FRAUD AUDITING

Negli ultimi quindici anni è andata sviluppandosi anche nel panorama italiano una figura professionale già presente negli altri sistemi economici occidentali e soprattutto nel mondo anglosassone, quella del fraud auditor. In sostanza si tratta di un esperto chiamato a svolgere attività investigative di natura economico-finanziarie e contabile quando vi sono casi di frode aziendale. Questa professione è stata introdotta in Italia negli anni’90 grazie alle accounting firm multinazionali, che furono fin da subito chiamate a svolgere analisi tecniche finalizzate alla ricostruzione di operazioni illecite. Fin da subito è apparso chiaro che questa tipologia d’incarico doveva essere affrontata da personale altamente specializzato e qualificato, mediante un approccio diverso rispetto a quello utilizzato, dalla revisione contabile85.

Il Fraud auditing, a differenza della revisione contabile, ha come oggetto principale di analisi, la ricerca di frodi, per cui si presuppone che a ogni attività aziendale possa essere associato un rischio di frode, e che pertanto tutti i soggetti siano dei potenziali frodatori, diventando tali in presenza di determinate circostanze.

Questo processo si focalizza sulla valutazione e risposta del revisore al peculiare rischio di frode in assenza di alcun apparente indizio, il fraud auditor si occupa proprio di cercare le anomalie, fatti insoliti, deviazioni dagli standard, ed ogni altra evidenza che possa far insorgere il sospetto di una possibile frode86_.

Da un punto di vista logico il fraud auditing dovrebbe essere considerato quale meccanismo di protezione; tuttavia, se adeguate competenze in materia sono inserite all’interno di una funzione di Internal Auditing efficace e realmente indipendente e se vengono esercitate con continuità, esso rappresenta anche un valido strumento di prevenzione. Di ciò potrebbero beneficiare anche i revisori

85 _{Tratto da, con propria elaborazione: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda}

Mariniello.

86 _{Tratto da, con propria elaborazione: “Internal Auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda}

61

contabili, i quali, operando in sinergia con i revisori interni che svolgono regolarmente un’attività di fraud auditing, vedrebbero migliorata l’efficacia dei loro interventi87_.

Come accade per l’Internal auditor, tale figura dovrebbe agire con la massima libertà all’interno della società, per permettere la rilevazione dei fatti, documenti contabili, informazioni, tabulati, secondo una logica estranea alla ricostruzione contabile degli accadimenti, ma connessa alla ricostruzione analitica dei flussi di capitale circolante, cash flow, beni e servizi. Il Fraud auditor può fornire una determinazione del grado di sensibilità alla frode88_,

questo è il primo passo per la scelta della metodologia di prevenzione più adeguata.

Per assolvere a questo delicato compito, il Fraud auditor dovrebbe accertare89:

 Se l’ambiente interno sia tale da favorire il diffondersi della consapevolezza dei rischi e dell’importanza del controllo;

 Se gli obiettivi fissati per l’azienda siano realisticamente raggiungibili;  Se esistono i codici di condotta che descrivano le attività non

consentite e le azioni da intraprendere qualora vengano individuate eventuali violazioni;

 Se sono state prodotte idonee procedure di autorizzazione delle transazioni e se queste vengono adeguatamente seguite;

 Se esistono politiche, prassi, procedure, rapporti ed altri meccanismi atti a controllare le attività e a proteggere il patrimonio, in particolare nelle aree di rischio elevato;

 se i canali di comunicazione forniscono al management informazioni adeguate e affidabili;

87 _{Tratto da: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda Mariniello.}

88 _{Secondo la dottrina statunitense, la sensibilità complessiva dell’azienda alle frodi va rapportata a due}

dimensioni complementari: aree critiche e cicli aziendali.

62

 Se devono essere formulate raccomandazioni per introdurre o potenziare i controlli che, nel modo più economico possibile, contribuiscono a scoraggiare la frode.

Dopo aver consolidato le tecniche di analisi della sensibilità alle frodi, il Fraud auditor per svolgere le proprie mansioni in modo efficace ed efficiente dovrebbe provare a ricostruire in modo empirico i ruoli e le funzioni, al fine di acquisire il maggior numero di informazioni possibili, per poter analizzare l’operatività effettiva di un campione significativo di operazioni. L’abilità del Fraud auditor è proprio quella di individuare le zone oscure dei controlli effettuati da altri soggetti, in modo tale da verificare la qualità e la metodologia degli interventi eseguiti90_.

Pertanto il processo di fraud auditing è costituito da tre tipologie di attività molto diverse tra loro91_:

1. Auditing ai fini del rafforzamento del sistema di controllo preventivo;

2. Auditing di tipo ispettivo al fine di individuare eventuali atti sospetti, e allo stesso tempo fornire un deterrente intrinseco al potenziale illecito;

3. Investigazione di gravi sospetti di atti illeciti al fine di determinare la responsabilità e i danni subiti dall’azienda.

Il fraud auditing ai fini del rafforzamento del sistema di controllo preventivo si svolge mediante un analisi di processo, focalizzandosi in tutto o in parte sui rischi di frode. Il fraud auditor è pertanto in grado di individuare e valutare in via preventiva le aree aziendali più critiche, dove con maggiore

90 _{Tratto da: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda Mariniello.}

91 _{Tratto da, con propria elaborazione: “The emerging role of Internal Audit in Mitiganting Fraud and}

63

facilità potrebbe nascondersi un rischio di attività illecita e proporre soluzioni preventive.

L’individuazione e la successiva valutazione dei rischi di frode possono minacciare e promuovere iniziative volte ad una attenuare tali rischi, attraverso il miglioramento delle strategie di controllo. Evitare, infatti, che si possono verificare fenomeni fraudolenti vuol dire intraprendere tutte le azioni preventive necessarie e disincentivare il compimento92.

Il fraud auditing ai fini dell’identificazione di atti sospetti si svolge attraverso l’attuazione di attività volte a prevenire e disincentivare il compimento di atti illeciti. Il fraud auditor in queste situazioni è in grado di individuare casi sospetti di illecito mediante alcuni segnali di allarme conosciuti. Nel caso in cui vengano intercettati segnali di possibili azioni fraudolente, l’auditor deve valutare se avviare ulteriori approfondimenti o se segnalare a eventuali autorità interne all’azienda o al management l’anomalia, promuovendo un’indagine investigativa mirata.

Il fraud auditing ai fini dell’investigazione di gravi sospetti di atti illeciti richiede che l’auditor abbia conoscenza, almeno generica, delle diverse tipologie di frode, dei modi con cui queste vengono commesse e degli indicatori che ne possono segnalare la presenza. Dopo aver individuato un evento di possibile frode, al fraud auditor può essere chiesto di svolgere un’indagine che permetta di accertare le effettive responsabilità interne e, per quanto possibile, esterne, quantificare i danni e determinare le azioni da proporre alle funzioni preposte agli aspetti gestionali93_{. Le indagini sui sospetti di frode richiedono diverse}

competenze specialistiche ai fini della ricostruzione specifica dell’evento; pertanto un’informazione è rilevante quando la sua mancanza o la sua imprecisa rappresentazione potrebbe influenzare le decisioni economiche che la direzione prende sulla base del bilancio. La rilevanza dipende dalla natura e dalla dimensione della voce in esame, da valutare nelle particolari circostanze della

92 _{Tratto da: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda Mariniello.} 93 _{Tratto da: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda Mariniello.}

64

sua omissione o imprecisione94_.

Inoltre il processo di fraud auditing si compone di cinque elementi95:

 Identificazione del rischio di frode inerente: ovvero individuare ed elencare quali schemi di frode potrebbero interessare un’azienda, come questi schemi generali, potrebbero declinarsi all’interno

dell’organizzazione, quali processi potrebbero essere coinvolti e come potrebbero essere elusi i controlli interni su questi insistenti, quali soggetti interni o esterni potrebbero esservi coinvolti ( in virtù delle loro competenze, posizioni, responsabilità), quali strategie di occultamento potrebbero essere attuate per nascondere la vera sostanza di determinate operazioni “devianti”;

 Apprezzamento della probabilità che i rischi si verifichino: quello che nella terminologia anglosassone, si definisce fraud risk assessment, rappresenta l’elemento cardine di tutta la procedura in parola oltre a essere l’aspetto più complesso e delicato proprio per le sue caratteristiche intrinseche. Il compito del revisore è quello di valutare se e in che misura una particolare tipologia di frode potrebbe aver luogo all’interno dell’impresa, a quale livello organizzativo potrebbe impattare, quale effetto quali-quantitativo la frode potrebbe avere, quali meccanismi di controllo interno potrebbero essere coinvolti e quali le loro risposte specifiche. Tale processo risulta avere logiche e metodologie ben diverse da quello normalmente proprie al risk assessment; occorre tenere di conto che, a differenza del comune rischio, la frode si caratterizza per il tentativo

94 _{Tratto da: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda Mariniello.}

95 _{Tratto da, con propria elaborazione: “Frodi aziendali” Ed. Egea (2012) - Giuseppe Pogliani, Nicola}

65

da parte di chi la commette, di occultarne l’esistenza, oltre al fatto che un ruolo di primissimo rilievo è anche giocato dalle motivazioni che spingono uno o più soggetti a realizzare un disegno di tale genere. Il rischio di frode è ben diverso dal rischio di controllo con cui normalmente i revisori sono abituati ad operare nella pianificazione delle proprie attività e di ciò occorre avere consapevolezza anche nella scelta degli strumenti da utilizzare per la sua determinazione. Accanto a una solida esperienza di base su cui poggiare il giudizio professionale necessario per condurre a termine adeguatamente questa fase, è quanto mai opportuno il ricorso a tecniche di data mining allo scopo di approfondire la conoscenza di tutte quelle transazioni e quelle informazioni di tipo qualitativo compatibili con il profilo di frode oggetto di attenzione96_.

 Impostazione di opportune procedure di fraud auditing: coerenti con lo schema di frode reputato maggiormente riscontrabile all’interno dell’organizzazione controllata; in questo ambito particolare attenzione deve essere prestata allo scopo di evitare di cadere vittime delle strategie di “dissimulazione”, messe in atto dal potenziale attore di una frode. Pertanto risulta essere opportuno verificare l’effettivo funzionamento del sistema di controllo interno aziendale e non solo la sua struttura formale, la veridicità delle affermazioni rese dal management come pure le operazioni sottostanti alle registrazioni contabili presenti a sistema. Si potranno effettuare studi a campione ma quest’ultimo non sarà selezionato su base causale, bensì a partire da dati coerenti con lo scenario di frode da analizzare al preciso scopo di trovare transazioni anomale.

96 _{Per chiarezza si potrebbe sostenere che le tecniche di data mining sono utili per appurare, con un}

margine apprezzabile, che un predeterminato schema di frode non si sia verificato in azienda mentre con l’apprezzamento critico della incisività del sistema di controllo interno si determina se il medesimo schema fraudolento potrebbe essere validamente contrastato.

66

 Formulazione delle conclusioni: in merito a quanto le informazioni ottenute dall’implementazione dei punti precedenti hanno fatto emergere. Più precisamente si potrà decidere, su basi razionali, se indirizzare l’analisi o meglio, l’investigazione su alcune aree operative o transazioni particolari per chiarirne la natura e verificare la presenza di illeciti oppure giudicare sufficientemente comprovata l’assenza di frodi.

Il ruolo del revisore si conclude con la constatazione del fatto e la sua successiva segnalazione ai vertici aziendali o al comitato di controllo dell’impresa; spetterà a tali organismi la decisione in merito all’effettuazione di ulteriori successive azioni investigative. Pertanto risulta indispensabile che all’interno dell’Organo di controllo vi siano soggetti che hanno conoscenze in campo di frodi, ovvero che siano in grado di implementare un meccanismo che permetta agli impiegati di comunicare le loro preoccupazioni riguardo ai comportamenti non etici, alle frodi reali o sospette, alle violazioni del codice di condotta o etico dell’azienda97_{. Inoltre, tra le principali abilità che deve avere un}

fraud auditor d’esperienza c’è quella di sapersi muovere in contesti aziendali sempre diversi, a volte molto complessi ed articolati, applicando con padronanza le tecniche investigative più adatte all’ambiente in cui il fenomeno criminale è stato perpetrato. Però per ricostruire l’evento illecito, il fraud auditor è consapevole che la sola tecnica non basta, a ciò si deve associare lo scetticismo professionale, con riguardo ad ogni elemento acquisito nel corso delle indagini. Visto che la frode è il frutto di una convinta fantasia criminale mirata a sfruttare le debolezze del sistema di controllo, il fraud auditor non può svolgere un incarico professionale attraverso procedure rigide e standardizzate, ma deve calarsi nella realtà in cui opera e agire secondo le tecniche e le capacità acquisite con l’esperienza98_.

97 _{Tratto da, con propria elaborazione: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda}

Mariniello.

98 _{Tratto da, con propria elaborazione: “Internal Auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda}

67

Negli ultimi anni abbiamo potuto rilevare come le tecniche di fraud auditing sono risultate essere essenziali a risolvere procedimenti arbitrali e contenziosi tra aziende al fine di dimostrare i comportamenti fraudolenti della controparte, come del resto i notevoli contributi che il fraud auditor ha fornito ai dipartimenti di internal audit al fine di progettare modelli di prevenzione dei comportamenti fraudolenti sempre più efficaci e per costruire una rigorosa mappa dei rischi di frode più comuni.

All’inizio l’attività di fraud auditing non era presente in azienda, pertanto i servizi di fraud auditing erano in outsourcing, oggi molte aziende hanno deciso di istituire al proprio interno uffici specializzati in questo tipo di attività99_.

68