Fraud Risk Management

Fraud Risk Management

La possibilità di realizzare un'adeguata prevenzione alle frodi non può esistere se l'azienda non ha saputo raggiungere almeno l'obiettivo minimo di attuare un solido impianto di controllo interno. A fronte dei mutamenti degli scenari economici, caratterizzati da competizioni sempre più forti e da repentine modifiche tecnologiche, di servizi e di prodotti, la direzione dell'impresa ha la necessità di dotarsi di strumenti e modelli per fronteggiare i rischi.

Le aziende ostacolano e  inibiscono i comportamenti fraudolenti attraverso un articolato sistema di controlli, prevenzioni e sanzioni che può essere ordinato in tre livelli principali di azione :

1. il sistema di controllo interno;
2. il sistema di fraud auditing;
3. il sistema di fraud proving.

In generale l'intero sistema di controllo aziendale è detto fraud proofing, ovvero un sistema di controllo che permette alla società di operare in un regime di frode "controllata". L'obiettivo è quello di tutelare il patrimonio, il valore e l'immagine dell'azienda.

Il sistema di fraud auditing verifica l'efficacia del sistema di controllo interno in materia di frodi; la sua azione è quindi principalmente volta a prevenire ed anticipare gli atti fraudolenti.

Il sistema di fraud proving, invece, agisce in seconda battuta, quando si percepisce che una frode è stata commessa, con l'obiettivo di individuarla e, se possibile, riuscire ad ottenere il relativo risarcimento del danno.

In generale si può quindi affermare che mentre l'azione di fraud auditing ha come obiettivo la riduzione del rischio di frode, il fraud proving agisce a frode compita.

Il controllo interno, secondo quanto definito dall'American Institute of Certified Public Accountants, è l'insieme (sul piano organizzativo) dei metodi e delle procedure coordinati fra loro per la salvaguardia del patrimonio aziendale, il controllo dell'accuratezza e della validità dei dati contabili, l'aumento dell'efficienza operativa e la verifica dell'aderenza delle operazioni alle linee guida e alle politiche indicate dalla direzione.

Ovviamente, con un sistema fraud proofing non si mira ad ottenere una totale eliminazione del rischio di frode, poiché ciò sarebbe poco conveniente sotto il profilo economico. Infatti, l'accettazione del rischio di frode deve essere considerata in relazione ad un'analisi costi/benefici dato che la difesa da un'ampia varietà di atti illeciti deve essere fatta massimizzando i risultati potenzialmente raggiungibili in presenza di risorse limitate. Di conseguenza, ogni azienda che vuole sviluppare una strategia di difesa contro le frodi deve avere ben chiari:

gli obiettivi concretamente raggiungibili;

gli strumenti con i quali realizzare questi obiettivi.

Pertanto un sistema fraud proofing deve essere attuato attraverso la definizione e la realizzazione delle seguenti attività:

determinazione del rischio di frode generico della società in relazione alle aree critiche del proprio business;

determinazione del rischio di frode specifico dei cicli operativi della società;

prevenzione delle frodi nelle aree e nei cicli critici attraverso un sistema di controllo interno fraud proofing e la creazione di un adeguato e compatibile ambiente etico;

verifica periodica dei risultati delle prevenzioni adottate su aree e cicli;

adeguamento continuo, del sistema creato, alle nuove esigenze operative e organizzative.

Inoltre, il sistema di controllo e gestione delle frodi deve essere strettamente correlato alla rilevanza dei rischi, quest'ultima è data dalla probabilità e dall'entità del danno.

Una situazione caratterizzata da una bassa probabilità e da un'altrettanto bassa entità del danno può essere sostanzialmente qualificata come una situazione non rilevante ai fini della gestione del rischio. Viceversa una situazione caratterizzata da un'elevata probabilità ed entità del danno è sicuramente una situazione rischiosa, da gestire con attenzione.

Per identificare e quantificare le frodi subite dall'azienda viene inserita nella stessa una particolare figura: il fraud auditor.

Il fraud auditing è costituito da tre tipologie di attività molto diverse tra loro[2]:

I.       auditing ai fini del rafforzamento del sistema di controllo preventivo;

II.     auditing di tipo ispettivo al fine di individuare eventuali atti sospetti, e allo stesso tempo fornire un deterrente intrinseco al potenziale illecito;

III.   investigazione di gravi sospetti di atti illeciti al fine di determinare la responsabilità e i danni subiti dall'azienda.

Il fraud auditing ai fini del rafforzamento del sistema di controllo preventivo si svolge mediante analisi di processo focalizzandosi in tutto o in parte sui rischi di frode. Il fraud auditor è pertanto in grado di individuare e valutare in via preventiva le aree aziendali più critiche, dove con maggiore facilità potrebbe annidarsi un rischio di attività illecita e proporre soluzioni preventive.

L'individuazione e la successiva valutazione dei rischi di frode che possono minacciare il regolare svolgimento dell'operatività aziendale condurranno infatti l'auditor a promuovere iniziative volte ad una attenuazione di tali rischi attraverso il miglioramento delle strategie di controllo. Evitare, infatti, che si possano verificare fenomeni fraudolenti vuol dire intraprendere tutte le azioni preventive necessarie a disincentivarne il compimento.

Il fraud auditing ai fini dell'identificazione di atti sospetti si svolge attraverso l'attuazione di attività volte a prevenire e disincentivare il compimento di atti illeciti. Il fraud auditor in queste situazioni è in grado di individuare casi sospetti di illecito mediante segnali conosciuti di allarme.

Nel caso in cui vengano intercettati segnali di possibili azioni fraudolente, l'auditor deve valutare se avviare ulteriori approfondimenti o se segnalare a eventuali autorità interne all'azienda o al management l'anomalia, promuovendo un'indagine investigativa mirata.

Il fraud auditing ai fini dell'investigazione di gravi sospetti di atti illeciti richiede che l'auditor abbia conoscenza, almeno generica, delle diverse tipologie di frode, dei modi con cui queste vengono commesse e degli indicatori che ne possono segnalare la presenza.

Una volta individuato un evento di possibile frode, al fraud auditor può essere chiesto di svolgere un'indagine che permetta di accertare le effettive responsabilità interne e, per quanto possibile, esterne, quantificare i danni e determinare le azioni da proporre alle funzioni preposte agli aspetti gestionali.

Le indagini sui sospetti di frode richiedono pertanto competenze specialistiche ai fini della ricostruzione specifica dell'evento.

Di conseguenza, un'informazione è rilevante quando la sua mancanza o la sua imprecisa rappresentazione potrebbe influenzare le decisioni economiche che la direzione prende sulla base del bilancio. La rilevanza dipende dalla natura e dalla dimensione della voce in esame, da valutare nelle particolari circostanze della sua omissione o imprecisione.

È utile ricordare che anche frodi apparentemente irrilevanti possono dare vita a processi imitativi in grado di autogenerarsi fino a rappresentare veri e propri pericoli per l'azienda. Nella stima della rilevanza del rischio occorre quindi tener conto anche di questo rischio indiretto, molto pericoloso perché in grado di generare con elevata probabilità danni anche di entità incalcolabile.

Ovviamente nessuna azienda è esonerata dal rischio di frode, pertanto in ognuna di esse dovrebbe esserci un sistema di risk management articolato nel seguente modo:

coscienza del rischio;

stima del rischio;

definizione del livello di accettazione;

definizione del sistema di controllo e di fronteggiamento dei rischi di natura generale e specifica;

valutazione dell'efficacia del sistema e sua eventuale correzione.

La reale modalità di fronteggiamento si concretizza in quattro alternative di base:

la rinuncia ad azioni concrete di fronteggiamento del rischio di frode;

il trasferimento ad altri della copertura di eventuali danni;

l'implementazione di un sistema di controllo interno;

la possibile combinazione delle tre possibilità sopra richiamate.

Essendo impossibile eliminare completamente il rischio di frode, occorre definire il livello di rischiosità considerato accettabile.

La possibilità di non far niente per fronteggiare il rischio è giustificata dalla consapevolezza di aver prima maturato la coscienza del rischio.

La seconda possibilità è rappresentata dalla scelta di trasferire a terzi l'eventuale danno. In questo caso si va incontro ad un danno certo per fronteggiare un danno potenziale, cioè l'eventuale frode. Anche in questo caso la stima della rilevanza del rischio diventa essenziale per condurre il confronto in modo corretto.

Infine la terza alternativa è quella di creare un sistema di controllo interno volto anche alla scoperta e alla prevenzione delle frodi.

Nella realtà le aziende applicano simultaneamente una combinazione di queste tre alternative.

Dato che negli ultimi anni si è assistito a un progressivo incremento delle frodi aziendali, è aumentata, di conseguenza, anche l'esigenza di proteggere gli elementi aziendali dal rischio di frode.

Le metodologie comunemente usate per fronteggiare le frodi sono[3]:

approccio dirigista;

approccio del monitoraggio;

approccio investigativo;

approccio preventivo;

approccio assicurativo.

L'approccio dirigista è, di solito, adottato dalle piccole e medie imprese che hanno limitate problematiche di frode. Tale metodo si caratterizza per:

il controllo dell'attività operativa direttamente effettuata e concentrata nei vertici societari;

il sistema capillare e rigoroso dei controlli,

il controllo principalmente incentrato su frodi potenzialmente realizzabili nei cicli aziendali.

Ciò che qualifica questo approccio è l'assenza di supporti esterni ai vertici societari che impostano e coordinano i sistemi preposti ai controlli, delegandoli, a volte e in parte, a livelli operativi in azienda e giudicati di fiducia.

Questo tipo di metodologia è facilmente eludibile dall'interno dell'organizzazione che sa ben valutare l'effettiva portata dei provvedimenti destinati al controllo e le loro reali conseguenze. Nonostante i propositi i controlli vengono trascurati ed eseguiti frettolosamente senza criteri specifici; i rapporti di fiducia vengono ritenuti più importanti delle risultanze contabili per le quali, talvolta, non c'è neanche un impianto di procedure di controllo interno atto ad assicurarne la correttezza.

L'approccio dirigista usualmente nasce e si sviluppa per la volontà dei vertici ed è da questi adattato al crescere dell'operatività o delle dimensioni aziendali.

L'approccio del monitoraggio si caratterizza per:

• la separazione del controllo dell'attività operativa vera e propria da quello dell'attività operativa in funzione antifrode;
• l'esistenza di un controllo antifrode societaria rigoroso e puntuale, anche se non programmato;
• l'esistenza di un controllo incentrato per la quasi totalità su frodi realizzabili su cicli aziendali specifici saltuariamente estendibile ad altri cicli e rarissime volte coinvolgente aree critiche.

Sia il sistema dirigista che il sistema del monitoraggio hanno origini legate a decisioni aziendali o ad iniziative di alcuni membri della direzione o dei vertici societari e non sono mai realmente strutturati ed integrati organicamente con il sistema di controllo interno.

Tra i limiti dell'approccio al monitoraggio c'è la crescita delle dimensioni aziendali, per cui viene meno la funzione vera e propria di controllo delle frodi. Sovente, il controllo specifico delle operazioni che avrebbero dovuto essere monitorate o rilevate non viene, di fatto, mai compiutamente realizzato anche da parte degli uffici preposti a svolgere questa specifica funzione.

Il monitoraggio rappresenta un metodo evoluto, se appropriatamente e sistematicamente utilizzato, ma la sua efficienza nella prevenzione delle frodi impone che esso sia usato con tempestive e puntuali misure di correzione che limitino adeguatamente e secondo precisi obiettivi, il flusso delle informazioni e le modalità di trasmissione dei dati.

Un altro rilevante limite è che esso deve essere affiancato dalla possibilità di verificare la completezza dei dati che sono trasmessi e procedurizzati, nonché la loro corrispondenza ai dati effettivi delle operazioni.

Diversamente, una strategia di prevenzione delle frodi, basata esclusivamente sul monitoraggio rischierebbe di essere aggirata da:

errate trasmissioni di documenti;

errata individuazione di anagrafiche per i fornitori;

errata individuazione degli ammontari relativi ad importi diversi da quelli ritraibili univocamente da documenti contabili certi;

incompleta documentazione di supporto o individuazione dell'operazione;

mancanza della possibilità di individuare gli operatori addetti all'operazione o i soggetti che hanno autorizzato l'operazione.

L'approccio al monitoraggio è quindi vulnerabile perché è facilmente prevedibile il comportamento dell'organizzazione in relazione alla procedurizzazione dei dati raccolti.

L'approccio investigativo non sta ad indicare che le frodi vengono prevenute attraverso indagini da svolgersi in azienda; il termine, infatti, definisce una particolare forma di controllo, sistematico e specialistico, svolto da auditor interni o esterni altamente specializzati nell'individuazione delle frodi.

Le caratteristiche fondamentali dei fraud auditor sono:

una specifica formazione;

una specifica esperienza;

uno specifico aggiornamento;

una particolare capacità operativa /organizzativa.

Tale approccio per essere realmente incisivo deve consentire la possibilità di spaziare all'interno delle singole voci dei bilanci nel rispetto della normativa, avendo libero accesso a:

corrispondenza;

archivi;

documenti contabili;

uffici operativi, magazzini, impianti produttivi,

L'attività degli auditors impiegati per realizzare l'approccio investigativo dovrebbe essere infine protesa alla verifica delle voci di conto economiche tradizionalmente poco attive anche per gli auditor esterni.

Generalmente l'approccio seguito per gestire la frode è di tipo ispettivo, ovvero solo dopo che la frode si verifica si predispongono delle procedure per evitare che tale atto si presenti di nuovo.

In pratica, le fasi in cui si articola tale metodo sono:

a)   identificazione dei sintomi della frode (di solito accidentale);

b)   svolgimento di attività investigativa;

c)   individuazione dei responsabili del crimine;

d)   attuazione di sanzioni predisposte dall'alta direzione;

e)   compimento di interventi correttivi per il miglioramento del sistema di controllo interno.

Questo tipo di metodo comporta un esborso di risorse notevole, soprattutto nell'attività investigativa, ed inoltre molti comportamenti fraudolenti rimangono sconosciuti; quindi non viene tutelato in modo adeguato il patrimonio aziendale.

L'approccio preventivo è da considerarsi il più efficiente ed efficace nella lotta alle frodi realizzate nella società. Questo approccio, secondo la dottrina americana, riduce la percentuale di rischio di frode dell'organizzazione nei suoi punti critici e dovrebbe obbligatoriamente essere adottato da tutte le società che abbiano valori mobiliari quotati[4].

L'approccio preventivo si distingue dagli altri per il fatto di essere sistematico e di anticipare i tentativi di frode. È sistematico perché utilizza sinergicamente e complementariamente approcci quali quello del monitoraggio, investigativo e assicurativo. Nella prevenzione questi tre approcci sono correttamente integrati tra loro da profondi adattamenti operativi resi necessari per l'inserimento nelle procedure aziendali del controllo interno fraud proofing  e fraud audit.

Tale approccio per combattere le frodi presuppone, a differenza degli altri metodi, un'adeguata qualificazione organizzativa, procedurale ed informatica dell'azienda, per poter programmare adeguati interventi organizzativi.

Ulteriore caratteristica di tale metodologia è che si innesta su informazioni di feed-back che richiedono particolari accorgimenti nelle procedure aziendali quali ad esempio:

l'ottenimento di trasparenza operativa;

la normalizzazione delle procedure operative;

la standardizzazione contabile degli accadimenti più rilevanti;

la documentazione delle scelte;

la separazione dei compiti e delle funzioni da quelle del controllo sulle operazioni;

la creazione di canali di integrazione e di comunicazione fra funzioni e società;

lo sviluppo delle relazioni interne sia a livello organizzativo sia operativo;

lo sviluppo di un ambiente etico;

lo sviluppo di specifiche procedure informatiche, per creare anche a livello informatico automatismi che consentano di monitorare criticamente operazioni aziendali.

Pertanto l'approccio preventivo, se correttamente applicato, rappresenta la sintesi di controlli contabili, fisici manageriali e informatici, che sinergicamente attivati permettono di realizzare:

l'individuazione di frodi contabili (on the book) attraverso particolari verifiche effettuate sulle scritture contabili e su conti critici che sono inerenti a cicli critici aziendali;

l'individuazione di frodi extra-contabili (off the book) attraverso l'analisi delle aree critiche delle relazioni societarie relative alla fornitura di beni e servizi più significativi combinata con l'analisi degli indicatori gestionali o con l'analisi dei costi.

La strategia con la quale si sviluppa l'approccio alla prevenzione è duplice:

da una parte si cerca di aumentare la capacità di individuazione delle frodi; ciò può essere perseguito attraverso la creazione di un adeguato sistema di controlli interni all'impresa capace di garantire l'individuazione di particolari operazioni a rischio canalizzando adeguatamente  specifici e tempestivi controlli.

dall'altra si cerca di diminuire la possibilità di realizzare le frodi; ciò anche attraverso l'approccio ispettivo, adeguatamente dosato, per consentire il naturale sviluppo dell'ambiente etico anche in presenza di autonomia gestionale ed operativa crescente.

L'approccio assicurativo è una metodologia residuale alla prevenzione delle frodi, per definirlo occorre:

identificare e valutare i rischi scoperti dal sistema fraud proof in modo da costruire un quadro esatto delle operazioni che minacciano il patrimonio della società;

sviluppare un processo decisionale di generazione e selezione delle proposte di investimento assicurativo, secondo criteri di economicità e nel rispetto della complessiva strategia aziendale;

attuare le scelte in base a principi di corretto ed efficiente impiego delle risorse.

In pratica attraverso l'approccio assicurativo, che deve essere congiuntamente gestito da esperti di fraud audit e risk management, la società deve realizzare scelte strategiche:

ridurre l'entità delle eventuali perdite causate da frodi realizzate in aree e cicli per i quali l'attuazione di un complesso sistema fraud proof sarebbe troppo oneroso e richiede dei tempi di realizzazione lunghi rispetto alle esigenze temporali immediate;

aumentare la capacità della società di assorbire la perdita all'interno della propria organizzazione anche attraverso la creazione di innovative forme di assicurazione;

predisporre adeguate misure di pianificazione finanziaria.

I fraud auditor chiamati ad intervenire in questa specifica area aziendale di pertinenza del Risk Manager dovranno supportare l'attività di quest'ultimo individuando l'entità del rischio monetario che una determinata frode può causare e valutare tutti i rischi connessi al propagarsi di effetti indirettamente legati a danni causati dalla frode.

La gestione dell'assicurazione deve basarsi su un'attenta pianificazione e su un serio esame delle coperture, delle formule tecniche disponibili sul mercato, dell'affidabilità degli assicuratori, della qualità dei servizi complementari affiancato ad una necessaria valutazione dei costi/benefici in merito alla riduzione del rischio di frodi.

Come delineato, quindi, le aziende dovrebbero fare ricorso a un approccio preventivo di gestione della frode. Tale metodo ha l'obiettivo di architettare un sistema di salvaguardia che preservi il patrimonio aziendale dal compimento di azioni criminali impostando attività specifiche.

Al fine di pervenire ad un corretto dimensionamento di tale sistema il punto da cui partire è l'analisi dei fraud risk factors connessi al contesto esterno ed allo specifico business aziendale. Inoltre fattore non meno importante da considerare è il sistema dei valori individuali appartenete ad ogni membro dell'organizzazione.

Il numero delle variabili che direttamente o indirettamente possono favorire la frode, rende l'attività di identificazione dei fraud risk factors tendenzialmente indeterminata.

Tuttavia, per avere efficienza ed efficacia del controllo occorre individuare le aree dell'organizzazione che nell'ottica di riduzione delle frodi, presentano una maggiore criticità.

Fra le variabili esterne che secondo la dottrina possono favorire un incremento dell'esposizione dell'azienda al rischio di frode rientrano:

i caratteri generali, la ricchezza e il grado di espansione e sviluppo del sistema economico;

il livello di competizione del settore nel quale opera l'azienda;

il livello di commistione dell'ambiente politico con quello economico;

l'efficacia del sistema giudiziario nei Paesi in cui si svolge l'attività d'impresa;

la disciplina giuridica e le pene previste per i reati ipotizzabili nell'ambito del business aziendale;

le opportunità offerte dalle tecnologie dell'informazione;

l'andamento economico e finanziario dello scenario competitivo di riferimento, ecc.

Tali fattori, esterni all'organizzazione, sono quelli che favoriscono maggiormente la realizzazione delle frodi societarie.

Dopo l'indagine sui fattori esterni dovrà seguire quella relativa ai fattori interni relativi alla combinazione produttiva che possono favorire le frodi. In questa fase l'attenzione si dovrebbe focalizzare su variabili attinenti al contesto organizzativo, al profilo manageriale, alla gestione del personale, alla natura degli asset aziendali da proteggere ed a tutti gli altri aspetti che nello specifico ambito di osservazione possono alimentare atti criminali. Più in dettaglio l'attenzione dovrebbe focalizzarsi su:

l'atteggiamento dell'alta direzione e del management;

l'organizzazione aziendale;

la gestione del personale;

il grado di separazione dei compiti;

le modalità di effettuazione di pianificazioni e controlli;

la controparte delle transazioni economiche e finanziarie;

la presenza di codici etici realmente tradotti in etica aziendale;

le caratteristiche degli asset aziendali.

I fattori interni all'organizzazione sono quelli che hanno origine e si sviluppano a causa di carenza di controllo esistente in azienda. La carenza o la scarsa incisività del controllo suggerisce ai membri dell'impresa le modalità più opportune per attuare la frode; in sostanza è la società stessa che dà l'opportunità e la spinta ai suoi membri di frodarla.

L'individuazione dei fattori interni è un'attività molto difficile, poiché questi possono avere le più disparate origini e possono restare per anni nella più assoluta indifferenza all'interno della società.

Infine, dovranno essere prese in esame le componenti individuali che spingono un individuo a commettere la frode; si tratta di fattori di ordine economico, ideologico o psicologico. Tali fattori individuali possono essere visti come l'insieme dei bisogni percepiti con varia intensità e la relazione tra questi bisogni e il comportamento che i soggetti devono avere nella società in cui operano.

Il meccanismo che spinge i dipendenti a compiere reati fraudolenti è stato analizzato in modo dettagliato da D.R. Cressey, il quale ha individuato tre variabili alla base del crimine (il triangolo della frode):

1. incentivi/pressioni:

durante lo svolgimento del loro lavoro i membri dell'azienda hanno bisogni di varia natura che vengono soddisfatti attraverso diverse ricompense; a volte, però, sorgono delle  esigenze cui il dipendente non è in grado di far fronte e per tale motivo può nascere in loro la spinta a commettere la frode.

2. Razionalizzazione:

l'attore riesce a giustificare, a sé stesso e se scoperto anche agli altri membri dell'impresa, la frode realizzata. La razionalizzazione si compie prima e nel corso del reato, rappresentando una pericolosa minaccia per l'impianto etico individuale. Tipiche forme di razionalizzazione sono giustificazioni quali:

temporizzazione è un prestito;

compensazione lo meritano perché mi sfruttano;

minimizzazione è così poco per l'organizzazione;

generalizzazione lo fanno tutti;

legittimazione c'è chi fa di peggio.

Molto importante è il comportamento assunto dalla direzione e dai vertici aziendali, di conseguenza la correttezza delle decisioni e delle azioni del top management diviene una variabile particolarmente critica per poter promuovere a tutti i livelli la diffusione di un ambiente governato dall'etica.

3. Opportunità di compiere la frode:

se non ci fosse la possibilità per i dipendenti di sfruttare le carenze o l'inefficace funzionamento del sistema di controllo interno non ci sarebbe nessuna frode.

In molti casi l'inesistenza dei controlli è dovuta ai rapporti di fiducia instaurati ai vari livelli aziendali.  

Dopo aver analizzato i principali fattori di rischio si dovrà introdurre in azienda un sistema di salvaguardia tale da ridurre la probabilità di accadimento della frode e l'impatto che i crimini possono avere sull'economicità della gestione. Questo sistema deve pertanto andare ad agire sulle determinanti del comportamento criminale.

Un sistema di salvaguardia efficace si compone di tre elementi:

etica aziendale.

La presenza nell'organizzazione di una cultura aziendale fondata sulla diffusione ed il rispetto dei principi di onestà, correttezza, integrità, costituisce una condizione imprescindibile per la deterrenza dei comportamenti criminali.

La creazione in azienda di un ambiente fortemente etico è fondamentale per assicurare l'efficacia dei meccanismi di controllo che vengono introdotti e per garantire la correttezza dei comportamenti del personale, che per svariati motivi possono sfuggire al sistema di controllo interno.

L'alta direzione può intraprendere diverse azioni per promuovere lo sviluppo in un ambiente etico, tra esse vi rientrano:

la definizione di un codice etico aziendale[5];

il comportamento dell'alta direzione;

un'attenta gestione delle assunzioni e delle promozioni.

Sistema delle responsabilità.

L'impostazione di un'efficace politica di prevenzione delle frodi non può prescindere dalla chiara definizione dei soggetti da coinvolgere nelle varie fasi in cui si articola il processo volto al fronteggiamento delle azioni criminali e dei compiti e delle responsabilità che ad essi fanno capo.

Per la progettazione dei sistemi di controllo interni il management può rivolgersi a soggetti interni o esterni. I manager hanno al responsabilità di assicurare l'adeguatezza e il corretto funzionamento dei meccanismi adottati, modificandoli in relazione al cambiamento dei fattori di rischio.

Il sistema di controllo interno è l'elemento di difesa delle imprese dalle frodi e deve garantire ai vertici aziendali la ragionevole sicurezza della salvaguardia del patrimonio aziendale. A tal proposito, le caratteristiche fondamentali del sistema attengono alla:

separazione dei compiti (job rotation e mandatory vacation);

autorizzazione delle mansioni;

documentazione delle operazioni;

meccanismi di salvaguardia fisica del patrimonio;

inserimento di clausole nelle transazioni con fornitori e clienti.

Sistema disciplinare.

Nell'azienda devono essere predisposti dei meccanismi sanzionatori per i dipendenti responsabili del reato e per coloro che non hanno diligentemente vigilato sul rispetto delle procedure di controllo istituite.

Le tipologie di sanzioni applicabili devono essere definite nel rispetto delle disposizioni previste dallo statuto e dei lavoratori e da altre norme poste a tutela dei dipendenti. Nell'applicazione dei provvedimenti è necessario assicurare la congruità della sanzione alla gravità del reato perpetrato, garantendo equità di trattamento, imparzialità e obiettività di giudizio.

Una volta che la frode è stata scoperta, i responsabili delle unità interessate all'atto criminale e gli internal auditors, dovrebbero analizzare la dinamica dell'evento, ricostruendo le modalità di realizzazione della frode e le carenze del sistema di salvaguardia per architettare nuovi meccanismi di controllo diretti ad eliminare le debolezze riscontrate. Contemporaneamente si dovrebbe portare a conoscenza dell'organizzazione l'evento disonesto e i provvedimenti intrapresi, in modo da rafforzare i valori di correttezza ed integrità sui quali si dovrebbe fondare la cultura aziendale.

Pertanto un'organizzazione dovrebbe considerare la frode come un normale rischio di impresa, quindi dovrebbe stimare la possibilità che accada, valutarne l'impatto, mettere in atto tutte le azioni di prevenzione ed essere pronta a gestirla come un qualsiasi altro rischio.

Tra le azioni di prevenzione è fondamentale avere un adeguato sistema di controllo interno, ma anche un ambiente fortemente governato dall'etica a tutti i livelli gerarchici.

Ciò è importante per il benessere dell'organizzazione, delle persone e delle aziende rientranti nel suo raggio di influenza e del pubblico in genere, perché l'etica contribuisce in modo rilevante all'efficacia delle politiche e dei sistemi di controllo messi a punto da un'azienda e influisce sui comportamenti che sfuggono ai sistemi di controllo, per quanto gli stessi siano sofisticati.

Quindi ancora prima di creare un sistema di controllo, bisogna darsi valori etici validi per ogni membro dell'organizzazione. Questi valori devono essere chiari, diffusi e conosciuti all'interno e all'esterno dell'azienda e continuamente oggetto di manutenzione[6], nel senso di una costante formazione del personale, a cui deve far seguito un insieme di atti che devono essere sempre coerenti tra loro.