AdSense4

Bing

AdSense3

venerdì 17 febbraio 2012

Intervista col frodatore (Parte II) - L’ascolto attivo

In base alle caratteristiche o alle finalità dell'interrogatorio, è bene assumere strategie di contatto o “ascolto attivo” allo scopo di massimizzare le informazioni acquisite.
Tali strategie variano molto in considerazione dei contesti nei quali si opera, generalmente, tuttavia, si tendono ad assumere le seguenti regole comportamentali:
  • mantenere il contatto visivo con l’interlocutore; 
  • osservare le espressioni facciali e il linguaggio del corpo; 
  • non trascurare la propria postura; 
  • dosare attentamente manifestazioni quali l'annuire o il mostrare solidarietà; 
  • adottare un tono di voce appropriato e composto; 
  • evitare i commenti su quanto si sta apprendendo; 
  • formulare domande opportune e chiare;
  • dimostrare di conoscere i fatti solo se ritenuto conveniente;
  • non polemizzare.
Se si tratta dell'interrogatorio di un testimone informato sui fatti ma non coinvolto nella frode, restio a fornire informazioni, ad esempio per eccessiva timidezza, per estrema riservatezza o per paura, lo si può facilitare attraverso appropriate tecniche di “rapport building”, quali ad esempio:
  • l’utilizzo di espressioni capaci di rompere il ghiaccio o di incoraggiare; 
  • l'ottenimento di un’atmosfera di collaborazione; 
  • la concessione di pause o di momenti di relax nel corso dell'intervista; 
  • il ricorso a frasi spiritose volte a ricercare un clima informale; 
  • l'evitare momenti di silenzio;
  • il formulare "domande aperte" solo quando il "clima" è disteso e favorevole. 

domenica 12 febbraio 2012

Sistemi antifrode: i pilastri fondamentali

(Fonte: http://www.diritto24.ilsole24ore.com/avvocatoAffari/professioneLegale/2012/02/sistemi-antifrode-i-pilastri-fondamentali.html)

------------------------------------------------------------------------------------------------------------

Sistemi antifrode: i pilastri fondamentali

I recenti casi di frode aziendale hanno portato l’attenzione del mondo economico e non solo, a focalizzarsi sui meccanismi che risultano essere maggiormente idonei a prevenire l’accadimento di determinati fenomeni criminali.
E’ stato ampiamente dimostrato infatti che proprio quelle aziende che intraprendono percorsi proattivi nell’implementazione di meccanismi volti a prevenire il verificarsi di comportamenti fraudolenti, ne registrano il minor numero di casi e che, conseguentemente, risultano maggiormente tutelate dalle eventuali conseguenze.
La sola definizione e introduzione di un sistema antifrode permette indubbiamente di mitigare il livello di rischio ma non assicura di per sé la soluzione del problema. Un serio ed organico programma di contrasto ai fenomeni illeciti, per essere davvero efficace, deve essere adottato in modo esteso dalla struttura organizzativa e deve essere costantemente aggiornato per riflettere le continue evoluzioni degli scenari interni ed esterni all’impresa.
Basti solo pensare quanto una ristrutturazione ovvero l’adempimento di una nuova norma legislativa, possano incidere sulla struttura organizzativa aziendale, comportando la necessità di aggiornare le procedure interne, tra le quali va annoverato il sistema antifrode.
L’intero management è chiamato ad essere responsabile dell’aggiornamento continuo dei processi di gestione del rischio di frode e più in particolare, gli organismi aziendali di governo, gestione e controllo, quali ad esempio il Consiglio di Amministrazione, i Comitati Esecutivi e Operativi, il Comitato di Vigilanza e Controllo, la funzione di Internal Audit e di Fraud Risk Management, la Security, eccetera.
Ma se da una parte è abbastanza chiaro chi abbia la responsabilità di gestire il più pericoloso dei rischi operativi (il rischio di frode appunto), dall’altra, nella realtà di tutti i giorni, non è semplice pensare di dirigere e coordinare risorse umane appartenenti a varie strutture e funzioni aziendali in modo tale da farle lavorare ad un progetto comune finalizzato alla definizione di un sistema organico e realmente efficace nel contrastare le frodi aziendali.
Per evitare le situazioni testé descritte, invero piuttosto frequenti da osservare, si è assistito all’istituzione di team di lavoro multidisciplinari creati “ad hoc”, immaginati e strutturati come unità autonome interamente preposte alla gestione dei programmi antifrode.
Ma quali sono i pilastri sui quali dovrebbe poggiare un buon sistema antifrode per risultare idoneo a prevenire il verificarsi di comportamenti fraudolenti?
Ad approcciare il problema e a cercare di fornire una risposta convincente sono state in prima istanza le istituzioni internazionali, fra le quali, per citarne solo alcune, l’American Institute of Certified Public Accountants, l’Association of Certified Fraud Examiners,l’Institute of Internal Auditors e l’Information Systems Audit and Control Association.
Secondo queste organizzazioni un sistema antifrode dovrebbe articolarsi sui seguenti pilastri:
  1. la creazione e il mantenimento di una cultura aziendale basata sull’etica e l’onestà;
  2. l’aggiornamento continuo dei sistemi e delle procedure di mitigazione del rischio di frode;
  3. il potenziamento e lo sviluppo delle strutture preposte alle attività di vigilanza e controllo.
Le ricerche confermano dunque come la prima priorità sia quella di migliorare l’ambiente di lavoro, cioè la cultura aziendale. Per semplicità si potrebbe affermare che la cultura aziendale è “il clima che si respira” in un ambiente di lavoro, il quale può essere orientato all’onestà e alla lealtà oppure essere malsano e quindi predisposto a tollerare ingiustizie di vario genere o violazioni di ridotta o elevata importanza.
Una cultura aziendale incentrata sull’etica e sul “fare la cosa giusta” è infatti il miglior antidoto per inibire o interrompere sul nascere comportamenti non corretti, disonesti o iniqui. Se da un lato tutta la struttura deve essere permeata da buoni principi, dall’altro è l’intero management chiamato per primo a dare il buon esempio, stabilendo la matrice dei valori ai quali tendere, ma soprattutto a comportarsi di conseguenza.
Tra i mezzi a disposizione per raggiungere lo scopo possono annoverarsi il Codice di Comportamento o il Codice Etico, da diffondere tramite gli strumenti più opportuni a tutti i livelli aziendali.
Un ambiente di lavoro positivo, sereno e corretto in cui il lavoratore non si senta abusato, sfruttato o semplicemente ignorato, è già una buona garanzia di successo nella lotta alle frodi aziendali interne. In questo ambiente favorevole i dipendenti, solitamente quelli più produttivi, diventano vere e proprie “sentinelle antifrode” rispettando in prima persona le regole ed esigendo che queste vengano rispettate anche dai colleghi meno disciplinati.
Il secondo pilastro dei modelli antifrode riguarda il complesso delle procedure e dei controlli adottati dall’azienda. Il primo passo da compiere consiste nell’individuare i punti di debolezza del sistema in essere e capire se da questi possano scaturire potenziali danni all’azienda.
Questa attività è chiamata “Fraud Risk Assessment” e risulta essere lo strumento più adatto ad effettuare la valutazione del complesso dei processi, delle procedure e delle attività aziendali al fine di individuarne i punti di debolezza. Solitamente questa attività è svolta da professionisti esterni, in quanto è necessaria una valutazione autonoma, indipendente e critica sulle reali vulnerabilità dei sistemi antifrode.
Una volta identificati i punti di debolezza occorre adeguare il modello di prevenzione, individuazione e deterrenza in modo da renderlo idoneo a gestire efficacemente un rischio, quale quello di frode, mai del tutto eliminabile e potenzialmente letale per l’azienda.
Il sistema così implementato non deve essere statico bensì deve evolvere nel corso degli anni. Il sistema economico è infatti dinamico, pertanto anche un sistema antifrode che si vuole mantenere in efficienza, seppur adeguato alle esigenze del momento, deve essere costantemente monitorato e migliorato.
L’ultimo pilastro sul quale poggia un valido programma di prevenzione del rischio di frode, riguarda le strutture preposte all’attività di vigilanza e controllo. Tale compito può essere assunto da vari organismi sia interni che esterni all’azienda, quali a titolo esemplificativo, il Comitato di Internal Audit, il Consiglio di Amministrazione, i fraud auditor.
In questa sede non è opportuno addentrarsi in disquisizioni di dettaglio in merito ai compiti da assegnare ai vari organi testé menzionati, compiti e responsabilità già ampiamente dibattuti sia a livello accademico che aziendale. Quello che preme sottolineare riguarda piuttosto due aspetti cruciali: da un lato il grado di autonomia assegnato a queste strutture di vigilanza e dall’altro il loro campo d’azione.
Assicurare il giusto grado di indipendenza e autonomia al personale preposto ai controlli è infatti necessario per il buon esito di qualsiasi iniziativa di contrasto degli illeciti. L’azienda dovrà dunque garantire piena capacità di iniziativa nella conduzione delle verifiche e delle attività investigative, tutelare gli operatori antifrode da possibili ritorsioni o vendette, assicurare momenti di formazione e aggiornamento.
Non sarebbe infatti efficace o sarebbe addirittura inutile, se ad esempio il Comitato di Internal Audit non disponesse, quando la situazione lo richiedesse, dell’autorità necessaria per condurre verifiche a sorpresa o per richiedere e ottenere dal managementrisposte convincenti riguardo determinati fatti accaduti.
Con riferimento invece al campo d’azione, preme sottolineare che questi organismi dovrebbero svolgere una funzione sostanzialmente duplice. Da un lato dovrebbero monitorare con senso critico la reale efficacia dei controlli posti in essere, dall’altro dovrebbero dare impulso al miglioramento dei sistemi di controllo sia a fronte delle inefficienze riscontrate sia a fronte dei mutamenti degli scenari interni o esterni all’azienda.

Stefano Martinazzo
Simone Migliorini

------------------------------------------------------------------------------------------------------------


mercoledì 8 febbraio 2012

Intervista col frodatore

Nel corso delle attività di fraud auditing condotte all'interno delle aziende private, mi è capitato, in varie occasioni, di interrogare (probabilmente sarebbe meglio utilizzare il termine "intervistare") colui che si sospettava essere il responsabile della frode o un soggetto a lui vicino.
Questa è un'eventualità che va presa in considerazione in presenza di alcune circostanze specifiche, come ad esempio quando si ha la necessità di:
  • ottenere la conferma di un'ipotesi investigativa;
  • raccogliere nuovi elementi da vagliare;
  • reperire ulteriore documentazione di supporto alle evidenze investigative;
  • valutare la consapevolezza o la percezione del frodatore sul danno arrecato all'azienda;
  • raccogliere in modo formale una testimonianza (tramite la redazione di un verbale);
  • verificare eventuali collusioni o complicità.
Il confronto con la "persona informata sui fatti" è una tappa critica nel processo di fraud auditing e, pertanto, sarebbe un errore affrontarla con superficialità e scarsa concentrazione. Per tale ragione l'incontro deve essere pianificato nei minimi dettagli e con il contributo fondamentale dei consulenti legali. 

Innanzitutto è necessario definire l’obiettivo che si vuole raggiungere, in secondo luogo individuare il soggetto più indicato a fornire l’informazione ricercata ("soggetto target") e, infine, determinare il momento adatto in cui procedere. 
La volontà di ricorrere all'intervista, salvo casi specifici, deve essere concordata con il committente dell'incarico di forensic accounting, che deve concedere la formale autorizzazione.
Anche gli argomenti da trattare, le domande da porre, le tecniche di fraud interviewing da utilizzare e gli eventuali documenti da sottoporre all'intervistato, devono essere definiti con la massima precisione.

Solitamente questa fase di contatto tra chi indaga e chi è coinvolto nella frode, si snoda in due fasi differenti. Una prima fase, che si potrebbe definire "preparatoria", riguarda la definizione della strategia, dell'approccio e della forma dell'intervista, mentre la seconda fase, di natura prettamente "operativa", si traduce nella convocazione e intervista del soggetto. 

Ad esempio, se in presenza di un sospetto di frode on the book (frode contabile o di bilancio) commessa da un funzionario dell’ufficio amministrativo, l’obiettivo del fraud auditor fosse quello di appurare i meccanismi attraverso i quali sia stato possibile alterare il dato del fatturato, la procedura da adottare potrebbe essere simile alla seguente: 

FASE PREPARATORIA
  • assunzione delle "informazioni di contesto": organigramma dell'ufficio amministrativo, procedure operative adottate, caratteristica dei report prodotti dal sistema contabile, eccetera;
  • ottenimento di informazioni sul "soggetto target": data di assunzione, esperienze pregresse, eventi accaduti nel corso della vita lavorativa, presenza di conflitti con i colleghi o con l'azienda, avanzamenti di carriera, premi/bonus percepiti, eccetera;
  • acquisizione di informazioni sulle attività svolte presso l'ufficio amministrativo: ruoli e mansioni ricoperte, livelli di responsabilità, usi e consuetudini di lavoro, eccetera;
  • pianificazione dell'incontro: definizione delle domande e di chi le pone, del luogo dell'incontro e della forma di convocazione da utilizzare, identificazione dei tabulati contabili e delle prove documentali da condividere con l'intervistato, eccetera). 
FASE OPERATIVA
  • convocazione del soggetto;
  • conduzione dell'intervista mediante l'applicazione delle tecniche di fraud interviewing;
  • eventuale redazione di un verbale;
  • eventuale comminazione di sanzioni o di provvedimenti disciplinari.

Naturalmente l’approccio e le modalità di esecuzione dello scenario prospettato variano notevolmente da caso a caso.
Inoltre non bisogna dimenticare mai che il fraud auditor si può muovere solo all'interno di precisi, e non derogabili, paletti legislativi. In altre parole al fraud auditor non possono essere attribuite funzioni quali quelle esercitabili in via esclusiva dagli organi di polizia giudiziaria.

Per tali motivi non è possibile definire un criterio univoco o un protocollo standard di svolgimento dell’intervista col frodatore.
Ogni esperienza vissuta, infatti, rappresenta una storia a sé stante, con dettagli e condizioni notevolmente differenti.

mercoledì 1 febbraio 2012

Fraud Risk Management

Tra gli strumenti utilizzati dalla corporate governance per gestire o, meglio, mitigare il rischio di frode aziendale, si devono menzionare i modelli di Fraud Risk Management (o FRM).
Si tratta sostanzialmente di un'insieme organico di regole, metodologie, procedure e attività di controllo finalizzate a garantire:
  • l'applicazione diligente e scrupolosa del modello antifrode;
  • la capacità di creare misure correttive al modello in modo da mantenerlo efficace;
  • che le attività di fraud auditing possano avvenire secondo criteri di indipendenza e di autonomia.
Tuttavia, è bene dirlo, non è assolutamente facile intercettare i più variegati comportamenti illeciti mediante sistemi automatizzati di prevenzione più o meno sofisticati.
Solitamente, infatti, chi froda con astuzia si pone l'obiettivo di celare la propria condotta illecita simulando informazioni e/o comportamenti apparentemente ragionevoli e coerenti e quindi non riconoscibili dai sistemi di monitoraggio aziendali.
Inoltre le strategie e le regole elaborate per bloccare le frodi sono inevitabilmente svelate nel momento stesso in cui sono applicate, pertanto il frodatore può beneficiare di un vantaggio se individua un sistema per aggirare i controlli.

A mio avviso dunque, si commetterebbe un grave errore se si pensasse di risolvere il problema delle frodi aziendali con la sola introduzione di un modello di FRM, seppur implementato e gestito attraverso i più elevati standard teorici e dottrinali.
Il contrasto alle frodi aziendali può avviene solo grazie ad un sistema permanente di azioni e reazioni idoneo a rincorrere ed anticipare le evoluzioni dei fenomeni illeciti.
Per tale ragione sono sempre più convinto che l'introduzione dei sistemi di FRM debba essere gestita esclusivamente da personale altamente qualificato, quale i fraud auditor.

Sono numerosi gli studi dottrinali che identificano i migliori approcci di FRM. Alcuni sono basati sui modelli di controllo interno quali il CoSO e il CoCO framework, altri sulle teorie sociologiche riassunte dalla famosa (e vetusta) “fraud triangle theory”.
Tutti questi modelli però si snodano attraverso fasi successive di intervento, sostanzialmente riconducibili ai seguenti step:
  • la prevenzione (fraud prevention);
  • l'individuazione di anomalie (fraud detection);
  • l'indagine e l'investigazione delle anomalie (fraud investigation);
  • lo sviluppo di contromisure (fraud response).
In seguito all'analisi e all'applicazione di numerosi modelli di FRM, posso affermare che i risultati migliori sono stati raggiunti nelle realtà aziendali in cui un top management onesto e leale, ha saputo informare i propri dipendenti che un eventuale illecito sarebbe stato considerato un atto immorale, disonesto e sfavorevole e pertanto sarebbe stato combattuto con ogni mezzo e che la reazione dell'azienda sarebbe stata tempestiva e rigorosa (questo approccio si basa sulle teorie di fraud deterrence).
Condivido infatti chi sostiene che l’intento dei programmi antifrode è prima di tutto quello di educare all’onestà ogni soggetto che interagisce con l’azienda: dai dipendenti agli organi sociali, dai soci/azionisti agli amministratori, dai soggetti terzi quali fornitori e clienti ai consulenti e revisori.
L’utilizzo fermo di codici di deterrenza ha garantito, almeno nei casi di cui mi sono occupato, una certa diffusione dell'onestà in quanto chi froda è consapevole che se individuato andrà incontro, senza eccezioni, a conseguenze disciplinari e penali.
Pertanto, in base a tale prospettiva, le regole vigenti in azienda devono impedire che i soggetti disonesti abbiano vantaggi tali da diffondere un principio alquanto pericoloso, cioè che l’abilità a frodare paghi!

In buona sostanza, un’azienda dotata di un sistema di regole virtuoso considera il dipendente disonesto, a maggior ragione se appartenente agli organismi direttivi, come colui che ha violato una sorta di dovere di fedeltà verso l'organizzazione per la quale presta lavoro.
Pertanto credo che un modello di FRM deve fondarsi innanzitutto su profili etici di assoluta levatura, volti alla ricerca di un ambiente leale e onesto, nel quale regna la fiducia e il rispetto reciproco.
Tali risultati si ottengono incentivando la collaborazione, applicando le regole con equilibrio e in modo uniforme, premiando adeguatamente le responsabilità e le competenze, creando valore per il lavoratore, non solo economico, ma anche, ad esempio, attraverso il miglioramento dello stile di vita in azienda.