La normativa, nata negli Stati Uniti per definire regole più stringenti per la governance aziendale, potrebbe, a seconda dei punti di vista, avere qualche impatto anche in Italia. Il problema tocca soprattutto le aziende che hanno rapporti con le multinazionali d’oltreoceano.
Ai tempi dello scandalo Enron, l’impatto di tipo economico sull’assetto statunitense, sia sociale sia societario in generale, è stato fortissimo. A tal punto da richiedere un intervento normativo sulla gestione del controllo e di quella che, in gergo, viene chiamata governance. Senza scendere troppo nei particolari, la Sarbanes Oxley (conosciuta anche come Sox o Sarbox) è suddivisa in sezioni e, tra le sue finalità principali, vi è quella di gestire la correttezza della stesura dei documenti finanziari delle aziende ad azionariato diffuso (evidentemente sottoposte al controllo della Sec, Security Exchange Commission, americana) e, sia direttamente sia indirettamente, la correttezza delle funzioni manageriali e del comportamento dei singoli all’interno dell’azienda.
Sarbox è divisa in sezioni. Quelle che vengono prese in considerazione dall’attività di controllo sono la 302 e la 404. Queste ultime sono fondamentalmente legate a una serie di controlli che dovrebbero essere effettuate in simbiosi tra gli auditor interni e quelli esterni. L’output di questa attività dovrebbe essere una certificazione, che dovrebbe, poi, costituire una base per un’ulteriore attestazione da parte del top management.
Da una lettura più approfondita delle due sezioni di interesse appare evidente che i conttrolli e le verifiche (finalizzati alla prevenzione e alla repressione delle frodi) abbiano ripercussioni notevoli anche sull’information technology aziendale. Il fine ultimo di questi controlli è quello di garantire la sicurezza e l’integrità delle informazioni.
Test e controlli obbligatori
Sembra un po’ un contrsosenso, ma non è così. L’Associazione Italiana Edp Auditor ha individuato una serie di requisiti generali di controllo afferenti l’information technology. In particolare, l’impatto più rilevante è nelle aree dello sviluppo e delle modifiche dei programmi, nell’accesso a dati e programmi e nelle operazioni It in generale. È chiaro che le categorie sopra elencate costituiscono la piattaforma operativa di processi di business che, ovviamente, possono essere oggetto di frode o, comunque, di comportamenti illeciti. Si tratta di comportamenti che possono minare l’integrità delle informazioni e che hanno, evidentemente, un’origine endogena oppure esterna all’azienda. Ecco perché una buona parte dei controlli è relativa alla sicurezza informatica. Nel caso specifico, i test relativi alla parte di robustezza del perimetro e di accesso alle informazioni in generali sono, a conti fatti, obbligatori. Fondamentalmente, questi costituiscono una base comune con attività che la legge italiana rende vincolati, come l’analisi rischi e le misure minime di sicurezza previste dalla normativa sulla privacy 196/2003.
Gli oggetti di controllo
L’accesso alle informazioni (e il controllo della loro corretta distribuzione) costituisce un parametro fondamentale di applicazione di questa normativa. Ma non rappresenta l’unico oggetto di controllo. La stesura dei programmi e la relativa documentazione rappresenta un altro fattore importante. Le aziende che richiedono un intervento Sarbox domandano, tra l’altro, audit e certificazioni finalizzate alla correttezza delle istruzioni applicative (e, quindi, dei processi da esse gestiti). Questa fase di audt è solitamente finalizzata sia alla sicurezza sia alla verifica dell’eventualità di una doppia applicazione di procedure proprietarie, come il classico codice nascosto che consente la doppia fatturazione nelle aziende. Infine, la catena del controllo, secondo la Sarbox è relativa anche alla gestione delle cosiddette digital investigations. Si tratta di operazioni di verifica interna finalizzate alla ricostruzione di un incidente informatico. Premesso che, per definizione di letteratura, un incidente è una qualsiasi violazione di una politica di sicurezza aziendale, la digital investigation è l’insieme di politiche, procedure e tecnologie tese a ricostruire un illecito perpetrato all’interno dell’azienda o nei confronti di quest’ultima. Lo stato dell’arte della tecnologia, in questo settore, è decisamente avanzato e consente operazioni sia in locale sia da remoto. E la Sarbanes Oxley lo richiede, di fatto, apertamente, alla stregua di normative italiane che pretendono un certo controllo, pur non con la stessa schiettezza e con l’invito a mantenere comunque tutelati i diritti di privacy degli utenti.
L’impatto sulle aziende italiane
Le aziende italiane potenziali soggetti della Sox sono di due categorie. La prima è quella delle multinazionali con sede negli Usa, ma che hanno comunque una rappresentanza in Italia. La seconda è quella delle realtà nostrane che hanno legami di business con imprese americane, soggetti passivi di controllo da parte della Sec. Mentre la prima categoria vede un intervento obbligatorio per legge (che, di solito, fa leva sul budget della major), la seconda categoria riguarda interventi di fatto obbligatori in quanto costituiscono dei requisiti di business.
A dire il vero, la Sarbox ha un suo equivalente nel nostro ordinamento giuridico nella 231/2001 (la norma che si sarebbe dovuta rispettare nel caso Parmalat), che però è meno articolata e complessa della Sox, anche se non per questo meno importante.
