Adeguamento al Sarbanes-Oxley Act
Transcript
Adeguamento al Sarbanes-Oxley Act
Adeguamento al Sarbanes-Oxley Act Requisiti normativi ed impatti per le imprese italiane Torino, 8 Marzo 2005 © 2004 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party. 1 Contenuti • Sarbanes & Oxley Act (SOA) • La Section 404 • L’approccio alla Section 404 2 • Sarbanes & Oxley Act (SOA) • La Section 404 • L’approccio alla Section 404 3 Sarbanes & Oxley Act: La Norma Introduzione • Il Sarbanes-Oxley Act (SOA) diventa legge il 30 luglio 2002 • Rappresenta la risposta del legislatore statunitense ai noti scandali finanziari che hanno scosso il mercato statunitense a partire dal 2001 (fra i quali Enron, WorldCom, Global Crossing) ed è considerata come la riforma più significativa dopo il Security Exchange Act del 1930 • Si pone come obiettivo il ripristino della fiducia degli investitori e la protezione degli azionisti contro possibili frodi attraverso: – – – – Il rafforzamento dei principi di corporate responsibility L’introduzione di nuovi obblighi di informativa societaria in capo alle società Il miglioramento della qualità e trasparenza del financial reporting e dell’attività di auditing L’aggravio delle sanzioni applicabili a fronte di accertate violazioni della legge e comportamenti fraudolenti da parte del Management delle società 4 Sarbanes & Oxley Act: Principali contenuti Alcune nuove disposizioni • Introdotti nuovi obblighi di informativa non finanziaria – – Il paragrafo Management’s Discussion and Analysis (MD&A) deve includere l’informativa sugli aggiustamenti fuori bilancio (off-balance-sheet) e sugli accordi contrattuali conosciuti alla data di deposito dell’informativa Richiesta l’informativa sul codice etico della società • • Il Management deve dare informativa circa l’esistenza o meno di un codice etico all’interno della società e deve rendere pubblico tale codice attraverso il proprio Web o il deposito presso la SEC Occorre dare informativa delle violazioni al codice • Introduzione del Cooling-off period in caso di assunzione di ex-revisori • Introduzione di obblighi di certificazione e valutazione in capo a CEO/CFO: – – – Section 302: Certificazione relativa all’informativa di bilancio e alle disclosure controls and procedures Section 404: Certificazione relativa ai financial reporting controls, accompagnata da un’attestazione dei revisori esterni Section 906: Certificazione che il bilancio è conforme ai regolamenti SEC e che presenta “in all material respects” la reale situazione finanziaria ed economica dell’emittente 5 Sarbanes & Oxley Act: Principali contenuti Alcune nuove disposizioni • • • Richiesta la preventiva approvazione dell’Audit Committee per l’assegnazione al revisore esterno dei c.d. “non audit services” – Si applica ai servizi non specificamente proibiti dalla legge – L’obbligo di pre-approvazione vale anche per l’assegnazione dei servizi di revisione esterna L’Audit Committee deve includere professionisti esperti in materie contabili-finanziarie (Financial Expert) – Occorre dare informativa della presenza di tali professionisti (nominativo, con indicazione se tale componente è indipendente o meno) – Deve essere presente, nell’Audit Committee, almeno un componente con le caratteristiche richieste È rafforzato il principio dell’Indipendenza dell’Audit Committee – • Aumentano le tipologie di relazioni/ rapporti ritenuti non indipendenti (come tale proibiti) Responsabilità dell’Audit Committee – Richiesta la diretta supervisione sui revisori esterni e sulle procedure aziendali istituite ai fini della e successiva gestione delle segnalazioni interne (c.d. “whistleblower processes”) 6 Sarbanes & Oxley Act: Principali contenuti • Formazione del PCAOB (Public Company Accounting Oversight Board) • Rafforzato il principio dell’indipendenza dei revisori esterni • • – Alcuni “non audit services” sono specificamente proibiti dalla legge, molti dei quali erano già in precedenza proibiti dai regolamenti SEC – Il periodo di rotazione degli Auditor Partner è ridotto e l’obbligo di rotazione viene introdotto anche per i Concurring Review Partners e per i Partners delle significant subsidiaries Relazioni con le società clienti – I revisori esterni riportano direttamente all’Audit Committee della società emittente – Sono introdotti nuovi e più estesi obblighi di riporto all’Audit Committee Emissione, da parte dei revisori esterni, di un’attestazione sui controlli interni dell’ente emittente (Section 404) 7 Sarbanes & Oxley Act: Section 302 e 404 2003 31.12.2002 2007 31.12.2006 Processo periodico Section 302 Section 404 MANAGEMENT • I CEO e i CFO devono personalmente certificare che sono responsabili, ed hanno valutato l’efficacia, delle cosiddette disclosure controls and procedures • Le risposte delle aziende quotate al NYSE: 9 Documentazione delle disclosure controls and procedures 9 Costituzione del Disclosure Committee • Valutare l’efficacia (design and operating effectiveness) dell’ internal control over financial reporting al termine del periodo contabile di riferimento • Includere nell’ annual report le conclusioni del management sull’efficacia dell’internal control over financial reporting (risultanti della valutazione di cui sopra) 9 Definizione di processi di certificazione “a cascata” 8 EXTERNAL AUDITORS • Attestare e riferire sulla valutazione del management dell’efficacia dell’internal control over financial reporting L’attestazione degli auditor sulla valutazione effettuata dal management include: • • • l’analisi del processo di valutazione adottato dal management la raccolta delle evidenze relative al disegno ed all’operatività dei controlli la valutazione sulla bontà delle conclusioni del management • Sarbanes & Oxley Act • La Section 404 • L’approccio alla Section 404 9 Section 404: Le implicazioni per le Società Gli obblighi del Management Le conseguenze • È responsabile dei controlli interni e deve • valutarne periodicamente l’efficacia ed operatività • I controlli interni devono essere documentati • La valutazione deve essere effettuata sulla base di un modello di controllo idoneo e riconosciuto (es.: COSO Framework (1) ) Se il Management non si adegua alle nuove disposizioni normative, i revisori esterni devono darne comunicazione scritta al Management e all’Audit Committee e non emettere l’opinion Le esigenze • • La valutazione dell’efficacia ed operatività dei controlli deve essere supportata da idonea evidenza Il Management deve disporre di basi oggettive per rispondere agli obblighi di certificazione e valutazione di cui alla Section 404 • I revisori esterni non possono, per motivi di indipendenza, sostituirsi al Management nell’espletamento di tali responsabilità Le risposte pratiche • • Il Management non può certificare che i controlli interni sono efficaci se esiste una material weakness alla data dell’attestazione (1) Committee of Sponsoring Organizations of the Treadway Commission 10 Il Management deve istituire un processo strutturato e periodico per la valutazione degli Internal Controls over Financial Reporting (cosiddetto Management Assessment Process) Section 404: Il Management Assessment Process Sulla base di quanto stabilito dal Public Company Accounting Oversight Board (PCAOB release No. 2004-001 – Auditing Standard) il Management Assessment Process dovrà, come minimo, coprire le seguenti attività: Definire Definireililprocesso processo Linguaggio com une; Mate ria lità; Linguaggio comune; Mate ria lità; Strumenti Strumenti SCOPE • Identificazione dei controlli da valutare • Valutazione della rilevanza dei controlli identificati rispetto alla probabilità che il mancato funzionamento di tali controlli si traduca in un errore Identificare Identificarele learee areedi di rischio rischio Comunicare/Monitorare Comunicare/Monitorare DOCUMENTARE DOCUMENTARE • Identificazione delle legal entities e/o business units significative da includere nella valutazione Identificarele lecarenze carenzeee Identificare definirepiani pianidi di definire miglioramento miglioramento ASSESS Rilevare RilevareililSistema Sistemadi di Controllo Controllo Valutare Valutarel’efficacia l’efficaciadel del disegno disegnoeel’operatività l’operativitàdei dei controlli controlli • Valutazione dell’efficacia del disegno dei controlli (design effectiveness) • Valutazione dell’ operatività dei controlli (operating effectiveness) • Identificazione delle carenze nel sistema di controllo interno che, in relazione alla loro magnitudo/probabilità, possano essere qualificate come “Significant Deficencies” e/o “Material Weaknesses” COMMUNICATE • Comunicazione dei risultati dell’ assessment agli appropriati livelli (External Auditors, Audit Committe, ecc.) 11 Section 404: La documentazione • Inoltre, sempre in accordo all’ Auditing Standard emesso dal PCAOB, il Management Assessment Process dovrà essere supportato, come minimo, dalla seguente documentazione: – – – – – – – Disegno dei controlli rilevanti (la documentazione deve includere le cinque componenti del sistema di controllo interno previste dal COSO framework) Descrizione delle modalità con cui le transazioni significative sono identificate, registrate, elaborate e riportate Sufficienti informazioni sul flusso delle transazioni per identificare il momento in cui errori significativi e/o frodi possano manifestarsi Descrizione dei controlli disegnati per prevenire o identificare le frodi, ivi inclusa l’identificazione della responsabilità del controllo e della relativa segregazione delle funzioni Descrizione dei controlli relativi al processo di reporting economico-finanziario di fine periodo Descrizione dei controlli sulla salvaguardia del patrimonio aziendale Risultati dell’attività di verifica e della valutazione effettuate dal Management 12 Section 404 : La documentazione (segue) • In pratica, la documentazione a supporto del Management Assessment Process comprenderà: – – – – – La descrizione (process narratives) dei processi rilevanti (*) SOA con eventuale supporto di mappature di dettaglio (Process Flows) Le policy e procedure formalizzate Le matrici di rilevazione e valutazione delle attività di controllo (Risk and Control Matrix) Le evidenze dell’attività di Testing Gli eventuali questionari utilizzati per la valutazione del Sistema di Controllo Interno (*) Come meglio di seguito descritto, i processi rilevanti ai fini SOA sono i processi (non esclusivamente amministrativi) che alimentano l’informativa contabile/reporting esterno 13 Section 404: Le principali domande a cui rispondere • Quali sono i processi chiave ai fini SOA ed i relativi controlli? Chi ne è responsabile? Qual’è la documentazione a supporto? Come vengono identificate e gestite le modifiche/aggiornamenti a tale documentazione? • Quali sono i processi e controlli critici da valutare? Come vengono valutati? Chi lo farà? Con quale frequenza? Come sarà documentata tale attività? Colmare le carenze • Come saranno gestite le eventuali carenze del sistema di controllo interno? Esistono dei “mitigating controls” in atto? Riferire sulle attività • Se qualcosa dovesse “andare storto” esiste evidenza dell’attività di valutazione effettuata? Disegnare, documentare, e manutenere i processi/controlli Valutare il disegno e l’operatività dei controlli svolte 14 • Sarbanes & Oxley Act • La Section 404 • L’approccio alla Section 404 15 Section 404: Approccio in sintesi SCOPING DOCUMENTATION ASSESSMENT IDENTIFICAZIONE SIGNIFICANT F/S ACCOUNT AND ENTITY LEVEL ASSESSMENT General (COSO Based) MAPPATURA IT (COBIT Based) DISCLOSURE SELEZIONE MATERIAL CONTROL UNITS IDENTIFICAZIONE PROCESSI POLICY /PROCEDURE 1. 2. 3. 4. Identificazione rischi/obiettivi di controllo Rilevazione controlli Valutazione Controlli Validazione/test ing controlli CHECK LIST PROCESS LEVEL ASSESSMENT 16 Identificazione significant account and disclosures: Focus SCOPING DOCUMENTATION ASSESSMENT IDENTIFICAZIONE SIGNIFICANT F/S ACCOUNT AND ENTITY LEVEL ASSESSMENT Genral (COSO Based) MAPPATURA IT (COBIT Based) DISCLOSURE SELEZIONE MATERIAL CONTROL UNITS IDENTIFICAZIONE PROCESSI POLICY /PROCEDURE 1. 2. 3. 4. Identificazione rischi/obiettivi di controllo Rilevazione controlli Valutazione Controlli Validazione/test ing controlli CHECK LIST PROCESS LEVEL ASSESSMENT • Definire il livello di articolazione contabile elementare (al quale sono associabili processi alimentanti differenti) => Analizzare il piano dei conti • Identificare le disclosures rilevanti • Assegnare priorità alle voci di bilancio e alle disclosures attraverso l’utilizzo di parametri quanti/qualitativi => Utilizzare la materialità per escludere voci contabili e disclosure non rilevanti • Definire l’approccio da utilizzare per la gestione di eventuali livelli diversi di reporting (subconsolidati, ecc.) => Valutare gli impatti della “back-up certification” • Prendere in considerazione le gli impatti legati all’introduzione degli IAS 17 IO P M ESE Prioritizzazione delle voci di bilancio: Esempio ABC S.p.A. Septemb er 30 Risk of Misstatement Significance Overall Element Rating Materiality Volatility of Recorded Balance Complexity of Calculation Subjectivity in Determining Balance High Low Low Low Low Low Low Low Medium Low High Low Low Medium Low Medium Medium Medium Medium Medium Medium Medium High Medium Medium High Medium Medium Low Medium Low High Low Low Medium Medium Medium Medium High Medium High Medium Low Low High High Medium High Low High Medium Low Low Medium Medium Low High Medium High Medium Medium Medium High High Medium High Medium High Medium Low Low Low Low Low Low in thousands Balance Sheet Current Assets Cash and Cash Equivalents Short-term investments Accounts Receivable Accounts Receivable Allowance for Doubtful Accounts Reserve for Sales Returns Accounts Receivable, net Inventories Raw Materials Work in Process Finished Goods Standard Revision Overhead PPV E&O Reserve Lower of Cost or Market Reserves for Distribution Total Inventory Other Current Assets Total Current Assets 7.385 1.994 13,5% 7.309 (92) (298) 6.919 13,3% 6.537 3.464 3.422 426 114 6 (6.960) (15) (125) 6.869 1.265 11,9% 24.432 3,6% -0,2% -0,5% 6,3% 6,2% 0,8% 0,2% 0,0% -12,7% 0,0% -0,2% 12,5% 2,3% 44,6% 18 Selezione Material Control Unit (MCU): Focus SCOPING DOCUMENTATION ASSESSMENT IDENTIFICAZIONE SIGNIFICANT F/S ACCOUNT AND ENTITY LEVEL ASSESSMENT Genral (COSO Based) MAPPATURA IT (COBIT Based) DISCLOSURE SELEZIONE MATERIAL CONTROL UNITS IDENTIFICAZIONE PROCESSI POLICY /PROCEDURE 1. 2. 3. 4. Identificazione rischi/obiettivi di controllo Rilevazione controlli Valutazione Controlli Validazione/test ing controlli CHECK LIST PROCESS LEVEL ASSESSMENT • Identificare le Legal Entity con un peso significativo a livello di bilancio consolidato => Valutare la contribuzione in termini di Fatturato, Attivo, Patrimonio Netto e Risultato • Garantire una soddisfacente copertura delle voci di bilancio selezionate => Concordare l’approccio con i revisori esterni • Identificare Legal Entity con rischi specifici => Integrare il processo di selezione delle Material Control Unit con attività di risk assessment • Valutare la presenza di società che assumono rilevanza “se aggregate” in quanto caratterizzate da comunanza di processi/sistemi/procedure 19 Selezione Material Control Unit (MCU): Decision Tree Il sito o la divisione è importante se considerato singolarmente? No Sì Sì Sono presenti rischi specifici rilevanti? No Esi stono siti o divi sioni che non risultano importanti anche qualora vengano aggregati con altri? No Esi stono altri controlli trasversali al Gruppo adeguatamente documentati? Sì Sì Sì Analizzare la documentazione e testare i controlli rilevanti a livello di ciascun sito o divisione Analizzare la documentazione e testare i controlli relativi ai rischi specifici Nessun ulteriore azione è richiesta per tali unità Analizzare la documentazione e testare i controlli trasversali al Gruppo Altre Considerazioni: • Investimenti azionari • Società con percentuale di controllo variabile • Consolidamento proporzionale Alcune attività di verifica a livello di singolo sito o divi sione sono necessarie SOURCE: Proposed SSAE (Statement on Standards for Attestation Engagement) Reporting on an Entity's Internal Control Over Financial Reporting. 20 Identificazione/prioritizzazione processi: Focus SCOPING DOCUMENTATION ASSESSMENT IDENTIFICAZIONE SIGNIFICANT F/S ACCOUNT AND ENTITY LEVEL ASSESSMENT Genral (COSO Based) MAPPATURA IT (COBIT Based) DISCLOSURE SELEZIONE MATERIAL CONTROL UNITS IDENTIFICAZIONE PROCESSI POLICY /PROCEDURE 1. 2. 3. 4. Identificazione rischi/obiettivi di controllo Rilevazione controlli Valutazione Controlli Validazione/test ing controlli CHECK LIST PROCESS LEVEL ASSESSMENT • Definire lo schema generale di classificazione dei processi SOA del Gruppo/Società => Capitalizzare esperienze di mappatura effettuate • Legare i processi alle voci di bilancio => Creare una matrice di raccordo tra le voci di bilancio ed i processi selezionati • Definire criteri di prioritizzazione dei processi => Definire criteri quali/quantitativi • Classificare i processi in base alla loro rilevanza e rischiosità => Definire i confini in caso di attività terziarizzate • Centralità del processo di financial reporting (close, consolidation and reporting) 21 Identificazione/prioritizzazione processi: Un esempio IO P M ESE Treasury-Related Procurement-Related Payroll and Benefits Related Conversion-Related Revenue-Related Financial Reporting Other Protiviti: Financial Elements / Business Process Matrix 22 Unusual Items / Key Disclosures G&A Expenses Selling Expenses Cost of Sales Revenue Deductions Revenue Accruals Trade Payables Property, Plant and Equipment Finished Goods Work in Process Raw Materials Receivable Cash Linking Process and Risk Business Processes Income Taxes Priority Financial Statement Elements Documentazione: Focus SCOPING DOCUMENTATION ASSESSMENT IDENTIFICAZIONE SIGNIFICANT F/S ACCOUNT AND ENTITY LEVEL ASSESSMENT Genral (COSO Based) MAPPATURA IT (COBIT Based) DISCLOSURE SELEZIONE MATERIAL CONTROL UNITS IDENTIFICAZIONE PROCESSI POLICY /PROCEDURE 1. 2. 3. 4. Identificazione rischi/obiettivi di controllo Rilevazione controlli Valutazione Controlli Validazione/test ing controlli CHECK LIST PROCESS LEVEL ASSESSMENT • Definire livelli di documentazione differenti a seconda della criticità associabile a ciascun processo • Distinguere chiaramente tra documentazione di processo e procedura • Ottimizzare l’utilizzo di documentazione esistente • Prevedere la possibilità di documentare anche attraverso strumenti di self-assessment • Focalizzare l’attenzione sulle procedure minime relative al processo di financial reporting • Definire un chiaro workflow (eventualmente supportato da piattaforma informatica) per la gestione/manutenzione della documentazione prodotta 23 Documentazione: Esempio ES IO EM P • Narrative: Descrizione generale del processo con identificazione dei principali ruoli/responsabilità e delle modalità operative e di controllo • Process Map: Rilevazione del processo/sottoprocesso articolata per singola fase/attività Processi che contribuiscono in maniera significativa alla costruzione dell’elemento (F/S account e/o disclosure) cui sono associabili Processi che contribuiscono in maniera non significativa alla costruzione dell’elemento (F/S account e/o disclosure) cui sono associabili • Risk & Control Matrix: Identificazione e valutazione delle singole attività di controllo attraverso la compilazione di una matrice ad hoc • Internal Control/Self Assessment Check List: Elenco minimo di controlli High effort 1. 2. 3. NARRATIVE PROCESS MAP RISK & CONTROL MATRIX Medium effort 1. 2. NARRATIVE RISK & CONTROL MATRIX Low effort 1. INTERNAL CONTROL/ SELF ASSESSMENT Check List 24 Assessment : Focus SCOPING DOCUMENTATION ASSESSMENT IDENTIFICAZIONE SIGNIFICANT F/S ACCOUNT AND ENTITY LEVEL ASSESSMENT Genral (COSO Based) MAPPATURA IT (COBIT Based) DISCLOSURE SELEZIONE MATERIAL CONTROL UNITS IDENTIFICAZIONE PROCESSI • POLICY /PROCEDURE 1. 2. 3. 4. Identificazione rischi/obiettivi di controllo Rilevazione controlli Valutazione Controlli Validazione/test ing controlli CHECK LIST PROCESS LEVEL ASSESSMENT Valutare i controlli di alto livello: – – Entity Level Control => COSO General IT Controls => COBIT • Identificare, per ogni processo da analizzare, gli obiettivi e le tecniche di controllo => Utilizzare check list standard • Isolare i controlli IT (“application controls”) => Utilizzare obiettivi e tecniche di controllo customizzate per i controlli IT • Definire un piano di audit/testing coerente con tempistiche e modalità di intervento degli external auditors 25 www.protiviti.com 26 SOA 404: Il Coso Framework COSO Internal Control Integrated Framework • Monitoring: È l’insieme delle attività necessarie per verificare e valutare periodicamente l’adeguatezza, operatività ed efficacia dei controlli interni • Information & Communication: È il processo istituito per assicurare l’accurata e tempestiva raccolta e comunicazione delle informazioni • Control Activities: È l’insieme delle prassi e procedure di controllo definite per consentire la riduzione dei rischi ad un livello accettabile e garantire il raggiungimento degli obiettivi aziendali • Risk Assessment: È il processo volto ad assicurare l’individuazione, analisi e gestione dei rischi aziendali • Control Environment: È l’ambiente nel quale gli individui operano e rappresenta la cultura al controllo permeata nell’organizzazione Source: Committee of Sponsoring Organizations 27