Pubblichiamo una breve sintesi delle relazioni presentate al seminario del primo marzo 2007 organizzato da  Business International. In questa prima parte riportiamo gli interventi del professor Giovanni Fiori e della dottoressa Francesca Di Donato dell’università LUISS.

Giovanni Fiori, LUISS

Bilancio

Il professore Fiori, professore ordinario di Economia Aziendale presso l’università LUISS Guido Carli di Roma, dopo un breve excursus storico/economico sulle motivazioni che hanno portato alla emanazione del Sarbanes Oxley Act (SOX) ha tracciato un bilancio della normativa.
La SOX ha, senza dubbio, avuto un impatto notevole per le aziende quotate negli Stati Uniti; se dal un lato alcune delle misure introdotte si sono rivelate efficaci tuttavia il bilancio complessivo non può non sottolineare alcuni punti di debolezza che sono emersi.
In primo luogo la legge non interviene sui meccanismi psicologici e di mercato che spingono le aziende a redigere bilanci più attenti alle proprie necessità di business che alla precisa raffigurazione dei fatti economici intervenuti nell’esercizio. Studi empirici effettuati sia in Germania ed Italia sia nei paesi anglosassoni dimostrano che nei primi due paesi la quasi totalità delle aziende presenta bilanci sostanzialmente privi di ricavi e quanto più vicini al punto di pareggio mentre negli USA e nel Regno Unito i bilanci presentano di solito performance notevoli dal punto di vista degli utili. La ragione è nelle condizioni di mercato e nei diversi regimi fiscali tra Europa continentale e UK-USA per cui di fatto gli amministratori sono spinti, anche a livello psicologico, a redigere bilanci quanto più convenienti per il contesto di riferimento.

Tre elementi di SOX

Il professor Fiori ha poi illustrato tre elementi particolarmente significativi della SOX:

1. Il rafforzamento dell’Audit Committee
2. La sezione 404
3. La sezione 302

Per quanto riguarda l’Audit Committee, la legge ha tentato di rafforzarne i poteri e l’autorevolezza rendendolo responsabile, ad esempio, della nomina e del compenso della società di revisione e rendendo obbligatoria la presenza di consiglieri indipendenti. Rimane però il problema di fondo: tale comitato può esercitare una vigilanza solo di facciata in quanto riunendosi al più una volta la mese non è certo in grado di "governare" il processo aziendale che porta alla redazione del bilancio.
Anche gli obblighi introdotti dalla sezione 404 della SOX soffrono dello stesso vizio di origine già evidenziato per l’Audit Committee: la convinzione, cioè, che i problemi possono esser evitati aumentando i controlli (invece che disincentivando la tentazione di "abbellire" i conti). La sezione 404 è quella che ha comportato maggiori costi: è richiesto di documentare e sottoscrivere l’efficacia del sistema dei controlli interni che sovrintende all’intero processo che produce il bilancio. La sezione è volutamente generica ma le sanzioni previste sono pesanti. La filosofia sottintesa è simile a quella del d. lgs. 231/01 italiano: l’azienda può sfuggire alle sanzioni penali se è in grado si dimostrare di aver adottate un modello di controllo efficace.
Infine la sezione 302 che richiede che il CEO/CFO certifichino la correttezza e veridicità del bilancio. Questa, secondo il professor Fiori, è una delle cose migliori della SOX perché interviene sulle reali responsabilità di chi redige il bilancio. Anche questo elemento è stato ripreso dalla nostra legislazione con la recente legge sul risparmio che richiedere di individuare un dirigente preposto al bilancio che risponde della sua veridicità.

Francesca Di Donato, LUISS

La dottoressa Di Donato, ricercatrice presso la LUISS, ha analizzato gli aspetti relativi ai controlli informatici richiesti dalla SOX. Il primo passo, fondamentale, è effettuare un risk assessment dei sistemi informativi che intervengono in materia significativa nel processo che porta alla redazione del bilancio. Il risk assessment serve ad individuare i principali controlli (key control) che esistoo o devono essere realizzati per garantire la correttezza di tale processo.
L’IT è fondamentale per l’efficacia del sistema dei controlli interni per i seguenti motivi:

• permette l’automazione dei controlli,
• facilita la gestione dei documenti per la mappatura e documentazione dei test,
• velocizza le attività di reporting.

La dottoressa Di Donato ha poi illustrato la tassonomia dei controlli necessari per la SOX: automatici o manuali, preventivi o successivi, generali o applicativi mostrando poi esempi di controlli generali (sicurezza, controllo accessi, back-up, scheduling, sviluppo e manutenzione del software) ed applicativi (abbinamenti automatici delle fatture, riconciliazioni degli orari registrati via badge eccetera).

Possibili evoluzioni

Il professor Fiori ha infine concluso l’intervento indicando quelli che possono essere gli sviluppi prevedibili della normativa SOX negli Stati Uniti. L’esigenza più sentita è la ridefinizione degli obblighi derivanti dalla sezione 404 che dunque probabilmente a breve sarò rivista.

IsacaRoma Newsletter link

• SOX:
  • SOX, COSO e COBIT  (parte prima, seconda e terza)
• seminario "La Compliance nelle banche italiane” del primo febbraio 2007:
• Compliance: convegno di Business International - Milano, primo febbraio 2007
• Rendiconto del seminario "La Compliance nelle banche italiane” del primo febbraio 2007 (prima, seconda e terza parte)
• Intervista a Paolo Pogliaghi sulla Compliance nelle banche
• La Compliance in banca: la relazione di Pogliaghi al convegno di Business International del primo febbraio 2007
• Compliance e 231/01: intervista a Tina Cassano di CR Firenze
• La Compliance in banca: la relazione di Tina Cassano al convegno di Business International del primo febbraio 2007
• La Compliance in banca: la relazione di Francesco Zaini al convegno di Business International del primo febbraio 20070