IL SISTEMA DI CONTROLLO INTERNO E LE ... - aiiaweb.it ultimo, ma solo per una questione di spazio,...
153
Università Commerciale Luigi Bocconi – Milano Facoltà di Economia Corso di Laurea in Economia e Legislazione per l‟Impresa – Laurea Specialistica IL SISTEMA DI CONTROLLO INTERNO E LE PROCEDURE DI FRAUD AUDITING AI FINI DELLA PREVENZIONE E INDIVIDUAZIONE DELLE FRODI SOCIETARIE Relatore: Chiar.mo Prof. Massimo LIVATINO Controrelatore: Chiar.mo Prof. Alfredo VIGANÒ Tesi di laurea specialistica di: Elisa PASSONI Matricola n. 1275312 Anno Accademico 2008 – 2009
-
Upload
hoangkhuong -
Category
Documents
-
view
213 -
download
0
Transcript of IL SISTEMA DI CONTROLLO INTERNO E LE ... - aiiaweb.it ultimo, ma solo per una questione di spazio,...
Università Commerciale Luigi Bocconi – Milano
Facoltà di Economia
Corso di Laurea in Economia e Legislazione per l‟Impresa – Laurea Specialistica
IL SISTEMA DI CONTROLLO INTERNO E
LE PROCEDURE DI FRAUD AUDITING
AI FINI DELLA PREVENZIONE E
INDIVIDUAZIONE DELLE FRODI SOCIETARIE
Relatore: Chiar.mo Prof. Massimo LIVATINO
Controrelatore: Chiar.mo Prof. Alfredo VIGANÒ
Tesi di laurea specialistica di:
Elisa PASSONI
Matricola n. 1275312
Anno Accademico 2008 – 2009
A te, nonna, perché sono
sicura che ne avremmo
discusso a lungo.
- i -
Indice
Ringraziamenti ............................................................................................................ iii
Abstract ....................................................................................................................... v
Introduzione ............................................................................................................... vii
PARTE PRIMA
LA FRODE: FATTISPECIE, TASSONOMIA E FATTORI CHE NE FAVORISCONO
IL REALIZZO .......................................................................................................... 1
1.1 – Il concetto di frode ....................................................................................... 1
1.2 – Perché si commettono le frodi? ................................................................... 4
1.3 – I fattori che agevolano la diffusione delle frodi ............................................ 7
1.4 – Gli schemi di frode ...................................................................................... 9
1.5 – Le aree di bilancio più critiche ................................................................... 18
1.6 – Le metodologie di prevenzione ................................................................. 25
1.7 - Il ruolo del fraud auditor e del forensic accountant..................................... 28
PARTE SECONDA
UN VALIDO STRUMENTO DI PREVENZIONE DELLE FRODI: IL SISTEMA DI
CONTROLLO INTERNO ....................................................................................... 35
2.1 – Il sistema di controllo interno ..................................................................... 35
2.2 – L‟implementazione del sistema di controllo interno da parte delle imprese di
piccole dimensioni .............................................................................................. 40
2.3 – Le componenti del sistema di controllo interno ......................................... 44
2.3.1 – L’ambiente di controllo ........................................................................ 44
2.3.2 – La valutazione dei rischi ...................................................................... 49
2.3.3 – L ’attività di controllo ........................................................................... 55
2.3.4 – L’informazione e la comunicazione ..................................................... 58
2.3.5 – Il monitoraggio .................................................................................... 62
- ii -
2.4 – La gestione del rischio aziendale .............................................................. 66
2.4.1 – La definizione degli obiettivi ................................................................ 71
2.4.2 – L’identificazione degli eventi ............................................................... 72
2.4.3 – La risposta al rischio ........................................................................... 75
2.5 – I benefici dell‟applicazione di un sistema di controllo interno .................... 77
PARTE TERZA
GLI STRUMENTI DI VALUTAZIONE DI UN SISTEMA DI CONTROLLO INTERNO
APPLICATI ALL’ANALISI DI UN CASO DI FRODE ............................................. 79
Conclusioni ............................................................................................................... 99
APPENDICE A
RISULTATI DELLE STATISTICHE SULLE FRODI .............................................101
APPENDICE B
APPLICAZIONE AD UN CASO DEGLI STRUMENTI DI VALUTAZIONE DI UN
SISTEMA DI CONTROLLO INTERNO .................................................................111
Bibliografia ...............................................................................................................137
- iii -
Ringraziamenti
Nonostante questo paragrafo sia stato scritto al termine di tutto il lavoro, “merita” di
fatto di essere collocato qui, all‟inizio, perché senza tutti coloro che vengono qui citati
non avrei mai potuto raggiungere questo traguardo. E per cercare di ripagarli dello
sforzo che hanno fatto in tutti questi anni nello starmi vicino, voglio ringraziarli così,
pubblicamente.
Prima di tutto un immenso grazie alla persona a cui è dedicato l‟intero lavoro, che
non si è mai allontanata dal mio fianco e mi ha sempre convinto ad andare avanti,
supportandomi non con semplici parole, ma con il suo esempio, come solo lei sape-
va fare …
Un ringraziamento particolare ai miei genitori, semplicemente perché ci sono stati
ogni volta che ne avevo bisogno e mi hanno dato sempre di più.
Grazie soprattutto a mia sorella Veronica e a Mattia, che, non so come, sanno sem-
pre come illuminarmi e sono riusciti, in ogni circostanza, a risollevarmi con i loro con-
sigli.
Un grazie speciale a tutti i miei amici e ai miei nuovi colleghi (e a chi rientra in tutte e
due le categorie), che mi hanno dovuto sopportare per quarantuno esami (chi più chi
meno) e per due tesi e nonostante tutto hanno sempre tifato per me.
Un sentito ringraziamento al Char. mo Professor Massimo Livatino e al Chiar. mo
Professor Alfredo Viganò, che hanno creduto nel mio progetto e mi hanno offerto
preziosi consigli.
Un sincero e devoto ringraziamento alla Dott.ssa Bisestile, partner dello Studio Rödl
& Partner, che non solo mi ha gentilmente fornito il materiale in merito al caso che ho
trattato nel presente lavoro, ma mi ha anche cortesemente dedicato parte del Suo
tempo.
- iv -
Da ultimo, ma solo per una questione di spazio, un affettuoso grazie a Davide ed ad
Andrea per l‟IT support e a Gaia, Paola, Federica, Matteo, Simone e Antonio, che,
con lunghe chiacchierate sulle frodi, mi hanno fatto appassionare ancora di più al
tema e non mi hanno fatto perdere di vista l‟obiettivo!
A tutti, grazie.
Elisa Passoni
- v -
Abstract
Oggetto del presente lavoro è il mondo delle frodi, analizzato con lo scopo di identifi-
care un valido strumento di prevenzione ed individuazione delle stesse, riscontrato
nel modello del sistema di controllo interno. La tesi, infatti, si pone l‟obiettivo di mo-
strare, anche attraverso l‟analisi pratica di un caso, come quest‟ultimo possa essere
di grande supporto nelle attività di fraud audit.
L‟accostamento del modello alla realtà delle frodi risulta essere l ‟aspetto peculiare
della tesi, in quanto la letteratura economica privilegia tendenzialmente una trattazio-
ne separata delle due tematiche, strettamente legate fra loro da un nesso di causa –
effetto: le frodi, infatti, rappresentano una diretta conseguenza della mancanza o del-
le imperfezioni di una struttura di controllo. Con questo lavoro, perciò, si è voluto
tracciare una netta linea di connessione tra le due tematiche, partendo da una de-
scrizione dell‟universo delle frodi (le cause, le tipologie e le conseguenze più evidenti
delle stesse) e da una presentazione delle componenti di un sistema di controllo in-
terno, per poi applicare gli strumenti di valutazione propri di quest‟ultimo al fine di a-
nalizzare un esempio di frode e mostrare come effettivamente un sistema di controllo
adeguatamente implementato possa essere impiegato come efficace mezzo preven-
tivo e di identificazione di attività illecite.
- vi -
- vii -
Introduzione
Il tema delle frodi ha da sempre attirato l‟attenzione non solo degli economisti, ma
anche dell‟opinione pubblica, la cui curiosità è facilmente stimolata dalle notizie su
scandali finanziari e casi di mala gestio aziendale. I recenti episodi di questo tipo
nonché l‟attuale congiuntura di mercato, che offre nuove opportunità ai perpetratori di
frodi, hanno reso la problematica forse ancora più tangibile. Di fronte a simili casi le
persone e, di riflesso, i media si chiedono, il più delle volte, come sia stata possibile
la realizzazione di questi “giochetti” di natura contabile che spesso durano anche per
anni e che, nella maggioranza dei casi, sono semplicemente il risultato di situazioni
degradate, non controllate e insabbiate dai diretti interessati. È importante quindi, di
fronte a circostanze del genere, capire quali sono stati i presupposti dell‟attività illeci-
ta, quali le opportunità sfruttate per portarla avanti, ma soprattutto quali sono stati i
motivi che hanno determinato il ritardo della scoperta di tutta la struttura fraudolenta.
L‟individuazione delle frodi, infatti, potrebbe avvenire in un modo che possiamo def i-
nire più metodico se ai vari casi che, spesso anche con scoperte del tutto casuali, si
sono rivelati poi degli illeciti, fosse stato applicato il modello del sistema di controllo
interno. Questo, presentato dalla letteratura economica come un valido strumento
per costruire una struttura aziendale organizzata e razionale, non esaurisce con que-
sta funzione la sua utilità. Il modello, di fatti, potrebbe essere impiegato, con risultati
soddisfacenti, anche nell‟attività di fraud audit, con l‟obiettivo di trovare le debolezze
nell‟organizzazione dell‟impresa che favoriscono la realizzazione dell‟attività fraudo-
lenta e scoprire, di conseguenza, la stessa.
Proprio per supportare tale tesi ho sviluppato il presente lavoro che si propone come
un‟analisi pratica per mostrare, tra i molteplici impieghi del sistema di controllo inter-
no, il suo utilizzo quale strumento di prevenzione ed individuazione delle frodi.
L‟aspetto più caratteristico del testo consiste proprio nell‟accostare a queste il model-
lo del sistema di controllo, intrecciando così le due realtà; la maggior parte dei testi
economici, infatti, tende a trattare i due temi separatamente l‟uno dall‟altro. Ebbene,
- viii -
in questo lavoro, che non vuole essere per nulla una critica alla letteratura in merito,
da cui anzi ha tratto molti spunti, si vuole mostrare, attraverso un caso pratico, come
effettivamente le linee guida del modello del sistema di controllo interno e gli stru-
menti per una sua valutazione, applicati concretamente nell‟analisi che ho effettuato,
siano davvero utili in primis per comprendere le opportunità che hanno condotto alla
frode e successivamente per individuare la stessa.
Nella circostanza esaminata in questa sede, infatti, la presa di coscienza di tutte le
lacune che riguardano il sistema di controllo interno, piuttosto che gli scostamenti
della situazione reale dal benchmark di riferimento, hanno permesso di valutare le at-
tività poco etiche svolte dalla direzione aziendale.
Il caso, che funge da dimostrazione finale della tesi, costituisce la terza parte del la-
voro, a seguito di un primo capitolo introduttivo al mondo delle frodi, nel quale viene
portata avanti anche un‟analisi quantitativa, basata su statistiche antifrode, finalizzata
all‟identificazione delle aree più pericolose del bilancio, e di una seconda parte foca-
lizzata sul sistema di controllo interno e sulle sue componenti, in cui viene posta par-
ticolare enfasi altresì agli strumenti per effettuare una corretta valutazione dello stes-
so anche per scopi legati al fraud audit.
Il lavoro, in conclusione, vuole essere un supporto al modello del sistema di controllo
interno, anche nella sua accezione più recente dell‟Enterprise Risk Management, e-
videnziando però non solo la sua utilità nel disegnare una struttura che focalizzi
l‟attenzione del vertice aziendale sugli obiettivi dell‟impresa e sui rischi a cui questa è
sottoposta, ma sottolineando anche la funzionalità dello stesso come strumento di
lavoro del fraud auditor e del forensic accountant.
- 1 -
PARTE PRIMA
LA FRODE: FATTISPECIE, TASSONOMIA E FATTORI CHE
NE FAVORISCONO IL REALIZZO
Tutte le frodi potrebbero
essere prevenute, se la gente onesta
ponesse le domande giuste al momento giusto.
- Giorgio Laganà -
1.1 – Il concetto di frode
Prima di iniziare a trattare più specificatamente l‟attuale tema delle corporate fraud è
forse quasi d‟obbligo fornire una definizione di frode, che sicuramente non sarà e-
saustiva e non soddisferà molti. Il problema è che, data la complessità della tematica
e soprattutto la sua continua evoluzione, non è possibile racchiudere in un‟unica de-
finizione tutte le tipologie di frodi che possono essere messe in atto, di qualunque na-
tura esse siano. Tuttavia, per addentrarci progressivamente nello studio
dell‟argomento e per riuscire a capire meglio le svariate e innumerevoli manifestazio-
ni dei comportamenti fraudolenti, in generale, e delle frodi societarie, in particolare, è
pur sempre opportuno, come primo passo, fornire una spiegazione del concetto di
frode al fine di individuarne i tratti essenziali e qualificanti. Nel lessico comune la fro-
de indica un atto compiuto per ledere, attraverso l‟inganno, un altrui diritto al fine di
ottenerne un vantaggio. Il significato assunto dal termine nella prassi aziendale è in
parte diverso e di natura più ampia, estendendosi fino a individuare tutti i comporta-
menti che procurano guadagni o benefici in modo illecito e disonesto causando un
danno, anche indiretto, ad altri e sottraendo valore a un business (Allegrini M.,
D‟Onza G., Mancini D., Garzella S., 2003). Nell‟ordinamento italiano non viene chia-
ramente individuata la fattispecie fraudolenta; il codice civile, infatti, non definisce in
modo esplicito la frode, limitandosi a configurare solo l‟ipotesi di “contratto in frode al-
- 2 -
la legge”, fattispecie di illiceità nella causa di un contratto, contraria a norme impera-
tive (art. 1344 Cod. Civ.). Il Codice Penale si mostra al contrario più preciso per un
primo inquadramento del problema, in quanto, pur non parlando esplicitamente di
frode, qualifica la fattispecie di “truffa”, ossia quando uno o più soggetti “con artifizi o
raggiri, inducendo taluno in errore, procura/procurano a sé o agli altri un ingiusto pro-
fitto con altrui danno” (art. 640 Cod. Penale). Il concetto di truffa risulta particolar-
mente utile ai nostri fini, in quanto i requisiti fondamentali che lo configurano possono
essere utilizzati quale punto di partenza da cui derivare, apportando alcune modifi-
che, i tratti qualificanti della frode.
In sintesi, per poter parlare di frode occorrono i seguenti elementi:
l‟attore e la vittima (elementi soggettivi);
l‟inganno, l‟ingiusto guadagno e/o il danno (elementi oggettivi).
Il processo di realizzazione della frode si sviluppa perciò in modo molto lineare:
l‟attore (soggetto attivo), ingannevolmente, induce in errore la vittima (soggetto pas-
sivo) e procura a sé o ad altri un vantaggio ingiusto unito ad un altrettanto ingiusto
danno per la vittima o per altri (Allegrini M., et al., 2003).
Fig. 1.1 – Rappresentazione grafica della realizzazione di una frode.
Con riferimento alla gestione aziendale il termine frode va inteso in senso più ampio,
includendovi qualunque comportamento attivo od omissivo che sia causa di un errore
del destinatario e che determini un indebito profitto e un danno, anche potenziale. La
frode quindi tende a sovrapporsi con il comportamento scorretto e sleale, tant‟è che
anche la mancata segnalazione da parte del soggetto agente di un errore preesisten-
te commesso dalla vittima sembra sufficiente per qualificare un atto come fraudolen-
to (Allegrini M., et al., 2003). All‟interno del grande insieme delle frodi societarie per-
ciò è possibile ricomprendere una serie molto variegata di reati, diversi per natura e
Danno ingiu-
sto
Beneficio
ingiusto
Attore Inganno Vittima
- 3 -
complessità, tra cui si possono citare la corruzione, la cattiva gestione caratterizzata
da espedienti premeditati, l‟assunzione non autorizzata di rischi, le manipolazioni, i
furti ecc. È possibile però classificare le frodi societarie in due macro categorie: le
frodi commesse contro la società e quelle commesse a vantaggio della società. Nella
prima ipotesi la società ricopre il ruolo di vittima mentre nella seconda essa è la be-
neficiaria dell‟atto fraudolento. Mentre non risulta troppo difficile figurarsi casi della
prima specie, potrebbe essere più difficile immaginare situazioni in cui la frode venga
perpetrata a solo vantaggio della società. A titolo esemplificativo si possono menzio-
nare qui alcuni esempi, quali: l‟evasione fiscale, la violazione di norme ambientali, la
falsa pubblicità e propaganda del prodotto o del servizio offerto e la determinazione
di prezzi fittizi (Singleton T. e A., Bologna J., Lindquist R., 2006). Le frodi a vantaggio
della società sono solitamente commesse da membri del management che il più del-
le volte mirano ad ottenere anche un vantaggio personale dalla situazione ormai in
atto, tentando ad esempio di incrementare il loro profitto manipolando il livello di fat-
turato, piuttosto che cercando di ridurre il valore dei costi. Le frodi attuate a svantag-
gio della società sono, però, tra le due la categoria più ampia e variegata, in quanto
esse possono includere diversi soggetti (membri del top management, impiegati, for-
nitori, clienti, terzi esterni alla società), possono avere differenti obiettivi e molteplici
modalità di attuazione.
Un‟altra importante distinzione all‟interno della generale tipologia delle frodi societarie
riguarda le frodi interne, commesse da soggetti che già operano all‟interno dello staff
aziendale, e le frodi esterne, messe in atto da individui non operanti all‟interno della
società ma che comunque hanno con essa un certo tipo di rapporto, che può essere
di fornitura, di clientela, di consulenza, di agenzia ecc. Nell‟ambito delle frodi societa-
rie di tipo interno si è soliti poi distinguere la corporate fraud in senso stretto dal white
collar crime. Con la prima si indicano le frodi compiute dai vertici aziendali, nella
maggior parte dei casi proprio dal Consiglio di Amministrazione. Nel white collar
crime, invece, il comportamento fraudolento si muove internamente all‟impresa nel
suo sistema di controllo, sfruttandone le imperfezioni. Tale tipologia di frode risulta
particolarmente pericolosa proprio perché insita nei meccanismi e nelle procedure
- 4 -
aziendali e perché, se scoperta, difficilmente procederà in processi pubblici nel tenta-
tivo di tutelare l‟immagine esterna della società (Allegrini M., et al., 2003).
La frode, di qualunque tipo essa sia, può lasciare tracce nel sistema delle rilevazioni
d‟azienda oppure può svilupparsi in modo da non interessare assolutamente il siste-
ma contabile. L‟atto fraudolento si può così ulteriormente qualificare come contabile
(altrimenti detto anche on the book) o extracontabile (noto anche come off the book).
Le frodi che rientrano in quest‟ultima categoria sono indubbiamente più complesse
da individuare, tenendo conto del fatto che né le procedure di auditing né il controllo
strettamente contabile sono in grado di identificarle, essendo necessaria a tal fine
un‟analisi dei fatti sottostanti e non riportati in contabilità (Allegrini M., et al., 2003).
La seguente tabella riporta schematicamente le classificazioni delle frodi fin qui pro-
poste.
CATEGORIE
Tipologie di
FRODI
a favore della società contro la società
interne corporate fraud
esterne
white collar crime
contabili extracontabili
1.2 – Perché si commettono le frodi?
Le frodi vengono attuate a livelli diversi in un‟ampia gamma di situazioni; ciascuno di
coloro che commettono illeciti ha motivazioni proprie e opportunità specifiche; tutta-
via è possibile individuare alcuni elementi tipici che caratterizzano tutti i comporta-
menti fraudolenti. Queste variabili sono state evidenziate dal ricercatore americano
Donald R. Cressey che, a seguito di un‟indagine empirica sulle frodi svolta negli anni
Cinquanta, ha elaborato una teoria che, ad oggi, è la più adatta a rispondere alla
- 5 -
domanda: “perché si commettono delle frodi?”. Tale teoria, meglio nota come the
fraud triangle, sancisce che ogni frode presenta tre elementi caratterizzanti:
la pressione a compiere reati generata dalla percezione di una molteplicità di
bisogni;
il meccanismo della razionalizzazione;
l‟opportunità di compiere la frode e di celare il crimine evitando la sanzione.
Fig. 1.2 – Il fraud triangle secondo la teoria di D. R. Cressey.
Per pressione si intende un incentivo, una motivazione, qualcosa che è intervenuto
nella vita privata del soggetto che commette la frode e che ha creato un‟esigenza
impellente di risorse, solitamente di tipo monetario. Tendenzialmente questi bisogni
derivano da un distress finanziario; tuttavia possono verificarsi situazioni in cui la
pressione abbia cause del tutto diverse, come nel caso di incentivi dettati da una si-
tuazione socio-politica che possono spingere il soggetto attivo nel processo fraudo-
lento a comportarsi in modo disonesto per conseguire obiettivi legati al suo ego e alle
sue ideologie (Singleton T., et al., 2006). L‟altra determinante individuata da Cressey
consiste nel meccanismo della razionalizzazione, ossia nell‟abilità dell‟attore di giusti-
ficare inizialmente a se stesso e, qualora venisse scoperto, anche agli altri membri
dell‟organizzazione, la frode realizzata. La razionalizzazione si verifica prima e nel
corso del reato, minacciando pericolosamente l‟eticità del soggetto. La forma di ra-
zionalizzazione più frequente consiste nel trasformare il reato (ad es. un furto di cas-
sa) in un‟altra azione (ad es. un prestito temporaneo ottenuto dall‟azienda), trovando
così una giustificazione al comportamento criminale. Altre forme di razionalizzazione
FRAUD
TRIANGLE
OPPORTUNITÀ
PRESSIONE RAZIONALIZZAZIONE
- 6 -
piuttosto comuni spingono l‟individuo a minimizzare la portata dell‟azione disonesta
(ad es. “c‟è chi fa di peggio”), a vedere l‟atto come una sorta di compensazione per le
ingiustizie subite (ad es. “se lo meritano perché mi sfruttano”), a generalizzare il pro-
blema (ad es. “lo fanno tutti”), oppure a costruire alibi per motivare il fatto illecito (ad
es. gravi problemi personali). Sebbene la razionalizzazione sia un processo di natura
soggettiva, alcune variabili connesse all‟ambiente societario, come il comportamento
del management e la gestione del personale, possono inconsapevolmente innescare
il suddetto meccanismo psicologico. Nonostante nel corso della vita aziendale pos-
sano verificarsi una serie di circostanze in grado di attivare la razionalizzazione, nes-
suna frode potrebbe aver luogo se non esistesse la possibilità per i dipendenti di
sfruttare le carenze o l‟inefficace funzionamento del sistema di controllo istituito a
salvaguardia del patrimonio aziendale. In molti casi l‟assenza dei controlli è imputabi-
le all‟esistenza di rapporti fiduciari fra i preposti alle attività di controllo e i responsabi-
li dei reati. È evidente tuttavia come il funzionamento dell‟azienda non possa pre-
scindere dalla sussistenza di relazioni fiduciarie fra i vari livelli dell‟organizzazione.
Per fronteggiare pertanto l‟inevitabile incremento del rischio di frode dovuto ai mag-
giori poteri riconosciuti al personale, la funzionalità dei meccanismi di controllo ac-
quisisce un‟importanza sempre più rilevante, così come il monitoraggio nel tempo
della loro adeguatezza ed efficacia. Va rilevato come l‟opportunità di commettere una
frode sia direttamente proporzionale alla durata del rapporto di lavoro con quella par-
ticolare società, per il semplice fatto che una collaborazione pluriennale consente ai
singoli soggetti di venire a conoscenza delle debolezze e delle lacune del sistema di
controllo interno, fornendo loro una potenziale occasione per mettere in atto la frode.
L‟impostazione concettuale elaborata da Cressey è stata un punto di riferimento per
tutti gli studi successivi sul white collar crime. Negli anni Ottanta un altro sociologo
statunitense, W. S. Albrecht, ha proposto una nuova teoria sui fattori stimolanti il
comportamento fraudolento, denominata Fraud scale. Albrecht ha individuato tre fat-
tori alla base della propensione dei soggetti a commettere reati: l‟impianto etico indi-
viduale, la percezione di una serie di bisogni e l‟opportunità di compiere la frode. È
evidente l‟analogia con la teoria di Cressey che ancora oggi risulta essere la teoria
- 7 -
più innovativa ma soprattutto più esaustiva per giustificare la commissione di una
frode.
1.3 – I fattori che agevolano la diffusione delle frodi
Come per la definizione di frode, non è facile schematizzare i fattori che inducono un
determinato soggetto a commettere un atto fraudolento, tenendo conto del fatto che
le fonti delle frodi sono differenti anche a seconda del ruolo ricoperto dal perpetrato-
re. Nel caso delle corporate fraud, i motivi incentivanti l‟attore della frode saranno in-
fatti diversi dagli stimoli percepiti da un white collar criminal. Tuttavia, ai fini del pre-
sente lavoro, il cui scopo non è indagare nella psiche di coloro che attuano le frodi
bensì analizzare gli strumenti di prevenzione delle frodi societarie, è utile fare riferi-
mento ai principali fattori, proposti dalla più accreditata dottrina statunitense, che
possono indurre gli individui a commettere tali atti. Secondo tale dottrina esistono es-
senzialmente due categorie di fattori: quelli individuali e quelli ambientali. Jack Bolo-
gna, nel suo libro “Corporate fraud. The basics of fraud prevention and detection” del
1984, evidenzia come i soggetti possano essere divisi in tre categorie: un 20% da ri-
tenersi sostanzialmente disonesto, un 20% da ritenersi sostanzialmente onesto e un
60% onesto secondo la situazione. Questi dati non sono stati presentati da Bologna
per rappresentare uno spaccato morale dell‟umanità, ma mirano piuttosto ad eviden-
ziare come la maggior parte delle frodi sia dovuta, più che al livello di onestà dei sin-
goli individui, alle situazioni personali e lavorative in cui un certo soggetto si trova in
determinati momenti della vita. È importante perciò sottolineare come esista una rile-
vante percentuale di persone che può, in determinate circostanze, percepire il desi-
derio di commettere una frode e, in particolari stati d‟animo, può anche metterla in at-
to. I fattori individuali che possono scatenare tali reazioni sono di tipo:
economico, quali la volontà o il bisogno disperato di arricchirsi,
l‟insoddisfazione e la frustrazione generale causate dal proprio stile di vita e
dal proprio lavoro;
- 8 -
ideologico, quali la consapevolezza di vivere in un mondo, in una società, in
un‟organizzazione in cui gli stessi supervisori commettono delle azioni scorret-
te senza subire delle conseguenze o l‟idea che la frode possa essere una sfi-
da alla società presso cui si presta la propria attività;
psicologico, quali la perdita del proprio self-control o il verificarsi di una serie di
fatti personali che minano l‟integrità personale.
Le motivazioni sopra elencate tendono, tuttavia, ad essere sostituite da altre, appar-
tenenti a bisogni possiamo dire più “elevati”, al crescere dei livelli gerarchici
dell‟organizzazione. Per tale motivo spesso le cause che spingono il top
management a compiere frodi non sono evidenti a tutti e non sempre sono legate al-
la mera logica di tipo economico. Accanto ai fattori individuali si collocano, come ab-
biamo precedentemente citato, i fattori ambientali, ossia tutti quei fattori che condi-
zionano sia l‟ambiente di lavoro in cui opera il singolo (detti fattori interni
all‟organizzazione), sia l‟ambiente in cui si colloca l‟azienda (fattori esterni
all‟organizzazione). Quando si parla di frodi derivanti da fattori interni si devono in-
tendere quelle che nascono e si sviluppano a causa di carenze nel sistema di con-
trollo interno della società. In questi casi, in sostanza, è la stessa società che dà
l‟opportunità e mette i suoi dipendenti nelle condizioni di poterla frodare. A titolo e-
semplificativo, si possono elencare come fattori interni che hanno un impatto sul ri-
schio di frode:
il livello e la qualità dei controlli;
il grado di separazione dei compiti;
le modalità di effettuazione delle pianificazioni e dei controlli su di esse;
le modalità di gestione dei rapporti con il personale;
lo stile di direzione e le deleghe di responsabilità;
la presenza di codici etici realmente attuati nella società ed effettivamente ri-
conosciuti dai dipendenti.
- 9 -
Nonostante i fattori interni influenzino in modo rilevante l‟effettuazione o meno di frodi
nella società, va però constatato che i fattori ambientali che maggiormente favorisco-
no la realizzazione di frodi societarie di grosso rilievo sono quelli esterni, tra cui:
il livello generale dell‟economia in cui la società opera;
il livello di competitività del settore di appartenenza;
il livello di commistione del pubblico nel privato e della politica, nonché dei po-
litici, nell‟economia;
l‟efficacia e l‟efficienza del sistema giudiziario del paese;
il livello e la qualità degli organi preposti alla prevenzione ed individuazione
delle frodi;
la presenza di legislazioni a carattere specifico (ad esempio leggi anti-
riciclaggio).
Sebbene sembri facile redigere un elenco di questo tipo, l‟attività di analisi e valuta-
zione dei fattori esterni che possono in una società costituire il motivo scatenante di
frodi societarie è estremamente complessa e, per tale ragione, spesso delegata ad
esperti esterni (Laganà G., Gallo Riva P., Mastromarchi D., 1995).
1.4 – Gli schemi di frode
Al fine di prevenire ed individuare le frodi è necessario conoscere quanti più schemi
di frode possibili. È convinzione di molti che la migliore tassonomia in ambito di frodi
societarie sia quella usata e fornita dalla Association of Certified Fraud Examiners
(ACFE)1, classificazione, ormai consolidata nel tempo, che include 51 tipi di frode.
È sicuramente vero che i perpetratori di frodi trovano sempre nuove modalità per por-
tare avanti un atto fraudolento ma è altrettanto vero che nella maggior parte dei casi
1 L‟ACFE è la più grande associazione anti frode a livello mondiale e la prima organizzazione a fornire corsi di prevenzione e
individuazione delle frodi. Essa è sempre stata tra gli obiettivi di D. Cressey ed E. Sutherland, due pionieri del white collar
crime, ma è diventata realtà solo nel 1988 grazie a J. Wells. Costituita da circa 50.000 membri, l‟ACFE sta attualmente riducen-
do il numero di frodi societarie nel mondo e sta diffondendo ideali di integrità e obiettività all‟interno delle aree profess ionali.
- 10 -
è possibile ricondurre l‟attività a uno dei più comuni schemi, individuati appunto
dall‟ACFE.
La praticità della tassonomia dell‟ACFE sta inoltre nell‟aver raccolto tutti i possibili
schemi di frode in tre macro categorie, particolarmente utili ai fraud auditor e agli in-
vestigatori nelle loro attività. Il modello dell‟ACFE, noto come fraud tree, classifica poi
a loro volta queste tre macro categorie in sottocategorie e ulteriormente in micro ca-
tegorie, assumendo appunto la struttura tipica di un albero.
Le tre classi di frodi individuate all‟apice dell‟albero sono:
le frodi di bilancio (financial statement fraud);
l‟appropriazione indebita di beni (asset misappropriation);
la corruzione (corruption).
Le prime due sono a loro volta citate anche nel SAS 992 il quale, dopo aver definito le
frodi come atti intenzionali che sfociano in errori materiali del bilancio, classifica tali
inesattezze contabili in:
falsa rappresentazione di bilancio (fraudolent financial reporting);
appropriazione indebita di beni (misappropriation of assets).
Ciascuna delle tre macro categorie identificate dall‟ACFE è caratterizzata da peculia-
rità proprie, riassunte nella seguente tabella che consente anche un veloce confronto
tra le tre (Singleton T., et al., 2006).
2 Statement on Auditing Standards n. 99: Consideration of Fraud in a Financial Statement Audit , più comunemente abbreviato
con SAS 99, è un principio di revisione emesso nell‟ottobre 2002 dall‟Auditing Standards Board dell‟American Institute of Cer ti-
fied Public Accountants (AICPA). Il principio, che sostituisce il precedente SAS 82, fu redatto in risposta ai recenti scandali fi-
nanziari di Enron, WorldCom e Tyco International. Al suo interno, dopo una breve descrizione di cosa si intende per frode ai fini
del principio stesso, vengono forniti una serie di consigli agli auditor in merito al comportamento che dovrebbero tenere al fine di
individuare e quantificare il rischio di frode dei loro clienti. A riguardo il documento specifica che i revisori dovrebbero inizialmen-
te effettuare una sessione definita di brainstorming per discutere dove e come eventuali frodi possano intaccare la veridicità del
bilancio. Successivamente viene richiesto loro di ottenere informazioni adeguate per quantif icare il rischio di frode del cliente e
per valutare gli eventuali programmi messi in atto dallo stesso per far fronte a questa minaccia. Il principio si occupa anche di
fornire delle linee guida sulle modalità comunicative che i revisori dovrebbero adottare per trattare il delicato tema delle frodi con
il management della società cliente.
- 11 -
CARATTERISTICHE DELLA FRODE
Frodi di bilancio Appropriazione indebita
di beni Corruzione
Soggetto attivo
Coloro che rivestono
ruoli apicali (executive
management)
Impiegati e lavoratori di-
pendenti
Sono necessari due sog-
getti
Dimensione $ 1-258 milioni $ 93.000 $ 250.000
Frequenza 3 7,9% di tutte le frodi 92,7% di tutte le frodi 30% di tutte le frodi
Motivazione Andamento delle a-
zioni, bonus Motivi personali Sfida, motivi di business
Rilevanza per la so-
cietà coinvolta
Sono molto rilevanti
per la società
Sono tendenzialmente irri-
levanti
Dipende dalla dimensione
dell‟atto e della società
Beneficiario Colui che mette in atto
la frode e la società
Colui che mette in atto la
frode
Colui che mette in atto la
frode
Società in cui viene
solitamente compiuta
È solitamente di gran-
di dimensioni
È solitamente di piccole
dimensioni
La sua dimensione non è
tipica ma dipende dalla
situazione
Le frodi di bilancio sono forse le più pericolose in quanto commesse dal top
management (di solito il CEO o il CFO) che può facilmente raggirare i sistemi di con-
trollo interno e tutti i meccanismi di prevenzione. Sono tra le tre quelle di maggiore
dimensione, ossia quelle che causano una più consistente perdita, ma, possiamo di-
re fortunatamente, sono anche quelle che si verificano con minore frequenza. Le mo-
tivazioni alla base di questi schemi di frode sono tendenzialmente di tipo egoistico,
ma possono essere correlate, in modo diretto o indiretto, al prezzo di mercato delle
azioni della società in modo da incrementare i bonus del management, solitamente
calcolati sulla base dei risultati aziendali o sul valore delle azioni. La prima frode fi-
nanziaria registrata nella storia, lo scandalo inglese South Sea Bubble del 1720, è
stata guidata proprio dalla necessità di incrementare il valore delle azioni della Com-
pagnia South Sea in modo da aumentare vertiginosamente il valore delle sue azioni
3 È da notare che la somma di tali percentuali è superiore al 100% in quanto un soggetto che attua una frode e riesce a protrar la
nel tempo spesso a questa ne aggiunge un‟altra di diverso tipo.
- 12 -
e consentire alla Compagnia di adempiere ai suoi obblighi nei confronti dello Stato (la
Compagnia aveva infatti assunto tutto il debito pubblico inglese scambiando i titoli di
stato con le sue azioni) (Singleton T., et al., 2006). Dopo quasi tre secoli si può ri-
scontrare tuttavia lo stesso schema, se non addirittura le stesse procedure, negli or-
mai noti scandali Enron e WorldCom: l‟esigenza di incrementare il valore azionario è
e rimarrà una dei maggiori fattori stimolanti di una frode di bilancio. Le conseguenze
di tale atto fraudolento non vanno però a beneficio solo di colui che lo mette in atto
ma spesso favoriscono anche la società, facendo emergere ad esempio dei risultati
migliori di quelli realmente conseguiti (tali frodi si classificano infatti all‟interno della
categoria sopramenzionata delle frodi a favore della società). Poiché la frode di bi-
lancio è tipicamente correlata al valore delle azioni o a qualche voce contabile con-
nessa a questo, le società vittime dell‟atto fraudolento tendono ad essere delle quo-
tate e quindi società di grandi dimensioni che hanno risorse adeguate da investire nei
sistemi di controllo interno, nelle procedure di internal audit e nei programmi antifro-
de. Per tali ragioni esse, pur essendo comunque soggette al rischio che il
management eluda tali controlli per implementare una truffa, riescono a ridurre note-
volmente il rischio di altre frodi quali l‟appropriazione indebita di beni. Quest‟ultima si
pone agli antipodi della frode di bilancio, in quanto è uno schema attuato solitamente
da lavoratori e impiegati delle società, più spesso di piccole dimensioni e con scarse
risorse da investire nei controlli, che sono spinti a “rubare” per motivi e pressioni per-
sonali (spesso comunque a sfondo economico, talvolta anche emotivo). Il valore del-
la frode, in termini quantitativi e monetari, è basso mentre alta è la frequenza con cui
questa categoria viene attuata. La probabilità di un‟appropriazione indebita di asset
aumenta inoltre notevolmente al verificarsi di condizioni quali:
l‟assenza/debolezza di controlli interni;
la presenza di dipendenti assunti senza la minima considerazione, in sede di
colloquio, della loro onestà o integrità;
l‟eccessivo sfruttamento dei dipendenti che sono costretti a subire un elevato
stress dato dalla pressione di dover conseguire certi obiettivi aziendali;
un elevato livello di corruzione del settore di appartenenza della società.
- 13 -
Del tutto peculiare è lo schema della corruzione, frode non necessariamente di tipo
societario ma attuabile anche in altri svariati ambiti. La sua realizzazione implica il
coinvolgimento di almeno due soggetti (anche se uno dei due non necessariamente
deve essere consenziente alla frode o consapevole di essa), spinti solitamente da
motivi comuni quali la rivincita, la sfida, il successo economico. L‟appropriazione in-
debita e la corruzione, beneficiando unicamente i soggetti coinvolti attivamente nella
frode, si inseriscono tra le frodi interne contro la società.
La suddivisione nelle tre categorie risulta particolarmente utile anche per individuare i
soggetti che meglio di altri si possono fare carico della prevenzione o, se l‟intervento
si realizza successivamente al compimento dell‟atto, dell‟identificazione delle frodi.
L‟associazione categoria-soggetto incaricato non è ovviamente assoluta, in quanto,
ad esempio, un efficace programma antifrode implementato da una grande società
quotata potrebbe essere una soluzione per ogni tipo di schema e sarebbe implemen-
tato e monitorato unicamente dagli internal auditor. Dato che questa soluzione è da
considerarsi più che altro come una sorta di ideale a cui tendere, non essendo anco-
ra la realtà di ogni società, si può validamente ritenere che ad ogni tipologia di sche-
ma di frode sia abbinato un soggetto nello specifico più adatto a svolgere un ruolo di
prevenzione e controllo. I soggetti che con maggiore probabilità sono responsabili
delle frodi di bilancio sono i revisori esterni (o financial auditor). Questo è sicuramen-
te vero per due motivazioni: bisogna innanzitutto sottolineare come la somma di tutte
le frodi di bilancio perpetrate dal top management sicuramente avrà un impatto mate-
riale sul bilancio e pertanto dovrà necessariamente attirare l‟attenzione dei revisori
che probabilmente non saranno attratti dalle singole operazioni fraudolente al di sotto
della loro account level materiality, ma la loro attenzione dovrà per forza di cose es-
sere richiamata dalle macroclassi di valori distorte dalla frode che assumeranno un
importo superiore all‟overall materiality e per tale ragione saranno oggetto di verifi-
che. Per le stesse ragioni sarà al contrario improbabile che i revisori esterni identifi-
chino un‟appropriazione indebita di beni o un atto di corruzione, avendo questi fon-
damentalmente un impatto immateriale sul bilancio e pertanto non essendo oggetto
delle tradizionali attività e verifiche dei financial auditor. È da ricordare a questo pun-
- 14 -
to che l‟attività dei revisori esterni non è finalizzata alla ricerca disperata di frodi
all‟interno del bilancio (nonostante alcune procedure siano specificatamente definite
per identificare delle frodi), ma è mirata a verificare l‟attendibilità dello stesso, ossia
che all‟interno dei documenti contabili non ci siano inesattezze materiali tali da indur-
re in errore un generico lettore. Tuttavia, poiché le verifiche di audit sono disegnate
per individuare errori materiali e dato che la maggior parte delle frodi di bilancio sono
tali, si può dedurre che i financial auditor siano la prima difesa da adottare contro
questo tipo di schema fraudolento.
La seconda ragione che spinge i revisori esterni ad essere i più indicati nella preven-
zione ed individuazione delle frodi di bilancio è legata alla loro indipendenza e al fatto
che il loro ruolo non può essere talvolta ricoperto dagli internal auditor, in quanto
spesso ingannati o sottoposti a pressione dal top management attuatore della frode.
È stato proprio questo il caso di Cynthia Cooper, chief audit executive di WorldCom,
che, alla luce degli eventi, ha raccontato di come i vertici aziendali l‟abbiano estro-
messa dal sistema informatico della società impedendole in tal modo di verificare e di
informarsi su una serie di operazioni, ovviamente illecite, che venivano portate avanti
dal top management e che stavano andando a tessere la complessa tela della frode.
Cynthia riuscì ad ottenere le prove di quanto stava accadendo all‟interno della socie-
tà solo entrando clandestinamente a tarda ora nel sistema di computer e raccoglien-
do così le prove sulla truffa.
Per quanto concerne invece la seconda categoria di schemi di frode, ovvero
l‟appropriazione indebita, i soggetti più adeguati a scoprirla sono certamente gli in-
ternal auditor che, operando sempre a stretto contatto con la realtà aziendale, hanno
maggiori possibilità di individuare le irregolarità, sebbene, stante l‟immaterialità di tali
frodi, esistano non poche difficoltà anche per loro. I fenomeni di corruzione, al contra-
rio delle due categorie precedenti, non sono facilmente associabili a un‟unica figura
responsabile della loro individuazione, in quanto la loro dimensione e l‟ambito nel
quale vengono sviluppati possono farli ricadere sia nel quadro di attività dei revisori
esterni, nel caso il fenomeno assuma una rilevanza tale da renderlo materiale, che
degli internal auditor, in tutte le altre circostanze.
- 15 -
Come già in precedenza accennato, i tre schemi di frode fin qui delineati vengono poi
meglio definiti, nell‟albero redatto dall‟ACFE, mediante ulteriori categorizzazioni, in
modo da arrivare a delineare le 51 tipologie, che sono meglio riassunte e presentate
nel seguente schema (Singleton T., et al., 2006).
Frodi di bilancio (Fraudulent statement): possono essere di natura
finanziaria (financial) quali
la sovrastima di attività o di ricavi (asset/revenue overstatement) che può essere at-
tuata con le seguenti modalità:
o errori nel cut off (timing difference) o errori nella qualificazione delle vendite;
o riconoscimento di ricavi fittizi (fictitious difference);
o contabilizzazione di spese e debiti in altri esercizi o in altre società del gruppo
(concealed liability and expense);
o disclosure inadeguata (improper disclosure), ad esempio omettendo informazioni
materiali sul bilancio che possano fuorviare un suo lettore;
o inadeguate valutazioni dei beni (improper asset valuation), ad esempio capita-
lizzando spese che andrebbero integralmente imputate nell’esercizio.
la sottostima di attività o di ricavi (asset/revenue understatement).
non finanziaria (non financial) ed essere così
legata alle credenziali di assunzione (emplyment credential);
inserita in documenti interni (internal document);
inserita in documenti esterni (external document).
Appropriazione indebita di beni (Asset misappropriation) e, più nel dettaglio:
appropriazione indebita di denaro (cash): secondo le statistiche redatte dall‟ACFE questa
è la forma di appropriazione indebita più diffusa. Essa può avere le seguenti manifestazioni:
furto di cassa (larceny): solitamente interviene dopo aver contabilizzato l‟ammontare di
denaro; per tale motivo dovrebbe essere più semplice rintracciare l‟atto fraudolento;
esborso fraudolento (fraudulent disbursement): quando si ha una distribuzione di
fondi dal conto di una società in un modo che appare assolutamente normale e corretto.
Le metodologie maggiormente impiegate sono:
o la sovrafatturazione (billing scheme): può essere effettuata nei seguenti modi:
costituzione di una compagnia fittizia (shell company) il cui obiettivo è con-
sentire l’attuazione della frode mediante l’emissione di pagamenti effettuati con le
risorse della società e diretti al truffatore;
utilizzo di un venditore ignaro (nonaccomplice vendor) che emette delle re-
golari fatture alla società non ricevendo tuttavia il legittimo pagamento intercettato
dal perpetratore della frode;
- 16 -
effettuazione di acquisti personali (personal purchase) utilizzando i fondi e le
risorse della società (l’attuazione di questo schema di frode è stata particolarmen-
te facilitata dall’introduzione delle carte di credito aziendali).
o le frodi legate al pagamento dei lavoratori (payroll scheme): possono essere at-
tuate secondo i seguenti schemi:
schema del lavoratore fantasma (ghost employee scheme) che prevede il
pagamento a un dipendente il quale in realtà non presta la sua attività nella socie-
tà ma il cui nome è stato inserito nel libro paga dal truffatore;
falsificazione delle ore e dei salari (falsified hour and salary scheme);
falsificazione della retribuzione legata a una commessa (commission
scheme) mediante l’alterazione dei dati e delle basi di calcolo;
falsificazione dell’indennizzo spettante ai lavoratori (false worker‟s com-
pensation) attraverso la simulazione di infortuni.
o il rimborso di spese (expense reimbursement scheme): schemi che implicano la
finzione di spese addebitate alla società per le quali viene poi successivamente ri-
chiesto un indebito rimborso. Le spese possono essere:
non propriamente definite (mischaracterized expense);
sovrastimate (overstated expense);
fittizie (fictitious expense);
rimborsi multipli (multiple reimbursement).
o la falsificazione di assegni (check tampering): schema particolarmente diffuso e
implementato in diverse forme tra cui:
falsificazione dell’emittente dell’assegno (forged maker) mediante
l’apposizione di una firma falsa. Il procedimento spesso inizia con l’emissione di
un assegno in bianco;
falsificazione della girata (forged endorsement);
alterazione del soggetto destinatario dell’assegno (altered payee) median-
te l’intercettazione dello stesso e la modifica del nome di colui che inizialmente
era il legittimo ricevente;
presentazione di un assegno indebito (concealed check) inserito tra gli as-
segni legittimi da far autorizzare al soggetto incaricato, nella speranza che costui
non esegua dei controlli sugli assegni uscenti;
emissione di assegni in nome e per conto della società da parte del sog-
getto autorizzato (authorized maker) che abusa della sua posizione e sfrutta la
debolezza se non addirittura l’assenza di controlli.
o la sottrazione di cassa da un registro (register disbursement): implica
l’appropriazione di una somma di denaro già inserita e contabilizzata. Questo tipo di
frode può essere attuata mediante due tipologie di schemi:
- 17 -
mancanze di denaro fittizie (false void) che vengono simulate per cercare di
coprire il furto;
rimborsi falsi (false refund).
skimming: quando i fondi di denaro vengono sottratti ancor prima della loro contabilizza-
zione. Tale schema di frode è riconducibile a tre aree:
o vendite (sale)
non contabilizzate (unrecorded sale);
sottostimate (understated sale).
o Crediti (receivable):
frode derivante dalla cancellazione di crediti (write-off);
lapping scheme: frode che comporta il furto del pagamento effettuato da parte
di un cliente, il cui credito verrà ripagato con il pagamento di un altro. Si genera
pertanto un circolo vizioso tale per cui esiste sempre un credito (quello dell’ultimo
cliente che paga) che rimane aperto nonostante il cliente lo abbia già liquidato.
Una serie di problemi rendono questo tipo di schema individuabile e particolar-
mente vulnerabile, a partire dal fatto che un credito di grande importo rimasto
scoperto attira sicuramente l’attenzione degli auditor. Secondariamente, in segui-
to a un ciclo di furti, lo stesso attore della frode può riscontrare delle difficoltà a ri-
cordare ed individuare i movimenti contabili effettuati con i crediti e coi pagamenti.
Da ultimo, ma questa è da considerarsi principalmente una red flag indicativa del-
la truffa, il perpetratore non avrà la possibilità di prendersi dei periodi di pausa o
vacanza al fine di evitare che la gestione dei pagamenti venga assunta da un
soggetto terzo che sicuramente verrebbe a capo delle errate contabilizzazioni dei
pagamenti e delle mancanze di denaro;
o rimborsi e altro (refund and other).
Appropriazione indebita di rimanenze di magazzino e altri beni (inventory and other
asset) attuata attraverso:
un uso scorretto di beni aziendali, in particolare utilizzo degli stessi a scopi perso-
nali (misuse);
il furto di beni (larceny) mediante
o trasferimento degli stessi (asset transfer)
o vendite fittizie mirate allo spostamento degli asset (false sale and shipping);
o acquisto e ricezione di merci da parte del perpetratore della frode (purchasing
and receiving);
o furti evidenti (unconcealed larceny).
Corruzione (Corruption), che può riguardare
un conflitto di interessi (conflict of interest): si verifica ogni qual volta un soggetto detiene
un interesse personale o economico in una transazione aziendale. La differenza tra questo ti-
- 18 -
po di frode e gli altri schemi legati alla corruzione consiste nel fatto che il soggetto attivo nella
fattispecie esercita la sua influenza a causa del suo interesse personale nella vicenda. La fro-
de può riguardare:
gli acquisti (purchase scheme).
le vendite (sale scheme).
altri ambiti (other).
una situazione di corruzione in senso stretto (bribery), tra cui:
il caso di incentivi offerti dai fornitori della società (esistenti o potenziali) ai dipen-
denti della stessa al fine di poter essere inseriti nella lista dei fornitori abituali o di
poter applicare tariffe maggiorate (invoice kickback);
la manipolazione dei prezzi e dei contratti di fornitura effettuata da un dipendente
a favore di un fornitore (bid rigging);
altre frodi (other).
gratifiche non dovute (illegal gratuity): molto simili alla corruzione in senso stretto, ma non
implicano necessariamente l‟influenza su una decisione di business;
estorsione economica (economic extortion): l‟esatto opposto della corruzione in senso
stretto in quanto in questo caso è il dipendente che richiede dei pagamenti al fornitore della
società al fine di garantirgli un trattamento di favore.
1.5 – Le aree di bilancio più critiche
La conoscenza del maggior numero possibile di schemi di frode aiuta sicuramente un
fraud auditor nell‟individuazione delle stesse all‟interno di un bilancio, ma al fine di
prevenirle è essenziale anche conoscere le singole aree dello stato patrimoniale e
del conto economico in modo da poter avere un‟idea di dove e di come le frodi si
possono nascondere. Alcune di queste aree, infatti, si prestano più di altre ad essere
facilmente manipolate e a favorire meglio la copertura di un‟attività fraudolenta. Il
fraud auditor pertanto dovrebbe sottoporle a più assidui e stringenti controlli, senza
ovviamente trascurare i dettagli connessi ad altre voci del bilancio. È importante in-
fatti che il fraud auditor, pur ponendo particolare attenzione a queste aree, non si cri-
stallizzi sulle stesse adottando metodologie di lavoro standardizzate, basate solo sul-
la presunzione che in quella voce di bilancio ci possano essere errori di ogni genere.
Tali procedure rischierebbero solo di vincolarlo nello svolgimento della sua attività
non garantendogli la corretta predisposizione mentale, che nel mondo anglosassone
- 19 -
viene ben definita con i termini open mind, necessaria e anzi fondamentale per la
scoperta delle frodi. L‟obiettivo di questo paragrafo è quello di cercare di individuare
queste aree di bilancio critiche, che possiamo definire più patologiche relativamente
alla commissione di frodi; così come per la tassonomia presentata nelle precedenti
pagine, anche quest‟elenco non è l‟unico individuabile. Le frodi sono in continuo svi-
luppo, sia nel senso che ne vengono ideate e perpetrate sempre di nuove, per cerca-
re di eludere meglio i controlli interni, sia nel senso che, con il cambiamento delle va-
riabili macroeconomiche e aziendali, alcune diventano in certi periodi economici più o
meno rilevanti di altre, o in quanto numericamente più diffuse o in quanto più danno-
se per le dimensioni che raggiungono. Per tali motivi non è facile costruire un elenco
di aree di bilancio più a rischio che sia del tutto completo e soprattutto che sia sem-
pre valido nel tempo. C‟è sicuramente da rimarcare, però, il fatto che alcune frodi
siano una sorta di ever green e che quindi alcune voci di stato patrimoniale e conto
economico siano in un certo senso sempre sotto i riflettori del fraud auditor.
Per individuare le aree di bilancio più colpite da attività fraudolente è necessario ef-
fettuare un‟analisi quantitativa, passando in rassegna le frodi più comuni e frequenti,
collegandole poi alle voci di bilancio che intaccano e alterano. A tal fine si può fare
riferimento ai sondaggi e ai report che sono stati condotti e redatti nel tempo sia dalla
più importante organizzazione anti frode, l‟Association of Certified Fraud Examiners,
già citata per aver individuato i 51 tipi di schemi di frode, sia da due delle più impor-
tanti società di revisione al mondo, KPMG e PricewaterhouseCoopers. L‟Association
of Certified Fraud Examiners, ACFE, pubblica periodicamente un report, meglio co-
nosciuto come Report to the Nation on Occupational Fraud4 & Abuse, che rappresen-
ta una delle maggiori fonti di informazioni sulle frodi e sul white collar crime. Tale
rapporto espone i dati raccolti da circa 1.000 Certified Fraud Examiner mediante
sondaggi e questionari sottoposti alle società campione che successivamente sono
stati analizzati nel dettaglio al fine di individuare dei trend nelle frodi.
4 I report forniscono una definizione del temine occupational fraud, con il quale si intende l‟uso della posizione lavorativa occu-
pata da una soggetto per l‟arricchimento personale attraverso l‟utilizzo delle risorse e degli asset della società presso cui viene
prestata la propria attività.
- 20 -
I vari report, dopo aver dato delle delucidazioni sulla metodologia di indagine utilizza-
ta e dopo aver fornito una breve descrizione del campione selezionato, riportano i
dati raccolti sotto diverse prospettive, ad esempio fornendo un quadro della situazio-
ne sia in base alla dimensione delle aziende coinvolte in casi di frode, sia in base al
loro settore di appartenenza. Per ogni analisi viene individuata la percentuale di casi
in cui i fraud examiner sono incorsi e il costo medio delle frodi, in modo da dare non
solo una visione quantitativa del problema, ma soprattutto una visione economica: il
messaggio che le frodi sono davvero un costo consistente per le società viene tra-
smesso in modo veramente efficace. I report si occupano anche di fornire un profilo
dei perpetratori delle frodi, di spiegare come queste sono state individuate e infine di
come possono essere prevenute e anticipate. Le statistiche che però ci interessano
maggiormente ai fini del presente lavoro riguardano le frodi maggiormente menziona-
te dalle società nei questionari a loro sottoposti e che sono state quindi riscontrate
più spesso dai fraud examiner. Il punto di partenza della nostra analisi è pertanto
rappresentato dai risultati emergenti dai Report to the Nation degli anni 1996, 2002,
2004, 2006 e 2008 relativamente ai tipi di frode che si sono realizzate più frequente-
mente. I dati raccolti e analizzati sono forniti più nel dettaglio nell‟Appendice A. In tutti
e cinque i report il tipo di frode numericamente più attuato è l‟appropriazione indebita
di beni, seguita dalla corruzione e dalle frodi di bilancio; ciononostante l‟ordine delle
tre si inverte se si considera il valore medio della perdita da esse causata. Dall‟analisi
dei dati storici emerge come le frodi di bilancio si siano duplicate nell‟ultimo decen-
nio, così come sono aumentate vertiginosamente i casi di corruzione.
Per quanto concerne l‟appropriazione indebita di beni, la maggior parte di tali frodi in-
teressa principalmente il denaro, da intendersi in senso lato, comprendendo cioè sia
la cassa, sia gli assegni e le carte di credito, sia altri strumenti finanziari di facile li-
quidità. I risultati dei Report to the Nation sono confermati da una serie di sondaggi
portati avanti da KPMG: le informazioni analizzate in questa sede riguardano i risulta-
ti di due Fraud Survey preparati da KPMG Australia per gli anni 2004 e 2006, un re-
port redatto da KMPG USA riguardante l‟anno 2003 e due indagini svolte da KPMG
Sud Africa relativamente al 1996 e al 2002. I dati raccolti provengono da realtà diver-
- 21 -
se ed eterogenee; tuttavia confermano tutti i risultati delle altre. Coloro che si sono
occupati di tali sondaggi non hanno adottato ovviamente la prospettiva dell‟ACFE (e
soprattutto la sua struttura ad albero delle frodi); infatti non hanno analizzato solo le
tre macroclassi di frode, ma si sono concentrati sui singoli reati che possono essere
messi in atto, sviluppando da questi risultati delle riflessioni più generali sul mondo
delle frodi. Questo maggiore grado di dettaglio è sicuramente più utile ai nostri scopi,
in quanto ci consente di comprendere meglio quali sono effettivamente le attività
fraudolente più diffuse e perciò quali sono le aree di bilancio maggiormente minac-
ciate. Da un confronto trasversale dei diversi survey, i cui risultati sono riportati sem-
pre nell‟Appendice A, si può evidenziare come il grado di diffusione dei reati vari a
seconda del perpetratore e del settore in cui la società teatro dell‟attività fraudolenta
opera. Si può notare, tuttavia, come alcune frodi raggiungano comunque livelli di fre-
quenza particolarmente elevati indipendentemente dalle sopramenzionate condizioni
esterne. È questo il caso delle appropriazioni indebite di fondi, dei furti di cassa, di
magazzino, di intangible, delle frodi perpetrate mediante la falsa fatturazione o attra-
verso l‟emissione di falsi documenti. Negli anni più recenti si è riscontrato inoltre un
aumento delle frodi legate all‟area del personale e delle frodi di tipo informatico che
ricomprendono talvolta anche il furto di informazioni di proprietà della società.
A partire da questa breve esposizione dei risultati delle principali fonti di informazioni
sulle frodi, è possibile formulare delle riflessioni sulle aree di bilancio più critiche e
maggiormente toccate, per non dire anche alterate, dalle attività fraudolente più
commesse. L‟area nella quale si concentra il più alto numero di frodi è sicuramente
quella delle disponibilità liquide, considerando anche il fatto che i furti aventi ad og-
getto le risorse monetarie delle società sono stati di gran lunga favoriti
dall‟introduzione di nuovi mezzi di pagamento più automatizzati. L‟arrivo delle carte di
credito, ad esempio, ha consentito a molti manager in loro possesso di avere sempre
a disposizione le disponibilità della società, anche per acquisti ad uso personale.
Particolarmente critico è da sempre il ciclo magazzino: i furti di prodotti finiti manten-
gono ancora percentuali parecchio elevate, segno che comunque i controlli imposti
dalle società o non sono ben funzionanti o sono facilmente eludibili dai lavoratori in-
- 22 -
terni (l‟analisi comparata dei furti di magazzino portati avanti da soggetti in posizione
apicale, da lavoratori non manager e da soggetti esterni mostra come questo tipo di
frode sia prettamente tipica della seconda categoria di soggetti menzionati, tanto da
essere in questo gruppo la forma predominante di attività fraudolenta perpetrata). Il
ciclo magazzino, inoltre, risulta essere uno dei più rischiosi in quanto, in aggiunta al
pericolo di furti, esiste anche un rischio di tipo valutativo: le rimanenze finali fungibili,
infatti, sono oggetto, alla fine dell‟anno, di una valutazione effettuata sì sulla base di
metodi prestabiliti (il metodo del costo medio ponderato, il LIFO o il FIFO), ma co-
munque lunga e complessa e per tale motivo facilmente manipolabile. Un incremento
del valore finale delle giacenze consente al management di migliorare in modo con-
sistente il risultato d‟esercizio, fornendo così una più che valida motivazione di attua-
zione della frode.
L‟incentivo a migliorare il risultato netto rende il ciclo attivo, ossia quello dei ricavi,
un‟altra area di bilancio piuttosto critica per la commissione di atti fraudolenti: il reato
di falsa fatturazione, pur non essendo quello maggiormente compiuto, raggiunge an-
cora oggi dei livelli di frequenza rilevanti. Inoltre le sempre più complicate strutture
societarie, che ricomprendono al loro interno un numero molto elevato di società ap-
partenenti al gruppo, alcune di esse dislocate anche in paesi cosiddetti black list5,
consentono più facilmente lo spostamento di ricavi e di redditi da un Paese all‟altro in
modo da tassare questi componenti positivi in uno Stato con un regime a fiscalità più
agevolate. Ovviamente le criticità che riguardano il ciclo dei ricavi si riversano auto-
maticamente anche sulla voce patrimoniale dei crediti, rendendola specularmente
un‟area a rischio.
5 L‟elenco degli Stati o dei Territori cosiddetti black list consisteva in una lista di Paesi aventi regimi fiscali privilegiati contenuta
nel Decreto Ministeriale del 21 novembre 2001. Quest‟ultimo classificava gli Stati in tre categorie: una prima costituita da Paesi
ai quali si applicava, incondizionatamente, il regime di indeducibilità di cui all‟ex art. 167 TUIR; una seconda composta da Stati
cui si applicava tale indeducibilità per le operazioni intercorse con tutte le tipologie di società fatta eccezione per alcune espres-
samente previste; e una terza a cui si applicava il regime di indeducibilità solo per determinate tipologie di attività e di soggetti
esplicitamente menzionati. La Finanziaria 2008 ha introdotto a riguardo alcune novità: in particolare ha invertito il punto di vista
della problematica stabilento che dal 2008 non verranno più individuati esplicitamente i Paesi black list, ma verranno specificati
quelli white list. Nello specifico l‟art. 1, comma 83, lettera h), numero 1 della suddetta legge (L. 244/2007), prevede ora
l‟indeducibilità dei costi per le operazioni realizzate con imprese che non fanno parte della white list, un elenco di Stati che sa-
ranno individuati con Decreto Ministeriale, ai sensi dell‟art. 168-bis del TUIR.
- 23 -
Meno problematico risulta essere al contrario il ciclo passivo: le statistiche che emer-
gono dai survey di KPMG mostrano come le frodi interne a quest‟area di bilancio si
siano ridotte negli anni. È questa una tipica manifestazione di come le attività fraudo-
lente e di conseguenza le aree più critiche di bilancio non rimangano costanti nel
tempo ma si evolvano anche in relazione alle condizioni esterne e alle variabili eco-
nomiche circostanti la società. Ne è una manifestazione il fatto che nell‟ultimo de-
cennio gli sviluppi dell‟economia a livello mondiale abbiano impattato anche sui tipi di
schemi di frode commesse dai soggetti. Negli ultimi anni, infatti, l‟ingresso di nuovi
strumenti finanziari, di nuove forme di retribuzione per i membri del management (si
pensi alle cosiddette stock option), di nuove tipologie di asset (quali marchi, brevetti,
diritti dell‟ingegno, licenze e avviamento) ha consentito ai perpetratori di frodi di avere
ulteriori spazi di azione, altre aree di bilancio da manipolare che, se pur sempre esi-
stite nelle realtà aziendali, non avevano mai rappresentato un terreno fertile per atti-
vità fraudolente. Così, negli ultimi anni, accanto alle tradizionali aree a rischio che
abbiamo fin qui menzionato, si possono annoverare anche l‟area delle attività finan-
ziarie e l‟area del personale. La prima infatti è quella in cui la società contabilizza tutti
i suoi investimenti, o per lo meno nella quale dovrebbe darne evidenza. Il fatto che
molte società siano possedute con una percentuale inferiore rispetto al minimo legale
per qualificarle come controllate o collegate, o il fatto che spesso gli acquisti di parte-
cipazioni siano effettuati in società collocate in Paesi strategici difficili da verificare,
consente ai manager della società di non iscrivere in bilancio tali investimenti. Ciò
ovviamente comporta la possibilità di effettuare attività fraudolente occulte e velate
che rendono appunto attualmente l‟area degli investimenti particolarmente pericolo-
sa. È pur vero che questo tipo di frode non ha raggiunto numeri consistenti anche in
tempi recenti, tuttavia i pochi casi che si sono riscontrati negli ultimi anni hanno cau-
sato delle perdite alle società veramente elevate, addirittura molto maggiori di quelle
causate da altre frodi con frequenza molto più alta. Si pensi anche solo al già citato
caso Enron nel quale è stato sviluppato anche questo tipo di schema di frode: la so-
cietà, proprietaria di quote di partecipazione in 881 società (di cui più di 600 nelle iso-
le Cayman), riusciva tramite le sue “figlie” a trasferire utili e componenti positivi di
- 24 -
reddito in paradisi fiscali, evadendo in tal modo le tasse, gonfiando i profitti e riu-
scendo così a mantenere stabile il valore di mercato delle sue azioni anche in periodi
di crisi. Tutto questo senza darne la minima evidenza in bilancio. Probabilmente
un‟analisi più attenta al ciclo degli investimenti della società avrebbe evidenziato
questa struttura nascosta e forse avrebbe consentito di individuare molto prima le la-
cune che si celavano all‟interno delle scritture contabili del colosso statunitense.
Difficoltà simili si possono riscontrare anche nell‟area del personale che, nell‟ultimo
periodo, sta cominciando ad essere anch‟essa una zona rossa nel bilancio. Diverse
sono sicuramente le cause e le motivazioni; in particolare va rimarcato il problema
che si sta ponendo soprattutto nell‟ultimo decennio per quanto riguarda le retribuzioni
variabili dei soggetti apicali delle società. Il fatto che il loro stipendio sia correlato ai
risultati aziendali fa si che questi soggetti siano incentivati a modificare gli utili in mo-
do da poter calcolare sulla base di questi le loro spettanze (di solito gonfiando i ricavi
mediante la tecnica della falsa fatturazione o della prefatturazione). L‟area in primis
intaccata da questi meccanismi di frode è ovviamente quella dei ricavi ma risulta es-
serlo anche quella del personale, in quanto non viene data evidenza al suo interno
della remunerazione di competenza del management; la società così non avrà in bi-
lancio uno stanziamento corrispondente a quanto dovrà versare ai suoi dirigenti e,
quando questi richiederanno il pagamento del loro compenso, si creeranno innanzi-
tutto problemi di liquidità e di stabilità per la società e in secondo luogo non sarà più
possibile evitare e prevenire la frode6. A supporto di queste considerazioni e a con-
ferma del fatto che le tipologie e la frequenza di attività fraudolente, e quindi anche le
aree di bilancio da esse impattate, siano influenzate altresì dalle condizioni macroe-
conomiche, interviene un paper di PricewaterhouseCoopers (Tracey J., Gordon A.,
6 Nell‟ordinamento italiano, infatti, il Codice Civile non prevede alcuna norma che richieda la rilevazione in contabilità dell‟onere
a carico dell‟azienda al momento dell‟emissione di un piano di stock option nell‟eventualità in cui le opzioni siano attribuite gra-
tuitamente ai dipendenti. Esistono sicuramente una serie di obblighi informativi prescritti dalla Consob in merito alla strut tura e
alle conseguenze di questi piani. In carenza di una normativa italiana stringente, le società tendono a rinviare la contabilizzazio-
ne degli effetti di tali operazioni al momento della loro effettiva realizzazione, ovvero al momento dell‟esercizio dell‟opzioni. Di-
versi sono invece gli obblighi prescritti dai principi contabili internazionali che, con l‟IFRS 2 prescrivono di rilevare in contabilità i
costi legati a un piano di stock option al momento dell‟assegnazione delle stesse. ciò sicuramente va a vantaggio della traspa-
renza del bilancio, nonostante, considerando la questione dal lato pratico, si riscontrino molte difficoltà di carattere valutativo.
- 25 -
2009) in cui viene evidenziata l‟esistenza di collegamenti tra la presente crisi econo-
mica globale e le frodi in generale. Gli autori dell‟articolo sostengono come
l‟incertezza incombente sulla sopravvivenza dell‟economia mondiale renda molto più
labile il confine tra comportamenti considerati accettabili e comportamenti inaccetta-
bili. Questo concetto emerge anche nel Report emesso da Kroll7 nel giugno 2009 do-
ve viene evidenziato come la crescente competitività sviluppata nell‟ultimo periodo,
focalizzandosi in realtà su un minor numero di risorse disponibili, non faccia altro che
incrementare la tentazione di ottenere un vantaggio attraverso mezzi illeciti e corrotti.
La condizione economica corrente, infatti, è vista, dai perpetratori di frodi, come
un‟opportunità, non una minaccia. La conclusione di tali riflessioni, che avvalora
quanto fin qui esposto, è che la recessione economica attuale stia cambiando la na-
tura, nonché la dimensione, della frode e il rischio di integrità che le società devono
affrontare. Molte più persone sentiranno la pressione reale di superare i confini del
lecito o di intraprendere strade che prima non avrebbero mai osato. Il problema sarà
capire quali strumenti adotteranno in questi loro nuovi atteggiamenti: probabilmente
ai classici schemi di frode se ne potrebbero aggiungere altri influenzati dalle condi-
zioni estreme di questa crisi finanziaria con la conseguenza che altre voci di bilancio
potrebbero essere toccate da queste attività, andando ad allungare la lista di aree
critiche qui presentata.
1.6 – Le metodologie di prevenzione
Sebbene le società e i membri del top management non siano sempre del tutto con-
sapevoli della pericolosità del rischio di frode e nonostante non tutte le società ab-
biano implementato dei sistemi di controllo interni ben strutturati, va comunque detto
che nella realtà italiana molti sono gli approcci adottati dalle imprese per cercare di
7 Kroll è la società leader mondiale nella consulenza del rischio. Da più di trent‟anni Kroll supporta le imprese, gli enti governativi
e le stesse persone fisiche nel ridurre la loro esposizione ai rischi e nel cogliere le opportunità di business. Con filiali in più di
sessanta città negli Stati Uniti e nel mondo, Kroll si occupa in particolare di analizzare pratiche e documenti contabili e d i natura
finanziaria, di recuperare dati informatici danneggiati o cancellati, di condurre indagini di carattere investigativo e di implementa-
re sistemi e procedure di sicurezza.
- 26 -
mostrare almeno un certo impegno contro le frodi societarie. Detti approcci non costi-
tuiscono dei veri e propri tipi di sistemi di controllo, bensì rappresentano più che altro
delle “filosofie” con cui si tratta il problema delle frodi societarie, cercando di trovare
una soluzione individuando in linea generale quali potrebbero essere gli strumenti da
adottare. L‟obiettivo di questo paragrafo, ispirato da Laganà G., “Frodi societarie e
corporate governance” (2004), è quello di presentare tali approcci, in particolare
quelli più comunemente utilizzati per fronteggiare le frodi, ossia:
l‟approccio dirigista;
l‟approccio del monitoraggio;
l‟approccio investigativo;
l‟approccio della prevenzione;
l‟approccio assicurativo.
L‟approccio cosiddetto dirigista viene tradizionalmente applicato nelle realtà econo-
miche di piccole dimensioni, nelle quali non esistono così grossi problemi di frode;
esso si caratterizza per il fatto di attribuire tutte le funzioni di controllo sulle attività
operative al vertice aziendale. Tale approccio è perciò caratterizzato dall‟assenza di
supporti esterni alla direzione societaria, la quale, in autonomia ed indipendenza, in
un primo momento formula e, successivamente coordina, almeno in linea teorica, i
sistemi di controllo. La metodologia dirigista risulta essere di facile elusione in quan-
to, nonostante le buone intenzioni e gli intendimenti, spesso i controlli del
management vengono trascurati o eseguiti frettolosamente.
L‟approccio del monitoraggio, sviluppato dalle società al crescere delle loro dimen-
sioni, si caratterizza al contrario per la separazione dei controlli sull‟attività operativa
da quelli più specificatamente anti frode, che vanno a costituire un sistema a sé stan-
te, solitamente attivato a posteriori su atti fraudolenti realizzati nei cicli aziendali. La
distinzione dei due sistemi, però, non comporta un‟ottimizzazione della seconda atti-
vità di controllo, ma il più delle volte consiste semplicemente nella raccolta di tutta
una serie di informazioni (la cui completezza andrebbe poi ulteriormente verificata)
su fatti già accaduti che nessuno in realtà usa o userà in modo produttivo. Un aspetto
comune e anche negativo del sistema dirigista e di quello del monitoraggio sta nel
- 27 -
fatto che essi traggono origine da alcune decisioni del top management e non sono
quasi mai in realtà strutturati ed integrati organicamente con il sistema di controllo in-
terno. Il terzo tipo di approccio, quello investigativo, viene definito tale in quanto con-
siste in una forma particolare di controllo delle frodi svolto sistematicamente da revi-
sori interni ed esterni altamente specializzati e soprattutto distaccati dalle società nel-
le quali sono chiamati ad operare. Tali loro qualifiche li differenziano parzialmente
dalle tradizionali figure degli internal ed external auditor, che, essendo il più delle vol-
te cresciuti, da un punto di vista professionale, nelle culture che sono chiamati a con-
trollare, non risultano sempre davvero decisivi nei controlli in quanto condizionabili
dalle forze interne alla società.
L‟approccio della prevenzione è, tra i cinque, quello che di gran lunga si può conside-
rare più efficiente ed efficace nella lotta delle frodi societarie in quanto riduce la per-
centuale di rischio di frode nei punti critici dell‟organizzazione. Esso, rispetto agli altri,
si caratterizza per il fatto di prevenire i tentativi di frode utilizzando in modo comple-
mentare approcci quale quello del monitoraggio investigativo e quello assicurativo.
Tale approccio, perciò, se correttamente applicato, sintetizza in sé controlli contabili,
fisici, manageriali ed informatici che, sinergicamente attivati, permettono di individua-
re sia frodi on the book, ricorrendo a particolari verifiche effettuate sulle scritture con-
tabili e sui conti critici, sia frodi off the book, mediante l‟analisi delle relazioni societa-
rie, combinata con l‟analisi degli indicatori gestionali. La strategia con la quale si svi-
luppa l‟approccio preventivo è duplice: da una parte si cerca di diminuire le opportu-
nità di realizzare delle frodi, dall‟altra si cerca di aumentare la capacità di individua-
zione delle stesse attraverso la creazione di un adeguato sistema di controllo interno
alla società. L‟ultimo approccio, quello assicurativo, parte dal presupposto che non
sia possibile eliminare completamente da una società il rischio di frode, tenuto conto
del fatto che, se ciò fosse possibile, tale operazione avrebbe costi organizzativi altis-
simi, tali da non renderla più conveniente. Accettare il rischio di subire frodi rappre-
senta, pertanto, una prospettiva reale che deve essere affrontata al momento della
costruzione di un sistema anti frode. L‟approccio assicurativo, inteso comunemente
come un approccio residuale, si occupa in primo luogo di identificare e valutare i ri-
- 28 -
schi scoperti dal sistema anti frode adottato dalla società in modo da definire un qua-
dro esatto delle operazioni che minacciano la stessa. Secondariamente esso svilup-
pa un processo decisionale incentrato sulla generazione e sulla selezione delle pro-
poste di investimento assicurativo, coerenti con la strategia aziendale, per prevenire i
danni causati da frodi. La tendenza a considerare l‟assicurazione come soluzione
completa ai problemi di frode è piuttosto diffusa tra le imprese italiane, nonostante
sia ampiamente criticabile, in quanto porta la società ad esporti a elevati ed incontrol-
lati livelli di rischio. La gestione dell‟assicurazione deve piuttosto basarsi su
un‟attenta pianificazione e su un serio esame delle coperture disponibili sul mercato.
1.7 - Il ruolo del fraud auditor e del forensic accountant
Nel paragrafo dedicato agli schemi di frode, si è rimarcato come sia possibile identifi-
care dei soggetti che meglio di altri sono indicati a svolgere l‟attività di prevenzione o
individuazione di certi tipi di frode. A riguardo si era precisato che, per quanto con-
cerne le frodi di bilancio, i soggetti più appropriati a riconoscerle sono i revisori ester-
ni, mentre gli internal auditor sono sicuramente coloro che dispongono di maggiori
strumenti e risorse per l‟individuazione delle frodi legate all‟appropriazione indebita di
asset. Nonostante questi professionisti possano sfruttare le loro competenze e le loro
conoscenze anche ai fini di scoprire le frodi societarie, è necessario ricordare che lo
scopo e l‟obiettivo della loro attività principale non è la ricerca vera e propria di errori,
volontari o involontari, all‟interno degli schemi di bilancio. I revisori interni, infatti, si
concentrano maggiormente sull‟analisi delle aree di rischio della società presso cui
prestano la loro attività, valutando, sulla base degli output delle loro verifiche,
l‟adeguatezza o meno del sistema di controllo interno della società stessa. I revisori
esterni, al contrario, hanno il compito di applicare delle statuite procedure di revisione
al fine di accertare la conformità del bilancio alla legge; in sostanza sono chiamati ad
esprimere un giudizio professionale in merito all‟attendibilità sostanziale del bilancio
- 29 -
stesso8. L‟utilizzo di termini quali “statuite procedure”, “conformità”, “attendibilità so-
stanziale”, unite alla metodologia dell‟attività di revisione, che procede su base cam-
pionaria, dimostrano come il lavoro del revisore contabile non sia sufficiente e non
sia abbastanza dettagliato per evitare e individuare frodi all‟interno delle società, a
meno che queste non raggiungano dimensioni talmente elevate da superare la mate-
rialità fissata dal revisore e attirarne così l‟attenzione. L‟identificazione delle frodi da
parte del financial auditor diventa notevolmente più complessa se si considera inoltre
che non tutte le frodi hanno degli impatti quantitativi sul bilancio; spesso, infatti, le at-
tività fraudolente vengono portate avanti al di fuori della contabilità senza lasciare al
suo interno delle tracce evidenti. In questi casi, pur applicando la dovuta professiona-
lità e diligenza, è assolutamente impossibile per il revisore esterno scovare la frode.
Per tali motivi, già a partire dal XX secolo, si sono sviluppate le figure più specializza-
te del fraud auditor e del forensic accountant, figure relativamente recenti sul cui ruo-
lo esistono ancora delle incomprensioni e delle perplessità, in quanto non è partico-
larmente chiaro a molti la funzione di tali soggetti e soprattutto la differenza tra le loro
mansioni. In realtà, gli ambiti in cui operano il fraud auditor e il forensic accountant
sono piuttosto diversi, pur afferendo entrambi alla sfera delle frodi perpetrate
all‟interno delle società. Si può individuare già una prima importante distinzione tra i
due ruoli nel momento di intervento del professionista all‟interno del lungo iter per il
riconoscimento e l‟identificazione della frode. Il forensic accountant, infatti, subentra
nel processo in una fase successiva rispetto al fraud auditor, il quale è impegnato fin
da subito nell‟identificazione della frode. Egli, di fatto, è una figura che combina le a-
bilità e le conoscenze contabili del revisore con le capacità di indagine di un investi-
gatore, al fine di scoprire, correggere e successivamente prevenire le attività fraudo-
lente.
8 Il Principio di Revisione ISA 200 definisce come obiettivo della revisione contabile quello di “acquisire ogni elemento necessa-
rio per consentire al revisore di esprimere un giudizio se il bilancio sia redatto, in tutti gli aspetti significativi, in conformità al
quadro normativo di rifermento.
Sebbene il giudizio del revisore incida sulla valutazione dell‟attendibilità del bilancio, tale giudizio non rappresenta una garanzia
del futuro funzionamento dell‟impresa né che la stessa sia stata amministrata in modo efficace ed efficiente”.
- 30 -
Così come per il financial auditing, anche in questa branca della revisione è possibile
applicare il concetto di ragionevolezza, intendendo con tale termine la capacità del
fraud auditor di essere in grado di anticipare una frode ragionevolmente prevedibile.
Tale principio, che funge in senso lato da guida per l‟attività del fraud auditor, mira
essenzialmente ad escludere una sua responsabilità nei casi più complessi di frode,
quelli in cui, pur applicando la diligenza richiesta dalla professione, non è possibile
riconoscere l‟atto fraudolento in tempi utili evitando così le conseguenze negative
dello stesso. Al contrario non si applicano al fraud auditing né la tecnica campionaria
tipica dell‟attività di revisione né l‟altrettanto caratteristico livello di materialità:
nell‟ambito delle indagini su una frode deve essere preso in considerazione ogni e-
lemento senza distinguere tra quanto può essere materiale e quanto non lo è. Anche
il più piccolo dato può rivelarsi l‟indizio più utile per identificare la frode. In altri termi-
ni, il fraud auditor non affronta il sistema di controllo interno in base a una serie di
standard da verificare (attività tipica nelle fasi di pianificazione e programmazione di
un financial audit), ma si focalizza sui punti deboli di tali sistema, sui metodi per ma-
nipolarlo, sulle deviazioni possibili dai principi contabili e sulle condizioni ambientali in
cui la società opera. In pratica il fraud auditor ragiona con gli occhi del soggetto che
ha compiuto la frode, in quanto solo così può pensare di vedere tutte le debolezze
sfruttabili all‟interno dell‟organizzazione e le motivazioni che possono spingere a por-
tare avanti un illecito. È molto importante però che il fraud auditor, nell‟individuare
l‟irregolarità all‟interno del bilancio (irregolarità che può consistere in un‟alterazione,
distruzione o falsificazione dell‟evidenza contabile), faccia una dovuta distinzione tra
le anomalie accidentali dovute a un errore umano e quelle intenzionali conseguenti a
omissioni. Solo queste ultime infatti potranno essere identificative di una frode e ri-
chiederanno pertanto al fraud auditor di continuare nella sua attività.
In termini più specifici, i compiti e le abilità di tale figura professionale consistono nel:
fissare un codice di condotta destinato ai dipendenti dell‟azienda, contenente
delle regole a cui dovranno attenersi;
analizzare le situazioni dei soggetti coinvolti nell‟ipotetico caso di frode, po-
nendo particolare attenzione ai loro scopi all‟interno dell‟organizzazione e so-
- 31 -
prattutto alle motivazioni che li hanno spinti a fissare questi obiettivi (non biso-
gna dimenticare che uno dei vertici del fraud triangle è proprio la motivazione,
la molla che fa scattare il compimento dell‟atto fraudolento);
valutare i fattori di opportunità che si creano all‟interno della società, focaliz-
zandosi a tal proposito sul sistema di controllo interno, di cui deve essere fatta
un‟attenta analisi dei punti di forza ma soprattutto dei punti di debolezza;
ipotizzare da un lato i benefici potenziali che la frode crea per chi la compie e
dall‟altro le punizioni a cui andrebbe incontro lo stesso perpetratore una volta
scoperto;
distinguere tra alterazioni di bilancio a seguito di errori umani e situazioni frau-
dolente esplicitamente volute;
identificare transazioni opinabili per quanto riguarda la loro inerenza al busi-
ness svolto dalla società e cercare l‟adeguata documentazione a supporto del-
le stesse (indipendentemente dal fatto che al termine della ricerca le prove
dimostrino l‟esistenza di una frode o meno; il fraud auditor deve cercare di
rendere anche più chiare quelle operazioni che non sono di per sé fraudolente
ma che possono per la loro natura trarre in inganno sulla loro liceità);
sintetizzare e valutare le conclusioni dedotte dall‟analisi svolta.
Come si può ben capire, il fraud auditing non è una disciplina formale, metodologica,
ma è piuttosto un processo intuitivo in cui pesano molto di più le abilità del professio-
nista rispetto alle conoscenze sviluppate. Con ciò non si vuole assolutamente dire
che l‟esperienza non assume un ruolo importante in tale disciplina: al contrario,
l‟unico modo per poter incrementare la propria professionalità in questo ambito è s i-
curamente rapportarsi il più possibile con casi pratici che consentano di aumentare il
numero di schemi di frode conosciuti e di sviluppare la mentalità da fraud auditor.
Tuttavia, l‟esperienza e le conoscenze teoriche della materia non sono sufficienti per
scovare una frode. L‟elemento che in questo settore della revisione può fare vera-
mente la differenza è la predisposizione mentale del fraud auditor, la sua ostinazio-
ne, la sua perseveranza e la sua persistenza. Non è un‟esagerazione affermare che
l‟attività di fraud auditing è più un‟arte che una scienza. La maggior parte delle frodi,
- 32 -
infatti, viene scoperta per caso, in seguito a passi falsi di colui che l‟ha messa in atto,
o successivamente all‟intuizione di un investigatore o addirittura partendo da semplici
dicerie. Il fraud auditing non è pertanto un‟attività che porta necessariamente ai risul-
tati sperati mediante la semplice applicazione delle regole base; la conoscenza degli
schemi di frode e delle procedure da mettere in atto per scoprire una atto fraudolento
sono condizioni necessarie ma non sufficienti per riuscire bene in questa attività. È
infatti impossibile riuscire a racchiudere tutte le variabili coinvolte in un illecito in
un‟unica teoria che enunci le cause principali della frode, le sue tipiche modalità di at-
tuazione e i metodi per poterla individuare e sventare. Ed è proprio per tale ragione
che l‟intuizione, l‟esperienza e l‟addestramento sono così rilevanti per un fraud audi-
tor. Qualità come la creatività, la curiosità, la fermezza, lo scetticismo e
l‟indipendenza devono essere proprie anche dell‟altra figura professionale sviluppa-
tasi di recente per far fronte all‟attività di prevenzione e, più in particolare, di individu-
azione delle frodi: il forensic accountant. Il forensic accountant, come già preceden-
temente anticipato, interviene in un caso di frode in un momento successivo rispetto
al fraud auditor, quando cioè sono già presenti il sospetto o l‟evidenza di una atto il-
lecito. Il primo in pratica ha un ruolo reattivo, al contrario del secondo che è invece
coinvolto attivamente nella prevenzione e nell‟individuazione delle frodi. Il forensic
accountant viene coinvolto principalmente nelle interviste ai sospetti di aver com-
messo un atto fraudolento; egli deve essere particolarmente capace di raccogliere
confessioni che abbiano poi una valenza di prova all‟interno di un processo. Rientra
tra le sue mansioni anche la redazione di un report che illustri ai giudici competenti
quanto successo: in sostanza, il forensic accountant è incaricato di preparare
un‟eventuale causa legale e quindi di raccogliere prove e testimonianze a supporto
della frode scoperta. Egli deve pertanto unire a competenze contabili anche doti di
investigazione e di comunicazione; soprattutto queste ultime distinguono in modo
netto tale professionista sia dal financial auditor che dal fraud auditor, in quanto solo
al forensic accountant è richiesto di tradurre complesse transazioni finanziarie e in-
formazioni numeriche in termini comprensibili da persone non appartenenti al mondo
economico, quali giudici, avvocati o membri di una giuria. Tommie e Aaron Singleton,
- 33 -
nel loro libro “Fraud Auditing and Forensic Accounting” (2006), hanno individuato un
vero e proprio processo investigativo, costituito da tipici step seguiti dal forensic ac-
countant nella sua attività. Il primo passo del processo investigativo è sicuramente
rappresentato dalla scoperta, spesso in via del tutto accidentale, di indizi. Non sem-
pre però la frode risulta facilmente identificabile, anche per la difficoltà di raccogliere
evidenze; in tali circostanze il forensic accountant, per proseguire nella sua indagine,
è tenuto ad adottare un approccio teoretico alla frode stessa, ossia non sapendo an-
cora quale schema di riferimento è stato adottato dal perpetratore, egli deve cercare
di ripercorrere tutte le tassonomie conosciute, nella speranza, per esclusione, di per-
venire allo schema che meglio si adegua al caso reale che gli è stato proposto. Que-
sta fase del procedimento investigativo, che il più delle volte viene portata avanti a-
dottando la tecnica del brainstorming, consente al forensic accountant di conoscere
più a fondo gli elementi caratteristici della situazione e potrà servire anche da base
per lo sviluppo del piano di investigazione della frode. Una volta focalizzato in termini
generali l‟atto fraudolento verificatosi, il forensic accountant, servendosi delle prove
documentali raccolte dal fraud auditor nel corso della sua attività, cercherà di con-
fermare l‟esistenza della frode mediante la raccolta di interviste a soggetti più o meno
coinvolti nel caso che possano poi rappresentare prove legali. È proprio a causa di
questo contatto diretto del forensic accountant con i soggetti attivi della frode che gli
viene richiesto di possedere doti comunicative che non sono al contrario necessarie
nel profilo professionale del revisore esterno e del fraud auditor. Solo mediante una
grande capacità di adattamento a diversi atteggiamenti e solo con un‟ampia mentali-
tà sarà possibile per il forensic accountant dialogare con gli intervistati e raccogliere
da loro le maggiori informazioni possibili. Apparentemente questa fase del procedi-
mento investigativo sembra essere la meno rilevante o per lo meno quella meno dif-
ficoltosa: in fondo, agli occhi di molti, si tratta solo di una “chiacchierata” finalizzata
solo a dare maggiore rilevanza a prove documentali e contabili già raccolte. Questa
visione assai banale delle interviste svolte dal forensic accountant non tiene in consi-
derazione tutta la preparazione psicologica e tecnica retrostante necessaria per il
buon esito dell‟intera investigazione.
- 34 -
La seguente tabella riassume schematicamente le caratteristiche delle due figure
professionali al centro del presente paragrafo per mostrare, in termini immediati, co-
me esse siano differenti e ugualmente necessarie nel processo di identificazione di
una frode.
FRAUD AUDITOR FORENSIC ACCOUNTANT
CHI È È uno specialista nella scoperta delle fro-
di e nella modalità con cui prevenirle. De-
ve aver conoscenze oltre che nell‟ambito
della revisione contabile anche nella sfera
investigativa.
È un esperto di investigazione che uni-
sce alle competenze contabili doti co-
municative ed investigative.
QUANDO
INTERVIENE
Interviene soprattutto quando si ha il so-
spetto che una frode sia in atto, ma in re-
altà egli può offrire la sua attività profes-
sionale anche in situazioni non fraudolen-
te, fornendo le sue competenze per co-
struire sistemi anti frode.
Successivamente al fraud auditor,
quando l‟evidenza o il sospetto di una
frode sono già presenti.
IL SUO
RUOLO
Egli svolge la sua attività cercando di dare
una risposta ai seguenti quesiti:
- quali sono i punti di debolezza del si-
stema di controllo della società?
- quali deviazioni dalle convenzionali pra-
tiche contabili sono attuabili in questo si-
stema di controllo?
- come vengono trattate le transazioni off-
line e da chi vengono autorizzate?
- quale sarebbe il metodo più semplice
per compromettere il sistema di controllo?
- quali elementi del sistema di controllo
possono essere facilmente elusi dal
management?
- che tipo di ambiente di lavoro si è instau-
rato all‟interno della società? In che con-
testo competitivo opera la stessa e a che
tipo di settore appartiene?
La sua attività consiste in:
- identificare una frode partendo da una
minima fonte di informazioni;
- elaborare dati finanziari al fine di indi-
viduare al loro interno prove che possa-
no supportare in un procedimento giudi-
ziario la tesi dell‟esistenza della frode;
- predisporre un piano di investigazione
della frode;
- avvalorare le prove fornite dal fraud
auditor mediante lo svolgimento di in-
terviste a soggetti più o meno coinvolti
nella frode;
- redigere un report che esponga con un
linguaggio giuridico formale le evidenze
dell‟investigazione e possa essere e-
ventualmente utilizzato anche all‟interno
di un procedimento giudiziario.
- 35 -
PARTE SECONDA
UN VALIDO STRUMENTO DI PREVENZIONE DELLE FRODI:
IL SISTEMA DI CONTROLLO INTERNO
The world is a dangerous place to live;
not because of people who are evil,
but because of people who don’t do anything about it.
Il mondo è un luogo pericoloso in cui vivere;
non a causa delle persone malvagie,
ma a causa di coloro che non fanno nulla a riguardo.
- Albert Einstein -
2.1 – Il sistema di controllo interno
Il termine “sistema di controllo interno” è già stato citato in diversi momenti nel pre-
sente lavoro, ogni volta riferendosi a questo come il migliore strumento di prevenzio-
ne delle frodi societarie, senza specificare tuttavia né in cosa consista effettivamente,
né quale siano davvero la sua funzionalità e la sua potenzialità. L‟obiettivo di questo
capitolo è proprio quello di analizzare nello specifico le componenti di tale sistema,
gli utilizzi che una società può farne e i benefici che ne trarrebbe, soprattutto in ter-
mini di efficienza nella prevenzione delle attività fraudolente. Tale tematica risulta pe-
rò di difficile trattazione nella realtà italiana in quanto manca una definizione chiara e
univoca del concetto di sistema di controllo da cui si possa partire per costruire un
modello di riferimento. L‟espressione “controllo interno” assume, infatti, ancora oggi
significati diversi a seconda dell‟ambito a cui ci si riferisce. Nel settore pubblico il con-
trollo interno consiste principalmente in attività di verifica effettuate da un soggetto
che, nonostante non sia parte dell‟ente monitorato, opera comunque nei confini dello
stesso. In genere in tale settore lo scopo dei controlli interni consta unicamente nel
verificare il rispetto delle norme legislative, regolamentari e contrattuali. Nel settore
finanziario, al contrario, grazie alle richieste della Banca d‟Italia, si va sempre più de-
- 36 -
lineando una definizione specifica di sistema di controllo interno. Le istruzioni di vigi-
lanza per le banche prescrivono infatti agli enti creditizi non solo il rispetto di certi re-
quisiti patrimoniali ma anche l‟uso di procedure e sistemi di controllo finalizzati a ga-
rantire un‟adeguata gestione dei rischi di mercato. Non si può invece parlare di
un‟altrettanto chiara visione e definizione di controllo interno nel settore privato, dove,
un po‟ anche a causa di tale mancanza, molte società non si sono ancora poste il
problema di adottare una struttura adeguata alle loro esigenze e non si sono nem-
meno interrogate su quale possa essere la funzionalità di un tale sistema. Per molte
infatti il termine controllo evoca ancora solo l‟idea di verifica ispettiva o di mera rile-
vazione contabile. Quelle società che, al contrario, hanno cominciato ad interessarsi
alla questione, si sono trovate di fronte al problema di non avere un adeguato sup-
porto per quanto riguarda la costruzione vera e propria del sistema. In Italia, infatti,
non esiste un modello di riferimento a cui rifarsi per la progettazione e
l‟implementazione della struttura di controllo ed è per tale ragione che risulta neces-
sario fare dei rimandi alla letteratura e alla legislazione d‟oltreoceano. Negli Stati Uni-
ti, infatti, il concetto di sistema di controllo interno è già stato trattato e definito da
tempo dal Committee of Sponsoring Organizations of the Treadway Commission
(CoSO) che nel 1992, dopo diversi significativi scandali avvenuti negli anni ‟80, ha
pubblicato il CoSO Report: Internal Control – An Integrated Framework, un documen-
to avente l‟obiettivo di fornire sia una definizione comune di controllo interno, sia uno
standard di riferimento attraverso il quale le società e ogni altra forma di organizza-
zione possano valutare ed implementare i loro sistemi di controllo. Attraverso tale
pubblicazione, la Commissione mirava proprio a migliorare la qualità dei report finan-
ziari delle società mediante una maggiore focalizzazione sul corporate management,
sugli standard etici e sul controllo interno. Il CoSO Report risulta essere di così gran-
de importanza a livello mondiale non solo in quanto unico esempio di letteratura che
ha cercato di fornire uno standard di sistema di controllo interno, ma soprattutto in
quanto il modello da lui presentato è stato riconosciuto dalla Securities and Exchan-
ge Commission (SEC) come best practice di riferimento per costruire un‟adeguata
- 37 -
architettura dei sistemi di controllo interno e per conformarsi anche alle previsioni
della Sarbanes-Oxley Act del 20029.
Tale riconoscimento ufficiale, al quale ne sono seguiti molti altri tra cui, a metà degli
anni Novanta, quello dell‟Istituto Monetario Europeo (ora Banca Centrale Europea)
che ha indicato il Report come esempio per i sistemi di controllo da inserire all‟interno
delle banche, ha reso pertanto questo Framework il punto di riferimento di ogni so-
cietà, ivi comprese quelle italiane, impegnate nell‟implementazione di una struttura
interna di controllo. Prima di trattare però più nello specifico il modello presentato dal
CoSO Report, è doveroso fornire una definizione avente valenza generale del con-
cetto di sistema di controllo interno. Con tale espressione si intende un processo,
implementato dal Consiglio di Amministrazione, dai dirigenti e da altri operatori della
struttura aziendale, progettato per fornire una ragionevole certezza (in termini anglo-
sassoni reasonable assurance) in merito alla realizzazione degli obiettivi rientranti
nelle seguenti categorie:
efficacia ed efficienza delle attività operative, nella quale vengono inclusi gli
obiettivi di base di un‟azienda, compresi quelli di performance, di redditività e
di protezione delle risorse;
9 La Sarbanes-Oxley Act, conosciuta anche con il nome di Public Company Accounting Reform and Investor Protection Act of
2002, è una legge federale emanata nel luglio 2002 dal governo degli Stati Uniti a seguito di diversi scandali contabili che hann o
coinvolto importanti aziende americane come Enron, la società di revisione Arthur Andersen, WorldCom e Tyco International.
Tali scandali hanno causato grande sfiducia da parte degli investitori nei confronti dei mercati, sollevando altresì diversi dubbi
circa le loro politiche di sicurezza. La legge mira ad intervenire per chiudere alcune lacune nella legislazione, al fine di migliora-
re la corporate governance e garantire la trasparenza delle scritture contabili, agendo anche tuttavia sul lato penale con
l‟incremento della pena nei casi di falso in bilancio e simili frodi. Il provvedimento inoltre aumenta la responsabilità degli auditor
all'atto della revisione contabile.
Le più rilevanti modifiche previste dall‟atto in materia di certificazioni sui controlli interni sono contenute nella Section 404 e ri-
guardano in particolare:
l‟audit committee, che deve ora essere composto solamente da amministratori indipendenti e deve includere almeno
un esperto finanziario;
le figure del CEO e del CFO, che sono chiamati ora da un lato a certificare che il bilancio da loro sottoscritto è
un‟effettiva rappresentazione veritiera e corretta della situazione economica, patrimoniale e finanziaria della società e
dall‟altro ad implementare e mantenere un adeguato sistema di controllo interno mirato alla supervisione dell‟attività di
reporting finanziario;
i revisori esterni, a cui è richiesto ora sia di confermare l ‟adozione da parte della società di un sistema di controllo in-
terno, sia di attestarne la sua adeguatezza e la sua operatività;
le società quotate, a cui è richiesto di specificare un‟eventuale loro adozione di un codice etico di condotta per i mem-
bri del loro management.
- 38 -
attendibilità delle informazioni di bilancio, sia in termini di preparazione che di
pubblicazione dello stesso;
conformità alle leggi e ai regolamenti in vigore a cui è sottoposta la società.
A partire da questa definizione è possibile effettuare alcune riflessioni: innanzitutto è
importante sottolineare come il sistema di controllo interno sia un processo, un mez-
zo mirato ad un fine, non un fine di per se stesso. Non è perciò un procedimento in-
dipendente, una circostanza unica e irripetibile, ma comprende tutta una serie di atti
che interessano l‟intera attività aziendale e che si intrecciano nei processi fondamen-
tali di pianificazione, esecuzione e monitoraggio. Tale sistema infatti raggiunge
l‟apice della sua efficacia nel momento in cui è integrato nella struttura di
un‟organizzazione e fa parte della sua cultura aziendale. Esso inoltre non è costituito
unicamente da manuali e da documenti, ma da persone che si collocano a tutti i livelli
gerarchici di una società e non solo in posizione apicale. Tale definizione di sistema
di controllo interno specifica inoltre come il management e il Consiglio di Amministra-
zione possano attendersi dalla struttura dei controlli solo una sicurezza ragionevole,
non assoluta, riguardo alla realizzazione degli obiettivi; pertanto, per quanto un si-
stema di controllo interno sia adeguatamente strutturato e implementato, non garanti-
rà mai la totale certezza, in quanto comunque viziato da limiti che sono insiti in ogni
tipo di sistema, quali ad esempio disfunzioni dovute ad omissioni umane o elusione
dei controlli da parte di uno o più soggetti.
Il sistema di controllo interno, in particolare il modello di riferimento delineato dal Co-
SO Report del 1992, è costituito da cinque componenti strettamente correlati tra di
loro. Nonostante tali componenti siano attuabili sia in piccole, sia in medie che in
grandi imprese, la loro realizzazione potrà essere diversa a seconda della dimensio-
ne della società, che impatterà pertanto sulla strutturazione delle singole parti del si-
stema. Quest‟ultimo, però, a prescindere dalla realtà aziendale che lo implementa,
dovrebbe essere composto, secondo il modello presentato dal CoSO Report, dalle
seguenti componenti (PricewaterhouseCoopers, 2006):
- 39 -
1. l‟ambiente di controllo, i cui fattori costitutivi sono:
l‟integrità e i valori etici;
il valore della competenza;
il Consiglio di Amministrazione o l‟audit committee;
la filosofia e lo stile di direzione;
la struttura organizzativa;
l‟attribuzione di poteri e responsabilità;
le politiche e prassi riguardanti le risorse umane.
2. la valutazione del rischio, i cui elementi sono:
gli obiettivi generali dell‟impresa;
gli obiettivi specifici per ciascuna attività;
l‟analisi e la valutazione dei rischi;
la gestione dei cambiamenti.
3. le attività di controllo, costituite da:
politiche e procedure, quali la separazione dei compiti, il controllo fisico
dei beni, la corretta autorizzazione e registrazione delle operazioni;
sicurezza;
applicazione delle strategie elaborate in risposta ai cambiamenti;
continuità aziendale;
outsourcing.
4. l‟informazione e la comunicazione, focalizzate soprattutto:
sulla qualità delle informazioni;
sull‟efficienza della comunicazione.
5. il monitoraggio, composto da:
un monitoraggio continuo;
valutazioni periodiche;
segnalazioni delle disfunzioni.
- 40 -
Fig. 2.1 – Rappresentazione grafica del sistema di controllo interno esposto nel CoSO Report del 1992.
2.2 – L’implementazione del sistema di controllo interno da parte
delle imprese di piccole dimensioni
Sebbene il modello di sistema di controllo interno esposto nel CoSO Report del 1992
sia stato elaborato per essere applicato a ogni tipologia di impresa, a prescindere
dalle sue dimensioni, è innegabile che le società di dimensioni più modeste hanno ri-
scontrato delle difficoltà maggiori di applicazione della struttura. Realizzare infatti un
controllo interno efficiente in imprese definibili smaller rappresenta sicuramente
un‟importante sfida, a maggior ragione se il vertice aziendale concepisce il controllo
come un inutile obbligo in aggiunta ai sistemi operativi già esistenti nell‟impresa e ri-
tiene che il CoSO Framework sia in generale vago e privo di un‟utilità per l‟attività di
revisione (Olson D. L., Wu D. D., 2008).
Le sfide che una smaller company si trova ad affrontare nella realizzazione di un si-
stema di controllo interno includono, tra le altre:
una limitata disponibilità di risorse per creare una corretta e sufficiente sepa-
razione dei compiti;
- 41 -
la pervasività del management che domina le attività aziendali e, con i poteri a
sua disposizione, può non solo non rispettare i controlli istituiti, ma anche elu-
derli per modificare i risultati aziendali;
la difficoltà di assumere sia personale qualificato per lo svolgimento delle atti-
vità, sia soggetti con un‟adeguata esperienza per ricoprire il ruolo di membri
esterni nel Consiglio di Amministrazione o nei Comitati da questo costituiti;
la complessità di creare, implementare e controllare sistemi informatici oppor-
tuni e adeguatamente costruiti per le esigenze della società.
Proprio per cercare di fornire un supporto alle imprese di piccole dimensioni per la
realizzazione di appropriati sistemi di controllo interno, la Committee of Sponsoring
Organizations of the Treadway Commission (CoSO) ha pubblicato nel 2005 una gui-
da esplicitamente dedicata a questo tipo di società, basata sul Framework del 1992 e
incentrata su una serie di tematiche che dovrebbero cercare di alleggerire i problemi
affrontati dalle cosiddette smaller company. La guida, tuttavia, è adeguata e applica-
bile a ogni tipologia di società, di qualunque dimensione essa sia.
La Guidance for Smaller Public Companies Reporting on Internal Controls over Fi-
nancial Reporting adotta l‟espressione smaller company con il significato di impresa
non grande, senza avere alcuna pretesa di fornire una qualificazione della stessa in
termini quantitativi. Spesso, infatti, per tracciare una netta separazione tra le imprese
di grandi dimensioni e quelle di piccole vengono individuati dei parametri di fatturato,
di costi, di margine piuttosto che di dipendenti che assegnano in modo netto ed ine-
quivocabile una determinata società a una categoria o all‟altra. La guida in questione,
al contrario, non vuole limitare con dei parametri numerici il range di società a cui es-
sa stessa è destinata e, per tale ragione, fornisce una definizione qualitativa di im-
prese di piccole dimensioni. All‟interno di questa categoria rientrano quelle che:
hanno poche linee di business o di prodotto;
hanno un‟attività di marketing articolata per canali di distribuzione o per area
geografica;
sono guidate da un management che detiene anche interessenze nel capitale
di rischio;
- 42 -
non hanno molti livelli gerarchici ma possono contare su un numero limitato di
dirigenti a cui è sottoposto l‟intero staff aziendale;
hanno sistemi di protocollazione dei processi aziendali semplici ed elementari;
hanno organici limitati con mansioni piuttosto varie.
Proprio a causa di queste caratteristiche, le imprese di dimensioni limitate possono
incorrere in maggiori costi nel momento in cui costruiscono un sistema di controllo in-
terno. La guida, riconoscendo tale realtà, propone alcune soluzioni per cercare di ri-
durre tali esborsi di denaro e, a riguardo, fornisce alcune proposte. Innanzitutto viene
consigliato alle smaller company di ampliare il numero di membri dell‟audit commet-
tee che, avendo una visione più completa della società grazie alle loro conoscenze
dell‟attività e grazie al loro bagaglio di esperienze, possono davvero consigliare in
modo proficuo in merito agli investimenti da effettuare nel sistema dei controlli. Un ul-
teriore consiglio che viene fornito dal CoSO, forse il più efficace per costruire
un‟efficiente struttura, riguarda l‟integrazione nella cultura aziendale di principi legati
alla responsabilità e al controllo: solo diffondendo questi valori all‟interno
dell‟ambiente di lavoro è possibile fare in modo che essi vengano compresi ma so-
prattutto assimilati da tutti i dipendenti che saranno poi essi stessi difensori di una
politica fondata sul rispetto delle regole. Altri suggerimenti per tentare di abbassare il
livello dei costi di implementazione di un sistema di controllo interno consistono in
una visione maggiormente focalizzata sulle aree a più elevato rischio, nell‟adozione
di sistemi informatici facilmente disponibili, nell‟ampliamento delle funzione del top
management che dovrebbe occuparsi anche del monitoraggio delle attività non sog-
gette alla sua diretta supervisione (The Committee of Sponsoring Organizations of
the Treadway Commission, 2005). Nonostante la guida fornisca tutti questi spunti,
essa tiene anche a precisare come questo non implichi che per le società di piccole
dimensioni il CoSO Report debba essere applicato in modo diverso piuttosto che in
modo più limitato: i concetti fondamentali del buon controllo sono sempre i medesimi,
indipendentemente dal fatto che vengano presi in considerazione da una grande o
da una piccola impresa. La differenza risiede semplicemente nel fatto che talvolta le
società dimensionalmente più piccole tendono a formalizzare meno i procedimenti da
- 43 -
loro compiuti, a dialogare in modo molto più diretto oltrepassando la burocrazia fa-
cilmente riscontrabile nelle grandi multinazionali. Queste minori formalità non sono
necessariamente da vedere come un limite delle smaller company che, talvolta, sfrut-
tando questi loro canali più diretti, riescono a trasferire in modo molto più trasparente
i messaggi all‟interno dell‟intera azienda. La guida propone così alle smaller
company di non rinunciare alla realizzazione di tutte e cinque le componenti del si-
stema di controllo interno, ma semplicemente di effettuare dei lievi cambiamenti per
ciascuna di esse che consentano di adeguarle meglio alle esigenze, ma soprattutto
alle risorse disponibili della società. Al termine di ognuno dei seguenti paragrafi ver-
ranno sintetizzate queste linee guida dedicate alle società di dimensioni limitate. Pri-
ma di intraprendere però l‟analisi più specifica delle singole componenti del sistema,
è utile mostrare, anche graficamente, l‟effettiva differenza esistente tra il modo con
cui i controlli vengono attuati dalle grandi società piuttosto che dalle piccole. Il se-
guente grafico, tratto proprio dalla Guidance for Smaller Public Companies Reporting
on Internal Controls over Financial Reporting, mostra un po‟ la tendenza con cui le
grandi e le piccole società applicano generalmente le cinque componenti del Frame-
work.
Fig. 2.2 – L‟applicazione delle cinque componenti del sistema di controllo interno nelle realtà di piccole e grandi dimensioni.
Talvolta, le società di piccole dimensioni non si rendono conto di disporre effettiva-
mente delle risorse necessarie per implementare a pieno i controlli, quali ad esempio
- 44 -
la segregazione dei compiti, e pertanto tendono a concentrarsi maggiormente sulle
attività di monitoraggio finalizzate ad evitare che un certo fatto possa ripetersi, o mi-
rano a diffondere, attraverso messaggi del top management, una cultura aziendale
del controllo. Tutte queste attenzioni ad alcune delle aree del sistema non sono altro
che dei tentativi di supplire alle mancanze in altre componenti dello stesso, in partico-
lare, come si vede bene dal grafico, nell‟attività di controllo. Questa tendenza riscon-
trata in molte smaller company le contraddistingue dalle società di grandi dimensioni,
anche se talvolta tale diversità potrebbe non essere così evidente, grazie alle risorse
realmente disponibili all‟interno delle società.
2.3 – Le componenti del sistema di controllo interno
2.3.1 – L’ambiente di controllo
L‟ambiente di controllo è un elemento importantissimo della cultura di
un‟organizzazione; influenzato dalla storia della società, determina il livello di sensibi-
lità del personale alla necessità di controllo e costituisce le fondamenta di tutte le al-
tre componenti del sistema. Esso è senza dubbio l‟elemento chiave per assicurare
un ottimo governo aziendale: non è un caso che la rappresentazione grafica del mo-
dello posizioni l‟ambiente di controllo alla base del cubo, sulla quale poi si ergono le
altre componenti (PricewaterhouseCoopers, 2002). Per ambiente di controllo si in-
tendono tutte le azioni, le politiche e le procedure che riflettono l‟attitudine del
management in merito all‟importanza del sistema di controllo interno (Livatino M.,
Garegnani G., Pecchiari N., Siciliano G., 2006). I suoi fattori determinanti sono infatti:
l‟integrità e i valori etici di riferimento, spesso difficili da definire a causa dei
molti interessi coinvolti nell‟attività aziendale. Non è raro che, per rendere più
chiari i principi etici ispiratori della società e dei suoi obiettivi, l‟alta direzione li
formalizzi all‟interno di un codice di condotta, il quale risulta essere davvero
efficace da un lato se supportato da sanzioni in caso di violazione dello stesso
e dall‟altro se interiorizzato dai tutti i membri dell‟organizzazione che lo hanno
in tal modo compreso ma soprattutto approvato. Tuttavia, il modo migliore per
- 45 -
diffondere una certa cultura etica all‟interno della società e per promuovere un
messaggio di comportamento etico è sicuramente il buon esempio da parte
del management: è infatti accertato da studi e ricerche che il personale è por-
tato a riprodurre gli stessi atteggiamenti di valore, in relazione al controllo in-
terno, manifestati in precedenza dai membri dell‟alta direzione;
la competenza del personale, che deve essere adeguata alle capacità neces-
sarie per svolgere i compiti previsti per ogni singola posizione;
la levatura e l‟impegno del Consiglio di Amministrazione che con la sua attivi-
tà, con il suo grado di indipendenza e il suo ruolo di supervisione influenza
molto la cultura aziendale e può garantire inoltre il corretto funzionamento del
sistema di controllo interno, essendo comunque possibile un‟elusione di
quest‟ultimo da parte del management;
la filosofia e lo stile di direzione;
le logiche e le politiche organizzative, che dovrebbero essere adeguate alla
società;
l‟attribuzione dei poteri e delle responsabilità, fattore che determina il livello di
giustizia percepito dal personale della società;
le politiche di gestione delle risorse umane (quali le assunzioni, le retribuzioni,
la gestione delle carriere, la formazione e la valutazione del personale), che
contribuiscono a comunicare all‟interno della società tutti gli altri fattori fin qui
citati.
Un ambiente di controllo inefficace può avere gravi conseguenze e può provocare
danni economici, danni legati all‟immagine e addirittura il fallimento (Pricewaterhou-
seCoopers, 2006). Le caratteristiche dell‟ambiente di controllo fin qui descritte subi-
scono tuttavia lievi modifiche nel momento in cui tale componente viene implementa-
ta all‟interno di società medio - piccole. Queste, ad esempio, potrebbero non avere
un codice di condotta scritto o delle procedure formalizzate relative all‟area del per-
sonale, ma ciò comunque non significherebbe necessariamente che esse non abbia-
no una cultura, la quale, al contrario, potrebbe essere trasmessa mediante il buon
esempio o attraverso molteplici comunicazioni verbali direttamente ai dipendenti. La
- 46 -
valutazione dell‟ambiente di controllo necessita la considerazione di ciascuno dei fat-
tori menzionati in questo paragrafo, al fine di individuare effettivamente quali sono i
punti di forza e di debolezza di questa componente del sistema di controllo interno.
Le domande presentate in seguito possono essere un importante spunto per lo svol-
gimento di quest‟attività di verifica.
INTEGRITÀ E VALORI ETICI
1. Esistenza di un codice di condotta nel quale vengano individuati i comportamenti considerati accet-
tabili dalla società, i conflitti d‟interesse da evitare e il livello di eticità e moralità richiesto ai dipendenti.
Considerare per esempio se:
- il codice di condotta è esauriente;
- il codice di condotta viene riconosciuto come proprio da tutto il personale;
- il personale è in grado di discriminare un comportamento accettabile da uno inaccettabile;
- in mancanza di un codice di condotta scritto, la cultura aziendale dà rilevanza all’integrità e all’eticità, ad esempio con la dire-
zione che ne ribadisce l’importanza a parole e fatti.
2. Esistenza di un comportamento esemplare del top management che comprenda anche un riferi-
mento esplicito a ciò che è moralmente giusto o sbagliato.
Considerare per esempio se:
- la richiesta di tenere un comportamento integro ed etico viene comunicata efficacemente a tutti i livelli aziendali;
- ciascun dipendente si sente incentivato dai colleghi ad agire correttamente piuttosto che ad intraprendere vie più fraudolente
per perseguire i suoi obiettivi.
3. Esistenza di rapporti con dipendenti, fornitori, clienti, concorrenti e revisori improntati all‟onestà e
alla correttezza.
Considerare per esempio se:
- il rapporto si basa sulla professionalità e sulla correttezza;
- i pagamenti vengono tutti effettuati nei tempi previsti.
4. Adeguatezza delle sanzioni previste per i casi di scostamento dalle politiche e procedure approvate.
Considerare per esempio se:
- la direzione prende provvedimenti disciplinari;
- i provvedimenti presi sono adeguatamente divulgati all’interno dell’impresa.
5. Esistenza di pressioni sul personale per spingerlo a realizzare obiettivi irrealistici ed esistenza di
meccanismi che subordinano la retribuzione al loro raggiungimento.
Considerare per esempio se:
- le retribuzioni sono legate unicamente a obiettivi di breve termine;
- esistono controlli finalizzati a ridurre le opportunità di frode.
VALORE DELLA COMPETENZA
1. Esistenza di mansionari o di altri strumenti che definiscano in modo puntuale i compiti dei lavoratori.
Considerare per esempio se:
- il vertice aziendale ha posto particolare attenzione ai compiti previsti da alcuni ruoli specifici all’interno dell’impresa.
- 47 -
2. Valutazione delle conoscenze necessarie per espletare correttamente le mansioni aziendali.
Considerare per esempio se:
- è stata tenuta in considerazione la coerenza tra ruolo ricoperto e capacità possedute dal soggetto.
CONSIGLIO DI AMMINISTRAZIONE O AUDIT COMMITTEE
1. Autonomia nei confronti del management.
Considerare per esempio se:
- il Consiglio di Amministrazione discute proattivamente le decisioni pianificate dal management e chiede delucidazioni sui risul-
tati ottenuti.
2. Conoscenze ed esperienza degli amministratori e frequenza con cui vengono richieste delle riunioni
con il direttore amministrativo e con i revisori.
Considerare per esempio se:
- gli amministratori detengono la conoscenza, l’esperienza del settore e tempo adeguati al compimento degli incarichi.
3. Adeguatezza e tempestività con cui le informazioni vengono riferite al Consiglio di Amministrazione
che così potrà monitorare gli obiettivi e le strategie formulate dal vertice.
Considerare per esempio se:
- il Consiglio di Amministrazione riceve regolarmente informazioni fondamentali quali bilanci, contratti o trattative di rilievo piut-
tosto che informazioni sulle spese di viaggio dei dirigenti, su importanti controversie, su indagini effettuate sulla società, su ap-
propriazioni indebite o su violazioni della legge.
4. Controllo nella determinazione degli emolumenti e dei fringe benefit spettanti al top management.
Considerare per esempio se:
- esiste una procedura formale di assegnazione dei fringe benefit o di approvazione dei piani di incentivazione.
FILOSOFIA E STILE DI DIREZIONE
1. Natura dei rischi accettati.
Considerare per esempio se:
- la direzione partecipa spesso a iniziative ad alto rischio;
- la direzione valuta attentamente le azioni da intraprendere passando da una all’altra solo dopo aver attentamente analizzato i
rischi e i vantaggi associati a ciascuna.
2. Avvicendamento del personale in funzione chiave.
Considerare per esempio se:
- il turnover dei dirigenti o del personale con funzione di supervisione risulta eccessivo;
- il personale che occupava posizioni chiave ha lasciato l’azienda all’improvviso o con scarso preavviso.
3. Considerazione che la direzione ha delle funzioni contabili.
Considerare per esempio se:
- la contabilità viene considerata come uno strumento di controllo sulle attività dell’azienda;
- vengono scelti principi contabili che assicurano il massimo utile possibile;
- i dipendenti preparano rendiconti inesatti pur di raggiungere i traguardi prestabiliti;
- il personale amministrativo di ciascuna unità operativa risponde del proprio operato anche di fronte ai dirigenti amministrativi
della sede centrale;
- le attività di valore (opere dell’ingegno, brevetti…) vengono protette da un eventuale utilizzo non autorizzato.
- 48 -
4. Frequenza delle comunicazioni tra il vertice aziendale a capo di una società e la direzione operativa
della stessa o del gruppo di appartenenza della prima, in particolare qualora queste siano localizzate
in sedi geograficamente diverse.
Considerare per esempio se:
- gli alti dirigenti si recano spesso in visita presso affiliate;
- vengono tenute frequenti riunioni tra i vertici del gruppo e i vertici delle divisioni.
STRUTTURA ORGANIZZATIVA
1. Adeguatezza della struttura organizzativa tale da permettere un costante flusso delle informazioni
utili per coordinare le diverse attività dell‟impresa.
Considerare per esempio se:
- il grado di centralizzazione o decentralizzazione della struttura è coerente con la natura delle attività svolte;
- la struttura favorisce il flusso delle informazioni verso l’alto, verso il basso e trasversalmente.
2. Esistenza di un‟adeguata struttura gerarchica.
Considerare per esempio se:
- i rapporti gerarchici sono adeguati e danno la possibilità ai dirigenti di ottenere le informazioni necessarie per esercitare i poteri
e assumersi le responsabilità assegnate;
- i direttori responsabili dei vari rami di attività riescono a comunicare con l’alta direzione.
3. Esistenza di un organico sufficiente e adeguato in termini di esperienza.
Considerare per esempio se:
- i dirigenti e il personale con responsabilità si trattengono in ufficio oltre l’orario di lavoro in modo anomalo o svolgono in realtà
mansioni attribuite ad altre persone;
- i dirigenti e il personale con funzione direttiva dispongono di tempo sufficiente per portare a termine gli incarichi loro assegnati.
ATTRIBUZIONE DI POTERI E RESPONSABILITÀ
1. Conferimento di responsabilità e delega di poteri relativamente alle finalità e agli obiettivi aziendali.
Considerare per esempio se:
- esiste un processo formale di attribuzione dei poteri e delle responsabilità ai dipendenti di tutta l’azienda;
- l’attribuzione delle responsabilità decisionali è proporzionata al livello di autorità conferito;
- la determinazione della responsabilità di un soggetto è preceduta da una serie di informazioni adeguate che potranno suppor-
tare la decisione che verrà presa.
2. Adeguatezza della descrizione delle mansioni affidate e attribuite al personale.
Considerare per esempio se:
- esistono mansionari formali, per lo meno per i dirigenti e il personale con funzioni di supervisione.
POLITICHE E PRASSI RIGUARDANTI LE RISORSE UMANE
1. Esistenza di politiche e procedure in materia di assunzione, formazione, promozione e retribuzione
dei dipendenti.
Considerare per esempio se:
- l’utilizzo di tali politiche consente di assumere e formare personale con la competenza e l’affidabilità necessarie per supportare
un adeguato sistema di controllo interno;
- in assenza di procedure aziendali formalizzate, la direzione trasmette verbalmente le proprie esigenze riguardo il tipo di risorse
umane da ricercare o, ancora meglio, partecipa attivamente al processo di assunzione.
- 49 -
2. Livello di consapevolezza del personale sulle sue responsabilità e sulle aspettative vantate nei suoi
confronti.
Considerare per esempio se:
- i supervisori incontrano periodicamente i dipendenti per discutere i risultati ottenuti e proporre suggerimenti su come even-
tualmente migliorarli.
3. Adeguatezza delle verifiche condotte sul curriculum vitae dei candidati all‟assunzione, soprattutto in
termini di precedenti comportamenti o attività ritenuti inaccettabili per la società.
Considerare per esempio se:
- viene svolto un attento esame sui candidati che hanno cambiato spesso lavoro o la cui carriera professionale presenta periodi
di inattività;
- le politiche di assunzione prevedono indagini sull’esistenza di pendenze giudiziarie.
4. Idoneità dei criteri di incentivazione e promozione del personale.
Considerare per esempio se:
- i criteri utilizzati per garantire avanzi di carriera sono chiaramente individuati e precisati in modo tale che i dipendenti siano
consapevoli di ciò che la direzione si attende da loro;
- i criteri adottati sono in linea con le norme di comportamento prestabilite.
2.3.2 – La valutazione dei rischi
Le considerazioni sulla valutazione dei rischi riportate nel CoSO Report sono riferite
al tema del controllo interno in ambiente statunitense ma possono essere considera-
te attuali e condivisibili anche per il contesto italiano, rilevando tuttavia una differenza
notevole nella concezione di rischio e nell‟approccio ad esso nelle due realtà. La cul-
tura del rischio altro non è che una cultura manageriale, che risulta essere partico-
larmente diffusa nell‟ambiente americano ma carente in molte organizzazioni italiane,
non solo pubbliche ma anche private. Nella nostra realtà economica, infatti,
l‟approccio al rischio è ancora embrionale e incompleto in quanto viene prestata at-
tenzione solo ad alcune categorie di rischi, in particolare quelli di natura patrimoniale
e finanziaria, trascurando al contrario tutti quelli che si possono incontrare nella sem-
plice gestione operativa aziendale. La ragione della grande attenzione posta dalle
nostre aziende ai rischi patrimoniali e finanziari risiede innanzitutto nel rapporto debi-
to – patrimonio tipico della nostra cultura aziendale e di quella tedesca e giapponese,
in contrapposizione con la realtà anglosassone e francese. L‟economia dei Paesi ap-
partenenti a quest‟ultimo gruppo vantano di fatti tradizionalmente un‟esposizione de-
bitoria verso le banche pari alla metà del capitale di rischio, rapporto che aumenta
- 50 -
notevolmente nel caso di imprese italiane, tedesche e giapponesi (Pricewaterhouse-
Coopers, 2002). Le considerazioni svolte dal CoSO Report in materia di valutazione
dei rischi possono pertanto essere utili alle nostre imprese non solo per implementa-
re efficaci sistemi di controllo interno, ma anche per ampliare la nostra concezione di
rischio. Relativamente a questa seconda componente del sistema, il Framework met-
te subito in evidenza come, per poter effettivamente parlare di rischio, sia necessario
effettuare un processo di identificazione e formulazione degli obiettivi aziendali. In al-
tre parole, i rischi possono essere identificati e successivamente analizzati solo in
termini di possibile mancato conseguimento degli obiettivi prefissati.
La determinazione di questi ultimi, pur non essendo una delle componenti del siste-
ma di controllo interno, ne è presupposto e supporto. Gli obiettivi possono essere in-
dicati esplicitamente o implicitamente; a livello generale d‟impresa, vengono spesso
rappresentati sotto forma di missione aziendale e di valori. Essi, in associazione con
una valutazione dei punti di forza e di debolezza, nonché a una valutazione delle op-
portunità e delle minacce, consentono di definire la strategia globale dell‟azienda, da
cui poi discendono gli obiettivi più specifici a livello di business unit, di divisione o di
linea di prodotto. Sebbene assai diversi, gli obiettivi si possono raggruppare in alcune
grandi categorie:
obiettivi operativi, che riguardano l‟efficacia e l‟efficienza delle attività operative
aziendali; essi dipendono dalle scelte fatte dal management sulla struttura e
sui livelli di performance;
obiettivi relativi alle informazioni di bilancio, in particolare inerenti la redazione
di bilanci attendibili e veritieri. Tali obiettivi sono principalmente determinati da
regole e norme stabilite da istituzioni esterne all‟azienda;
obiettivi di conformità, attinenti l‟osservanza delle leggi e dei regolamenti ap-
plicabili all‟azienda. Sono prefissati da fattori esterni quali, ad esempio, la
normativa sulla protezione dell‟ambiente e tendono perciò a coincidere per tut-
te le aziende operanti nel medesimo settore (PricewaterhouseCoopers, 2006).
Una volta fissati gli obiettivi, sia a livello globale d‟azienda che a livello più specifico
di singole attività, è possibile passare all‟identificazione, alla valutazione e all‟analisi
- 51 -
dei rischi, processo continuo ed interattivo, elemento chiave di un sistema di controllo
interno. Per quanto concerne la fase di identificazione, è importante sottolineare co-
me la performance di un‟azienda possa essere a rischio sia a causa di fattori esterni
(quali il progresso tecnologico, i cambiamenti dei bisogni o delle attese della cliente-
la, la concorrenza, le catastrofi naturali e i cambiamenti economici) che a causa di
fattori interni (come la competenza del personale assunto, un cambiamento
nell‟attribuzione delle responsabilità, la natura dell‟attività svolta e il livello dei sistemi
informatici). Entrambi possono influire su ogni tipo di obiettivo, formulato o implicito.
Sono state sviluppate numerose tecniche di identificazione dei rischi, in gran parte
delle quali vengono applicati metodi quali – quantitativi che determinano le priorità e
le attività ad alto rischio. Alcune tecniche normalmente utilizzate consistono nello
svolgimento di esami periodici dei fattori economici ed industriali che interessano
l‟attività svolta, nell‟esame di piani strategici ed analisi di settore. La scelta di un me-
todo piuttosto che di un altro per il procedimento di identificazione non assume parti-
colare importanza. Ciò che risulta essere invece davvero rilevante è che i dirigenti
tengano conto attentamente delle determinanti dei rischi e delle cause di un loro e-
ventuale aggravamento. I fattori da prendere in considerazione sono in particolare:
la mancata realizzazione in passato degli obiettivi;
la competenza del personale;
i cambiamenti che influenzano l‟attività aziendale;
la localizzazione geografica delle attività;
l‟importanza di una specifica attività per l‟impresa nel suo complesso;
la complessità di una certa attività (PricewaterhouseCoopers, 2006).
Una volta identificati i principali rischi, è possibile ponderarli ed eventualmente ricon-
durli alla specifica attività dell‟impresa. Tale analisi può essere svolta in diversi modi,
ma in ogni caso deve articolarsi comprendendo:
una valutazione dell‟importanza del rischio;
una valutazione delle probabilità che si verifichi;
- 52 -
delle considerazioni sul modo in cui il rischio dovrà essere gestito e quindi una
valutazione delle misure che dovranno essere adottate.
È da notare la differenza esistente tra la valutazione dei rischi, che è parte integrante
del controllo interno, e i programmi individuati dal management per la gestione degli
stessi. Gli interventi decisi, infatti, sono ovviamente un elemento rilevante del pro-
cesso manageriale, ma non rappresentano una componente del sistema di controllo
interno. Al fine di valutare adeguatamente i rischi a cui è esposta una determinata
società è inoltre di fondamentale importanza implementare un processo di ricono-
scimento dei cambiamenti, che sia in grado, in modo più o meno formale, di identifi-
care gli eventi capaci di incidere sulla possibilità di realizzazione degli obiettivi fissati.
Un fattore indispensabile di questo processo è sicuramente un adeguato sistema in-
formativo che riconosca ed elabori informazioni su eventi o attività che potranno ri-
chiedere una particolare reazione da parte della società per il perseguimento degli
scopi già prefissati. Solo sulla base delle informazioni raccolte da tale sistema si po-
trà iniziare un processo di identificazione e reazione ai cambiamenti verificatisi, il
quale potrà svilupparsi parallelamente a quello di valutazione dei rischi o potrà esse-
re anche una parte dello stesso. Il procedimento di valutazione dei rischi fin qui de-
scritto può subire delle variazioni nel momento in cui viene implementato all‟interno di
società medio – piccole, tipiche della realtà italiana. In queste società, infatti, si ha da
un lato una minore formalizzazione della definizione degli obiettivi, che spesso sono
di tipo implicito piuttosto che esplicito, e dall‟altro si assiste spesso a una struttura
maggiormente centralizzata in cui il CEO e gli alti dirigenti impegnati nella valutazio-
ne dei rischi sono anche coinvolti nelle operazioni correnti. Ciò sicuramente ha un
impatto positivo sull‟intero processo in quanto i rischi sono valutati dalle persone che
non solo hanno accesso alle informazioni opportune, ma hanno anche una buona
cognizione del lato pratico. L‟espressione di un giudizio di valore sul procedimento di
valutazione dei rischi dovrà pertanto tenere in considerazione, in modo forse più de-
terminante che per le altre componenti del sistema di controllo interno, della realtà in
cui lo stesso procedimento di analisi è stato implementato. L‟attenzione dovrà essere
posta in particolare sull’iter seguito dal management per determinare gli obiettivi, per
- 53 -
valutare i rischi e gestire i cambiamenti, tenendo in considerazione anche le relazioni
e la pertinenza con le diverse attività dell‟azienda (PricewaterhouseCoopers, 2006).
In seguito vengono indicate alcune domande che possono essere utilizzate per valu-
tare questa componente del sistema di controllo interno.
OBIETTIVI GENERALI DELL’IMPRESA
1. Analisi degli obiettivi generali e valutazione del modo con cui sono espressi.
Considerare per esempio se:
- la direzione ha definito gli obiettivi generali;
- gli obiettivi generali hanno i requisiti dell’ampiezza e contemporaneamente della specificità.
2. Efficace comunicazione degli obiettivi generali dell‟azienda al personale e al Consiglio di Ammini-
strazione.
Considerare per esempio se:
- il personale e il Consiglio di Amministrazione sono a conoscenza degli obiettivi generali e la comunicazione di quest’ultimi av-
viene in modo consono.
3. Collegamento tra le strategie e gli obiettivi generali dell‟azienda e concordanza tra i budget azienda-
li e la situazione corrente.
Considerare per esempio se:
- la pianificazione strategica è coerente con gli obiettivi generali dell’azienda.
OBIETTIVI SPECIFICI PER CIASCUNA ATTIVITÀ
1. Collegamento e coerenza tra obiettivi specifici di ciascuna attività tra loro e con gli obiettivi generali
dell‟impresa.
Considerare per esempio se:
- gli obiettivi specifici vengono periodicamente rivisti al fine di verificarne la rilevanza;
- gli obiettivi specifici di ciascuna attività sono complementari tra loro per il potenziamento della strategia generale.
2. Rilevanza degli obiettivi specifici di ciascuna attività rispetto ai più importanti processi aziendali.
Considerare per esempio se:
- gli obiettivi specifici sono in linea con i risultati passati oppure per lo meno con settori simili; se ciò non si verifica, è opportuno
esaminare le motivazioni di tali differenze;
- vengono definiti obiettivi per tutte le più importanti attività.
3. Congruità delle risorse destinate al raggiungimento degli obiettivi.
Considerare per esempio se:
- la direzione ha selezionato le risorse necessarie per conseguire gli obiettivi prefissati;
- sono stati elaborati dei piani per sopperire alla mancanza di risorse, con l’esplicita previsione di un loro nuovo acquisto.
4. Individuazione degli obiettivi specifici ritenuti fondamentali per il conseguimento degli obiettivi gene-
rali dell‟impresa.
Considerare per esempio se:
- la direzione sa esattamente ciò che deve essere evitato per un insuccesso aziendale;
- le spese per investimenti fissi e i budget vengono definiti solo a seguito di un’attenta valutazione delle priorità.
- 54 -
5. Coinvolgimento di tutti i livelli dirigenziali nella definizione degli obiettivi.
Considerare per esempio se:
- i dirigenti partecipano alla definizione degli obiettivi prefissati per le attività di cui sono direttamente responsabili;
- i dirigenti cercano di realizzare gli obiettivi senza secondi fini.
ANALISI E VALUTAZIONE DEI RISCHI
1. Adeguatezza dei meccanismi istituiti per l‟individuazione dei rischi originati da fonti esterne.
Considerare per esempio se:
- la direzione tiene conto dei rischi connessi a fonti di approvvigionamento, innovazioni tecnologiche, richieste dei creditori, con-
correnza, congiuntura economica, regolamentazione, contesto politico e calamità naturali.
2. Adeguatezza dei meccanismi istituiti per l‟individuazione dei rischi originati da fonti interne.
Considerare per esempio se:
- la direzione tiene conto dei rischi associati a risorse umane, finanziamenti, condizioni di lavoro o sistemi informativi.
3. Caratteristiche del processo di analisi dei rischi in termini di completezza e qualità, poiché esso de-
ve considerare la stima delle entità dei rischi, la valutazione delle probabilità che si verifichino e
l‟individuazione delle misure da adottare.
Considerare per esempio se:
- esiste una procedura di analisi formale o informale di analisi;
- all’analisi dei rischi partecipano soggetti con elevate posizioni all’interno della società e soprattutto un adeguato livello di com-
petenza.
GESTIONE DEI CAMBIAMENTI
1. Esistenza di meccanismi volti a prevedere, selezionare e rispondere a cambiamenti che possono
influenzare le attività di routine.
Considerare per esempio se:
- l’azienda reagisce ai cambiamenti nelle attività di routine mediante i tradizionali processi di individuazione e analisi dei rischi o
tramite meccanismi appositamente predisposti.
2. Esistenza di meccanismi mirati ad individuare e a reagire a cambiamenti che potrebbero potenzial-
mente produrre un effetto più radicale sull‟azienda.
Considerare per esempio se:
- esistono meccanismi volti a tenere sotto controllo le seguenti aree soggette a possibili cambiamenti:
contesto operativo (variazione nel comportamento dei clienti, nel contesto lavorativo o in quello regolamentare);
nuove assunzioni;
sistemi informativi (effetti prodotti dall’introduzione di nuovi sistemi, efficacia di quelli esistenti, adeguata formazione
del personale);
crescita rapida (adeguamento del personale, esistenza di un processo di revisione dei budget);
nuove tecnologie (aggiornamento dell’impresa sui nuovi strumenti tecnologici, monitoraggio degli ultimi sistemi im-
plementati);
nuovi marchi, prodotti, attività e acquisizioni (procedure atte a ottenere riscontri immediati);
ristrutturazione dell’impresa (ridistribuzione del personale, riassegnazione delle responsabilità, tutele contro eventuali
azioni di ex dipendenti);
attività all’estero (conoscenza della regolamentazione e del contesto socio – economico del Paese).
- 55 -
2.3.3 – L ’attività di controllo
Le attività di controllo si possono definire come l‟applicazione delle politiche e delle
procedure che garantiscono al management l‟attuazione pratica delle sue direttive.
Esse garantiscono l‟adozione dei provvedimenti necessari per far fronte ai rischi che
potrebbero minacciare la realizzazione degli obiettivi aziendali e, sulla base di questi
ultimi, si possono suddividere in tre categorie:
attività di controllo relative agli aspetti operativi;
attività di controllo sulle informazioni di bilancio;
attività di controllo sul rispetto dei vincoli legali e regolamentari.
La natura delle attività di controllo, a differenza delle altre componenti del sistema, è
definita sulla base della singola realtà aziendale e deve tener conto del settore in cui
l‟impresa opera, delle sue dimensioni, della missione e, naturalmente, degli obiettivi e
dei rischi specifici. Il CoSO Report pertanto si limita solo a menzionare alcuni tipi di
attività di controllo applicabili in termini generali. A titolo di esempio vengono citate le
seguenti categorie (PricewaterhouseCoopers, 2002):
controlli preventivi, contestuali o successivi all‟attività specifica da verificare,
tra i quali vengono incluse anche le analisi svolte dall‟alta direzione sulle per-
formance aziendali comparate con i budget, le proiezioni e i risultati dei prece-
denti periodi o dei concorrenti;
controlli manuali o automatizzati, con particolare cura, nel caso siano attuati i
controlli del primo tipo, al rispetto del principio della separazione dei compiti fi-
nalizzato alla riduzione del rischio di errori e di irregolarità. È rilevante pertanto
accertare che, ad esempio, le attività di autorizzazione delle operazioni, di
contabilizzazione delle stesse e di gestione dei beni corrispondenti siano svol-
te da persone diverse, o ancora verificare che la persona che autorizza le
vendite a credito non sia anche responsabile della tenuta della contabilità
clienti e non abbia accesso agli incassi;
controlli direzionali e tecnico – operativi;
- 56 -
controlli fisici o attraverso indicatori, i primi consistenti nell‟inventario di attrez-
zature, scorte, titoli, liquidità e altre attività che vengono confrontati con le ri-
sultanze contabili, i secondi utili per effettuare delle analisi comparate di dati,
operativi o finanziari. Le informazioni ottenute da queste verifiche possono es-
sere utilizzate sia per prendere decisioni gestionali, sia per verificare risultati
inattesi evidenziati dal sistema contabile, contribuendo in tal modo non solo
all‟effettuazione dei controlli operativi, bensì anche di quelli relativi alle infor-
mazioni di bilancio;
controlli sui processi e sui dati, eseguiti per verificare l‟accuratezza, la comple-
tezza e l‟adeguata registrazione delle operazioni. I dati inseriti nei sistemi sono
sottoposti, attraverso questa tipologia di riscontri, a procedure automatiche di
controllo e sono confrontati con archivi di verifica approvati;
controlli mirati alla verifica delle corrette procedure di autorizzazione che pos-
sono essere di tipo generale, se si riferiscono ad operazioni della medesima
specie, o specifiche, se riguardanti un singolo caso.
Il CoSO Framework dedica inoltre un intero capitolo ai sistemi informativi e fornisce
in merito le seguenti indicazioni. Innanzitutto, viene specificato come i controlli appli-
cati ai sistemi informativi gestiti con mezzi unicamente manuali siano differenti da
quelli attuati sui sistemi computerizzati, nonostante le due tipologie di controlli si ba-
sino su concetti identici. In generale, infatti, le attività di verifica sui sistemi informativi
si possono suddividere in due gruppi: i controlli generali e i controlli applicativi. I primi
interessano principalmente le operazioni svolte dal CED10, l‟acquisto, lo sviluppo
nonché la manutenzione del software di sistema e la protezione degli accessi. I con-
trolli applicativi, invece, comprendono le procedure automatizzate e le relative proce-
dure manuali per verificare l‟elaborazione delle diverse operazioni. Tali attività servo-
no per controllare il corretto funzionamento dei programmi, assicurando la comple-
tezza e l‟accuratezza dell‟elaborazione delle operazioni, la loro autorizzazione e la lo-
10
Il Centro Elaborazione Dati (CED) è l'unità organizzativa che coordina e mantiene le apparecchiature ed i servizi di gestione
dei dati. Presente sia all'interno delle imprese private che della Pubblica Amministrazione, ha sostituito l'uf ficio, ormai passato
nella storia dell'informatica, conosciuto con il nome di Centro Meccanografico. In alcune realtà può essere denominato Servizio
Elaborazione Dati (SED), soprattutto in presenza di accordi di outsourcing.
- 57 -
ro validità (PricewaterhouseCoopers, 2006). La situazione in Italia, in merito alle atti-
vità di controllo sui sistemi informativi, mostra come tutte le realtà svolgano solo al-
cune delle attività sopramenzionate e consigliate. Mentre infatti si fanno spesso le
procedure di verifica più semplici come quelle aventi ad oggetto gli accessi alle in-
formazioni o le attività di back – up, risultano essere ancora piuttosto trascurate altre
tipologie di controlli, come il frequente cambio delle password o lo sviluppo di un pia-
no informatico in caso di emergenza. Nelle realtà medio – piccole, inoltre, certe attivi-
tà di controllo non saranno mai adottate, in particolare in presenza di un controllo ef-
ficace del management. In queste organizzazioni, per di più, si possono addirittura
incontrare delle difficoltà per quanto riguarda l‟implementazione di certe attività di
controllo. Si pensi alla separazione dei compiti, che in una realtà aziendale numeri-
camente limitata può rivelarsi anche impossibile. In questi casi, tuttavia, si può sop-
perire all‟inconveniente garantendo una supervisione diretta del titolare dell‟impresa
sulle attività incompatibili, che assicuri in tal modo il necessario controllo. Ad esem-
pio, non è raro, nel momento in cui esiste un rischio di pagamenti irregolari, che sia il
proprietario stesso dell‟impresa il solo autorizzato a sottoscrivere gli assegni o che
venga richiesto alla banca di inviare al titolare gli estratti conto mensili in busta chiu-
sa per una verifica degli assegni emessi. Nelle piccole – medie imprese si possono
verificare inoltre problemi legati ai controlli sul sistema informatico, dovuti a una scar-
sa formalizzazione delle verifiche che lo riguardano. Anche in questi casi la soluzione
può derivare da un maggiore coinvolgimento del vertice nelle operazioni di gestione,
coinvolgimento che gli consentirebbe di utilizzare più spesso e conseguentemente
valutare le informazioni prodotte dal sistema, tenendo conto anche della sua cono-
scenza diretta dell‟attività, individuando così, con una ragionevole sicurezza, i poten-
ziali errori. La realtà italiana, per quanto riguarda l‟implementazione di questa com-
ponente del sistema di controllo interno, dimostra di non aver ancora sviluppato delle
tecniche di controllo raffinate, piuttosto di aver introdotto procedure di verifica solo in
conseguenza di situazioni di emergenza, che si sono stratificate l‟una sull‟altra, molte
volte anche in modo scoordinato. Nelle nostre imprese occorre pertanto procedere a
una rivisitazione delle attività di controllo, per evidenziare processi obsoleti, inutili,
- 58 -
duplicati o semplicemente non più adeguati e soprattutto per individuare le aree a ri-
schio non adeguatamente presidiate. In seguito sono riportate alcune linee guida che
offrono uno spunto per effettuare tale analisi.
ATTIVITÀ DI CONTROLLO
1. Esistenza di adeguate politiche necessarie per garantire l‟efficiente svolgimento di ciascuna attività
aziendale.
Considerare per esempio se:
- viene correttamente rispettato il principio della separazione dei compiti, per cui:
le attività di custodia dei beni sono separate da quelle di contabilizzazione e da quelle di autorizzazione;
le posizioni di responsabilità sono separate dalle attività di contabilizzazione;
le attività nell’ambito dell’IT di utente, programmatore, analista di sistemi e gestore di archivi sono distinte tra loro;
le operazioni sono adeguatamente registrate e documentate, in particolare i documenti sono prenumerati in sequen-
za, sono predisposti tempestivamente e la loro struttura ne agevola la compilazione.
2. I controlli previsti dall‟azienda sono effettivamente messi in atto.
Considerare per esempio se:
- i controlli previsti dai manuali sono realmente e correttamente attuati;
- in caso di eccezioni, sono tempestivamente predisposte le azioni necessarie;
- i supervisori verificano regolarmente il corretto funzionamento dei controlli.
2.3.4 – L’informazione e la comunicazione
Le informazioni sono fondamentali per il governo dell‟azienda. Indipendentemente
dal fatto che siano elaborate manualmente piuttosto che con supporti informatici, es-
se sono lo strumento che consente di gestire e controllare tutti i processi aziendali
nonché di presidiare le variabili esterne che incidono sulla realtà d‟impresa. Dalla
qualità e dalla quantità di informazioni diffuse all‟interno di un‟organizzazione dipende
inoltre la valutazione in merito all‟efficacia e all‟efficienza della gestione,
all‟attendibilità delle informazioni di bilancio e alla conformità alle leggi. La maggiore
problematica connessa a questa componente del sistema di controllo interno interes-
sa da un lato la qualità delle informazioni fornite, da intendersi in termini di contenuto,
puntualità, aggiornamento, precisione e comprensibilità, e dall‟altro l‟efficienza
dell‟elaborazione dei dati. Il contesto italiano, da questo punto di vista, non è molto
differente da quello presente in altri Paesi, in primis gli stessi Stati Uniti, e come que-
sti può essere ancora notevolmente migliorato.
- 59 -
Un aspetto assolutamente fondamentale da tenere in considerazione nel momento in
cui si analizza la componente informativa di un sistema di controllo interno è la tem-
pestività dei dati forniti ai vari soggetti dell‟impresa. Rendere disponibile
un‟informazione in ritardo, con tempi non coerenti con il processo o il periodo a cui
essa si riferisce, rende il dato stesso del tutto inutile ed inefficace, non essendo più
possibile, ad esempio, modificare una circostanza del passato. Un sistema informati-
vo lento rischia di produrre unicamente informazioni ridondanti, duplicate, assoluta-
mente non efficaci per la direzione e per tutti coloro che sono coinvolti nell‟attività di
controllo. Per tale ragione è importante non solo individuare in modo puntuale le in-
formazioni di cui si ha effettivamente bisogno, ma persino pianificare il sistema in-
formativo nel suo complesso, verificandone la coerenza con gli obiettivi, le strategie e
i fattori critici di successo dell‟azienda. Purtroppo nella realtà italiana, come anche
nelle realtà di altri Paesi, il concetto di sistema informativo richiama spesso quello di
tecnologia, con la conseguenza che molte imprese si preoccupano più di implemen-
tare l‟ultima novità in ambito informativo, piuttosto che di attuare un sistema che sia
davvero adeguato alle loro esigenze aziendali. Spesso può essere un errore ritenere
che le nuove tecnologie, solo in quanto tali, siano in grado di garantire un maggiore
controllo o una migliore fornitura di dati e informazioni. In certe realtà, infatti, vale e-
sattamente il contrario: le esigenze dell‟impresa sono maggiormente soddisfatte da
un sistema che, seppur sorpassato, risulta essere collaudato e soprattutto costruito
intorno alle necessità della società.
Accanto alle informazioni, assume un ruolo altrettanto critico la comunicazione. Essa
è una funzione intrinseca ai sistemi informativi e può riguardare interlocutori interni
piuttosto che esterni. Nel primo caso la comunicazione deve perseguire l‟obiettivo di
rendere ciascun membro dell‟organizzazione cosciente delle responsabilità a lui at-
tribuite e delle aspettative nutrite nei suoi confronti in modo tale da consentirgli di se-
gnalare ogni eventuale problema relativo la sua attività e, in particolare, il sistema di
controllo. La comunicazione, all‟interno di una realtà aziendale, deve fluire costante-
mente in ogni direzione: verso il basso, verso l‟alto e trasversalmente. Un‟indagine
svolta presso alcune grandi organizzazioni in Europa, compresa l‟Italia, ha evidenzia-
- 60 -
to come nelle imprese vengano spesso attuate reti di comunicazione informali molto
più efficaci e consolidate di quelle formali, legate alla gerarchia aziendale. Lo studio
ha perciò raccomandato come sia molto importante individuare e comprendere an-
che questi canali, che non vanno assolutamente tralasciati e che, comunque, posso-
no essere utili per sviluppare un sistema di comunicazione consono alle necessità di
governo e controllo aziendale (PricewaterhouseCoopers, 2002).
Altrettanto importante è la comunicazione verso l‟esterno. Con ciò non si intendono
solo le informazioni indirizzate ai soci, alle autorità, agli analisti e alla stampa, ma an-
che i dati forniti ai clienti, ai fornitori e alle banche, ovvero agli interlocutori quotidiani
dell‟impresa. La comunicazione verso soggetti esterni deve essere anch‟essa ade-
guatamente pianificata e deve essere valutato attentamente persino il canale comu-
nicativo da utilizzare, ponendo in particolare l‟attenzione non solo sui contenuti, ma
anche sulle modalità e sui tempi. Tale comunicazione può essere migliorata da un la-
to fornendo un maggior numero di informazioni in merito ai bilanci e alle relazioni pe-
riodiche, o incrementando la loro trasparenza, dall‟altro richiedendo, con chi ha un in-
teresse, anche non societario, nell‟impresa, incontri periodici più frequenti che con-
sentono non solo di consolidare il governo e il controllo societario, ma addirittura ar-
ricchiscono l‟intero sistema in cui l‟azienda è inserita e opera (PricewaterhouseCoo-
pers, 2002). In generale, le comunicazioni possono assumere diverse forme: si indi-
viduano infatti manuali, bollettini, promemoria, fogli in bacheca, messaggi vocali o vi-
deomessaggi, per i quali assume un ruolo molto importante anche il tono della voce
e la gestualità. Nelle piccole aziende, in genere, i sistemi informativi sono meno for-
mali di quelli implementati nelle realtà di grandi dimensioni, nonostante il loro ruolo
sia pur sempre importante. Tuttavia, con la moderna tecnologia informatica, la formu-
lazione dei dati interni avviene con la medesima efficacia in gran parte delle imprese,
a prescindere dalle loro dimensioni. Nelle società più piccole si riscontra sicuramente
un vantaggio che nelle altre imprese non è individuabile, ossia una molto più agevole
comunicazione interna tra l‟alta direzione e i dipendenti, che risulta essere più effica-
ce grazie appunto alle ridotte dimensioni organizzative, alla limitata gerarchia e alla
maggiore disponibilità e presenza del top management. Tali contatti interpersonali
- 61 -
più frequenti sopperiscono molto spesso alla mancanza di un sistema di comunica-
zione formale e pertanto vanno assolutamente tenuti in considerazione al momento
della valutazione di questa componente del sistema di controllo interno, come è indi-
cato, in analogia alle altre componenti fin qui presentate, nella seguente traccia di
analisi.
QUALITÀ DELLE INFORMAZIONI
1. Analisi della modalità con cui vengono ottenute le informazioni dall‟interno e dall‟esterno e vengono
trasmesse alla direzione sotto forma di rendiconti in merito ai risultati ottenuti dall‟azienda.
Considerare per esempio se:
- esistono appropriati meccanismi per ottenere informazioni dall’esterno;
- le informazioni provenienti dall’interno dell’impresa vengono correttamente individuate e regolarmente trasmesse;
- i dirigenti ottengono tutte le informazioni di cui hanno bisogno per adempiere alle loro attività.
2. Le informazioni vengono trasmesse in modo sufficientemente dettagliato e tempestivo alle persone
idonee.
Considerare per esempio se:
- le informazioni vengono fornite in tempo e sintetizzate in modo adeguato, così da mettere a disposizione dati significativi.
3. I sistemi informativi sono sviluppati o modificati sulla base di un piano strategico, inserito nel quadro
della strategia globale dell‟azienda.
Considerare per esempio se:
- esiste un modo per individuare le nuove esigenze informative;
- per le tecnologie informatiche è stato predisposto un piano a lungo termine;
- vengono impiegate risorse sufficienti per lo sviluppo di nuovi e più efficienti s istemi informativi.
EFFICIENZA DELLA COMUNICAZIONE
1. Efficacia con cui vengono comunicati i compiti e le relative responsabilità sui controlli.
Considerare per esempio se:
- i mezzi utilizzati a tal fine sono sufficienti;
- il personale è a conoscenza dei legami di influenza che riguardano le sue mansioni e i compiti degli altri.
2. Istituzione di canali di comunicazione per riferire di presunte irregolarità.
Considerare per esempio se:
- esiste un modo per comunicare con i livelli gerarchici più elevati attraverso un soggetto diverso dal proprio diretto superiore;
- è tutelato e consentito l’anonimato;
- il personale fa effettivamente uso di tale canale di comunicazione;
- coloro che segnalano irregolarità sono protetti da eventuali vendette successive.
3. Disponibilità della direzione ad ascoltare i suggerimenti del personale in merito alla possibilità di in-
trodurre nuovi miglioramenti, legati sia alla produttività, sia all‟ambiente di lavoro.
Considerare per esempio se:
- la direzione dimostra di aver tenuto in considerazione i suggerimenti ricevuti assegnando al personale dei riconoscimenti.
- 62 -
4. Adeguatezza della comunicazione lungo l‟intera organizzazione.
Considerare per esempio se:
- il personale di vendita informa la progettazione, la produzione e il marketing delle esigenze dei clienti;
- il personale della contabilità clienti segnala i clienti con crediti scaduti;
- le informazioni sui concorrenti sono trasmesse alla progettazione, al marketing e al personale di vendita.
5. Esistenza di canali per informare i clienti, i fornitori e altri soggetti esterni sui valori della società e
sulle mutate esigenze della clientela.
Considerare per esempio se:
- i soggetti esterni conoscono i principi e le aspettative dell’azienda in merito al comportamento da tenere nei suoi confronti;
- eventuali suggerimenti o reclami vengono riportati all’attenzione degli interessati all’interno dell’azienda.
6. Vengono intraprese delle azioni di follow – up in seguito a segnalazioni da parte di clienti, fornitori,
autorità o altri soggetti esterni.
Considerare per esempio se:
- gli errori di fatturazione ai clienti vengono individuati e corretti e si cerca di dare una giustificazione al motivo di tali errori;
- i reclami vengono gestiti da personale qualificato, indipendente da quello coinvolto nell’operazione;
- l’alta direzione ha un quadro chiaro della natura e del numero di reclami.
2.3.5 – Il monitoraggio
I sistemi di controllo interno mutano nel tempo, così come possono cambiare anche
le condizioni per le quali era stato originariamente pensato l‟intero sistema. Per tale
ragione è necessario che il management determini periodicamente se la struttura dei
controlli esistente sia ancora valida, adatta e pertinente alla gestione dei rischi. Il
monitoraggio è proprio quella componente del sistema che assicura che il controllo
interno continui a funzionare efficacemente. Tale processo consiste nella valutazione
critica del modo con cui sono disegnati i controlli, dei tempi di esecuzione e delle
modalità con cui vengono adottati i provvedimenti necessari. Il monitoraggio può es-
sere effettuato in due modi; si parla infatti di attività di monitoraggio continuo e di in-
terventi di valutazione specifici. Con le prime si intendendo le procedure di controllo
che vengono effettuate automaticamente dal sistema stesso e che quindi sono inte-
grate nelle normali attività operative dell‟azienda. Proprio perché tali operazioni sono
svolte in tempo reale, consentono di reagire immediatamente ai cambiamenti interni
ed esterni e sono più efficaci rispetto al monitoraggio effettuato con mezzi di valuta-
zione distinti. Quanto più il monitoraggio continuo è efficiente, tanto minore sarà la
necessità di ricorrere a strumenti specifici di valutazione. Tra i controlli effettuati in via
- 63 -
continuativa da un‟impresa si possono annoverare le attività di supervisione e di ge-
stione corrente, le analisi comparative e le riconciliazioni effettuate con documenti
forniti da terzi (PricewaterhouseCoopers, 2006). Nonostante le procedure di monito-
raggio continuo forniscano interessanti informazioni sul funzionamento di tutte le
componenti del sistema di controllo interno, è importante periodicamente concentrar-
si in modo più attento e specifico sull‟efficacia del sistema nel suo complesso, ese-
guendo delle valutazioni più dettagliate. Queste consistono solitamente in autovalu-
tazioni attraverso le quali i soggetti a cui è delegata la gestione di un‟unità o funzione
stabiliscono di fatto l‟efficacia dei controlli all‟interno della propria attività. Chi effettua
una valutazione deve mirare a comprendere sia ognuna della singole attività
dell‟impresa che ciascun componente del sistema di controllo interno; questo obietti-
vo può essere perseguito unicamente relazionandosi con le persone che quotidia-
namente si raffrontano con le procedure aziendali e che ogni giorno svolgono o sono
sottoposte ai controlli del sistema. Esiste un ampio range di metodi e strumenti di va-
lutazione utilizzabili, quali check list, questionari o diagrammi di flusso. Alcune impre-
se adottano addirittura un benchmark di riferimento, solitamente un sistema imple-
mentato in un‟altra società, e raffrontano la loro situazione attuale con quest‟ultima,
rappresentante, nella loro valutazione, il modello ideale da perseguire.
I soggetti incaricati per la prima volta di eseguire una valutazione dei sistema di con-
trollo interno possono fare riferimento, ad esempio, alla seguente procedura, che illu-
stra il punto di partenza del procedimento e lo sviluppo dello stesso:
1. determinare le categorie di obiettivi, le componenti del controllo interno e le at-
tività da studiare, ovvero definire il campo d‟azione della valutazione;
2. identificare le attività di monitoraggio continuo insite nel sistema di controllo in-
terno che ne confermano il corretto funzionamento;
3. valutare l‟analisi dei controlli svolta dai revisori interni, come anche i rilievi e-
mersi durante gli interventi dei revisori esterni;
4. determinare le priorità per aree ad alto rischio che richiedono un‟immediata at-
tenzione;
- 64 -
5. sulla base dei risultati fin qui ottenuti, delineare un programma di valutazione
organizzato in interventi a breve e a lungo termine;
6. riunire i soggetti che si occuperanno praticamente della valutazione, studiare
con il team non solo l‟ambito e i tempi di realizzazione, ma anche la metodo-
logia, gli strumenti, le informazioni fornite dai revisori interni e dalle autorità, i
mezzi per rendere noti i rilievi e la documentazione da elaborare;
7. monitorare l‟avanzamento della valutazione ed esaminare quanto da questa
emerso;
8. verificare se siano state attivate azioni correttive e modificare, se necessario, i
punti successivi del programma valutativo.
Nel momento in cui, durante l‟attività di monitoraggio, viene riscontrata una carenza,
potenziale o reale, o è stato individuato un punto del sistema di controllo che potreb-
be essere migliorato e rafforzato, è indispensabile che il valutatore, nel minor tempo
possibile, riporti quanto appurato all‟attenzione del responsabile aziendale che ha
l‟autorità di provvedere alle adeguate azioni correttive. Ovviamente il maggiore o mi-
nore grado di formalità dell‟intero processo sarà funzione della cultura e delle dimen-
sioni della società, anche se in linea generale la valutazione dei sistema segue le
stesse linee in qualunque tipo di impresa. Le affermazioni raccolte in seguito rappre-
sentano una sorta di linee guida da seguire nel procedimento di monitoraggio del si-
stema di controllo e integrano il procedimento menzionato in questo paragrafo.
MONITORAGGIO CONTINUO
1. Livello di consapevolezza del personale sul continuo funzionamento del sistema di controllo interno
e impegno dei soggetti nella sua supervisione per quanto riguarda le tradizionali mansioni quotidiane.
Considerare per esempio se:
- i responsabili operativi confrontano i dati di produzione, magazzino, vendita o d’altro tipo che ottengono quotidianamente du-
rante la loro attività con i risultati generati dai sistemi;
- i dati gestionali vengono integrati e riconciliati con quelli generati dal sistema di rendicontazione contabile.
2. Livello di conferma fornito dalle informazioni provenienti da soggetti esterni.
Considerare per esempio se:
- i clienti confermano implicitamente i dati di fatturazione saldando le fatture;
- quanto riferito dai fornitori e dagli estratti conto mensili viene utilizzato come strumento di monitoraggio;
- le autorità informano l’impresa sul rispetto delle norme o relativamente ad altre questioni che hanno un impatto sul funziona-
mento del sistema di controllo interno;
- i controlli mal funzionanti che avrebbero dovuto prevenire o individuare i problemi vengono riesaminati.
- 65 -
3. Confronto periodico tra gli importi iscritti in contabilità e i beni fisici.
Considerare per esempio se:
- il livello delle rimanenze di magazzino viene quantificato all’atto del prelievo e le differenze fra le risultanze contabili e le quan-
tità effettive vengono rettificate.
4. Attenzione alle raccomandazioni dei revisori sui modi per rafforzare i controlli interni e presenza di
altre occasioni, quali corsi di formazione, sedute di pianificazione o altre riunioni, in cui mostrare alla
direzione i risultati sull‟efficacia dei controlli messi in atto.
Considerare per esempio se:
- i suggerimenti del personale vengono comunicati ai livelli gerarchici superiori e durante le sedute di verifica si pone particolare
attenzione alle questioni più importanti.
5. Efficacia dell‟attività di revisione interna.
Considerare per esempio se:
- esistono soggetti con livelli di competenza elevata ed adeguata;
- la posizione da essi occupata nell’impresa è appropriata.
VALUTAZIONI PERIODICHE
1. Portata e frequenza delle valutazioni periodiche del sistema di controllo interno.
Considerare per esempio se:
- vengono effettuate delle valutazioni del sistema di controllo interno da parte del personale competente.
2. Adeguatezza del processo di valutazione.
Considerare per esempio se:
- il valutatore ha una conoscenza adeguata di come il sistema di controllo interno dovrebbe funzionare e di come effettivamente
funziona;
- viene condotta un’analisi comparata confrontando i risultati della valutazione con modelli prestabiliti.
3. Adeguatezza della metodologia di valutazione e analisi del sistema di controllo interno e della do-
cumentazione.
Considerare per esempio se:
- la metodologia di valutazione prevede liste di controllo, questionari e altri strumenti;
- i soggetti incaricati della valutazione hanno pianificato il loro intervento;
- sono disponibili manuali delle politiche aziendali, organigrammi e altri documenti simili.
SEGNALAZIONE DELLE DISFUNZIONI
1. Esistenza di un meccanismo di individuazione e segnalazione delle disfunzioni rilevate nel sistema
di controllo interno.
Considerare per esempio se:
- esistono strumenti per ottenere rapporti sulle disfunzioni sia da fonti interne che esterne.
2. Adeguatezza dei protocolli di rendicontazione.
Considerare per esempio se:
- le disfunzioni vengono segnalate al soggetto direttamente responsabile dell’attività in questione e a una persona di almeno un
grado superiore.
- 66 -
3. Adeguatezza delle azioni di follow – up.
Considerare per esempio se:
- l’evento individuato è stato corretto;
- vengono analizzate le azioni sottostanti;
- esiste un follow – up che garantisce l’adozione delle necessarie misure correttive.
2.4 – La gestione del rischio aziendale
Successivamente al Report del 1992 la Committee of Sponsoring Organizations of
the Treadway Commission (CoSO) ha pubblicato nel 2004 un nuovo Framework di
riferimento per aiutare le società a disegnare ed implementare efficaci approcci per la
gestione del rischio. Alcuni studiosi hanno parlato pertanto di una sorta di nuova ver-
sione del CoSO Report, un modello di sistema di controllo interno aggiornato e inte-
grato con nuove componenti. In realtà, il nuovo Framework presentato nel 2004 è
qualcosa di più ampio rispetto al Report del 1992 e si focalizza maggiormente sul
concetto di rischio, tant‟è che il modello è stato proprio definito Enterprise Risk
Management. Con tale pubblicazione la Committee si è posta l‟obiettivo di definire le
principali componenti del processo di gestione del rischio aziendale, di individuare un
linguaggio comune e di fornire una chiara guidance per le imprese impegnate in tale
attività di gestione. L‟ERM perciò risulta essere uno schema di riferimento più ampio
rispetto al CoSO Report in quanto ricomprende sicuramente i concetti relativi al si-
stema di controllo interno già espressi nel documento del 1992, ma li integra anche
elaborando una più ampia definizione di controllo maggiormente focalizzata sui rischi
aziendali. I due Framework non sono incompatibili tra loro, ma anzi si basano di fatto
sui medesimi concetti, tant‟è che il modello presentato nel Report del 2004 riprende
tutte e cinque le componenti del sistema di controllo interno fin qui delineate e le ar-
ricchisce e le integra con altre tre. Esistono tuttavia alcune differenze concettuali tra
quanto esposto nella pubblicazione del 1992 e quella del 2004, tra cui il fatto che
l‟attività di gestione dei rischi considera questi ultimi all‟interno del procedimento di
elaborazione delle strategie aziendali e che quindi richiede al management di formu-
lare ipotesi circa il livello di incertezza che la società è in grado di sopportare.
Un‟ulteriore distinguo che deve essere effettuato in merito ai due modelli riguarda le
- 67 -
categorie di obiettivi che essi definiscono e mirano a perseguire con il loro Frame-
work; il primo CoSO Report aveva individuato tre tipologie di obiettivi: operativi, di re-
porting finanziario e di conformità. Questi vengono tutti ripresi dal modello ERM, il
quale amplia tuttavia la seconda categoria riferendosi con essa non solo ai bilanci
pubblicati e soprattutto alla loro attendibilità, ma includendo nell‟obiettivo di reporting
qualunque tipo di documento elaborato dalla società, internamente o esternamente,
a prescindere dalle informazioni in esso contenute, siano esse finanziarie o meno
(Livatino M., et al., 2006). In aggiunta a queste tre classi di obiettivi, l‟ERM ne identi-
fica una quarta, quella degli obiettivi strategici, che solitamente operano a livelli so-
praelevati rispetto alle altre categorie. Questi ultimi, infatti, discendono direttamente
dalla missione aziendale e determinano poi tutti gli altri obiettivi.
In aggiunta a queste differenze, va annoverata l‟importante novità introdotta
dall‟ERM, ovvero i nuovi concetti di rischio accettabile e di tolleranza al rischio, non
considerati in precedenza dalla Committee. Con il primo si intende il livello di rischio
che una società è disposta ad affrontare pur di perseguire i suoi scopi e il suo ogget-
to sociale; è una sorta di parametro di riferimento indispensabile nella definizione del-
le strategie elaborate di volta in volta. Il rischio accettabile dipende fortemente dalla
filosofia della società e a sua volta impatta in modo notevole sulla cultura e
sull‟operatività della società. Spesso viene definito in termini qualitativi, ossia utiliz-
zando aggettivi come “alto”, “moderato”, “basso”; talvolta al contrario le imprese mi-
rano proprio a quantificare e misurare questo parametro, determinando target di cre-
scita, redditività e rischio. Il concetto di tolleranza al rischio, invece, identifica lo sco-
stamento accettato e ammesso rispetto a un dato obiettivo da conseguire; ad esem-
pio un‟impresa può preporsi il seguente obiettivo: il 98% delle consegne devono es-
sere effettuate nei termini e nei tempi concordati, con una variazione accettabile che
oscilla da un minimo di 97% a un massimo del 100%.
Una volta individuate le somiglianze e le differenze tra questi due Framework propo-
sti dal CoSO, è possibile ora analizzare meglio l‟Enterprise Risk Management, foca-
lizzandosi anche sulle sue componenti e in particolare su quelle introdotte ex novo
rispetto al modello del sistema di controllo interno. L‟ERM è definito, nel Report del
- 68 -
2004, come un processo posto in essere dal Consiglio di Amministrazione, dal
management e da altri operatori della struttura aziendale, impiegato al fine di formu-
lare delle strategie che interessino tutta l‟organizzazione. Esso è progettato per indi-
viduare eventi potenziali che possano influire sull‟attività aziendale, per gestire il ri-
schio entro i limiti fissati dal rischio accettabile e per fornire con una ragionevole sicu-
rezza il perseguimento degli obiettivi d‟impresa (Associazione Italiana Internal Audi-
tors, PricewaterhouseCoopers, 2006). Leggendo questa definizione emergono molto
chiaramente e palesemente altre somiglianze con la definizione che era già stata
fornita per il sistema di controllo interno; in entrambi i casi, infatti, si parla di un pro-
cesso dinamico, svolto da persone collocate a tutti i livelli organizzativi di una società
che utilizzano poi il modello per la definizione e l‟implementazioni di tutti i target a-
ziendali, siano essi di carattere generale o di tipo specifico, legati a un‟intera divisio-
ne o riservati a una singola attività. Anche per quanto riguarda l„affidabilità del meto-
do, la Committee si è premurata di inserire nella definizione dell‟ERM il fatto che an-
che questo strumento potrà garantire unicamente una ragionevole certezza ai sog-
getti apicali delle società che lo implementeranno, senza assicurare pur tuttavia una
certezza assoluta.
L‟Enterprise Risk Management si compone di otto elementi:
1. l‟ambiente interno, ovvero la filosofia di base della società da cui dipende il li-
vello di rischio accettabile;
2. la definizione degli obiettivi, procedimento che deve intervenire antecedente-
mente all‟identificazione degli eventi che possono rappresentare una minaccia
al conseguimento dei target aziendali;
3. l‟identificazione degli eventi, momento del processo che consente di compren-
dere quali sono le situazioni, definite eventi potenziali, che possono avere un
impatto sull‟attività aziendale sia in termini positivi che negativi;
4. la valutazione del rischio, che consente di analizzarlo e gestirlo;
5. la risposta al rischio, elaborata dal management e solitamente identificabile in
una delle seguenti opzioni: evitare, accettare, ridurre e compartecipare;
- 69 -
6. le attività di controllo, volte ad assicurare che le risposte al rischio preceden-
temente prefissate siano davvero eseguite in modo efficiente;
7. le informazioni e le comunicazioni, necessarie a ogni livello aziendale per dif-
fondere i valori aziendali e le scelte strategiche ed operative della società;
8. il monitoraggio, fondamentale per garantire una celere risposta ai cambiamenti
di fattori sia interni che esterni.
Così come per il sistema di controllo interno, è possibile dare una rappresentazione
grafica dell‟ERM, fornita proprio all‟interno del Report del 2004.
Fig. 2.3 – Rappresentazione dell‟ERM esposto nel CoSO Framework del 2004.
La matrice tridimensionale esprime a pieno il rapporto diretto che esiste tra gli obiet-
tivi di un‟impresa e i componenti dell‟ERM: questi ultimi sono tutti indispensabili per
conseguire le quattro tipologie di target prefissate dall‟impresa e, viceversa, ciascuna
delle categorie di obiettivi è applicabile a ognuna delle otto componenti.
Per poter stabilire l‟efficacia di un modello ERM è necessario valutare non solo la
presenza delle otto componenti ma anche il loro corretto funzionamento, singolar-
mente e nel complesso; le varie funzioni infatti possono anche compensarsi tra loro e
sopperire vicendevolmente alle loro manchevolezze. Come il modello presentato nel
CoSO Report del 1992, anche l‟ERM è applicabile a ogni tipo di azienda, indipenden-
temente dalle sue dimensioni, nonostante le piccole e medie imprese possano in re-
- 70 -
altà disporre di un sistema di gestione del rischio costruito in modo un po‟ differente
rispetto ai modelli implementati nelle grandi società (Associazione Italiana Internal
Auditors, et al., 2006). Tornando alle singole componenti dell‟Enterprise Risk
Management, è opportuno focalizzarsi maggiormente solo sulle tre che sono state in-
trodotte ex novo rispetto al precedente modello del sistema di controllo interno;
l‟ambiente di controllo, la valutazione del rischio, l‟attività di controllo, le informazio-
ni/comunicazioni e il monitoraggio sono infatti sostanzialmente ripresi dal CoSO
Framework del 1992, pur ponendo maggiore attenzione, in questa loro seconda ver-
sione, al concetto di rischio in termini di probabilità che si verifichi e in termini di im-
patto potenziale. Vengono introdotti inoltre i concetti di rischio inerente, ossia il ri-
schio che un‟azienda si assume nel momento in cui la direzione non mette in atto al-
cun tipo di soluzione per intervenire su di esso, e rischio residuo, ovvero rischio che
rimane dopo aver attivato misure di risposta, da valutare entrambi con le medesime
unità di misura con cui vengono quantificati gli obiettivi che essi stessi minacciano.
Viene infine posta sicuramente più enfasi sulla componente informazioni e comuni-
cazioni, che non tiene più solo in considerazione i dati presenti che dovrebbero flui-
damente circolare all‟interno dell‟impresa, ma spazia ora dai dati provenienti dal pas-
sato a quelli inerenti eventi potenziali, considerando nell‟intermezzo quelli attuali.
L‟aspetto innovativo dell‟ERM rispetto al sistema di controllo interno è tuttavia rap-
presentato non da queste “lievi” migliorie, bensì dall‟introduzione di tre nuovi compo-
nenti:
la definizione degli obiettivi;
l‟identificazione degli eventi;
la risposta al rischio.
- 71 -
2.4.1 – La definizione degli obiettivi
La definizione degli obiettivi rappresenta la componente dell‟ERM fondamentale per
un‟adeguata identificazione degli eventi, valutazione dei rischi e risposta del
management a questi. Il punto di partenza per una corretta definizione degli obiettivi
aziendali è costituito dalla missione sociale sulla base della quale è possibile formu-
lare gli obiettivi strategici da cui si potranno poi in seguito derivare target di tipo ope-
rativo, di conformità e di reporting (Olson D. L., et al., 2008). I primi riguardano prin-
cipalmente l‟efficacia e l‟efficienza delle attività operative dell‟impresa e dipendono
fortemente dalle scelte del management in merito alla struttura organizzativa e al li-
vello di performance che si vuole conseguire. È assolutamente importante che essi
rispecchino il contesto ambientale in cui l‟impresa opera ed è altrettanto fondamenta-
le che siano reali, adeguati al mercato e alle sue richieste e che siano espressi in
modo tale da consentire una loro valutazione. Gli obiettivi di reporting interessano,
invece, le relazioni che vengono elaborate e redatte dai membri della società, a pre-
scindere dalla loro destinazione, se interna o esterna. Le informazioni contenute in
questi report devono essere accurate e coerenti con i fini perseguiti. Gli obiettivi di
conformità, infine, si riferiscono al rispetto da parte della società delle leggi e dei re-
golamenti che vengono fissati a livello di settore o addirittura a livello nazionale (As-
sociazione Italiana Internal Auditors, et al., 2006). L‟allineamento degli obiettivi alla
strategia è un requisito assolutamente fondamentale per garantire un certo successo
all‟impresa ed è per tale ragione che periodicamente sarebbe opportuno che il
management riveda gli obiettivi fissati dalla società, essendo comunque la strategia
dinamica e soggetta a rettifiche e cambiamenti a seconda anche delle condizioni
ambientali interne ed esterne all‟impresa. Nell‟individuare gli obiettivi la direzione a-
ziendale deve preoccuparsi non solo di delinearli in modo chiaro ma anche di fornire
contestualmente degli strumenti di misura degli stessi e del loro grado di consegui-
mento. Oltre alle categorie fin qui delineate ed esplicitamente previste dal modello
descritto nel Framework del 2004 è possibile talvolta individuare, come obiettivo a-
ziendale, anche quello definito come salvaguardia delle risorse, con il quale si inten-
- 72 -
dono tutte quelle procedure finalizzate ad impedire perdite o danni ad attività patri-
moniali dovuti a furti, sperperi o inefficienze.
La definizione degli obiettivi può seguire un procedimento più o meno formalizzato,
sicuramente più elastico e conseguentemente meno rigido nelle imprese di dimen-
sioni limitate, dove spesso i target della società sono comunicati verbalmente ai sin-
goli dipendenti. Come per le componenti del sistema di controllo interno è possibile
anche per questi ulteriori elementi delineati dall‟ERM formulare delle linee guida per
una loro valutazione ex post; a riguardo, in merito alla componente fin qui presentata,
si può fare riferimento alle seguenti che ne sintetizzano i principi chiave.
OBIETTIVI STRATEGICI
1. Gli obiettivi strategici sono delineati dal top management e sono coerenti con la missione aziendale.
2. Il management non si limita a definire gli obiettivi strategici, ma cerca di individuare anche le possi-
bili minacce alla loro realizzazione e le ipotetiche conseguenze.
OBIETTIVI CORRELATI
1. Gli obiettivi correlati sono in linea con la strategia e consentono una sua realizzazione a livello di
singole attività.
2. Ad ogni livello dell‟organizzazione gli obiettivi sono collegati anche ad altri target più specifici che
filtrano attraverso l‟intera organizzazione, dall‟alto verso il basso.
3. Gli obiettivi correlati sono comprensibili e misurabili.
RISCHIO ACCETTABILE
1. Il rischio accettabile viene utilizzato per elaborare una strategia e per allocare le diverse risorse
all‟interno della società.
TOLLERANZA AL RISCHIO
1. La tolleranza al rischio è misurata con le stesse unità con cui viene quantificato l‟obiettivo e il suo
conseguimento.
2. La tolleranza al rischio è in linea con il rischio accettabile.
2.4.2 – L’identificazione degli eventi
Per evento si intende un fatto determinato da fonti interne o esterne all‟impresa che
impatta sull‟implementazione della strategia o sul perseguimento degli obiettivi (As-
sociazione Italiana Internal Auditors, et al., 2006). Esso può essere facilmente rileva-
- 73 -
bile piuttosto che di difficile individuazione e può avere conseguenze dall‟impatto più
o meno consistente sull‟andamento dell‟impresa. Per poter identificare tali eventi è
importante che il management prenda prima in considerazione i fattori esterni ed in-
terni che danno origine ad essi ed è importante che sviluppi una certa conoscenza
degli stessi e della tipologia di eventi riferibili a ciascuno. Tra i fattori esterni su cui
porre particolare attenzione si possono menzionare:
l‟economia, da cui dipendono le oscillazioni dei prezzi, la disponibilità dei capi-
tali, le barriere all‟entrata di un determinato settore;
l‟ambiente, che può determinare eventi quali inondazioni, incendi o altre cala-
mità naturali;
la politica, da cui possono derivare cambi di programmi politici, nuove leggi o
nuovi vincoli all‟accesso di mercati internazionali piuttosto che nuove liberaliz-
zazioni;
la tecnologia, che con le sue innovazioni può determinare un aumento dei dati
disponibili, una riduzione dei costi di struttura piuttosto che un incremento del-
la domanda di servizi tecnologici.
Un simile elenco può essere stilato anche per i fattori interni, tra i quali si possono
annoverare:
le infrastrutture, che possono comportare ad esempio investimenti aggiuntivi di
capitale;
il personale, i cui eventi correlati possono consistere in infortuni sul lavoro, in
contratti in scadenza che originano scioperi e dimissioni;
i processi, da cui possono derivare eventi quali la modifica di un protocollo o
l‟individuazione di errori nello svolgimento di una certa attività (Associazione
Italiana Internal Auditors, et al., 2006).
Una volta individuati i fattori principali, il management ha l‟opportunità di valutare la
loro importanza e la loro rilevanza nonché le tipologie e la natura di eventi che pos-
sono da essi scaturire. Un evento, infatti, può avere un impatto negativo o positivo.
Nel primo caso esso si qualificherà come un rischio e, se si realizzerà, potrà pregiu-
dicare il conseguimento degli obiettivi aziendali: il management, pertanto, dovrà svi-
- 74 -
luppare una certa strategia di risposta che consenta di salvaguardare i target fissati
dall‟organizzazione. Al contrario, nell‟eventualità in cui l‟evento abbia il connotato del-
la positività, sarà definibile come un‟opportunità, ossia un evento che può incidere
positivamente sul perseguimento degli obiettivi e sulla creazione di valore. Le oppor-
tunità richiedono comunque una risposta del management, in termini di riformulazio-
ne della strategia, che tenga conto a questo punto delle nuove condizioni di cui il ver-
tice è venuto a conoscenza. Diverse sono le tecniche che possono essere utilizzate
al fine di identificare gli eventi; si può ad esempio ricorrere a delle analisi interne che,
in corrispondenza del processo di pianificazione e controllo, attraverso degli incontri
con il personale delle varie unità operative, mirano proprio a evidenziare gli eventi più
probabili. Si può, però, prestare attenzione anche a segnalatori di criticità, meccani-
smi di controllo impiegati per avvisare la direzione aziendale della problematicità di
una situazione in cui si può trovare la società in quel frangente; tali meccanismi, me-
diante un confronto diretto degli eventi con dei parametri predeterminati, sono in gra-
do di individuare quelle situazioni in cui i livelli di tolleranza predefiniti sono stati su-
perati, richiedendo così una risposta da parte della direzione aziendale. Un‟ulteriore
tecnica che può essere portata a titolo di esempio per l‟identificazione degli eventi è
quella incentrata su workshop e interviste, che ricorrono alle conoscenze e
all‟esperienza del management, del personale o di altri stakeholder attraverso incon-
tri organizzati (Associazione Italiana Internal Auditors, et al., 2006).
L‟analisi degli eventi non riguarda solo gli stessi considerati individualmente, ma an-
che in correlazione tra di loro; per tale ragione spesso è utile effettuare dei raggrup-
pamenti degli eventi potenziali in categorie, orizzontali se l‟accento viene posto sul
livello aziendale, verticali se l‟attenzione si sposta sulle unità operative.
Al fine di valutare l‟efficacia del procedimento con cui un‟impresa individua e analizza
gli eventi potenziali, è utile fare riferimento ad alcuni parametri, sintetizzati in seguito.
- 75 -
EVENTI
1. Il management è in grado di identificare gli eventi potenziali che possono incidere sul raggiungimen-
to degli obiettivi.
2. Il management attribuisce un corretto peso agli eventi, senza trascurare nemmeno quelli a cui viene
associata una bassa probabilità di realizzazione.
3. Le tecniche impiegate per l‟individuazione degli eventi tengono in considerazione sia il passato che
il futuro, imparando dal primo e applicando al secondo i risultati delle osservazioni effettuate.
4. Il management effettua un‟attenta analisi delle correlazioni esistenti tra i diversi eventi individuati.
5. In seguito all‟individuazione di eventi positivi rappresentanti opportunità da cogliere, la direzione
d‟impresa ha modificato le strategie aziendali al fine di prendere in considerazione queste occasioni.
2.4.3 – La risposta al rischio
Dopo aver valutato i rischi, viene richiesto al management di adottare una o più ri-
sposte alle situazioni potenziali o reali identificate, risposte che possano evitare falli-
menti nel perseguimento degli obiettivi. Tutte le possibili risposte adottabili dalla dire-
zione aziendale, possono essere raggruppate in quattro categorie:
1. evitare il rischio, ad esempio eliminando una certa linea di produzione o rinun-
ciando ad entrare in un dato mercato;
2. ridurre il rischio, intraprendendo azioni volte a diminuire la probabilità o le con-
seguenze del rischio stesso;
3. condividere il rischio, trasferendone una parte a un terzo soggetto;
4. accettare il rischio, senza implementare alcun tipo di sistema di protezione né
di risposta11.
Prima e durante la formulazione di una risposta al rischio, il management deve tene-
re in considerazione non solo gli effetti che si potrebbero produrre in termini di pro-
babilità e di impatto del rischio sulla situazione attuale, ma anche i costi e i benefici
11
Queste quattro tipologie di risposta sono state riassunte, nella formulazione inglese del modello, con l‟appellativo delle quattro
T‟s (Olsen D. L., et al., 2008):
- treating a risk (accept it);
- terminate a risk (avoid it);
- transfer a risk (reduce it);
- take or tolerate a risk (seek it).
- 76 -
delle risposte potenziali. La risposta individuata non deve comportare necessaria-
mente l‟eliminazione del rischio, cosa assolutamente impossibile da realizzare data
la scarsità delle risorse disponibili all‟interno delle società e data l‟incertezza del futu-
ro, ma una riduzione del livello di rischio coerente e conforme alla tolleranza al ri-
schio predeterminata dall‟impresa. Nell‟eventualità in cui il livello si dovesse mante-
nere ancora su indici piuttosto elevati rispetto allo standard prefissato, sarebbe op-
portuno da parte del management riesaminare e rettificare la risposta selezionata
piuttosto che ridefinire il livello di tolleranza stabilito. Una volta individuata la risposta,
potrebbe essere necessario sviluppare ed implementare un piano per la sua attua-
zione, controllato e monitorato attraverso la componente dell‟attività di controllo. Per
quanto concerne questa componente dell‟ERM, risulta essere particolarmente diffici-
le effettuare una valutazione di quanto deciso dal management, in quanto si rischie-
rebbe di andare a giudicare un comportamento e un atteggiamento del tutto soggetti-
vi: non è possibile infatti sindacare le scelte manageriali di un vertice aziendale che,
nella sua posizione, può prendere le decisioni che meglio crede per conseguire i
propri obiettivi. È tuttavia possibile per lo meno analizzare ed esprimersi sul processo
decisionale che porta alla formulazione di una risposta piuttosto che di un‟altra per
verificare, per lo meno, che la decisione non sia del tutto arbitraria e insensata, ma
sia piuttosto razionale e giustificabile, per quanto, si ripete, opinabile. I punti di segui-
to elencati possono essere gli elementi da prendere in considerazione nello svolgi-
mento di tale valutazione.
RISPOSTA AL RISCHIO
1. La risposta individuata dal management ha lo scopo di pervenire a un rischio residuo allineato con
la tolleranza al rischio.
2. La determinazione della risposta da mettere in atto è supportata da un‟adeguata analisi in merito
alla probabilità e all‟impatto della stessa e da una valutazione costi-benefici.
3. Prima di stabilire definitivamente la risposta da attuare, il management ha tenuto in considerazione
anche i possibili rischi addizionali che potrebbero derivare dalla medesima risposta selezionata.
- 77 -
2.5 – I benefici dell’applicazione di un sistema di controllo interno
L‟implementazione di un sistema di controllo interno e l‟attuazione di un processo di
gestione dei rischi non sono sicuramente di facile e immediata realizzazione, tenen-
do conto del fatto che, anche se progettati al meglio, non garantiscono la certa rea-
lizzazione degli obiettivi preposti dal management. Infatti, nonostante un‟accurata
pianificazione dei procedimenti e un‟attenta cura alla loro realizzazione, non è co-
munque possibile evitare errori umani nell‟operatività o nel processo decisionale, di-
sfunzioni del sistema di controllo stesso, eccezioni stabilite dal vertice aziendale piut-
tosto che mala gestione da parte dei soggetti responsabili (PricewaterhouseCoopers,
2002). Inoltre un fattore a sfavore dell‟attuazione di questi modelli riguarda il loro co-
sto, particolarmente gravoso per le società medio piccole; l‟aspetto critico, per di più,
non risiede solamente nell‟ingente valore che possono raggiungere tali costi, ma an-
che nella loro aleatorietà, in quanto difficili da valutare e da prevedere.
Ciò nonostante, l‟implementazione di un sistema di controllo interno non presenta so-
lo elementi a proprio svantaggio, ma, al contrario, annovera molti benefici, primo fra
tutti la possibilità di avere a disposizione dati finanziari precisi, con tutte le conse-
guenze positive in termini di accesso agevolato al mercato dei capitali e facilitazione
nell‟approvvigionamento di risorse monetarie. Un ulteriore beneficio riguarda inoltre
l‟opportunità di fruire di informazioni affidabili e tempestive utili sia per il processo de-
cisionale manageriale, che risulta essere così sicuramente accelerato e più attendibi-
le, sia per la comunicazione dei dati aziendali a soggetti interni ed esterni la società
(Associazione Italiana Internal Auditors, PricewaterhouseCoopers, 2008).
L‟implementazione di un sistema di controllo interno, inoltre, protegge la reputazione
della società in quanto garantisce la compliance da parte di quest‟ultima alle norme,
ai regolamenti e alle best practice di corporate governance. L‟adozione di controlli
societari, in aggiunta, garantisce una migliore allocazione delle risorse, riducendo
così sia le perdite che la volatilità dei risultati e massimizzando, alla fine, il profitto.
Da ultimo è importante sottolineare, soprattutto ai nostri fini, come l‟esistenza di pro-
cedure più o meno formalizzate di controllo e monitoraggio all‟interno di un‟impresa
- 78 -
abbassino il rischio di commissione di una frode poiché non solo riducono le oppor-
tunità di una sua realizzazione ma lasciano anche pochi spazi di movimento ai per-
petratori che, costantemente sotto osservazione, hanno minori probabilità di succes-
so nelle loro attività illecite.
I sistemi di controllo interno, in pratica, aiutano un‟organizzazione a perseguire la sua
missione, i suoi target di profittabilità, in quanto rappresentano un modo per gestire il
rischio e assicurano che le direttive, le politiche, le procedure e le pratiche disegnate
e approvate dalla direzione aziendale siano messe in atto e siano funzionanti così
come previsto. Sebbene sia molto più facile per una società introdurre semplicemen-
te nuove procedure, aggiungendole a quelle già esistenti, risulta essere molto più
produttivo concentrarsi sulle procedure già disponibili, rielaborandole ed integrandole
in modo da pervenire a una corretta gestione e valutazione dei rischi.
L‟accumulazione delle prassi l‟una sull‟altra, nonostante molto più veloce da attuare,
rischia infatti solo di risultare un groviglio di meccanismi, poco integrati tra loro ed i-
nutili per la gestione e l‟organizzazione della società. Un‟impresa può sempre decide-
re di implementare un sistema di controllo, indipendentemente dal livello di procedu-
re che ha già in atto al suo interno, tenendo conto del fatto che, una volta sviluppato
un sistema, questo non potrà essere mantenuto invariato nel tempo, ma avrà co-
munque sempre bisogno di aggiornamenti, non fosse altro per cogliere le nuove op-
portunità fornite dal mercato o per adeguarsi ai recenti cambiamenti intervenuti nel
settore.
- 79 -
PARTE TERZA
GLI STRUMENTI DI VALUTAZIONE DI UN SISTEMA DI
CONTROLLO INTERNO APPLICATI ALL’ANALISI DI UN
CASO DI FRODE
O, what a goodly outside falsehood hath!
La disonestà s‟è sempre data un onesto sembiante!
- William Shakespeare, Il mercante di Venezia -
La terza ed ultima parte del presente lavoro è forse la più importante di tutte; con ciò
non si intende che le due precedenti siano inutili o poco rilevanti, ma delle tre, questa
che siamo in procinto di affrontare è sicuramente quella che include a pieno
l‟obiettivo che ci siamo preposti all‟inizio del lavoro. Il nostro scopo, infatti, è dimo-
strare la validità, in termini reali, del sistema di controllo interno anche come stru-
mento di prevenzione ed individuazione delle frodi. Il modello indicato nel 1992 nel
CoSO Report non è solo un bell‟esempio di letteratura economica o una buona teoria
distante dalla realtà; esso è ben al di là di tutto ciò, essendo veramente un utile punto
di partenza per sviluppare ed implementare dei controlli all‟interno delle società che
consentano alle stesse di operare nel rispetto non solo della legge ma anche dei loro
valori stabiliti nello statuto e in ogni altro regolamento aziendale, evitando così attività
fraudolente. Il modello del sistema di controllo interno, inoltre, non è solo utilizzabile
ex ante, ossia in fase di ideazione ed implementazione, ma esplica la sua funzione
anche in un momento successivo, dopo l‟individuazione della frode, quando, per cer-
care di porre luce sui fatti, è necessario seguire delle indicazioni per capire dove so-
no stati commessi degli errori, come è stato possibile sfruttarli e quali conseguenze si
sono generate. In fondo, da questa analisi è possibile poi ripartire per ricostruire una
situazione sana e per cercare di evitare il ripresentarsi delle frodi. La spinta ad appli-
care tale approccio al presente lavoro è nata proprio dall‟analisi della letteratura in
- 80 -
merito alle frodi societarie e al sistema di controllo interno. I testi, i trattati nonché gli
articoli sulla materia tendono infatti a trattare le due tematiche in via separata, po-
nendo poca enfasi sul fatto che il sistema di controllo interno e le frodi sono in realtà
due facce della stessa medaglia e, in particolare, sul fatto che il primo possa essere
utilizzato come base da cui partire per analizzare le seconde. Sarebbe stato, infatti,
particolarmente utile, per mostrare apertamente l‟efficacia del sistema di controllo in-
terno e di quanto esplicitato nel CoSO Framework, se la letteratura economica aves-
se posto maggiore attenzione sull‟analisi dei casi che poi hanno portato all‟emissione
della Sarbanes – Oxley Act, effettuando in particolare una valutazione dei controlli
delle varie Enron, Arthur Andersen, WorldCom e Tyco International. Riflessioni di
questo tipo avrebbero avuto sicuramente un carattere più incisivo e avrebbero dav-
vero mostrato i benefici del sistema di controllo interno, spiegando, sulla base della
realtà, cosa debba essere veramente preso in considerazione al momento della sua
implementazione. Termini come valutazione del rischio, definizione degli obiettivi non
sarebbero stati per molti solo parole e non avrebbero rappresentato unicamente un
momento strategico necessario per “mettere nero su bianco” le intenzioni della socie-
tà. Al contrario sarebbero stati dei validi interrogativi a cui, per avere una risposta,
avrebbe seguito un‟attenta analisi delle attività svolte dalle imprese, evidenziando
così ad esempio i rischi accettati da un management eccessivamente aggressivo, gli
obiettivi troppo sfidanti a cui erano collegate le retribuzioni dei vertici, piuttosto che le
varie relazioni tra i soggetti che non rispettavano i principi di indipendenza ed integri-
tà. Per mostrare infatti l‟efficacia del sistema di controllo interno è necessario, a mio
parere, applicarlo direttamente alla realtà, utilizzandolo anche come strumento di a-
nalisi per la valutazione di una frode. A partire da tutte queste considerazioni e dalla
curiosità di vedere applicato il modello a una situazione reale, non delineata unica-
mente a fini didattici, è nato il presente capitolo, il cui obiettivo è proprio quello di fo-
calizzarsi su un esempio di frode che ho avuto la fortuna di osservare e seguire nei
primi mesi della mia esperienza lavorativa nell‟ambito della revisione presso lo Studio
Rödl & Partner, anche se il concetto di fortuna è relativo in questo caso, soprattutto
se si considera il punto di vista dei diretti interessati. In questa particolare occasione,
- 81 -
essendo intervenuti in qualità prima di financial auditor e successivamente ricopren-
do il ruolo di fraud auditor, quindi essendoci interessati alla vicenda dopo che la frode
era stata strutturata e messa in atto, il metodo di valutazione delle singole compo-
nenti del sistema di controllo interno, presentato nel precedente capitolo, è stato ap-
plicato come strumento per individuare e meglio delineare la frode, a supporto di tut-
te le informazioni che durante la nostra attività sono state raccolte ed analizzate. La
tabella contenente i commenti alle singole aree del sistema di controllo interno che è
stata redatta svolgendo l‟analisi critica del caso è riportata nell‟Appendice B.
Per chiari motivi di privacy non è possibile fare riferimento a nomi di persone o socie-
tà, ma è pur sempre lecito fare un breve ex cursus delineando quella che era la si-
tuazione economica che ha rappresentato l‟ambiente della frode. La società teatro di
quest‟ultima è la filiale italiana di un gruppo di origine tedesca, leader nel settore de-
gli strumenti di misurazione ad alta precisione. L‟impresa, operante da una quaranti-
na d‟anni in Italia, consegue ancora oggi ottimi risultati economici: nell‟ultimo triennio,
dal 2006 al 2008, la società ha realizzato in media un fatturato che si aggira intorno
ai 24,3 milioni di Euro, con un incremento del 4% dal 2007 al 2008, e un utile medio
ante imposte pari a 1 milione di Euro, registrando un salto del 72% nel giro degli ul-
timi tre anni. Eppure, questa situazione così positiva nascondeva già da alcuni anni
una frode perpetrata proprio dal vertice della subsidiary italiana nei confronti della
società, o meglio del socio tedesco. Il management, infatti, si comportava da circa un
quinquennio come se la società fosse di sua proprietà, utilizzandone i fondi per scopi
personali, confondendo il ruolo che gli era stato assegnato di gestore della filiale con
la figura del legittimo proprietario. Forse per cercare anche di evitare indagini da par-
te della casa madre e quindi per continuare indisturbata in questa sua attività fraudo-
lenta, la direzione aziendale della subsidiary ha sempre cercato di perseguire ottimi
risultati, che sono stati effettivamente conseguiti (ne sono la prova i dati che abbiamo
appena menzionato). Nonostante infatti il management non fosse assolutamente eti-
co, onesto né competente, bisogna pur comunque riconoscergli la grande capacità di
vendere i prodotti della società, grazie anche alla destrezza dell‟amministratore dele-
gato che si è sempre definito come un bravo ed abile venditore. Tuttavia, la società
- 82 -
italiana non si ricorderà forse di lui per queste sue doti, ma molto più probabilmente
per la frode che, insieme agli altri membri del gruppo manageriale, è riuscito a porta-
re avanti dal 2003 al 2008. L‟attività ai danni della società, infatti, è stata smaschera-
ta nel corso della revisione del bilancio al 31 dicembre 2008, incarico che è stato af-
fidato allo Studio Rödl & Partner. In qualità di revisori, già in fase di preaudit, ci siamo
accorti di come all‟interno di quella società ci fossero tutta una serie di incongruenze,
in termini di informazioni forniteci, e di incompatibilità, per quanto riguarda i ruoli rico-
perti dai lavoratori, che già al nostro primo incontro con la direzione ci avevano fatto
presupporre che durante l‟audit vero e proprio avremmo dovuto effettuare delle veri-
fiche più approfondite rispetto alle normali procedure standard. I nostri sospetti sono
stati infatti confermati qualche settimana dopo il nostro primo intervento da una se-
gnalazione anonima effettuata attraverso una e-mail, indirizzata direttamente ai verti-
ci della casa madre tedesca, scritta dalla maggior parte dei lavoratori della società. È
stato proprio su indicazione dei dipendenti della filiale che sono iniziate le nostre atti-
vità in qualità di fraud auditor: nella lettera, infatti, i whistleblower, è davvero il caso di
qualificarli con questo termine, hanno posto delle domande retoriche con le quali
hanno fornito indicazione su quali fossero le attività fraudolente portate avanti ormai
da anni dalla direzione aziendale12. Di questa situazione si era in realtà già reso con-
to il nuovo direttore generale nominato a maggio 2008, il quale ha riportato alla capo
gruppo tedesca quanto rinvenuto nella filiale italiana, senza però essere preso in
considerazione. La casa madre, inoltre, non lo ha nemmeno tutelato di fronte alla de-
cisione dell‟amministratore delegato di licenziarlo a novembre dello stesso anno ap-
portando come giustificazione il mancato superamento del periodo di prova. La so-
cietà, anche se qui è meglio parlare del gruppo nella sua interezza, non era dotata,
come si può ben notare, di adeguati canali di comunicazione interni consoni per il ri-
ferimento di eventuali irregolarità, come richiesto dal CoSO Report. Ciò nonostante,
12 La segnalazione anonima da parte dei dipendenti è il metodo più diffuso per individuare una frode societaria e ciò è anche
confermato dai Report to the Nation pubblicati dal 2002 al 2008 che, in una sezione dei loro studi, si sono preoccupati di inda-
gare quali fossero gli strumenti più diffusi e frequenti per venire a conoscenza di una frode evidenziando proprio come circa il
40% delle frodi siano individuate grazie a delle segnalazioni effettuate anonimamente piuttosto che da lavoratori, clienti o forni-
tori.
- 83 -
la seconda segnalazione effettuata dalla maggioranza dei dipendenti della società ha
insospettito il socio tedesco che non solo ha accolto la richiesta di effettuare dei con-
trolli più stringenti nella subsidiary italiana, ma ha anche tutelato l‟anonimato richiesto
dai lavoratori non riferendo la loro identità nemmeno a noi revisori. Di seguito viene
riportata la lettera che è stata inviata dai dipendenti della società.
Fig. 3.1 – Lettera anonima inviata dalla maggioranza dei lavoratori della filiale italiana per segnalare la frode in atto all‟interno
della società.
- 84 -
Proprio su queste velate rivelazioni si è delineato il nostro lavoro in qualità di fraud
auditor; convocati direttamente dal CFO della capogruppo tedesca, abbiamo ricevuto
il mandato di svolgere un‟indagine piuttosto approfondita sulle questioni evidenziate
dai dipendenti della filiale italiana.
Il punto di partenza del nostro lavoro sono state tutte quelle situazioni che si erano
verificate negli ultimi anni e che potevano essere riconducibili a delle red flag identifi-
cative della frode in corso. L‟approccio che abbiamo adottato, che si basa sulla de-
terminazione della probabilità che un certo evento individuato sia effettivamente una
prova tangibile della frode, è enunciato anche da Tommie e Aaron Singleton nel loro
“Fraud Auditing and Forensic Accounting”. Tale approccio mira fondamentalmente a
suddividere i fatti, le transazioni analizzate e i dati raccolti in quattro gruppi, a secon-
da del grado di rischio che si stia perpetrando una frode.
I due autori americani, a riguardo, hanno infatti specificato come, nel caso in cui una
certa transazione non rappresenti una red flag, sia possibile attribuire un basso ri-
schio di frode a essa, concentrandosi così solo in via superficiale sulla stessa al fine
di conseguire una ragionevole certezza in merito alla sua legittimità.
Nell‟eventualità in cui, al contrario, siano individuabili delle red flag identificative di
una frode, è necessario analizzarle più nello specifico al fine di capire quali di esse
rappresentino delle anomalie.
Queste ultime, in particolare, possono essere dei semplici errori, che sottolineano
comunque una carenza del sistema di controllo, o possono essere effettivamente
un‟evidenza della frode e costituiranno il punto di partenza per sviluppare un‟analisi
più dettagliata della situazione. Il procedimento da seguire in questo modello per i-
dentificare le frodi è riassumibile meglio in uno schema:
- 85 -
Fig. 3.2 – Approccio per la classificazione delle informazioni raccolte all‟interno di un fraud audit.
L‟analisi più approfondita di tutte le informazioni che abbiamo richiesto nel corso del-
la nostra indagine ci ha permesso, una volta giunti al termine, di identificare gli
schemi di frode che erano stati portati avanti dall‟amministratore delegato e dagli altri
membri del top management, seguendo lo schema ad albero dell‟ACFE:
utilizzo improprio dei beni aziendali nonché trasferimento all‟amministratore
delegato di alcuni che erano stati qualificati come tali;
conflitto di interessi riguardante l‟amministratore delegato in transazioni svolte
con la società;
appropriazione indebita di fondi della società, in particolare mediante il ricono-
scimento di gratifiche e di fringe benefit non giustificati attribuiti
dall‟amministratore delegato a se stesso e agli altri soggetti che ricoprivano
posizioni apicali all‟interno della società.
I soggetti attivi di questo caso di frode sono, come si può già dedurre, i membri della
direzione aziendale della filiale italiana, che erano stati promossi a dirigenti unica-
mente in quanto legati da un rapporto fiduciario con l‟amministratore delegato. Que-
sta progressione di carriera, non basata sul principio meritocratico, aveva portato a
una struttura organizzativa che non poteva assolutamente essere definita adeguata
per le esigenze della società.
Analisi delle infor-
mazioni e delle tran-
sazioni
Non sono individuabili
delle red flag
Sono individuabili delle
red flag
Non rappresentano
delle anomalie
Rappresentano del-
le anomalie
Transazioni
non rischiose
Transazioni
sospette
Errori
Frodi
- 86 -
Fig
.3.3
– O
rgan
igra
mm
a d
ella
socie
tà.
- 87 -
Come mostra l‟organigramma in fig.3.3, il numero di dirigenti era del tutto eccessivo
considerando che l‟organico della società era di poco superiore alle cinquanta perso-
ne. Tant‟è che alcuni responsabili, quale l‟addetta al personale, non avevano neppu-
re un sottoposto da dirigere. Tale abbondanza di dirigenti non garantiva però il rispet-
to del principio della separazione dei compiti in quanto, ad esempio, la gestione della
cassa, degli anticipi, delle note spese e degli stipendi erano accentrate tutte nelle
mani di un‟unica persona. Le carenze riguardanti i sistemi di controllo dell‟area del
personale esistevano anche a livello più generale, ovvero considerando le procedure
in materia di assunzioni: anche in questo ambito valeva come unico principio guida la
discrezionalità dell‟amministratore che pertanto, non richiedendo alcuna procedura
formalizzata, non si preoccupava di compilare né tanto meno conservare i fascicoli
delle candidature o i verbali dei colloqui. Durante la nostra indagine abbiamo avuto
evidenza delle conseguenze di tale debolezza del sistema di controllo interno; la so-
cietà, infatti, non ponendo alcuna attenzione ai curricula o alla formazione dei sog-
getti che si presentavano come candidati, aveva in particolare all‟interno del suo or-
ganico un soggetto con precedenti un po‟ particolari. Il magazziniere, infatti, era stato
coinvolto in atti di vandalismo da stadio nel 2001 per i quali è attualmente in corso un
processo che pare si concluderà ad aprile 2010. La società, una volta venuta a co-
noscenza di questo fatto, non ha assunto alcun tipo di provvedimento nei confronti
del suo dipendente, che già da alcuni anni prestava la sua attività per l‟impresa e,
nonostante il suo ruolo non lo richiedesse assolutamente, era stato promosso col
tempo a dirigente della logistica entrando a far parte della sfera di prediletti
dell‟amministratore delegato.
Continuando nell‟analisi della frode, possiamo notare e confermare come la compo-
nente del sistema di controllo maggiormente trascurata all‟interno della società in
questione fosse sicuramente l‟ambiente di controllo. In aggiunta a quanto già detto in
merito alla struttura organizzativa e alle politiche riguardanti le risorse umane, biso-
gna rilevare anche che la società non si era minimamente preoccupata di soddisfare
i requisiti richiesti per un ambiente integro ed etico: non aveva infatti adottato un co-
dice di condotta e non si era nemmeno mai interessata a diffondere nella filiale italia-
- 88 -
na lo spirito e i valori del gruppo, sebbene ormai non ci sia noto sapere se effettiva-
mente la casa madre avesse dato delle direttive a riguardo al vecchio management.
Forse non esisteva un manuale di comportamento neppure nella casa madre, ma si-
curamente questa avrà richiesto, almeno in modo informale (ed è qui la debolezza
sfruttata dalla direzione aziendale italiana), un comportamento esemplare che potes-
se fungere da guida e da esempio a tutti i dipendenti della subsidiary. Sfruttando la
sottile linea di demarcazione tra quello che era considerato lecito dal socio in quanto
parte di politiche aziendali e ciò che al contrario non lo era in quanto abuso di potere
da parte del management, il gruppo dirigenziale ha per anni tenuto un comportamen-
to assolutamente poco etico, a favore di frodi e omissioni. In una situazione come
questa, dove la distanza tra il socio e il management accentua ancora di più il feno-
meno della separazione della proprietà e del controllo, sarebbe stato quanto meno
auspicabile che la capogruppo tedesca mettesse per iscritto alcune linee guida ri-
guardo agli atteggiamenti richiesti ai soggetti in posizione apicale all‟interno della
propria filiale e controllasse che questi fossero davvero rispettati. Questo clima di di-
sinteresse generale ad elevati standard etici ha avuto, come evidenziano gli stessi
dipendenti nella loro segnalazione, delle ripercussioni sull‟intera organizzazione della
società in termini di immagine, performance e qualità del lavoro. L‟atteggiamento la-
scivo del management era percepibile anche semplicemente osservando l‟approccio
che adottava nei rapporti con soggetti terzi, anche nei confronti di noi revisori: le no-
stre controparti non assumevano comportamenti professionali, più volte manifesta-
vano apertamente disinteresse alle nostre richieste e, infastiditi, ci fornivano la do-
cumentazione richiesta con tempi che non potevano essere definiti certo celeri. La
convinzione del management di poter dettare delle regole di comportamento proprie,
adeguate alle sue esigenze e non a quelle della società, aveva poi portato
all‟adozione di una serie di provvedimenti eccezionali, che si scostavano da ogni tipo
di procedura aziendale approvata o approvabile. Sebbene infatti la capogruppo tede-
sca non avesse mai specificato nulla in merito ai rapporti personali tra la società e i
suoi dipendenti, è assolutamente anormale e aggiungerei anche fuori luogo che, nel
nostro caso specifico, il responsabile del magazzino avesse chiesto e ottenuto una
- 89 -
decina di anni fa un prestito dalla società, senza alcuna traccia di documentazione
che regolasse il finanziamento e senza nemmeno una procedura che attestasse la
regolarità dell‟erogazione di denaro. A distanza di alcuni anni inoltre il medesimo d i-
pendente aveva chiesto un ulteriore esborso, anche in questa seconda occasione
senza redigere alcun tipo di documento attestante questo rapporto anomalo. È asso-
lutamente inconsueto e possiamo aggiungere anche irregolare che un dipendente
della società si faccia finanziare per motivi non chiari né delineati dalla società, attin-
gendo liberamente ai suoi fondi che dovrebbero essere salvaguardati e per di più,
parlando di una S.r.l., mantenuti separati dal patrimonio personale dei soci … figu-
riamoci dei suoi dipendenti! Questa tendenza a prelevare fondi dalla società senza
alcuna limitazione di sorta quale, ad esempio, la necessità di formulare una richiesta
formale, piuttosto che l‟obbligo di ottenere il benestare di altri soggetti gerarchica-
mente superiori, era tuttavia alquanto diffusa tra i membri del top management, so-
prattutto in quanto comportamento abitualmente tenuto dal soggetto al vertice
dell‟intera struttura, l‟amministratore delegato. Questi, infatti, aveva la consuetudine
di richiedere il pagamento del proprio stipendio qualche giorno prima dell‟emissione
del regolare cedolino, senza quindi un‟effettiva base di calcolo per il pagamento
stesso, che veniva effettuato considerando il valore netto dello stipendio del mese
precedente, lasciando poi spazio per eventuali conguagli, in difetto o in eccesso. Tut-
to ciò era assolutamente inspiegabile e irragionevole; le ipotesi prospettabili poteva-
no essere solo due: o veniva modificata la regola in merito alla data di emissione del
cedolino per l‟intero organico oppure questa strana abitudine dell‟amministratore non
aveva senso di esistere. A rendere il tutto ancora più inusuale si aggiungeva il fatto
che egli effettuava anche dei prelievi di denaro dalla cassa per importi che poi veni-
vano conguagliati con il suo stipendio, con una notevole complicazione delle scritture
contabili. Il problema risiedeva nel fatto che, nonostante i conguagli, il saldo del conto
“crediti verso amministratore delegato” non si azzerava mai ma manteneva sempre
un valore non nullo anche se sicuramente non elevato (ma qui, rientrando ormai la
nostra indagine nell‟ambito del fraud audit non si può più applicare il concetto di ma-
terialità così caro ai financial auditor avendo ogni importo carattere rilevante).
- 90 -
Dall‟analisi del conto abbiamo appurato che esso era costituito da anticipi di varia na-
tura per un importo di circa 4.000 Euro a cui si aggiungevano 3.500 Euro che rappre-
sentavano il residuo ancora da pagare per la vendita dell‟auto che la società gli ave-
va fornito da alcuni anni come fringe benefit (vendita che aveva avuto luogo nel
maggio 2008 e il cui importo però non era ancora stato interamente saldato a marzo
2009). E qui, cominciando ad indagare sui fringe benefit, abbiamo cominciato a sco-
prire una stranezza dopo l‟altra che sono andate a comporre piano piano il puzzle
della frode. Il primo tassello è rappresentato dall‟automobile aziendale che era stata
attribuita all‟amministratore delegato in modo da facilitargli gli spostamenti ogni qual
volta fosse venuto in Italia (egli infatti risiedeva in un altro Paese della comunità Eu-
ropea, nonostante passasse molto tempo nella filiale italiana). L‟auto, per la quale la
società aveva stipulato un leasing, è stata riscattata al termine del contratto dalla so-
cietà stessa per conto dell‟amministratore (che quindi aveva utilizzato una volta an-
cora i fondi aziendali a titolo di finanziamento, a tasso zero ovviamente) a un prezzo
di 13.500 Euro. Il prezzo di riscatto in sé non è significativo, anche perché si sa che
al termine di un contratto di leasing, per favorire l‟acquisto del bene, viene richiesta
una cifra possiamo dire simbolica per la compravendita. In realtà, i sospetti ci sono
comunque sorti in quanto quell‟importo ci è sembrato comunque irrisorio per una
Mercedes del 2007, quotata sulla celebre rivista Quattroruote intorno ai 25.000 Euro.
Alle nostre richieste in merito al criterio adottato per quantificare il prezzo di riscatto,
la responsabile della contabilità si è giustificata dicendo che l‟importo era stato de-
terminato attraverso una valutazione della compagnia di assicurazioni, valutazione di
cui ovviamente non si aveva più traccia. Contattando però direttamente il valutatore
siamo riusciti a riottenere il range precedentemente proposto per l‟auto che era stato
stabilito tra i 19.000 e i 22.000 Euro con una riduzione di 5.000 Euro relativa a un
preventivo per una riparazione (il motivo per cui la riparazione dell‟auto aziendale
dell‟amministratore che solo lui poteva utilizzare dovesse essere a carico della socie-
tà rimane ancora un punto aperto e inspiegato).
In questa operazione societaria, chiaramente tra parti correlate, è evidente l‟interesse
dell‟amministratore delegato, il quale non ha avuto l‟obbligo di astenersi dal compi-
- 91 -
mento della stessa, essendo la società una S.r.l. e non una S.p.a. L‟art. 2475-ter re-
lativo al conflitto di interessi degli amministratori di una S.r.l. prevede, infatti, sola-
mente che “le decisioni adottate dal Consiglio di Amministrazione con il voto deter-
minante di un amministratore in conflitto di interessi con la società, qualora le cagio-
nino un danno patrimoniale, possono essere impugnate entro novanta giorni dagli
amministratori […]”. L‟aspetto rilevante, nel nostro caso, risulta essere la difficoltà di
impugnare la decisione dell‟amministratore delegato da parte di un organo ammin i-
strativo, che, seppur collegiale, era costituito solo da due membri: il rappresentante
del socio tedesco (residente anch‟egli in Germania), presidente del Consiglio, e
l‟amministratore delegato stesso. Un organo amministrativo così strutturato, infatti,
sebbene rispetti la best practice di riferimento che consiglia di separare le figure
dell‟amministratore delegato e del presidente del Consiglio di Amministrazione, non è
tuttavia conforme alle ulteriori previsioni in materia di corporate governance, riprese
anche nel modello del sistema di controllo interno. In questa circostanza, infatti, non
si può parlare di autonomia del Consiglio di Amministrazione dal management, tenu-
to conto che le decisioni dell‟amministratore delegato erano assolutamente incontra-
state non trovando nel Consiglio una controparte che le mettesse in discussione.
Non meno sospette della vendita dell‟automobile all‟amministratore erano tutti i vari
acquisti di auto che sono stati effettuati negli ultimi anni da parte degli altri membri
del gruppo dirigenziale, che le utilizzavano tranquillamente come se fossero res pri-
vatae. La medesima situazione si estendeva poi anche ai notebook e ai cellulari che
venivano cambiati periodicamente, forse un po‟ troppo di frequente dato che gli ac-
quisti di nuovo materiale tecnologico venivano effettuati ogni anno. Anche in questi
casi mancava del tutto una procedura di autorizzazione formale e di restituzione del
vecchio benefit, tant‟è che ciascun dirigente era in possesso di addirittura tre compu-
ter e due o più cellulari. Quelli dismessi, nonostante pare che l‟intenzione fosse quel-
la di devolverli in beneficenza a orfanotrofi e scuole, essendo comunque ancora in
buono stato, erano accatastati nell‟ufficio dell‟IT support, adagiati sul pavimento o
all‟interno di armadi, senza essere stornati dal libro cespiti che conteneva ancora
vecchi modelli sia di pc che di telefoni, oltre che nuovi modelli di smartphone e persi-
- 92 -
no di macchine fotografiche che, nonostante il nostro duplice controllo di presa fisica
dei beni, non sono mai stati rinvenuti. L‟impatto in bilancio di tutti questi acquisti non
è stato né quantificabile, né stimabile non essendoci nemmeno una lista di tutti i beni
realmente presenti in azienda, in quanto il management riteneva del tutto inutile redi-
gere un inventario dei beni materiali. La mala gestione di questi, tuttavia, era eviden-
te e sarebbe stata facilmente rilevabile anche solo osservando l‟elenco dei computer
tenuto dall‟IT manager, secondo il quale, all‟interno dell‟impresa, avrebbero dovuto
esserci 69 postazioni informatiche pur essendoci solo 52 collaboratori! La difficoltà di
quantificare l‟impatto contabile era dovuta inoltre alla complessità di risalire a ciò che
era effettivamente in possesso di ciascun soggetto: basti menzionare che alla nostra
domanda in merito a dove fossero ad esempio le due macchine fotografiche ultima
generazione abbiamo ottenuto tre risposte diverse da soggetti che, indicati come uti-
lizzatori abituali delle fotocamere, una volta interpellati personalmente, sono stati co-
sì abili da scaricare la responsabilità sempre su altre persone. Le fotocamere tuttavia
non erano gli unici beni aziendali che durante il nostro inventario fisico dei cespiti non
sono stati rinvenuti, in quanto oltre a questi non abbiamo trovato in azienda altri beni
quali, a titolo esemplificativo, una vetrinetta per l‟esposizione dei vini e un set di pol-
troncine vestite, che ci è stato detto erano tutti in realtà a disposizione … a casa
dell‟amministratore delegato! Questi, infatti, disponeva di un appartamento che pos-
siamo definire anche in questo caso aziendale in quanto le spese, che ammontavano
a 23.500 Euro all‟anno, erano tutte a carico della società italiana. Il contratto, stipula-
to dall‟amministratore stesso nel 2007, aveva sostituito un precedente accordo per
un altro appartamento, sito nei medesimi dintorni, che era stato utilizzato dal 2004 al
2008 (per un periodo pertanto la società ha sostenuto le spese di entrambe le abita-
zioni). Analizzando in parallelo il contratto di lavoro dell‟amministratore e i contratti
immobiliari sottoscritti da quest‟ultimo abbiamo riscontrato come la società non gli
avesse assolutamente riconosciuto il diritto a un appartamento aziendale; la stipula
dei due contratti di locazione e l‟uso privato degli stessi in questi anni possono per-
tanto essere considerati come abuso di poteri e utilizzo a scopi privati dei fondi della
società. Tale schema di frode veniva nel frattempo perpetrato anche in un altro mo-
- 93 -
do, facendo uso delle due carte aziendali che la società aveva messo a disposizione
dell‟amministratore delegato. Questi giustificava i suoi continui utilizzi delle carte so-
stenendo che, per motivi di tempo e di convenienza, non era ancora riuscito ad aprire
in Italia un conto corrente personale su cui addebitare le sue spese private. Per que-
sto motivo, periodicamente, stilava, sempre con l‟aiuto della responsabile del perso-
nale a cui richiedeva anche gli anticipi dello stipendio e i prestiti dalla cassa, una lista
di quelle che erano, a suo parere, le spese di tipo privato che si era fatto anticipare
dalla società, anche se forse il termine migliore è “finanziare” dato che spesso i con-
guagli non avvenivano dopo pochi giorni. Per avere un‟idea dell‟ammontare delle
spese private sostenute dall‟amministratore nel corso degli ultimi anni abbiamo effet-
tuato un‟analisi molto dettagliata degli estratti conto delle carte di credito dal 2003 al
2008, classificando le spese in personali, non documentate e non adeguatamente
documentate sulla base sia della descrizione che veniva fornita nell‟estratto conto
bancario sia delle eventuali poche ricevute che erano state fornite
dall‟amministratore. Questi, infatti, insieme agli altri membri del management, non
seguiva la normale procedura che veniva al contrario imposta agli altri collaboratori e
dipendenti in merito alla redazione delle note spese e alla compilazione delle schede
carburante, ma segnalava a campione delle spese che avrebbe compensato con il
suo stipendio in quanto personali, tralasciandone altre che a nostro avviso erano pa-
lesemente non inerenti con l‟attività aziendale e altre che, in mancanza di documen-
tazione, non potevano essere considerate come tali.
I risultati dell‟analisi effettuata sono riportati nella seguente tabella, la quale riepiloga
le tre categorie di spese che, a nostro avviso, dovevano essere considerate sospette,
più che altro perché, senza la documentazione comprovante non solo l‟inerenza ma
anche la tipologia di spesa e i fruitori, non siamo stati in grado di trovare una giustifi-
cazione per le stesse con tutta una serie di conseguenze contabili e fiscali in quanto
in quest‟ultimo ambito tali costi non sono sempre totalmente deducibili (valutazione
che evidentemente non è stata svolta dalla società).
- 94 -
Anno Carta di
credito
Importo totale
delle spese
Spese di na-
tura privata
Spese non do-
cumentate
Spese non adeguata-
mente documentate
2008 Am Ex 45.027,22 11.100,27 4.825,44 2.792,09
2008 VISA 5.588,83 2.161,48 1.368,77 1.243,20
2007 Am Ex 38.522,69 15.093,67 1.587,58 6.600,54
2007 VISA 6.038,64 145,09 548,47 3.830,27
2006 Am Ex 60.902,60 20.338,79 6.112,81 11,448,00
2006 VISA 5.620,81 - 462,09 4.124,95
2005 Am Ex 39.313,89 18.985,54 601,21 11.644,83
2005 VISA 3.648,84 - 1.282,80 2.345,67
2004 Am Ex 23.134,84 9.062,41 1.075,30 1.786,36
2004 VISA 8.184,55 - - -
2003 Am Ex 6.586,31 - 140,00 3.918,00
2003 VISA 7.286,54 - - -
Totale 249.855,75 76.887,25 18.004,87 49.733,91
All‟interno delle spese che abbiamo qualificato come deliberatamente private abbia-
mo riscontrato, oltre a innumerevoli acquisti di voli e di noleggi di autovetture da par-
te dell‟amministratore per le sue visite alla famiglia, anche acquisti di voli per i figli,
nonché per altri membri del top management, in particolare per la responsabile
commerciale, con la quale è capitato che trascorresse week end privati “offerti” dalla
società. L‟amministratore ci ha riferito in realtà di avere sempre compensato le spese
private sostenute durante l‟anno con il bonus che gli veniva riconosciuto a dicembre;
tuttavia nel corso del nostro fraud audit abbiamo appurato che la presunta compen-
sazione è stata effettuata esclusivamente per alcune spese manifestamente private,
quali una crociera negli anni 2006 e 2007. Solo dopo la nostra analisi
l‟amministratore ha riconosciuto come personali alcune spese relative all‟anno 2008
per un importo pari a 7.185,55 Euro, comunque inferiore di 3.914,72 Euro rispetto a
quello da noi identificato e comunque comprensivo di molti voli che aveva effettuato
- 95 -
per fare visita alla famiglia, confermando indirettamente le nostre supposizione an-
che per gli anni precedenti (di cui però non abbiamo potuto avere maggiori dettagli).
In conclusione, l‟ammontare totale delle spese sospette nel quinquennio analizzato è
pari a 144.625,63 Euro. Ad aggravare la situazione si aggiungeva il fatto che molto
probabilmente le carte di credito dell‟amministratore delegato erano accessibili anche
ad altri soggetti in quanto abbiamo trovato traccia di spese effettuate in Italia e in
Svizzera in giorni in cui l‟amministratore era certamente in Olanda. Tuttavia, questa
supposizione è sempre rimasta nella sfera dei dubbi poichè non ci è stato conferma-
to nulla a riguardo né ci è stata fornita alcuna spiegazione in merito. Per completare
il quadro dei benefici che il top management non si faceva mancare, vanno menzio-
nati inoltre i bonus che l‟amministratore delegato autorizzava in primis a se stesso e
secondariamente a tutti gli altri membri della direzione. Va precisato che durante il
2008 i costi per il personale hanno registrato un incremento pari a 653.000 Euro, il
22% in più rispetto al valore del 2007, giustificati per più di 300.000 Euro come au-
menti di stipendi e contributi erogati al personale (la restante parte era dovuta alle
assunzioni avvenute durante l‟anno, considerando anche il nuovo direttore generale).
Non esistendo un sistema di controllo su tale tipologia di costi (non abbiamo riscon-
trato, come già precedentemente detto, alcuna procedura formale in merito alle retri-
buzioni e all‟area del personale) è stato piuttosto complesso risalire ai costi per cia-
scun collaboratore, anche perché i dati che abbiamo chiesto alla responsabile del
personale, quali lo stipendio fisso, la parte variabile, le indennità, i giorni di ferie e i
pagamenti straordinari, ci sono poi pervenuti senza alcun tipo di split up, semplice-
mente sommati all‟interno di un unico importo riassuntivo delle somme percepite nel
2008 dai singoli lavoratori. Attraverso un‟analisi dettagliata e una comparazione tra i
dati del 2007 e quelli del 2008 siamo comunque riusciti a determinare la causa pre-
dominante alla base di un aumento così consistente degli stipendi: 2/3 dei 300.000
Euro era dovuto infatti a incrementi nelle retribuzioni dei quadri e dei dirigenti. Per
rendere più chiara la situazione, basti menzionare i due casi, a mio parere, più elo-
quenti: la responsabile del personale ha percepito nel 2008 una retribuzione pari a
circa 83.000 Euro, con un incremento del 14% rispetto all‟ammontare conseguito
- 96 -
l‟anno precedente, mentre lo stipendio del magazziniere (ovvero il responsabile della
logistica) si è aggirato nel 2008 intorno ai 56.000 Euro con un incremento del 55%
durante l‟anno. A queste variazioni vanno ulteriormente aggiunti le due categorie di
bonus erogate a dicembre: la prima determinata dalla casa madre in conformità a un
comunicato di agosto che ha interessato un po‟ tutti i dipendenti, la seconda determi-
nata sempre dall‟amministratore delegato che ha certamente tenuto in considerazio-
ne la maggior parte dei collaboratori, seppur con una certa disparità, in quanto per 32
dipendenti sono stati stanziati 17.500 Euro (supponendo di dividerli equamente tra i
collaboratori, ciascuno di essi ha percepito una media di 547 Euro), mentre per i soli
responsabili del personale, della contabilità e del magazzino sono stati erogati rispet-
tivamente 8.500 Euro, 4.000 Euro e 2.000 Euro. Le basi per la determinazione di tali
ammontare erano sempre il legame di amicizia che poteva esistere con
l‟amministratore delegato e la discrezionalità di quest‟ultimo, il quale aveva applicato
il medesimo metodo dal 2004 al 2007 anche per quantificare il compenso a lui spet-
tante; questo, infatti, non era stato determinato in quegli anni dall‟Assemblea dei Soci
come avrebbe dovuto essere, ma era stato stabilito dal Consiglio di Amministrazione,
di cui l‟amministratore delegato era membro. Solo a partire dal 2008, anno in cui è in-
tervenuto il cambiamento del CFO della casa madre, la determinazione del suo com-
penso è ritornata tra le competenze dell‟Assemblea. Con l‟arrivo del nuovo CFO si
sono verificati per di più una serie di cambiamenti anche a livello della filiale italiana
che non sono stati certamente ben accolti dal management della subsidiary ma che
poco a poco, in seguito alla presa di coscienza delle lacune del sistema di controllo
interno, hanno portato a un miglioramento della situazione relativamente ai controlli.
La frode perpetrata dalla direzione aziendale della società italiana è stata infatti favo-
rita e facilitata dalle carenze nelle attività di controllo del sistema interno all‟impresa,
anche se forse è il caso di estendere tali mancanze anche a livello della capogruppo.
Nessuno di fatto si è mai preoccupato, prima della nostra indagine, di porre domande
in merito a quanto veniva deciso dall‟amministratore delegato: non sono mai stati
chiesti report sulla gestione, documenti sulle procedure sviluppate internamente o in-
formazioni sulle promozioni e sugli avanzamenti di carriera delle stesse persone. Il
- 97 -
Collegio Sindacale precedente a quello attualmente vigente non ha mai svolto in mo-
do completo le attività di controllo di sua competenza manifestando così una scarsa
professionalità evidente anche solo analizzando i rapporti personali che lo legavano
alla società. Il mancato rispetto del principio di indipendenza, infatti, riguardava an-
che i soggetti che avrebbero dovuto garantire il rispetto delle norme e il corretto an-
damento della gestione aziendale. Esistevano per l‟appunto tutta una serie di legami
di parentela tra la società e lo studio di consulenza fiscale (la figlia del titolare di
quest‟ultimo era stata infatti assunta nell‟ufficio vendite) e tra i sindaci e l‟avvocato
della società, sorella del Presidente del Collegio. Inoltre i precedenti revisori della so-
cietà provenivano dal medesimo studio che si occupava anche della redazione del
bilancio e delle dichiarazioni dei redditi. Non c‟è da stupirsi che la frode sia stata svi-
luppata e si sia alimentata per tutti questi anni, essendoci, in generale, un clima di
laissez – fair. Con l‟arrivo del nuovo CFO in Germania, però, si è assistito a un radi-
cale cambiamento della situazione: non solo è stata presa in considerazione ed effet-
tuata un‟attenta analisi di quelle che erano tutte le irregolarità compiute dal
management, ma c‟è stata un‟effettiva presa di coscienza della mancanza di un ade-
guato sistema di controllo interno, le cui carenze, alla luce dei fatti, sembrano essere
state intenzionalmente create dall‟amministratore delegato per realizzare e sfruttare
possibili irregolarità.
Successivamente al nostro intervento sono state effettuate tutta una serie di azioni di
follow – up mirate a ristabilire l‟equilibrio all‟interno della filiale italiana. Prima però di
focalizzarsi sul disegno e sull‟implementazione del sistema di controllo, è stata avvia-
ta una ristrutturazione aziendale mirata fondamentalmente a rimuovere innanzitutto i
componenti del management perpetratori della frode e in secondo luogo il Collegio
Sindacale che è stato sostituito con soggetti terzi, indipendenti e soprattutto con una
maggiore competenza e professionalità. A capo del nuovo team è stato nuovamente
collocato colui che già a maggio del 2008 era stato indicato come direttore generale,
che, riprendendo la posizione che gli era stata negata dall‟amministratore delegato,
si sta preoccupando ora di costruire un‟adeguata struttura di controlli che possa ga-
rantire il rispetto dei valori del gruppo e della normativa.
- 98 -
- 99 -
Conclusioni
Al termine del percorso effettuato in questo lavoro in cui sono stati trattati l‟universo
delle frodi e i modelli più accreditati relativi al sistema di controllo interno, è possibile
ora fare delle riflessioni sulle teorie fin qui esposte e sul livello di comprensione in Ita-
lia delle stesse. È innegabile che la pubblicazione da parte del Committee of
Sponsoring Organizations of the Treadway Commission (CoSO) del modello di si-
stema di controllo interno e di quello di Enterprise Risk Management ha sicuramente
scosso i soggetti ai vertici delle società italiane, focalizzando la loro attenzione sulla
necessità di adottare delle strutture a supporto della definizione degli obiettivi e dei
rischi, nonché dell‟attività di prevenzione di eventuali frodi. Nonostante il livello di
consapevolezza dei manager e degli amministratori sia a riguardo sicuramente mag-
giore rispetto a qualche decennio fa, si riscontra comunque una bassa percezione ed
una ancora errata comprensione dei caratteri e delle potenzialità dei due modelli, so-
prattutto nell‟area del fraud audit. Talvolta, infatti, le teorie in essi esplicitate risultano
ai più delle mere speculazioni; in altre circostanze, invece, sebbene sia compreso
l‟effettivo beneficio derivante dall‟adozione di questi sistemi, anche in termini di indi-
viduazione delle frodi, influiscono negativamente sulla decisione finale di implemen-
tarli i costi da sostenere e le risorse da investire. Quanto fin qui esposto è confermato
da recenti sondaggi, proposti ad alcune società italiane, i quali evidenziano appunto
che il 94% delle imprese intervistate si è mostrata sensibile alle tematiche affrontate
dall‟ERM, nonostante solo la metà di queste ultime l‟abbia concretamente messo in
atto. Questa ritrosia interessa in particolar modo le realtà minori, dotate di scarse e
limitate risorse rispetto alle loro concorrenti di grandi dimensioni, le quali sono anche
maggiormente incentivate ad investire nei sistemi di controllo per preservare anche
la loro immagine di fronte al mercato. La tesi che si è voluta evidenziare all‟interno di
questo lavoro, sia ricorrendo alla teoria generale del sistema di controllo interno, sia
descrivendo un caso pratico incentrato sulle possibili conseguenze di un suo manca-
to utilizzo, è che i benefici in termini di creazione di valore degli azionisti, di com-
- 100 -
pliance, di efficiente allocazione delle risorse, ma soprattutto di prevenzione dalle at-
tività fraudolente, potrebbero essere facilmente goduti da ogni azienda semplicemen-
te implementando un sistema di controllo interno, nella sua “versione” del 1992 piut-
tosto che del 2004. Il problema consiste nel fatto che esistono ancora, soprattutto per
le realtà medio – piccole italiane, delle barriere alla realizzazione di sistemi di control-
lo completi e conformi al modello proposto dal CoSO Report. Ciononostante è possi-
bile comunque superarle e adottare una soluzione intermedia facendo riferimento al-
la Guidance for Smaller Public Companies Reporting on Internal Controls over Fi-
nancial Reporting proposta dallo stesso Committee. Questo Report infatti può rap-
presentare davvero per la nostra realtà il giusto canale di collegamento tra la situa-
zione reale e quella utopica in primis per far conoscere meglio la teoria e seconda-
riamente per spingere sempre più imprese alla sua realizzazione. Adottare un siste-
ma di controllo interno meno formalizzato, in un certo qual modo anche meno struttu-
rato rispetto a quello descritto nelle pubblicazioni del 1992 e del 2004, non significa
fallire nell‟intento, ma bensì raggiungere comunque l‟obiettivo evitando lo “spreco” di
risorse (prima fra tutte il tempo) così tanto temuto dai manager. In una circostanza
come quella descritta nel terzo capitolo del presente lavoro, ad esempio, si sarebbe
potuto benissimo evitare il perpetrarsi della corporate fraud così a lungo o addirittura
lo stesso suo verificarsi se fosse stata posta un po‟ più di attenzione all‟ambiente di
controllo, definendo delle linee guida non necessariamente strutturate in un codice
formale di condotta, ma per lo meno diffuse verticalmente all‟interno di tutto il gruppo,
e ponendo un po‟ più di attenzione alle red flag identificative dell‟illecito effettuando le
attività minime di monitoraggio e di controllo e rispettando i principi base
dell‟indipendenza e della professionalità. In conclusione, al fine di sfruttare a pieno le
potenzialità del sistema di controllo interno anche come mezzo preventivo e strumen-
to di identificazione delle frodi, sarebbe auspicabile che le società, superando i clichè
legati alle strutture di controllo, cominciassero a credere fino in fondo nelle opportuni-
tà offerte dal modello e ad implementarlo, anche iniziando dall‟ultima versione ridotta
proposta dallo stesso Committee.
- 101 -
APPENDICE A
RISULTATI DELLE STATISTICHE SULLE FRODI
In questa sezione del lavoro sono stati raccolti i dati emergenti da varie statistiche in-
centrate sulle frodi più frequentemente perpetrate nell‟ultimo decennio, valori che so-
no stati poi oggetto di un‟analisi finalizzata all‟identificazione delle aree di bilancio più
critiche in quanto maggiormente interessate da attività fraudolente. Le fonti da cui
sono stati estrapolati i dati sono rappresentate da una serie di report pubblicati
dall‟Association of Certified Fraud Examiners (ACFE) e da KPMG nel corso degli an-
ni. I primi risultati presi in considerazione in questa sede sono quelli elaborati
dall‟ACFE che ha pubblicato negli anni 1996, 2002, 2004, 2006 e 2008, i cosiddetti
Report to the Nation on Occupational Fraud & Abuse, relazioni nelle quali sono stati
riassunti i risultati di inchieste e questionari sottoposti a un campione di società ame-
ricane, al fine di avere un quadro delle frodi di cui esse sono state vittime.
I dati raccolti in queste pubblicazioni sono stati rielaborati dalla stessa ACFE non so-
lo per fornire uno spaccato delle frodi che hanno colpito maggiormente le società sta-
tunitensi in quegli anni, ma per cercare anche di definire il profilo del perpetratore di
tali attività fraudolente, nonché per tentare di individuare gli strumenti che sono stati
utili, più di altri, per la scoperta degli illeciti. In sostanza, tali statistiche mirano a dare
una visione completa e generale della problematica. Ai fini del presente lavoro, ci si è
concentrati soprattutto sulle risultanze dei report relative ai tipi di attività fraudolente
più frequentemente commesse. I vari studi hanno strutturato la loro analisi partendo
da un esame delle tre macroclassi di frode (l‟appropriazione indebita di beni, la cor-
ruzione e le frodi di bilancio), definite nello schema ad albero proposto dalla medesi-
ma ACFE, e hanno quindi raccolto, all‟interno di queste categorie i reati, menzionati
dal campione intervistato. I risultati riscontrati a questo primo livello di analisi sono
riassunti nella seguente tabella. È da rimarcare il fatto che la somma delle percentua-
li eccede il più delle volte il 100% poiché il numero di casi analizzati comprende
- 102 -
spesso più di una tipologia di frode; ciò vale non solo per tabella presentata qui in
seguito, ma anche per tutte le altre successive.
FREQUENZA E VALORE MEDIO DELLE FRODI
Appropriazione in-debita di beni
Corruzione Frode di bilancio
N. dei casi esaminati
% Valore medio
% Valore medio
% Valore medio
1996 81,10% $65.000 14,80% $440.000 4,10% $4.000.000 Non riportati
2002 85,70% $80.000 12,80% $530.000 5,10% $4.250.000 663
2004 92,70% $93.000 30,10% $250.000 7,90% $1.000.000 508
2006 91,50% $150.000 30,80% $538.000 10,60% $2.000.000 1.134
2008 88,70% $150.000 27,40% $375.000 10,30% $2.000.000 954
I report hanno suddiviso in un secondo momento la percentuale riscontrata per la
macroclasse appropriazione indebita di beni nelle percentuali relative alle frodi ap-
partenenti a tale categoria. In particolare è stato suddiviso il risultato prima tra le due
sottocategorie appropriazione indebita di denaro e appropriazione indebita di rima-
nenze di magazzino e altri beni e successivamente tra le loro micro categorie, se-
guendo il già citato schema ad albero. Le seguenti tabelle riportano i risultati riscon-
trati nei diversi anni (i dati relativi al 1996 non sono disponibili in quanto per
quell‟anno non è stata effettuata tale ripartizione).
APPROPRIAZIONE INDEBITA DI BENI
Appropriazione indebita di denaro Appropriazione indebita di altri beni
% Valore medio
della frode
% sul totale dei casi esa-
minati %
Valore medio della frode
% sul totale dei casi esa-
minati
1996 NA NA 70,40% NA NA 10,7%
2002 90,10% $ 80.000 77,22% 10,60% $ 200.000 9,08%
2004 93,40% $ 98.000 86,58% 22,10% $ 100.000 20,49%
2006 87,70% $ 150.000 80,25% 23,40% $ 200.000 21,41%
2008 85,00% $35.000 75,40% 16,30% $ 100.000 14,46%
- 103 -
La percentuale relativa all‟appropriazione indebita di denaro è stata poi suddivisa tra
le tre microclassi esborso fraudolento, skimming e furto di cassa, ottenendo i se-
guenti valori.
APPROPRIAZIONE INDEBITA DI DENARO
Esborso fraudolento Skimming Furto di cassa
% Valore medio
% sul tot casi
% Valore medio
% sul tot casi
% Valore medio
% sul tot casi
1996 NA NA 47,10% NA NA 20,30% NA NA 2,90%
2002 71,1% $100.000 54,90% 31,8% $70.000 24,55% 8,9% $25.000 6,87%
2004 74,1% $125.000 64,16% 28,2% $85.000 24,42% 23,9% $80.000 20,69%
2006 86,3% $851.000 69,25% 18,9% $76.000 15,17% 14,2% $73.000 11,39%
2008 76,5% $372.000 57,58% 16,6% $80.000 12,52% 10,3% $75.000 7,77%
Infine, l‟ultimo livello di classificazione proposto dai report riguarda la ripartizione del-
le percentuali riferite all‟esborso fraudolento tra le sue tipologie, ovvero:
sovrafatturazione;
frodi legate al pagamento dei lavoratori;
falsificazione di assegni;
rimborso di spese;
sottrazione di cassa da un registro.
ESBORSO FRAUDOLENTO
Sovrafatturazione
Frodi legate al
pagamento di
lavoratori
Falsificazione
di assegni
Rimborso
di spese
Sottrazione
di cassa da
un registro
% Valore medio
% Valore medio
% Valore medio
% Valore medio
% Valore medio
2002 45,5% $160.000 17,7% $140.000 30,2% $140.000 22,1% $60.000 3,0% $18.000
2004 52,1% $140.000 19,6% $90.000 31,3% $155.000 22,1% $92.000 4,3% $18.000
2006 28,3% $130.000 19,7% $275.000 17,1% $120.000 19,5% $25.000 1,7% $26.000
2008 23,9% $100.000 9,3% $49.000 14,7% $138.000 13,2% $25.000 2,8% $25.000
- 104 -
ESBORSO FRAUDOLENTO
Sovrafatturazione
Frodi legate
al pagamento
di lavoratori
Falsificazione di
assegni
Rimborso di
spese
Sottrazione
di cassa da
un registro
% sul tot dei casi % sul tot dei casi % sul tot dei casi % sul tot dei casi % sul tot dei casi
1996 15,70% 7,80% 11,50% 7,00% 1,30%
2002 24,98% 9,72% 16,58% 12,13% 1,65%
2004 33,43% 12,57% 20,08% 14,18% 2,76%
2006 19,60% 13,64% 11,84% 13,50% 1,18%
2008 13,78% 5,36% 8,48% 7,61% 1,61%
Simili analisi relative al maggior numero di frodi realizzate nell‟ultimo decennio sono
state portate avanti anche da KPMG che ha pubblicato a riguardo dei survey elabo-
rati da alcune sue filiali. In particolare sono di pubblico dominio il Fraud survey 2003
di KPMG USA, i Fraud survey 2003 e 2006 elaborati da KPMG Australia e i Fraud
survey 1996 e 2002 emessi da KMPG Sud Africa. Le informazioni contenute in tali
pubblicazioni sono state oggetto di un‟analisi analoga a quella precedentemente pre-
sentata; in primis, in particolare, sono stati analizzati i dati elaborati nel report della
filiale australiana. La metodologia di indagine impiegata nello svolgimento di queste
inchieste è differente da quella adottata dall‟ACFE, in quanto in questo secondo caso
non si è strutturata la valutazione seguendo l‟albero delle frodi, ma si è svolta l‟analisi
considerando direttamente le diverse tipologie di illeciti menzionate dagli intervistati.
A riguardo la metodologia di indagine adottata dai fraud examiner ha ripartito le frodi
secondo due criteri, applicati in parallelo:
il soggetto che le ha commesse, distinguendo tra membri del management,
lavoratori non manager e soggetti esterni alla società vittima dell‟illecito;
il settore di appartenenza della società teatro dell‟attività fraudolenta.
- 105 -
Nella nostra analisi si è voluto mantenere in un primo momento questa suddivisione
per mostrare in primo luogo come alcune tipologie di frodi siano più caratteristiche di
una categoria di lavoratori piuttosto che di un‟altra e in secondo luogo come alcuni
reati, quelli che poi identificano le aree di bilancio più critiche, siano in ogni caso
sempre attuati a prescindere dall‟occupazione ricoperta dal frodatore. Al fine di forni-
re un supporto numerico a queste considerazioni sono stati raccolti nella seguente
tabella i dati del Fraud survey di KPMG Australia, mantenendo inalterati i criteri su
cui si è sviluppata l‟analisi.
MEMBRI DEL
MANAGEMENT
LAVORATORI
NON MANAGER
SOGGETTI
ESTERNI ALLA
SOCIETÀ
Settore di riferimento
Tipo di frode 2004 2006 2004 2006 2004 2006
Retail
Furti di magazzino 82% NA 99% NA 2% NA
Appropriazione di fondi 7% NA 0 NA 0 NA
Falsa fatturazione 1% NA 0 NA 94% NA
Corruzione 10% NA 0 NA 4% NA
Finanziario
Appropriazione di fondi 37% 43% 72% 5% 7% 7%
Contraffazione di assegni 27% NA 24% NA 11% 8%
Acquisti ad uso personale 17% NA 0 NA NA 16%
Frodi nell‟area dei crediti NA NA NA 5% NA NA
Frodi informatiche 15% NA 0 7% NA NA
Frodi con carte di credito 1% NA 0 9% 22% 5%
Furto di informazioni 2% 1% 0 NA 1% NA
Furti di cassa 1% 35% 0 18% NA NA
Furto di PP&E NA NA NA 8% NA 1%
Furti di intangible NA NA NA 20% NA NA
Dichiarazione fraudolenta di costi
NA 13% 0 1% NA NA
Frodi legate all‟identità NA 3% 0 NA NA 3%
Falsa fatturazione NA 1% 3% 22% 15% 6%
Prestazione di servizi con falsa documentazione
NA NA NA NA 43% NA
Frodi assicurative NA NA NA NA NA 52%
Corruzione NA 4% 0 NA NA NA
Altro NA NA NA 5% 1% 2%
- 106 -
MEMBRI DEL
MANAGEMENT
LAVORATORI
NON MANAGER
SOGGETTI
ESTERNI ALLA
SOCIETÀ
Settore di riferimento
Tipo di frode 2004 2006 2004 2006 2004 2006
Altri settori
Furti di magazzino 4% 21% 11% 20% 2% 47%
Furto di PP&E NA 9% NA 2% NA 8%
Furto di intangible NA 2% NA NA NA NA
Appropriazione di fondi 16% 10% 31% 2% 4% NA
Contraffazione di assegni NA NA 2% NA 2% NA
Falsa fatturazione 25% 31% 28% 7% 81% 2%
Acquisti ad uso personale 2% NA 6% NA NA NA
Corruzione 8% 3% 2% 1% NA NA
Deviazione di vendite 14% 4% 9% NA NA NA
Frodi con carte di credito 12% 2% 3% 4% NA 6%
Prestazione di servizi con falsa documentazione
12% NA NA NA 8% 16%
“Conto spese” 2% 5% 2% 9% NA NA
Conflitto di interessi 2% NA NA NA 3% NA
Furti di cassa 1% 1% 2% 30% NA 17%
Frodi informatiche NA 8% 3% 18% NA NA
Frodi nell‟area dei crediti NA 1% NA NA NA NA
Frodi nell‟area del perso-nale
NA 1% NA 7% NA NA
Altro 2% 2% 1% NA NA 4%
Poiché dall‟analisi fin qui presentata non è possibile svolgere delle considerazioni
generali sulle frodi, a prescindere dal soggetto attivo delle stesse e indipendente-
mente dal settore scenario dell‟illecito, è stata effettuata un‟ulteriore rielaborazione
dei dati resi disponibili dai survey del 2004 e del 2006, allo scopo di capire, per ogni
singola tipologia di frode, la reale dimensione della stessa, senza alcun criterio deli-
mitante. I risultati emersi da tale analisi sono raccolti nella seguente tabella che forni-
sce una quadro in merito sia alla frequenza delle frodi sia alle loro dimensioni.
- 107 -
Numero di
frodi Numero di frodi (%)
Valore totale della frode Incidenza del-
la frode
Tipo di frode 2004 2006 2004 2006 2004 2006 2004 2006
Corruzione 4 5 2% 3% $8.723.128 $277.300 13% 1%
Prestazione di servi-zi con falsa docu-
mentazione 15 NA 7% NA $19.712.320 NA 29% NA
Falsa fatturazione 23 26 11% 13% $9.745.175 $9.921.127 14% 26%
Contraffazione di assegni
16 5 8% 3% $6.700.788 $123.500 10% 0
Frodi informatiche 2 7 1% 4% $830.106 $729.144 1% 2%
Appropriazione di fondi
39 12 19% 6% $15.429.512 $1.745.086 23% 5%
Deviazione di
vendite 9 3 4% 2% $2.562.500 $1.450.000 4% 4%
Furto di informazioni 3 NA 1,5% NA $537.000 NA 1% NA
Acquisti ad uso
personale 9 2 4% 1% $601.520 $652.721 1% 2%
Furti di magazzino 31 33 15% 14% $1.798.082 $2.322.699 3% 7%
Frodi con carte di credito
18 20 9% 11% $881.004 $4.373.205 1% 12%
Furti di cassa 7 27 3% 14% $196.800 $6.431.353 0 17%
Conflitto di interessi 4 NA 2% NA $90.000 NA 0 NA
“Conto spese” 6 9 3% 5% $65.000 $1.868.500 0 5%
Frodi nell‟area del personale
NA 19 NA 10% NA $1.996.444 NA 5%
Furto di PP&E NA 14 NA 7% NA $197.918 NA 1%
Frodi legate all‟identità
NA 3 NA 2% NA $782.500 NA 2%
Frodi assicurative (reclami)
NA 2 NA 1% NA $31.000 NA 0
Frodi legate all‟area dei crediti
NA 6 NA 3% NA $330.000 NA 1%
Bilanci falsi 3 2 1,5% 2% NA $5.137.680 NA 13%
Altro 17 7 8% 4% $687.050 $191.307 1% 0
Totale 206 202 --- --- $68.559.985 $38.561.484 --- ---
- 108 -
Simili risultati sono stati ricavati persino dall‟analisi del Fraud survey 2003 redatto da
KPMG USA, nel quale venivano anche riportati e confrontati persino i dati del prece-
dente report del 1998.
Al fine di fornire un‟immagine più completa della situazione e per evidenziare anche
un trend delle frodi maggiormente perpetrate, la seguente tabella non riassume solo
le conclusioni a cui è pervenuta la filiale americana, ma contiene anche le percentuali
calcolate da quella australiana già esposte.
% rilevata
(fonte: KPMG USA)
% rilevata
(fonte: KPMG Australia)
Tipo di frode 1998 2003 2004 2006
Appropriazione di beni 22% 49% NA NA
Contraffazione di assegni 26% 40% 8% 3%
“Conto spese” 13% 36% 3% 5%
Frodi con carte di credito 13% 20% 9% 11%
Frodi nell‟area del personale 3% 12% NA 10%
Conflitto di interessi 9% 12% 2% NA
Furti di magazzino 11% 11% 15% 14%
Corruzione 6% 9% 2% 3%
Frodi di bilancio (reportistica) 3% 7% 1,5% 2%
Di visualizzazione più immediata sono invece gli ultimi risultati analizzati, quelli evi-
denziati nei Fraud survey di KPMG Sud Africa del 1996 e del 2002 che hanno infatti
rappresentato solo graficamente gli esiti delle sue ricerche.
- 109 -
Fig. A.1 – Tipi di frode secondo il Fraud survey del 1996.
FRODI DA PARTE DI LAVORATORI NON MANAGER.
Fig. A.2 – Tipi di frode secondo il Fraud survey del 1996.
FRODI DA PARTE DI MEMBRI DEL MANAGEMENT.
- 110 -
Fig. A.3 – Tipi di frode secondo il Fraud survey del 1996.
FRODI DA PARTE DI SOGGETTI ESTERNI ALLA SOCIETÀ VITTIMA DELLA FRODE.
Il Fraud survey del 2002, al contrario, fornisce una concisa rappresentazione delle
aree nelle quali si sono realizzate le maggiori perdite per frode, fornendo nel chart
rappresentativo dei risultati, non solo una visione grafica, ma indicando anche le per-
centuali riscontrate.
Fig. A.4 – Tipi di frode secondo il Fraud survey del 2002.
AREE NELLE QUALI SI SONO REALIZZATE LE MAGGIORI PERDITE PER FRODE.
Tipo di frode % riscontrata
Furto di cassa 67%
Furto di asset 51%
Uso indebito
di corporate asset 20%
Bid rigging 4%
Furto di intangible 4%
Furto di informazioni 1%
Altro 11%
- 111 -
APPENDICE B
APPLICAZIONE AD UN CASO DEGLI STRUMENTI DI VALU-
TAZIONE DI UN SISTEMA DI CONTROLLO INTERNO
In questa parte del lavoro è stato inserito lo strumento di valutazione del sistema di
controllo interno che è stato impiegato al fine di analizzare il caso di frode presentato
nel testo. Per ciascun fattore di ognuna delle componenti del sistema di controllo so-
no stati effettuati dei commenti relativi alla situazione esaminata che hanno rappre-
sentato un‟importante linea guida non solo per individuare le lacune della struttura
societaria, ma a partire proprio da queste, per comprendere le red flag identificative
dell‟attività fraudolenta condotta.
AMBIENTE DI CONTROLLO
INTEGRITÀ E VALORI ETICI: è fondamentale che all‟interno dell‟impresa venga diffusa l‟importanza
dell‟integrità e dei valori etici e soprattutto il fatto che questi non possono essere oggetto di compro-
messi. Per evidenziare e sottolineare maggiormente tali concetti è indispensabile inoltre che il top
management si comporti secondo elevati principi etici.
1. Esistenza di un codice di condotta nel quale
vengano individuati i comportamenti considerati
accettabili dalla società, i conflitti d‟interesse da
evitare e il livello di eticità e moralità richiesto ai
dipendenti.
Considerare per esempio se:
- il codice di condotta è esauriente;
- il codice di condotta viene riconosciuto come proprio da
tutto il personale;
- il personale è in grado di discriminare un comportamento
accettabile da uno inaccettabile;
- in mancanza di un codice di condotta scritto, la cultura a-
ziendale dà rilevanza all’integrità e all’eticità, ad esempio con
la direzione che ne ribadisce l’importanza a parole e fatti.
Non risulta che ci fosse un codice di condotta
scritto all‟interno della struttura societaria della
subsidiary italiana. Essendo la società parte di un
gruppo internazionale è plausibile che esistessero
delle regole di condotta a livello della casa madre.
Non è possibile tuttavia risalire alla situazione esi-
stente prima della frode in quanto, anche se fosse
esistito questo codice a livello di gruppo, il
management italiano non si è mai preoccupato di
conoscerlo né di diffonderlo. Si potrebbe però in-
dagare se dopo la frode la casa madre tedesca
abbia preso dei provvedimenti formali e abbia de-
ciso di applicarli anche alla filiale italiana.
- 112 -
2. Esistenza di un comportamento esemplare del
top management che comprenda anche un rife-
rimento esplicito a ciò che è moralmente giusto o
sbagliato.
Considerare per esempio se:
- la richiesta di tenere un comportamento integro ed etico
viene comunicata efficacemente a tutti i livelli aziendali;
- ciascun dipendente si sente incentivato dai colleghi ad agire
correttamente piuttosto che ad intraprendere vie più fraudo-
lente per perseguire i suoi obiettivi.
Il gruppo dirigenziale non assumeva un compor-
tamento esemplare, anzi la condotta del top
management era esattamente a favore di frodi,
omissioni: il suo atteggiamento era quindi assolu-
tamente non etico. In generale il clima che era
presente in azienda era tendenzialmente noto a
ogni livello organizzativo (non sappiamo tuttavia
quanta parte della frode perpetrata fosse effetti-
vamente nota a tutti i dipendenti). È da rilevare pe-
rò che la nostra indagine come fraud auditor na-
sce da una e-mail anonima, inviata tramite un
server specifico per inviare messaggi anonimi, dal-
la maggior parte dei dipendenti e diretta al
management della casa madre.
3. Esistenza di rapporti con dipendenti, fornitori,
clienti, concorrenti e revisori improntati all‟onestà
e alla correttezza.
Considerare per esempio se:
- il rapporto si basa sulla professionalità e sulla correttezza;
- i pagamenti vengono tutti effettuati nei tempi previsti.
L‟atteggiamento nei confronti di terzi non era per
nulla professionale. Ciononostante i pagamenti
venivano effettuati tutti entro le scadenze, la con-
tabilità era puntuale, ordinata e corretta. Al di sotto
del livello dirigenziale non sono stati perciò rilevati
comportamenti fraudolenti: la società era sana; si
verificava tuttavia una mala gestione da parte del
vertice aziendale che considerava la società come
una cosa propria.
4. Adeguatezza delle sanzioni previste per i casi
di scostamento dalle politiche e procedure ap-
provate.
Considerare per esempio se:
- la direzione prende provvedimenti disciplinari;
- i provvedimenti presi sono adeguatamente divulgati
all’interno dell’impresa.
Non sappiamo se si siano mai verificati dei casi di
scostamento dalle politiche della società. Siamo
però venuti a conoscenza di una particolare e sin-
golare situazione che riguardava il responsabile
del magazzino, il quale beneficiava già da anni di
un prestito da parte della società. Nell‟analisi da
noi effettuata abbiamo rilevato che tale prestito ri-
saliva a oltre una decina d‟anni ed era stato eroga-
to senza una procedura formale e senza alcuna
- 113 -
documentazione. Il prestito, erogato in via del tutto
amichevole, denotava un comportamento assolu-
tamente non professionale del top management, il
quale non ha mai mostrato quindi di prendere
provvedimenti etici nei confronti delle richieste dei
suoi dipendenti. Ad aggravare la situazione era
intervenuto, a distanza di anni, un altro esborso
nei confronti del medesimo dipendente e, anche in
questa occasione, l‟operazione non era stata do-
cumentata (eccezion fatta per il bonifico e per la
registrazione in CoGe; mancava però una lettera
formale di richiesta del prestito, nonché
un‟accettazione della stessa con le condizioni che
la regolassero). È assolutamente anomalo che un
dipendente possa chiedere un prestito, per di più
senza condizioni, all‟azienda ed è per tale motivo
che possiamo affermare che i rapporti tra dipen-
denti e azienda, nel nostro caso, non erano del
tutto corretti, ma anzi risultavano distorti.
5. Esistenza di pressioni sul personale per spin-
gerlo a realizzare obiettivi irrealistici ed esistenza
di meccanismi che subordinano la retribuzione al
loro raggiungimento.
Considerare per esempio se:
- le retribuzioni sono legate unicamente a obiettivi di breve
termine;
- esistono controlli finalizzati a ridurre le opportunità di frode.
Il management non aveva la propria retribuzione
correlata ai risultati aziendali, perciò da questo
punto di vista non esistevano pressioni particolari
per il conseguimento di certi obiettivi operativi (va
specificato comunque che la società non aveva
tendenzialmente di questi problemi: era una socie-
tà che otteneva ottimi risultati economici).
VALORE DELLA COMPETENZA: il top management dovrebbe indicare, per ogni posizione all‟interno
dell‟impresa, il livello di competenze necessario per svolgere la mansione e soprattutto le conoscenze
richieste.
1. Esistenza di mansionari o di altri strumenti che
definiscano in modo puntuale i compiti dei lavo-
Non esistevano dei mansionari formali che descri-
vessero le attività di ciascun dipendente; tuttavia il
- 114 -
ratori.
Considerare per esempio se:
- il vertice aziendale ha posto particolare attenzione ai compi-
ti previsti da alcuni ruoli specifici all’interno dell’impresa.
ruolo di ognuno era ben delineato e chiaro.
2. Valutazione delle conoscenze necessarie per
espletare correttamente le mansioni aziendali.
Considerare per esempio se:
- è stata tenuta in considerazione la coerenza tra ruolo rico-
perto e capacità possedute dal soggetto.
CONSIGLIO DI AMMINISTRAZIONE O AUDIT COMMITTEE: un Consiglio di Amministrazione e un
comitato da esso nominato, se esistente ed efficacemente operativo, possono ricoprire un importante
ruolo di sorveglianza nonché garantire il corretto funzionamento del sistema di controllo interno, es-
sendo possibile un‟elusione di quest‟ultimo da parte del management.
1. Autonomia nei confronti del management.
Considerare per esempio se:
- il Consiglio di Amministrazione discute proattivamente le
decisioni pianificate dal management e chiede delucidazioni
sui risultati ottenuti.
Il Consiglio di Amministrazione era composto da
due membri (sostituiti dopo la scoperta della fro-
de): uno era il rappresentante del socio, l‟altro era
l‟amministratore delegato (maggiormente coinvolto
nelle frodi). Il Consiglio di Amministrazione non era
indipendente né autonomo in quanto non era
composto da un sufficiente numero di amministra-
tori che potessero opporsi alle decisioni
dell‟amministratore delegato o per lo meno che le
mettessero in discussione.
2. Conoscenze ed esperienza degli amministra-
tori e frequenza con cui vengono richieste delle
riunioni con il direttore amministrativo e con i re-
visori.
Considerare per esempio se:
- gli amministratori detengono la conoscenza, l’esperienza
del settore e tempo adeguati al compimento degli incarichi.
È da rimarcare che lo stesso studio da cui prove-
nivano i revisori forniva anche l‟attività di consu-
lenza e di preparazione del bilancio e delle dichia-
razioni dei redditi: non si può parlare perciò in
questo ambito di indipendenza. Nonostante tutto
però i soggetti erano comunque competenti, ovve-
ro conoscevano la loro materia e il settore di rife-
rimento.
- 115 -
3. Adeguatezza e tempestività con cui le infor-
mazioni vengono riferite al Consiglio di Ammini-
strazione che così potrà monitorare gli obiettivi e
le strategie formulate dal vertice.
Considerare per esempio se:
- il Consiglio di Amministrazione riceve regolarmente infor-
mazioni fondamentali quali bilanci, contratti o trattative di ri-
lievo piuttosto che informazioni sulle spese di viaggio dei di-
rigenti, su importanti controversie, su indagini effettuate sulla
società, su appropriazioni indebite o su violazioni della legge.
Le informazioni non venivano trasmesse integral-
mente al Consiglio di Amministrazione (in partico-
lare al membro in rappresentanza del socio). Nello
specifico, in merito alle spese di viaggio e a quelle
personali effettuate dai dirigenti, va evidenziato
che questi ultimi avevano libero accesso alle carte
di credito aziendali senza alcuna procedura forma-
lizzata. Abbiamo riscontrato inoltre che alcuni di-
pendenti della società avevano gli estremi di una
delle due carte di credito dell‟amministratore dele-
gato e potevano utilizzarla anche a sua insaputa
per spese personali di vario tipo. Abbiamo effet-
tuato un‟analisi dettagliata delle spese risultanti
dagli estratti conto delle banche degli ultimi cinque
anni per quantificare l‟ammontare delle spese per-
sonali dell‟amministratore sostenute utilizzando le
linee di credito aziendali. Le risultanze di questa
nostra indagine non sono state riferite al Consiglio
di Amministrazione (proprio perché l‟oggetto
dell‟indagine era l‟amministratore delegato nonché
membro del Consiglio) ma sono state trasmesse
direttamente al socio.
4. Controllo nella determinazione degli emolu-
menti e dei fringe benefit spettanti al top
management.
Considerare per esempio se:
- esiste una procedura formale di assegnazione dei fringe
benefit o di approvazione dei piani di incentivazione.
Il vertice aziendale godeva di una serie di fringe
benefit e di aumenti di stipendio discrezionali che
erano basati solo su un legame di amicizia con
l‟amministratore delegato, che elargiva bonus in
funzione di relazioni private. La persona infatti che
aveva una maggiore progressione del compenso
era la direttrice commerciale, sua amante.
L‟amministratore delegato, inoltre, aveva stipulato
dal 2004 due contratti d‟affitto relativi a due appar-
tamenti (uno per il periodo 2004-2008, l‟altro stipu-
- 116 -
lato nel 2007) che abitualmente utilizzava a scopi
privati. Dall‟analisi dei contratti, in parallelo con la
lettura di quello relativo al suo rapporto di lavoro
con la società, è emerso che egli non aveva asso-
lutamente diritto a questo tipo di benefit, i cui oneri
sono stati comunque sostenuti in questi anni dalla
società.
La casa madre non ha mai verificato se queste re-
tribuzioni fossero legittime o meno: va evidenziata
pertanto una carenza da questo punto di vista del-
la capogruppo. I controlli, in questo ambito, sono
iniziati solo dal 2008 quando è cambiato il CFO
della casa madre in Germania.
FILOSOFIA E STILE DI DIREZIONE: nonostante non siano fisicamente tangibili, la filosofia e lo stile
di direzione sono di fatto osservabili ed identificabili all‟interno di una società.
1. Natura dei rischi accettati.
Considerare per esempio se:
- la direzione partecipa spesso a iniziative ad alto rischio;
- la direzione valuta attentamente le azioni da intraprendere
passando da una all’altra solo dopo aver attentamente ana-
lizzato i rischi e i vantaggi associati a ciascuna.
La società si muove con cautela nel suo settore di
riferimento: la strategia non è aggressiva ma ben
ponderata.
2. Avvicendamento del personale in funzione
chiave.
Considerare per esempio se:
- il turnover dei dirigenti o del personale con funzione di su-
pervisione risulta eccessivo;
- personale che occupava posizioni chiave ha lasciato
l’azienda all’improvviso o con scarso preavviso.
Il vertice aziendale era consolidato da anni; il re-
sponsabile dell‟amministrazione lavorava presso
la subsidiary da più di un ventennio.
Anche la responsabile della contabilità e quella del
personale avevano un rapporto continuativo con la
società. Proprio questa stazionarietà della situa-
zione ha sviluppato la convinzione che la società
fosse in realtà una cosa da gestire in modo perso-
nale e ha permesso al management di effettuare
tranquillamente per anni la frode.
Il problema si è manifestato infatti quando questa
condizione ha subito un cambiamento, ovvero in
- 117 -
occasione della nomina di un nuovo CFO in Ger-
mania a partire da giugno del 2008.
Questi ha richiesto, infatti, una riorganizzazione
della società italiana e ha indicato un nuovo diret-
tore generale, il quale però non è stato accettato
dall‟amministratore delegato ed è stato in breve
tempo licenziato. Il direttore generale, di fatti, si
era reso conto della situazione fraudolenta che da
anni era in corso nella filiale italiana e aveva ripor-
tato tutto alla capogruppo tedesca, senza tuttavia
essere ascoltato e subendo le rappresaglie del
management locale.
3. Considerazione che ha la direzione delle fun-
zioni contabili.
Considerare per esempio se:
- la contabilità viene considerata come uno strumento di con-
trollo sulle attività dell’azienda;
- vengono scelti principi contabili che assicurano il massimo
utile possibile;
- i dipendenti preparano rendiconti inesatti pur di raggiungere
i traguardi prestabiliti;
- il personale amministrativo di ciascuna unità operativa ri-
sponde del proprio operato anche di fronte ai dirigenti ammi-
nistrativi della sede centrale;
- le attività di valore (opere dell’ingegno, brevetti…) vengono
protette da un eventuale utilizzo non autorizzato.
La contabilità della società era tenuta regolarmen-
te: durante i nostri controlli non abbiamo riscontra-
to abusi dei principi contabili, piuttosto che emis-
sione di report falsi. I risultati della società erano
realmente positivi e non necessitavano di migliorie
fittizie.
4. Frequenza delle comunicazioni tra il vertice
aziendale a capo di una società e la direzione
operativa della stessa o del gruppo di apparte-
nenza della prima, in particolare qualora queste
siano localizzate in sedi geograficamente diver-
se.
Considerare per esempio se:
- gli alti dirigenti si recano spesso in visita presso affiliate;
- vengono tenute frequenti riunioni tra i vertici del gruppo e i
La società era ed è ancora parte di un gruppo te-
desco la cui casa madre è situata proprio in Ger-
mania. L‟amministratore delegato italiano intratte-
neva molte relazioni con le altre società del grup-
po e spesso si recava anche nelle altre filiali. Ogni
anno venivano poi organizzati eventi tra le varie
società, nonostante questi ultimi non fossero fina-
lizzati in realtà a un vero e proprio controllo delle
- 118 -
vertici delle divisioni. singole filiali (per lo meno di quella italiana).
Il dubbio che è sorto a noi controllori intervenuti in
un secondo momento è che questo comportamen-
to di generale laissez – fair riscontrato nella subsi-
diary italiana sia stato tollerato per anni non solo
perché esistevano delle lacune nei controlli di
competenza del socio, ma anche perché
l‟atteggiamento di non rispetto delle regole fosse
in realtà tollerato, almeno in modo informale,
dall‟intero gruppo.
STRUTTURA ORGANIZZATIVA: la sua configurazione dovrebbe essere adeguata alla società, ossia
non dovrebbe essere eccessivamente semplice da impedire un adeguato controllo sulle operazioni,
né troppo complicata da bloccare il flusso di informazioni all‟interno dell‟impresa.
1. Adeguatezza della struttura organizzativa tale
da permettere un costante flusso delle informa-
zioni utili per coordinare le diverse attività
dell‟impresa.
Considerare per esempio se:
- il grado di centralizzazione o decentralizzazione della strut-
tura è conveniente alla natura delle attività svolte;
- la struttura favorisce il flusso delle informazioni verso l’alto,
verso il basso e trasversalmente.
La struttura organizzativa non poteva dirsi adegua-
ta in quanto il numero di soggetti in funzione api-
cale era eccessivo.
2. Esistenza di un‟adeguata struttura gerarchica.
Considerare per esempio se:
- i rapporti gerarchici sono adeguati e danno la possibilità ai
dirigenti di ottenere le informazioni necessarie per esercitare
i poteri e assumersi le responsabilità assegnate;
- i direttori responsabili dei vari rami di attività riescono a co-
municare con l’alta direzione.
Esisteva una struttura gerarchica sproporzionata
in quanto il gruppo dirigenziale era eccessivamen-
te ampio rispetto alle dimensioni della società (7
dirigenti su non più di 50 dipendenti). Abbiamo ri-
scontrato anche che un paio di dirigenti avevano
questo ruolo pur non avendo nemmeno un sotto-
posto: è il caso della responsabile del personale
che non aveva un organico da dirigere e del capo
magazziniere, anche lui dirigente. Questa attribu-
zione di ruoli era mirata a coprire la frode in quan-
to tutti questi soggetti appartenevano alla cerchia
- 119 -
degli amici dell‟amministratore delegato, il quale,
attribuendo loro questi ruoli, cercava di formalizza-
re, senza tuttavia avere un giustificato motivo né
un appropriato supporto, tutti i favoritismi che au-
tonomamente elargiva.
3. Esistenza di un organico sufficiente e adegua-
to in termini di esperienza.
Considerare per esempio se:
- i dirigenti e il personale con responsabilità si trattengono in
ufficio oltre l’orario di lavoro in modo anomalo o svolgono in
realtà mansioni attribuite ad altre persone;
- i dirigenti e il personale con funzione direttiva dispongono di
tempo sufficiente per portare a termine gli incarichi loro as-
segnati.
È stato riscontrato che i dirigenti si trattenevano
oltre il normale orario di lavoro, tuttavia ciò era do-
vuto a una confusione della vita personale con la
vita lavorativa con, come conseguenza, anche
l‟utilizzo dei fondi dell‟azienda per uso personale.
ATTRIBUZIONE DI POTERI E RESPONSABILITÀ: l‟assegnazione dei compiti all‟interno di una so-
cietà e l‟affermazione delle direttive costituiscono il punto di partenza per un adeguato controllo in
quanto consentono di definire i ruoli che ciascuno dovrebbe ricoprire nell‟organizzazione.
1. Conferimento di responsabilità e delega di po-
teri relativamente alle finalità e agli obiettivi a-
ziendali.
Considerare per esempio se:
- esiste un processo formale di attribuzione dei poteri e delle
responsabilità ai dipendenti di tutta l’azienda;
- l’attribuzione delle responsabilità decisionali è proporziona-
ta al livello di autorità conferito;
- la determinazione della responsabilità di un soggetto è pre-
ceduta da una serie di informazioni adeguate che potranno
supportare la decisione che verrà presa.
La procedura di attribuzione dei poteri all‟interno
della società non era fondata assolutamente sulla
meritocrazia ma solo sul rapporto fiduciario che si
era instaurato tra l‟amministratore delegato e i
soggetti che da anni lavoravano presso la società.
Non esisteva una procedura formalizzata che giu-
stificasse eventuali avanzamenti di carriera e le
decisioni non erano assolutamente supportate da
adeguate informazioni in merito alle competenze
del soggetto premiato. La responsabile commer-
ciale, infatti, non aveva le competenze per il ruolo
che le era stato attribuito ma occupava quella po-
sizione solo in quanto amante dell‟amministratore
delegato.
- 120 -
2. Adeguatezza della descrizione delle mansioni
affidate e attribuite al personale.
Considerare per esempio se:
- esistono mansionari formali, per lo meno per i dirigenti e il
personale con funzioni di supervisione.
Le mansioni non erano definite in modo formale;
ciononostante erano chiare le aspettative nutrite
dall‟azienda nei confronti del personale.
POLITICHE E PRASSI RIGUARDANTI LE RISORSE UMANE: le politiche in materia di risorse uma-
ne ricoprono un ruolo essenziale al momento dell‟assunzione di nuovo personale in quanto sono gli
strumenti che consentono di selezionare solo quei soggetti competenti che assicurino la messa in atto
dei piani aziendali e, di conseguenza, il perseguimento degli obiettivi d‟impresa.
1. Esistenza di politiche e procedure in materia
di assunzione, formazione, promozione e retri-
buzione dei dipendenti.
Considerare per esempio se:
- l’utilizzo di tali politiche consente di assumere e formare
personale con la competenza e l’affidabilità necessarie per
supportare un adeguato sistema di controllo interno;
- in assenza di procedure aziendali formalizzate, la direzione
trasmette verbalmente le proprie esigenze riguardo il tipo di
risorse umane da ricercare o, ancora meglio, partecipa atti-
vamente al processo di assunzione.
Non esisteva alcuna procedura formalizzata per
l‟assunzione, la formazione, la promozione e la re-
tribuzione: tutto era basato sulla discrezionalità
dell‟amministratore. Solo in pochi casi è stato pos-
sibile reperire i fascicoli della candidatura e i ver-
bali dei colloqui. Inoltre non esisteva un‟adeguata
separazione dei compiti in quanto i contatti con il
consulente del lavoro (che si occupava delle buste
paga) e la registrazione in Co.Ge. degli stipendi
venivano gestiti dalla responsabile del personale,
la quale accentrava nella sua persona anche la
gestione della cassa, delle note spese nonché de-
gli anticipi all‟amministratore delegato e ai dipen-
denti.
2. Livello di consapevolezza del personale sulle
sue responsabilità e sulle aspettative vantate nei
suoi confronti.
Considerare per esempio se:
- i supervisori incontrano periodicamente i dipendenti per di-
scutere i risultati ottenuti e proporre suggerimenti su come
eventualmente migliorarli.
Ai soggetti al vertice era chiaro il loro ruolo e il tipo
di aspettative vantate nei loro confronti, ma es-
sendo il clima molto familiare i soggetti non si po-
nevano nemmeno il problema di migliorare le loro
performance, alla luce anche degli ottimi risultati
che comunque la società riusciva autonomamente
a conseguire.
3. Adeguatezza delle verifiche condotte sul curri- Durante le nostre indagini abbiamo riscontrato un
- 121 -
culum vitae dei candidati all‟assunzione, soprat-
tutto in termini di precedenti comportamenti o at-
tività ritenuti inaccettabili per la società.
Considerare per esempio se:
- viene svolto un attento esame sui candidati che hanno
cambiato spesso lavoro o la cui carriera professionale pre-
senta periodi di inattività;
- le politiche di assunzione prevedono indagini sull’esistenza
di pendenze giudiziarie.
caso un po‟ particolare non legato direttamente ad
un‟assunzione ma comunque correlato all‟analisi
del curriculum di un dipendente. Abbiamo scoper-
to che il direttore del magazzino era stato coinvol-
to in un atto di vandalismo da stadio nel 2001 (per
il quale è in corso un processo che pare si chiude-
rà ad aprile 2010). La società e il vertice erano al
corrente di questa situazione e non solo non han-
no preso provvedimenti per allontanare un tale
soggetto dal management dell‟impresa, ma non
hanno nemmeno pensato di chiudere la linea di
credito che avevano aperto nei suoi confronti anni
prima e che continuavano ad alimentare. Un altro
caso di cui siamo venuti a conoscenza riguardava
poi l‟assunzione di un venditore che si è rivelato
l‟ex marito della responsabile commerciale, la qua-
le era l‟amante dell‟amministratore. Quest‟ultima
aveva un pignoramento sullo stipendio dell‟ex co-
niuge per il pagamento degli alimenti. Poiché egli
era rimasto disoccupato, l‟amministratore delegato
della società l‟aveva assunto per fare in modo che
il pignoramento potesse proseguire positivamente.
La società non si è minimamente preoccupata di
esaminare il curriculum di tale soggetto in quanto
altrimenti sarebbe stato possibile rilevare che que-
sti non aveva assolutamente le competenze tecni-
che per svolgere il lavoro affidatogli dalla società
(egli infatti era stato un venditore di prodotti per le
pulizie ed era stato licenziato dal suo precedente
impiego per motivi non chiaramente precisati).
4. Idoneità dei criteri di incentivazione e promo-
zione del personale.
Considerare per esempio se:
Non esistevano criteri di incentivazione o promo-
zione.
Gli avanzamenti di carriera riguardavano solo il
- 122 -
- i criteri utilizzati per garantire avanzi di carriera sono chia-
ramente individuati e precisati in modo tale che i dipendenti
siano consapevoli di ciò che la direzione si attende da loro;
- i criteri adottati sono in linea con le norme di comportamen-
to prestabilite.
top management in quanto coinvolto nella frode.
VALUTAZIONE DEI RISCHI
OBIETTIVI GENERALI DELL’IMPRESA: sono dichiarazioni in merito a quanto l‟impresa vuole realiz-
zare, sostenute dai relativi piani strategici. È fondamentale che un‟impresa li definisca per poter eser-
citare un controllo efficace sulla sua attività.
1. Analisi degli obiettivi generali e valutazione del
modo con cui sono espressi.
Considerare per esempio se:
- la direzione ha definito gli obiettivi generali;
- gli obiettivi generali hanno i requisiti dell’ampiezza e con-
temporaneamente della specificità.
Gli obiettivi generali della società erano ben strut-
turati, dettati dalla casa madre a livello di gruppo.
2. Efficace comunicazione degli obiettivi generali
dell‟azienda al personale e al Consiglio di Ammi-
nistrazione.
Considerare per esempio se:
- il personale e il Consiglio di Amministrazione sono a cono-
scenza degli obiettivi generali e la comunicazione di questi
ultimi avviene in modo consono.
3. Collegamento tra le strategie e gli obiettivi ge-
nerali dell‟azienda e concordanza tra i budget
aziendali e la situazione corrente.
Considerare per esempio se:
- la pianificazione strategica è coerente con gli obiettivi gene-
rali dell’azienda.
I budget aziendali erano coerenti con la situazione
reale.
OBIETTIVI SPECIFICI PER CIASCUNA ATTIVITÀ: dagli obiettivi generali discendono quelli specifici
di ogni singola attività. Si tratta spesso di obiettivi con target e scadenze ben precise, utili comunque
per tutte le più rilevanti attività d‟impresa. Risulta essere fondamentale però, prima di assegnare un
- 123 -
obiettivo specifico, verificarne la coerenza con la missione aziendale.
1. Collegamento e coerenza tra obiettivi specifici
di ciascuna attività tra loro e con gli obiettivi ge-
nerali dell‟impresa.
Considerare per esempio se:
- gli obiettivi specifici vengono periodicamente rivisti al fine di
verificarne la rilevanza;
- gli obiettivi specifici di ciascuna attività sono complementari
tra loro per il potenziamento della strategia generale.
Gli obiettivi generali a livello di gruppo erano ade-
guatamente calati all‟interno della realtà aziendale
e nelle varie attività.
2. Rilevanza degli obiettivi specifici di ciascuna
attività rispetto ai più importanti processi azien-
dali.
Considerare per esempio se:
- gli obiettivi specifici sono in linea con i risultati passati oppu-
re per lo meno con settori simili; se ciò non si verifica, è op-
portuno esaminare le motivazioni di tali differenze;
- vengono definiti obiettivi per tutte le più importanti attività.
La società aveva sempre avuto buoni se non addi-
rittura ottimi risultati, in linea con il settore di ap-
partenenza. Gli obiettivi fissati a livello di impresa
erano in linea con la situazione consuntiva passa-
ta.
3. Congruità delle risorse destinate al raggiungi-
mento degli obiettivi.
Considerare per esempio se:
- la direzione ha selezionato le risorse necessarie per conse-
guire gli obiettivi prefissati;
- sono stati elaborati dei piani per sopperire alla mancanza di
risorse, con l’esplicita previsione di un loro nuovo acquisto.
Le risorse erano adeguate per il conseguimento
dei target.
4. Individuazione degli obiettivi specifici ritenuti
fondamentali per il conseguimento degli obiettivi
generali dell‟impresa.
Considerare per esempio se:
- la direzione sa esattamente ciò che deve essere evitato per
un insuccesso aziendale;
- le spese per investimenti fissi e i budget vengono definiti
solo a seguito di un’attenta valutazione delle priorità.
5. Coinvolgimento di tutti i livelli dirigenziali nella È difficile parlare di coinvolgimento di tutti i livelli
- 124 -
definizione degli obiettivi.
Considerare per esempio se:
- i dirigenti partecipano alla definizione degli obiettivi prefissa-
ti per le attività di cui sono direttamente responsabili;
- i dirigenti cercano di realizzare gli obiettivi senza secondi
fini.
dirigenziali in questa situazione in cui il vertice a-
ziendale è così esteso. La responsabile del perso-
nale ad esempio non aveva degli obiettivi e non
aveva nemmeno senso che avesse un tale potere
all‟interno della società. Per cui, in questo caso,
risulta essere particolarmente complesso parlare
di partecipazione alla definizione di obiettivi che in
realtà non devono nemmeno esistere e proprio per
questa ragione non vengono fissati. Non si può
parlare di mancanza di obiettivi per il vertice o di
un mancato suo coinvolgimento: il problema era
che un soggetto come la responsabile del perso-
nale o il responsabile del magazzino non avrebbe-
ro dovuto nemmeno ricoprire la carica di dirigente.
ANALISI E VALUTAZIONE DEI RISCHI: un corretto procedimento di individuazione dei rischi do-
vrebbe condurre all‟individuazione non solo di quelli che minacciano maggiormente la società e le sue
singole attività, ma anche delle implicazioni che potrebbero derivare da tali rischi. Il processo, pertan-
to, dovrebbe tenere in considerazione sia i fattori interni sia quelli esterni che potrebbero impattare sul
raggiungimento degli obiettivi e dovrebbe fornire anche degli strumenti per la gestione della problema-
tica.
1. Adeguatezza dei meccanismi istituiti per
l‟individuazione dei rischi originati da fonti ester-
ne.
Considerare per esempio se:
- la direzione tiene conto dei rischi connessi a fonti di ap-
provvigionamento, innovazioni tecnologiche, richieste dei
creditori, concorrenza, congiuntura economica, regolamenta-
zione, contesto politico e calamità naturali.
Non siamo tutt‟ora a conoscenza di procedure fi-
nalizzate all‟individuazione dei rischi.
2. Adeguatezza dei meccanismi istituiti per
l‟individuazione dei rischi originati da fonti inter-
ne.
Considerare per esempio se:
- la direzione tiene conto dei rischi associati a risorse umane,
- 125 -
finanziamenti, condizioni di lavoro o sistemi informativi.
3. Caratteristiche del processo di analisi dei ri-
schi in termini di completezza e qualità, poiché
esso deve considerare la stima delle entità dei
rischi, la valutazione delle probabilità che si veri-
fichino e l‟individuazione delle misure da adotta-
re.
Considerare per esempio se:
- esiste una procedura di analisi formale o informale di anali-
si;
- all’analisi dei rischi partecipano soggetti con elevate posi-
zioni all’interno della società e soprattutto un adeguato livello
di competenza.
GESTIONE DEI CAMBIAMENTI: l‟ambiente in cui la società si trova ad operare è in costante evolu-
zione. Periodicamente cambiano la situazione economica, le condizioni di mercato o le leggi che rego-
lano la competizione e il settore. Conseguenza di tutto ciò è un ripetuto mutamento delle attività
dell‟impresa stessa. Per tale motivo è necessario che il top management si doti di meccanismi capaci
non solo di individuare questi cambiamenti, ma anche di reagire agli stessi.
1. Esistenza di meccanismi volti a prevedere, se-
lezionare e rispondere a cambiamenti che pos-
sono influenzare le attività di routine.
Considerare per esempio se:
- l’azienda reagisce ai cambiamenti nelle attiv ità di routine
mediante i tradizionali processi di individuazione e analisi dei
rischi o tramite meccanismi appositamente predisposti.
La società non applicava alcun tipo di meccani-
smo preventivo in risposta ad eventuali cambia-
menti delle attività routinarie.
2. Esistenza di meccanismi mirati ad individuare
e a reagire a cambiamenti che potrebbero poten-
zialmente produrre un effetto più radicale
sull‟azienda.
Considerare per esempio se:
- esistono meccanismi volti a tenere sotto controllo le seguen-
ti aree soggette a possibili cambiamenti:
o contesto operativo (variazione nel comportamento
dei clienti, nel contesto lavorativo o in quello rego-
La società ha subito nel corso dell‟ultimo anno, in
particolare dopo il cambiamento del CFO tedesco,
una ristrutturazione aziendale, unico rilevante
cambiamento di cui siamo a conoscenza, nei con-
fronti del quale il management ha reagito negati-
vamente, opponendosi. In generale non sono stati
riscontrati meccanismi atti alla prevenzione o al
monitoraggio delle modifiche sia interne che e-
- 126 -
lamentare);
o nuove assunzioni;
o sistemi informativi (effetti prodotti dall’introduzione
di nuovi sistemi, efficacia di quelli esistenti, ade-
guata formazione del personale);
o crescita rapida (adeguamento del personale, esi-
stenza di un processo di revisione dei budget);
o nuove tecnologie (aggiornamento dell’impresa sui
nuovi strumenti tecnologici, monitoraggio degli ul-
timi sistemi implementati);
o nuovi marchi, prodotti, attività e acquisizioni (proce-
dure atte a ottenere riscontri immediati);
o ristrutturazione dell’impresa (ridistribuzione del per-
sonale, riassegnazione delle responsabilità, tutele
contro eventuali azioni di ex dipendenti);
o attività all’estero (conoscenza della regolamenta-
zione e del contesto socio – economico del Paese).
sterne. Tale impreparazione generale della socie-
tà al cambiamento era già stata da noi rilevata in
fase di preaudit quando, in seguito al cambio del
sistema informativo, avevamo riscontrato
un‟errata mappatura del piano dei conti per cui,
alla nostra richiesta di avere a disposizione un bi-
lancio di verifica, non avevamo ottenuto un docu-
mento completo. Ciò ci è apparso subito anomalo
poiché il cambiamento risaliva già ad alcuni mesi
prima del nostro intervento: avevamo già in quella
situazione riscontrato una mancanza di controllo
da parte dei supervisori. La responsabile ammini-
strativa, infatti, avrebbe dovuto già accorgersi del
difetto del sistema durante il passaggio da un sof-
tware contabile all‟altro. Ma, in mancanza di una
struttura di gestione dei cambiamenti, questi non
venivano presi in considerazione come qualcosa
da valutare anticipatamente, denotando una certa
negligenza dei responsabili.
ATTIVITÀ DI CONTROLLO
Con il termine attività di controllo si intende un insieme di politiche, alle quali si aggiungono le relative
procedure di attuazione, aventi lo scopo di assicurare l‟osservanza delle direttive del vertice aziendale.
Esse consentono al top management di verificare che le procedure da mettere in atto per neutralizza-
re i rischi che minacciano gli obiettivi aziendali vengano effettivamente messe in atto.
1. Esistenza di adeguate politiche necessarie
per garantire l‟efficiente svolgimento di ciascuna
attività aziendale.
Considerare per esempio se:
- viene correttamente rispettato il principio della separazione
dei compiti, per cui:
le attività di custodia dei beni sono separate da
quelle di contabilizzazione e da quelle di autoriz-
zazione;
Non veniva assolutamente svolta alcuna attività di
controllo né da parte dei supervisori né da altri
soggetti. Il nostro Studio è intervenuto già nel 2007
ma solo per convertire il bilancio italiano utilizzan-
do i principi contabili tedeschi. Prima di noi esiste-
va un collegio sindacale che non si è mai preoc-
cupato di svolgere controlli.
- 127 -
le posizioni di responsabilità sono separate dalle
attività di contabilizzazione;
le attività nell’ambito dell’IT di utente, programma-
tore, analista di sistemi e gestore di archivi sono
distinte tra loro;
le operazioni sono adeguatamente registrate e do-
cumentate, in particolare i documenti sono prenu-
merati in sequenza, sono predisposti tempestiva-
mente e la loro struttura ne agevola la compilazio-
ne.
2. I controlli previsti dall‟azienda sono effettiva-
mente messi in atto.
Considerare per esempio se:
- i controlli previsti dai manuali sono realmente e corretta-
mente attuati;
- in caso di eccezioni sono tempestivamente predisposte le
azioni necessarie;
- i supervisori verificano regolarmente il corretto funziona-
mento dei controlli.
INFORMAZIONI E COMUNICAZIONI
QUALITÀ DELLE INFORMAZIONI: le informazioni sono raccolte, elaborate e inviate attraverso dei
sistemi informativi.
1. Analisi della modalità con cui vengono ottenu-
te le informazioni dall‟interno e dall‟esterno e
vengono trasmesse alla direzione sotto forma di
rendiconti in merito ai risultati ottenuti
dall‟azienda.
Considerare per esempio se:
- esistono appropriati meccanismi per ottenere informazioni
dall’esterno;
- le informazioni provenienti dall’interno dell’impresa vengono
correttamente individuate e regolarmente trasmesse;
- i dirigenti ottengono tutte le informazioni di cui hanno biso-
gno per adempiere alle loro attività.
- 128 -
2. Le informazioni vengono trasmesse in modo
sufficientemente dettagliato e tempestivo alle
persone idonee.
Considerare per esempio se:
- le informazioni vengono fornite in tempo e sintetizzate in
modo adeguato, così da mettere a disposizione dati significa-
tivi.
I membri del management di secondo livello erano
assolutamente autonomi: l‟amministratore delega-
to non chiedeva mai spiegazioni e non si trovava,
nei loro confronti, in una situazione di indipenden-
za.
3. I sistemi informativi sono sviluppati o modifica-
ti sulla base di un piano strategico, inserito nel
quadro della strategia globale dell‟azienda.
Considerare per esempio se:
- esiste un modo per individuare le nuove esigenze informati-
ve;
- per le tecnologie informatiche è stato predisposto un piano
a lungo termine;
- vengono impiegate risorse sufficienti per lo sviluppo di nuo-
vi e più efficienti sistemi informativi.
EFFICIENZA DELLA COMUNICAZIONE: un‟efficace comunicazione può essere raggiunta solo con
un‟adeguata sua diffusione attraverso tutti i livelli gerarchici di un‟organizzazione.
1. Efficacia con cui vengono comunicati i compiti
e le relative responsabilità sui controlli.
Considerare per esempio se:
- i mezzi utilizzati a tal fine sono sufficienti;
- il personale è a conoscenza dei legami di influenza che ri-
guardano le sue mansioni e i compiti degli altri.
All‟interno della società i compiti erano ben deline-
ati ma, non esistendo dei controlli formali, non e-
rano state definite le responsabilità dei dipendenti
in merito a un funzionamento di questi ultimi.
2. Istituzione di canali di comunicazione per rife-
rire di presunte irregolarità.
Considerare per esempio se:
- esiste un modo per comunicare con i livelli gerarchici più
elevati attraverso un soggetto diverso però dal proprio diretto
superiore;
- è tutelato e consentito l’anonimato;
- il personale fa effettivamente uso di tale canale di comuni-
La segnalazione della frode è avvenuta tramite
una e-mail anonima. Non sappiamo però chi
l‟abbia spedita e da dove sia stata spedita. Ciò
che importa è che abbia raggiunto il massimo ver-
tice aziendale in Germania e il socio che hanno
poi chiesto al nostro Studio di effettuare delle in-
- 129 -
cazione;
- coloro che segnalano irregolarità sono protetti da eventuali
vendette successive.
dagini. L‟utilizzo della forma anonima si è reso ne-
cessario in quanto i perpetratori della frode appar-
tenevano al management per cui era difficile per i
dipendenti sottostanti segnalare le irregolarità.
Quando è stato assunto il nuovo direttore generale
questi ha segnalato la frode al socio tedesco, ma
è stato ignorato ed è stato poi licenziato
dall‟amministratore delegato. In questo senso si
può concludere che la società non ha tutelato il
proprio whistleblower da rappresaglie conseguenti
alla segnalazione da lui effettuata. Diverso è stato
il comportamento in seguito alla e-mail anonima:
in questo secondo momento non solo la segnala-
zione è stata presa in considerazione, ma non si
sono verificate nemmeno ripercussioni nei con-
fronti di chi ha spedito il messaggio (noto al socio
tedesco che non ha rivelato nemmeno a noi
l‟identità del/dei soggetto/i).
3. Disponibilità della direzione ad ascoltare i
suggerimenti del personale in merito alla possibi-
lità di introdurre nuovi miglioramenti, legati sia
alla produttività, sia all‟ambiente di lavoro.
Considerare per esempio se:
- la direzione dimostra di aver tenuto in considerazione i sug-
gerimenti ricevuti assegnando al personale dei riconoscimen-
ti.
Il feed – back dal basso non era gradito dalla dire-
zione.
4. Adeguatezza della comunicazione lungo
l‟intera organizzazione.
Considerare per esempio se:
- il personale di vendita informa la progettazione, la produ-
zione e il marketing delle esigenze dei clienti;
- il personale della contabilità clienti segnala i clienti con cre-
diti scaduti;
- le informazioni sui concorrenti sono trasmesse alla proget-
I reparti erano e sono ancora ben collegati tra loro.
- 130 -
tazione, al marketing e al personale di vendita.
5. Esistenza di canali per informare i clienti, i for-
nitori e altri soggetti esterni sui valori della socie-
tà e sulle mutate esigenze della clientela.
Considerare per esempio se:
- i soggetti esterni conoscono i principi e le aspettative
dell’azienda in merito al comportamento da tenere nei suoi
confronti;
- eventuali suggerimenti o reclami vengono riportati
all’attenzione degli interessati all’interno dell’azienda.
La società non è mai stata oggetto di reclami da
parte dei clienti e dei fornitori. La frode infatti non
ha mai danneggiato terzi diversi dalla società e dal
socio tedesco.
6. Vengono intraprese delle azioni di follow – up
in seguito a segnalazioni da parte di clienti, forni-
tori, autorità o altri soggetti esterni.
Considerare per esempio se:
- gli errori di fatturazione ai clienti vengono individuati e cor-
retti e si cerca di dare una giustificazione al motivo di tali
errori;
- i reclami vengono gestiti da personale qualificato, indipen-
dente da quello coinvolto nell’operazione;
- l’alta direzione ha un quadro chiaro della natura e del nu-
mero di reclami.
MONITORAGGIO
MONITORAGGIO CONTINUO: è un‟attività che rientra tra le normali prassi aziendali e consiste sia
nelle più tradizionali operazioni di supervisione sia nelle comuni attività di valutazione del sistema di
controllo interno effettuate dal personale.
1. Livello di consapevolezza del personale sul
continuo funzionamento del sistema di controllo
interno e impegno dei soggetti nella sua supervi-
sione per quanto riguarda le tradizionali mansio-
ni quotidiane.
Considerare per esempio se:
- i responsabili operativi confrontano i dati di produzione,
magazzino, vendita o d’altro tipo che ottengono quotidiana-
Non esistendo un sistema di controllo formale non
si poteva parlare di monitoraggio da parte dei di-
pendenti. Venivano certamente effettuati i confron-
ti abituali tra dati di budget e consuntivo, ma poi-
ché da un punto di vista operativo non esistevano
problemi per la società, non sono mai emerse del-
le irregolarità contabili da queste comparazioni.
- 131 -
mente durante la loro attività con i risultati generati dai siste-
mi;
- i dati gestionali vengono integrati e riconciliati con quelli
generati dal sistema di rendicontazione contabile.
2. Livello di conferma fornito dalle informazioni
provenienti da soggetti esterni .
Considerare per esempio se:
- i clienti confermano implicitamente i dati di fatturazione sal-
dando le fatture;
- quanto riferito dai fornitori e gli estratti conto mensili viene
utilizzato come strumento di monitoraggio;
- le autorità informano l’impresa sul rispetto delle norme o
relativamente ad altre questioni che hanno un impatto sul
funzionamento del sistema di controllo interno;
- i controlli mal funzionanti che avrebbero dovuto prevenire o
individuare i problemi vengono riesaminati.
I dati contabili sono sempre stati confermati
dall‟esterno. Anche le spese personali effettuate
dai dirigenti tramite le carte di credito sono sempre
state contabilizzate correttamente in Co.Ge. per
cui le riconciliazioni bancarie non mostravano furti
di liquidità in quanto i valori contabili erano con-
fermati al centesimo dagli estratti conto bancari.
3. Confronto periodico tra gli importi iscritti in
contabilità e i beni fisici.
Considerare per esempio se:
- il livello delle rimanenze di magazzino viene quantificato
all’atto del prelievo e le differenze fra le risultanze contabili e
le quantità effettive vengono rettificate.
Per quanto riguarda i beni fisici, durante le nostre
verifiche di revisione mirate a coprire l‟assertion
dell‟esistenza dei beni iscritti tra gli asset, abbiamo
rilevato come alcuni di questi non solo non fossero
inerenti con l‟attività della società, ma non fossero
nemmeno fisicamente presenti in azienda in quan-
to acquisti personali dell‟amministratore delegato
che li aveva poi trasportati nella sua abitazione
privata. Dall‟analisi del magazzino, inoltre, abbia-
mo rilevato alcune differenze positive emergenti in
corrispondenza di merce proveniente da un‟altra
società del gruppo; in questa circostanza non ve-
niva effettuato un confronto tra quantità di merce
fornita e quantità di merce riportata nella bolla di
consegna. Permaneva quindi il rischio, nell‟area di
magazzino, di un‟errata rappresentazione della si-
tuazione e un rischio di frode da eventuale vendita
occulta di componenti forniti in eccedenza.
- 132 -
4. Attenzione alle raccomandazioni dei revisori
sui modi per rafforzare i controlli interni e pre-
senza di altre occasioni, quali corsi di formazio-
ne, sedute di pianificazione o altre riunioni, in cui
mostrare alla direzione i risultati sull‟efficacia dei
controlli messi in atto.
Considerare per esempio se:
- i suggerimenti del personale vengono comunicati ai livelli
gerarchici superiori e durante le sedute di verifica si pone
particolare attenzione alle questioni più importanti.
La direzione non ha mai mostrato interesse a mi-
gliorare i controlli o ad implementare un sistema di
controllo interno.
5. Efficacia dell‟attività di revisione interna.
Considerare per esempio se:
- esistono soggetti con livelli di competenza elevata ed ade-
guata;
- la posizione da essi occupata nell’impresa è appropriata.
Non esisteva una funzione di internal audit.
VALUTAZIONI PERIODICHE: ciclicamente è opportuno riesaminare il sistema di controllo interno fo-
calizzandosi sulla sua efficacia. La frequenza di queste analisi periodiche dipende ovviamente dalla
procedura di valutazione dei rischi e dal funzionamento del monitoraggio continuo. Quanto maggiore è
l‟efficienza di quest‟ultimo, tanto più rare dovranno essere le valutazioni periodiche.
1. Portata e frequenza delle valutazioni periodi-
che del sistema di controllo interno.
Considerare per esempio se:
- vengono effettuate delle valutazioni del sistema di controllo
interno da parte del personale competente.
Non sono mai state effettuate né valutazioni pe-
riodiche né attività di monitoraggio. Le prime valu-
tazioni sul sistema di controllo interno verranno
effettuate durante l‟incarico che ci è stato affidato
per l‟esercizio 2010.
2. Adeguatezza del processo di valutazione.
Considerare per esempio se:
- il valutatore ha una conoscenza adeguata di come il siste-
ma di controllo interno dovrebbe funzionare e di come effetti-
vamente funziona;
- viene condotta un’analisi comparata confrontando i risultati
della valutazione con modelli prestabiliti.
- 133 -
3. Adeguatezza della metodologia di valutazione
e analisi del sistema di controllo interno e della
documentazione.
Considerare per esempio se:
- la metodologia di valutazione prevede liste di controllo,
questionari e altri strumenti;
- i soggetti incaricati della valutazione hanno pianificato il loro
intervento;
- sono disponibili manuali delle politiche aziendali, organi-
grammi e altri documenti simili.
SEGNALAZIONE DELLE DISFUNZIONI: i mal funzionamenti del sistema di controllo interno dovreb-
bero essere segnalati ai livelli gerarchici superiori e, in certi casi, anche al Consiglio di Amministrazio-
ne.
1. Esistenza di un meccanismo di individuazione
e segnalazione delle disfunzioni rilevate nel si-
stema di controllo interno.
Considerare per esempio se:
- esistono strumenti per ottenere rapporti sulle disfunzioni sia
da fonti interne che esterne.
Non esistevano strumenti per segnalare eventuali
disfunzioni.
2. Adeguatezza dei protocolli di rendicontazione.
Considerare per esempio se:
- le disfunzioni vengono segnalate al soggetto direttamente
responsabile dell’attività in questione e a una persona di al-
meno un grado superiore.
3. Adeguatezza delle azioni di follow – up.
Considerare per esempio se:
- l’evento individuato è stato corretto;
- vengono analizzate le azioni sottostanti;
- esiste un follow – up che garantisce l’adozione delle neces-
sarie misure correttive.
- 134 -
RED FLAG IDENTIFICATIVE DELLA FRODE
Anomalie contabili Erano presenti nell‟ambito dei beni ammortizzabili in quanto
questi non venivano assolutamente monitorati.
Debolezze nel sistema di controllo
interno
Il sistema di controllo interno non era addirittura presente e so-
prattutto non esistevano dei controlli compensativi.
Aggressività del management e-
secutivo
È stata riscontrata aggressività del management che è risultato
anche dispotico nei confronti dei collaboratori.
Transazioni altamente complicate
o relazioni con terze parti
Considerando il commercialista come un soggetto terzo, si può
evidenziare come il suo compenso fosse spropositato rispetto
alle prestazioni fornite effettivamente alla società. Sembra che le
transazioni fatturate fossero in realtà delle consulenze fiscali di
carattere personale fornite direttamente all‟amministratore dele-
gato per la gestione del suo patrimonio personale. La relazione
con il commercialista era poi resa più complessa dal fatto che la
società ha poi assunto la figlia dello stesso.
Monitoraggio non efficace dei diri-
genti
Il top management non era assolutamente monitorato.
Struttura organizzativa complessa
o instabile
La struttura della società era eccessivamente complessa tenen-
do conto del fatto che il numero di dirigenti era inadeguato ri-
spetto al numero totale di dipendenti.
Transazioni significative con parti
correlati, soprattutto quando l‟altro
soggetto non è sottoposto alla re-
visione o quando la società di revi-
sione non è la stessa
La società si relazionava e si relaziona principalmente con la ca-
sa madre tedesca; purtroppo non è possibile sapere se il livello
delle vendite e se le movimentazioni di magazzino sono state
tutte correttamente contabilizzate e soprattutto determinate. Non
è mai stato chiesto di effettuare un‟analisi di transfer price in
quanto i margini della filiale italiana sono molto elevati. Non sor-
ge pertanto il dubbio che ci sia un ricarico dei costi della subsi-
diary e non risulta perciò prioritario analizzare i prezzi di trasfe-
rimento.
Informativa così poco chiara da
non consentire di determinare la
Si sono riscontrate scarse informazioni in merito alle consulenze
fiscali fornite dal commercialista e quelle fornite da un architetto
- 135 -
vera natura della transazione che era stato chiamato per riorganizzare la struttura del magaz-
zino. Molto probabilmente gli era stato chiesto di fatturare alla
società anche migliorie che sono state in realtà apportate
all‟appartamento privato dell‟amministratore.
Cambiamento nello stile di vita di
un dipendente
Si sarebbe potuto evidenziare il fatto che sia stata concessa
un‟auto al magazziniere che aveva dato la sua disponibilità per
prendersi cura dei cani a guardia della società anche durante i
giorni non lavorativi. L‟auto, messa a disposizione come com-
penso per questa extra attività, era tuttavia una forma di remu-
nerazione eccessiva, considerando che veniva poi usata anche
a scopo personale.
Dipendenti che non prendono mai
giorni di ferie, che hanno problemi
finanziari o di tipo psicologico, che
non accettano trasferimenti o pro-
mozioni
Il fondo ferie in realtà non era molto elevato. In questo caso non
si è verificato quanto generalmente supposto nel momento in cui
viene perpetrata una frode, ovvero che il soggetto attivo, per evi-
tare che possa essere scoperta la sua attività fraudolenta, tende
a non abbandonare il suo posto di lavoro nemmeno per un peri-
odo di ferie.
Utilizzo inspiegabile delle carte di
credito
I dirigenti utilizzavano le carte di credito aziendali per scopi as-
solutamente privati.
Acquisto di oggetti inusuali La società aveva effettuato degli acquisti che non erano inerenti
la sua attività e non erano nemmeno giustificati con i servizi che
venivano forniti ai dipendenti (ad esempio il servizio mensa). Tra
questi acquisti abbiamo individuato un frigorifero, una vetrinetta
per l‟esposizione di vini e delle poltroncine. Ci è stato spiegato
che questi erano tutti presso l‟appartamento dell‟amministratore.
Dipendenti stipendiati eccessiva-
mente
Il top management, oltre ad avere una qualifica che non sempre
era giustificata dalla reale attività che svolgeva (si pensi ad e-
sempio al magazziniere promosso a direttore della logistica o
alla responsabile del personale che in realtà non aveva alcun
sottoposto da dirigere), era anche eccessivamente stipendiato. I
compensi comprendevano anche una serie di bonus e fringe
benefit che venivano erogati senza una giustificazione formale.
- 136 -
- 137 -
Bibliografia
Albrecht W. S., Albrecht C. (2004). Fraud examination & prevention. 5th Edi-
tion. Ohio: Thomson, South – Western.
Allegrini M., D‟Onza G., Mancini D., Garzella F. (2003). Le frodi aziendali. Fro-
di amministrative, alterazioni di bilancio e computer crime. 7° Edizione. Milano:
Franco Angeli.
Associazione Italiana Internal Auditors e PricewaterhouseCoopers (2006). La
gestione del rischio aziendale. ERM – Enterprise Risk Management: un mo-
dello di riferimento e alcune tecniche applicative. 1° Edizione Italiana (Edizione
originale: Enterprise Risk Management – Integrated Framework: Executive
Summary and Framework, Enterprise Risk Management – Integrated Frame-
work: Application Techniques, 2 vol., USA, Committee of Sponsoring Organi-
zations of the Treadway Commission, 2004). Milano: Il Sole 24 Ore.
Associazione Italiana Internal Auditors e PricewaterhouseCoopers (2008). Il
controllo interno per l’attendibilità del financial reporting. Strumenti di riferimen-
to per il management. 1° Edizione Italiana (Edizione originale: Internal Control
over Financial Reporting – Guidance for Smaller Public Companies: Executive
Summary – Guidance – Evaluation Tools – Frequently Asked Questions, USA,
Committee of Sponsoring Organizations of the Treadway Commission, 2006).
Milano: Il Sole 24 Ore.
Balducci D., Ceccaroni S. (2000). Frodi, errori e patologie contabili. Come in-
dividuarle e come prevenirle. 1° Edizione. Milano: Edizioni FAG.
Balducci D., Ceccaroni S. (2002). Falso in bilancio e frodi contabili. 1° Edizio-
ne. Milano: Edizioni FAG.
Bava F. (2003). L’audit del sistema di controllo interno. 2° Edizione. Milano:
Dott. A. Giuffrè Editore.
- 138 -
Bologna J., Lindquist R. (1995). Fraud auditing and forensic accounting. New
tools and techniques. 2nd Edition. New Jersey: John Wiley & Sons, Inc.
Chapman R. J. (2006). Simple tools and techniques for Enterprise Risk Man-
agement. 1st Edition. England: John Wiley & Sons, Ltd.
Ciminiello C., Quercia L. (1998). Il falso in bilancio. Gli elementi costitutivi del
reato e le patologie contabili più diffuse. 1° Edizione. Roma: Buffetti Editore.
Davies D. (2002). La prevenzione degli illeciti societari. L’analisi dei rischi di
frode. Le manipolazioni contabili. Come identificare e combattere le frodi. Le
strategie per creare e mantenere il valore dell’impresa. La responsabilità pe-
nale e societaria. 1° Edizione (Edizione originale: Fraud watch. London, ABG
Professional Information, 2000). Milano: Il Sole 24 Ore S.p.a.
Green S., (2004). Manager’s guide to the Sarbanes – Oxley Act. Improving in-
ternal controls to prevent fraud. 10th Edition. New Jersey: John Wiley & Sons,
Inc.
Huntington I. (1992). Fraud: prevention and detection. 1st Edition. Londra: Ed.
Butterworths London, Dublin & Edinburgh.
Laganà G. (2004). Frodi societarie e corporate governance. Ruolo e respon-
sabilità nel controllo interno. Organi di controllo, società di revisione e di rating.
Centri off-shore e illeciti finanziari. Come prevenire e scoprire le frodi. 1° Edi-
zione. Milano: Il Sole 24 Ore S.p.a.
Laganà G., Gallo Riva P., Mastromarchi D. (1995). Bilanci falsi. Come nasco-
no le frodi societarie, come scoprirle, come prevenirle. 1° Edizione. Milano: Il
Sole 24 Ore S.p.a.
Livatino M., Pecchiari N., Pogliani G. (2007). Principi e metodologie di
auditing. 1° Edizione. Milano: Egea.
Materiale didattico del corso di Revisione Aziendale, Prof. Livatino M., Univer-
sità Luigi Bocconi.
Materiale didattico del corso di Revisione Aziendale – Corso progredito, Prof.
Livatino M., Università Luigi Bocconi.
- 139 -
Materiale didattico del corso di Forensic accounting, frauds and litigation, Prof.
Pogliani G., Università Luigi Bocconi.
Olson D. L. e Wu. D. D. (2008). Enterprise Risk Management. 1st Edition. Chi-
cago: World Scientific Publishing Co. Pte. Ltd.
PricewaterhouseCoopers (2002). Il sistema di controllo interno. Un modello in-
tegrato di riferimento per la gestione dei rischi aziendali. 1° Edizione Italiana
(Edizione originale: Internal Control – Integrated Framework, New York, Amer-
ican Institute of Certified Public Accountants, Inc., 1992). Milano: Il Sole 24
Ore.
PricewaterhouseCoopers (2006). Il sistema di controllo interno. Un modello in-
tegrato di riferimento per la gestione dei rischi aziendali. 3° Edizione Italiana
(Edizione originale: Internal Control – Integrated Framework, New York, Amer-
ican Institute of Certified Public Accountants, Inc., 1992). Milano: Il Sole 24
Ore.
Singleton T., Singleton A., Bologna J. e Lindquist R. (2006). Fraud Auditing
and Forensic Accounting. 3rd Edition. New Jersey: John Wiley & Sons, Inc.
Zattoni A. (2006). Assetti proprietari e corporate governance. 1° Edizione. Mi-
lano: Egea.
Articoli e periodici
Association of Certified Fraud Examiners. (1996). Report to the nation on oc-
cupational fraud & abuse. Austin (USA): Association of Certified Fraud Ex-
aminers.
Association of Certified Fraud Examiners. (2002). Report to the nation on oc-
cupational fraud & abuse. Austin (USA): Association of Certified Fraud Ex-
aminers.
- 140 -
Association of Certified Fraud Examiners. (2004). Report to the nation on oc-
cupational fraud & abuse. Austin (USA): Association of Certified Fraud Ex-
aminers.
Association of Certified Fraud Examiners. (2006). Report to the nation on oc-
cupational fraud & abuse. Austin (USA): Association of Certified Fraud Ex-
aminers.
Association of Certified Fraud Examiners. (2008). Report to the nation on oc-
cupational fraud & abuse. Austin (USA): Association of Certified Fraud Ex-
aminers.
Committee of Sponsoring Organizations of the Treadway Commission (2005).
Guidance for Smaller Companies Reporting on Internal Control over Financial
Reporting – Executive Summary – Guidance. USA: Committee of Sponsoring
Organizations of the Treadway Commission.
Committee of Sponsoring Organizations of the Treadway Commission (2006).
Internal Control over Financial Reporting – Guidance for Smaller Public Com-
panies. Frequently Asked Questions. USA: Committee of Sponsoring Organi-
zations of the Treadway Commission.
Fortunato S., Livatino M., Mantovano P., Pecchiari N. (2006). L’Enterprise
Risk Management. Dal governo dei controlli alla sostenibilità dei rischi. Sup-
plemento al n. 3/2006 della rivista dei Dottori Commercialisti. Milano: Giuffrè
editore.
Institute of Internal Auditors. (1998). Does your control system pass the CoSO
test? Tone at the Top. Florida (USA): The Institute of Internal Auditors.
Institute of Internal Auditors. (2005). Putting CoSO’s theory into practice. Tone
at the Top. Florida (USA): The Institute of Internal Auditors.
KPMG South Africa. (1996). Fraud survey. South Africa: KPMG.
KPMG South Africa. (2002). Fraud survey. South Africa: KPMG.
KPMG United States. (2003). Fraud survey. United States: KPMG.
- 141 -
KPMG Australia and New Zeland. (2004). Fraud survey. Australia and New
Zeland: KPMG.
KPMG Australia and New Zeland. (2006). Fraud survey. Australia and New
Zeland: KPMG.
Kroll. (2009). Global fraud report. New York: Kroll.
PricewaterhouseCoopers. (2007). Economic crime: people, culture and con-
trols. The 4th biennial global economic crime survey. United Kingdom: Price-
waterhouseCoopers.
Tracey J., Gordon A. (2009). Fraud in a downturn. A review of how fraud and
other integrity risks will affect business in 2009. United Kingdom: Pricewaterh-
ouseCoopers.
Nella ricerca sono stati visitati I seguenti siti internet:
http://www.acfe.com
http://www.acfe.it
http://www.coso.org
http://www.kpmg.com
http://www.pwc.co.uk
http://www.pwc.com
http://mercati.borsa-finanza.com
http://www.sox-online.com/coso_cobit_coso_framework.html
http://www.journalofaccountancy.com
http://www.theiia.org
http://www.aiiaweb.it
