Il Fraud Management per intercettare i comportamenti fraudolenti

L'adozione di sistemi antifrode all'interno di aziende ed enti pubblici costituisce da alcuni anni un fenomeno in continua crescita che porta con sè implicazioni sull’organizzazione del lavoro da studiare e interpretare. La frode interessa vari ambiti della gestione aziendale, tra cui il settore informatico e quello più genericamente "contrattuale" e/o legato alle transazioni di servizio.

Per sistemi antifrode intendiamo quei sistemi volti a intercettare comportamenti fraudolenti che possano influire sull'andamento di una organizzazione, ed esporla a rischi principalmente di natura economico/patrimoniale, ma anche di tipo reputazionale. Essa può essere causata ad esempio da infedeltà o azioni illecite di un dipendente, o anche di clienti, fornitori, e più in generale da parte di soggetti che interagiscono con l’azienda.Fig fraud management
La frode nella sua accezione organizzativa legata ai comportamenti e alle relazioni fiduciarie, apre uno scenario molto più ampio di quella che fa riferimento alla cosiddetta “corruzione”, ed alle norme che intendono prevenirla. Secondo la ACFE (Association of Certified Fraud Examiners), che ha redatto una delle più complete classificazioni, gli schemi di frode possono essere ricondotti a tre macrocategorie:
corruzione (corruption)
● appropriazione indebita (asset misappropriation)
● frodi di bilancio (financial statement fraud)

Negli ultimi anni si è riscontrata una accelerazione nella crescita dei rischi di frode per le aziende dovuta alle evoluzioni tecnologiche e in particolare riguardo a:
apertura verso l'esterno delle infrastrutture tecnico/informatiche e applicative, per esempio con l’adozione sempre più diffusa di soluzioni cloud
• una sempre maggiore digitalizzazione dei processi di business, e l'utilizzo di sistemi di gestione documentale e workflow
• un intenso sviluppo di front end digitali per la erogazione dei servizi, la gestione di transazioni finanziarie, la formalizzazione di accordi contrattuali, l’accesso alle procedure aziendali, open data, o come supporto ai dispositivi dell'IoT (Internet of Things).

La natura delle “entità” che potrebbero rappresentare un rischio per l’azienda è abbastanza variegata e fluida nel tempo. Per avere elementi utili per poter individuare una “entità” che potenzialmente commetterà una frode, si dovrebbe fare riferimento al concetto del c.d. “triangolo della frode”: una frode potrà essere commessa da chi (individuo e/o organizzazione) presenterà contemporaneamente i seguenti tre aspetti:
1. incentivo alla commissione di una frode
2. opportunità di commettere una frode (ad es. sistemi di controllo assenti o lacunosi);
3. razionalizzazione della frode ossia la giustificazione che ci si fornisce per la commissione dell’evento fraudolento.

Le organizzazioni normalmente per tutelarsi strutturano approcci al risk management, attraverso la definizione di norme e procedure, analisi tese alla mappatura dei rischi, dotandosi di sistemi e competenze per gestire interventi di Audit. Esse individuano i processi da attivare (verifiche, accertamenti, ...), strutturano punti di controllo, sviluppano competenze ad hoc (azioni, documenti, input, output, ...), sviluppano competenze diffuse di risk management (capacità operativa degli uffici, valutazione, obiettivi, politiche, ...).
Nonostante ciò, l’organizzazione potrebbe non essere in grado, a priori, di strutturare al meglio i suddetti elementi (processi, competenze, risorse) semplicemente per il fatto che per molti eventi fraudolenti non è possibile a priori determinarne la portata in termini di:
• ampiezza del fenomeno,
• rilevanza per l’organizzazione,
• rilevanza in termini di costi benefici.

Eppoi, i rischi non provengono solo da singoli individui che per la loro posizione hanno la capacità di accedere ai sistemi aziendali, ma anche da soggetti esterni organizzati, o da vere e proprie organizzazioni malavitose che sono in grado di maneggiare e gestire enormi quantità di informazioni e sfruttare al meglio la velocità dei sistemi e la rapidità di azione.

E’ il caso, per esempio, della pervasiva azione che spesso viene perpetrata attraverso particolari software robot. Rischio al quale sono esposti, per esempio, quegli Enti che utilizzano procedure telematiche su internet per gestire enormi quantità di dati anche in tempi molto ristretti (si pensi alle operazioni di tipo “click-day” promosse da alcuni enti e amministrazioni pubbliche che hanno da gestire programmi di incentivazione attraverso procedure telematiche). In questi procedimenti telematici c’è una componente di servizio che è immediatamente percepibile dall’utente, fatta di facilità d’accesso, semplicità d’uso, di velocità nei tempi di risposta, di stabilità dei sistemi utilizzati, ma c’è anche una componente tecnico-procedimentale, non percepibile dall’utente, che determina l’efficacia del servizio sul piano della trasparenza, dell’equità e della leale competizione tra gli utilizzatori del servizio. Alla tecnologia è affidato quindi il compito di contrastare azioni intrusive di particolari software robot capaci di alterare le funzionalità del sistema telematico. Un buon sistema di fraud management, in tal caso, prevede l’azione organizzata di una Control Room capace in tempo reale di monitorare le richieste di inserimento e bloccare quelle avvenute tramite strumenti automatizzati, prevedendo sistemi di graduazione degli alert sull’IPS, identificando gli IP utilizzati, e mettendo in atto azioni di blocco efficace.

Altro esempio potremmo ritrovarlo nel settore delle telecomunicazioni, dove alcune aziende hanno strutturato politiche, sistemi e procedure per prevenire frodi derivanti, per esempio, dalla non corretta identificazione dei soggetti, dalla stipula di contratti fittizi per la fruizione di servizi di telefonia, dall'appropriazione di beni di valore significativo, come ad esempio gli smartphone, dal valore monetario veicolabile per mezzo dei servizi “a valore aggiunto” quali quelli per l’acquisto di suonerie, di informazioni, ecc.. Un sistema informativo dedicato alla prevenzione delle frodi ha consentito sinora di monitorare e sviluppare sistemi di alert utili per la gestione dei rapporti con la clientela. Si tratta di sistemi e dati molto sensibili, tenuti in forma molto riservata per mantenere la reputazione sul mercato della telefonia e sul mercato dei capitali. Mantenere una tale riservatezza si contrappone all’interesse di organizzazioni che potrebbero essere molto interessate a conoscere gli schemi antifrode adottati dall’azienda, sia per rivenderne il knowhow, che per individuarne i punti deboli al fine di renderli inoffensivi.

L'esigenza di pervasività di sistemi antifrode e il loro utilizzo consapevole, presuppone che le attività di monitoraggio e controllo siano svolte al meglio dotandosi di sistemi ampi e condivisi di fraud management, e che le responsabilità siano distribuite tra le diverse strutture dell'organizzazione. Se tali sistemi non venissero utilizzati in modo omogeneo e "osmotico" tra tutte le strutture dell'organizzazione, si verrebbe a creare una pericolosa concentrazione di potere all'interno dell'organizzazione stessa. Si potrebbero creare i presupposti per un utilizzo “non appropriato” di rendite di posizione nel governo delle informazioni sensibili, in modo non consono agli interessi aziendali e, nel più banale dei casi, per fini personali, come il crearsi presupposti fittizi per avanzamenti di carriera, riconoscimenti, sino a quelli più gravi che possono configurare vere e proprie frodi tese a garantire un lucro illecito.

Per contrastare tali rischi, le aziende si stanno dotando di sistemi e procedure informatiche antifrode sempre più sofisticati che possano contrastare il fenomeno e costituire un asset strategico per operare al meglio sul proprio mercato di riferimento.
I sistemi informatici orientati alla gestione delle frodi (Fraud Management System) vanno ad affiancare e integrare i sistemi informativi aziendali, i quali già di per sé dovrebbero già essere stati progettati per limitare i rischi (ad es. gestione centralizzata e controllata dei profili utente e degli accessi, gestione dei log, ambienti tecnologici sicuri e controllati, ecc.). Inoltre, i FMS intesi come sistemi autonomi e paralleli ai sistemi operativi aziendali, devono necessariamente presentare queste caratteristiche e funzionalità minime:
• archiviazione e analisi di grandi quantità di dati (sia interni che esterni),
• classificazione e strutturazione delle informazioni,
• studio delle relazioni (Social Network Analisys),
• definizione automatica e non delle regole di frode e loro applicazione,
• gestione dei feedback di investigazione,
• calcolo costi/benefici di una azione antifrode,
• presentazione dei risultati.

Un sistema informativo antifrode va calato nella realtà aziendale per poterne ottenere il massimo risultato e far sì che l'investimento iniziale risulti remunerativo, anche in termini di riduzione delle perdite aziendali per rischio frode.
L'impianto di un sistema antifrode in una organizzazione aziendale comporterà un investimento iniziale, e dei costi di mantenimento che andranno pianificati per far fronte alle seguenti principali componenti di spesa:
• adeguamento dei sistemi alle nuove tecnologie,
• supporto specialistico di tipo tecnico/informatico,
• supporto specialistico per le attività di investigazione e di utilizzo dei sistemi.

In quest'ottica, oltre agli aspetti più prettamente tecnico/operativi, vanno considerati anche quelli organizzativi che una azienda/ente deve valutare nel momento in cui adotta un sistema informativo antifrode. Una soluzione potrebbe essere quella di dotarsi di un modello di funzionamento che garantisca alle strutture e alle persone di mettere in atto con proattività e flessibilità appropriati e tempestivi meccanismi di autoregolazione. Questo è un tema che si affronta lavorando molto sullo sviluppo di competenze di fraud intelligence diffuse nel personale, ma anche precisando opportunamente le responsabilità di ruolo rispetto alla capacità di governo di tali fenomeni, assegnando obiettivi e valutando comportamenti e risultati.

Per venire incontro a queste ulteriori incombenze a carico dell'organizzazione, nell'adottare un Fraud Management System si suggerisce di fare attenzione ai seguenti elementi distintivi:
1. fin dalla scelta iniziale, dotarsi di sistemi Software di Fraud Management facili e intuitivi,
2. cercare di rendersi autonomi nella loro gestione e/o dotarsi di forme di supporto esterno on-demand che lasci comunque una libertà di azione al personale interno che utilizza il FMS,
3. attivare azioni di formazione del personale potenzialmente coinvolto in azioni antifrode, anche con training on the job a rotazione, non solo per trasmettere una cultura aziendale di etica e onestà (come auspicato dalle più importanti associazioni professionali in materia di antifrode), ma anche per rendere pervasiva una conoscenza tecnica approfondita dei sistemi antifrode utilizzati,
4. individuare dei focal-point all’interno della propria organizzazione composti da esperti della materia (con competenze acquisite anche sul campo su eventi reali gestiti all'interno dell'organizzazione), e sufficientemente diffusi tra le strutture dell'azienda/ente.

Tags: organizzazione e processi

Site Meter