Sarbanes-Oxley (SOX): Una guía sencilla

En Ley Sarbanes-Oxley es una ley que entró en vigor en 2002. La ley fue aprobada por el Congreso de Estados Unidos para proteger a los accionistas y al público en general del fraude y de los errores contables importantes. La ley también se diseñó para mejorar la visibilidad de las declaraciones de las empresas y evitar inexactitudes.

Como resultado de la Ley Sarbanes-Oxley, las empresas están obligadas a cumplir normas estrictas y plazos de cumplimiento de la SOX. Existen directrices establecidas sobre las normas de cumplimiento, que garantizan que las empresas sean siempre plenamente responsables de sus actos.

Los requisitos de la ley Sarbanes-Oxley se centran en cuatro áreas principales:

1. Responsabilidad de las empresas
2. Aumento de las sanciones penales
3. Normativa contable
4. Nuevas protecciones

La Ley Sarbanes-Oxley toma su nombre de los dos miembros del Congreso estadounidense que la patrocinaron: Paul Sarbanes y Michael Oxley. Ambos redactaron la ley en respuesta a varios casos escandalosos de fraude y contabilidad criminal, como WorldCom y Enron. Su objetivo era garantizar que no volvieran a repetirse casos similares, mejorando drásticamente la rendición de cuentas.

Desde 2002, el cumplimiento de la SOX es una responsabilidad clave de todas las empresas públicas, en particular de las organizaciones de contabilidad pública y las sociedades de gestión. También hay algunas partes de la Ley que deben cumplir las empresas privadas.

Para cumplir plenamente la legislación Sarbanes-Oxley, existen requisitos tanto financieros como digitales que las empresas deben tener en cuenta. Una de las principales áreas de la normativa SOX que las empresas deben conocer se refiere al almacenamiento de la información.

La legislación SOX no determina cómo deben conservar los registros las empresas, ni da directrices estrictas sobre las mejores prácticas empresariales que deben utilizarse. Sin embargo, sí establece normas sobre los tipos de información que deben conservarse y durante cuánto tiempo. Por ejemplo, las empresas deben conservar los registros y mensajes electrónicos durante un mínimo de cinco años. Si no lo hacen, se les pueden imponer multas. Los casos graves pueden acarrear incluso penas de prisión.

Para asegurarse de que su empresa cumple todos los requisitos de la SOX, es una buena idea utilizar una lista de comprobación de cumplimiento, que reúne todas las normas y reglamentos de las Secciones 302 y 404 de la ley.

Secciones 302 y 404 de la SOX

La Ley SOX de 2002 ha sido un motor fundamental para garantizar la rendición de cuentas en las empresas públicas. Dos de sus disposiciones clave, conocidas como Sección 302 y Sección 404, han sido cruciales para su importancia hasta la fecha.

Sección 302: Este mandato abarca una serie de salvaguardias, diseñadas para garantizar que los altos cargos del equipo directivo de una empresa estén obligados a certificar formalmente la exactitud de los informes financieros. La propia sección incluye salvaguardias para la prevención de la manipulación de datos, salvaguardias sobre el establecimiento de plazos, controles verificables sobre el acceso a los datos y salvaguardias operativas recomendadas. Además, esta sección también contempla la presentación de informes sobre la eficacia de dichas salvaguardias y la detección de posibles violaciones de la seguridad.

Sección 404: Este apartado requiere la implantación de controles internos y métodos de información tanto por parte de la dirección como de los auditores. Su establecimiento es costoso, ya que los controles internos que exige son muy caros. Estos controles abarcan la divulgación de las salvaguardias de seguridad a los auditores SOX autorizados, así como la divulgación de cualquier posible infracción o fallo de seguridad a los auditores.

Sección 802

El mantenimiento de registros es el principal objetivo del artículo 802 de la Ley. Abarca el mantenimiento de registros de tres maneras distintas. En primer lugar, la SOX establece directrices sobre la destrucción de registros y la detección de registros falsos. En segundo lugar, la SOX establece el calendario de conservación de los registros. En tercer lugar, la ley Sarbanes-Oxley establece normas sobre los registros que las empresas deben conservar. Esta sección también presta especial atención a los mensajes electrónicos y a la forma correcta de almacenarlos.

SOX y el riesgo de la hoja de cálculo

A pesar de la creciente importancia de unos sistemas informáticos corporativos cada vez más complejos, el uso de hojas de cálculo en las empresas sigue estando muy extendida. Por lo tanto, hay que tener en cuenta las directrices de cumplimiento de la SOX a la hora de gestionar estos conjuntos de hojas de cálculo. La falta de gestión eficaz de las hojas de cálculo conlleva riesgos significativos, debido a su flexibilidad inherente. El hecho de que muchas hojas de cálculo también estén vinculadas a diferentes fuentes de datos y a otras hojas de cálculo significa que el riesgo de las hojas de cálculo es un factor que las empresas no pueden ignorar.

Pasos para cumplir los requisitos de la ley Sarbanes-Oxley

1. Establezca un plan: asegúrese de que queda totalmente claro qué información debe comunicarse y cuándo. Desarrolle objetivos a corto plazo para el año en curso, así como objetivos a largo plazo que se ajusten a la evolución de la organización.
2. Elegir uno o varios marcos para respaldar el cumplimiento: diferentes organizaciones han creado marcos y modelos para utilizar a la hora de desarrollar controles internos SOX y el cumplimiento, como por ejemplo: The Committee of Sponsoring Organizations of the Treadway Commission (COSO), Control Objectives for Information and Related Technologies (COBIT) y The Information Technology Governance Institute (ITGI).
3. Llevar a cabo una evaluación de riesgos de la ley Sarbanes-Oxley: saber qué procesos son relevantes para el cumplimiento y dónde pueden surgir riesgos potenciales es fundamental a la hora de desarrollar un plan de cumplimiento exhaustivo.
4. Evaluar los controles a nivel de entidad: qué controles existen y en qué divisiones.
5. Documentar los procesos: cualquier proceso relevante para SOX debe documentarse para que tanto la responsabilidad como la información queden claras. También deben aclararse los controles que protegen contra el fraude u otros riesgos.
6. Controles informáticos: la seguridad de los datos siempre debe ocupar un lugar prioritario en la lista de prioridades, y mantener esta seguridad es fundamental para la evaluación del riesgo de cumplimiento de la ley Sarbanes-Oxley.
7. Evalúe a los proveedores externos: Es responsabilidad de su organización contar con controles adecuados para proteger su información financiera, esto incluye una evaluación exhaustiva de los proveedores terceros que pueda utilizar.
8. Pruebas de los controles internos: los controles clave deben probarse periódicamente para garantizar que cumplen los requisitos de la SOX.
9. Evaluar las deficiencias: cuando se observan deficiencias durante las pruebas, deben evaluarse para determinar si son significativas. Cualquier deficiencia que tenga un efecto material en la organización deberá ser notificada.
10.  Comunicación de resultados: la alta dirección y el comité de auditoría deben recibir información actualizada sobre la situación del cumplimiento y los controles internos.