...

Rischio Frodi

by user

on
Category: Documents
36

views

Report

Comments

Transcript

Rischio Frodi
Documento per
discussione
Rischio Frodi
Come prevenirlo e
monitorarlo
Milano, 28 giugno 2011
© 2011 Protiviti Srl All rights reserved.
Argomenti di discussione
• Quanto vale il fenomeno delle
frodi in azienda?
• Quali sono le tipologie di frode più
diffuse?
• Quali sono gli strumenti a
disposizione per un’accurata e
tempestiva rilevazione del
fenomeno?
1
© 2011 Protiviti Srl All rights reserved.
Documento per
discussione
Ne parliamo con ….
• Protiviti: Introduzione ed overview del
fenomeno e delle soluzioni tecnologiche
disponibili sul mercato per il Fraud
Monitoring
• Adfor (distributore ACL autorizzato):
soluzioni ACL per il Continuous
Monitoring e la Fraud Detection
• Protiviti: un caso di applicazione
pratica di SAP Assure Tool
• Heineken: testimonianza sul Fraud
Risk Management in Heineken
2
© 2011 Protiviti Srl All rights reserved.
Documento per
discussione
Agenda
Documento per
discussione
• Il concetto di frode
• La rilevanza delle frodi aziendali
• I pilastri del Fraud Risk Assessment & Management
• Gli strumenti per la Detection e il Continuous Monitoring
3
© 2011 Protiviti Srl All rights reserved.
Cos’è una frode?
Documento per
discussione
Per frode s’intende una “vasta tipologia di irregolarità e atti illeciti caratterizzati da comportamenti intenzionalmente finalizzati a trarre in inganno”
Fonte: Standard IIA e Guide Interpretative
Atti illegali intesi quali violazione di norme e
previsioni legislative, di regole e indirizzi interni
all’azienda.
Perpretrati da persone all’interno o all’esterno
dell’organizzazione.
Caratterizzati da raggiro, occultamento e
abuso di fiducia.
Finalizzati a (i) ottenere denaro, beni o servizi,
(ii) evitare il pagamento o la fornitura di servizi,
(iii) procurarsi vantaggi personali (a danno
dell’azienda) o aziendali (a danno di terzi).
4
© 2011 Protiviti Srl All rights reserved.
Quali sono le cause?
Documento per
discussione
Razionalizzazione (14%)
Opportunità (18%)
• Insoddisfazioni sul lavoro
• Priorità familiari o di
salute
• “Lo fanno tutti”
• “Tanto all’azienda costa
poco o nulla”
• Controlli interni
insufficienti
• Collaborazioni
dall’esterno o dall’interno
• Pratiche di business
scorrette
• Disattenzioni del
Management
The Fraud
Triangle
Incentivi / Pressioni
Incentivi / Pressioni (68%)
• Evitare una perdita di:
 Lavoro
 Soldi
 Prestigio
• Pressioni del Management o di terzi
• Relazioni con la comunità
• Insoddisfazione verso l’azienda
5
© 2011 Protiviti Srl All rights reserved.
Chi sono i colpevoli?
Gli Attori interni
Documento per
discussione
Da chi/come viene scoperta la Frode?
• 42% Risorse “Junior”
Controllo
Interno (23.3%)
• 42% Impiegati/Quadro
• 14% Manager
• 2% Altri Dipendenti
Segnalazioni
(46.2%)
Internal Audit
(19.4%)
Casualmente
(20%)
Gli Attori esterni
• 45% Clienti
Audit Esterno
(9.1%)
Notifiche in forza
di Legge
(3.2%)
• 20% Agenti / Intermediari
• 10% Fornitori
• 25% Altre terze parti
Note: Il totale eccede il 100% in quanto alcuni attori hanno illustrato
più di un metodo per analizzare le frodi
Fonte: Associazione di Fraud Examiners “2008 Report to the Nation”
6
© 2011 Protiviti Srl All rights reserved.
Agenda
Documento per
discussione
• Il concetto di frode
• La rilevanza delle frodi aziendali
• I pilastri del Fraud Risk Assessment & Management
• Gli strumenti per la Detection e il Continuous Monitoring
7
© 2011 Protiviti Srl All rights reserved.
Quanto vale il fenomeno?
Documento per
discussione
Fonte: 2010 Report to the Nations on Occupational Fraud and Abuse
5%
8
© 2011 Protiviti Srl All rights reserved.
Percentuale media
di ricavi che
un’azienda perde
ogni anno a causa
delle frodi
Quali vale il fenomeno?
Documento per
discussione
Fonte: 2010 Report to the Nations on victim organizations
Victim Organization
Mining
12 / $1M
Victim Organization
# Case /
Median Loss
Retail
119 / $85K
176 / $81K
Wholesale Trade
42 / $513K
Oil and Gas
57 / $478K
Government and Public
Administration
Real Estate
57 / $ 475K
Services (Professional)
51 / $110K
Agriculture, Forestry, Fishing and Hunting
27 / $320K
Utilities
45 / $120K
Services (Other)
89 / $109K
Manufacturing
193 / $300K
Transportation and Warehousing
62 / $300K
Technology
65 / $250K
Construction
77 / $200K
Communication / Publishing
16 / $110K
Religious, Charitable or Social Services
41 / $75K
Insurance
91 / $197K
Healthcare
107 / $150K
Education
9
# Case /
Median Loss
90 / $71K
Telecommunications
37 / $131K
Arts, Entertainment and Recreation
57 / $475K
© 2011 Protiviti Srl All rights reserved.
Banking / Financial Services
298 / $175K
Quali sono i tipi di frode più diffusi?
Documento per
discussione
Fonte: 2010 Report to the Nations on Fraud Categories
Appropriazione indebita di asset
90
Schemi in cui il frodatore ruba o utilizza impropriamente
una risorsa aziendale.
• Sottrazione di denaro
• Rimborsi spese falsificati
• Contraffazione
Schemi in cui l’attore della frode utilizza, nelle transazioni di business, la propria influenza per violare un
obbligo altrui al fine di ottenere un beneficio improprio.
• Corruzione / Abuso d’ufficio
• Estorsione
• Conflitto di interessi
70
60
No. di Frodi
Corruzione
80
50
40
30
20
10
Frodi contabili / finanziarie
Schemi che implicano errori od omissioni volontarie di
dati o informazioni rilevanti nell’ambito dei bilanci
contabili.
• Ricavi inesistenti
• Occultamento di costi o impegni
• Sopravvalutazione asset
10
© 2011 Protiviti Srl All rights reserved.
0
Appropriazione
indebita
Corruzione
Frodi contabili
Categorie
Legenda
2010
2008
Quali sono le carenze di controllo che
concorrono al fenomeno?
Documento per
discussione
Fonte: 2010 Report to the Nations
Carenza di controlli interni
37.8%
Aggiramento dei controlli interni esistenti
19.2%
Carenza di Management Review
17.9%
Carenza di personale
Carenza di
competente nella
controlli o audit
supervisione
indipendenti
6.9%
5.6%
Carenza di meccanismi di
reporting
0.6%
Carente formazioni anti-frodi
1.9%
Scarsa chiarezza delle linee di
riporto
1.8%
11
© 2011 Protiviti Srl All rights reserved.
“Tone at the Top”
debole
8.4%
Quali sono i principali Red Flag?
Documento per
discussione
Fonte: 2010 Report to the Nations - Behavioral Red Flag
Stili di vita superiori alle possibilità
Difficoltà finanziarie
Indisponibilità a condividere le responsabilità
Confidenza inusuale con clienti / fornitori
Attitudine agli “intrallazzi”
Separazioni / altri problemi familiari
Irritabilità, atteggiamenti di sospetto o
difensiva
Problemi di dipendenza
12
© 2011 Protiviti Srl All rights reserved.
Rifiuto ad andare in vacanza
Precedenti problemi sul lavoro
Continue lamentele sull’inadeguatezza
dello stipendio
Pressione eccessiva dall’organizzazione
Precedenti penali/legali
Instabilità nella vita familiare
Pressioni eccessive verso il successo
Lamentele per la mancanza di autorità
Agenda
Documento per
discussione
• Il concetto di frode
• La rilevanza delle frodi aziendali
• I pilastri del Fraud Risk Assessment & Management
• Gli strumenti per la Detection e il Continuous Monitoring
13
© 2011 Protiviti Srl All rights reserved.
Cosa dicono gli Standard IIA?
2120.A2 – L’attività di internal audit deve valutare la
potenziale presenza di casi di frode e come l’organizzazione
gestisce tali rischi.
Focus sulla valutazione del rischio di frode
In aggiunta: valutazione dei sistemi di fraud risk management in
essere
1210.A2 – Gli internal auditor devono possedere conoscenze sufficienti per valutare i rischi di frode e il modo con
cui l’organizzazione li gestisce, senza aspettarsi che
abbiano le competenze proprie di chi ha come responsabilità primaria quella di individuare ed investigare frodi.
• “Devono” anzichè “dovrebbero” possedere conoscenze
• Modo in cui la frode è gestita
14
© 2011 Protiviti Srl All rights reserved.
Documento per
discussione
Cosa significa “valutare”?
Valutazione del Rischio Frode
• Identificare e analizzare i potenziali rischi
di frode che, direttamente o
indirettamente, possono colpire
l’organizzazione:
Valutazione dei sistemi di gestione
• Valutare i programmi di gestione del
rischio frode, ivi inclusi (ma non limitati
a):
- Ruoli e responsabilità
- Attività da strutturare tenuto conto di
dimensione, complessità, business
svolti e obiettivi dell’azienda
- Esistenza di Policy specifiche
- Svolte da un gruppo di lavoro
dedicato
- Disclosure sui conflitti di interesse
- Eseguite e aggiornate periodicamente (integrati nei processi di risk
assessment esistenti ovvero svolti
“ad hoc” e separatamente)
- Procedure di reporting
- Si declina in:




15
Documento per
discussione
Identificazione del rischio
Valutazione probabilità
Valutazione impatto
Identificazione risposte
© 2011 Protiviti Srl All rights reserved.
- Commitment del Management / Board
- Programmi continui di sensibilizzazione
- Processi di fraud risk assessment
- Procedure di segnalazione e protezione
dei segnalanti
- Processi di investigazione
- Azioni correttive
- Valutazione e miglioramento continuo
(“quality assurance”)
- Monitoraggio continuo dei Red Flags e
degli indicatori di frode
Quali sono i principi di riferimento?
1
Principio 1: Fraud Risk Governance
As part of an organization’s governance structure, a fraud risk
management program should be in place, including a written
policy (or policies) to convey the expectations of the board of
directors and senior management regarding fraud risk.
4
Principio 4: Fraud Detection
Detection techniques should be established to uncover fraud
events when preventive measures fail or unmitigated risks are
realized.
5
2
Documento per
discussione
Principio 2: Fraud Risk Assessment
Fraud risk exposure should be assessed periodically by the
organization to identify specific potential schemes and events
that the organization needs to mitigate.
3
Principio 3: Fraud Prevention
Prevention techniques to avoid potential key fraud risk events
should be established, where feasible, to mitigate potential
impacts on the organization.
Principio 5: Fraud Investigation and
Corrective Action
A reporting process should be in place to solicit input on
potential fraud, and a coordinated approach to investigation
and corrective action should be used to help ensure potential
fraud is addressed appropriately and timely.
16
Fonte:
“Managing
the Business
©
2011 Protiviti
Srl All rights reserved.
Risk of Fraud: A practical Guide”
Continous monitoring
+
IT tools
Agenda
Documento per
discussione
• Il concetto di frode
• La rilevanza delle frodi aziendali
• I pilastri del Fraud Risk Assessment & Management
• Gli strumenti per la Detection e il Continuous Monitoring
17
© 2011 Protiviti Srl All rights reserved.
Quali sono i bisogni crescenti?
VERIFICHE TRADIZIONALI
Documento per
discussione
BISOGNI EMERGENTI
• Analisi di campioni limitati
• Analisi sull’intera popolazione / campioni
molto ampi
• Limitata frequenza
• Maggiore frequenza (potenzialmente realtime)
• Effort di risorse
• Minimo utilizzo di risorse durante
l’esecuzione dei test
• Criticità individuate solo al termine degli
audit a distanza dall’eventuale realizzarsi di
anomalie
• Invio automatico di segnali di allarme nel
caso di superamento di soglie predefinite
• La prevenzione delle frodi richiede l’applicazione di tecniche automatizzate di analisi
finalizzate a monitorare costantemente l’andamento di un paniere di indicatori
dei possibili rischi di frode (c.d. Fraud Continuous Monitoring).
18
© 2011 Protiviti Srl All rights reserved.
Quali sono le tendenze più recenti?
Documento per
discussione
1
• In base ai dati emersi da una recente ricerca condotta dell’Audit Director Rountable ,
sono state identificate le attività più sfidanti nel processo di gestione del rischio frode.
1
19
Fonte: The Corporate Executive Board Company - 2011
© 2011 Protiviti Srl All rights reserved.
Il Fraud Risk Continuous Monitoring
Documento per
discussione
Architettura della soluzione
Processi transazionali
Fraud Management Solution
....
....
Estrazione eventi
SAP
Estrattore di
eventi
Anagrafiche
Estrattore di
eventi
Altri
applicativi
Estrattore di
eventi
...
Estrattore di
eventi
Real time
/near real
time
20
© 2011 Protiviti Srl All rights reserved.
Analisi eventi
DB
eventi
DB
regole
Reporting e
cruscotti
Il Fraud Risk Continuous Monitoring
Cosa propone il mercato
Documento per
discussione
• Il mercato delle soluzione applicative di Fraud Management è frammentato e
presenta un ampio ventaglio di soluzioni.
Non FM specific (GRC, BI, etc.)
• Maggior complessità di definizione di scenari e indicatori
• Minor flessibilità nella configurazione di soglie e
nell’esecuzione di simulazioni
• Esigenza di attività di personale tecnico per le modifiche
alle configurazioni
FM specific
• Predisposizione per la configurazione “user friendly” di
scenari e indicatori
• Reportistica e cruscotti già disponibili / facilmente
personalizzabili
• Possibilità di far gestire ad un “utente evoluto” la
configurazione
Costo di implementazione
Costo delle licenze
21
© 2011 Protiviti Srl All rights reserved.
La soluzione Approva
22
© 2011 Protiviti Srl All rights reserved.
Documento per
discussione
La soluzione SAP
Documento per
discussione
Business Process
SAP Solutions for GRC
Industry-Specific GRC
Cross-Industry GRC
GRC Repository: Documentation and Monitoring
Risk Management
Access Controls
Global Trade
Environment
Process Controls
Business Process Platform
Business Applications
23
© 2011 Protiviti Srl All rights reserved.
Retail &
Consumer Goods
Utilities & Energy
Communications
Life Sciences
Financial Services
Documento per
discussione
Environmental
Health
Corporate
Responsibility
Risk Management
IT Governance
CEO,
Financial Community
Stockholders
Financial
Compliance
La soluzione Oracle
Oracle GRC Intelligence
CxO
Dashboards
Indicators
Attestations
Alerts
Business Manager
Oracle GRC Manager
Management
Assessment
Audit
Internal Auditors
Issues &
Remediation
 Visibility to enterprise GRC
status
 Role-tailored analysis
 Flexible ad hoc reporting
Event & Loss
Management
 Data repository
 GRC system of record
End-to-end GRC process mgmt
Risk and Control Frameworks
Oracle GRC Controls
Access
Controls
Configuration
Controls
Transaction
Controls
Application Manager
 Continuous monitoring of
access, policies & controls
 Preventive and detective
controls
 Controls risk monitoring
Technology Controls Management
IT Manager
24
Identity
Management
© 2011 Protiviti Srl All rights reserved.
Information
Security
Records &
Digital Rights
Configuration
Management
 Information security
 Enterprise access provisioning
 IT configuration management
Il Fraud Risk Continuous Monitoring
Approccio progettuale
ANALISI E DISEGNO
1 Analisi scenari e disegno
indicatori di frode
 Comprensione dei processi
inclusi nel perimetro del
Continuous Monitoring
 Identificazione degli
scenari di frode applicabili
(benchmark con library std)
 Disegno degli indicatori di
frode da monitorare e delle
soglie di allarme
 Identificazione delle
transazioni/dati necessari
per la costruzione degli
indicatori definiti
 Identificazione preliminare
delle applicazioni
alimentanti dove risiedono i
dati di base.
25
© 2011 Protiviti Srl All rights reserved.
2. Definizione requisiti
funzionali e tecnici
 Definizione dei requisiti
funzionali e tecnici per la
costruzione degli indicatori
identificati:
- Applicazioni alimentanti
- Dati oggetto di estrazione
- Algoritmi di calcolo sullo
strumento
- Struttura del
reporting/cruscotto
- Frequenza del reporting
Documento per
discussione
IMPLEMENTAZIONE
3. Sviluppo e rilascio
della soluzione
3.1 Sviluppo
 Implementazione dei
meccanismi di data import e
degli algoritmi di calcolo degli
indicatori
 Implementazione della struttura
del cruscotto / reporting
3.2 Collaudo e Rilascio
 Pianificazione, esecuzione
del collaudo e go-live dello
strumento.
 Formazione degli utenti.
I benefici attesi
Documento per
discussione
• Miglior capacità di rilevare e mitigare i rischi:
- il test sul 100% delle transazioni riduce notevolmente le istanze di errori e frodi;
- fornisce un’immagine reale degli errori delle transazioni anziché una stima fornita
da test sui campioni;
- immediato follow-up e remediation.
• Maggior efficienza dell’operatività grazie ai controlli continui.
• Segnalazione immediata dei controlli falliti.
• Incremento dello spettro delle attività di audit.
• Riduzione dei costi per l’internal control assessment inclusi i piani ciclici di audit.
• Maggior attendibilità dei report periodici.
• Sostenibilità ed efficienza per il supporto alla compliance.
26
© 2011 Protiviti Srl All rights reserved.
Documento per
discussione
www.protiviti.it
www.protiviti.com
Emma Marcandalli
+39 02 6550 6301
+39 348 0384375
[email protected]
Enrico Ferretti
+39 06 420 498
+39 346 7981427
[email protected]
© 2011 Protiviti Srl All rights reserved.
Documento per
discussione
28
© 2011 Protiviti Srl All rights reserved.
Fly UP