Per visualizzare tutti i contenuti pubblicati, clicca qui: Federpol MAG
FRODI E CRIMINI AZIENDALI (Federpol MAG nr. 5/2023)
Quale approccio da parte delle organizzazioni aziendali per creare valore nelle attività di controllo e di contrasto.
Dietro ad ogni frode non si nasconde una sola ed unica motivazione. Prima di intraprendere ogni attività finalizzata all’individuazione dell’autore è necessario tenere in considerazione i diversi fattori che hanno indotto una persona, nel caso di specie di un dipendente, a commettere un illecito ai danni della sua stessa azienda.
Ovvero, condizioni in cui le persone possono razionalizzare i propri potenziali crimini; opportunità di commettere determinati reati; idoneità percepita degli obiettivi dell’illecito; capacità tecnica ed organizzativa dell’autore dell’illecito; rischio atteso ed effettivo di essere scoperti; aspettative delle conseguenze ad una possibile scoperta (incluse conseguenze non penali come la perdita del posto di lavoro o la propria reputazione) ed infine le effettive conseguenze della scoperta stessa.
Un modello comune che riunisce una serie di questi aspetti è il famoso “Triangolo della Frode”[1]. Questo modello, sviluppato da un’idea di Donald R. Cressey e Edwin Sutherland, i quali condussero negli anni Cinquanta, un’indagine teorica sulle frodi, definisce una teoria in grado di spiegare i motivi per cui una frode viene solitamente perpetrata.
Tale teoria, nota come “The Fraud Triangle”, stabilisce che ogni frode presenta tre elementi caratterizzanti e si basa sul presupposto che sia altamente probabile che la stessa derivi da una combinazione dei tre fattori:
- Opportunità
- Razionalizzazione
- Incentivi
Nel dettaglio, “Opportunità: è il metodo che il soggetto utilizza per commettere una frode. Essa si presenta se l’azienda possiede controlli interni insufficienti, se l’individuo ottiene la complicità di soggetti interni o esterni all’impresa oppure compie pratiche commerciali illecite.
Razionalizzazione: è la giustificazione che l’individuo utilizza per effettuare una frode. Essa si manifesta per una mancata consapevolezza della condotta fraudolenta oppure per l’autoconvincimento di “non aver commesso nulla di male”, in genere gli individui che commettono frodi sono per la prima volta trasgressori e dunque non si considerano come criminali, ma persone ordinarie e oneste che sono solo vittime di sfortunate circostanze. Vi sono diversi tipi di razionalizzazione, come trasformare l’atto illecito in un’azione innocua (es. un furto di cassa tramutato in un prestito concesso dall’impresa), minimizzare la portata del reato (es. “c’è chi fa di peggio”), a vedere l’atto disonesto come una sorta di compensazione per le ingiustizie subite (es. “se lo meritano perché́ mi sfruttano”), a generalizzare il problema (es. “lo fanno tutti”), oppure a costruire un alibi (es. gravi problemi personali) per motivare il fatto illecito
Incentivi: Chiamati anche pressioni, possono essere per esempio uno stile di vita cospicuo, la negazione della carriera professionale, l’insoddisfazione verso il datore di lavoro e la pressione da parte del management aziendale. La pressione può essere di tipo personale o professionale ma deriva da un problema finanziario rilevante che l’individuo non è in grado di risolvere con mezzi legittimi.”[2]
Ovviamente uno dei modi più efficaci per affrontare il rischio delle frodi è adottare metodi che riducano l’opportunità o eventuali pressioni/incentivi, o preferibilmente entrambi, mentre per quanto riguarda la razionalizzazione, essendo un fattore essenzialmente personale è più difficile da individuare e contrastare.
In ogni caso, è sempre importante considerare un fattore estremamente determinante affinché la frode possa essere commessa: “i dipendenti commettono illeciti perché percepiscono la possibilità di poterlo fare”. Affermazione estremamente ovvia, ma determinante per sviluppare una adeguata consapevolezza aziendale alla prevenzione.
Premesso quanto sopra, si tratta di quindi di individuare la, o meglio, le corrette strategie aziendali, necessarie per fronteggiare questa grave minaccia endogena ed agire, in maniera organizzata, per dotarsi di strumenti idonei ed efficaci di contrasto.
Innanzitutto, è necessario che le organizzazioni aziendali approccino al “Rischio Frode” con le stesse modalità con cui vengono affrontate tutte le varie tipologie di rischi operativi, partendo dalla mappatura dei processi aziendali e individuando le aree più esposte, ad esempio processi quali il Cash Management e la Supply Chain, sono quelli che, nell’ambito di aziende del settore della Grande Distribuzione Organizzata e del Retail, sono i più esposti e necessitano di una grande e particolare attenzione.
Prendendo quindi come riferimento le indicazioni contenute all’interno della norma UNI ISO 31000:2018 – Gestione del rischio, procedere alla determinazione del ciclo di gestione del rischio attraverso un classico processo interattivo di Risk Management, che prevede le fasi di identificazione, analisi e ponderazione (e ovviamente tutto il resto contenuto nella linea guida UNI ISO 31000).
Non solo, altro strumento fondamentale per fronteggiare gli illeciti all’interno dell’azienda è l’adozione di un modello organizzativo e di gestione ai sensi del D.Lgs. 231 del 2001, ovvero l’insieme delle procedure e dei regolamenti che disciplinano e definiscono la struttura aziendale e la gestione dei suoi processi sensibili. Ovviamente ben strutturato e non ridondante.
Infine, “last but not least”, garantire che l’azienda viva al suo interno una forte cultura etica e dei valori chiari, concreti e soprattutto condivisi, naturalmente e mai imposti, da tutta l’organizzazione.
Tutto questo potrebbe essere sufficiente? Assolutamente no, ma è sicuramente determinante per garantire una forte riduzione del rischio frode all’interno dell’azienda, semplicemente per il fatto di rispondere ad una delle teorie più note in criminologia, ovvero la “teoria delle finestre rotte”[3] che, in maniera estremamente semplificata, afferma che: “il disordine, e quindi la disorganizzazione, generano criminalità”.
Quindi una volta “riparate le finestre” un’azienda potrà sentirsi definitivamente tranquilla? La risposta è, purtroppo, ancora, no. Il rischio frode, come tutte le altre tipologie di rischi operativi, non prevede il valore “zero”.
Il modo principale per tendere a questo obiettivo (senza poterlo mai raggiungere), potrà pertanto essere quello di istituire un sistema completo ed integrato di controllo interno, basato anche su sistemi efficienti di Data Analysis, che miri a prevenire le frodi e, laddove la frode non possa essere prevista, predisporre i processi aziendali affinché la probabilità di essere individuata aumenti, così come i costi e gli sforzi organizzativi e gestionali da parte dell’autore (o degli autori) della frode; anche attraverso l’utilizzo di professionisti qualificati esterni, in un ottica di “Open Innovation”, che possano essere in grado di supportare le aziende contribuendo alla gestione di questo rischio, per far sì che le stesse organizzazioni non siano più dei semplici follower, ma concreti leader del processo, o meglio non doversi più trovare nelle tristi condizioni di essere costretti a chiudere il recinto dopo che i buoi sono scappati.
Ovviamente sono compresi anche i “recinti moderni”, quelli che oggi proteggono i buoi nelle infinite e rigogliose praterie Cyber…
[1] Donald R. Cressey e Edwin Sutherland (il termine “triangolo” della frode è stato introdotto successivamente da Steve Albrecht)
[2] Marijana Brdaric, 2018 “Il ruolo del revisore esterno nei casi di frode aziendale. Come e quanto il revisore esterno deve considerare i rischi di frode aziendale nell’ambito della sua attività” 2018 –.
[3] Teoria introdotta nel 1982 in un articolo di scienze sociali di James Q. Wilson e George L. Kelling.
ASCOLTARE IL CAMBIAMENTO (Federpol MAG nr. 3/2022)
Occorre un approccio strategico e culturale in base al quale la funzione security, per creare più valore, sceglie di ricorrere non più e non soltanto a modelli ormai obsoleti o a sole risorse interne, ma anche a idee, soluzioni, strumenti, competenze e tecnologie che arrivano dall’esterno o da altre strutture aziendali
Da sempre si dice che la sicurezza all’interno dei processi aziendali abbia ruolo talmente importante da dover essere considerata un investimento e non un costo. Non solo: da sempre si discute anche del ruolo del Security Manager e di un suo possibile riconoscimento normativo. Ma siamo sicuri che questa sia effettivamente la strada giusta? Siamo veramente certi che i modelli organizzativi esistenti abbiano superato quello schema tipico che potremmo definire, in senso figurato, “del paraurti della Fiat 500 degli anni Sessanta”, ossia di un pezzo che, seppure essenziale per la carrozzeria, non è integrato in essa?
Sicurezza, Security Manager e Governance
Il processo di security all’interno delle aziende sta sicuramente attraversando una fase di trasformazione radicale: se fino a qualche anno fa si parlava esclusivamente solo di protezione del perimetro fisico, di controllo degli accessi e di difesa di asset e del patrimonio, oggi il ruolo della security aziendale si è notevolmente ampliato al punto che deve essere in grado di intervenire in uno scenario molto più vasto e che rientra a pieno titolo nel campo delle operation aziendali. Anche i termini di riferimento, non a caso, stanno cambiando. Per fare un esempio, non si parla più solo di loss prevention e di asset protection, ma più propriamente di profit protection, allargando significativamente la portata del processo di Security Management che, in settori come il Retail e la Gdo, coinvolge anche altre dimensioni: la cybersecurity, la safety, la compliance, l’audit, la tutela dei dati personali, l’efficienza delle attività aziendali, il monitoraggio delle attività anche commerciali dei siti produttivi e, non meno importanti, la reputazione aziendale e la business continuity. Lo scenario è tale che i responsabili del processo o, meglio, chi ne definisce la Governance, devono necessariamente venire a contatto con altre figure aziendali, come l’IT Manager, il COO, il CFO, e altri dipartimenti, come le Risorse Umane, il Marketing e l’intera supply chain. Attenzione, però: essere responsabile della Governance del processo di security è ben distante dall’essere Security Manager. In quest’ultimo caso si gestisce il processo e si è responsabili direttamente di ogni attività, con il rischio concreto di rimanere soli e inascoltati a proteggere il patrimonio aziendale. Questa eventualità si verifica però se il focus è sul ruolo, e non sul processo. Viceversa, se la sicurezza, all’interno dell’organizzazione, è recepita e accolta come strumento efficace di Governance, allora sicuramente sarà considerata come un sistema fruibile, condiviso e portatore di valore aggiunto per ogni funzione aziendale e non più una “Sicurezza di Carta”. Una chiara Governance della Security consentirà pertanto, nell’ambito delle specifiche competenze, di mantenere un’adeguata capacità competitiva, superando eventuali incidenti grazie a un approccio costantemente consapevole da parte di tutta l’organizzazione.
L’idea di Open Security
In un mondo in cui la velocità dei cambiamenti non è più controllabile, la sicurezza diventa pertanto una questione di partecipazione e controllo dei processi aziendali in modo tale da poter consentire all’azienda di continuare a sviluppare, mantenere e proteggere il proprio business in maniera sempre più consapevole ed efficace, ma, soprattutto, di prepararla a fronteggiare l’insorgenza di nuove e imprevedibili minacce. Per reagire in maniera adeguata alla velocità dei cambiamenti è perciò necessario allargare il tavolo di confronto aprendo, definitivamente, le porte a tutti gli interlocutori della sicurezza, siano essi responsabili delle varie funzioni aziendali, siano essi rappresentanti di aziende fornitrici di sistemi, soluzioni e servizi per la sicurezza. Occorre avere un approccio strategico e culturale secondo il quale la funzione security, per creare più valore, sceglie di ricorrere non più e non soltanto a modelli ormai obsoleti o a sole risorse interne, ma anche a idee, soluzioni, strumenti, competenze e tecnologie che arrivano dall’esterno o da altre strutture aziendali. Si tratta, quindi, di concepire una funzione più competitiva, innovativa e integrata, tale da poter essere definita Open Security.
La capacità di ascolto
Ma cosa vuol dire esattamente ricorrere a idee, soluzioni, strumenti, competenze, tecnologie che arrivano dall’esterno? Innanzitutto, è necessario svincolarsi da paradigmi ormai superati e abbandonare definitivamente quella sorta di “gelosia” che ha spesso indotto i vari stakeholders a tenere un atteggiamento di chiusura. Le idee si possono condividere solo quando ci si trova in un contesto aperto, libero da pregiudizi e, soprattutto, predisposto all’ascolto. Oggi, la funzione di security deve porsi in una condizione in cui la priorità sia “l’ascolto”e non “l’essere ascoltati”. Definire un processo di security che abbia come caratteristica una efficace capacità di ascolto è la condizione preliminare per attivare tutti i processi di innovazione e condivisione all’interno delle organizzazioni e non solo. Come ben sappiamo, la resistenza al cambiamento nelle organizzazioni e soprattutto nell’uomo, è un vero e proprio strumento di difesa verso ciò che è nuovo e che spesso viene percepito erroneamente come minaccioso, proprio perché non si ascolta fino in fondo o, meglio, perché non si è voluto ascoltare, troppo condizionati da vecchi paradigmi. Tutti i grandi leader oltre a possedere la preziosa caratteristica di saper ascoltare, sanno perfettamente quanto l’ascolto possa portare enormi vantaggi competitivi e fare in modo che l’organizzazione che sono chiamati a guidare sia predisposta e pronta all’innovazione e ai cambiamenti.
Punti di partenza
Gli attuali scenari ci mettono nuovamente di fronte a una nuova sfida. Che cosa succederà? Quali saranno i nuovi bisogni che stanno emergendo in questo contesto storico di grande cambiamento? Stiamo effettivamente ascoltando i cambiamenti in atto? I veri ostacoli all’ascolto degli altri si trovano spesso nell’atteggiamento che adottiamo e talvolta nella fatica di ascoltarsi. È necessario identificare nell’ascolto attivo un elemento imprescindibile di una proficua interazione, interna ed esterna alle Organizzazioni, per porre solide fondamenta di un processo di miglioramento e innovazione. Un ascolto attivo favorisce il dialogo, la creatività, la circolazione delle idee e, soprattutto, è una competenza che si può allenare. Per questo scopo e per favorire uno sviluppo del processo di security in un’ottica di Open Innovation, le associazioni di categoria ricoprono un ruolo fondamentale, favorendo e promuovendo momenti di confronto, di condivisione e di ricerca, ma soprattutto permettendo lo scambio di idee non solo tra i propri associati, ma anche interagendo con le altre realtà associative, per consentire il tanto agognato sviluppo culturale della security anche attraverso la definizione di norme e pubblicazioni di riferimento. Infine, un altro ruolo fondamentale, determinante per lo sviluppo innovativo della security, è quello del mondo universitario, che in questi ultimi anni ha contribuito alla crescita professionale di coloro che in futuro avranno il compito, all’interno delle organizzazioni, di definire una adeguata governance della security.
In conclusione, L’obiettivo di un processo di security all’interno dell’organizzazione è la creazione di Valore e soprattutto la protezione dello stesso nel tempo.