La Ley Sarbanes-Oxley de 2002 (SOX) es una ley federal estadounidense impulsada conjuntamente por el senador Paul Sarbanes y el representante Michael. Para cumplir con la SOX, las empresas públicas que hacen negocios en los EE. UU. deben adherirse a esta normativa. La Ley SOX también establece reglas para las firmas de contabilidad que auditan a las empresas públicas y los analistas que publican investigaciones sobre valores.
Antecedentes y Objetivos de la SOX
La SOX surgió como respuesta a escándalos financieros corporativos de alto perfil. En estos y otros casos, las empresas públicas utilizaban una mezcla de bucles contables y el fraude directo para inflar sus valores, lo que provocaba que los inversores perdieran miles de millones. En algunos casos, las empresas contaron con la ayuda de las empresas de contabilidad externas que supuestamente debían auditarlas. Los conflictos de intereses contribuyeron a los escándalos que impulsaron la aprobación de la SOX. La SOX pretende eliminar estos conflictos de intereses de varias maneras.
Alcance de la Ley SOX
Se trata de una ley de gran alcance, con 11 títulos en total. La SOX se aplica a todas las empresas que cotizan en bolsa y operan en EE. UU. y a sus filiales al 100 %. Aunque las empresas privadas y las organizaciones sin ánimo de lucro no suelen estar sujetas a SOX, existen algunas excepciones. Las empresas privadas que se preparan para salir a bolsa a través de una oferta pública inicial están sujetas a la SOX cuando presentan una declaración de registro ante la SEC.
Si bien la SOX es una regulación estadounidense, sí tiene repercusiones para las organizaciones fuera del país. Las empresas públicas con sede fuera de EE. UU. deben cumplir con los requisitos de la SOX si hacen negocios en EE. UU. En Europa, muchos han notado una superposición significativa entre el cumplimiento de la SOX y el cumplimiento del Reglamento General de Protección de Datos (RGPD). En particular, muchos de los mismos controles de seguridad y procesos de protección de datos que permiten el cumplimiento de la SOX también respaldan el cumplimiento del RGPD.
Requisitos Clave de la SOX
En virtud de la Ley de Bolsa de Valores de 1934, las empresas públicas de cierto tamaño ya tenían que presentar informes financieros anuales y trimestrales a la SEC. Algunas transacciones fuera de balance que las empresas podían dejar fuera de los informes financieros, como las deudas mantenidas por subsidiarias no consolidadas, ahora deben informarse si tendrían un efecto material en el estado financiero de la empresa. Por último, las empresas deben implementar controles internos para proteger los datos financieros de la manipulación y el uso fraudulento por parte de actores internos o externos.
Lea también: Auditoría de Calidad: Ejemplo y Guía
La SOX no enumera explícitamente todos los controles que las empresas deben implementar. El marco del Comité de Organizaciones Patrocinadoras de la Comisión Treadway también es popular. La idea es que ningún empleado controle todo el flujo de trabajo y que cada persona involucrada actúe como control de las demás. Las empresas también pueden crear procesos para almacenar y preservar registros para cumplir con los requisitos de la SOX para la retención de documentos.
Los analistas de valores deben operar con independencia de las partes de banca de inversión de sus instituciones. Estos comités son responsables de contratar y coordinar con auditores independientes.
Al firmar los informes, el CEO y el CFO deben certificar que los estados financieros son completamente precisos. En la sección SOX 404, "Evaluación de gestión de controles internos", cada informe financiero anual presentado con la SEC debe contener un informe de control interno detallado. Las organizaciones deben informar sin demora de cualquier cambio material en su situación financiera. En particular, las organizaciones deben notificar los incidentes de ciberseguridad en un plazo de cuatro días a partir del momento en que determinen que el incidente ha tenido o podría tener un impacto material.
La Automatización y el Cumplimiento de la SOX
La automatización se volvió cada vez más importante para los esfuerzos de cumplimiento de SOX a medida que las redes empresariales se vuelven más complejas. Según Protiviti, la empresa promedio tiene 36 aplicaciones comerciales que caen bajo los requisitos de SOX. Algunas organizaciones utilizan software especializado de cumplimiento de la SOX para almacenar de forma segura datos y documentos relacionados con la SOX, realizar un seguimiento de la actividad relevante y marcar brechas en los controles internos. Las herramientas de protección de datos, como las soluciones de prevención de pérdida de datos (DLP), pueden rastrear dónde se almacenan los datos sensibles, quién accede a ellos y qué hace con ellos. Algunas herramientas de DLP también pueden impedir que los usuarios realicen cambios no autorizados en los datos financieros o los muevan a ubicaciones no autorizadas.
La gestión de identidad y acceso (IAM) permite a las organizaciones establecer políticas granulares de control de acceso siguiendo el principio de privilegios mínimos. Las empresas pueden usar soluciones de administración de eventos e información de seguridad (SIEM) para monitorear la actividad de la red, detectar violaciones de seguridad y responder a incidentes más rápido. Las obligaciones de seguridad de la información de la SOX se extienden a los centros de datos en la nube donde las organizaciones almacenan o procesan información financiera.
Lea también: Auditoría y las Líneas de Defensa
El Proceso de Auditoría SOX
Como se señaló anteriormente, el CEO y el CFO deben garantizar la exactitud de cada informe financiero y la efectividad de los controles internos. Los hallazgos de las auditorías internas también pueden ayudar a los auditores externos que realizan auditorías anuales de cumplimiento de la SOX. En la auditoría anual, una empresa de contabilidad independiente lleva a cabo su propia evaluación de los controles internos y la presentación de informes financieros. En el pasado, los auditores tenían que informar sobre si consideraban precisas las evaluaciones de los controles internos realizadas por la dirección. Este requisito se eliminó cuando la SEC adoptó Auditing Standard No.
La SOX no especifica exactamente cómo los gerentes y las firmas contables deben realizar sus auditorías. En su lugar, la SEC afirma que los auditores y gerentes deben utilizar una evaluación de riesgos de arriba hacia abajo (TDRA) para determinar el alcance de sus auditorías.
Beneficios del Cumplimiento de la SOX
Cumplir con la SOX tiene sus beneficios. Los inversores pueden tener más confianza en las revelaciones financieras y, por lo tanto, estar más dispuestos a invertir en empresas que cumplen con la SOX. El cumplimiento de la SOX puede ayudar a las organizaciones a mejorar sus posturas de ciberseguridad en general. Muchos de los controles de seguridad de datos que utilizan las organizaciones para evitar alteraciones financieras también pueden combatir los ciberataques.
Sanciones por Incumplimiento
Los ejecutivos que certifiquen un informe financiero inexacto pueden ser multados con hasta 1 millón de dólares y encarcelados hasta 10 años. Los ejecutivos también pueden tener compensaciones vinculadas a incentivos recuperadas si una organización tiene que emitir una redeclaración financiera. Bajo las reglas de la SEC adoptadas en 2022, los ejecutivos ni siquiera necesitan ser culpables de mala conducta.
La SOX también hace ilegal dañar, alterar o interferir de otro modo con los registros financieros. Los empleados individuales pueden enfrentar sentencias de prisión de hasta 20 años por hacerlo. La SEC puede prohibir que las personas que infrinjan las reglas de la SOX sirvan como funcionarios corporativos, directores, corredores, asesores y distribuidores.
Lea también: Auditorías Ambientales: Una Guía
tags: #ley #sox #en #auditoria #definicion