Adeguamento al Sarbanes-Oxley Act

Adeguamento al Sarbanes-Oxley Act
Requisiti normativi ed impatti per le imprese italiane
Torino, 8 Marzo 2005
© 2004 Protiviti Inc. Confidential: This document is for your company’s internal use only and may not be distributed to any other third party.
1
Contenuti
•
Sarbanes & Oxley Act (SOA)
•
La Section 404
•
L’approccio alla Section 404
2
•
Sarbanes & Oxley Act (SOA)
•
La Section 404
•
L’approccio alla Section 404
3
Sarbanes & Oxley Act: La Norma
Introduzione
•
Il Sarbanes-Oxley Act (SOA) diventa legge il 30 luglio 2002
•
Rappresenta la risposta del legislatore statunitense ai noti scandali finanziari che
hanno scosso il mercato statunitense a partire dal 2001 (fra i quali Enron,
WorldCom, Global Crossing) ed è considerata come la riforma più significativa
dopo il Security Exchange Act del 1930
•
Si pone come obiettivo il ripristino della fiducia degli investitori e la protezione degli
azionisti contro possibili frodi attraverso:
–
–
–
–
Il rafforzamento dei principi di corporate responsibility
L’introduzione di nuovi obblighi di informativa societaria in capo alle società
Il miglioramento della qualità e trasparenza del financial reporting e dell’attività di auditing
L’aggravio delle sanzioni applicabili a fronte di accertate violazioni della legge e comportamenti
fraudolenti da parte del Management delle società
4
Sarbanes & Oxley Act: Principali contenuti
Alcune nuove disposizioni
•
Introdotti nuovi obblighi di informativa non finanziaria
–
–
Il paragrafo Management’s Discussion and Analysis (MD&A) deve includere l’informativa
sugli aggiustamenti fuori bilancio (off-balance-sheet) e sugli accordi contrattuali conosciuti
alla data di deposito dell’informativa
Richiesta l’informativa sul codice etico della società
•
•
Il Management deve dare informativa circa l’esistenza o meno di un codice etico all’interno della
società e deve rendere pubblico tale codice attraverso il proprio Web o il deposito presso la SEC
Occorre dare informativa delle violazioni al codice
•
Introduzione del Cooling-off period in caso di assunzione di ex-revisori
•
Introduzione di obblighi di certificazione e valutazione in capo a
CEO/CFO:
–
–
–
Section 302: Certificazione relativa all’informativa di bilancio e alle disclosure controls and
procedures
Section 404: Certificazione relativa ai financial reporting controls, accompagnata da
un’attestazione dei revisori esterni
Section 906: Certificazione che il bilancio è conforme ai regolamenti SEC e che presenta
“in all material respects” la reale situazione finanziaria ed economica dell’emittente
5
Sarbanes & Oxley Act: Principali contenuti
Alcune nuove disposizioni
•
•
•
Richiesta la preventiva approvazione dell’Audit Committee per
l’assegnazione al revisore esterno dei c.d. “non audit services”
–
Si applica ai servizi non specificamente proibiti dalla legge
–
L’obbligo di pre-approvazione vale anche per l’assegnazione dei servizi di revisione esterna
L’Audit Committee deve includere professionisti esperti in materie
contabili-finanziarie (Financial Expert)
–
Occorre dare informativa della presenza di tali professionisti (nominativo, con indicazione se tale
componente è indipendente o meno)
–
Deve essere presente, nell’Audit Committee, almeno un componente con le caratteristiche richieste
È rafforzato il principio dell’Indipendenza dell’Audit Committee
–
•
Aumentano le tipologie di relazioni/ rapporti ritenuti non indipendenti (come tale proibiti)
Responsabilità dell’Audit Committee
–
Richiesta la diretta supervisione sui revisori esterni e sulle procedure aziendali istituite ai fini della e
successiva gestione delle segnalazioni interne (c.d. “whistleblower processes”)
6
Sarbanes & Oxley Act: Principali contenuti
•
Formazione del PCAOB (Public Company Accounting Oversight Board)
•
Rafforzato il principio dell’indipendenza dei revisori esterni
•
•
–
Alcuni “non audit services” sono specificamente proibiti dalla legge, molti dei quali erano già in
precedenza proibiti dai regolamenti SEC
–
Il periodo di rotazione degli Auditor Partner è ridotto e l’obbligo di rotazione viene introdotto anche per i
Concurring Review Partners e per i Partners delle significant subsidiaries
Relazioni con le società clienti
–
I revisori esterni riportano direttamente all’Audit Committee della società emittente
–
Sono introdotti nuovi e più estesi obblighi di riporto all’Audit Committee
Emissione, da parte dei revisori esterni, di un’attestazione sui controlli
interni dell’ente emittente (Section 404)
7
Sarbanes & Oxley Act: Section 302 e 404
2003
31.12.2002
2007
31.12.2006
Processo periodico
Section 302
Section 404
MANAGEMENT
• I CEO e i CFO devono
personalmente certificare che sono
responsabili, ed hanno valutato
l’efficacia, delle cosiddette
disclosure controls and
procedures
• Le risposte delle aziende quotate
al NYSE:
9 Documentazione delle disclosure
controls and procedures
9 Costituzione del Disclosure
Committee
• Valutare l’efficacia (design
and operating effectiveness)
dell’ internal control over
financial reporting al termine
del periodo contabile di
riferimento
• Includere nell’ annual report
le conclusioni del
management sull’efficacia
dell’internal control over
financial reporting (risultanti
della valutazione di cui sopra)
9 Definizione di processi di
certificazione “a cascata”
8
EXTERNAL AUDITORS
• Attestare e riferire sulla
valutazione del management
dell’efficacia dell’internal control
over financial reporting
L’attestazione degli auditor sulla
valutazione effettuata dal
management include:
•
•
•
l’analisi del processo di
valutazione adottato dal
management
la raccolta delle evidenze
relative al disegno ed
all’operatività dei controlli
la valutazione sulla bontà
delle conclusioni del
management
•
Sarbanes & Oxley Act
•
La Section 404
•
L’approccio alla Section 404
9
Section 404: Le implicazioni per le Società
Gli obblighi del Management
Le conseguenze
• È responsabile dei controlli interni e deve
•
valutarne periodicamente l’efficacia ed
operatività
• I controlli interni devono essere documentati
• La valutazione deve essere effettuata sulla base
di un modello di controllo idoneo e
riconosciuto (es.: COSO Framework (1) )
Se il Management non si adegua alle nuove
disposizioni normative, i revisori esterni devono
darne comunicazione scritta al Management e
all’Audit Committee e non emettere l’opinion
Le esigenze
•
• La valutazione dell’efficacia ed operatività dei
controlli deve essere supportata da idonea
evidenza
Il Management deve disporre di basi oggettive
per rispondere agli obblighi di certificazione e
valutazione di cui alla Section 404
• I revisori esterni non possono, per motivi di
indipendenza, sostituirsi al Management
nell’espletamento di tali responsabilità
Le risposte pratiche
•
• Il Management non può certificare che i controlli
interni sono efficaci se esiste una material
weakness alla data dell’attestazione
(1) Committee of Sponsoring Organizations of the Treadway Commission
10
Il Management deve istituire un processo
strutturato e periodico per la valutazione degli
Internal Controls over Financial Reporting
(cosiddetto Management Assessment
Process)
Section 404: Il Management Assessment Process
Sulla base di quanto stabilito dal Public Company Accounting Oversight Board (PCAOB release
No. 2004-001 – Auditing Standard) il Management Assessment Process dovrà, come minimo,
coprire le seguenti attività:
Definire
Definireililprocesso
processo
Linguaggio com une; Mate ria lità;
Linguaggio comune; Mate ria lità;
Strumenti
Strumenti
SCOPE
• Identificazione dei controlli da valutare
• Valutazione della rilevanza dei controlli identificati rispetto
alla probabilità che il mancato funzionamento di tali controlli
si traduca in un errore
Identificare
Identificarele
learee
areedi
di
rischio
rischio
Comunicare/Monitorare
Comunicare/Monitorare
DOCUMENTARE
DOCUMENTARE
• Identificazione delle legal entities e/o business units
significative da includere nella valutazione
Identificarele
lecarenze
carenzeee
Identificare
definirepiani
pianidi
di
definire
miglioramento
miglioramento
ASSESS
Rilevare
RilevareililSistema
Sistemadi
di
Controllo
Controllo
Valutare
Valutarel’efficacia
l’efficaciadel
del
disegno
disegnoeel’operatività
l’operativitàdei
dei
controlli
controlli
• Valutazione dell’efficacia del disegno dei controlli (design effectiveness)
• Valutazione dell’ operatività dei controlli (operating effectiveness)
• Identificazione delle carenze nel sistema di controllo interno che, in relazione alla loro magnitudo/probabilità, possano
essere qualificate come “Significant Deficencies” e/o “Material Weaknesses”
COMMUNICATE
• Comunicazione dei risultati dell’ assessment agli appropriati livelli (External Auditors, Audit Committe, ecc.)
11
Section 404: La documentazione
•
Inoltre, sempre in accordo all’ Auditing Standard emesso dal PCAOB, il
Management Assessment Process dovrà essere supportato, come
minimo, dalla seguente documentazione:
–
–
–
–
–
–
–
Disegno dei controlli rilevanti (la documentazione deve includere le cinque componenti del
sistema di controllo interno previste dal COSO framework)
Descrizione delle modalità con cui le transazioni significative sono identificate, registrate,
elaborate e riportate
Sufficienti informazioni sul flusso delle transazioni per identificare il momento in cui errori
significativi e/o frodi possano manifestarsi
Descrizione dei controlli disegnati per prevenire o identificare le frodi, ivi inclusa
l’identificazione della responsabilità del controllo e della relativa segregazione delle
funzioni
Descrizione dei controlli relativi al processo di reporting economico-finanziario di fine
periodo
Descrizione dei controlli sulla salvaguardia del patrimonio aziendale
Risultati dell’attività di verifica e della valutazione effettuate dal Management
12
Section 404 : La documentazione (segue)
•
In pratica, la documentazione a supporto del Management Assessment
Process comprenderà:
–
–
–
–
–
La descrizione (process narratives) dei processi rilevanti (*) SOA con eventuale supporto
di mappature di dettaglio (Process Flows)
Le policy e procedure formalizzate
Le matrici di rilevazione e valutazione delle attività di controllo (Risk and Control Matrix)
Le evidenze dell’attività di Testing
Gli eventuali questionari utilizzati per la valutazione del Sistema di Controllo Interno
(*) Come meglio di seguito descritto, i processi rilevanti ai fini SOA sono i processi (non esclusivamente amministrativi) che
alimentano l’informativa contabile/reporting esterno
13
Section 404: Le principali domande a cui rispondere
•
Quali sono i processi chiave ai fini SOA ed i relativi controlli?
Chi ne è responsabile? Qual’è la documentazione a
supporto? Come vengono identificate e gestite le
modifiche/aggiornamenti a tale documentazione?
•
Quali sono i processi e controlli critici da valutare? Come
vengono valutati? Chi lo farà? Con quale frequenza? Come
sarà documentata tale attività?
Colmare le carenze
•
Come saranno gestite le eventuali carenze del sistema di
controllo interno? Esistono dei “mitigating controls” in atto?
Riferire sulle attività
•
Se qualcosa dovesse “andare storto” esiste evidenza
dell’attività di valutazione effettuata?
Disegnare, documentare,
e manutenere i
processi/controlli
Valutare il disegno e
l’operatività dei controlli
svolte
14
•
Sarbanes & Oxley Act
•
La Section 404
•
L’approccio alla Section 404
15
Section 404: Approccio in sintesi
SCOPING
DOCUMENTATION
ASSESSMENT
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
ENTITY LEVEL ASSESSMENT
General (COSO Based)
MAPPATURA
IT (COBIT Based)
DISCLOSURE
SELEZIONE
MATERIAL CONTROL
UNITS
IDENTIFICAZIONE
PROCESSI
POLICY
/PROCEDURE
1.
2.
3.
4.
Identificazione
rischi/obiettivi
di controllo
Rilevazione
controlli
Valutazione
Controlli
Validazione/test
ing controlli
CHECK LIST
PROCESS LEVEL ASSESSMENT
16
Identificazione significant account and disclosures: Focus
SCOPING
DOCUMENTATION
ASSESSMENT
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
MAPPATURA
IT (COBIT Based)
DISCLOSURE
SELEZIONE
MATERIAL CONTROL
UNITS
IDENTIFICAZIONE
PROCESSI
POLICY
/PROCEDURE
1.
2.
3.
4.
Identificazione
rischi/obiettivi
di controllo
Rilevazione
controlli
Valutazione
Controlli
Validazione/test
ing controlli
CHECK LIST
PROCESS LEVEL ASSESSMENT
•
Definire il livello di articolazione contabile elementare (al quale sono associabili
processi alimentanti differenti) => Analizzare il piano dei conti
•
Identificare le disclosures rilevanti
•
Assegnare priorità alle voci di bilancio e alle disclosures attraverso l’utilizzo di
parametri quanti/qualitativi => Utilizzare la materialità per escludere voci contabili e
disclosure non rilevanti
•
Definire l’approccio da utilizzare per la gestione di eventuali livelli diversi di reporting
(subconsolidati, ecc.) => Valutare gli impatti della “back-up certification”
•
Prendere in considerazione le gli impatti legati all’introduzione degli IAS
17
IO
P
M
ESE
Prioritizzazione delle voci di bilancio: Esempio
ABC S.p.A.
Septemb
er 30
Risk of Misstatement
Significance
Overall
Element
Rating
Materiality
Volatility of
Recorded
Balance
Complexity
of
Calculation
Subjectivity in
Determining
Balance
High
Low
Low
Low
Low
Low
Low
Low
Medium
Low
High
Low
Low
Medium
Low
Medium
Medium
Medium
Medium
Medium
Medium
Medium
High
Medium
Medium
High
Medium
Medium
Low
Medium
Low
High
Low
Low
Medium
Medium
Medium
Medium
High
Medium
High
Medium
Low
Low
High
High
Medium
High
Low
High
Medium
Low
Low
Medium
Medium
Low
High
Medium
High
Medium
Medium
Medium
High
High
Medium
High
Medium
High
Medium
Low
Low
Low
Low
Low
Low
in thousands
Balance Sheet
Current Assets
Cash and Cash Equivalents
Short-term investments
Accounts Receivable
Accounts Receivable
Allowance for Doubtful Accounts
Reserve for Sales Returns
Accounts Receivable, net
Inventories
Raw Materials
Work in Process
Finished Goods
Standard Revision
Overhead
PPV
E&O Reserve
Lower of Cost or Market
Reserves for Distribution
Total Inventory
Other Current Assets
Total Current Assets
7.385
1.994
13,5%
7.309
(92)
(298)
6.919
13,3%
6.537
3.464
3.422
426
114
6
(6.960)
(15)
(125)
6.869
1.265
11,9%
24.432
3,6%
-0,2%
-0,5%
6,3%
6,2%
0,8%
0,2%
0,0%
-12,7%
0,0%
-0,2%
12,5%
2,3%
44,6%
18
Selezione Material Control Unit (MCU): Focus
SCOPING
DOCUMENTATION
ASSESSMENT
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
MAPPATURA
IT (COBIT Based)
DISCLOSURE
SELEZIONE
MATERIAL CONTROL
UNITS
IDENTIFICAZIONE
PROCESSI
POLICY
/PROCEDURE
1.
2.
3.
4.
Identificazione
rischi/obiettivi
di controllo
Rilevazione
controlli
Valutazione
Controlli
Validazione/test
ing controlli
CHECK LIST
PROCESS LEVEL ASSESSMENT
•
Identificare le Legal Entity con un peso significativo a livello di bilancio consolidato =>
Valutare la contribuzione in termini di Fatturato, Attivo, Patrimonio Netto e Risultato
•
Garantire una soddisfacente copertura delle voci di bilancio selezionate =>
Concordare l’approccio con i revisori esterni
•
Identificare Legal Entity con rischi specifici => Integrare il processo di selezione delle
Material Control Unit con attività di risk assessment
•
Valutare la presenza di società che assumono rilevanza “se aggregate” in quanto
caratterizzate da comunanza di processi/sistemi/procedure
19
Selezione Material Control Unit (MCU): Decision Tree
Il sito o la divisione è importante
se considerato singolarmente?
No
Sì
Sì
Sono presenti rischi specifici
rilevanti?
No
Esi stono siti o divi sioni che non
risultano importanti anche
qualora vengano aggregati con
altri?
No
Esi stono altri controlli
trasversali al Gruppo
adeguatamente documentati?
Sì
Sì
Sì
Analizzare la documentazione e
testare i controlli rilevanti a
livello di ciascun sito o
divisione
Analizzare la documentazione e
testare i controlli relativi ai
rischi specifici
Nessun ulteriore azione è
richiesta per tali unità
Analizzare la documentazione e
testare i controlli trasversali al
Gruppo
Altre
Considerazioni:
• Investimenti
azionari
• Società con
percentuale di
controllo
variabile
• Consolidamento
proporzionale
Alcune attività di verifica a
livello di singolo sito o divi sione
sono necessarie
SOURCE: Proposed SSAE (Statement on Standards for Attestation Engagement) Reporting on an Entity's Internal Control Over Financial Reporting.
20
Identificazione/prioritizzazione processi: Focus
SCOPING
DOCUMENTATION
ASSESSMENT
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
MAPPATURA
IT (COBIT Based)
DISCLOSURE
SELEZIONE
MATERIAL CONTROL
UNITS
IDENTIFICAZIONE
PROCESSI
POLICY
/PROCEDURE
1.
2.
3.
4.
Identificazione
rischi/obiettivi
di controllo
Rilevazione
controlli
Valutazione
Controlli
Validazione/test
ing controlli
CHECK LIST
PROCESS LEVEL ASSESSMENT
•
Definire lo schema generale di classificazione dei processi SOA del Gruppo/Società
=> Capitalizzare esperienze di mappatura effettuate
•
Legare i processi alle voci di bilancio => Creare una matrice di raccordo tra le voci di
bilancio ed i processi selezionati
•
Definire criteri di prioritizzazione dei processi => Definire criteri quali/quantitativi
•
Classificare i processi in base alla loro rilevanza e rischiosità => Definire i confini in
caso di attività terziarizzate
•
Centralità del processo di financial reporting (close, consolidation and reporting)
21
Identificazione/prioritizzazione processi: Un esempio
IO
P
M
ESE
Treasury-Related
Procurement-Related
Payroll and
Benefits Related
Conversion-Related
Revenue-Related
Financial Reporting
Other
Protiviti: Financial Elements / Business Process Matrix
22
Unusual
Items / Key
Disclosures
G&A
Expenses
Selling
Expenses
Cost of
Sales
Revenue
Deductions
Revenue
Accruals
Trade
Payables
Property,
Plant and
Equipment
Finished
Goods
Work in
Process
Raw
Materials
Receivable
Cash
Linking Process and Risk
Business
Processes
Income
Taxes
Priority Financial Statement Elements
Documentazione: Focus
SCOPING
DOCUMENTATION
ASSESSMENT
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
MAPPATURA
IT (COBIT Based)
DISCLOSURE
SELEZIONE
MATERIAL CONTROL
UNITS
IDENTIFICAZIONE
PROCESSI
POLICY
/PROCEDURE
1.
2.
3.
4.
Identificazione
rischi/obiettivi
di controllo
Rilevazione
controlli
Valutazione
Controlli
Validazione/test
ing controlli
CHECK LIST
PROCESS LEVEL ASSESSMENT
•
Definire livelli di documentazione differenti a seconda della criticità associabile a ciascun
processo
•
Distinguere chiaramente tra documentazione di processo e procedura
•
Ottimizzare l’utilizzo di documentazione esistente
•
Prevedere la possibilità di documentare anche attraverso strumenti di self-assessment
•
Focalizzare l’attenzione sulle procedure minime relative al processo di financial reporting
•
Definire un chiaro workflow (eventualmente supportato da piattaforma informatica) per la
gestione/manutenzione della documentazione prodotta
23
Documentazione: Esempio
ES
IO
EM P
• Narrative: Descrizione
generale del processo con
identificazione dei principali
ruoli/responsabilità e delle
modalità operative e di
controllo
• Process Map: Rilevazione
del processo/sottoprocesso
articolata per singola
fase/attività
Processi che contribuiscono in maniera
significativa alla costruzione dell’elemento (F/S
account e/o disclosure) cui sono associabili
Processi che contribuiscono in maniera non
significativa alla costruzione dell’elemento (F/S
account e/o disclosure) cui sono associabili
• Risk & Control Matrix:
Identificazione e valutazione
delle singole attività di controllo
attraverso la compilazione di
una matrice ad hoc
• Internal Control/Self
Assessment Check List:
Elenco minimo di controlli
High
effort
1.
2.
3.
NARRATIVE
PROCESS MAP
RISK & CONTROL MATRIX
Medium
effort
1.
2.
NARRATIVE
RISK & CONTROL MATRIX
Low
effort
1.
INTERNAL CONTROL/
SELF ASSESSMENT Check List
24
Assessment : Focus
SCOPING
DOCUMENTATION
ASSESSMENT
IDENTIFICAZIONE
SIGNIFICANT F/S
ACCOUNT AND
ENTITY LEVEL ASSESSMENT
Genral (COSO Based)
MAPPATURA
IT (COBIT Based)
DISCLOSURE
SELEZIONE
MATERIAL CONTROL
UNITS
IDENTIFICAZIONE
PROCESSI
•
POLICY
/PROCEDURE
1.
2.
3.
4.
Identificazione
rischi/obiettivi
di controllo
Rilevazione
controlli
Valutazione
Controlli
Validazione/test
ing controlli
CHECK LIST
PROCESS LEVEL ASSESSMENT
Valutare i controlli di alto livello:
–
–
Entity Level Control => COSO
General IT Controls => COBIT
•
Identificare, per ogni processo da analizzare, gli obiettivi e le tecniche di controllo
=> Utilizzare check list standard
•
Isolare i controlli IT (“application controls”) => Utilizzare obiettivi e tecniche di
controllo customizzate per i controlli IT
•
Definire un piano di audit/testing coerente con tempistiche e modalità di intervento
degli external auditors
25
www.protiviti.com
26
SOA 404: Il Coso Framework
COSO
Internal Control Integrated Framework
• Monitoring: È l’insieme delle attività
necessarie per verificare e valutare
periodicamente l’adeguatezza, operatività ed
efficacia dei controlli interni
• Information & Communication: È il
processo istituito per assicurare l’accurata e
tempestiva raccolta e comunicazione delle
informazioni
• Control Activities: È l’insieme delle prassi e
procedure di controllo definite per consentire
la riduzione dei rischi ad un livello accettabile
e garantire il raggiungimento degli obiettivi
aziendali
• Risk Assessment: È il processo volto ad
assicurare l’individuazione, analisi e gestione
dei rischi aziendali
• Control Environment: È l’ambiente nel quale
gli individui operano e rappresenta la cultura
al controllo permeata nell’organizzazione
Source: Committee of Sponsoring Organizations
27