search
Il media che reinventa l'impresa
Registrare un software

[La matrice di separazione delle funzioni SOX

[La matrice di separazione delle funzioni SOX

Da Nicolas Payette

Il 23 ottobre 2024

Gli scandali finanziari che hanno coinvolto alcune società americane all'inizio degli anni 2000 (Enron è il più noto) hanno spinto gli Stati Uniti a riformare la contabilità delle società quotate in borsa per proteggere gli investitori. La legge del 2002, approvata dal Congresso degli Stati Uniti e nota come Sarbacanes-Oxley Act (o SOX), impone alle società nuovi standard finanziari allo scopo di migliorare l'affidabilità delle informazioni finanziarie. Uno di questi standard è la matrice SOX.
Parleremo della matrice SOX tra poco, ma prima permettetemi di rispondere a una domanda di uno dei nostri lettori.

Naturalmente apprezzo tutti i commenti, compreso quello recente sul mio articolo "Segregation of Duties and its Role in Sarbanes-Oxley Compliance Issues":

Hankewicz ha fatto riferimento alla Sezione 404 nel suo articolo "Segregation of Duties and its Role in Sarbanes-Oxley Compliance Issues". Ha affermato che "questa sezione (404) è un elenco completo di controlli interni accettati che le aziende devono avere in atto per essere considerate conformi al SOX. L'elenco si concentra sui controlli interni all'interno dell'applicazione ed evidenzia le aree in cui è probabile che si verifichino segnalazioni fraudolente". Non vorremmo che si trattasse di un "elenco esaustivo". In realtà, l'adeguatezza dei controlli è soggetta a interpretazione individuale. NON ESISTE alcuna "guida chiave in questa sezione [per] la separazione dei compiti".

Ritengo che l'introduzione del SOX e della Sezione 404 (valutazione del controllo interno) sia stato un tentativo di ripristinare la fiducia degli investitori nelle organizzazioni quotate in borsa dopo episodi di alto profilo di attività di reporting fraudolente. La Sezione 404 stabilisce che un rapporto sul controllo interno deve includere i rapporti finanziari per tutte le organizzazioni quotate. Sono d'accordo, la Sezione 404 lascia molto spazio all'interpretazione individuale, affermando in termini piuttosto generici che la direzione dell'azienda è responsabile della messa in atto di una "struttura di controllo interno adeguata" e che tutti i revisori devono essere in grado di attestare il livello di "controllo interno" dell'organizzazione.

Chiaramente, la Sezione 404 è stata la parte più difficile da affrontare del SOX. Tuttavia, il Public Company Accountability Oversight Boardle (PCAOB) ha cercato di demistificare gli elementi più ambigui della sezione. Nel 2004, il PCAOB ha emanato il principio di revisione n. 2 e, nel 2007, la relazione orientativa sull'AS 5. Queste relazioni orientative sono state modellate sul modello del principio di revisione n. 2 e sono state redatte in modo da poter essere utilizzate per la revisione contabile.

Questi rapporti orientativi sono stati modellati sugli standard stabiliti dal Committee of Sponsoring Organization of the Treadway Commission (COSO) (dal 1965).

Le principali disposizioni comprendono

  1. l'identificazione degli elementi chiave della relazione finanziaria
  2. l'identificazione dei rischi associati agli elementi significativi dell'informativa finanziaria in tali conti o informazioni
  3. determinare quali controlli a livello di transazione affronteranno questi rischi in assenza di controlli al livello di precisione appropriato
  4. determinare i controlli a livello di operazione che affronterebbero tali rischi in assenza di specifici controlli a livello di entità
  5. determinare la natura, l'estensione e la tempistica delle prove raccolte per completare la valutazione dei controlli interni.

Ulteriori informazioni sono disponibili sui siti web del COSO e del PCAOB.

La matrice di separazione dei compiti SOX

Un elemento fondamentale del controllo interno è la segregazione di alcuni compiti chiave. L'idea di base della segregazione dei compiti è che nessun singolo dipendente o gruppo deve essere in grado di commettere errori sistematici o frodi nel normale svolgimento dell'attività. In generale, i principali compiti incompatibili che devono essere segregati sono:

  • la custodia delle attività
  • l'autorizzazione o l'approvazione di operazioni correlate che riguardano tali attività
  • registrazione o rendicontazione delle operazioni correlate
  • esecuzione della/e operazione/i

Una caratteristica essenziale della separazione dei compiti/responsabilità all'interno di un'organizzazione è che nessun singolo dipendente o gruppo di dipendenti di una società statunitense abbia un controllo illimitato su qualsiasi operazione o gruppo di operazioni.

Sulla base dei criteri di cui sopra, ho costruito una matrice per evidenziare i compiti svolti da un individuo o da un gruppo di individui che potrebbero portare a una separazione inappropriata dei compiti.

La matrice è suddivisa in tre parti:

  1. Contabilità e controllo delle scorte
  2. Spesa e controllo finanziario
  3. Organizzazione e infrastruttura IT

Ogni scheda presenta quattro aree principali:

  • Da sinistra a destra, ogni sezione elenca una serie di attività, per un totale di 98 attività nelle tre schede.
  • La colonna all'estrema sinistra elenca i ruoli individuali delle persone che tipicamente eseguono i criteri dell'attività.
  • Ho spuntato le celle in cui i ruoli sono allineati con le attività: questo permette di identificare facilmente le potenziali aree di conflitto.
  • In fondo a ogni scheda, ho riassunto il numero totale di responsabilità sovrapposte e ho assegnato un fattore di rischio:

Alto: 0-4 responsabilità sovrapposte
Medio: 5-9 responsabilità sovrapposte
Basso: più di 9 responsabilità sovrapposte

I fattori di rischio si basano sui principi contabili generalmente accettati e sui principi della Sezione 404 del SOX. Sono stati concepiti come linee guida per valutare le organizzazioni ed evidenziare le aree che richiedono ulteriori aggiustamenti.

Più persone osservano un'attività, minore è il rischio di attività fraudolente per l'organizzazione. Ho creato una sezione (blu scuro) in cui è possibile valutare la propria organizzazione.

L'obiettivo è garantire una sufficiente separazione dei compiti e una serie di controlli e contrappesi per ridurre al minimo il rischio di frode.

Articolo tradotto dal francese