Approccio aziendale alle frodi
di Mauro di Gennaro
I recenti casi di frode aziendale hanno indotto il mondo economico (e non solo) a focalizzarsi sui meccanismi ritenuti più efficaci per prevenire l’accadimento di tali fenomeni criminali; è stato ampiamente dimostrato, infatti, che proprio le aziende che scelgono di implementare la prevenzione dei comportamenti fraudolenti ne registrano il minor numero di casi e, conseguentemente, ne risultano più tutelate.
La sola definizione ed introduzione di un sistema antifrode permette indubbiamente di mitigare il livello di rischio, ma non assicura di per sé la soluzione del problema: un serio ed organico programma di contrasto ai fenomeni illeciti, per essere davvero efficace, deve essere:
- adottato in modo esteso dalla struttura organizzativa;
- costantemente aggiornato per riflettere le continue evoluzioni degli scenari interni ed esterni all’impresa.
Basti solo pensare quanto una ristrutturazione o l’adempimento di una nuova disposizione legislativa possano incidere sulla struttura organizzativa aziendale, comportando la necessità di aggiornare le procedure interne, tra le quali va annoverato il sistema antifrode; l’intero management è chiamato ad essere responsabile dell’aggiornamento continuo dei processi di gestione del rischio di frode e più in particolare, gli organismi aziendali di governo, gestione e controllo, quali ad esempio il Consiglio di Amministrazione, i Comitati Esecutivi e Operativi, il Comitato di Vigilanza e Controllo, la funzione di Internal Audit e di Fraud Risk Management, la Security, etc.
Ma se risulta abbastanza agevole individuare i soggetti responsabili della gestione del più pericoloso dei rischi operativi (il rischio di frode appunto) nella realtà quotidiana non è semplice dirigere e coordinare risorse umane appartenenti a varie strutture e funzioni aziendali, per indurle a lavorare ad un progetto comune per la definizione di un sistema organico e realmente efficace di contrasto alle frodi aziendali: uno dei modi migliori per sviluppare efficaci politiche e procedure per la prevenzione delle frodi aziendali consiste nell’affidarsi ad un professionista antifrode esperto, che verosimilmente, ha già affrontato centinaia di casistiche. In tal modo, si riusciranno a sviluppare efficaci controlli antifrode.
Per evitare le situazioni testé descritte, invero piuttosto frequenti, si è assistito all’istituzione di team di lavoro multidisciplinari creati “ad hoc”, immaginati e strutturati come unità autonome, interamente preposte alla gestione dei programmi antifrode.
Ma quali sono i pilastri sui quali dovrebbe poggiare un buon sistema antifrode, che prevenga efficacemente i comportamenti fraudolenti? A considerare il problema, cercando di fornire una risposta convincente, sono state in prima istanza le istituzioni internazionali, fra le quali, per citarne solo alcune, l’American Institute of Certified Public Accountants, l’Association of Certified Fraud Examiners,l’Institute of Internal Auditors e l’Information Systems Audit and Control Association.
Secondo queste organizzazioni, un sistema antifrode dovrebbe articolarsi sui seguenti pilastri:
- la creazione ed il mantenimento di una cultura aziendale basata sull’etica e l’onestà;
- l’aggiornamento continuo dei sistemi e delle procedure di mitigazione del rischio di frode;
- il potenziamento e lo sviluppo delle strutture preposte alle attività di vigilanza e controllo.
Le ricerche confermano dunque come il primo pilastro sia rappresentato dal miglioramento dell’ambiente di lavoro, cioè la cultura aziendale: per semplicità, si potrebbe affermare che la cultura aziendale è “il clima che si respira” in un ambiente di lavoro, il quale può essere orientato all’onestà ed alla lealtà oppure essere malsano e quindi predisposto a tollerare ingiustizie di vario genere o violazioni di ridotta o elevata importanza. Una cultura aziendale incentrata sull’etica e sul “fare la cosa giusta” è infatti il miglior antidoto per inibire o interrompere sul nascere comportamenti non corretti, disonesti o iniqui.
Pur essendo richiesto che tutta la struttura sia permeata da buoni principi, è l’intero management che per primo deve dare il buon esempio, stabilendo la matrice dei valori ai quali tendere e (soprattutto) comportandosi di conseguenza: tra i mezzi a disposizione per raggiungere lo scopo, possono annoverarsi il Codice di Comportamento o il Codice Etico, da diffondere tramite gli strumenti più opportuni a tutti i livelli aziendali.
Il secondo pilastro dei modelli antifrode riguarda il complesso delle procedure e dei controlli adottati dall’azienda. Il primo passo da compiere consiste nell’individuare i punti di debolezza del sistema in essere e capire se da questi possano scaturire potenziali danni all’azienda: tale attività è chiamata “Fraud Risk Assessment” ed è lo strumento più adatto ad effettuare la valutazione del complesso dei processi, delle procedure e delle attività aziendali al fine di individuarne i punti di debolezza. Solitamente questa attività è svolta da professionisti esterni, in quanto è necessaria una valutazione autonoma, indipendente e critica sulle reali vulnerabilità dei sistemi antifrode.
Una volta identificati i punti di debolezza occorre adeguare il modello di prevenzione, individuazione e deterrenza in modo da renderlo idoneo a gestire efficacemente un rischio, quale quello di frode, mai del tutto eliminabile e potenzialmente letale per l’azienda: al pari del sistema economico (che non deve essere statico ma dinamico, evolvendosi negli anni) anche un sistema antifrode che si vuole mantenere in efficienza, seppur adeguato alle esigenze del momento, deve essere costantemente monitorato e migliorato.
Il terzo ed ultimo pilastro sul quale poggia un valido programma di prevenzione del rischio di frode riguarda le strutture preposte all’attività di vigilanza e controllo. Tale compito può essere assunto da vari organismi sia interni che esterni all’azienda, quali a titolo esemplificativo, il Comitato di Internal Audit, il Consiglio di Amministrazione, i fraud auditor: vanno tuttavia ricordati due aspetti cruciali: da un lato, il grado di autonomia assegnato a queste strutture di vigilanza e dall’altro, il loro campo d’azione.
Nessuna azienda, anche con i più forti controlli interni, è completamente protetta da frodi: rafforzando le politiche di controllo interno, dei processi e delle procedure, si inizierà un percorso di salvaguardia che ha come obiettivo la prevenzione verso le frodi sia interne che esterne.