COLABORACIONESHay tres disposiciones principales<strong>de</strong> la Ley SOX que afectan sensiblementeal entorno <strong>de</strong>l cumplimiento normativo:la sección 302 pone como requisitola elaboración <strong>de</strong> informes trimestrales yla divulgación <strong>de</strong> las cuestiones significativasque sean relativas a controlesinternos, la sección 404 exige la elaboración<strong>de</strong> informes por parte <strong>de</strong> la dirección<strong>de</strong> la empresa con respecto a la eficacia<strong>de</strong> los controles internos, y la sección802 pone <strong>de</strong> manifiesto la mayornecesidad existente acerca <strong>de</strong> la conservación<strong>de</strong> información y <strong>de</strong> <strong>de</strong>strucción<strong>de</strong> documentos. En los tres casos,la informática juega un papel fundamentalen el cumplimiento normativo.Concretamente la responsabilidad<strong>de</strong> los altos cargos <strong>de</strong> estas socieda<strong>de</strong>s(consejeros <strong>de</strong>legados, altos ejecutivos,directores generales…) ha supuestoque el grado <strong>de</strong> implicación en estanorma sea absoluto.Un reto adicional <strong>de</strong> la Ley SOX esque requiere que los auditores externos<strong>de</strong> las compañías certifiquen la evaluación<strong>de</strong>l control interno realizado por lagerencia sobre la emisión <strong>de</strong> los reportesfinancieros. Es <strong>de</strong>cir, las organizacionesno sólo <strong>de</strong>ben asegurar el a<strong>de</strong>cuadofuncionamiento <strong>de</strong>l control internosino que también <strong>de</strong>berán proveer asus auditores externos <strong>de</strong> la documentaciónnecesaria que respal<strong>de</strong> la evaluacióny la <strong>de</strong>cisión final <strong>de</strong> la alta gerenciasobre el control interno.El marco <strong>de</strong> control interno sugeridopara cumplir con los requisitos establecidospor la Ley SOX es el diseñado porel Comité of Sponsoring Organization ofTreadway Comision (COSO). Este comitéfue originalmente instaurado en el año1985 con la finalidad <strong>de</strong> estudiar los f<strong>acto</strong>resque permitían la emisión fraudulenta<strong>de</strong> reportes financieros. A comienzos<strong>de</strong> los años 90, el Comité junto conuna asesora in<strong>de</strong>pendiente realizó unestudio extensivo sobre controles internos,cuyo resultado fue el marco <strong>de</strong> controlinterno COSO.COSO posee cinco componentes<strong>de</strong> control los cuales al ser integradosen cada una <strong>de</strong> las unida<strong>de</strong>s <strong>de</strong> negocio<strong>de</strong> la organización, ayudan a lograrlos objetivos <strong>de</strong> control categorizadosen las siguientes áreas: eficiencia yefectividad <strong>de</strong> las operaciones paraalcanzar los objetivos <strong>de</strong>l negocio, preparación<strong>de</strong> cuentas financieras confiablesy el cumplimiento <strong>de</strong> leyes y regulaciones.Los cinco componentes a los quenos referimos son:1. Ambiente <strong>de</strong> control: Entre los f<strong>acto</strong>res,internos o externos, que pudiesenincidir en un ambiente <strong>de</strong> control, seencuentran los siguientes: integridad yvalores morales <strong>de</strong>l personal, compromisopara contratar y mantener personal<strong>de</strong> calidad, capacidad en la i<strong>de</strong>ntificación<strong>de</strong> riesgos operacionales, adiestramientoespecializado sobre la aplicación<strong>de</strong> controles internos y los roles<strong>de</strong>sempeñados por la Junta y el Comité<strong>de</strong> Auditoría.2. Evaluación <strong>de</strong> riesgo: Incluye procedimientospara i<strong>de</strong>ntificar cambiosexternos que puedan afectar el negocio,herramientas y metodologías para lai<strong>de</strong>ntificación, evaluación y medición <strong>de</strong>los riesgos operacionales y evaluaciónperiódica <strong>de</strong> los riegos operacionalesen las diversas áreas <strong>de</strong> la organización.En este sentido, se establecen lossiguientes objetivos <strong>de</strong> la evaluación <strong>de</strong>lriesgo: existencia, totalidad, <strong>de</strong>rechos yobligaciones, evaluación, presentación,divulgación y segregación <strong>de</strong> funciones.3. Activida<strong>de</strong>s <strong>de</strong> control: Se refierena las acciones tomadas para implementarpolíticas y estándares <strong>de</strong>ntro <strong>de</strong> lasorganizaciones. La Ley SOX requiere laevaluación <strong>de</strong> las activida<strong>de</strong>s <strong>de</strong> controlpara cada actividad relevante <strong>de</strong>l negocio.Las activida<strong>de</strong>s <strong>de</strong> control incluyenadministración <strong>de</strong> los riesgos operacionalesen los procesos <strong>de</strong> negocio, control<strong>de</strong> acceso a los sistemas <strong>de</strong> informacióny re<strong>curso</strong>s informáticos, asícomo la existencia <strong>de</strong> controles paramitigar errores operacionales.4. Información y Comunicación:Incluye el <strong>de</strong>spliegue <strong>de</strong> informaciónsuficiente para la toma <strong>de</strong> <strong>de</strong>cisiones,información a<strong>de</strong>cuada y oportuna <strong>de</strong>los sistemas <strong>de</strong> información, comunicaciónapropiada entre los <strong>de</strong>partamentospara la coordinación <strong>de</strong> activida<strong>de</strong>sconjuntas, así como la disponibilidad <strong>de</strong>medios para comunicar irregularida<strong>de</strong>sy resultados a la alta gerencia <strong>de</strong> la compañía.5. Seguimiento: Un sistema <strong>de</strong> controlnecesita ser comprobado para asegurarque continúa operando efectivamente.Esto incluye activida<strong>de</strong>s <strong>de</strong>supervisión, así como la labor <strong>de</strong>sempeñadapor la auditoría interna. Elseguimiento incluye el chequeo permanente<strong>de</strong> los indicadores <strong>de</strong> riesgosoperacionales y situaciones críticas,comprobación periódica a la efectividad<strong>de</strong> los controles implantados, asícomo la disponibilidad <strong>de</strong> herramientaspara la verificación <strong>de</strong> los riesgos operacionalesy su imp<strong>acto</strong>.Por lo tanto, la Ley SOX es un proce-10
COLABORACIONESCOLABORACIONESso <strong>de</strong> aprendizaje que pue<strong>de</strong> proporcionarmúltiples beneficios a las socieda<strong>de</strong>sque lo implanten, en particular aaquellas que aprovechen la oportunidad<strong>de</strong> tomar las exigencias <strong>de</strong> la ley yconvertirlas en ventajas competitivas.Sin embargo, la principal ventaja <strong>de</strong>seguir en la NYSE o en NASDAQ es lamejora <strong>de</strong> la reputación, al enviar elmensaje claro sobre los esfuerzosempresariales en aras <strong>de</strong> publicar unainformación financiera precisa.No acogerse a la Ley SOX supondrála retirada <strong>de</strong> estos mercados, así comouna pérdida potencial <strong>de</strong> imagen frentea los inversores. Otro inconveniente esla mayor vulnerabilidad <strong>de</strong> los accionistasminoritarios ante posibles frau<strong>de</strong>s.Cabe <strong>de</strong>stacar, sopesando las ventajase inconvenientes <strong>de</strong> esta ley, queen junio <strong>de</strong>l 2005, 1.968 empresas norteamericanashabían preparado susestados financieros <strong>de</strong> acuerdo a lanueva legislación. A finales <strong>de</strong>l 2006están obligadas a cumpliresta norma todas las socieda<strong>de</strong>sque coticen en estosmercados, es <strong>de</strong>ciraproximadamente untotal <strong>de</strong> 5000 socieda<strong>de</strong>s.Mi experiencia personalen la práctica <strong>de</strong>esta ley ha sido <strong>de</strong>s<strong>de</strong> elpunto <strong>de</strong> vista <strong>de</strong> laauditoría interna<strong>de</strong> una entidad <strong>de</strong>crédito española,implantando estanorma en una filialbrasileña. Sinlugar a dudas hasido una oportunidadúnica, y hasido gratificantepo<strong>de</strong>r compartirlacon otros ex alumnos <strong>de</strong>l centro quetambién han estado trabajando en lamisma ley en otras empresas y sectores,principalmente en multinacionalesespañolas, auditoras externas y consultoras.El cumplimiento <strong>de</strong> la normativaSOX no es únicamente un reto, sino quees una oportunidad. La oportunidad esque es posible usar las lecciones que sehan aprendido <strong>de</strong> este proceso,mediante el cual se ha conseguidoponer las bases para el cumplimiento<strong>de</strong> la normativa, y exten<strong>de</strong>rlas a otrasáreas para ayudar a racionalizar otrosprocesos normativos y <strong>de</strong> certificación.Gran<strong>de</strong>s compañías multinacionalesse han dado cuenta <strong>de</strong> que el proyectoSOX pue<strong>de</strong> conducir a una optimización<strong>de</strong> la visibilidad y <strong>de</strong>los controles financierosque se establecensobre los procesos comerciales másimportantes.En resumen se trata <strong>de</strong> una ley queha creado gran controversia <strong>de</strong>s<strong>de</strong> elpunto <strong>de</strong> vista <strong>de</strong> coste-efectividad paraprevenir frau<strong>de</strong>s contables, pero que lamayor parte <strong>de</strong> las compañías internacionalesque cotizan en Wall Street hanoptado por implantar, evitando <strong>de</strong> estemodo salir <strong>de</strong>l primer mercado <strong>de</strong>lmundo. Adicionalmente en este esfuerzose han logrado sinergias entre lasdistintas unida<strong>de</strong>s <strong>de</strong> negocio, asícomo el fortalecimiento <strong>de</strong> áreas y<strong>de</strong>partamentos, dado que se han tenidoque analizar con profundidad todos losprocesos que tuviesen imp<strong>acto</strong> en lacontabilidad <strong>de</strong> dichas compañías.1111