En el mundo corporativo, la transparencia y la confianza son esenciales para el éxito de las empresas y la seguridad de los inversionistas. Para garantizar la integridad en la información financiera de las compañías, en 2002 se promulgó la Ley Sarbanes-Oxley (SOX) en los Estados Unidos. Esta legislación estableció normas estrictas de control financiero y contable para evitar fraudes y mejorar la confianza en los mercados.
Definición de la Ley Sarbanes-Oxley
La Ley Sarbanes-Oxley de 2002 es una ley federal estadounidense impulsada conjuntamente por el Senador Paul S. Sarbanes y el Representante Michael. La Ley Sarbanes-Oxley (SOX), también conocida como la Ley de Reforma de la Contabilidad Pública de Empresas y de Protección al Inversionista, fue aprobada el 30 de julio de 2002 en respuesta a los grandes escándalos financieros de empresas como Enron y WorldCom. Su objetivo principal es prevenir el fraude contable y mejorar la precisión y confiabilidad de los informes financieros de las empresas que cotizan en bolsa en los Estados Unidos. Establece una serie de requisitos para las empresas públicas y sus auditores.
Objetivos Clave de la Ley SOX
La Ley SAROX es muy extensa y su cumplimiento es complicado, tanto para empresas o corporativos fuera de EE.UU. como para empresas residentes en este país, así lo muestran las encuestas de las grandes firmas de Contadores a escala mundial. Sin embargo, mediante el análisis y estudio de diversas leyes y códigos, el presente texto ayudará a mejorar la calidad de la práctica de la Ley SAROX.
Fundamentos de la Ley Sarbanes-Oxley señala la importancia del sistema de control interno administrativo y operacional, y adiciona aquel que se requiere implantar en las áreas de sistemas hasta su conclusión en los informes que emiten los auditores internos, las firmas multinacionales que revisan las empresas y los corporativos más grandes del mundo; inclusive, servirá de guía para la emisión de informes obligatorios de la Ley SAROX.
- Mayor transparencia y confianza en los mercados financieros.
- Reducción del riesgo de fraudes contables y malversación de fondos.
- Protección de los inversionistas mediante información más precisa y fiable.
Secciones Clave de la Ley SOX
- Sección 302: Requiere que los directivos, incluyendo el CEO y el CFO, certifiquen la exactitud de los informes financieros presentados.
- Sección 304: Se centra en las penalizaciones relacionadas con la devolución de compensaciones obtenidas durante periodos en los que la empresa tuvo que realizar revisiones contables debido a incumplimientos.
- Sección 404 - Control interno sobre la información financiera: Las empresas deben establecer controles internos y procedimientos de auditoría para garantizar la precisión de sus informes financieros.
- Sección 802 - Penalidades por fraude contable: Se establecen sanciones penales y civiles para quienes alteren, destruyan o falsifiquen documentos financieros con el fin de cometer fraude.
¿A Quién Aplica la Ley SOX?
Se requiere el cumplimiento de SOX de todas las empresas que cotizan en bolsa en los Estados Unidos, así como de las subsidiarias que son de propiedad total. También cubre empresas extranjeras que realizan negocios en los EE. UU.
Lea también: Auditoría de Calidad: Ejemplo y Guía
La SOX se aplica a todas las empresas que cotizan en bolsa y operan en EE. UU. y a sus filiales al 100 %. Aunque las empresas privadas y las organizaciones sin ánimo de lucro no suelen estar sujetas a SOX, existen algunas excepciones.
Las empresas privadas que se preparan para salir a bolsa a través de una oferta pública inicial están sujetas a la SOX cuando presentan una declaración de registro ante la SEC. Si bien la SOX es una regulación estadounidense, sí tiene repercusiones para las organizaciones fuera del país.
Las empresas públicas con sede fuera de EE. UU. deben cumplir con los requisitos de la SOX si hacen negocios en EE. UU. En este sentido, todas las empresas públicas listadas en las bolsas de valores de E.U.A. deben cumplir con esta ley.
En Europa, muchos han notado una superposición significativa entre el cumplimiento de la SOX y el cumplimiento del Reglamento General de Protección de Datos (RGPD). En particular, muchos de los mismos controles de seguridad y procesos de protección de datos que permiten el cumplimiento de la SOX también respaldan el cumplimiento del RGPD.
Importancia del Cumplimiento de la SOX
Cumplir con la SOX tiene sus beneficios. Los inversores pueden tener más confianza en las revelaciones financieras y, por lo tanto, estar más dispuestos a invertir en empresas que cumplen con la SOX. El cumplimiento de la SOX puede ayudar a las organizaciones a mejorar sus posturas de ciberseguridad en general.
Lea también: Auditoría y las Líneas de Defensa
Muchos de los controles de seguridad de datos que utilizan las organizaciones para evitar alteraciones financieras también pueden combatir los ciberataques. La implementación de controles internos sólidos es el primer paso para cumplir con la Ley SOX. El uso de herramientas tecnológicas avanzadas puede simplificar significativamente el cumplimiento. La capacitación continua del personal es esencial para asegurarse de que todos entienden la importancia de la protección de datos y cómo seguir las políticas establecidas.
El incumplimiento de la Ley SOX tiene implicaciones profundas para las empresas. El incumplimiento puede resultar en multas exorbitantes, pérdida de credibilidad y daño a la reputación.
Las empresas también pueden crear procesos para almacenar y preservar registros para cumplir con los requisitos de la SOX para la retención de documentos.
Seguridad de la Información y la Ley SOX
La gestión de seguridad es un aspecto crítico del cumplimiento de la Ley SOX. Las organizaciones deben establecer políticas y procedimientos claros para proteger los datos sensibles. Además, es necesario llevar a cabo evaluaciones de riesgos periódicas para identificar y mitigar posibles vulnerabilidades. La gestión de cambios es otro componente clave para cumplir con la Ley SOX. Todas las modificaciones en los sistemas que manejan datos financieros deben ser monitoreadas y documentadas. Un proceso formal de aprobación de cambios garantiza que cada modificación sea revisada y autorizada antes de su implementación.
La gestión de operaciones IT abarca todas las actividades diarias que aseguran el buen funcionamiento de los sistemas de información. Además, es importante tener planes de contingencia y recuperación ante desastres para garantizar que la empresa pueda continuar operando en caso de fallas del sistema o incidentes de seguridad.
Lea también: Auditorías Ambientales: Una Guía
Las obligaciones de seguridad de la información de la SOX se extienden a los centros de datos en la nube donde las organizaciones almacenan o procesan información financiera.
Herramientas para el Cumplimiento de la SOX
La automatización se volvió cada vez más importante para los esfuerzos de cumplimiento de SOX a medida que las redes empresariales se vuelven más complejas. Según Protiviti, la empresa promedio tiene 36 aplicaciones comerciales que caen bajo los requisitos de SOX.
Algunas organizaciones utilizan software especializado de cumplimiento de la SOX para almacenar de forma segura datos y documentos relacionados con la SOX, realizar un seguimiento de la actividad relevante y marcar brechas en los controles internos.
Las herramientas de protección de datos, como las soluciones de prevención de pérdida de datos (DLP), pueden rastrear dónde se almacenan los datos sensibles, quién accede a ellos y qué hace con ellos. Algunas herramientas de DLP también pueden impedir que los usuarios realicen cambios no autorizados en los datos financieros o los muevan a ubicaciones no autorizadas.
La gestión de identidad y acceso (IAM) permite a las organizaciones establecer políticas granulares de control de acceso siguiendo el principio de privilegios mínimos. Las empresas pueden usar soluciones de administración de eventos e información de seguridad (SIEM) para monitorear la actividad de la red, detectar violaciones de seguridad y responder a incidentes más rápido.
Blancco es una herramienta líder en la gestión de datos que ofrece soluciones robustas para la eliminación segura de datos. La capacidad de Blancco para generar informes detallados proporciona una pista de auditoría clara. Delete Technology se especializa en la destrucción segura de datos físicos y digitales, asegurando que ningún dato sensible quede accesible. Utilizar tanto Blancco como Delete Technology proporciona un enfoque integral para la gestión y destrucción de datos en diversas plataformas y ambientes.
Auditorías de la Ley SOX
En la auditoría anual, una empresa de contabilidad independiente lleva a cabo su propia evaluación de los controles internos y la presentación de informes financieros. En el pasado, los auditores tenían que informar sobre si consideraban precisas las evaluaciones de los controles internos realizadas por la dirección. Este requisito se eliminó cuando la SEC adoptó Auditing Standard No.
La SOX no especifica exactamente cómo los gerentes y las firmas contables deben realizar sus auditorías. En su lugar, la SEC afirma que los auditores y gerentes deben utilizar una evaluación de riesgos de arriba hacia abajo (TDRA) para determinar el alcance de sus auditorías.
Los hallazgos de las auditorías internas también pueden ayudar a los auditores externos que realizan auditorías anuales de cumplimiento de la SOX.
Consecuencias del Incumplimiento
Los ejecutivos que certifiquen un informe financiero inexacto pueden ser multados con hasta 1 millón de dólares y encarcelados hasta 10 años. Los ejecutivos también pueden tener compensaciones vinculadas a incentivos recuperadas si una organización tiene que emitir una redeclaración financiera. Bajo las reglas de la SEC adoptadas en 2022, los ejecutivos ni siquiera necesitan ser culpables de mala conducta.
La SOX también hace ilegal dañar, alterar o interferir de otro modo con los registros financieros. Los empleados individuales pueden enfrentar sentencias de prisión de hasta 20 años por hacerlo. La SEC puede prohibir que las personas que infrinjan las reglas de la SOX sirvan como funcionarios corporativos, directores, corredores, asesores y distribuidores.
Modelo de Control Interno COSO
Esta Ley establece, entre otras, la obligación por parte de la administración de la entidad de establecer y mantener una estructura de control interno con base en el modelo COSO emitido por el Committee of Sponsoring Organizations (Comité de Organizaciones Patrocinadoras de la Comisión Treadway), organismo privado creado en Estados Unidos de Norteamérica en 1985 para promover la National Commission on Fraudulent Financial Reporting (Comisión Nacional sobre los Informes Financieros Fraudulentos), organismo privado que estudia los factores que pueden originar un reporte financiero fraudulento y que realiza recomendaciones para compañías públicas y sus auditores independientes, así como para la Security and Exchange Commission (Comisión de Valores y Bolsas o SEC por sus siglas en inglés) y otros reguladores e instituciones educativas. El modelo de control interno COSO cuenta con un importante nivel holístico, haciendo que su adecuada interpretación e implementación sea un verdadero reto y generándose un riesgo en estos procesos.
A su vez, SOX establece como regla el llevar a cabo un proceso continuo de evaluación de la estructura de control interno y una manifestación legal por parte de los administradores y ejecutivos de alto nivel con respecto al cumplimiento de esta evaluación e implementación de mejoras.