Ante la globalización y la digitalización a finales del siglo XX y principios del XXI, el sector financiero se vio obligado a adaptarse a nuevas normativas destinadas a nivelar el campo de juego para todas las organizaciones. Una de las primeras fue la Ley Sarbanes-Oxley (SOX), cuya importancia e influencia no pueden ignorarse.
¿De qué trata la SOX? ¿A quién afecta? ¿Porqué fue creada? ¿Cuáles han sido sus beneficios? Responderemos estas preguntas a lo largo de este blog.
Podría interesarle: ¿Misión vulnerable o ciberresiliencia invencible? Explorando los límites de la supervivencia digital
¿Qué es la Ley Sarbanes-Oxley (SOX)?
Creada en respuesta a fracasos corporativos y fraudes, que resultaron en enormes perdidas financieras para inversionistas institucionales e individuales, la Ley Sarbanes-Oxley (SOX) fue aprobada por el Congreso de EEUU en 2002. Es una ley federal estadounidense administrada por la Comisión de Bolsa y Valores (SEC).
La ley contiene provisiones que afectan el gobierno corporativo, la gestión de riesgos, la auditoria y los reportes financieros de compañías públicas. Varias de estas provisiones tienen como objetivo disuadir y castigar la corrupción y el fraude corporativos.
¿Por qué existe?
La Ley Sarbanes-Oxley fue impulsada conjuntamente por el senador Paul Sarbanes y el representante Michael Oxley. Fue promulgada a raíz de varios escándalos financieros a principios del siglo XXI. Estos incluyen la quiebra de Enron, WorldCom y Tyco.
Como explica IBM, estos negocios públicos utilizaban una mezcla de bucles contables y el fraude directo para inflar sus valores. Esto provocaba que los inversionistas perdieran miles de millones. En algunos casos, las compañías contaron con la ayuda de las empresas de contabilidad externas que supuestamente debían auditarlas.
¿A quién se aplica la SOX?
La SOX aplica a todas las compañías que cotizan en bolsa y operan en EEUU. También afecta a sus filiales, los analistas de valores y las firmas de contabilidad que auditan organizaciones públicas. Si bien es una ley estadounidense, tiene repercusiones para las empresas fuera del país. Toda compañía pública con sede fuera de EEUU debe cumplir con los requisitos de SOX si hace negocios en territorio estadounidense.
Para cumplir con la ley, estas empresas están obligadas a implementar controles internos para proteger los datos financieros de manipulaciones y presentar informes periódicos ante la SEC. Estos últimos deben acreditar la eficacia de los controles y la precisión de las divulgaciones financieras. Posteriormente, las compañías deben superar una auditoría anual independiente de sus estados financieros y controles.
¿Cuáles son los requisitos de la Ley Sarbanes-Oxley (SOX)?
Estos son las directrices principales de la Ley Sarbanes-Oxley (SOX):
-
Responsabilidad corporativa de los informes financieros: si la organización es pública, la sección 302 de la SOX le obliga a informar su situación financiera de forma regular y oportuna a la SEC. El director financiero y general deben autentificar cada informe financiero y serán responsables del contenido de este.
-
Implementación y evaluación de los controles internos: toda empresa debe tener un proceso de control interno. Tanto la dirección como los auditores externos deben evaluar la eficacia del proceso y determinar posibles fallos, que podrían dar lugar a una infracción de la SOX. Es un mandato de la sección 404.
-
Mantener la transparencia: la compañía debe informar a sus inversionistas y al público si se produce un cambio importante en la situación financiera del negocio y su capacidad de funcionamiento. Es un mandato de la sección 409.
Dejando de lado estas tres máximas, el proceso de cumplimiento de la SOX puede ser complejo. Esto se debe a que la ley no describe exhaustivamente todos los controles que una organización necesita ni todos los pasos que deben tomar los auditores. Como resultado, las empresas pueden cumplir con la SOX de diferentes maneras.
¿Cuáles son las sanciones?
La Ley Sarbanes-Oxley (SOX) prohíbe a toda compañía —sea pública, privada o sin ánimo de lucro— destruir o falsificar registros financieros para obstruir una investigación federal. Cualquier otra persona que realice cambios que oculten información veraz —o que incluyan una declaración falsa— están sujetos a multas de hasta 5 millones de dólares o a penas de cárcel de hasta 20 años.
¿Cuál es la importancia de la Ley Sarbanes-Oxley (SOX)?
A la hora de prepararse para su primera auditoría de cumplimiento, muchas compañías quedaron horrorizadas al percatarse de las debilidades dentro de sus entornos. Estas iban desde la ausencia de aplicación de políticas existentes y una complejidad innecesaria hasta comunicaciones atascadas y una cultura débil de cumplimiento.
En un principio, la Ley Sarbanes-Oxley (SOX) buscaba combatir el fraude, mejorar la confianza de los reportes financieros y recuperar la confianza de los inversionistas. Sin embargo, tal como registró Harvard Business Review, su aprobación e implementación tuvo un efecto secundario: permitió que muchas compañías obtuvieran información más confiable sobre sus operaciones para tomar mejores decisiones financieras.
Esta transparencia hace que los inversionistas estén más dispuestos a invertir en las compañías. No obstante, la importancia de la Ley Sarbanes-Oxley (SOX) va más allá.
Fortalecimiento del entorno de control
Las compañías con un gobierno fuerte proveen disciplina y estructura. Inculcan valores éticos a los empleados y los entrenan en los debidos procedimientos. Exhiben comportamientos a nivel ejecutivo y de junta que el resto de la organización imita.
Si una compañía puede demostrar un entorno de control fuerte, puede reducir el alcance de su evaluación de control interno. Este alcance reducido significa que la empresa no necesita realizar tantas pruebas internas y que el auditor puede hacer menos corroboración. Esto resulta en un menor costo de cumplimiento.
Mejora de la documentación
Las actividades de documentación consumieron cientos e incluso miles de horas de empleados mientras las organizaciones se adaptaban a la Ley Sarbanes-Oxley (SOX). Esto se debe a que tuvieron que actualizar los manuales de operaciones, revisar las políticas de personal, y registrar los procesos de control. A pesar de esta labor extensiva, varias compañías señalaron la pertinencia de las secciones 302 y 404.
Ambas secciones reiteraron que definir quién es responsable de un proceso determinado es clave para establecer un programa de control interno. Esta medida también facilita el entrenamiento, la vigilancia, y la evaluación de rendimiento.
Incremento del involucramiento de l comité de auditoría
Gracias a la SOX, los directores hoy enfrentan responsabilidad legal por falta de atención. Esto conlleva a una carga de trabajo más pesada. Adicionalmente, todos los miembros del comité de auditoria no deben tener nexos financieros ni personales con la empresa. No menos importante, por lo menos un miembro del comité debe ser un experto financiero. En caso contrario, la compañía debe informarlo de forma pública.
Aprovechamiento de oportunidades de convergencia
Dada su flexibilidad, el cumplimiento de la SOX puede combinarse con el de otras leyes. Harvard Business Review cita el caso de RSA Security, que identificó puntos en común entre SOX e ISO para crear un solo mapa de procesos. Esto supuso una reducción de costos, la simplificación de procesos y la reorganización de los empleados.
Estandarización de procesos
En antaño, cualquier discrepancia de facturación debía ser investigada y reconciliada. Posteriormente, la factura debía ser cancelada, modificada, y reenviada. Como consecuencia, el ciclo de flujo de caja era interrumpido y las relaciones con el cliente podían verse afectadas. La SOX dejó ver lo obsoleto que era este proceso.
Es preferible diseñar un formulario que compile toda la información necesaria para procesar la orden de un cliente. Esta consistencia reduce la probabilidad de errores en la entrada y consolidación de datos. Lo mismo aplica a los procesos de codificación.
Reducción la complejidad
La actividad de fusiones y adquisiciones contribuía al desarrollo de una estructura organizacional compleja. La SOX incentivó a la integración y simplificación de la estructura de reportes, y la centralización de todas las actividades de contabilidad.
Fortalecimiento los eslabones más débiles
Otra fuente de complejidad proviene del subcontratación, las alianzas, y los acuerdos de servicios compartidos. Esto se conoce popularmente como la “empresa extendida”. La SOX invitó a reevaluar estas relaciones para tener mejor evidencia de control interno.
Reducción de errores humanos
El control interno cuenta con tareas repetitivas y, por mucho tiempo, los humanos han sido responsables de su realización. Sin embargo, hay ocasiones en las que estos individuos pueden estar cansados, distraídos, estresados, resentidos o ausentes. Esto incentiva la implementación de controles automáticos dentro del control interno.
Aun así, hay varias situaciones que requieren de una sensibilidad o un juicio humanos.
Lectura recomendada: Renacer de un ataque: cómo fortalecer su ciber resiliencia
Como pueden ver, la Ley Sarbanes-Oxley (SOX) se convirtió en la excusa perfecta para que múltiples ejecutivos reestructuraran sus negocios frente a diversos factores producto de la globalización y digitalización. No solo ayudó a eliminar sistemas de información redundantes, sino a unificar múltiples plataformas y procesos.
En la segunda parte de este blog señalaremos las formas en las que las herramientas de ManageEngine pueden ayudar al cumplimiento de la Ley Sarbanes-Oxley (SOX).