Ripropongo l'articolo scritto di Nicola Pecchiari pubblicato sulla rivista "Via Sarfatti 25 - Il quotidiano della Bocconi" il 19 luglio 2011.
Mi trovo completamente d'accordo con le osservazioni formulate dal professore in quanto rispecchiano le esperienze maturate sul campo durante gli incarichi di fraud auditing. Ma quale credibilità possono avere mappature dei rischi di frode realizzate dallo stesso management, quando questo, come dimostrano le indagini empiriche, è spesso coinvolto in prima persona nella commissione delle frodi?
Il fraud risk assessment non e' per i manager
La realtà
evidenzia troppi conflitti di interesse: è decisamente meglio progettare un apposito
audit department
di Nicola Pecchiari,
lecturer Bocconi
Sempre più normative e
prassi stimolano la necessità per le imprese di prevenire la manifestazione di
frodi aziendali, siano esse a danno o a vantaggio delle attività economiche.
Tutti concordano sulla necessità di prevedere una specifica attività di
individuazione dei rischi di frode allo scopo di definire opportune modalità di
prevenzione delle frodi medesime: mediante adeguati sistemi di controllo
anti-fraud oppure eliminando le attività aziendali che incorporano rilevanti e
non mitigabili rischi di frode.
Il fraud risk management
non può però costituire l’ennesimo ambito nel quale applicare tecniche di risk
assessment prevalentemente qualitative e, conseguentemente, soggettive, quali
ad esempio l’utilizzo di matrici di rischio (probabilità vs. impatto) e di
punteggi attribuiti dal management alle diverse fattispecie di rischio.
Si è già detto e scritto
molto sulle semplificazioni insite in strumenti quali, per esempio, le matrici
di rischio, ancorché si assista diffusamente a “spericolati” tentativi di
applicazione di questi “grafici” alla rappresentazione dei rischi di frode.
In ogni caso,
l’applicazione di metodologie di risk management all’ambito dei rischi di frode
solleva, con forza inaudita, un problema ampiamente noto. Il sistema di
controllo consente di prevenire e mitigare errori che possono compromettere il
raggiungimento degli obiettivi aziendali, come definiti dai vertici aziendali.
In questo senso si è sempre detto che il tone at the top (l’esempio dall’alto)
costituisce elemento essenziale e imprescindibile per la progettazione e
funzionamento di adeguati controlli interni.
Ma allora si pone una
questione cruciale, forse un dilemma.
Quale credibilità possono
ricevere mappature dei rischi di frode realizzate dallo stesso management
quando questo, come dimostrano le indagini empiriche, è spesso coinvolto in
prima persona nella commissione delle frodi? E allora come definire e valutare
il tone at the top nel caso dei rischi di frode? E se gli incentivi attribuiti
ai manager sono spesso assai rilevanti e allettanti, non così si può dire per
il sistema sanzionatorio, almeno finché in Italia non assisteremo a sanzioni
come i 150 anni ai quali è stato condannato Madoff e finché invece
continueranno a essere erogate liquidazioni da sogno ad amministratori che non
si sono certo contraddistinti per una gestione corretta.
Ciò induce a un
ripensamento critico delle modalità di applicazione del fraud risk assessment,
il quale non può essere lasciato alla autonomia del management, proprio per il
fatto che, sovente, sono gli stessi soggetti apicali ad essere coinvolti in
prima persona nella realizzazione delle frodi, a vantaggio o a danno
dell’impresa.
L’esperienza di grandi
imprese che hanno vissuto in passato grandi scandali incentrati su frodi del
top management ci insegna qualcosa. Il riconoscimento della scarsa attitudine
e/o interesse del management a individuare nel dettaglio i rischi di frode, ha
condotto tali imprese a costituire all’interno dell’organizzazione unità
specializzate in tutte le fasi del processo di audit delle frodi (risk
assessment, riprogettazione dei controlli interni in logica anti-fraud,
investigazioni e audit): le chiamano forensic audit o fraud audit department e
sono unità organizzative distinte dalle tradizionali funzioni di internal
audit, cui rimane il compito di monitorare i controlli interni preposti ad
obiettivi di economicità e di attendibilità dei sistemi informativi.
Il fraud audit department
consolida pertanto non solo l’esistenza di competenze specifiche all’interno
delle organizzazioni, ma anche la necessità di riconoscere l’inevitabile
conflitto di interessi che il management possiede in questo ambito.
