(Fonte: http://www.diritto24.ilsole24ore.com/avvocatoAffari/professioneLegale/2012/02/sistemi-antifrode-i-pilastri-fondamentali.html)
------------------------------------------------------------------------------------------------------------
Sistemi antifrode: i pilastri fondamentali
I recenti casi di frode aziendale hanno portato l’attenzione del mondo economico e non solo, a focalizzarsi sui meccanismi che risultano essere maggiormente idonei a prevenire l’accadimento di determinati fenomeni criminali.
E’ stato ampiamente dimostrato infatti che proprio quelle aziende che intraprendono percorsi proattivi nell’implementazione di meccanismi volti a prevenire il verificarsi di comportamenti fraudolenti, ne registrano il minor numero di casi e che, conseguentemente, risultano maggiormente tutelate dalle eventuali conseguenze.
La sola definizione e introduzione di un sistema antifrode permette indubbiamente di mitigare il livello di rischio ma non assicura di per sé la soluzione del problema. Un serio ed organico programma di contrasto ai fenomeni illeciti, per essere davvero efficace, deve essere adottato in modo esteso dalla struttura organizzativa e deve essere costantemente aggiornato per riflettere le continue evoluzioni degli scenari interni ed esterni all’impresa.
Basti solo pensare quanto una ristrutturazione ovvero l’adempimento di una nuova norma legislativa, possano incidere sulla struttura organizzativa aziendale, comportando la necessità di aggiornare le procedure interne, tra le quali va annoverato il sistema antifrode.
L’intero management è chiamato ad essere responsabile dell’aggiornamento continuo dei processi di gestione del rischio di frode e più in particolare, gli organismi aziendali di governo, gestione e controllo, quali ad esempio il Consiglio di Amministrazione, i Comitati Esecutivi e Operativi, il Comitato di Vigilanza e Controllo, la funzione di Internal Audit e di Fraud Risk Management, la Security, eccetera.
Ma se da una parte è abbastanza chiaro chi abbia la responsabilità di gestire il più pericoloso dei rischi operativi (il rischio di frode appunto), dall’altra, nella realtà di tutti i giorni, non è semplice pensare di dirigere e coordinare risorse umane appartenenti a varie strutture e funzioni aziendali in modo tale da farle lavorare ad un progetto comune finalizzato alla definizione di un sistema organico e realmente efficace nel contrastare le frodi aziendali.
Per evitare le situazioni testé descritte, invero piuttosto frequenti da osservare, si è assistito all’istituzione di team di lavoro multidisciplinari creati “ad hoc”, immaginati e strutturati come unità autonome interamente preposte alla gestione dei programmi antifrode.
Ma quali sono i pilastri sui quali dovrebbe poggiare un buon sistema antifrode per risultare idoneo a prevenire il verificarsi di comportamenti fraudolenti?
Ad approcciare il problema e a cercare di fornire una risposta convincente sono state in prima istanza le istituzioni internazionali, fra le quali, per citarne solo alcune, l’American Institute of Certified Public Accountants, l’Association of Certified Fraud Examiners,l’Institute of Internal Auditors e l’Information Systems Audit and Control Association.
Secondo queste organizzazioni un sistema antifrode dovrebbe articolarsi sui seguenti pilastri:
- la creazione e il mantenimento di una cultura aziendale basata sull’etica e l’onestà;
- l’aggiornamento continuo dei sistemi e delle procedure di mitigazione del rischio di frode;
- il potenziamento e lo sviluppo delle strutture preposte alle attività di vigilanza e controllo.
Una cultura aziendale incentrata sull’etica e sul “fare la cosa giusta” è infatti il miglior antidoto per inibire o interrompere sul nascere comportamenti non corretti, disonesti o iniqui. Se da un lato tutta la struttura deve essere permeata da buoni principi, dall’altro è l’intero management chiamato per primo a dare il buon esempio, stabilendo la matrice dei valori ai quali tendere, ma soprattutto a comportarsi di conseguenza.
Tra i mezzi a disposizione per raggiungere lo scopo possono annoverarsi il Codice di Comportamento o il Codice Etico, da diffondere tramite gli strumenti più opportuni a tutti i livelli aziendali.
Un ambiente di lavoro positivo, sereno e corretto in cui il lavoratore non si senta abusato, sfruttato o semplicemente ignorato, è già una buona garanzia di successo nella lotta alle frodi aziendali interne. In questo ambiente favorevole i dipendenti, solitamente quelli più produttivi, diventano vere e proprie “sentinelle antifrode” rispettando in prima persona le regole ed esigendo che queste vengano rispettate anche dai colleghi meno disciplinati.
Il secondo pilastro dei modelli antifrode riguarda il complesso delle procedure e dei controlli adottati dall’azienda. Il primo passo da compiere consiste nell’individuare i punti di debolezza del sistema in essere e capire se da questi possano scaturire potenziali danni all’azienda.
Questa attività è chiamata “Fraud Risk Assessment” e risulta essere lo strumento più adatto ad effettuare la valutazione del complesso dei processi, delle procedure e delle attività aziendali al fine di individuarne i punti di debolezza. Solitamente questa attività è svolta da professionisti esterni, in quanto è necessaria una valutazione autonoma, indipendente e critica sulle reali vulnerabilità dei sistemi antifrode.
Una volta identificati i punti di debolezza occorre adeguare il modello di prevenzione, individuazione e deterrenza in modo da renderlo idoneo a gestire efficacemente un rischio, quale quello di frode, mai del tutto eliminabile e potenzialmente letale per l’azienda.
Il sistema così implementato non deve essere statico bensì deve evolvere nel corso degli anni. Il sistema economico è infatti dinamico, pertanto anche un sistema antifrode che si vuole mantenere in efficienza, seppur adeguato alle esigenze del momento, deve essere costantemente monitorato e migliorato.
L’ultimo pilastro sul quale poggia un valido programma di prevenzione del rischio di frode, riguarda le strutture preposte all’attività di vigilanza e controllo. Tale compito può essere assunto da vari organismi sia interni che esterni all’azienda, quali a titolo esemplificativo, il Comitato di Internal Audit, il Consiglio di Amministrazione, i fraud auditor.
In questa sede non è opportuno addentrarsi in disquisizioni di dettaglio in merito ai compiti da assegnare ai vari organi testé menzionati, compiti e responsabilità già ampiamente dibattuti sia a livello accademico che aziendale. Quello che preme sottolineare riguarda piuttosto due aspetti cruciali: da un lato il grado di autonomia assegnato a queste strutture di vigilanza e dall’altro il loro campo d’azione.
Assicurare il giusto grado di indipendenza e autonomia al personale preposto ai controlli è infatti necessario per il buon esito di qualsiasi iniziativa di contrasto degli illeciti. L’azienda dovrà dunque garantire piena capacità di iniziativa nella conduzione delle verifiche e delle attività investigative, tutelare gli operatori antifrode da possibili ritorsioni o vendette, assicurare momenti di formazione e aggiornamento.
Non sarebbe infatti efficace o sarebbe addirittura inutile, se ad esempio il Comitato di Internal Audit non disponesse, quando la situazione lo richiedesse, dell’autorità necessaria per condurre verifiche a sorpresa o per richiedere e ottenere dal managementrisposte convincenti riguardo determinati fatti accaduti.
Con riferimento invece al campo d’azione, preme sottolineare che questi organismi dovrebbero svolgere una funzione sostanzialmente duplice. Da un lato dovrebbero monitorare con senso critico la reale efficacia dei controlli posti in essere, dall’altro dovrebbero dare impulso al miglioramento dei sistemi di controllo sia a fronte delle inefficienze riscontrate sia a fronte dei mutamenti degli scenari interni o esterni all’azienda.
Stefano Martinazzo
Simone Migliorini
------------------------------------------------------------------------------------------------------------
