Le caratteristiche del SOX Act - Il Sarbanes-Oxley Act

2.3 Il Sarbanes-Oxley Act

2.3.1 Le caratteristiche del SOX Act

Il Sarbanes-Oxley Act (abbreviato SOA ed anche conosciuto come SOX Act), inizialmente costituito da due disegni di legge separati (il primo proposto dal deputato repubblicano Michael Oxley e il secondo proposto dal senatore democratico Paul Sarbanes), è stato

successivamente unificato in un unico testo da parte di una commissione bicamerale ed è divenuto legge il 30 Luglio 2002. Il SOX Act rappresenta la più importante legge degli Stati Uniti d’America in ambito di governo societario, contabilità ed informativa finanziaria delle società quotate. Il SOA è stato approvato con lo scopo primario di ristabilire la fiducia negli investitori a seguito degli scandali finanziari che hanno interessato la fine degli anni ’90 tra i quali si ricordano i casi eclatanti di società come Enron (2001), Global Crossing (2002) e

Worldcom (2002). Per evitare il ripetersi di scandali finanziari come quelli appena menzionati

il SOA è stato strutturato al fine di perseguire i seguenti obiettivi:

 rafforzare i principi di corporate governance;

 introdurre Sistemi di Controllo Interno maggiormente efficaci;

 introdurre nuovi obblighi di mandatory financial disclosure89 per migliorare la qualità e trasparenza del financial reporting;

 intensificare il controllo sull’attività di auditing istituendo il Public Company

Accounting Oversight Board (PCAOB);

 stabilire sanzioni più gravose in caso di violazione della legge e, nello specifico, in caso di comportamenti fraudolenti da parte del management90

Per perseguire tali obiettivi il SOX Act è stato strutturato in 11 sezioni, così definite:

1. Titolo I – Public Company Accounting Oversight Board; 2. Titolo II – Auditor Independence;

3. Titolo III – Corporate Responsibility; 4. Titolo IV – Enhanced Financial Disclosures; 5. Titolo V – Analyst Conflicts of Interest;

89_{Per mandatory financial disclosure si intende il complesso di obblighi societari in tema di comunicazione}

finanziaria verso gli azionisti e, in generale, il complesso degli stakeholders.

Le sanzioni in caso di comportamenti fraudolenti da parte del management sono previste nei seguenti termini :

- reato di falso in bilancio: $1.000.000 e/o 10 anni di reclusione;

- reato di falsificazione volontaria dell’informativa di bilancio: $5.000.000 e/o 20 anni di reclusione.

Fra le diverse forme di sanzioni è inoltre previsto che, nel caso in cui per mancato rispetto delle disposizioni in materia di informativa economico-finanziaria la società debba rettificare il contenuto del bilancio pubblicato, l’amministratore delegato (CEO) e il direttore finanziario (CFO) devono restituire alla società i bonus ottenuti nonché l’utile realizzato dalla vendita delle azioni della società nei 12 mesi precedenti (Section 304) .

6. Titolo VI – Commission Resources and Authority; 7. Titolo VII – Studies and Reports;

8. Titolo VIII – Corporate and Criminal Fraud Accountability; 9. Titolo IX – White Collar Crime Penalty Enhancement; 10. Titolo X – Corporate Tax Returns;

11. Titolo XI – Corporate Fraud and Accountability

Il SOX Act è applicato nei confronti dei seguenti soggetti passivi:

 le società costituite negli USA con azioni quotate nel New York Stock Exchange (NYSE) e nel NASDAQ soggette alla vigilanza della Securities and Exchange Commission (SEC);

 le entità definite Foreign Private Issuers (FPIs) ossia i gruppi societari costituiti al di fuori degli USA emittenti titoli quotati nel NYSE o nel NASDAQ e perciò soggette alla vigilanza della SEC (91).

Per fornire una maggiore comprensione dell’innovazione apportata dal SOA nella disciplina societaria statunitense rispetto alla precedente normativa (in particolare rispetto a quanto previsto dal Security Exchange Act del 1930) si segnalano le principali disposizioni di questa normativa.

Obbligo in capo al CEO e al CFO

In questo ambito vengono previsti nuovi obblighi in capo all’amministratore delegato (Chief

Executive Officer - CEO) e al direttore finanziario (Chief Financial Officer - CFO) i quali devono

(91) I titoli emessi dai FPIs e quotati alla NYSE o al NASDAQ assumono la forma dei cosiddetti American

Depository Receipts (ADRs). Una società non statunitense che intende quotarsi negli USA può emettere azioni

che verranno depositate presso una banca con sede negli USA (denominata depository bank) la quale a sua volta emette gli ADRs, ovvero certificati rappresentativi di un certo numero di azioni della società emittente. Questa modalità di quotazione nel mercato azionario USA è stata ideata al fine di facilitare l’acquisto, il possesso e la vendita di titoli stranieri da parte di investitori americani essendo gli ADRs emessi in US Dollar. Essi sono infatti equiparati ai titoli emessi da società quotate americane e soggetti alla medesima regolamentazione da parte della SEC.

Per quanto riguarda il ruolo della banca depositario si segnala che essa può essere incaricata anche di

espletare le cosiddette corporate actions relative agli ADRs (ad esempio, la distribuzione dei dividendi per conto dell’emittente, l’esercizio dei diritti di voto nelle assemblee degli azionisti per conto dei possessori di ADRs e l’esercizio dei diritti d’opzione).

certificare che il contenuto dell’informativa di bilancio rispecchi fedelmente la situazione economica e finanziaria della società. Tali obblighi sono suddivisi in 3 sezioni all’interno del SOA:

- Section 302: prevede obblighi di certificazione interna dell’informativa di bilancio92

e in merito alle disclosure controls and procedures93;

- Section 404: prevede obblighi di certificazione interna relativa ai cosiddetti financial

reporting controls (tale certificazione interna deve essere accompagnata da un

attestazione prodotta dalla società di revisione esterna);

- Section 906: prevede obblighi di certificazione interna del bilancio per la valutazione della conformità alle disposizioni della Securities and Exchange Commission.

Obblighi in ambito di informativa non-finanziaria

Vengono introdotte nuove disposizioni in tema di informativa non-finanziaria. Un esempio è dato dall’obbligo di informativa sul codice etico della società (Section 406). Il codice etico (o codice di condotta), ove presente, è volto a promuovere un’onesta ed etica condotta evitando i conflitti di interesse all’interno dell’organizzazione. In proposito, il SOA prevede che il management fornisca informazioni (da pubblicare sul sito web della società o tramite deposito presso la SEC) in merito all’esistenza o meno di un codice etico societario e, in caso questo fosse presente, deve essere data informativa rispetto ad eventuali violazioni dello stesso.

Altra disposizione di carattere non-finanziario è quella inerente la cosiddetta Management’s

Discussion and Analysis (MD&A) avente ad oggetto l’informativa sugli aggiustamenti fuori

bilancio e sugli accordi contrattuali in essere alla data di deposito del bilancio.

Il CEO e il CFO devono attestare di aver rivisto il bilancio e attestare che esso rappresenta con connotati di verità e correttezza la situazioni economica, finanziaria e patrimoniale della società alla data di chiusura del bilancio. Devo altresì attestare che nell’informativa di bilancio non sono stati omessi fatti rilevanti.

93_{Il CEO e il CFO sono responsabili della definizione e del funzionamento del Sistema di Controllo Interno. Essi}

sono inoltre tenuti a comunicare alle società di revisione esterna ogni carenza significativa del Sistema di

Internal Control e ogni azione fraudolenta significativa che abbia coinvolto il management o altri dipendenti

Disposizioni inerenti l’attività dell’Audit Committee

In questo ambito il SOA ha previsto diverse innovazioni rispetto alla precedente normativa. Si segnala, ad esempio, come sia prevista la presenza all’interno dell’Audit Committee di almeno un componente considerato professionista in materie contabili e finanziarie (definito

Financial Expert). La presenza del Financial Expert deve inoltre essere comunicata

nell’informativa di bilancio periodica indicando anche se tale componente sia o meno dotato del requisito dell’indipendenza.

Il SOA ha poi previsto un’intensificazione della responsabilità attribuita all’Audit Committee prevedendo che tale organo conduca un’attività di diretta supervisione sia sull’operato della società di revisione esterna sia in merito al processo cosiddetto “whistleblower process” 94. Il SOA ha inoltre previsto un ampliamento della relazioni e dei rapporti ritenuti non indipendenti (quindi proibiti); questa previsione si sostanzia in un aumento del principio di indipendenza applicato all’Audit Committee.

Disposizioni inerenti l’operato dell’External Auditor

Innanzitutto il SOA ha previsto (nella Section 101) la costituzione di un organismo denominato Public Company Accounting Oversight Board (PCAOB) in veste di organo di vigilanza sull’attività delle società di revisione e sul loro operato presso i clienti rappresentati specificamente da società quotate. Lo sua funzione è, in particolare, quella di migliorare la qualità dell’attività di audit mediante il monitoraggio e la supervisione delle società di revisione. Il PCAOB ha inoltre il potere di disporre ispezioni presso le società di revisione e può irrogare alle stesse (e ai loro membri) sanzioni nel caso in cui accerti violazioni nell’applicazione dei principi contabili.

E’ stato poi previsto un rafforzamento del principio di indipendenza della società di revisione esterna aumentando ad esempio il novero dei cosiddetti “non audit services”95 e la riduzione

Il whistleblower process è il processo di comunicazione interno volto a garantire a ogni dipendente della società la possibilità di indirizzare direttamente (ed in forma anonima) all’Audit Committee eventuali segnalazioni aventi ad oggetto presunti comportamenti scorretti in ambito contabile e di audit. Il SOA prevede che tale processo venga definito e supervisionato dall’Audit Committee.

Essi rappresentano l’insieme dei servizi diversi dall’attività di certificazione contabile che i revisori esterni non possono fornire ai propri clienti in quanto ciò costituirebbe una violazione del principio di indipendenza; per tali servizi esiste infatti il cosiddetto rischio di self-audit. Esempi di non-audit services sono i seguenti: tenuta della

del periodo di rotazione degli Auditor Partner96. Sempre in merito ai “non-audit services” è poi previsto, per i servizi diversi dalla certificazione contabile non espressamente vietati dalla legge, la preventiva approvazione da parte dell’Audit Committee (l’obbligo di approvazione preventiva da parte dell’Audit Committee è previsto anche per l’assegnazione dell’incarico di revisione esterna). E’ stato poi previsto il cosiddetto cooling-off period per gli ex-membri della società di revisione che venissero assunti dalla società cliente con il ruolo di amministratore delegato, direttore finanziario o direttore amministrativo: per tali soggetti il SOA prevede che gli stessi restino in aspettativa per la durata di 1 anno prima di assumere il nuovo incarico presso la società.

Infine, la disposizione prevista dal SOA maggiormente interessante rispetto al tema dell’Internal Control (e del risk-management, visto come sua sotto-componente), è rappresentata dall’obbligo, posto in capo alla società di revisione esterna, di esprimere un giudizio (opinion) sull’efficacia del controllo interno sul reporting finanziario della società revisionata. Tale disposizione viene prevista nella già menzionata Section 404 di cui, di seguito, ne verrà fornita una breve descrizione in modo da analizzare gradualmente il contesto entro cui sono stati suggeriti i principali framework per l’analisi del Sistema di Controllo Interno e per l’analisi del processo di risk management.

Nel documento Enterprise Risk Management e valore di mercato. Cosa determina l’adozione di un sistema di gestione integrato dei rischi d’impresa e quali sono i suoi effetti? Analisi di un campione di società europee. (pagine 88-93)