Comprender el cumplimiento de SOX: lo que necesita saber
La Ley Sarbanes-Oxley, comúnmente conocida como SOX, es una ley federal de los Estados Unidos que establece requisitos para la presentación de informes financieros y el gobierno corporativo. Promulgada en 2002, se aplica a todas las empresas que cotizan en bolsa en Estados Unidos y se ha convertido en una de las normas financieras más influyentes en todo el mundo.
Los orígenes de SOX
SOX fue una respuesta directa a los escándalos contables corporativos de principios de la década de 2000, sobre todo Enron y WorldCom. Estas empresas utilizaron prácticas contables engañosas para inflar su desempeño financiero, lo que resultó en pérdidas de miles de millones de dólares para inversionistas y empleados. La legislación fue diseñada para restaurar la confianza pública en los mercados financieros responsabilizando a las empresas y a sus ejecutivos por la exactitud de sus declaraciones financieras.
Secciones clave de SOX
Si bien la Ley contiene once títulos, varias secciones son particularmente importantes para los equipos de cumplimiento.
La Sección 302 requiere que el CEO y el CFO certifiquen personalmente la exactitud e integridad de los informes financieros trimestrales y anuales. Esta certificación se extiende a la eficacia de los controles internos y los procedimientos de divulgación. Los ejecutivos que, a sabiendas, certifiquen informes inexactos se enfrentan a sanciones penales.
La Sección 404 es el requisito que requiere más recursos. Exige que la dirección evalúe e informe sobre la eficacia de los controles internos sobre la información financiera (CIIF). Los auditores externos deben dar fe de forma independiente de la evaluación de la dirección. Esta sección impulsa gran parte del trabajo de cumplimiento que las organizaciones realizan cada año.
La Sección 409 exige que las empresas revelen cambios materiales en su situación financiera u operaciones de forma rápida y actualizada. Esto asegura que los inversionistas reciban información oportuna sobre eventos que podrían afectar el valor de sus inversiones.
La Sección 802 impone sanciones penales por la destrucción, alteración o falsificación de registros financieros. También establece requisitos de conservación de los papeles de trabajo de auditoría y documentos relacionados.
¿Quién debe cumplir?
El cumplimiento de SOX es obligatorio para todas las empresas que cotizan en las bolsas de valores de EE. UU., incluidas las empresas extranjeras con recibos de depósito estadounidenses. También se aplica a sus filiales de propiedad absoluta y a las firmas de contabilidad que auditan empresas públicas.
Si bien las empresas privadas no están obligadas legalmente a cumplir con SOX, muchas adoptan sus principios de forma voluntaria. Los controles internos sólidos y los informes financieros transparentes benefician a cualquier organización, independientemente de su estado en la lista.
El proceso de cumplimiento
El cumplimiento de SOX es un ciclo continuo, no un proyecto único. El proceso normalmente sigue estos pasos:
El alcance determina qué procesos de negocio y partidas de los estados financieros son materiales. El equipo de cumplimiento identifica las ubicaciones, cuentas y procesos que se incluirán en la evaluación.
La evaluación de riesgos evalúa la probabilidad y el impacto de posibles errores dentro de cada área de alcance. Las áreas de mayor riesgo reciben controles y pruebas más rigurosas.
Diseño y documentación de controles establece los controles específicos que abordan los riesgos identificados. Cada control debe estar claramente documentado con su objetivo, frecuencia, responsable y las evidencias que produce.
Las pruebas evalúan si los controles están diseñados de manera efectiva y funcionan según lo previsto. Tanto la dirección como los auditores externos realizan pruebas, aunque sus alcances pueden diferir.
Reportes comunica los resultados a las partes interesadas. La dirección incluye su evaluación del SCIIF en el informe anual y el auditor externo proporciona su certificación.
Errores comunes
Las organizaciones frecuentemente subestiman el esfuerzo requerido para el cumplimiento de SOX. Iniciar la evaluación demasiado tarde en el año fiscal deja tiempo insuficiente para realizar pruebas y remediar. Comenzar el proceso temprano da tiempo para abordar las deficiencias antes de que se conviertan en debilidades materiales.
La dependencia excesiva de los controles manuales es otro problema común. Los procesos manuales son inherentemente más propensos a errores y más difíciles de probar de manera consistente. Siempre que sea posible, los controles automatizados proporcionan una mayor confiabilidad y una recopilación de pruebas más sencilla.
El valor más allá del cumplimiento
El cumplimiento de SOX, cuando se aborda estratégicamente, ofrece beneficios que van más allá del cumplimiento normativo. Obliga a las organizaciones a examinar críticamente sus procesos financieros, identificar debilidades e implementar mejoras. La disciplina de mantener controles internos sólidos conduce a datos financieros más precisos, una mejor toma de decisiones y una mayor confianza de los inversores.