Ogni caso di frode può avere il suo proprio dramma, ma sfortunatamente non c’è nessun deus ex machina, nessun dispositivo che miracolosamente risolve il problema o offre una protezione perfetta e assoluta.
In un’epoca caratterizzata da un’economia globale e internazionale, le organizzazioni, per mitigare potenziali rischi operativi e reputazionali, devono svolgere opere di dissuasione e rilevamento dei comportamenti fraudolenti.
Lo sforzo richiede l’esercizio di uno sano scetticismo e parte con l’esempio portato concretamente dal “management”, il quale deve promuovere, concretamente, una cultura etica, rafforzata dal board, dai comitati di audit, dai revisori interni e deve essere rafforzata per mezzo della conoscenza e della presenza dei revisori esterni.
Il management deve mettere in campo una chiara comunicazione antifrode verso tutti i dipendenti dell’organizzazione volta a rafforzare, la richiesta di responsabilità nei loro riguardi, di azioni e contributi eventuali finalizzati a scoraggiare e rilevare le frodi.
Con un ruolo essenziale:
- nello sviluppo della strategia, dell’allocazione, dell’assunzione delle risorse a presidio del rischio frode,
- e con un ruolo essenziale nella valutazione e nel compenso dei senior manager,
i consigli di amministrazione (board) sono posizionati in modo determinante per aiutare a dissuadere i comportamenti fraudolenti. Inoltre, anche se il management probabilmente ha il ruolo maggiormente rilevante nella deterrenza e nell’ accertamento delle frodi, la maggior parte dei rilevanti casi fraudolenti coinvolgono l’alta dirigenza, che la perpetra in modo scientifico dopo avere informato e impegnato i consigli di amministrazione che li controllano… in malo modo.
Questo significa che i membri del board devono sapere come si esercita lo scetticismo in modo costruttivo e consapevoli delle possibili distorsioni dei pregiudizi.
I membri del consiglio devono essere pienamente consapevoli del ruolo che pressione, opportunità, e la razionalizzazione possono giocare nella frode e quindi dovrebbero anche essere attenti ai segnali di possibile debolezza del tone at the top del management.
Il comitato di revisione del consiglio – (comitato di audit – audit committee of the board) sovrintende il sistema dei controlli interni e la funzione di internal audit.
Lo scetticismo è vitale in tutti questi aspetti del ruolo del comitato di audit, compresa la valutazione delle prestazioni dell’auditor.
I membri del comitato di revisione dovrebbero avere familiarità con i rischi che possono aumentare la probabilità della frode e come essi possono monitorare il rischio di sforamento dei controlli interni da parte del management.
La funzione di internal audit (revisione interna) funge da occhi e orecchie (eyes and ears) di un’organizzazione rispetto al rischio connesso ai processi di gestione, controllo e governance. Adottando un approccio basato sul rischio, gli internal auditors valutano, su base continua, l‘efficacia di questi processi.
Inoltre, per gli stessi è necessario monitorare e valutare i risultati dei whistleblower programs e devono collaborare tra i vari reparti operativi e di controllo per garantire che siano affrontati i risultati e le debolezze apprendibili nella governance, nella gestione dei rischi e negli ambienti interni di controllo.
A mio parere è altresì necessario che gli internal auditors valutino il rispetto del codice etico e conducano sondaggi sull’etica dei dipendenti.
L’audit interno dovrebbe altresì comunicare, valutare e rafforzare anche l’etica aziendale di un’organizzazione attraverso, ad esempio, test di conformità ai programmi antifrode.
Un ambiente aperto e una continua comunicazione aventi l’obiettivo di condividere:
- la conoscenza (knowledge),
- le intuizioni (insights) e
- le preoccupazioni (concerns)
per migliorare gli sforzi collettivi, sono vitali per un’organizzazione che intende combattere in modo efficace il rischio frode (fraud-resistant organization).
La direzione (management) dovrebbe incoraggiare la comunicazione tra dirigenti e dipendenti a tutti i livelli e garantire che consigli, comitati di audit, auditor interni siano ben informati e in modo tempestivo sulle principali e rilevanti operazioni, strategie e rischi dell’organizzazione.
La comunicazione è un elemento chiave (key element) nell’identificazione e valutazione dei potenziali rischi fraudolenti e nello sviluppo di adeguati controlli che aiutino l’organizzazione a mitigare questi rischi.
Il quadro integrato di controllo “Committee of Sponsoring Organizations of the Treadway Commission (COSO)” peraltro richiede al management di condurre una puntuale valutazione del rischio frode e sottolinea che le organizzazioni devono includere livelli appropriati del management nell’ambito di tale valutazione.
I consigli di amministrazione e i comitati di revisione contabile (Boards and audit committees) sono parte integrante di questo processo e loro dovrebbero tenere, nel continuo, sessioni operative con i propri internal auditors, anche in assenza di particolari preoccupazioni o problemi significativi.
Inoltre, i consigli di amministrazione e i comitati di revisione contabile dovrebbero sfruttare tutte le opportunità per interagire con manager, dipendenti, fornitori e clienti per approfondire la conoscenza della propria azienda e intercettare possibili rischi fraudolenti.
Gli auditor interni dovrebbero condurre regolari incontri con il senior management e il comitato di audit per scambiare intuizioni e prospettive.
Linee di comunicazione continue e aperte tra l’amministratore delegato dell’organizzazione e la direzione e il comitato di audit sono fondamentali.
Le organizzazioni più grandi, in particolare quelle che operano in più di un paese, possono affrontare sfide uniche nel determinare una coerente applicazione dei loro principi e delle proprie iniziative antifrode nei vari luoghi del pianeta in cui operano all’interno di varie e diverse culture. Diversi costumi e lingue possono rappresentare sfide e minacce al mantenimento di un livello coerente di comportamento etico dell’organizzazione che opera in vari Paesi.
Non solo le organizzazioni devono tradurre principi etici, codici di condotta e formazione sulle frodi in diverse lingue locali, ma devono anche comprendere le varie culture in cui opera l’azienda adattando le proprie politiche a quelle locali e monitorando i controlli e la conformità attraverso tutti i vari paesi.
I tre lati del triangolo della frode, pressione, opportunità e razionalizzazione, possono assumere ulteriori significati nelle organizzazioni che operano a livello mondiale:
- i dipendenti potrebbero sentirsi sotto pressione per raggiungere obiettivi aggressivi;
- la distanza dalla sede non può solo aumentare l’opportunità di commettere frode, ma potrebbe anche portare a comunicazioni diluite dalla sede centrale sugli standard etici;
- consentendo la razionalizzazione della frode.
Le organizzazioni che operano a livello globale devono tradurre una cultura etica all’estero avendo consapevolezza di leggi, costumi, e rischi unici nelle varie regioni in cui l’azienda opera e, di conseguenza, adattando le proprie politiche, la comunicazione e la formazione. Le aziende che operano a livello mondiale dovrebbero anche essere consapevoli delle conseguenze di un mancato rispetto di leggi estere come ad esempio il Sarbanes Oxley Act (SOX).
Per l’organizzazione, assume rilievo il fatto per cui, i programmi di gestione del rischio (risk management programs) devono essere esaurientemente attuati e adattati a tutte le località per ridurre le opportunità, soprattutto in parti del mondo dove gli autori di reati fraudolenti potrebbero avere meno probabilità di temere, o addirittura affrontare… conseguenze.
Intervento di Andrea FELICANI, CFE – Coordinatore Internal Audit Rete c/o Iccrea Banca S.p.A. e Direttore Esecutivo c/o la Bologna Business School, corso in “Fraud Risk Management”
