Comments
Description
Transcript
Rischio Frodi
Documento per discussione Rischio Frodi Come prevenirlo e monitorarlo Milano, 28 giugno 2011 © 2011 Protiviti Srl All rights reserved. Argomenti di discussione • Quanto vale il fenomeno delle frodi in azienda? • Quali sono le tipologie di frode più diffuse? • Quali sono gli strumenti a disposizione per un’accurata e tempestiva rilevazione del fenomeno? 1 © 2011 Protiviti Srl All rights reserved. Documento per discussione Ne parliamo con …. • Protiviti: Introduzione ed overview del fenomeno e delle soluzioni tecnologiche disponibili sul mercato per il Fraud Monitoring • Adfor (distributore ACL autorizzato): soluzioni ACL per il Continuous Monitoring e la Fraud Detection • Protiviti: un caso di applicazione pratica di SAP Assure Tool • Heineken: testimonianza sul Fraud Risk Management in Heineken 2 © 2011 Protiviti Srl All rights reserved. Documento per discussione Agenda Documento per discussione • Il concetto di frode • La rilevanza delle frodi aziendali • I pilastri del Fraud Risk Assessment & Management • Gli strumenti per la Detection e il Continuous Monitoring 3 © 2011 Protiviti Srl All rights reserved. Cos’è una frode? Documento per discussione Per frode s’intende una “vasta tipologia di irregolarità e atti illeciti caratterizzati da comportamenti intenzionalmente finalizzati a trarre in inganno” Fonte: Standard IIA e Guide Interpretative Atti illegali intesi quali violazione di norme e previsioni legislative, di regole e indirizzi interni all’azienda. Perpretrati da persone all’interno o all’esterno dell’organizzazione. Caratterizzati da raggiro, occultamento e abuso di fiducia. Finalizzati a (i) ottenere denaro, beni o servizi, (ii) evitare il pagamento o la fornitura di servizi, (iii) procurarsi vantaggi personali (a danno dell’azienda) o aziendali (a danno di terzi). 4 © 2011 Protiviti Srl All rights reserved. Quali sono le cause? Documento per discussione Razionalizzazione (14%) Opportunità (18%) • Insoddisfazioni sul lavoro • Priorità familiari o di salute • “Lo fanno tutti” • “Tanto all’azienda costa poco o nulla” • Controlli interni insufficienti • Collaborazioni dall’esterno o dall’interno • Pratiche di business scorrette • Disattenzioni del Management The Fraud Triangle Incentivi / Pressioni Incentivi / Pressioni (68%) • Evitare una perdita di: Lavoro Soldi Prestigio • Pressioni del Management o di terzi • Relazioni con la comunità • Insoddisfazione verso l’azienda 5 © 2011 Protiviti Srl All rights reserved. Chi sono i colpevoli? Gli Attori interni Documento per discussione Da chi/come viene scoperta la Frode? • 42% Risorse “Junior” Controllo Interno (23.3%) • 42% Impiegati/Quadro • 14% Manager • 2% Altri Dipendenti Segnalazioni (46.2%) Internal Audit (19.4%) Casualmente (20%) Gli Attori esterni • 45% Clienti Audit Esterno (9.1%) Notifiche in forza di Legge (3.2%) • 20% Agenti / Intermediari • 10% Fornitori • 25% Altre terze parti Note: Il totale eccede il 100% in quanto alcuni attori hanno illustrato più di un metodo per analizzare le frodi Fonte: Associazione di Fraud Examiners “2008 Report to the Nation” 6 © 2011 Protiviti Srl All rights reserved. Agenda Documento per discussione • Il concetto di frode • La rilevanza delle frodi aziendali • I pilastri del Fraud Risk Assessment & Management • Gli strumenti per la Detection e il Continuous Monitoring 7 © 2011 Protiviti Srl All rights reserved. Quanto vale il fenomeno? Documento per discussione Fonte: 2010 Report to the Nations on Occupational Fraud and Abuse 5% 8 © 2011 Protiviti Srl All rights reserved. Percentuale media di ricavi che un’azienda perde ogni anno a causa delle frodi Quali vale il fenomeno? Documento per discussione Fonte: 2010 Report to the Nations on victim organizations Victim Organization Mining 12 / $1M Victim Organization # Case / Median Loss Retail 119 / $85K 176 / $81K Wholesale Trade 42 / $513K Oil and Gas 57 / $478K Government and Public Administration Real Estate 57 / $ 475K Services (Professional) 51 / $110K Agriculture, Forestry, Fishing and Hunting 27 / $320K Utilities 45 / $120K Services (Other) 89 / $109K Manufacturing 193 / $300K Transportation and Warehousing 62 / $300K Technology 65 / $250K Construction 77 / $200K Communication / Publishing 16 / $110K Religious, Charitable or Social Services 41 / $75K Insurance 91 / $197K Healthcare 107 / $150K Education 9 # Case / Median Loss 90 / $71K Telecommunications 37 / $131K Arts, Entertainment and Recreation 57 / $475K © 2011 Protiviti Srl All rights reserved. Banking / Financial Services 298 / $175K Quali sono i tipi di frode più diffusi? Documento per discussione Fonte: 2010 Report to the Nations on Fraud Categories Appropriazione indebita di asset 90 Schemi in cui il frodatore ruba o utilizza impropriamente una risorsa aziendale. • Sottrazione di denaro • Rimborsi spese falsificati • Contraffazione Schemi in cui l’attore della frode utilizza, nelle transazioni di business, la propria influenza per violare un obbligo altrui al fine di ottenere un beneficio improprio. • Corruzione / Abuso d’ufficio • Estorsione • Conflitto di interessi 70 60 No. di Frodi Corruzione 80 50 40 30 20 10 Frodi contabili / finanziarie Schemi che implicano errori od omissioni volontarie di dati o informazioni rilevanti nell’ambito dei bilanci contabili. • Ricavi inesistenti • Occultamento di costi o impegni • Sopravvalutazione asset 10 © 2011 Protiviti Srl All rights reserved. 0 Appropriazione indebita Corruzione Frodi contabili Categorie Legenda 2010 2008 Quali sono le carenze di controllo che concorrono al fenomeno? Documento per discussione Fonte: 2010 Report to the Nations Carenza di controlli interni 37.8% Aggiramento dei controlli interni esistenti 19.2% Carenza di Management Review 17.9% Carenza di personale Carenza di competente nella controlli o audit supervisione indipendenti 6.9% 5.6% Carenza di meccanismi di reporting 0.6% Carente formazioni anti-frodi 1.9% Scarsa chiarezza delle linee di riporto 1.8% 11 © 2011 Protiviti Srl All rights reserved. “Tone at the Top” debole 8.4% Quali sono i principali Red Flag? Documento per discussione Fonte: 2010 Report to the Nations - Behavioral Red Flag Stili di vita superiori alle possibilità Difficoltà finanziarie Indisponibilità a condividere le responsabilità Confidenza inusuale con clienti / fornitori Attitudine agli “intrallazzi” Separazioni / altri problemi familiari Irritabilità, atteggiamenti di sospetto o difensiva Problemi di dipendenza 12 © 2011 Protiviti Srl All rights reserved. Rifiuto ad andare in vacanza Precedenti problemi sul lavoro Continue lamentele sull’inadeguatezza dello stipendio Pressione eccessiva dall’organizzazione Precedenti penali/legali Instabilità nella vita familiare Pressioni eccessive verso il successo Lamentele per la mancanza di autorità Agenda Documento per discussione • Il concetto di frode • La rilevanza delle frodi aziendali • I pilastri del Fraud Risk Assessment & Management • Gli strumenti per la Detection e il Continuous Monitoring 13 © 2011 Protiviti Srl All rights reserved. Cosa dicono gli Standard IIA? 2120.A2 – L’attività di internal audit deve valutare la potenziale presenza di casi di frode e come l’organizzazione gestisce tali rischi. Focus sulla valutazione del rischio di frode In aggiunta: valutazione dei sistemi di fraud risk management in essere 1210.A2 – Gli internal auditor devono possedere conoscenze sufficienti per valutare i rischi di frode e il modo con cui l’organizzazione li gestisce, senza aspettarsi che abbiano le competenze proprie di chi ha come responsabilità primaria quella di individuare ed investigare frodi. • “Devono” anzichè “dovrebbero” possedere conoscenze • Modo in cui la frode è gestita 14 © 2011 Protiviti Srl All rights reserved. Documento per discussione Cosa significa “valutare”? Valutazione del Rischio Frode • Identificare e analizzare i potenziali rischi di frode che, direttamente o indirettamente, possono colpire l’organizzazione: Valutazione dei sistemi di gestione • Valutare i programmi di gestione del rischio frode, ivi inclusi (ma non limitati a): - Ruoli e responsabilità - Attività da strutturare tenuto conto di dimensione, complessità, business svolti e obiettivi dell’azienda - Esistenza di Policy specifiche - Svolte da un gruppo di lavoro dedicato - Disclosure sui conflitti di interesse - Eseguite e aggiornate periodicamente (integrati nei processi di risk assessment esistenti ovvero svolti “ad hoc” e separatamente) - Procedure di reporting - Si declina in: 15 Documento per discussione Identificazione del rischio Valutazione probabilità Valutazione impatto Identificazione risposte © 2011 Protiviti Srl All rights reserved. - Commitment del Management / Board - Programmi continui di sensibilizzazione - Processi di fraud risk assessment - Procedure di segnalazione e protezione dei segnalanti - Processi di investigazione - Azioni correttive - Valutazione e miglioramento continuo (“quality assurance”) - Monitoraggio continuo dei Red Flags e degli indicatori di frode Quali sono i principi di riferimento? 1 Principio 1: Fraud Risk Governance As part of an organization’s governance structure, a fraud risk management program should be in place, including a written policy (or policies) to convey the expectations of the board of directors and senior management regarding fraud risk. 4 Principio 4: Fraud Detection Detection techniques should be established to uncover fraud events when preventive measures fail or unmitigated risks are realized. 5 2 Documento per discussione Principio 2: Fraud Risk Assessment Fraud risk exposure should be assessed periodically by the organization to identify specific potential schemes and events that the organization needs to mitigate. 3 Principio 3: Fraud Prevention Prevention techniques to avoid potential key fraud risk events should be established, where feasible, to mitigate potential impacts on the organization. Principio 5: Fraud Investigation and Corrective Action A reporting process should be in place to solicit input on potential fraud, and a coordinated approach to investigation and corrective action should be used to help ensure potential fraud is addressed appropriately and timely. 16 Fonte: “Managing the Business © 2011 Protiviti Srl All rights reserved. Risk of Fraud: A practical Guide” Continous monitoring + IT tools Agenda Documento per discussione • Il concetto di frode • La rilevanza delle frodi aziendali • I pilastri del Fraud Risk Assessment & Management • Gli strumenti per la Detection e il Continuous Monitoring 17 © 2011 Protiviti Srl All rights reserved. Quali sono i bisogni crescenti? VERIFICHE TRADIZIONALI Documento per discussione BISOGNI EMERGENTI • Analisi di campioni limitati • Analisi sull’intera popolazione / campioni molto ampi • Limitata frequenza • Maggiore frequenza (potenzialmente realtime) • Effort di risorse • Minimo utilizzo di risorse durante l’esecuzione dei test • Criticità individuate solo al termine degli audit a distanza dall’eventuale realizzarsi di anomalie • Invio automatico di segnali di allarme nel caso di superamento di soglie predefinite • La prevenzione delle frodi richiede l’applicazione di tecniche automatizzate di analisi finalizzate a monitorare costantemente l’andamento di un paniere di indicatori dei possibili rischi di frode (c.d. Fraud Continuous Monitoring). 18 © 2011 Protiviti Srl All rights reserved. Quali sono le tendenze più recenti? Documento per discussione 1 • In base ai dati emersi da una recente ricerca condotta dell’Audit Director Rountable , sono state identificate le attività più sfidanti nel processo di gestione del rischio frode. 1 19 Fonte: The Corporate Executive Board Company - 2011 © 2011 Protiviti Srl All rights reserved. Il Fraud Risk Continuous Monitoring Documento per discussione Architettura della soluzione Processi transazionali Fraud Management Solution .... .... Estrazione eventi SAP Estrattore di eventi Anagrafiche Estrattore di eventi Altri applicativi Estrattore di eventi ... Estrattore di eventi Real time /near real time 20 © 2011 Protiviti Srl All rights reserved. Analisi eventi DB eventi DB regole Reporting e cruscotti Il Fraud Risk Continuous Monitoring Cosa propone il mercato Documento per discussione • Il mercato delle soluzione applicative di Fraud Management è frammentato e presenta un ampio ventaglio di soluzioni. Non FM specific (GRC, BI, etc.) • Maggior complessità di definizione di scenari e indicatori • Minor flessibilità nella configurazione di soglie e nell’esecuzione di simulazioni • Esigenza di attività di personale tecnico per le modifiche alle configurazioni FM specific • Predisposizione per la configurazione “user friendly” di scenari e indicatori • Reportistica e cruscotti già disponibili / facilmente personalizzabili • Possibilità di far gestire ad un “utente evoluto” la configurazione Costo di implementazione Costo delle licenze 21 © 2011 Protiviti Srl All rights reserved. La soluzione Approva 22 © 2011 Protiviti Srl All rights reserved. Documento per discussione La soluzione SAP Documento per discussione Business Process SAP Solutions for GRC Industry-Specific GRC Cross-Industry GRC GRC Repository: Documentation and Monitoring Risk Management Access Controls Global Trade Environment Process Controls Business Process Platform Business Applications 23 © 2011 Protiviti Srl All rights reserved. Retail & Consumer Goods Utilities & Energy Communications Life Sciences Financial Services Documento per discussione Environmental Health Corporate Responsibility Risk Management IT Governance CEO, Financial Community Stockholders Financial Compliance La soluzione Oracle Oracle GRC Intelligence CxO Dashboards Indicators Attestations Alerts Business Manager Oracle GRC Manager Management Assessment Audit Internal Auditors Issues & Remediation Visibility to enterprise GRC status Role-tailored analysis Flexible ad hoc reporting Event & Loss Management Data repository GRC system of record End-to-end GRC process mgmt Risk and Control Frameworks Oracle GRC Controls Access Controls Configuration Controls Transaction Controls Application Manager Continuous monitoring of access, policies & controls Preventive and detective controls Controls risk monitoring Technology Controls Management IT Manager 24 Identity Management © 2011 Protiviti Srl All rights reserved. Information Security Records & Digital Rights Configuration Management Information security Enterprise access provisioning IT configuration management Il Fraud Risk Continuous Monitoring Approccio progettuale ANALISI E DISEGNO 1 Analisi scenari e disegno indicatori di frode Comprensione dei processi inclusi nel perimetro del Continuous Monitoring Identificazione degli scenari di frode applicabili (benchmark con library std) Disegno degli indicatori di frode da monitorare e delle soglie di allarme Identificazione delle transazioni/dati necessari per la costruzione degli indicatori definiti Identificazione preliminare delle applicazioni alimentanti dove risiedono i dati di base. 25 © 2011 Protiviti Srl All rights reserved. 2. Definizione requisiti funzionali e tecnici Definizione dei requisiti funzionali e tecnici per la costruzione degli indicatori identificati: - Applicazioni alimentanti - Dati oggetto di estrazione - Algoritmi di calcolo sullo strumento - Struttura del reporting/cruscotto - Frequenza del reporting Documento per discussione IMPLEMENTAZIONE 3. Sviluppo e rilascio della soluzione 3.1 Sviluppo Implementazione dei meccanismi di data import e degli algoritmi di calcolo degli indicatori Implementazione della struttura del cruscotto / reporting 3.2 Collaudo e Rilascio Pianificazione, esecuzione del collaudo e go-live dello strumento. Formazione degli utenti. I benefici attesi Documento per discussione • Miglior capacità di rilevare e mitigare i rischi: - il test sul 100% delle transazioni riduce notevolmente le istanze di errori e frodi; - fornisce un’immagine reale degli errori delle transazioni anziché una stima fornita da test sui campioni; - immediato follow-up e remediation. • Maggior efficienza dell’operatività grazie ai controlli continui. • Segnalazione immediata dei controlli falliti. • Incremento dello spettro delle attività di audit. • Riduzione dei costi per l’internal control assessment inclusi i piani ciclici di audit. • Maggior attendibilità dei report periodici. • Sostenibilità ed efficienza per il supporto alla compliance. 26 © 2011 Protiviti Srl All rights reserved. Documento per discussione www.protiviti.it www.protiviti.com Emma Marcandalli +39 02 6550 6301 +39 348 0384375 [email protected] Enrico Ferretti +39 06 420 498 +39 346 7981427 [email protected] © 2011 Protiviti Srl All rights reserved. Documento per discussione 28 © 2011 Protiviti Srl All rights reserved.