Il modello di sistema dei controlli interni per le organizzazioni finanziarie nell'ambito della prevenzione delle frodi

Luca Medizza – Managing Director Protiviti
IL MODELLO DEL SISTEMA DEI CONTROLLI INTERNI
PER LE ORGANIZZAZIONI FINANZIARIE
NELL’AMBITO DELLA PREVENZIONE DELLE FRODI
MilanoMilano,, 1111 dicembredicembre 20132013

ContenutiContenuti
Scenario di riferimento
Frodi e Fraud Risk Management
Entity Level
Process Level
Gli elementi fondanti un adeguato Fraud Risk Management
© 2013 Protiviti Inc. An Equal Opportunity Employer.
CONFIDENTIAL: This document is for your company's internal use only and
may not be copied nor distributed to any third party.
1
Process Level
Definizione di un framework di intervento
Alcune esperienze di Enterprise Fraud Management
Frode e corruzione

• Sulla base di quanto emerge dal Rapporto alla Nazione del 2012 emesso dall’ACFE (Association of Certified
Fraud Examiners), si stima che le Società perdano circa il 5% dei loro ricavi annui a causa delle frodi(*).
• Inoltre gli azionisti, nonché gli Enti regolatori e di controllo, stanno sempre più richiedendo alle Società
una gestione maggiormente attenta e attiva su questo tipo di rischio.
• Bisogna individuare e gestire il rischio di frode aziendale, comprendendo dove e come può verificarsi e
Le frodi causano perdite pari al 5% dei ricavi annuiLe frodi causano perdite pari al 5% dei ricavi annui
2
• Bisogna individuare e gestire il rischio di frode aziendale, comprendendo dove e come può verificarsi e
implementando adeguate strategie, al fine di:
- proteggere la loro reputazione;
- tutelare il patrimonio aziendale;
- aumentare la fiducia dei diversi stakeholders coinvolti.
(*)Stima basata sui 1.388 casi di frode nelle Società partecipanti alla survey analizzati dall’ACFE

• Come già registrato nei precedenti rapporti alla Nazione, anche nel 2012 il settore bancario/finanziario è
risultato quello maggiormente colpito come numero di eventi fraudolenti registrati.(*)
• Gli esperti ritengono che l’attuale crisi economica comporterà un incremento delle frodi in ambito
bancario e finanziario nel corso del 2009. Le società maggiormente colpite saranno quelle che presentano
carenze nei sistemi informativi (cybercrime), nei controlli e nei framework anti-frode.
Il settore bancario/finanziario è quello maggiormenteIl settore bancario/finanziario è quello maggiormente
colpitocolpito
3

• I principali fattori che concorrono in modo determinante alla commissione di condotte illecite, influendo
sul rischio di frode di un’organizzazione, sono:
- l’opportunità: assenza di controlli o sistema di controllo interno inadeguato o facilmente eludibile;
- la motivazione: incentivo o pressione a commettere una frode (difficoltà finanziaria, ricerca di potere);
- la razionalizzazione: spersonalizzazione dell’atto o mancata consapevolezza della sua illiceità; convincimento di prendere solo
in prestito un bene aziendale o una somma di denaro e di poterla restituire; emulazione di comportamenti illeciti messi in atto
dai superiori.
Frodi eFrodi e FraudFraud Risk ManagementRisk Management
Cause e modalità diCause e modalità di gestionegestione
Motivazione
4
Opportunità Razionalizzazione
Motivazione
Strategie, tecniche, programmi e controlli utilizzati per
valutare, mitigare e verificare il rischio di frode
dell’organizzazione e proteggere il valore e la reputazione
aziendale.
Principali attività di Fraud Risk Management:
Fraud Risk Assessment;
Sviluppo e valutazione di specifici “Anti-Fraud Programs
& Controls”;
Fraud Audit;
Investigazioni;
Gestione contenziosi(penali o meno).
Fraud Risk Management
Rischio di frode
Frodi interne
Frodi esterne con
connivenza interna
Frodi esterne perpetrate
all’insaputa
dell’intermediario

Elementi fondanti un adeguato FRMElementi fondanti un adeguato FRM
EntityEntity levellevel
Prevenire
• Tone at the top
• Sistema dei Valori (“Codice Etico / Condotta”)
• Ambiente di lavoro positivo
• Capacità di assumere, promuovere, trattenere i
dipendenti
• Training e awareness programs
• Confirmation / affirmation of Code of Conduct or Ethics
• Programmi “Ombudsman”
• Whistleblower programs
• Capacità di risposta in caso di “incidenti”
• Procedure investigative
• Sistema disciplinare e attività per il recupero
• Supervisione attiva da parte del C.d.A. e/o Comitato
per il controllo interno
• Fraud risk assessment e azioni relative
• Internal audit
• Valutazione dell’adeguatezza/efficacia dei controlli
Dissuadere
Individuare
• Processo per diffusione del Codice nella Società
• Coinvolgimento del management nel processo di
reporting e di controllo
• Processo per la ricezione e la gestione di
reclami/segnalazioni/condotte non etiche
• Efficacia delle attività di audit (interno e esterno)
• Valutazione dell’adeguatezza/efficacia dei controlli
interni
• Esempi di azioni disciplinari
• Identificazione e misurazione dei rischi di frode
(“fraud risk assessment”)
• Processi e procedure atte a mitigare i rischi di frode
• Controlli interni efficaci a livello di Società e di
processo
• Attività continue di monitoraggio
• Tecniche di audit “computer-assisted”
• Attività investigative
• Analisi debolezze/gap nei controlli interni
• Analisi sul livello di diffusione del Codice
• Attività di reporting delle problematiche
individuate

• La responsabilità di prevenire i rischi di frode è riconosciuta in capo a responsabili di livello
• E’ implementato un efficace processo di valutazione e monitoraggio dei rischi di frode.
• Utilizzo di strumenti informatici per l’investigazione, ottimizzazione della riduzione dei c.d. “falsi
positivi”.
Gestito
• I Programmi e i Controlli antifrode sono allineati con il rischio di frode.
• Attenzione e training sulle frodi sono continui e costanti.
• Le frodi sono attivamente prevenute, scoraggiate e investigate.
Ottimizzato
Creazione
di valore
Elementi fondanti un adeguato FRMElementi fondanti un adeguato FRM
ProcessProcess levellevel
6
• Assenza di codice di condotta, “whistle blowing” policy, capacità di fronteggiare eventi di frode e
approccio investigativo.
• Non esistono programmi e controlli specifici antifrode.
Iniziale
• Un programma antifrode è definito ma non monitorato.
• I meccanismi di reporting esistono ma non sono utilizzati.
• L’investigazione è informale e affidata all’iniziativa del singolo.
Migliorabile
• La responsabilità di prevenire i rischi di frode è riconosciuta in capo a responsabili di livello
organizzativo adeguato. Sono operativi sia i piani per fronteggiare eventi di frode sia i protocolli per
le investigazioni.
• I rischi di frode sono identificati formalmente.
Definito
Rischio di
fallimento

Elementi dell’infrastruttura:
Frodi e Fraud Risk ManagementFrodi e Fraud Risk Management
Best Practices nel FRMBest Practices nel FRM
Strategie e Policies Gestione dei rischi Organizzazione Reportistica Metodologie Sistemi informativi
• Il livello di
propensione al
rischio è approvato
e monitorato dal
Top Management
• Il livello di
rischiosità delle
frodi è
formalmente
identificato e
periodicamente
• Il CdA e l’Audit
Committee
monitorano i rischi
di frode
• La responsabilità
• I sospetti di frode o
di condotte illecite
sono
tempestivamente
riportati all’Audit
Committee e al CdA
• E’ definito un
metodo collaudato
per l’identificazione
e la valutazione dei
rischi di frode a
livello aziendale e
• Esistono e sono
attivamente usati e
monitorati adeguati
meccanismi di
reporting
7
• E’ implementata
una specifica Policy
aziendale che
definisce le linee
guida per gestire il
rischio di frodi e per
fronteggiare episodi
specifici
• La Policy individua
chiaramente ruoli e
responsabilità
all’interno
dell’azienda
periodicamente
aggiornato
• Processi di
prevenzione e
investigazione delle
frodi sono operativi
e monitorati sia a
livello di processi
operativi che a
livello strategico
• La responsabilità
dei processi anti-
frode è assegnata al
senior management
• Gli obiettivi
aziendali in termini
di prevenzione
delle frodi sono
considerati nei
piani di incentivi
aziendali
Committee e al CdA
• L’Audit Committee
ha definito le
modalità di
ricevimento,
archiviazione e
adeguato
trattamento delle
segnalazioni su
potenziali frodi
ricevute in accordo
a una ”Wistle
Blowing Policy”
livello aziendale e
di processo
• I piani per
fronteggiare
eventuali frode
sono definiti
chiaramente
• Procedure per
l’investigazione
sono operative e
monitorate
• Adeguati strumenti
di data mining e
analisi sono
utilizzati nelle
attività di
investigazione

La battaglia per ridurre (troppo pretenzioso parlare di sconfiggere) le frodi all’interno della propria azienda è
da combattere su due fronti e secondo due approcci: organizzativo e strutturale.
Tipologie di interventoTipologie di intervento
Definizione di un framework di interventoDefinizione di un framework di intervento
+
Complessità
implementativa
Intervento
•Controlli di linea
•Controlli di
secondo livello
•Controlli ex ante
•Controlli
automatici di
sistema
•Diagnostico
anomalie
•Struttura
accentrata dedicata
•Struttura
decentrata
distribuita
8
+-
-
Costi di gestione intervento
strutturale
Diagnostico/
Controlli
sistema
Interventi
Organizzativi
•Controlli ex ante
•Controlli ex post
•Normativa interna
•Segregazione delle
funzioni
•Livelli autorizzativi
La grandezza delle bolle
esprime gli assorbimenti di
risorse in termini di FTE

L’esperienza recente insegna che in molti casi le risorse (umane e tecnologiche) a disposizione delle funzioni di controllo e
prevenzione all’interno di una Società risultano insufficienti o operano in contesti che non consentono di massimizzare
l’efficienza rispetto alle attività cui sono chiamate a svolgere.
riportato nel Una soluzione efficace (ma anche efficiente) è la realizzazione di un Modello Integrato di Gestione dei
rischi (e, conseguentemente, anche del rischio di frode).
Questo approccio si basa sull’intuizione che l’attività di valutazione del rischio di frode e dei controlli ad esso connessi sia
un vero e proprio processo e come tale debba essere realizzato tramite:
– L’identificazione di un unico owner
Definizione di un framework di interventoDefinizione di un framework di intervento –– il nostro punto di vistail nostro punto di vista
9
– L’identificazione di un unico owner
– La definizione di un’unica metodologia
– Il coinvolgimento di diversi attori con competenze specifiche
– La formalizzazione di policy che ne regolamentino ruoli e responsabilità
– L’implementazione di una soluzione informatica dedicata
– Il disegno di un unico sistema di reporting
– La definizione di una procedura stabile, ripetibile e documentata

Reportistica integrata
Collegio SindacaleCE / DG
44
22
Requisiti coerenti
con le strategie aziendali11
CdA
Internal Audit
Definizione di un framework di interventoDefinizione di un framework di intervento –– il punto di arrivoil punto di arrivo
10
Gestione univoca di:
• Metodologia di valutazione
dei rischi di frode
• Struttura dei controlli
• Database dei controlli
• Policy & Procedure
• Applicativi
Sistema di controlli univoco33
22
Unità di Business
Compliance
Risk Management
MIG Manager
Fraud Risk Manager

Approccio integratoApproccio integrato
Aspetti organizzativi per una gestione integrata dei rischiAspetti organizzativi per una gestione integrata dei rischi (1/2)(1/2)
Il nuovo processo di gestione dei Rischi di frode dovrà essere realizzato tramite:
– L’identificazione di un owner
– La definizione delle fasi
– La definizione dell’output
– L’implementazione dei sistemi a supporto
Cantiere Tematico 6
Reportistica integrata
Cantiere Tematico 2
Metodologia unica di
risk assessment
Cantiere Tematico 1
Infrastruttura globale
dei controlli
11
Fasi
Esecuzione
dell’assessment
Costruzione della
matrice processi-
rischi-controlli
Identificazione,
analisi e gestione
degli issue
Sistemi
Informativi
Elaborazione dei
risultati
Owner
Output
Cantiere Tematico 4
Razionalizzazione
delle azioni correttive
Cantiere Tematico 5
Integrazione dei
sistemi
Cantiere Tematico 3
Infrastruttura
organizzativa

L’approccio proposto permette di:
– Costruire un processo logico di gestione dei Rischi (incluso il rischio frode)
– Seguire un approccio per moduli, che possono essere realizzati separatamente e sequenzialmente
– Valutare in fase implementativa l’impatto sui costi
CT3 – Infrastruttura organizzativa
CT4 – Razionalizzazione delle azioni correttiveCT6 – Reportistica integrata
Aspetti organizzativi per una gestione integrata dei rischiAspetti organizzativi per una gestione integrata dei rischi (2/2)(2/2)
12
CT2 - Metodologia unica di
risk assessment
CT1 – Infrastruttura globale dei controlli
CT4 – Razionalizzazione delle azioni correttive
CT5 – Integrazione dei sistemi
CT6 – Reportistica integrata

La razionalizzazione della struttura dei
controlli si traduce nell’esame delle
seguenti tematiche:
– definizione degli attributi di classificazione dei
controlli (Who, What, Where, When, How)
– definizione standard del dominio degli
attributi
– censimento univoco ed esaustivo dei controlli
in essere
– classificazione dei controlli secondo gli
MIGMIG –– CT1CT1
Definizione degli attributi, censimento univoco,
classificazione dei controlli, etc.
13
– classificazione dei controlli secondo gli
attributi condivisi
– analisi di razionalizzazione dei controlli in
essere
– identificazione dei controlli chiave
– identificazione dei riferimenti normativi
associabili ai controlli
– disegno del controllo
– stima dei costi associati ai controlli
– valutazione dell’efficacia del controllo
Disegno del controllo, valutazione dell’efficacia e
dell’efficienza del controllo
Circolare 263 15°aggiornamento

La definizione di un’unica metodologia di risk assessment
si traduce nell’esame delle seguenti tematiche:
– definizione univoca di rischio non finanziario
– creazione di un glossario comune e condiviso
– identificazione di un’unica tassonomia dei rischi (che
includa il rischio frode)
– identificazione delle dimensioni di valutazione dei
MIGMIG –– CT2CT2(1/2)(1/2)
14
rischi
– identificazione della metodologia e delle modalità
esecutive
Circolare 263 15°aggiornamento

La definizione di un’unica metodologia di risk assessment
si traduce nell’esame delle seguenti tematiche:
– definizione univoca di rischio non finanziario
– creazione di un glossario comune e condiviso
– identificazione di un’unica tassonomia dei rischi (che
includa il rischio frode)
MIGMIG –– CT2CT2(2/2)(2/2)
15
rischi
– identificazione della metodologia e delle modalità
esecutive

L’implementazione dell’Infrastruttura Organizzativa si traduce nell’esame
delle seguenti tematiche:
– Gestione del consenso per la creazione della nuova funzione
MIG ed il suo posizionamento all’interno della struttura
organizzativa
– individuazione delle interdipendenze tra diverse funzioni e
definizione delle modalità di gestione delle eventuali aree di
sovrapposizione
– definizione e formalizzazione dei ruoli e delle responsabilità
16
– definizione e formalizzazione dei ruoli e delle responsabilità
di ciascuna delle funzioni coinvolte (ridisegno del Modello di
Governo)
– condivisione e formalizzazione degli obiettivi e delle linee
guida tra le funzioni aziendali coinvolte
– definizione di flussi informativi tra le funzioni per il corretto
svolgimento del processo
– Definizione degli obiettivi e dei KPI per il responsabile della
nuova funzione MIG, in termini di costi di gestione dei RNF,
esposizione residua e assorbimento di capitale nonché di
tempi e costi di realizzazione delle azioni correttive Circolare 263 15°aggiornamento

La razionalizzazione delle Azioni Correttive, emerse
dall’attività di risk assessment, si traduce nell’esame delle
seguenti tematiche:
– Definizione di un chiaro canale di comunicazione con i
Decision Maker (Top Management/CdA/Comitato di
Controllo Interno) attraverso un nuovo concetto di Risk
Tolerance (vedi grafico esemplificativo sulla destra)
– individuazione delle dimensioni di analisi e aggregazione
degli issue rispetto alle soglie di risk tolerance. La gestione
delle azioni correttive sarà realizzata tramite un unico
Frequenza di Accadimento Accettabile: soglia oltre la quale
il costo di riduzione ulteriore della frequenza di
accadimento supera il costo dell’impatto derivante dal
concretizzarsi del rischio
17
delle azioni correttive sarà realizzata tramite un unico
repository di dati
– definizione di una tassonomia degli issue secondo le
dimensioni prescelte (owner, tipologia di intervento,
processo, etc.)
– razionalizzazione delle azioni correttive da porre in essere, in
termini di:
• eliminazione di eventuali duplicazioni
• verifica della coerenza delle singole attività
• prioritizzazione
• attribuzione della responsabilità dell’intervento
• monitoraggio del costo delle azioni correttive poste in essere
• verifica dell’effettiva riduzione dell’esposizione al rischio frode e
agli altri RNF a seguito del roll out dell’azione correttiva
implementata
Rischi con impatto basso, ma con frequenza di accadimento
elevata: la risk tolerance può essere ottenuta stabilendo una
Frequenza di Accadimento Accettabile (FAA), sulla base di un’analisi
costi/benefici
Rischi che hanno probabilità di accadimento molto bassa, ma
impatto elevato: la risk tolerance può essere ottenuta stabilendo un
Impatto Massimo Sopportabile (IMS), compatibile con la disponibilità
di Capitale
Impatto Massimo Sopportabile: soglia
oltre la quale il costo di trasferimento
del rischio supera il costo dell’impatto
derivante dal concretizzarsi del rischio
stesso

L’implementazione di un’unica piattaforma, integrata con
gli altri applicativi della Società, consente la gestione dei
RNF (incluso il rischio frode), dei controlli e delle azioni di
mitigazione connesse
L’Integrazione dei Sistemi può essere articolata (a seconda
delle diverse situazioni), in:
– definizione dei requisiti utente e,
conseguentemente, dei requisiti funzionali
– valutazione e scelta della soluzione integrata più
18
– valutazione e scelta della soluzione integrata più
idonea
– definizione delle interfacce della piattaforma
unificata con le altre procedure applicative aziendali

La definizione di una reportistica integrata si traduce
in:
– analisi dell’attuale reportistica (quick scan
documentale)
– identificazione dei fabbisogni informativi del Top
Management, sulla base di criteri di valutazione
condivisi. Verrà data priorità alle informazioni che
assicurano la POSSIBILITA’ DI PRENDERE
MIGMIG –– CT6CT6(1/4)(1/4)
REPORTISTICA AS ISReport Rischio Frode
19
DECISIONI e DI ESPLICITARE LE MOTIVAZIONI
ALLA BASE DELLE STESSE
– definizione di standard di reporting
– definizione dei contenuti e della frequenza del
reporting
– creazione di una base dati volta a realizzare
benchmarking, analisi andamentali e previsionali Circolare 263 15°aggiornamento

in:
documentale)
MIGMIG –– CT6CT6(2/4)(2/4)
REPORTING SINTETICO, ANALITICO E DINAMICO
CRITERI:
• qualità dell’input: i dati e le informazioni provengono da
una raccolta e da analisi affidabili;
• profilo del destinatario: ogni report rispetta le necessità
del destinatario in termini di informazioni, livello di
dettaglio e frequenza di produzione;
20
reporting
benchmarking, analisi andamentali e previsionali
dettaglio e frequenza di produzione;
• formato: le informazioni importanti vengono evidenziate
nei report in modo graduato in funzione della rilevanza
delle stesse (con scelte grafiche o di posizionamento).
Focus su:
• processi;
• controlli;
• rischi;
• process owner;
• unità organizzativa;
• etc.

in:
documentale)
MIGMIG –– CT6CT6(3/4)(3/4)
Report di
processo
Distribuzione
rischi per
criticità
21
reporting
Distribuzione
rischi per
tipologia
Distribuzione
rischi per
impatti
accessori
Top risk
Evoluzione
CMM / Six
Elements di
processo

in:
documentale)
MIGMIG –– CT6CT6(4/4)(4/4)
Report dei
controlli
22
reporting
Report di
rischio

• Nel 2012, nel settore bancario/finanziario la fattispecie relativa alla corruzione è risultata quella
maggiormente frequente(*)
• Con l’introduzione della Legge n. 190/2012, la fattispecie di corruzione ex art. 2635 C.C. risulta
ancora più rilevante ai fini dei rischi in capo alle Società.
FrodeFrode ee CorruzioneCorruzione –– risultatirisultati ACFEACFE
33,70%
10,10%
9,60%
10,40%
60,00%
80,00%
100,00%
• Da una recente survey interna condotta da Protiviti su alcuni primari operatori finanziari
internazionali (anche a seguito di normative quali lo UK Bribery Act e il FCPA) è emerso come le
strutture internazionali si siano fortemente strutturate in termini di regole (Anti-Corruption
Program) e di processi, al fine di prevenire i rischi di corruzione
23
36,20%
0,00%
20,00%
40,00%
60,00%
Corruzione Sottrazione Asset Informativa fraudolenta Falsa Fatturazione Altro

GrazieGrazie
GrazieGrazie
24

25
Luca Medizza
Managing Director
Via Tiziano, 32
20145 - Milano
Italia
Office: +39 02 655 06301
Cellulare: +39 347 1131442
E-mail: luca.medizza@protiviti.it

Il modello di sistema dei controlli interni per le organizzazioni finanziarie nell'ambito della prevenzione delle frodi

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (7)

Similar to Il modello di sistema dei controlli interni per le organizzazioni finanziarie nell'ambito della prevenzione delle frodi

Similar to Il modello di sistema dei controlli interni per le organizzazioni finanziarie nell'ambito della prevenzione delle frodi (20)

More from Salomone & Travaglia Studio Legale

More from Salomone & Travaglia Studio Legale (20)

Il modello di sistema dei controlli interni per le organizzazioni finanziarie nell'ambito della prevenzione delle frodi