Sicurezza aziendale
31 Ott 2008
Le problematiche concernenti la sicurezza aziendale stanno assumendo sempre maggiore rilevanza ed attualità.
I profili di rischio - e conseguentemente di danno - sono molteplici, provengono da tipologie di soggetti diversi e possono assumere profili di gravità piuttosto seri, non solo dal punto di vista economico. Le aziende dal canto loro, riscontrano crescenti difficoltà sia nella conoscenza delle loro vulnerabilità sia nella pianificazione degli interventi preventivi e repressivi, anche a causa di un approccio "parziale" e/o "emergenziale".
Solitamente, infatti, l'attenzione viene riservata soprattutto alle criticità delle reti informatiche, in quanto la necessità di sfruttare le potenzialità e l'efficacia dei moderni strumenti di comunicazione, espone l'azienda a rischi concreti e, soprattutto, spesso molto più evidenti e tangibili rispetto ad altri episodi criminali.
In aggiunta, la compliance con le normative vigenti impone "interventi" che, però, troppo spesso rimangono confinati ai documenti (procedure, regole, codici...) e non si traducono in iniziative concrete, misurabili nei loro effetti e sottoposte a controlli e revisioni periodiche, che permettano di ottimizzare i costi di questi "interventi".
Per quanto possa sembrare ovvio e inutile da ribadire, la sicurezza aziendale va oltre sia la sicurezza informatica sia la compliance.
Dal punto di vista criminologico, l'azienda è un insieme di rischi, vulnerabilità e opportunità criminali, che possono essere sfruttate, in danno dell'azienda stessa, potenzialmente da chiunque abbia una qualsiasi forma di relazione o collaborazione.
La risposta è unica: sostituire all'approccio emergenziale un approccio olistico che, senza richiedere necessariamente costosi investimenti economici, abbia la capacità di impattare sul rischio criminalità (da intendersi in senso lato) e, nello stesso tempo, di potenziare l'efficienza sia dei controlli sia, più in generale, dell'intera organizzazione aziendale.
Il Gruppo di lavoro si occupa di sviluppare due principali attività:
- lo studio e l'aggiornamento continuo sulle problematiche che coinvolgono le aziende, sulle vulnerabilità, sulle opportunità criminali e sulla loro evoluzione, anche attraverso l'analisi dei casi di frode subiti e la relativa modellizzazione
- lo sviluppo delle contromisure di riduzione dei rischi e delle opportunità criminali, attraverso un approccio multidisciplinare
Di recente, RiSSC ha lavorato sull'applicazione delle teorie della CPTED al contesto aziendale e delle teorie degli early warnings alla tutela delle informazioni sensibili.
Lo strano caso delle telefonate personali dall'ufficio...
Le telefonate personali utilizzando il telefono dell'ufficio rappresentano da sempre un tema irrisolto... I datori di lavoro vorrebbero vietarle, ma nell'impossibilità di implementare controlli, adottano di solito una "soglia di tolleranza". I lavoratori, dal canto loro, ritengono spesso legittimo l'uso del telefono - così come, più di recente, della posta elettronica e di Internet... - quasi come fosse un fringe benefit implicito nel contratto di assunzione...
A prescindere da chi abbia ragione, l'aspetto di maggiore interesse riguarda il modo con cui viene gestito il "problema", in questo caso potenzialmente modesto rispetto ad altre situazioni. Vale a dire che non considerare gli elementi di conflitto, aspettare che questi trovino una loro soluzione in modo quasi "naturale", tacito, è l'errore principale che rischia di far degenerare questioni che, al contrario, potrebbero essere risolte in modo veloce e pratico, con buona pace di tutti i soggetti e gli interessi coinvolti. In altre parole, un'azienda o un ente pubblico che non abbia una policy chiara sull'uso degli asset - tangibili e intangibili - non può sperare che sia il buon senso dei lavoratori ha trovare un equilibrio tra l'uso professionale e l'uso personale. Senza dimenticare che, in taluni casi, l'uso personale può comportare serie conseguenze anche per l'organizzazione nel suo complesso.
L'utilizzo del telefono per motivi personali è emblematico della scarsa attenzione verso questo tema, cruciale in realtà nella valutazione dei rischi a cui è esposta l'azienda o l'ente pubblico... Di recente, è intervenuta la Corte di Cassazione, dando una sua lettura del problema e una soluzione che sembra voler mediare tra i due contendenti, datore di lavoro e lavoratore. Come descritto dal Corriere.it, "le telefonate private dall'ufficio? Lecite se «sporadiche» e «urgenti», tutte le altre, specie se fatte per puro divertimento, mettono il dipendente pubblico a rischio di condanna per il reato di peculato. Lo ricorda la Cassazione nello stilare un vero e proprio vademecum per gli impiegati. Dunque, dice la Sesta sezione penale che «l'uso privato dell'apparecchio telefonico comporta l'appropriazione (non restituibile) delle energie necessarie alla comunicazione, di cui l'impiegato ha disponibilità per ragioni di ufficio» per cui rientra nel reato punito dall'art. 314 c.p. l'«uso smodato» e «non episodico» del telefono aziendale per fini privati".
Principali interventi normativi
Nel 1992 il Commitee of sponsoring organizations (COSO) ha pubblicato “internal control –integrate framework”, più comunemente conosciuto come COSO REPORT. Interessante la definizione che il rapporto fornisce sul sistema di controllo interno, esplicato come il risultato di differenti componenti correlate e integrate nei processi aziendali: monitoraggio, informazione e comunicazione, attività di controllo, valutazione del rischio, ambiente di controllo.
Successivamente alla pubblicazione del Coso report, dopo le necessità normative dettate dagli scandali finanziari statunitensi, si è cercata una disciplina al fenomeno attraverso la redazione nel 2002 della Sarbanes-Oxley Act (SOA). La principale finalità è la "protezione degli investitori attraverso il miglioramento dell'accuratezza e dell'affidabilità dell'informativa finanziaria". È previsto l’obbligo, per Chief Executive Officer (CEO) e Chief Financial Officer (CFO), di istituire e mantenere adeguate procedure e controlli finalizzati ad assicurare il rispetto degli obblighi informativi.
La risposta italiana arriva nel 2001 con il Dlg 231. Questo decreto afferma il principio secondo cui, non solo gli individui, ma anche gli enti sono responsabili giuridicamente, in sede penale, di fatti illeciti compiuti dai soggetto che opera per conto delle aziende. La previsione di questa responsabilità vuole suggerire agli enti l’attuazione di più attenti controlli atti a contrastare la commissione di alcuni specifici reati a pena una serie di sanzioni pecuniarie e/o interdittive. Prima dell’approvazione del decreto, solo l’autore del reato era perseguibile penalmente per il fatto illecito compiuto; l’evoluzione normativa ha voluto una maggiore responsabilizzazione dell’ente, diretto promotore dei controlli a prevenzione dei crimini aziendali, attraverso l’implementazione di un Organismo di Vigilanza interno alla struttura aziendale.
Altre interessanti iniziative:
Codice di Autodisciplina (D.lgs. 300/1999): è un codice volontario, previsto da borsa italiana, che tenta di dare una definire più chiara dei ruoli e delle figure all’interno della struttura aziendale per consentire una maggiore trasparenza.
Codice etico:“carta” dei diritti e doveri morali che definisce la responsabilità etico - sociale di ogni partecipante all'organizzazione aziendale.
Link e riferimenti bibliografici utili
Marco Allegrini, Giuseppe D’Onza, Daniela Mancini, Stefano Garzella, Le frodi aziendali. Frodi amministrative, alterazioni di bilancio e computer crime, Franco Angeli Edizioni, 2003
Giorgio Laganà, Frodi societarie e corporate governance, Il Sole24Ore, 2004
Alcuni articoli di riviste specializzate:
Frodi aziendali: ecco come sventarle in tempo reale, a cura di Chiara Lupi. Sistemi & impresa, 2007, fascicolo 4
Un'introduzione ai nuovi reati societari diversi dalle false comunicazioni sociali, G. Lunghini. Rivista dei dottori commercialisti, 2003, volume 54, fascicolo 1
Le nuove fattispecie di false comunicazioni sociali e bancarotta 'da reato societario': prime valutazioni della giurisprudenza di merito in ordine ai problemi applicativi, L. Troyer. Rivista dei dottori commercialisti, 2003, volume 54, fascicolo 2
La responsabilità 'amministrativa' degli enti ed i 'modelli di organizzazione e gestione' di cui gli artt. 6 e 7 del D. Lgs. n. 231/2001, Frignani. Rivista del diritto commerciale e del diritto generale delle obbligazioni, 2003, volume 101
Frodi in azienda: il ruolo dell'internal auditor, M. Nobili. Amministrazione & finanza, 2000, volume 15, fascicolo 13, pp. 37-40