IL FRAUD RISK ASSESSMENT - LE TECNICHE VALUTATIVE PER ABBATTERE IL RISCHIO DI FRODE

2° CAPITOLO: IDENTIFICAZIONE E GESTIONE DEL RISCHIO DI FRODE E LE PRINCIPALI NORMATIVE ITALIANE E STATUNITENS

2.1 LE TECNICHE VALUTATIVE PER ABBATTERE IL RISCHIO DI FRODE

2.1.1 IL FRAUD RISK ASSESSMENT

Il principio SAS 99 (Consideration of Fraud in a Financial Statement Audit) e quello ISA 240 (La responsabilità del revisione contabile del bilancio) stabiliscono che i revisori, nel corso della loro attività di certificazione del bilancio di un’impresa, debbano fornire un’adeguata risposta al rischio della presenza di frodi che alterino in modo significativo il sistema dei valori dell’azienda75_.

Per ogni revisore diviene pertanto imprescindibile il corretto apprezzamento dei meccanismi alla base dei fenomeni fraudolenti, cioè le logiche, gli elementi, le circostanze e gli schemi che li caratterizzano, li condizionano e ne promuovono la realizzazione come pure le motivazioni che possono indurre un individuo a compiere un illecito senza inoltre trascurare le diverse strategie di dissimulazione attuabili per impedire o rendere particolarmente complessa la scoperta del fenomeno(per esempio, la realizzazione di false documentazioni, false appropriazioni come pure il blocco all’accesso di informazioni sensibili ecc….). Questo insieme di conoscenze risulta di particolare rilievo allo scopo di configurare i possibili scenari in cui una frode potrebbe trovare concreta attuazione nell’ambito di un’impresa in ragione della propria struttura, dell’attività svolta, del tipo di clientela, del personale

75_{Tratto da, con propria elaborazione: “Frodi aziendali” - Ed Egea (2012) - Giuseppe Pogliani, Nicola}

coinvolto ecc.... In mancanza di tali competenze di carattere generale il revisore agirebbe in aperta violazione con gli standard che disciplinano la sua attività professionale; è tuttavia utile ricordare che i menzionati principi, proprio perché tali, non forniscono una chiara e precisa indicazione in merito all’ampiezza e all’intensità della risposta degli auditor al rischio di frode. Pertanto vi sono due approcci a tale problematica, a cui corrisponde due separate metodologie di lavoro, da un lato l’impostazione più tradizionale che pone enfasi sul ruolo centrale svolto dal sistema di controllo interno di un’impresa quale elemento fondamentale di prevenzione e contrasto alle frodi; un notevole rilievo è dato alle verifiche delle eventuali debolezze e vulnerabilità del sistema con ottica antifrode dando poi successivo rilievo alle anomalie da esso segnalate76_.

Il fraud risk assessment svolge un ruolo fondamentale nello sviluppo e nell’aggiornamento dei programmi per la gestione del rischio di frode. Creare un programma efficace dovrebbe rientrare nella più vasta attività di gestione dei rischi aziendali, la cosiddetta Enterprise Risk Management, la quale identifica gli ambiti nei quali le frodi si potrebbero verificare ed i soggetti che potrebbero perpetrarle.

Il team di valutazione del rischio di frode deve esaminare i rischi al fine di anticipare l’azione del potenziale frodatore e di valutare le conseguenze del comportamento illecito.

La valutazione del rischio di frode può essere effettuata sulla base delle seguenti fasi77_:

 identificazione dei rischi di frode;

 valutazione delle probabilità e dell’impatto dei rischi individuati  risposta ai probabili e significativi rischi di frode inerenti e residui.

Nella fase di identificazione dei rischi di frode, l’azienda è tenuta a

76_{Tratto da, con propria elaborazione: “Frodi aziendali” - Ed. Egea (2012), Giuseppe Pogliani, Nicola}

Pecchiari, Marco Mariani.

raccogliere tutte le informazioni utili per identificare i rischi che potrebbero verificarsi al proprio interno, pertanto si devono valutare tutti gli incentivi, le pressioni, le opportunità per i singoli individui e per gli uffici. Questo è un processo in cui il gruppo di audit individua le aree in cui la frode è stata commessa e ne identifica la tipologia (frode contabile, informatica).

La seconda fase si occupa della definizione della probabilità e dell’impatto del rischio di frode78:

 Probabilità: la probabilità che il rischio di frode si verifichi è misurata sulla base di analoghe situazioni già verificate in passato presso l’azienda. In seguito, si considera l’esistenza di probabili rischi di frode interni, valutandone la complessità;

 Impatto: la valutazione dell’impatto di un rischio di frode deve comprendere un’analisi quantitativa(dati economici e finanziari) e un’analisi qualitativa(reputazione e immagine).

La terza fase di valutazione dei rischi, riguardante la risposta ai probabili e significativi rischi di frode inerente e residui, dipende dal livello di propensione al rischio che è stato scelto.

Prima di definire l’attività di valutazione dei rischi, l’Alta Direzione deve stabilire la propensione e il livello di tolleranza ai rischi di frode. Solitamente, le aziende hanno un atteggiamento di “tolleranza zero” verso la frode.

Definire il livello di tolleranza ai rischi di frode rappresenta un valido strumento per la formulazione della strategia di prevenzione delle frodi, proprio in base alla tolleranza stabilita e alla probabilità e all’impatto di un eventuale rischio, saranno prese decisioni in merito ai controlli necessari a moderare il rischio nell’area in esame79_.

Ovviamente il successo del processo di valutazione dei rischi viene misurato in base alla relativa progettazione di controlli adeguati, selettivi,

78_{Tratto da: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda Mariniello.} 79_{Tratto da: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda Mariniello.}

efficienti, tempestivi e orientati all’obiettivo che si desidera raggiungere. Quindi, l’Alta Direzione deve definire i controlli anti-frode, gli scopi per i quali tali controlli vengono posti in essere, i soggetti preposti alla loro esecuzione e i responsabili del monitoraggio e della valutazione dell’efficacia del sistema antifrode.

Di notevole importanza risultano essere i red flags, indicatori della possibile presenza di scenari fraudolenti che provengono direttamente dai sistemi di controllo implementati dall’impresa; la loro percezione e la loro adeguata comprensione risulta essere l’elemento critico della metodologia di risposta alla frode da parte del revisore80_{. Scopo di questo approccio è quello di stabilire se il}

sistema di controllo interno è realizzato in forma adeguata ai rischi di frode considerati quale scenario e se il suo funzionamento si dimostra efficace. Qualora il revisore abbia una risposta positiva si può considerare chiusa questa parte di attività; se sorgono alcuni dubbi in merito alla presenza di alcuni red flag non chiariti o si dovessero verificare la presenza di altri elementi di dubbio tali da far pensare a fattispecie fraudolente, egli deve raccomandare l’effettuazione di un’attività investigativa interna81_.

Il secondo approccio si discosta molto dal primo in quanto il revisore agisce a prescindere dal sistema di controllo interno, svolgendo un ruolo attivo e diretto delle frodi. Egli non si occupa di verificare il grado di efficacia di tale organo, quanto di vagliare l’autenticità delle documentazioni da esso prodotte e dagli esiti delle procedure di controllo attuate. Il programma di attività che dovrebbe essere realizzato in osservanza ai fondamenti propri di tale approccio, prevede la predisposizione di un programma di lavoro progettato per verificare, in via esclusiva, la presenza di frodi nell’ambito delle attività di un’impresa e non per fornire garanzie sul grado di efficacia del sistema di controllo interno o per formulare un’opinione sul grado di attendibilità del bilancio82_{. Questo processo}

prevede l’utilizzo di particolari strumenti di controllo sviluppati con lo specifico

80_{Tratto da: “Frodi aziendali”, Ed. Egea (2012) - Giuseppe Pogliani, Nicola Pecchiari, Marco Mariani.} 81_{Tratto da: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda Mariniello.}

intento di accrescere la probabilità di individuare azioni od operazioni fraudolente, trascinando ogni riferimento o richiamo all’elemento “errore”.

L’azienda può ridurre o eliminare determinati rischi di frode modificando alcune attività o processi, ad esempio il rischio di appropriazione indebita di risorse monetarie può essere ridotto, utilizzando il canale bancario con modalità

ad hoc; il rischio di corruzione può essere ridotto controllando i cicli d’acquisto

dell’azienda. Pertanto può risultare utile nella definizione delle risposte/azioni correttive ai rischi di frode o nel monitoraggio degli stessi, la predisposizione di uno schema che individui i rischi di frode, li valuti in termini di probabilità e impatto, identifichi i soggetti o gli uffici coinvolti e i controlli esistenti83_{. Questo}

schema dovrebbe essere completato con i risultati dei test dell’efficacia dei controlli esistenti e dell’elencazione dei rischi residui. Quindi una buona mappatura dei rischi di frode e la definizione di adeguati controlli non portano alla completa eliminazione dei rischi di frode. L’azienda rimane esposta ai rischi di frode residui che devono essere sottoposti ed un continuo monitoraggio al fine di valutarne la materialità e la necessità di incrementare i controlli preesistenti84_.

83_{Tratto da: “Internal auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda Mariniello.}

84_{Tratto da, con propria elaborazione: “Internal Auditing” - Ed. Franco Angeli (2010) - Lina Ferdinanda}

Nel documento LA FRODE SOCIETARIA: I CASI PARMALAT, ENRON,WORLDCOM (pagine 59-64)