggiornamento continuo dei processi di gestione del rischio di frode e più in particolare, gli organismi aziendali di governo, gestione e controllo, quali ad esempio il Consiglio di Amministrazione, i Comitati Esecutivi e Operativi, il Comitato di Vigilanza e Controllo, la funzione di Internal Audit e di Fraud Risk Management, la Security, eccetera.
Ma se da una parte è abbastanza chiaro chi abbia la responsabilità di gestire il più pericoloso dei rischi operativi (il rischio di frode appunto), dall’altra, nella realtà di tutti i giorni, non è semplice pensare di dirigere e coordinare risorse umane appartenenti a varie strutture e funzioni aziendali in modo tale da farle lavorare ad un progetto comune finalizzato alla definizione di un sistema organico e realmente efficace nel contrastare le frodi aziendali.
Per evitare le situazioni testé descritte, invero piuttosto frequenti da osservare, si è assistito all’istituzione di team di lavoro multidisciplinari creati “ad hoc”, immaginati e strutturati come unità autonome interamente preposte alla gestione dei programmi antifrode.
Ma quali sono i pilastri sui quali dovrebbe poggiare un buon sistema antifrode per risultare idoneo a prevenire il verificarsi di comportamenti fraudolenti?
Ad approcciare il problema e a cercare di fornire una risposta convincente sono state in prima istanza le istituzioni internazionali, fra le quali, per citarne solo alcune, l’American Institute of Certified Public Accountants, l’Association of Certified Fraud Examiners,l’Institute of Internal Auditors e l’Information Systems Audit and Control Association.
Secondo queste organizzazioni un sistema antifrode dovrebbe articolarsi sui seguenti pilastri:

1. la creazione e il mantenimento di una cultura aziendale basata sull’etica e l’onestà;
2. l’aggiornamento continuo dei sistemi e delle procedure di mitigazione del rischio di frode;
3. il potenziamento e lo sviluppo delle strutture preposte alle attività di vigilanza e controllo.

Le ricerche confermano dunque come la prima priorità sia quella di migliorare l’ambiente di lavoro, cioè la cultura aziendale. Per semplicità si potrebbe affermare che la cultura aziendale è “il clima che si respira” in un ambiente di lavoro, il quale può essere orientato all’onestà e alla lealtà oppure essere malsano e quindi predisposto a tollerare ingiustizie di vario genere o violazioni di ridotta o elevata importanza.
Una cultura aziendale incentrata sull’etica e sul “fare la cosa giusta” è infatti il miglior antidoto per inibire o interrompere sul nascere comportamenti non corretti, disonesti o iniqui. Se da un lato tutta la struttura deve essere permeata da buoni principi, dall’altro è l’intero management chiamato per primo a dare il buon esempio, stabilendo la matrice dei valori ai quali tendere, ma soprattutto a comportarsi di conseguenza.
Tra i mezzi a disposizione per raggiungere lo scopo possono annoverarsi il Codice di Comportamento o il Codice Etico, da diffondere tramite gli strumenti più opportuni a tutti i livelli aziendali.
Un ambiente di lavoro positivo, sereno e corretto in cui il lavoratore non si senta abusato, sfruttato o semplicemente ignorato, è già una buona garanzia di successo nella lotta alle frodi aziendali interne. In questo ambiente favorevole i dipendenti, solitamente quelli più produttivi, diventano vere e proprie “sentinelle antifrode” rispettando in prima persona le regole ed esigendo che queste vengano rispettate anche dai colleghi meno disciplinati.
Il secondo pilastro dei modelli antifrode riguarda il complesso delle procedure e dei controlli adottati dall’azienda. Il primo passo da compiere consiste nell’individuare i punti di debolezza del sistema in essere e capire se da questi possano scaturire potenziali danni all’azienda.
Questa attività è chiamata “Fraud Risk Assessment” e risulta essere lo strumento più adatto ad effettuare la valutazione del complesso dei processi, delle procedure e delle attività aziendali al fine di individuarne i punti di debolezza. Solitamente questa attività è svolta da professionisti esterni, in quanto è necessaria una valutazione autonoma, indipendente e critica sulle reali vulnerabilità dei sistemi antifrode.
Una volta identificati i punti di debolezza occorre adeguare il modello di prevenzione, individuazione e deterrenza in modo da renderlo idoneo a gestire efficacemente un rischio, quale quello di frode, mai del tutto eliminabile e potenzialmente letale per l’azienda.
Il sistema così implementato non deve essere statico bensì deve evolvere nel corso degli anni. Il sistema economico è infatti dinamico, pertanto anche un sistema antifrode che si vuole mantenere in efficienza, seppur adeguato alle esigenze del momento, deve essere costantemente monitorato e migliorato.
L’ultimo pilastro sul quale poggia un valido programma di prevenzione del rischio di frode, riguarda le strutture preposte all’attività di vigilanza e controllo. Tale compito può essere assunto da vari organismi sia interni che esterni all’azienda, quali a titolo esemplificativo, il Comitato di Internal Audit, il Consiglio di Amministrazione, i fraud auditor.
In questa sede non è opportuno addentrarsi in disquisizioni di dettaglio in merito ai compiti da assegnare ai vari organi testé menzionati, compiti e responsabilità già ampiamente dibattuti sia a livello accademico che aziendale. Quello che preme sottolineare riguarda piuttosto due aspetti cruciali: da un lato il grado di autonomia assegnato a queste strutture di vigilanza e dall’altro il loro campo d’azione.
Assicurare il giusto grado di indipendenza e autonomia al personale preposto ai controlli è infatti necessario per il buon esito di qualsiasi iniziativa di contrasto degli illeciti. L’azienda dovrà dunque garantire piena capacità di iniziativa nella conduzione delle verifiche e delle attività investigative, tutelare gli operatori antifrode da possibili ritorsioni o vendette, assicurare momenti di formazione e aggiornamento.
Non sarebbe infatti efficace o sarebbe addirittura inutile, se ad esempio il Comitato di Internal Audit non disponesse, quando la situazione lo richiedesse, dell’autorità necessaria per condurre verifiche a sorpresa o per richiedere e ottenere dal managementrisposte convincenti riguardo determinati fatti accaduti.
Con riferimento invece al campo d’azione, preme sottolineare che questi organismi dovrebbero svolgere una funzione sostanzialmente duplice. Da un lato dovrebbero monitorare con senso critico la reale efficacia dei controlli posti in essere, dall’altro dovrebbero dare impulso al miglioramento dei sistemi di controllo sia a fronte delle inefficienze riscontrate sia a fronte dei mutamenti degli scenari interni o esterni all’azienda.

Stefano Martinazzo

Simone Migliorini

------------------------------------------------------------------------------------------------------------