Frodi interne, regole base della sicurezza aziendale

Secondo un’indagine realizzata lo scorso anno dall’ACFE – Associazione Americana di Analisti delle Frodi – le aziende perdono ogni anno almeno il 5% dei propri profitti proprio a causa di furti e di altri reati ad opera dei dipendenti.


Mara Mignone, criminologa
Presidente di RiSSC
Centro Ricerche e Studi su Sicurezza e Criminalità

Le frodi da parte dei dipendenti colpiscono tutte le realtà aziendali, piccole, medie e grandi.
Si manifestano, ovviamente, con cause, modalità e impatto molto diversi, ma hanno un denominatore comune: da un lato, la mancanza di conoscenza dei rischi e delle vulnerabilità interne e, dall'altro, l'incapacità di prevenire e gestire l'infedeltà dei propri collaboratori.
Si tratta di una problematica complessa e di un fenomeno in continua evoluzione.
Semplificando, gli elementi più importanti per un'azienda, per ridurre sia l'incidenza che l'impatto, potrebbero essere sintetizzati in un acronimo: PCT, ovvero Persone-Contesto-Tecnologia.

Lavoratori e aziende: separati in casa
Da qualche anno, ormai, anche la criminologia si sta occupando del rapporto - sempre più controverso - tra le aziende e i propri dipendenti.
Gli studi sono ancora limitati e spesso relativi solo ad alcuni contesti (quali, ad esempio, gli Stati Uniti), ma lo scenario che evidenziano è piuttosto chiaro: le aziende sopportano rischi economici, diretti e indiretti, causati dai propri dipendenti, a tutti i livelli della scala gerarchica.
Di contro, spesso sono le aziende stesse a fornire le opportunità - e talvolta anche i motivi - per la realizzazione di abusi e violazioni.
Secondo un’indagine realizzata lo scorso anno dall'ACFE (Associazione Americana di Analisti delle Frodi - www.acfe.com.
Per maggiori informazioni: Report to the Nation 2010 http://www.acfe.com/rttn/2010-rttn.asp), le aziende perdono ogni anno almeno il 5% dei propri profitti proprio a causa dei furti e degli altri reati dei dipendenti.
Dal rapporto con il dato sulla produzione mondiale del 2009, il danno potenziale è stato stimato, a livello globale, in tre miliardi di dollari.
La perdita media per ciascun episodio di frode interna (ne sono stati analizzati 1.843) è stata calcolata in $160.000; circa un quarto dei casi rilevati, però, ha determinato un impatto economico di almeno un milione di dollari.
Dal punto di vista fenomenologico, le tipologie di frode sono state raggruppate in tre macrocategorie - corruzione, furto e appropriazione indebita, produzione di documentazione falsa o alterata.
L'incidenza dei furti è risultata particolarmente alta, anche se i danni economici più rilevanti sono stati riscontrati in presenza dei casi di produzione di documentazione falsa (quali, ad esempio, bilanci o comunicazioni sociali).
In media, le imprese necessitano di circa 18 mesi per intercettare le frodi - e più si allungano i tempi di detection, maggiori sono il danno e l'impatto sul contesto aziendale.
Attualmente, il metodo più diffuso per venire a conoscenza dell'esistenza di un abuso interno (già commesso o ancora in itinere) è il cosiddetto tip (40% dei casi) - vale a dire il suggerimento o, nel linguaggio poliziesco, la "soffiata".
Nel 30% dei casi, poi, sembrano essere decisivi il controllo/revisione da parte dei responsabili/manager e l'attività di auditing.
Il profilo degli "offender" evidenzia una correlazione marcata tra la posizione del dipendente nella scala gerarchica e la sua capacità di danno: i reati commessi dalla proprietà e/o dagli alti dirigenti sono tre volte più dannosi rispetto a quelli commessi dai manager e nove volte più dannosi rispetto a quelli posti in essere dai dipendenti.
In oltre l'80% dei casi il frodatore non ha un passato criminale - vale a dire che non ha mai subito una condanna per reati di questo genere.
Sembrano essere presenti, poi, possibili segnali di anomalia nel comportamento del dipendente infedele, che potrebbero o dovrebbero essere interpretati come "red flags" della frode; in particolare, due situazioni sarebbero più ricorrenti: il vivere al di sopra delle proprie possibilità (43% dei casi) e l'avere difficoltà finanziarie (36% dei casi).
Particolarmente interessante - per la sua trasferibilità al contesto italiano - è il dato relativo all'incidenza delle frodi interne nelle piccole e medie imprese che - secondo lo studio - sono "smisuratamente vittimizzate".
La causa è da ricercarsi nella totale assenza delle politiche antifrode e, nei rari casi in cui queste sono presenti, nella loro inadeguatezza o inefficacia.
A prescindere dai numeri, ciò che interessa sottolineare è la rassegnazione che le aziende sembrano avere nei confronti del rischio di frode; in altre parole, le imprese cercano di nascondere la propria incapacità di limitare l'infedeltà dei dipendenti dietro la cosiddetta "soglia di tolleranza".
Peccato che questa soglia si sposti sempre più in avanti, anno dopo anno, e che oltre questa soglia non via sia quasi mai un piano efficace ed efficiente di contrasto alle frodi.
Costruire - e, soprattutto, implementare - una strategia antifrode, in ambito aziendale, non è sicuramente semplice, ma di certo non è impossibile e, comunque, non se ne può prescindere.
Non potendo trattare in questo articolo, in modo esaustivo e completo, tutti gli aspetti rilevanti, la priorità va data a tre componenti basilari: le persone, il contesto, la tecnologia (PCT).

Profilo del dipendente infedele
Le persone che vivono l'azienda sono da considerarsi il migliore strumento antifrode; infatti, a prescindere da ogni altra considerazione legata all'efficienza produttiva e alla redditività, investire sulle persone vuol dire limitare il numero di potenziali offender (visto che si sta parlando di frodi interne), incentivare il cosiddetto controllo informale interno e soprattutto - in particolare per le grandi imprese - limitare il pericolo delle frodi collusive perpetrate con il coinvolgimento di un elevato numero di persone, per un lungo periodo di tempo.
Se si accetta il paragone tra impresa e corpo umano, i dipendenti possono essere rappresentati come cellule interconnesse tra loro e funzionali a tutte le attività vitali; quando una cellula "impazzisce", il contagio con le altre è facile e quasi inevitabile, specie se le difese immunitarie sono basse e il corpo è già debilitato.
In altre parole, il dipendente infedele in un’azienda vulnerabile è una miccia accesa, in un deposito di bombe, pronta a esplodere.
La casistica internazionale mostra come, accanto alle motivazioni strettamente personali (ad esempio, malattia mentale o altri problemi fisici del dipendente o di un suo famigliare, disagio emotivo, problemi di denaro, tossicodipendenza), sulle quali difficilmente l'azienda può o deve avere un qualche controllo, le cause che più frequentemente determinano la scelta di danneggiare la propria impresa sono correlate all'ambiente di lavoro.
Riconoscimenti (aumenti di stipendio, cambiamento delle mansioni, promozioni) promessi e non dati, colleghi e/o superiori che non rispettano le regole aziendali, comportamenti discriminatori diffusi, politiche poco chiare dell'impresa, sono solo alcune delle motivazioni addotte dai dipendenti-frodatori.
In qualche modo, succede che il dipendente si senta tradito nel rapporto di fiducia con l'azienda e si senta in diritto di farsi giustizia da solo, di ottenere un risarcimento per il danno che pensa di aver subito.
Oppure, non riconoscendosi nel modo di comportarsi dei propri colleghi e superiori, ne prende via via le distanze, ritrovandosi a non riuscire più a immedesimarsi nel bene aziendale e a considerare solo il proprio tornaconto personale.
C'è chi si limita a usare il telefono (o un altro asset) aziendale per scopi personali o ad aggiornare il proprio profilo sui social network invece di lavorare, ma anche chi ruba, compie veri e propri sabotaggi o atti di vandalismo, vende dati, informazioni e segreti industriali a competitor o pone in essere altri atti di concorrenza sleale, solo per fare alcuni esempi.

Risorse umane da valorizzare
Non c'è politica o tecnologia antifrode che possa ottenere un qualche risultato significativo, se il contesto aziendale non viene depurato degli elementi distorsivi della corretta gestione delle risorse umane.
Volendo tracciare un profilo di massima, un'azienda a rischio infedeltà è quella che non cura la selezione del personale in fase di pre-assunzione.
Assumere una persona in azienda è come aprire le porte della propria casa a un estraneo, dovendoci anche convivere.
Eppure, le aziende spesso si limitano ai CV e a qualche colloquio pro-forma, alle segnalazioni - per non dire raccomandazioni - al “sentito dire”.
Raramente chiedono e/o verificano le referenze con i "vecchi" datori di lavoro.
Per poi, di fronte al danno, venire magari a conoscenza del passato da frodatore del proprio dipendente.
Un dipendente non è un problema da gestire, ma una risorsa da valorizzare, per quanto questo sia difficile da realizzare nella pratica. Finché le aziende continueranno a preoccuparsi soprattutto - per non dire solo - degli aspetti contabili, fiscali e amministrativi, la frode sarà inevitabile.
Le persone, a tutti i livelli della scala gerarchica, ma soprattutto nei livelli più distanti dai momenti decisionali, necessitano di ambienti di lavoro seri, professionali, meritocratici, competitivi e stimolanti; può sembrare retorico, ma in realtà - come dimostrano alcuni studi britannici - ognuna di queste parole è spesso presente nelle spiegazioni fornite dalle persone condannate per diverse fattispecie di frode aziendale, che ne evidenziano la mancanza nel proprio contesto lavorativo.
Gestire le risorse umane vuol dire anche sapere quante e quali informazioni condividere e quante e quali tenere riservate o confidenziali; vuol dire, in altre parole, sapere che l'azienda va tutelata da tutti, ma va rafforzata attraverso la tutela dei propri dipendenti.
Non è un problema di approccio politico o ideologico, ma solamente una questione di eliminare le opportunità criminali che favoriscono l'infedeltà dei dipendenti; in questo senso, come confermato dall'analisi casistica, la corretta gestione del personale ha un ruolo strategico.
- non fornisce (e non fa rispettare) le proprie regole alle persone che, a diverso titolo (ad esempio fornitori, consulenti, stagisti), accedono ai suoi locali, alle sue informazioni.
Si può essere severi con un figlio e permissivi con un altro? La risposta più ovvia e immediata è sicuramente no.
Lo stesso vale per l'azienda; i dipendenti non possono essere più vincolati alle regole e alle procedure rispetto a soggetti terzi, che pure entrano in relazione con l'azienda e spesso con informazioni sensibili.
È fondamentale che l'azienda regoli e controlli anche i soggetti con cui, a diverso titolo, instaura un rapporto di collaborazione e indirettamente di fiducia.

Contesto e conoscenza
Per “contesto” si intende dall'organizzazione fisica degli spazi fino all'insieme delle politiche e delle procedure - anche di controllo - che regolano la vita dell'azienda e dei suoi dipendenti.
Ad esempio, dal punto di vista degli spazi, un'azienda a rischio è un'azienda che non cura e non organizza la distribuzione delle postazioni lavoro, anche in un'ottica di autotutela.
Quante volte capita che gli uffici siano open-space e che lavoratori interinali o stagisti siedano abbastanza vicini a personale strutturato, così da sentirne le conversazioni telefoniche (magari relative a casi di frode interna) o da poterne sbirciare i documenti, dimenticati sulla stampante benché riservati?
Esiste un insieme di teorie e pratiche di matrice criminologica, nate in origine per le problematiche di sicurezza urbana, che focalizzano l'attenzione proprio sulla riduzione delle opportunità criminali attraverso il disegno degli spazi.
Soluzioni poco costose, molto intelligenti, di sicuro più efficaci di molti strumenti, complicati e velocemente obsoleti, che promettono di garantire la sicurezza, magari con l’aiuto di costosi "occhi” indiscreti.
Il capitolo "politiche e procedure" è forse il più complesso, dopo la gestione del personale.
C'è, però, un dato che, volendo semplificare, è davvero cruciale: la prevenzione del rischio di frode interna deve essere trasversale a ciascuna funzione e attività dell'azienda.
Ogni scelta importante, ogni regola interna, ogni cambiamento improvviso - dettato magari da esigenze congiunturali - non possono prescindere da una valutazione del rischio correlato.
In altre parole, la tutela aziendale deve diventare un normale elemento di valutazione intrinseco alla vita dell'impresa (si parla di "approccio olistico"); in questo modo, la sicurezza non ha costi eccessivamente alti, come avviene allo stato attuale, e, soprattutto, è un fatto e non un problema.
La C di contesto, comunque, deve essere rafforzata con la C di conoscenza; ogni azienda deve conoscere quello che succede al suo interno, le sue vulnerabilità, le opportunità criminali che crea, più o meno direttamente.
Senza conoscenza, ogni tentativo di prevenire le frodi si limita a un esercizio di buona volontà.
Tecnologia e sicurezza sono due parole che possono andare molto d'accordo.
L'idillio si rompe - o, addirittura, proprio non si crea - se la tecnologia pretende di essere l'unico elemento capace di garantire la sicurezza, specie in sostituzione delle "persone" e del "contesto".
Fermo restando il rispetto delle normative vigenti in materia di controllo dei lavoratori, il ruolo che la tecnologia può - e dovrebbe - avere è soprattutto quello di ridurre - fino a eliminare - le opportunità criminali e supportare il monitoraggio dei rischi.
In altre parole, se l'azienda vieta la navigazione in siti inappropriati, la tecnologia deve fare in modo che quei siti non si possano raggiungere dai PC aziendali; se l'azienda non consente la divulgazione di informazioni e dati sensibili, la tecnologia deve fare in modo che questi non siano accessibili da parte dei dipendenti che non ne hanno titolo.
Di base, l'azienda deve avere le idee molto chiare su come vuole gestire la propria sicurezza e la tecnologia deve mettersi al servizio delle esigenze di tutela.
In conclusione, la sicurezza è una scelta e al tempo stesso una responsabilità delle aziende.

Pubblica i tuoi commenti