Il modello di sistema dei controlli interni per le organizzazioni finanziarie nell'ambito della...

Luca Medizza – Managing Director Protiviti

IL MODELLO DEL SISTEMA DEI CONTROLLI INTERNI

PER LE ORGANIZZAZIONI FINANZIARIE

NELL’AMBITO DELLA PREVENZIONE DELLE FRODI

MilanoMilano, , 11 11 dicembredicembre 20132013

ContenutiContenuti

Scenario di riferimento

Frodi e Fraud Risk Management

Entity Level

Process Level

Gli elementi fondanti un adeguato Fraud Risk Managem ent

© 2013 Protiviti Inc. An Equal Opportunity Employer.CONFIDENTIAL: This document is for your company's internal use only and may not be copied nor distributed to any third party.

1

Process Level

Definizione di un framework di intervento

Alcune esperienze di Enterprise Fraud Management

Frode e corruzione

• Sulla base di quanto emerge dal Rapporto alla Nazione del 2012 emesso dall’ACFE (Association of Certified

Fraud Examiners), si stima che le Società perdano circa il 5% dei loro ricavi annui a causa delle frodi(*).

• Inoltre gli azionisti, nonché gli Enti regolatori e di controllo, stanno sempre più richiedendo alle Società

una gestione maggiormente attenta e attiva su questo tipo di rischio.

• Bisogna individuare e gestire il rischio di frode aziendale, comprendendo dove e come può verificarsi e

Le frodi causano perdite pari al 5% dei ricavi annuiLe frodi causano perdite pari al 5% dei ricavi annui


2

• Bisogna individuare e gestire il rischio di frode aziendale, comprendendo dove e come può verificarsi e

implementando adeguate strategie, al fine di:

- proteggere la loro reputazione;

- tutelare il patrimonio aziendale;

- aumentare la fiducia dei diversi stakeholders coinvolti.

(*)Stima basata sui 1.388 casi di frode nelle Società partecipanti alla survey analizzati dall’ACFE

• Come già registrato nei precedenti rapporti alla Nazione, anche nel 2012 il settore bancario/finanziario è

risultato quello maggiormente colpito come numero di eventi fraudolenti registrati.(*)

• Gli esperti ritengono che l’attuale crisi economica comporterà un incremento delle frodi in ambito

bancario e finanziario nel corso del 2009. Le società maggiormente colpite saranno quelle che presentano

carenze nei sistemi informativi (cybercrime), nei controlli e nei framework anti-frode.

Il settore bancario/finanziario è quello maggiormente Il settore bancario/finanziario è quello maggiormente colpitocolpito


3

• I principali fattori che concorrono in modo determinante alla commissione di condotte illecite, influendo

sul rischio di frode di un’organizzazione, sono:

- l’opportunità: assenza di controlli o sistema di controllo interno inadeguato o facilmente eludibile;

- la motivazione: incentivo o pressione a commettere una frode (difficoltà finanziaria, ricerca di potere);

- la razionalizzazione: spersonalizzazione dell’atto o mancata consapevolezza della sua illiceità; convincimento di prendere solo

in prestito un bene aziendale o una somma di denaro e di poterla restituire; emulazione di comportamenti illeciti messi in atto

dai superiori.

Frodi e Frodi e FraudFraud Risk Management Risk Management Cause e modalità di Cause e modalità di gestione gestione

Motivazione


4

Opportunità Razionalizzazione

Motivazione

Strategie, tecniche, programmi e controlli utilizzati per

valutare, mitigare e verificare il rischio di frode

dell’organizzazione e proteggere il valore e la reputazione

aziendale.

Principali attività di Fraud Risk Management:

�Fraud Risk Assessment;

�Sviluppo e valutazione di specifici “Anti-Fraud Programs

& Controls”;

�Fraud Audit;

�Investigazioni;

�Gestione contenziosi(penali o meno).

Fraud Risk Management

Rischio di frode

Frodi interneFrodi esterne con

connivenza interna

Frodi esterne perpetrate all’insaputa

dell’intermediario

Elementi fondanti un adeguato FRM Elementi fondanti un adeguato FRM Entity Entity levellevel

Prevenire

• Tone at the top

• Sistema dei Valori (“Codice Etico / Condotta”)

• Ambiente di lavoro positivo

• Capacità di assumere, promuovere, trattenere i

dipendenti

• Training e awareness programs

• Confirmation / affirmation of Code of Conduct or Ethics

• Programmi “Ombudsman”

• Whistleblower programs

• Capacità di risposta in caso di “incidenti”

• Procedure investigative

• Sistema disciplinare e attività per il recupero

• Supervisione attiva da parte del C.d.A. e/o Comitato

per il controllo interno

• Fraud risk assessment e azioni relative• Internal audit

• Valutazione dell’adeguatezza/efficacia dei controlli


Dissuadere

Individuare

• Processo per diffusione del Codice nella Società

• Coinvolgimento del management nel processo di

reporting e di controllo

• Processo per la ricezione e la gestione di

reclami/segnalazioni/condotte non etiche

• Efficacia delle attività di audit (interno e esterno)

• Valutazione dell’adeguatezza/efficacia dei controlli

interni

• Esempi di azioni disciplinari

• Identificazione e misurazione dei rischi di frode

(“fraud risk assessment”)

• Processi e procedure atte a mitigare i rischi di frode

• Controlli interni efficaci a livello di Società e di

processo

• Attività continue di monitoraggio

• Tecniche di audit “computer-assisted”

• Attività investigative

• Analisi debolezze/gap nei controlli interni

• Analisi sul livello di diffusione del Codice

• Attività di reporting delle problematiche

individuate

• La responsabilità di prevenire i rischi di frode è riconosciuta in capo a responsabili di livello

• E’ implementato un efficace processo di valutazione e monitoraggio dei rischi di frode.

• Utilizzo di strumenti informatici per l’investigazione, ottimizzazione della riduzione dei c.d. “falsipositivi”.

Gestito

• I Programmi e i Controlli antifrode sono allineati con il rischio di frode.

• Attenzione e training sulle frodi sono continui e costanti.

• Le frodi sono attivamente prevenute, scoraggiate e investigate.

OttimizzatoCreazione

di valore

Elementi fondanti un adeguato FRM Elementi fondanti un adeguato FRM ProcessProcess levellevel


6

• Assenza di codice di condotta, “whistle blowing” policy, capacità di fronteggiare eventi di frode e

approccio investigativo.

• Non esistono programmi e controlli specifici antifrode.

Iniziale

• Un programma antifrode è definito ma non monitorato.

• I meccanismi di reporting esistono ma non sono utilizzati.

• L’investigazione è informale e affidata all’iniziativa del singolo.

Migliorabile

• La responsabilità di prevenire i rischi di frode è riconosciuta in capo a responsabili di livello

organizzativo adeguato. Sono operativi sia i piani per fronteggiare eventi di frode sia i protocolli per

le investigazioni.

• I rischi di frode sono identificati formalmente.

Definito

Rischio di

fallimento

Elementi dell’infrastruttura:

Frodi e Fraud Risk Management Frodi e Fraud Risk Management Best Practices nel FRMBest Practices nel FRM

Strategie e Policies Gestione dei rischi Organizzazione Reportistica Metodologie Sistemi informativi

• Il livello di

propensione al

rischio è approvato

e monitorato dal

Top Management

• Il livello di

rischiosità delle

frodi è

formalmente

identificato e

periodicamente

• Il CdA e l’Audit

Committee

monitorano i rischi

di frode

• La responsabilità

• I sospetti di frode o

di condotte illecite

sono

tempestivamente

riportati all’Audit

Committee e al CdA

• E’ definito un

metodo collaudato

per l’identificazione

e la valutazione dei

rischi di frode a

livello aziendale e

• Esistono e sono

attivamente usati e

monitorati adeguati

meccanismi di

reporting


7

• E’ implementata

una specifica Policy

aziendale che

definisce le linee

guida per gestire il

rischio di frodi e per

fronteggiare episodi

specifici

• La Policy individua

chiaramente ruoli e

responsabilità

all’interno

dell’azienda

periodicamente

aggiornato

• Processi di

prevenzione e

investigazione delle

frodi sono operativi

e monitorati sia a

livello di processi

operativi che a

livello strategico

• La responsabilità

dei processi anti-

frode è assegnata al

senior management

• Gli obiettivi

aziendali in termini

di prevenzione

delle frodi sono

considerati nei

piani di incentivi

aziendali

Committee e al CdA

• L’Audit Committee

ha definito le

modalità di

ricevimento,

archiviazione e

adeguato

trattamento delle

segnalazioni su

potenziali frodi

ricevute in accordo

a una ”Wistle

Blowing Policy”

livello aziendale e

di processo

• I piani per

fronteggiare

eventuali frode

sono definiti

chiaramente

• Procedure per

l’investigazione

sono operative e

monitorate

• Adeguati strumenti

di data mining e

analisi sono

utilizzati nelle

attività di

investigazione

La battaglia per ridurre (troppo pretenzioso parlare di sconfiggere) le frodi all’interno della propria azienda è

da combattere su due fronti e secondo due approcci: organizzativo e strutturale.

Tipologie di intervento Tipologie di intervento Definizione di un framework di interventoDefinizione di un framework di intervento

+Complessità implementativa

Intervento

•Controlli di linea

•Controlli di secondo livello

•Controlli ex ante

•Controlli automatici di sistema

•Diagnostico anomalie

•Struttura accentrata dedicata

•Struttura decentrata distribuita


8

+--

Costi di gestione intervento

strutturale

Diagnostico/Controlli sistema

InterventiOrganizzativi

•Controlli ex ante

•Controlli ex post

•Normativa interna

•Segregazione delle funzioni

•Livelli autorizzativi

La grandezza delle bolle esprime gli assorbimenti di risorse in termini di FTE

L’esperienza recente insegna che in molti casi le risorse (umane e tecnologiche) a disposizione delle funzioni di controllo e

prevenzione all’interno di una Società risultano insufficienti o operano in contesti che non consentono di massimizzare

l’efficienza rispetto alle attività cui sono chiamate a svolgere.

riportato nel Una soluzione efficace (ma anche efficiente) è la realizzazione di un Modello Integrato di Gestione dei

rischi (e, conseguentemente, anche del rischio di frode).

Questo approccio si basa sull’intuizione che l’attività di valutazione del rischio di frode e dei controlli ad esso connessi sia

un vero e proprio processo e come tale debba essere realizzato tramite:

– L’identificazione di un unico owner

Tipologie di interventoTipologie di interventoDefinizione di un framework di intervento Definizione di un framework di intervento –– il nostro punto di vistail nostro punto di vista


9

– L’identificazione di un unico owner

– La definizione di un’unica metodologia

– Il coinvolgimento di diversi attori con competenze specifiche

– La formalizzazione di policy che ne regolamentino ruoli e responsabilità

– L’implementazione di una soluzione informatica dedicata

– Il disegno di un unico sistema di reporting

– La definizione di una procedura stabile, ripetibile e documentata

Reportistica integrata

Collegio SindacaleCE / DG

44

22

Requisiti coerenti con le strategie aziendali11

CdA

Internal Audit

Tipologie di intervento Tipologie di intervento Definizione di un framework di intervento Definizione di un framework di intervento –– il punto di arrivoil punto di arrivo


10

Gestione univoca di: • Metodologia di valutazione

dei rischi di frode• Struttura dei controlli• Database dei controlli• Policy & Procedure• Applicativi

Sistema di controlli univoco33

22

Unità di Business

ComplianceRisk Management

MIG Manager

Fraud Risk Manager

Approccio integrato Approccio integrato Aspetti organizzativi per una gestione integrata dei rischiAspetti organizzativi per una gestione integrata dei rischi (1/2)(1/2)

Il nuovo processo di gestione dei Rischi di frode dovrà essere realizzato tramite:

– L’identificazione di un owner

– La definizione delle fasi

– La definizione dell’output

– L’implementazione dei sistemi a supporto

Cantiere Tematico 6Reportistica integrata

Cantiere Tematico 2Metodologia unica di risk assessment

Cantiere Tematico 1Infrastruttura globale

dei controlli


11

Fasi

Esecuzione

dell’assessment

Costruzione della

matrice processi-

rischi-controlli

Identificazione,

analisi e gestione

degli issue

Sistemi Informativi

Elaborazione dei

risultati

Owner

Output

Cantiere Tematico 4Razionalizzazione

delle azioni correttive

Cantiere Tematico 5Integrazione dei

sistemi

Cantiere Tematico 3Infrastruttura organizzativa

L’approccio proposto permette di:

– Costruire un processo logico di gestione dei Rischi (incluso il rischio frode)

– Seguire un approccio per moduli, che possono essere realizzati separatamente e sequenzialmente

– Valutare in fase implementativa l’impatto sui costi

CT3 – Infrastruttura organizzativa

CT4 – Razionalizzazione delle azioni correttiveCT6 – Reportistica integrata

Approccio integrato Approccio integrato Aspetti organizzativi per una gestione integrata dei rischiAspetti organizzativi per una gestione integrata dei rischi (2/2)(2/2)


12

CT2 - Metodologia unica di

risk assessment

CT1 – Infrastruttura globale dei controlli

CT4 – Razionalizzazione delle azioni correttive

CT5 – Integrazione dei sistemi

CT6 – Reportistica integrata

La razionalizzazione della struttura dei

controlli si traduce nell’esame delle

seguenti tematiche:

– definizione degli attributi di classificazione deicontrolli (Who, What, Where, When, How)

– definizione standard del dominio degliattributi

– censimento univoco ed esaustivo dei controlliin essere

– classificazione dei controlli secondo gli

Approccio integrato Approccio integrato MIG MIG –– CT1CT1

Definizione degli attributi, censimento univoco, classificazione dei controlli, etc.


13

– classificazione dei controlli secondo gliattributi condivisi

– analisi di razionalizzazione dei controlli inessere

– identificazione dei controlli chiave

– identificazione dei riferimenti normativiassociabili ai controlli

– disegno del controllo

– stima dei costi associati ai controlli

– valutazione dell’efficacia del controllo

Disegno del controllo, valutazione dell’efficacia e dell’efficienza del controllo

Circolare 263 15°aggiornamento

La definizione di un’unica metodologia di risk assessment

si traduce nell’esame delle seguenti tematiche:

– definizione univoca di rischio non finanziario

– creazione di un glossario comune e condiviso

– identificazione di un’unica tassonomia dei rischi (che

includa il rischio frode)

– identificazione delle dimensioni di valutazione dei

Approccio integrato Approccio integrato MIG MIG –– CT2CT2 (1/2)(1/2)


14


rischi

– identificazione della metodologia e delle modalità

esecutive

Circolare 263 15°aggiornamento

La definizione di un’unica metodologia di risk assessment

si traduce nell’esame delle seguenti tematiche:

– definizione univoca di rischio non finanziario

– creazione di un glossario comune e condiviso

– identificazione di un’unica tassonomia dei rischi (che

includa il rischio frode)




15


rischi

– identificazione della metodologia e delle modalità

esecutive

L’implementazione dell’Infrastruttura Organizzativa si traduce nell’esame

delle seguenti tematiche:

– Gestione del consenso per la creazione della nuova funzione

MIG ed il suo posizionamento all’interno della struttura

organizzativa

– individuazione delle interdipendenze tra diverse funzioni e

definizione delle modalità di gestione delle eventuali aree di

sovrapposizione

– definizione e formalizzazione dei ruoli e delle responsabilità



16

– definizione e formalizzazione dei ruoli e delle responsabilità

di ciascuna delle funzioni coinvolte (ridisegno del Modello di

Governo)

– condivisione e formalizzazione degli obiettivi e delle linee

guida tra le funzioni aziendali coinvolte

– definizione di flussi informativi tra le funzioni per il corretto

svolgimento del processo

– Definizione degli obiettivi e dei KPI per il responsabile della

nuova funzione MIG, in termini di costi di gestione dei RNF,

esposizione residua e assorbimento di capitale nonché di

tempi e costi di realizzazione delle azioni correttive Circolare 263 15°aggiornamento

La razionalizzazione delle Azioni Correttive, emerse

dall’attività di risk assessment, si traduce nell’esame delle

seguenti tematiche:

– Definizione di un chiaro canale di comunicazione con i

Decision Maker (Top Management/CdA/Comitato di

Controllo Interno) attraverso un nuovo concetto di Risk

Tolerance (vedi grafico esemplificativo sulla destra)

– individuazione delle dimensioni di analisi e aggregazione

degli issue rispetto alle soglie di risk tolerance. La gestione

delle azioni correttive sarà realizzata tramite un unico


Frequenza di Accadimento Accettabile: soglia oltre la quale

il costo di riduzione ulteriore della frequenza di

accadimento supera il costo dell’impatto derivante dal

concretizzarsi del rischio


17

delle azioni correttive sarà realizzata tramite un unico

repository di dati

– definizione di una tassonomia degli issue secondo le

dimensioni prescelte (owner, tipologia di intervento,

processo, etc.)

– razionalizzazione delle azioni correttive da porre in essere, in

termini di:

• eliminazione di eventuali duplicazioni

• verifica della coerenza delle singole attività

• prioritizzazione

• attribuzione della responsabilità dell’intervento

• monitoraggio del costo delle azioni correttive poste in essere

• verifica dell’effettiva riduzione dell’esposizione al rischio frode eagli altri RNF a seguito del roll out dell’azione correttivaimplementata

Rischi con impatto basso, ma con frequenza di accadimento

elevata: la risk tolerance può essere ottenuta stabilendo una

Frequenza di Accadimento Accettabile (FAA), sulla base di un’analisi

costi/benefici

Rischi che hanno probabilità di accadimento molto bassa, ma

impatto elevato: la risk tolerance può essere ottenuta stabilendo un

Impatto Massimo Sopportabile (IMS), compatibile con la disponibilità

di Capitale

Impatto Massimo Sopportabile: soglia

oltre la quale il costo di trasferimento

del rischio supera il costo dell’impatto

derivante dal concretizzarsi del rischio

stesso

L’implementazione di un’unica piattaforma, integrata con

gli altri applicativi della Società, consente la gestione dei

RNF (incluso il rischio frode), dei controlli e delle azioni di

mitigazione connesse

L’Integrazione dei Sistemi può essere articolata (a seconda

delle diverse situazioni), in:

– definizione dei requisiti utente e,conseguentemente, dei requisiti funzionali

– valutazione e scelta della soluzione integrata più



18

– valutazione e scelta della soluzione integrata piùidonea

– definizione delle interfacce della piattaformaunificata con le altre procedure applicative aziendali

La definizione di una reportistica integrata si traduce

in:

– analisi dell’attuale reportistica (quick scan

documentale)

– identificazione dei fabbisogni informativi del Top

Management, sulla base di criteri di valutazione

condivisi. Verrà data priorità alle informazioni che

assicurano la POSSIBILITA’ DI PRENDERE


REPORTISTICA AS ISReport Rischio Frode


19


DECISIONI e DI ESPLICITARE LE MOTIVAZIONI

ALLA BASE DELLE STESSE

– definizione di standard di reporting

– definizione dei contenuti e della frequenza del

reporting

– creazione di una base dati volta a realizzare

benchmarking, analisi andamentali e previsionali Circolare 263 15°aggiornamento


in:


documentale)






REPORTING SINTETICO, ANALITICO E DINAMICO

CRITERI:

• qualità dell’input: i dati e le informazioni provengono da

una raccolta e da analisi affidabili;

• profilo del destinatario: ogni report rispetta le necessità

del destinatario in termini di informazioni, livello di

dettaglio e frequenza di produzione;


20






reporting


benchmarking, analisi andamentali e previsionali

dettaglio e frequenza di produzione;

• formato: le informazioni importanti vengono evidenziate

nei report in modo graduato in funzione della rilevanza

delle stesse (con scelte grafiche o di posizionamento).

Focus su:

• processi;

• controlli;

• rischi;

• process owner;

• unità organizzativa;

• etc.


in:


documentale)






Report di processo

Distribuzione rischi per criticità


21






reporting



Distribuzione rischi per tipologia

Distribuzione rischi per

impatti accessori

Top risk

Evoluzione CMM / Six

Elements di processo


in:


documentale)






Report dei controlli


22






reporting



Report di rischio

• Nel 2012, nel settore bancario/finanziario la fattispecie relativa alla corruzione è risultata quella

maggiormente frequente(*)

• Con l’introduzione della Legge n. 190/2012, la fattispecie di corruzione ex art. 2635 C.C. risulta

ancora più rilevante ai fini dei rischi in capo alle Società.

FrodeFrode e e CorruzioneCorruzione –– risultatirisultati ACFEACFE

33,70%

10,10%9,60%

10,40%

60,00%

80,00%

100,00%


• Da una recente survey interna condotta da Protiviti su alcuni primari operatori finanziari

internazionali (anche a seguito di normative quali lo UK Bribery Act e il FCPA) è emerso come le

strutture internazionali si siano fortemente strutturate in termini di regole (Anti-Corruption

Program) e di processi, al fine di prevenire i rischi di corruzione

23

36,20%

0,00%

20,00%

40,00%

60,00%

Corruzione Sottrazione Asset Informativa fraudolenta Falsa Fatturazione Altro

GrazieGrazie


GrazieGrazie

24


25

Luca MedizzaManaging Director

Via Tiziano, 3220145 - MilanoItaliaOffice: +39 02 655 06301Cellulare: +39 347 1131442E-mail: [email protected]

Il modello di sistema dei controlli interni per le organizzazioni finanziarie nell'ambito della...

Education

Transcript of Il modello di sistema dei controlli interni per le organizzazioni finanziarie nell'ambito della...