Progetto Sox
A chi si applica: la SOX si applica a tutte le Società quotate o anche solo registrate alla Stock Exchange Statunitense. Il Gruppo SKF essendo “registrant” alla Borsa di New York è tenuto anch’esso ad essere compliant con questa legge e di riflesso lo sono tutte le Companies SKF nel mondo.
La “Sarbanes and Oxley Act” (SOX per gli addetti ai lavori) è stata la risposta Statunitense ai dissesti fi nanziari che si sono verifi cati dal 2001. Nel mondo SKF, sempre più spesso si sente parlare di SOX e molti dipendenti ne sono direttamente coinvolti. Cerchiamo quindi, in modo schematico, di dare un quadro d’insieme e di capire di cosa si tratta.
INFORMAZIONI GENERALI
Chi ha scritto SOX: questa legge è stata predisposta da Mr. Sarbanes e Mr. Oxley, parlamentari Statunitensi. Essi sono stati incaricati di redigere la legge anche avvalendosi della loro esperienza di Consulenti Aziendali.
A chi si applica: la SOX si applica a tutte le Società quotate o anche solo registrate alla Stock Exchange Statunitense. Il Gruppo SKF essendo “registrant” alla Borsa di New York è tenuto anch’esso ad essere compliant con questa legge e di riflesso lo sono tutte le Companies SKF nel mondo.
A cosa serve: l’obiettivo della SOX, è di fornire uno strumento alla Stock Exchange Commission (SEC) Statunitense per poter meglio controllare che le comunicazioni che le Società rivolgono ai risparmiatori siano veritiere, corrette e non inducano in inganno. Questa norma è, in definitiva, la risposta ai dissesti finanziari che si sono verificati all’inizio di questo secolo, a partire dalla Enron.
Chi la deve far applicare: il compito di far rispettare questa legge, è stato attribuito in primo luogo alla SEC che deve vigilare sul risparmio negli USA. Tra gli strumenti a disposizione della SEC si annovera anche la possibilità di Audit presso le Società tenute ad essere SOX Compliant. Le sanzioni in caso violazione della legge possono essere assai gravi e sconfinare nel diritto penale USA.
Quando entra in vigore: per le Società USA l’entrata in vigore è avvenuta nel 2004 mentre per le restanti Società, tra cui SKF, la compliance dovrà essere garantita dall’esercizio 2006.
Che cosa prevede: la SOX prevede che ciascuna Azienda sviluppi al proprio interno un sistema di controlli sui vari processi che impediscano errori nel Financial Reporting e frodi che possano arrecare danno agli “Stakeholder” ossia a coloro che hanno degli interessi nell’azienda. Si pensi a questo fine ai risparmiatori ma anche ai dipendenti, clienti, fornitori ecc…. L’obiettivo è di fare in modo che i controlli coprano una porzione tale del business che rappresenti circa il 90% di ciascuna linea di Financial reporting di Gruppo.
Che cosa non prevede: Non esiste uno schema di controlli fisso per ogni realtà aziendale. I controlli sono lasciati all’autonomia gestionale delle aziende salvo il giudizio della SEC nell’eventualità di un Audit volto a determinare l’adeguatezza dei controlli. Chi è responsabile della SOX compliance: I primi responsabili sono il CEO e CFO di SKF AB Sweden poiché formalmente questa è la società che è registrata alla Stock Exchange. In secondo luogo la responsabilità ricade su tutti i CEO e CFO delle varie Companies SKF nel mondo e su coloro che hanno il compito di assicurare che operativamente, i controlli siano fatti, che siano efficaci e documentati (cosiddetti Control e Process Owners). Questi ultimi sono responsabili non direttamente verso la SEC ma verso il Top Management del nostro Gruppo.
Cosa si sta facendo in SKF Industrie.
Come si è scritto sopra, l’obiettivo dei controlli è di coprire una porzione tale del business che rappresenti circa il 90% di ciascuna linea di Financial reporting di Gruppo. A tale scopo sono state identificate dal Gruppo, alcune categorie all’interno delle Companies SKF: a) le Companies che sono “full scope” e che devono sviluppare una serie di controlli in completo accordo con SOX. b) le Companies che per le loro caratteristiche e dimensioni sono coinvolte solo a livello di Legal Unit senza scendere nei vari processi aziendali. c) le companies che possono essere trascurate in quanto le due categorie di cui sopra hanno già coperto il 90% del business.
SKF Industrie, con l’aiuto di alcuni consulenti di Ernst and Young e soprattutto dei colleghi che operano nelle Units e che utilizzano i processi aziendali, ha lavorato per definire la struttura dei controlli e renderli operativi. Per fare ciò abbiamo proceduto per gradi successivi:
- abbiamo formato un Team che si è poi modificato nel corso del tempo per meglio rispondere alle esigenze del Progetto e che ora si compone di cinque membri.
- abbiamo identificato i processi che devono essere sottoposti a controllo. Per ognuno di questi abbiamo preparato Flow Charts e Narratives che illustrano il processo ed identificano i punti critici dove devono essere posizionati i controlli.
Abbiamo poi predisposto i controlli da fare, descrivendoli in modo particolareggiato ed abbiamo definito quale deve essere la documentazione da produrre a supporto dell’avvenuto controllo. Quest’ultimo punto è forse il più importante: per la SOX un controllo non documentato è un controllo che non è stato fatto. Non importa se poi esso non ha portato ad errori o se è stato fatto nella realtà ma semplicemente non esiste documentazione: il controllo è tale solo se è dimostrabile e documentato. Abbiamo quindi affidato ai Control Owner la responsabilità di farli e di giudicarne l’efficacia. A questo punto tutto era pronto per verificare la bontà del nostro lavoro. Questa valutazione avviene in due momenti diversi:
- Walk Through Test: è stato fatto all’inizio del 2005 e si è trattato di effettuare il controllo e giudicarne l’efficacia da parte del SOX Local Team. Management Test: si tratta di un giudizio di merito sui controlli e sulla documentazione che Group Audit ha chiesto ai consulenti di Ernst and Young. Ci sarà infine un Audit vero e proprio da parte della società di Revisione di Bilancio. A regime si avrà una situazione del tipo:
- i Control Owners avranno la responsabilità di assicurare che i controlli vengano fatti, siano efficaci e siano documentati.
- i Process Owners avranno la responsabilità di giudicare i controlli fatti e mantenere aggiornate Narratives e Flow Chart relativi al Processo, nonché di mantenere aggiornato il Risk Navigator. CEO e CFO avranno la responsabilità formale dei controlli e annualmente rilasceranno una certificazione attestandone l’efficacia.
La Società di Revisione di Bilancio condividerà questa responsabilità includendo nell’Audit anche i controlli SOX. La reazione delle Operating Units è stata generalmente buona anche se tutti abbiamo lamentato un aumento del lavoro, che si aggiunge a quanto già facciamo, con risorse normalmente al limite, (ed in molti casi), oltre il punto di saturazione. Il lavoro che ancora ci attende richiede il contributo di tutti. L’unica certezza che abbiamo è che dalla SOX non possiamo esimerci ed essa diventerà sempre di più una “certificazione” di qualità del Financial Reporting, indispensabile per presentarsi come si conviene sui mercati di tutto il mondo.