di Alex MOVCHAN
In questa intervista con la Dott.ssa Magali Logossou – Global Audit Manager Forensics di Heineken – approfondiamo il tema della conduzione di indagini sulle frodi all’interno delle organizzazioni durante la pandemia Covid-19.
Magali, esperta di internal audit e di investigazioni legali ci ha illustrato la sua visione e ha approfondito alcuni aspetti cruciali.
Buongiorno Magali, complimenti per la tua impressionante carriera internazionale, hai lavorato in Francia, nel Regno Unito, in Svizzera e nei Paesi Bassi costruendo un’approfondita professionalità nelle tematiche di internal audit e pratica forense delle frodi societarie. In base alla tua esperienza, cosa consiglieresti ad un’organizzazione che intende prevenire o, comunque, minimizzare le probabilità di frodi interne? Ci sono 2-3 punti fondamentali su cui concentrarsi?
Magali LOGOSSOU: In tutte le organizzazioni – indipendentemente dalla dimensione, il settore o la localizzazione – diventa sempre più importante avere un framework (un modello) di gestione del rischio frode. Ci sono molti modi per commettere una frode e per molto tempo l’attenzione è stata giustamente puntata quasi soltanto sulle frodi in ambito lavorativo. Le conseguenze delle frodi sul lavoro possono essere devastanti per qualsiasi azienda; basti pensare alle perdite finanziarie, ai costi legali e al rischio reputazionale. Nel corso degli anni e con l’emergere delle nuove tecnologie anche le frodi esterne e quelle online stanno crescendo in maniera esponenziale.
Due esempi di frodi ultimamente molto diffuse e segnalate dalle organizzazioni sono:
- il caso “Fornitori“, in cui fatture fittizie vengono inviate alle società per superare i deboli di uffici acquisti e contabilità fornitori;
- il caso delle “Frodi Informatiche“, che consiste in attacchi di phishing e social engineering(1) in cui il truffatore si spaccia per una persona di fiducia o un collega interno e inganna il malcapitato per ottenere dati sensibili, modifiche bancarie o dei dati di pagamento.
La prevenzione rimane uno dei modi più efficaci per gestire le frodi. Le società spesso trascurano la gestione del controllo degli accessi, mentre dovrebbe essere una delle priorità nella creazione di controlli interni efficaci.
Tre provvedimenti da prendere in considerazione quando si implementa il framework di gestione del rischio di frode sono:
(1) Assicurarsi che vengano realizzate politiche efficaci e controlli adeguati in materia di acquisti (procurement), creazione di conti fornitori, banche e attività della tesoreria;
(2) Implementare di un meccanismo di segnalazione anonimo per i whistleblower; e
(3) Comunicare continuamente l’importanza del rispetto del Codice di Condotta Aziendale della società ma anche promuovere un ambiente di lavoro etico.
Questo è un anno insolito, a causa della situazione legata al Covid-19. Molte funzioni di internal audit sono state trasformate – con successo – in incarichi di audit online ma nel caso di indagini sulle frodi, questa trasformazione non è facile. In base alla tua approfondita esperienza, vuoi/puoi condividere con i nostri lettori qualche soluzione che pensi possa aiutare le investigazioni sulle truffe nonostante i limiti imposti dalla pandemia?
Magali LOGOSSOU: Il Covid-19 richiede un deciso cambiamento nella gestione dei processi aziendali costringendo le organizzazioni a prendere decisioni strategiche per affrontare le significative sfide operative e finanziarie. In seguito a) all’introduzione di nuovi modi di lavorare, b) alla riduzione dell’organico e c) all’introduzione del lavoro da remoto, i controlli critici come ad esempio la separazione delle funzioni (cd. segregation of duties) potrebbero risultare indeboliti.
Si è venuto a creare un ambiente in cui non solo i rischi di frode interna sono in aumento, ma parimenti, sono aumentate anche le opportunità per i truffatori esterni di trarre vantaggio dalle interruzioni nelle normali modalità operative aziendali.
È piuttosto comune che i truffatori sfruttino le debolezze e le crisi (i.e. i crolli del mercato e i disastri naturali) per estendere le loro attività criminali; e qui la pandemia non fa eccezione.
In tali circostanze, condurre un’indagine sulle frodi potrebbe diventare una grande sfida per gli auditors e per i Certified Fraud Examiners (CFE). Si potrebbero prendere in considerazione le seguenti azioni:
1. Stabilire le giuste priorità: valutare le indagini interne che possono essere ritardate e quelle che invece richiedono un’attenzione immediata data la natura e la sensibilità delle accuse (ad es. le accuse con un elevato impatto finanziario, relative all’integrità dell’alta dirigenza, ed i casi soggetti a norme regolamentari o ad azioni esecutive delle forze dell’ordine). È importante considerare attentamente i limiti e gli impedimenti che potrebbero derivare dall’indagine fatta da remoto.
2. Utilizzare la tecnologia: a causa delle regole di distanziamento sociale che consentono meno interazioni fisiche, diventa fondamentale ricorrere alla tecnologia per supportare le indagini sulle frodi. La raccolta di dati e informazioni può essere facilitata da uno scambio di dati sicuro tramite un sistema di gestione centrale (repository) o un sistema di condivisione mentre la connettività virtuale (video-call) potrebbe essere usata per interviste e collaborazioni. L’analisi dei dati attraverso le immagini in combinazione con strumenti di ricerca potenziati possono essere d’aiuto nelle ricerche del contenuto delle email e dei documenti. Inoltre, investire in software per videoconferenze che offra funzionalità aggiuntive fra cui la condivisione di documenti e la comunicazione faccia a faccia per consentire agli intervistatori di osservare le reazioni degli intervistati e valutarne la credibilità.
3. Aumentare la proattività: attualmente, la maggior parte delle organizzazioni fa affidamento quasi esclusivamente a strumenti di whistleblowing per iniziare un’indagine su possibili frodi. A fianco ai mezzi di segnalazione delle frodi, c’è la necessità di sviluppare e distribuire analisi dei dati specifiche l’analisi del rischio di frode. L’obiettivo è identificare transazioni insolite e in particolare nuovi metodi di frode e avviare le indagini in presenza delle red flag.
Recentemente ho letto un rapporto di PwC sulle frodi nell’Europa orientale e l’ho confrontato con il rapporto ACFE globale alle Nazioni sulla frode professionale. Nell’Europa dell’Est circa il 40% di tutti i casi di frode sono stati scoperti durante l’esecuzione di determinati controlli e monitoraggi, mentre il whistleblowing rappresentava circa il 20% dei casi rilevati. A livello globale, il quadro è diverso, infatti, le segnalazioni ed i suggerimenti dei Whistleblower si collocano al 1 ° posto tra tutte le fonti di rilevamento delle frodi (43%) seguiti dall‘audit interno (15%) e dalle revisioni della direzione (12%).
In base della tua esperienza non solo in diverse regioni dell’Europa occidentale, ma anche nei mercati emergenti, quale soluzione consideri più appropriata per le organizzazioni che lavorano in regioni diverse: avere un approccio globale per affrontare i rischi di frode o implementare strategie regionali su misura per il rischio di frode. E quali sono i pro e i contro di ciascuno di questi approcci?
Magali LOGOSSOU: Innanzitutto, è importante riconoscere che non esiste un approccio unico alla gestione del rischio di frode. Per le organizzazioni con una presenza globale e che operano in un ambiente multiculturale, è fondamentale comprendere come la differenza culturale influenzi l’etica del processo decisionale, la segnalazione delle frodi e i comportamenti scorretti e, in questo modo, implementare un quadro di gestione delle frodi efficace.
In sostanza, a seconda della regione o del paese in cui ha sede la società, il whistleblowing può essere visto come un’azione positiva o negativa. Denuncia e paura di ritorsioni sono concetti percepiti in modo diverso in tutto il mondo. In base alla mia esperienza, le misure antifrode dovrebbero essere adattate ai rischi unici dell’organizzazione e alle condizioni specifiche che danno origine a tali rischi. Questi comprende un ampio spettro di elementi come la propensione a commettere frodi, il livello di accettazione delle frodi, il panorama normativo, ecc.
Le società globali dovrebbero eseguire un’autovalutazione regionale del rischio di frode per ottenere informazioni sufficienti sulla consapevolezza della frode nei paesi in cui operano e per valutare i rischi specifici in base alla probabilità e all’impatto. L’acquisizione di tali informazioni serve per la progettazione di controlli preventivi e investigativi, per soddisfare le esigenze di alcune specifiche organizzazioni nonché per fornire una risposta adeguata nella gestione del rischio di frode.
Intervento di Alex Movchan CIA CICA CFE, Presidente dell’Institute for Internal Controls (ICC)(Ucraina e Bielorussia). Attualmente è Head of Internal Controls in una società medica globale. Articolo pubblicato sull’edizione in inglese di Risk & Compliance Platform Europe.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Redazione (2020), Le Truffe SIM-Swap in crescita a causa del furto d’identità tramite social engineering; www.riskcompliance.it
