Sarbanes-Oxley (SOX): Una guía sencilla

LaLey Sarbanes-Oxleyes una ley que entró en vigor en 2002. La ley fue aprobada por el Congreso de los Estados Unidos con el fin de proporcionar una protección crucial a los accionistas y al público en general frente al fraude y los errores contables significativos. La ley también se diseñó para mejorar la visibilidad de la información divulgada por las empresas y evitar inexactitudes.

Como resultado de la Ley Sarbanes-Oxley, las empresas están obligadas a cumplir con estrictas regulaciones y plazos de cumplimiento de la SOX. Existen directrices establecidas sobre las normas de cumplimiento, que garantizan que las empresas sean siempre plenamente responsables de sus acciones.

Los requisitos de la ley Sarbanes-Oxley se centran en cuatro áreas principales:

1. Responsabilidad corporativa
2. Aumento de las sanciones penales
3. Regulación contable
4. Nuevas protecciones

La Ley Sarbanes-Oxley toma su nombre de los dos miembros del Congreso de los Estados Unidos que la patrocinaron: Paul Sarbanes y Michael Oxley. Ambos redactaron la ley en respuesta a varios casos escandalosos de fraude y delitos contables, como los de WorldCom y Enron. Su objetivo era garantizar que nunca volvieran a producirse casos similares, mejorando drásticamente la rendición de cuentas.

Desde 2002, el cumplimiento de la ley SOX ha sido una responsabilidad clave de todas las empresas públicas, en particular de las organizaciones de contabilidad pública y las empresas de gestión. También hay algunas partes de la ley que deben cumplir las empresas privadas.

Para cumplir plenamente con la legislación Sarbanes-Oxley, existen requisitos tanto financieros como digitales que las empresas deben tener en cuenta. Una de las principales áreas de la normativa SOX que las empresas deben conocer se refiere al almacenamiento de información.

La legislación SOX no determina cómo deben las empresas conservar sus registros, ni establece directrices estrictas sobre las mejores prácticas empresariales que deben seguirse. Sin embargo, sí establece normas sobre los tipos de información que deben conservarse y el tiempo durante el que debe conservarse dicha información. Por ejemplo, las empresas están obligadas a conservar los registros y mensajes electrónicos durante un mínimo de cinco años. Si las empresas incumplen esta obligación, se les pueden imponer multas. Los casos graves pueden incluso dar lugar a penas de prisión.

Para garantizar que su empresa cumpla con todos los requisitos de la ley SOX, es recomendable utilizar una lista de verificación de cumplimiento, que reúne todas las normas y reglamentos de las secciones 302 y 404 de la ley.

Secciones 302 y 404 de la ley SOX

La Ley SOX de 2002 ha sido un motor fundamental para garantizar la rendición de cuentas en las empresas públicas. Dos de sus disposiciones clave, conocidas como Sección 302 y Sección 404, han sido cruciales para su importancia hasta la fecha.

Sección 302:Este mandato abarca un conjunto de salvaguardias diseñadas para garantizar que los altos cargos del equipo directivo de una empresa estén obligados a certificar formalmente la exactitud de los informes financieros. La sección en sí incluye medidas de seguridad para la prevención de la manipulación de datos, medidas de seguridad para el establecimiento de plazos, controles verificables del acceso a los datos y medidas de seguridad operativas recomendadas. Además, esta sección también abarca la presentación de informes sobre la eficacia de dichas medidas de seguridad y la detección de posibles violaciones de la seguridad.

Sección 404:Esta sección exige la implementación de controles internos y métodos de presentación de informes tanto por parte de la dirección como de los auditores. Su establecimiento resulta costoso, ya que los controles internos que exige son muy caros. Estos controles abarcan la divulgación de las medidas de seguridad a los auditores autorizados por la ley SOX, así como la divulgación de cualquier posible infracción o fallo de seguridad a los auditores.

Sección 802

El mantenimiento de registros es el tema principal de la sección 802 de la ley. Abarca el mantenimiento de registros de tres maneras distintas. En primer lugar, la ley SOX establece directrices sobre la destrucción de registros y la detección de registros falsos. En segundo lugar, la ley SOX establece el plazo para el mantenimiento de registros. En tercer lugar, la ley Sarbanes-Oxley establece normas para las empresas sobre los registros que deben conservar. Esta sección también presta especial atención a los mensajes electrónicos y a las formas correctas de almacenarlos.

SOX y el riesgo de las hojas de cálculo

A pesar de la creciente importancia de los sistemas informáticos corporativos, cada vez más complejos, el uso de hojas de cálculosigue estando muy extendido en las empresas. Por lo tanto, a la hora de gestionar este tipo de archivos, es necesario tener en cuenta las directrices de cumplimiento de la ley SOX. La falta de una gestión eficaz de las hojas de cálculo conlleva riesgos importantes, debido a su flexibilidad inherente. El hecho de que muchas hojas de cálculo estén vinculadas a diferentes fuentes de datos y a otras hojas de cálculo significa que el riesgo que entrañan es un factor que las empresas no pueden ignorar.

Pasos para cumplir los requisitos de la ley Sarbanes-Oxley

1. Establezca un plan: asegúrese de que haya total claridad sobre qué información debe comunicarse y cuándo. Desarrolle objetivos a corto plazo para el año en curso, así como objetivos a largo plazo que se ajusten a la evolución de la organización.
2. Elija uno o varios marcos para respaldar el cumplimiento: diferentes organizaciones han creado marcos y modelos para utilizar en el desarrollo de controles internos SOX y el cumplimiento, tales como: el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO), Objetivos de Control para la Información y Tecnologías Relacionadas (COBIT) y el Instituto de Gobernanza de Tecnologías de la Información (ITGI).
3. Realizar una evaluación de riesgos según la ley Sarbanes-Oxley: a la hora de desarrollar un plan de cumplimiento integral, es fundamental conocer qué procesos son relevantes para el cumplimiento y dónde pueden surgir riesgos potenciales.
4. Evaluar los controles a nivel de entidad: qué controles existen y en qué divisiones.
5. Documentar los procesos: todos los procesos relevantes para la ley SOX deben documentarse para que la responsabilidad y la información queden claras. También deben aclararse los controles que protegen contra el fraude u otros riesgos.
6. Controles informáticos: la seguridad de los datos siempre debe ser una prioridad y mantener esta seguridad es fundamental para la evaluación de riesgos de Sarbanes-Oxley en materia de cumplimiento normativo.
7. Evaluar a los proveedores externos: Es responsabilidad de su organización contar con los controles adecuados para proteger su información financiera, lo que incluye una evaluación exhaustiva de los proveedores externos que pueda utilizar.
8. Pruebas de controles internos: los controles clave deben someterse a pruebas periódicas para garantizar que cumplen los requisitos de la ley SOX.
9. Evaluar cualquier deficiencia: cuando se detectan deficiencias durante las pruebas, es necesario evaluarlas para determinar si son significativas. Cualquier deficiencia que tenga un efecto importante en la organización deberá ser comunicada.
10.  Comunicación de resultados: la alta dirección y el comité de auditoría deben recibir información actualizada sobre el estado del cumplimiento y los controles internos.