Dallo studio ACFE 2018 ‘Report to the Nations’ emerge che, sin dal 2010 – data di prima emissione del report da parte di ACFE - nella maggior parte dei casi (68%) le frodi vengono identificate grazie i) a ‘segnalazioni’, ii) al lavoro di internal audit e iii) alle review da parte del management. Le ‘segnalazioni’ risultano essere il mezzo più diffuso per identificare questo tipo di frodi (40% dei casi).
Principalmente, le segnalazioni avvengono da parte dei dipendenti delle organizzazioni vittima (53%), seguite da quelle effettuate da individui esterni all’azienda (32%) quali clienti, fornitori e concorrenti.
Il 14% delle segnalazioni, inoltre, avvengono in maniera anonima solitamente per paura di ritorsioni.
Nel corso degli anni, l’istituzione di linee dedicate (le cosiddette hotline) ha contribuito ad aumentare il numero di segnalazioni e si evince anche che le organizzazioni dotate di questi mezzi hanno riportato perdite di entità inferiore rispetto alle aziende che ne sono invece sprovviste.
Sebbene le linee telefoniche dedicate siano il mezzo più utilizzato (42%), chi denuncia le frodi utilizza anche altri canali tra cui: le email (26%), formulari online (23%), posta (16%), fax (1%) e altre forme (9%). Inoltre, nelle organizzazioni in cui non esiste un meccanismo di segnalazione codificato, i dipendenti fanno riferimento a: i diretti superiori (32%), ai capi (13%), al team di identificazione frodi (13%), ai colleghi (2%), agli organi preposti all’internal audit (10%).
La forma di frode più frequentemente segnalata attraverso le ‘segnalazioni’ risulta essere la corruzione (50%), seguita a pari merito dall’appropriazione indebita e dalle false comunicazioni finanziarie (38%).
La modalità di identificazione delle frodi è anche correlata all’entità della perdita subita e alla loro durata. Infatti più un’organizzazione si adopera attivamente per identificare situazioni di potenziale pericolo, meno ingenti saranno le perdite e si ridurrà il tempo tra il suo inizio e il momento in cui viene scoperta.
Il report ACFE suddivide le modalità di identificazione in tre categorie: attive, passive, potenzialmente attive o passive. Tra le modalità cosiddette attive rientrano tutte le azioni mirate alla ricerca di possibili condotte illecite all’interno dell’organizzazione o i controlli interni dedicati esclusivamente alla identificazione di frodi.
Tra quelle passive invece rientrano i casi in cui le frodi sono scoperte per caso, a seguito di una confessione o ovvero su iniziativa delle forze dell’ordine. I casi in cui la frode viene scoperta attraverso i controlli dei revisori e tramite segnalazioni sono considerati tra le modalità potenzialmente attive o passive poiché, a seconda dei casi, possono coinvolgere uno sforzo più o meno deliberato e proattivo per identificare la frode.
La lezione che si può apprendere da questa analisi è che le organizzazioni devono dotarsi di strumenti e procedure atte ad identificare in tempi rapidi ogni possibile situazione di pericolo che possa sfociare in una vera e propria frode così da ridurre al minimo le possibili perdite.
A questo proposito, le macro attività che un’azienda potrebbe/dovrebbe porre in essere per limitare il verificarsi di una frode sono le seguenti:
Diffusione di chiare regole aziendali come deterrente
Contrastare il rischio di frodi è un approccio a due vie: la prima consiste nella pubblicizzazione all’organizzazione circa l’esistenza di controlli ad hoc per rilevare eventuali fenomeni fraudolenti, la seconda nella comunicazione in modo chiaro all’organizzazione degli atteggiamenti consentiti e di quelli proibiti con chiara evidenza della sanzioni che l’azienda applicherà in caso di comportamenti disonesti.
Identificazione dei punti di debolezza nel sistema
I punti di debolezza nel sistema aziendale sono individuabili quando i controlli progettati per prevenire l’uso improprio o non autorizzato di risorse aziendali non funzionano efficacemente.
L’identificazione di controlli chiave è svolta in maniera più efficace se si conoscono i processi aziendali e se si ha la consapevolezza di come differenti tipi di frodi possano essere perpetrati e da parte di chi. Di conseguenza, il management deve identificare i controlli chiave che possono prevenire le frodi in ogni area di business e comprendere fino a che livello tali controlli possono essere ritenuti efficaci.
Conoscenza del business e delle procedure di business
È fondamentale per il management avere una comprensione globale del business e delle sue procedure, le sedi estere e distaccate, le procedure di approvvigionamento e le attività non appartenenti al core-business aziendale. Una conoscenza non ottimale del business, delle procedure e dei controlli in essere comporta potenzialmente un rischio elevato che una frode possa avvenire.
In numerose società, la maggior parte dei dati e delle informazioni generalmente usate è gestita e trasmessa in via informatica. È vitale che una società sappia dove sono archiviati i dati e le informazioni, come sono trattati e gestiti, e quali rischi potrebbero derivare dalla perdita o dalla divulgazione di tali dati a persone non autorizzate. Inoltre, la società dovrebbe avere la certezza che le procedure e i controlli in vigore siano posti in essere al fine di proteggere l’accesso al loro uso e gestione.
