La conformità al SOX è l'atto di aderire ai requisiti di rendicontazione finanziaria, sicurezza delle informazioni e revisione contabile previsti nel Sarbanes-Oxley Act (SOX), una legge statunitense che mira a prevenire le frodi aziendali.
Per essere conformi al SOX, le società quotate che operano negli Stati Uniti devono:
- Implementare controlli interni per proteggere i dati finanziari da alterazioni
- Presentare regolarmente alla Securities and Exchange Commission (SEC) relazioni che attestino l'efficacia dei controlli di sicurezza e l'accuratezza delle comunicazioni finanziarie
- Sottoporsi a una revisione annuale indipendente dei rendiconti finanziari e dei controlli applicati
Il SOX stabilisce anche una serie di regole per le società contabili che revisionano le scritture delle società quotate e per gli analisti che pubblicano studi sui titoli finanziari. La normativa prevede condanne penali e sanzioni pecuniarie significative per le attività finanziarie fraudolente e per alcune forme di inadempienza.
Anche se il SOX è prima di tutto una normativa finanziaria, tutte le parti interessate dell'organizzazione devono concorrere a rispettarne le disposizioni. I reparti IT e di cybersecurity hanno assunto sempre maggiore importanza, poiché per proteggere le informazioni finanziarie in reti aziendali complesse ci si affida sempre più spesso a soluzioni tecnologiche.
Secondo un report pubblicato nel 2023 dalla società di consulenza Protiviti (link esterno a ibm.com), più della metà delle aziende afferma che ormai serve più tempo per rendersi conformi al SOX. Un'organizzazione media spende ogni anno più di 1 milione di dollari in iniziative di conformità al SOX.
Acquisisci le informazioni necessarie per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
Il Sarbanes-Oxley Act (SOX) è una legge federale degli Stati Uniti, promossa dal senatore Paul Sarbanes insieme al deputato Michael Oxley e approvata nel 2002. La legge è stata promulgata dal Congresso americano dopo una serie di scandali finanziari che si sono succeduti all'alba del terzo millennio, tra cui i crac di Enron, WorldCom e Tyco.
In questi e in altri casi, alcune società quotate avevano utilizzato un mix di scappatoie contabili e di vere e proprie frodi per gonfiare i propri bilanci, causando poi grosse perdite agli investitori. Ad esempio, quando venne scoperta la frode perpetrata da Enron, il prezzo del titolo azionario scese da 90,75 dollari a soli 60 centesimi.
In alcuni casi, le aziende erano state spalleggiate dalle società esterne di revisione contabile che avrebbero dovuto certificare i loro bilanci. Arthur Andersen, una delle cinque grandi società contabili, fu costretta a chiudere i battenti a causa del suo ruolo negli scandali Enron e WorldCom.
SOX mira a prevenire le frodi aziendali stabilendo rigorosi obblighi normativi per il modo in cui le organizzazioni proteggono i dati finanziari dalle manomissioni, e rende i revisori più indipendenti dai propri clienti.
Il SOX è una normativa di ampia portata, comprendente 11 capitoli in totale. Tra gli effetti più importanti che ha sortito ricordiamo:
- L'istituzione del Public Company Accounting Oversight Board (PCAOB)
- Il rafforzamento dei requisiti di rendicontazione finanziaria
- L'attribuzione ai dirigenti della responsabilità personale circa le informazioni finanziarie e i controlli finanziari
- Maggiore indipendenza per revisori e analisti esterni
- La tutela dei whistleblower
Il SOX ha istituito il PCAOB, una società senza scopo di lucro che stabilisce gli standard da rispettare negli audit finanziari e regolamenta le società contabili che rivedono i conti di società quotate. Il PCAOB può indagare sulle imprese sospettate di non conformità e disciplinarle con multe fino a 10.000 dollari per le persone fisiche e 2.000.000 di dollari per quelle giuridiche.
Già con il Securities Exchange Act del 1934 le società quotate di una certa dimensione dovevano presentare alla SEC una serie di relazioni finanziarie annuali e trimestrali. Il SOX sottolinea che questi rapporti devono essere privi di dichiarazioni fuorvianti. I rapporti devono essere preparati in base ai principi contabili generalmente accettati, una serie di standard gestiti dal Financial Accounting Standards Board (link esterno a ibm.com).
Alcune transazioni fuori bilancio che in precedenza le società potevano escludere dai rendiconti finanziari, come i debiti detenuti da controllate non consolidate, devono ora essere segnalate se potrebbero avere un effetto sostanziale sulla situazione finanziaria della società. Per "sostanziale" si intende un'informazione che porterebbe un investitore ragionevole a rivalutare una decisione d'investimento.
Le società devono inoltre comunicare al pubblico, quasi in tempo reale, tutto ciò che costituisce una modifica significativa nelle loro informazioni finanziarie.
Infine, devono implementare controlli interni per proteggere i dati finanziari da alterazioni e utilizzo fraudolento da parte di attori interni o esterni. In tali controlli rientra anche la conservazione dei registri contabili per periodi di tempo prestabiliti.
Secondo il SOX, l'amministratore delegato (o CEO), il responsabile finanziario (o CFO) e tutti i funzionari aziendali che svolgono ruoli simili sono personalmente responsabili di garantire che i rendiconti finanziari siano veritieri e che le strutture di controllo interno siano efficaci. I dirigenti possono incorrere in multe e condanne penali se le relazioni finanziarie non sono corrette, anche se non fuorviano intenzionalmente gli investitori.
Gli scandali che hanno portato all'approvazione del SOX sono stati amplificati dai conflitti di interesse. Le imprese di revisione contabile che verificavano i bilanci delle società quotate spesso venivano pagate profumatamente da quelle stesse società anche per altri servizi di consulenza. I revisori si sentivano quindi incentivati a redigere relazioni che i clienti ritenevano accettabili, altrimenti avrebbero rischiato di perdere quei contratti così redditizi.
Allo stesso modo, gli analisti che segnalano le quotazioni azionarie spesso lavorano per organizzazioni che offrono anche servizi di investment banking o di altro tipo alle società quotate.
Il SOX prevede diverse misure per eliminare questi conflitti di interesse. In primo luogo, impone alle società quotate di creare comitati di audit indipendenti dalla dirigenza aziendale. I comitati sono responsabili dell'assunzione e del coordinamento di revisori indipendenti. Il SOX vieta inoltre alle organizzazioni di tentare di influenzare i risultati degli audit.
Le società contabili non possono fornire servizi di consulenza o di altro tipo alle stesse società per le quali eseguono audit conformi al SOX, mentre le organizzazioni devono sostituire i revisori esterni ogni cinque anni.
Gli analisti finanziari devono operare in maniera indipendente rispetto ai rami di investment banking delle società per cui lavorano. E, quando eseguono valutazioni di titoli finanziari, devono inoltre rendere noti eventuali conflitti di interesse.
Il SOX vieta le ritorsioni contro i dipendenti che segnalano potenziali frodi, ad esempio demansionandoli, licenziandoli, sospendendoli, molestandoli o danneggiandoli in altro modo.
Il SOX si applica a tutte le società quotate in borsa che operano negli Stati Uniti e alle loro consociate interamente controllate. Si applica anche agli analisti di titoli finanziari e alle società contabili che controllano le società quotate.
Sono generalmente escluse le aziende non quotate e le organizzazioni non-profit, anche se esistono alcune eccezioni. Le aziende private che si apprestano ad essere quotate tramite un'offerta pubblica iniziale sono soggette al SOX quando presentano una dichiarazione di registrazione presso la SEC. I whistleblower di aziende private che forniscono servizi a società quotate sono protetti dal SOX se segnalano una cattiva condotta dei loro clienti.
Il SOX vieta a qualsiasi organizzazione, quotata, non quotata o non-profit, la distruzione o la falsificazione di documenti finanziari al fine di ostacolare un'indagine federale.
Anche se il SOX è una normativa statunitense, essa ha ripercussioni anche per le organizzazioni con sede al di fuori del paese. Le società pubbliche con sede al di fuori degli Stati Uniti devono rispettare i requisiti SOX se operano negli Stati Uniti. La promulgazione del SOX ha inoltre ispirato altri paesi ad adottare leggi contro le frodi finanziarie, come il Keeping the Promise for a Strong Economy Act del Canada (chiamato anche "C-SOX") e il Financial Instruments and Exchange Act del Giappone (chiamato anche "J- SOX”).
In Europa, molti hanno notato una notevole sovrapposizione tra la conformità al SOX e la conformità al Regolamento generale sulla protezione dei dati (GDPR). In particolare, molti degli stessi controlli di sicurezza e processi di protezione dei dati che consentono la conformità al SOX garantiscono anche la conformità al GDPR. L'Unione Europea ha anche implementato le proprie norme di tipo SOX riguardo all'indipendenza dei revisori finanziari.
In sostanza, esseri conformi al SOX significa che tutte le informazioni finanziarie di un'organizzazione sono completamente accurate e che l'organizzazione dispone di controlli e documentazione a sostegno delle proprie comunicazioni finanziarie.
Tuttavia, rendersi conformi al SOX non è semplice. Il SOX non definisce in dettaglio tutti i controlli che le organizzazioni devono implementare o tutti i passaggi che i revisori devono seguire. Ogni organizzazione raggiunge quindi la conformità al SOX in modi diversi.
In linea di massima, il SOX prevede tre requisiti generali:
- Presentazione di relazioni finanziarie accurate e certificate dai dirigenti aziendali
- Implementazione di controlli interni appropriati
- Superamento di audit periodici
Secondo il paragrafo 302 "Corporate Responsibility for Financial Reports" del SOX, il CEO, il CFO o dirigenti equivalenti di una società devono firmare tutte le relazioni finanziarie annuali e trimestrali depositate presso la SEC.
Nel firmare le relazioni, il CEO e il CFO devono attestare che i rendiconti finanziari sono completamente accurati. Devono inoltre affermare che sono in atto controlli interni adeguati, convalidati negli ultimi 90 giorni.
Ai sensi del paragrafo 404 "Management Assessment of Internal Controls" del SOX, ogni relazione finanziaria annuale depositata presso la SEC deve contenere un report approfondito sui controlli interni. Tale report dichiara che la dirigenza aziendale è responsabile dei controlli interni dell'azienda e ne valuta l'efficacia al termine dell'ultimo esercizio fiscale.
Le organizzazioni devono segnalare tempestivamente eventuali modifiche sostanziali alla propria situazione finanziaria. Sebbene gli incidenti di cybersecurity possano essere considerati cambiamenti sostanziali ai sensi del SOX, vale la pena notare che la SEC ha adottato nuove regole nel luglio 2023, rendendo i requisiti per la segnalazione di questi incidenti ancora più stringenti (link esterno a ibm.com).
Nello specifico, le organizzazioni devono segnalare gli incidenti di cybersecurity entro quattro giorni dal momento in cui stabiliscono che l'incidente ha avuto o potrebbe avere un impatto rilevante. Le aziende sono tenute a segnalare gli incidenti verificatisi presso terzi, come i servizi cloud, se possono avere un effetto rilevante sull'organizzazione.
Le aziende implementano controlli interni conformi al SOX per impedire ad attori interni ed esterni di alterare in modo fraudolento i dati finanziari o di utilizzarli per scopi illeciti.
Il SOX non indica esplicitamente tutti i controlli che le aziende devono implementare. Le organizzazioni spesso si affidano a framework di governance aziendale, come il Control Objectives for Information and Related Technologies che appartiene alla Information Systems Audit and Control Association. Anche il framework Committee of Sponsoring Organizations of the Treadway Commission è molto utilizzato. Sebbene non siano stati sviluppati specificatamente per il SOX, gli schemi di controllo che presentano generalmente ne soddisfano i requisiti di conformità.
Le organizzazioni implementano controlli a livello sia dei processi aziendali che dell'infrastruttura informatica.
I controlli dei processi aziendali includono aspetti quali la formazione dei dipendenti sui requisiti del SOX e la creazione di canali di segnalazione sicuri per gli informatori.
Molte aziende applicano anche la segregazione dei compiti, un principio in base al quale i flussi di lavoro sono suddivisi in più fasi, e ogni fase è di responsabilità di dipendenti diversi. L'idea di base è che nessun dipendente debba controllare l'intero flusso di lavoro e che ogni persona coinvolta possa tenere d'occhio gli altri. Un esempio tipico è quello di fare in modo che la persona che approva i pagamenti non sia la stessa che firma gli assegni dal conto aziendale.
Le aziende possono anche creare processi per l'archiviazione e la conservazione dei registri in conformità ai requisiti del SOX in merito. Ad esempio, i revisori sono tenuti a conservare tutti i documenti di lavoro associati a un audit per sette anni.
Man mano che le reti aziendali diventano più complesse, la conformità al SOX passa sempre più spesso attraverso l'automazione. Secondo Protiviti, un'azienda ha in media 36 applicazioni aziendali soggette ai requisiti del SOX (link esterno a ibm.com). Per applicare le norme del SOX a ciascuna di esse, i controlli di sicurezza IT possono essere di grande aiuto.
Alcune organizzazioni utilizzano software specializzati per la conformità al SOX, che consentono di archiviare in modo sicuro dati e documenti che rientrano nell'ambito di applicazione della normativa, tenere traccia delle attività rilevanti e segnalare lacune nei controlli interni. In alternativa, è anche possibile utilizzare strumenti di cybersecurity più generici.
Gli strumenti di protezione dei dati, come le soluzioni di prevenzione della perdita di dati (DLP), possono tenere traccia di dove sono memorizzati i dati sensibili, chi vi accede e cosa ne fa. Alcuni strumenti DLP possono anche impedire agli utenti di apportare modifiche non autorizzate ai dati finanziari o di spostarli in posizioni non autorizzate. È poi possibile utilizzare backup automatici per recuperare i dati, se questi vengono distrutti o alterati.
Le soluzioni di gestione delle identità e degli accessi (IAM) consentono di impostare criteri granulari di controllo degli accessi in base al principio del privilegio minimo. Ai dipendenti vengono concesse solo le autorizzazioni strettamente necessarie per svolgere il proprio lavoro. Le piattaforme IAM possono anche ottimizzare la gestione delle modifiche, in modo che le organizzazioni possano aggiornare e rimuovere rapidamente le autorizzazioni di accesso quando qualcuno entra in azienda, cambia ruolo o lascia il posto di lavoro.
Le aziende possono utilizzare le soluzioni di gestione delle informazioni e degli eventi di sicurezza (SIEM) per monitorare le attività di rete, rilevare le violazioni della sicurezza e rispondere più rapidamente agli incidenti. Le soluzioni SIEM conservano anche i registri di sicurezza che aiutano le organizzazioni a dimostrare la conformità durante gli audit SOX. Alcuni strumenti SIEM sono dotati di funzionalità specifiche per il SOX o si integrano con altri strumenti, consentendo così di registrare automaticamente le informazioni rilevanti e di generare report sulla conformità.
Gli obblighi di sicurezza delle informazioni previsti dal SOX si estendono ai data center cloud in cui le organizzazioni memorizzano o trattano le informazioni finanziarie. Vanno quindi tenuti in considerazione anche i controlli per queste fonti di dati.
Come già detto, il CEO e il CFO devono garantire l'accuratezza di ogni relazione finanziaria e l'efficacia dei controlli interni. La conduzione di audit periodici fornisce ai dirigenti le prove necessarie per rilasciare queste dichiarazioni.
Conducendo audit interni sulle pratiche di rendicontazione finanziaria e sui controlli dei dati con cadenza regolare, le aziende possono monitorare la conformità nel tempo, identificare le lacune e porre rimedio alle vulnerabilità.
I risultati degli audit interni possono anche aiutare le società esterne che eseguono le revisioni annuali di conformità alla normativa SOX. Nell'ambito della revisione annuale, una società contabile indipendente effettua la propria valutazione dei controlli interni e della rendicontazione finanziaria. I risultati di questa revisione sono spesso inclusi nella relazione annuale della società per la SEC.
In passato, i revisori dovevano riferire se ritenevano che le valutazioni dei controlli interni da parte della dirigenza aziendale fossero accurate. Questo requisito è stato rimosso quando la SEC ha adottato la norma contabile Auditing Standard No. 5 nel 2007 (link esterno a ibm.com).
Il SOX non specifica esattamente come vanno condotte le revisioni da parte di manager e società contabili. Al contrario, la SEC afferma (link esterno a ibm.com) che revisori e manager devono utilizzare una valutazione del rischio top-down (TDRA) per determinare la portata delle loro verifiche. Un TDRA identifica i conti, le comunicazioni e le altre aree maggiormente a rischio di frodi sostanziali e si concentra sulla valutazione dei controlli chiave che affrontano tali rischi.
Conformarsi alla normativa SOX comporta dei vantaggi. Una società che segue le disposizioni del SOX ispira maggiore fiducia riguardo alle sue comunicazioni finanziarie e attrae quindi investitori. E, poiché i dirigenti aziendali sono ritenuti personalmente responsabili della documentazione finanziaria, sono disincentivati a commettere frodi.
Inoltre, la conformità al SOX può aiutare le organizzazioni a migliorare il proprio livello complessivo di cybersecurity. Molti dei controlli di sicurezza dei dati utilizzati dalle organizzazioni per prevenire l'alterazione dei dati finanziari possono anche servire a combattere gli attacchi informatici. Ad esempio, le soluzioni IAM contribuiscono a tenere gli hacker lontani dagli account degli utenti e gli strumenti SIEM possono aiutare a rilevare più rapidamente gli incidenti di sicurezza in corso.
Il mancato rispetto del SOX può anche comportare sanzioni civili e penali per organizzazioni e individui.
I dirigenti che certificano una relazione finanziaria inesatta possono essere multati fino a 1 milione di dollari e condannati alla reclusione per un massimo di 10 anni. I dirigenti che certificano intenzionalmente dichiarazioni fuorvianti possono essere multati fino a 5 milioni di dollari e condannati alla reclusione fino a 20 anni.
Se poi l'organizzazione deve emettere una nuova relazione finanziaria, ai dirigenti può anche essere revocata la retribuzione legata agli incentivi. Secondo le regole adottate dalla SEC nel 2022 (link esterno a ibm.com), non è neanche necessario che i dirigenti siano colpevoli di cattiva condotta: la revoca si attiva automaticamente ogni volta che dalla nuova relazione si evince che gli obiettivi legati agli incentivi non sono stati raggiunti.
Il SOX vieta inoltre di danneggiare, alterare o interferire in altro modo con le scritture contabili. I singoli dipendenti rischiano pene detentive fino a 20 anni, mentre i funzionari aziendali che attuano ritorsioni contro gli informatori rischiano multe e pene detentive fino a 10 anni.
La SEC può interdire chi viola le norme del SOX dal ruolo di funzionario aziendale, dirigente, intermediario, consulente e rivenditore. In caso di gravi inadempienze, le società quotate possono perfino incorrere nel delisting.
Il software per la conformità IBM Security QRadar SIEM riduce i rischi e aiuta a gestire requisiti di conformità complessi eseguendo i dati di log SIEM nelle estensioni predisposte per gli standard normativi più diffusi, incluso il SOX.
IBM Security Guardium Insights è un software che consente di automatizzare e semplificare il percorso verso la sicurezza e la conformità dei dati, proteggendoli ovunque risiedano.
AIX, il sistema operativo proprietario Unix di IBM, promuove l'innovazione con funzionalità di cloud ibrido e open source che consentono di creare e implementare applicazioni moderne e conformi in un ambiente sicuro e resiliente.
L'IBM Security X-Force Threat Intelligence Index 2023 offre informazioni utili per comprendere come proteggere in modo proattivo la tua organizzazione.
GRC è una strategia organizzativa per la gestione della governance, dei rischi e della conformità alle normative governative e di settore.
SIEM è una soluzione per la sicurezza che aiuta le organizzazioni a riconoscere potenziali minacce e vulnerabilità prima che abbiano la possibilità di interrompere le operazioni di business.