La Section 404

La Section 404 del Sarbanes-Oxley Act rappresenta la sezione del SOX in cui sono previste le disposizioni in merito alla verifica da parte del management dei Sistema di Controllo Interno della società. Il management è, infatti, responsabile dell’efficacia del Sistema di Internal

Control che deve essere periodicamente sottoposta a verifica e documentazione. Questa

attività coinvolge non solo il management ma anche la società di revisione esterna e il SOA prevede in proposito specifici obblighi per queste due categorie. In particolare, il

management è soggetto all’obbligo di valutare periodicamente (al termini di ciascun

esercizio) l’efficacia del Sistema di Internal Control secondo un processo strutturato definito

contabilità, internal audit, progettazione e implementazione del sistema contabile ed informativo, servizi attuariali, servizi legali, ecc.

96

Il SOA prevede la rotazione ogni 5 anni del partner responsabile dell’incarico di revisione esterna e lo stesso

partner non può assumere nuovamente il medesimo incarico se non sono trascorsi almeno 5 anni dal

Management Assessment Process. Più precisamente il SOX Act richiede di verificare la design and operating effectiveness of Internal Controls over Financial Reporting. Si sottolinea con

questa espressione l’importanza di verificare il disegno e il funzionamento del Sistema di Controllo Interno nella sua funzione di supportare il (corretto e trasparente) financial

reporting, quindi l’informativa di bilancio. Il SOA impone, infatti, che il risultato del processo

di valutazione dell’internal control over financial reporting venga comunicato nel bilancio annuale per garantire maggiore completezza in termini di financial disclosure.

In questo processo la società di revisione esterna è chiamata a fornire (oltre all’opinion sul bilancio d’esercizio e sul bilancio consolidato) un’attestazione sull’efficacia del controllo interno sul reporting finanziario97. Tale attestazione deve essere costituita da un’analisi del

processo di valutazione effettuato dal management; essa deve essere supportata da valide evidenze in merito al disegno, all’operatività e alla valutazione complessiva di efficacia; inoltre tale attestazione dovrà essere comunicata nel bilancio annuale. Si segnala poi come il SOA vieti esplicitamente alla società di revisione esterna di sostituirsi al management nell’attività di valutazione dell’efficacia del Sistema di Internal Control; la società di revisione deve limitarsi a fornire un’attestazione sull’efficacia di tale sistema. Infine, nel caso in cui il processo di valutazione dell’efficacia del Sistema di Internal Control non venga predisposto, la società di revisione è tenuta a non emettere la propria attestazione dandone comunicazione al management e all’Audit Committee.

Dal punto di vista operativo il SOA prevede che l’espletamento del Management Assessment

Process per la valutazione degli Internal Controls over Financial Reporting debba essere

condotto sfruttando da un lato appositi framework riconosciuti a livello internazionale, ad esempio il già citato COSO framework (che verrà analizzato nei paragrafi successivi) e dall’altro lato sulla base di quanto disposto dal Public Company Accounting Oversight Board (PCAOB).

In particolare il PCAOB dispone che, nella conduzione del Management Assessment Process, debbano necessariamente essere espletare 3 macro-fasi:

- definizione dell’ambito del processo di valutazione (scoping);

97 _{Inizialmente era previsto che la società di revisione fornisse non solo un opinion sull’efficacia del controllo}

interno in merito al reporting finanziario ma anche un’ulteriore opinion sull’efficacia della valutazione effettuata dal management in merito all’efficacia del Sistema di Internal Control. Questa ulteriore opinion non è più prevista dal PCAOB e dal SOA.

- attività di valutazione (assessment);

- comunicazione dei risultati del processo di valutazione (communication).

Definizione dell’ambito del processo di valutazione (scoping)

In questa prima macro-fase il management andrà a definire l’estensione del processo di valutazione dell’efficacia del Sistema di Internal Control, ossia il cosiddetto scope. Determinare lo scope comporta l’identificazione dell’insieme dei processi aziendali a cui sono collegati i controlli rilevanti da valutare. Uno specifico controllo è considerato rilevante nel momento in cui il suo mancato funzionamento (dovuto agli specifici rischi a cui la relativa area è soggetta) si traduce in un errore che avrà conseguenza distorsive dell’informativa di bilancio.

Per analizzare i controlli rilevanti il PCAOB suggerisce innanzitutto di individuare e mappare i processi aziendali rilevanti ovvero i processi che alimentano i conti di bilancio significativi98. La mappatura (o disegno) dei processi aziendali rilevanti prevede in genere sia una descrizione discorsiva dello svolgimento del processo (process narrative) sia una descrizione a forma di diagramma di flusso (process flow).

Si segnala infine come in questa fase si andranno anche ad individuare le sotto-componenti della società o del gruppo (ad esempio le cosiddette legal entities collegate o le singole

business unit) rilevanti99 al fine di valutare l’efficacia del Sistema di Internal Control.

Attività di valutazione (assessment)

La seconda macro-fase prevede in primo luogo la valutazione dell’efficacia del disegno del Sistema di Controlli in essere, ossia il modo in cui il sistema stesso è stato ideato (la cosiddetta design effectiveness) e, in secondo luogo, si andrà a valutare l’operatività dei controlli, quindi si andrà a valutare la funzionalità operativa del Sistema di Controlli (in questo caso si parla di operating effectiveness).

98

Generalmente il criterio per la selezione dei conti di bilancio significativi è il concetto di materialità. La materialità esprime quel valore numerico (calcolato in genere come percentuale di una specifica voce di bilancio quale ad esempio il reddito d’esercizio o il patrimonio netto) necessario a distinguere gli errori di redazione del bilancio considerati significativi (oltre la soglia della materialità) e meno (entro la soglia della materialità).

Al fine di condurre questa attività il SOA e il PCAOB suggeriscono di sfruttare la metodologia prevista dai framework internazionali per la valutazione dei Sistemi si Internal Control come il già più volte menzionato COSO framework: tali framework forniscono infatti le linee guida per espletare l’attività di assessment che, in generale, prevede 4 fasi:

1. l’identificazione dei rischi (collegati ad uno specifico processo aziendale); 2. l’identificazione dei controlli (atti a monitorare i relativi rischi);

3. la valutazione dei controlli;

4. la validazione (testing) dei controlli.

Con riferimento alla seconda fase si segnala inoltre come i principali framework suggeriscano spesso di mappare il complesso dei controlli collegati a ciascun processo (e dei relativi rischi) attraverso la creazioni di apposite rappresentazioni grafiche a matrice dette Risk and Control

Matrix.

Il PCAOB sottolinea come in questa seconda macro-fase sia importante anche analizzare le eventuali carenze del Sistema di Internal Control. Il PCAOB fa riferimento a quelle inefficienze che per le loro caratteristiche in termini di probabilità di manifestazione e/o di magnitudo possano condurre ad errori rilevanti ossia ad errori che avranno un riflesso nell’informativa di bilancio tale da farle rientrare tra le cosiddette Significant deficiencies o nelle Material Weaknesses.

Comunicazione dei risultati del processo di valutazione (communication)

La terza macro-fase indicata dal PCAOB prevede la comunicazione delle risultanze del processo di valutazione dell’efficacia del Sistema di Internal Controls over Financial Reporting nei confronti di specifici destinatari: in particolare l’Audit Committee e la società di revisione esterna (come è stato detto essa è tenuta ad esprimere un giudizio in merito all’efficacia del Sistema di Internal Control).