1

Un approccio al controllo sui rischi di FrodeUn approccio al controllo sui rischi di Frode

Sessioni di studio AIEA

Roma 19 Aprile 2007

2

Indice

• Introduzione

• Metodologia

• Case study: il JET come strumento di identificazione del Management Override

3

IntroduzioneAlcuni concetti chiave

Per frode si intende una vasta tipologia di irregolarità e atti illeciti caratterizzati da un comportamento intenzionalmente finalizzato a trarre in inganno. Può essere perpetrata a vantaggio o a svantaggio dell’organizzazione e da persone operanti all’interno o all’esterno della stessa (The Institute of Internal Auditors, Practice Advisory 1210.A2).

Le frodi perpetrate a danno dell’organizzazione generalmente producono un beneficio diretto o indiretto ad un dipendente o a un terzo esterno. Ad esempio:

• Accettazione di regalie o tangenti• Dirottamento, a favore di dipendenti o di terzi di transazioni potenzialmente profittevoli per l’organizzazione• Malversazione ovvero appropriazione illecita di beni e denaro con susseguente alterazione di dati contabili

onde coprire l’illecito e rendere difficile l’identificazione • Occultamento o falsificazione di dati o eventi• Richieste di pagamento per merci o servizi non realmente forniti all’organizzazione

Con “management override” dei controlli si intendono quei comportamenti fraudolenti che possono essere commessi da parte del top management che, grazie alla propria posizione all’interno dell’organizzazione, ha la possibilità di manipolare direttamente o indirettamente le registrazioni contabili e l’informativa finanziaria anche in presenza di controlli che potrebbero sembrare efficaci. Il rischio di “management override” dei controlli può generalmente riguardare la registrazione fraudolenta di scritture contabili o altri aggiustamenti (soprattutto in sede di chiusura dell’esercizio), l’alterazione di stime o valutazioni utilizzate per la contabilizzazione di specifiche voci di bilancio

Definizione di frode

Frode a svantaggio dell’azienda

Management Override dei controlli

4

IntroduzioneAlcuni concetti chiave

Frode a vantaggio dell’azienda

Obiettivo dell’intervento

In genere, le frodi perpetrate a vantaggio dell’organizzazione producono tali benefici sfruttando in modo improprio o disonesto una situazione di vantaggio.Alcuni esempi di frode a vantaggio dell’organizzazione sono:

• vendita o cessione di beni fittizi o non correttamente rappresentati;• pagamenti impropri, quali contribuzioni politiche illegali, regalie, tangenti e dazioni a pubblici ufficiali o loro

intermediari, a clienti o fornitori;• intenzionale non corretta rappresentazione o valutazione di transazioni, attività, passività o risultati reddituali

(Management Override);• manipolazione dei prezzi di trasferimento (per esempio, tra aziende dello stesso gruppo, fissando artatamente

le politiche di prezzo, il management può alterare i risultati di una delle parti, a discapito di altre);• transazioni con parti correlate, intenzionalmente strutturate in modo tale che una delle parti ottenga benefici

non altrimenti ottenibili (Management Override);• intenzionale omissione nella registrazione o comunicazione di informazioni significative, al fine di fornire un

quadro economico-patrimoniale dell’organizzazione fittiziamente migliorato (Management Override); ;• frodi fiscali.

L’obiettivo dell’intervento è di illustrare un possibile approccio al “fraud prevention” attraverso l’indicazione di un possibile approccio metodologico già adottato presso alcuni clienti. Inoltre sarà illustrata una tecnica per la identificazione di attività fraudolente.

5

Indice

• Introduzione

• Metodologia

• Case study: il JET come strumento di identificazione del Management Override

6

Un approccio alla gestione dei rischi di frodeMetodologia di riferimento

La metodologia sviluppata da Deloitte per la valutazione dei programmi e dei controlli antifrode si basa sul modello di controllo interno definito dal COSO.

Con riferimento alle cinque componenti del modello di riferimento, Deloitte ha infatti individuato cinque diverse aree di attività che dovrebbero essere poste in essere dal management in relazione ai programmi ed ai controlli antifrode qui di seguito indicate:

• Fase 1. Identificazione dei rischi potenziali di frode, valutazione e classificazione degli stessi in base alla rilevanza (Fraud Risk Assessment);

• Fase 2. Creazione di un adeguato ambiente di controllo a livello Entity Level, inteso come l’insieme dei fattori (corporate governance, politiche di gestione del personale, codici di comportamento, ecc.) in grado di influenzare in misura significativa la sensibilità del personale alle esigenze di controllo antifrode;

• Fase 3. Disegno e supporto nell’implementazione di attività di controllo antifrode, rappresentate da politiche e da procedure idonee a mitigare (cioè ridurre a un livello accettabile) i rischi potenziali di frode identificati e verifica dell’operatività dei controlli;

• Fase 4. Sviluppo di un adeguato sistema informativo e dei flussi di comunicazione, volti a garantire lo scambio di informazioni rilevanti tra il vertice aziendale e le unità operative (e viceversa) per l’identificazione di attivitàfraudolente o di potenziali rischi di frode;

• Fase 5. Sviluppo di attività di monitoraggio, per verificare l’efficacia del disegno dei programmi e dei controlli antifrode ed il corretto funzionamento del controllo interno in merito alla prevenzione ed identificazione delle frodi.

Approccio metodologico

Aree di attività

Fasi della metodologia

Identificazione valutazione e classificazione dei rischi

potenziali di frode

Creazione di un ambiente di controllo

Disegno eimplementazione e

testdi attività di controllo

antifrode

Sviluppo Sistema

informativo e flussi di

comunicazione

Sviluppodi attività

di monitoraggio del modello

antifrode

Fase 1 Fase 2 Fase 3 Fase 4 Fase 5

7

Descrizione

Attività previste

Output della fase

Un approccio alla gestione dei rischi di frodeFase 1. Fraud Risk Assessment

L’attività di fraud risk assessment riguarda l’identificazione e la valutazione di possibili fattori di rischio di frode che potrebbero portare al verificarsi di attività fraudolente nell’ambito di un Gruppo.

Il processo di FRA deve essere strutturato in particolare sulla base delle seguenti attività:• identificazione dei rischi di frode considerando i fattori di rischio interni e esterni. I fattori di rischio sono gli

eventi/condizioni che indicano la presenza di pressioni/incentivi, l’opportunità e le attitudini/razionalizzazione a compiere un’azione fraudolenta. Nell’attività di identificazione dei rischi di frode correnti devono essere considerate anche le frodi avvenute in passato all’interno dell’organizzazione e le segnalazioni ricevute dal management o dagli organi di controllo relativamente a comportamenti illeciti a danno della società;

• valutazione e prioritizzazione dei rischi di frode (in base alla probabilità e significatività ossia all’impatto che una frode può avere sul bilancio della società);

• Classificazione dei rischi di frode in schemi di frode

Sulla base dei risultati del FRA sono identificati i rischi potenziali di frode che permetteranno di identificare gli schemi di frode applicabili al Gruppo/Società.

Per l’individuazione degli schemi di frode, tra l’altro, ci si è avvalsi del data base sviluppato dall’Industry Fraud Risk Database (IFRD) della SEC, realizzato sulla base di episodi di frode avvenuti in corporation americane tra il 1999 e il 2004.

8

Esempio di fattori di rischio di frode

Un approccio alla gestione dei rischi di frodeFase 1. Fraud Risk Assessment: fattori di rischio di frode

Facile convertibilità degli assets, come nei casi di titoli al portatore.

Materiali di magazzino di piccole dimensioni, alto valore o con elevata domanda.

Grandi ammontari di consistenza liquida o ricavi in contanti.

Note(sì-no-n/a)

Alcune caratteristiche o circostanze potrebbero incrementare la suscettibilità degli asset alla misappropriation. Per esempio, la probabilità di misappropriation of assets aumenta quando:

Opportunità

La società è soggetta a rapidi cambiamenti nelle condizioni del settore (esempio, fallimento o incapacità di tenere il passo con la rapida crescita del mercato elettronico, se la stabilità finanziaria della società è a rischio a causa di tale incapacità).

Si sono verificati cambiamenti significativi nelle policies o strategie della società relative alla distribuzione degli utili o di altre fonti di cassa.

Si sono verificati dei cambiamenti significativi nella natura degli investimenti che rappresentano la primaria fonte di reddito della società.

Note(sì-no-n/a)

Alcune caratteristiche o circostanze potrebbero incrementare la suscettibilità degli asset alla misappropriation. Per esempio, la probabilità di misappropriation of assets aumenta quando:

Incentivi e pressioniesem

plificativo

9

Esempio di schemi di frode

Un approccio alla gestione dei rischi di frodeFase 1. Fraud Risk Assessment: schemi di frode

Benefit fraud

Bribery – Kickbacks

Adozione e/o variazione di principi contabili o criteri valutativi inadeguati o non conformi

Pagamenti di retribuzioni/bonus e piani di stock option “strumentali” (dipendenti cessati, fantasma, etc..)

Doppio pagamento ad un medesimo fornitore

Pagamenti per acquisti di beni e servizi “fittizi”

Elenco schemi di frode

esemplificativo

10

Descrizione

Attività previste

Output della fase

Un approccio alla gestione dei rischi di frodeFase 2. Creazione di un ambiente di controllo (Entity level)

L’analisi a livello di Entity è svolta con riferimento all’entità organizzativa ed il suo obiettivo è volto alla valutazione del disegno e dell’operatività degli elementi strutturali del sistema di controllo.

Al fine di predisporre un corretto programma antifrode è necessario effettuare una corretta analisi dei controlli a livello alto, al fine di verificare la “propensione” del Gruppo/Azienda di presidiare il rischio del verificarsi di attivitàfraudolente e nello sviluppare e mantenere una pervasiva cultura antifrode. Per valutare l’idoneità dell’ambiente di controllo da assoggettare all’analisi sono presi in considerazione, tra gli altri, i seguenti elementi:

• ambiente di controllo (“Tone at the top” – cultura ed ambiente di lavoro, SOD, procure e deleghe, Codice Etico, competenza e responsabilità del personale, Corporate Governance);

• valutazione del rischio (Fraud Risk Assessment, rischi legati al management override);• sistema informativo e flussi di comunicazione (esistenza di procedure di whistle blowing, flusso di reporting

sullo stato del sistema di controllo interno sull’informativa finanziaria, correttezza dei flussi informativi dal parte del management dei programmi di controllo antifrode ;

• Monitoraggio (Internal audit, ruoli e responsabili del monitoraggio, modalità operativa di monitoraggio). E’ predisposta una checklist Entity Level sui controlli implementati sugli ambiti in esame e svolta una valutazione del disegno e dell’operatività dei controlli, individuati i relativi gap e predisposto un piano di mitigazione. L’analisi riguarderà anche la valutazione dei controlli IT in termini di obiettivi Cobit (Pianificazione ed organizzazione, Acquisizione ed implementazione, Esercizio ed assistenza, Monitoraggio)

L’output della fase è la predisposizione di un sistema di controlli a livello entity su elementi strategicamente rilevanti per la prevenzione di possibili attività fraudolente

11

Descrizione

Attività previste

Output della fase

Un approccio alla gestione dei rischi di frodeFase 3. D&I e test di un programma e controllo antifrode (process level)

Sulla base del Fraud Risk Assessment sono stati definiti gli schemi di frode. Su ogni schema di frode è svolta una valutazione in termini di significatività ed impatto per valutare la rischiosità dello schema rispetto al Gruppo/Società.Al fine della definizione del sistema di controllo interno è associato ad ogni schema di frode il processo (o i processi) che sono direttamente o indirettamente coinvolti nello schema in esame. Per ogni processo quindi si andranno e verificare i controlli che mitigano i rischi sottesi agli schemi identificati, attraverso una valutazione del sistema di controllo ed una analisi a livello di Disegno ed Operatività dei controlli antifrode.

Le attività previste per lo svolgimento della fase in esame sono le seguenti:• analisi e valutazione del disegno del Sistema di Controllo Interno a livello di processo, • individuazione di eventuali Gap nel disegno dei controlli• definizione e pianificazione di azioni correttive al fine di colmare le carenze dei controlli (in termini di disegno)

posti a presidio dei potenziali rischi di frode• analisi e valutazione dell’operatività del Sistema di controllo Interno a livello di processo, individuazione di

eventuali Gap e definizione e pianificazione di azioni correttive al fine di colmare le carenze dei controlli posti a presidio dei potenziali rischi di frode

Matrice processi/schemi/controlli con l’individuazione di tutti i punti di controllo relativi ai processi considerati piùrilevanti e relativi ai rischi di frode (schemi di frode) più significativi.

12

Descrizione

Attività previste

Output della fase

Un approccio alla gestione dei rischi di frodeFase 4. Sviluppo Sistema informativo e flussi di comunicazione

La definizione di un corretto programma e controllo antifrode non può prescindere dalla definizione di corretti flussi di comunicazione tra il Management responsabile del controllo interno, l’alta Direzione e gli organi di controllo. E’necessario infatti predisporre un sistema di reporting che sia in grado tempestivamente di informare di eventuali frodi identificate. Per raggiungere tale finalità è quindi necessario attribuire chiari ruoli e responsabilità nella gestione del sistema di controllo interno ai fini frode.

Le attività previste per lo svolgimento della fase in esame sono le seguenti:• identificazione dei ruoli organizzativi per la definizione delle responsabilità in termini di controllo interno

antifrode• definizione dei flussi di reporting verso l’alta direzione e gli organi di controllo (AD, Collegio Sindacale,

Comitato di Controllo Interno, Internal Audit)• predisposizione di un flusso di comunicazione per la procedura di “whistle blowing” e per le segnalazione del

garante per il codice etico

L’output della fase è l’identificazione di ruoli e responsabilità in materia di controllo interno ai fini frode e la definizione di una procedura relativa ai flussi di comunicazione all’interno del gruppo con il top Management e gli Organi di Controllo.

13

Descrizione

Attività previste

Output della fase

Un approccio alla gestione dei rischi di frodeFase 5. Sviluppo di attività di monitoraggio del modello antifrode

Strettamente connesse con la fase precedente è la definizione delle attività di monitoraggio dei programmi e controlli antifrode. Una volta analizzati i controlli e predisposte le azioni correttive necessarie per mitigare i rischio di frode residuo, è indispensabile predisporre un sistema continuo di monitoraggio dell’attività sia a livello Entity che a livello process. Per quanto riguarda l’Entity Level è possibile prevedere un monitoraggio sulla base di una checklist, definendo una cadenza annuale (ogni sei mesi o un anno) con la finalità di verificare il sistema di controllo, identificare carenze, correggerle ed eventualmente integrarle sulla base di eventuali nuovi rischi di frode. Per i controlli a livello process l’attività prevista è la stessa prevista sugli Entity; il monitoraggio può essere fatto sulla base dell’attività di Internal Audit, purché sia attribuita alla funzione la competenza anche in tale materia (ambito di analisi dell’IA) oppure attraverso un monitoraggio dei controlli associati agli schemi/processi, attraverso l’attribuzione di specifici ruoli alla linea. In questo caso deve essere previsto almeno una volta l’anno un aggiornamento del Fraud Risk Assessment.

Le attività previste per lo svolgimento della fase in esame sono le seguenti• definizione della tempistica e delle modalità (procedura operativa) del monitoraggio• monitoraggio del sistema di controllo a livello Entity e definizione di eventuali azioni correttive• monitoraggio del sistema di controllo a livello Process e definizione di eventuali azioni correttive• aggiornamento del Fraud Risk Assessment a livello Process• aggiornamento del Fraud Risk Assessment a livello Entity

L’output della fase consiste nella definizione di una procedura per il monitoraggio e l’aggiornamento del sistema di controllo in ambito frode sia a livello Entity che di processo.

14

Indice

• Introduzione

• Metodologia

• Case study: il JET come strumento di identificazione del Management Override

15

Definizione

Riferimenti

JET – Journal Entries Test

Il Journal Entries Test risponde all’esigenza di valutare rischi di frode e di errore nell’ambito delle attività di audit e consiste in:- Esaminare le registrazioni contabili (Journal Entries – JE) per rintracciare evidenza di possibili material misstatement dovuti a frode;- Ricalcolare i saldi di bilancio per ricercare disallineamenti che possono risultare da material misstatement dovuti a frode;- Valutare la tipologia del business per rintracciare transazioni inusuali materiali e significative.

Tale tipologia di test nasce per soddisfare i requisiti previsti dall’ISA 240 (International Standard of Auditing) in tema di frodi ed errori.

I requisiti previsti contemplano analisi specifiche sulle JE che presentano le seguenti caratteristiche:• Registrazioni su conti raramente utilizzati, inusuali, non correlati;• Registrazioni effettuate da utenti che generalmente non effettuano tale tipo di operazioni;• Registrazioni eseguite a fine periodo o in prossimità della chiusura con una descrizione non dettagliata o insufficiente;• Registrazioni eseguite prima o durante la preparazione del bilancio d’esercizio su un conto di general ledger non codificato;• Registrazioni che riportano importi arrotondati o con cifre finali “consistenti”.

16

Fase 1

Fase 2

Fase 3

Fase 4

Fase 5

JET – Journal Entries Test

Ottenimento del dettaglio di tutte le JE effettuate nel periodo di riferimento, comprensivo di saldi iniziali e saldi finali.Ottenimento di un Bilancio di verifica estratto contemporaneamente all'estrazione delle JE, comprensivo di Saldi Iniziali, Importi Dare e Avere e Saldi Finali per ogni conto.

Importazione dei dati nel tool di analisi utilizzato per l’elaborazione dei dati e l’individuazione delle registrazioni anomale.

Esecuzione della quadratura dei saldi finali con la stima ottenuta sommando ai saldi iniziali le JE del periodo contabile di riferimento.

Produzione di statistiche propedeutiche all’individuazione delle JE anomale.

Estrazione delle registrazioni anomale, individuate fra quelle presenti nel dettaglio delle JE. Ad ogni tipologia èassegnato un peso rappresentante il rischio di material misstatement dovuto a frode.Attraverso una ripartizione automatica dei pesi viene valutato il numero di registrazioni contabili da selezionare, con l’obiettivo di selezionare almeno 25 item (un numero di item sufficiente a rappresentare l’insieme individuato).

17

Registrazioni aventi importi più rilevanti (che in valore assoluto superano una cifra predeternimata).5Registrazioni aventi suppletive particolari (laddove presente tale informazione).3

Scritture aventi importi tondi per un numero di cifre predeterminate (es, le prime 6).5Registrazioni aventi conto e/o contropartita non valorizzati.1

Registrazioni effettuate in orari non di lavoro (per esempio se fosse in Deloitte prima delle 9 e dopo le 18).4Registrazioni aventi data registrazione precedente alla data documento.4

Registrazioni riferite a documenti emessi (data documento) di sabato, di domenica o in un giorno festivo (es. 1°Maggio, Natale).

4

Registrazioni effettuate (data registrazione) di sabato, di domenica o in un giorno festivo (es. 1°Maggio, Natale).4

Registrazioni aventi i dati relativi al documento di riferimento incompleti o del tutto assenti (data, Numero e eventuale descrizione).

3

Registrazioni aventi data registrazione maggiore della data documento per un numero predeterminato di giorni.4Registrazioni aventi data documento differente dal fiscal year in esame.4

Registrazioni aventi data registrazione diversa dalla data di acquisizione per più di un numero predeterminato di giorni, laddove presenti (Es.SAP) le due date.

4

Registrazioni effettuate da User-Id non definite o generiche o di settori che non dovrebbero essere autorizzati ad effettuarle (Es. IT, Personale).

2

Registrazioni aventi user-id che ha effettuato raramente (meno di un determinato numero) registrazioni durante l'anno.2Principali statisticheISA240Principali

statistiche

JET – Journal Entries Test

18

Pre – Requisiti

Alcuni esempi1 di 2

JET – Journal Entries Test

E’ essenziale prima di effettuare i test, provvedere alla quadratura delle registrazioni con i saldi contabili.Nell’ordine:• La somma algebrica di tutte le registrazioni del periodo deve essere uguale a 0;• La totalizzazione per conto di tutte le registrazioni deve quadrare con i saldi di bilancio;• In caso di analisi effettuata su un periodo limitato ad un mese, tale totalizzazione deve quadrare con il giornale bollato del mese e con la differenza dei saldi contabili del mese con quelli del mese precedente.

-8.223,11 REGISTRAZIONI CO.GE 31/12/200330/06/200600020035

8.223,11 -REGISTRAZIONI CO.GE 31/12/200330/06/200600020035

-39.134,00 REGISTRAZIONI CO.GE 31/12/200330/06/200600020036

39.134,00 -REGISTRAZIONI CO.GE 31/12/200330/06/200600020036

ImportoAvereImporto Dare Descrizione OperazioneN RiferimentoData

DocumentoData

OperazioneNumero

Progressivo

Registrazioni con data operazione e data documento diverse per più di 900 giorni

19

Alcuni esempi2 di 2

JET – Journal Entries Test

95.375 19,13%Totale1 0,000002685011 0,000002610991 0,000002009731 0,000002009671 0,000002009521 0,000002008951 0,000002007791 0,000002007521 0,000002005252 0,00000408445

………5.333 1,06944%005676.045 1,21222%005086.894 1,38247%007077.090 1,42178%003827.689 1,54190%BG0209.923 1,98989%00836

10.305 2,06649%0033210.719 2,14951%0093131.366 6,28992%GACG2Numero Reg. % Numero Reg.Matricola

20

Antonio RughiMail: arughi@deloitte.itMobile: 335 7352596

Daniele AcitoMail: dacito@deloitte.itMobile: 348 0746005

Member ofDeloitte Touche Tohmatsu