Ley Sarbanes-Oxley

1. La Ley Sarbanes-Oxley de 2002 (SOX) es un complejo conjunto de leyes y reglamentos de los Estados Unidos destinados a proteger contra las irregularidades financieras en las empresas públicas. Fue la principal respuesta del gobierno de los Estados Unidos a los grandes fracasos corporativos que implicaban una auditoría deficiente, como la de Enron y Worldcom, a partir de finales de 2001. Si bien se ocupa principalmente de las finanzas, tiene una importante participación en la seguridad de la información. La Ley ha sido políticamente controvertida y recientemente se ha intentado modificarla mediante la legislación o los tribunales.
   
   

   Estructura básica

   
   
   La Ley, en términos relativos, trata de ser neutral entre las exigencias de la reglamentación y los costos de las medidas adicionales de control interno. Existe la sensación en la industria de que la curva de aprendizaje inicial fue empinada y costosa, pero los costos disminuyen considerablemente cuando las empresas afectadas siguen funcionando con sus reglamentos, especialmente el artículo 404, que abarca la tecnología de la información y las comunicaciones (TIC). Otras secciones que las empresas encuentran desafiantes incluyen la 303 sobre gestión de deuda y crédito, y la 409 sobre la pronta revelación de los cambios en sus posiciones financieras.
   
   La Comisión de Valores y Bolsa (SEC), que administra la SOX, exige varias declaraciones que deben provenir del sistema de información de gestión:
   
   
   

   Sección 302: Responsabilidad de las empresas por los informes financieros

   
   
   La sección 302 hace al CEO y al CFO personal y penalmente responsable de los informes inexactos
   
   - La administración reconoce que es responsable del control interno,
   - Identificación por parte de la administración del marco que se utilizará para evaluar la eficacia de los controles internos de la presentación de informes financieros,
   - Una evaluación, por parte de la administración, de la eficacia de los controles internos en el ejercicio económico más reciente, y una declaración binaria de si fue eficaz o no. Si no fue eficaz, la declaración debe identificar cualquier "debilidad material" en el proceso. La administración no puede declarar que los controles fueron eficaces si hubo alguna debilidad material.
   Las organizaciones a las que se aplica la Ley cometen una infracción si reincorporan o transfieren actividades fuera de los Estados Unidos en un intento de evadir sus disposiciones.
   
   
   

   Sección 307: Conducta de los abogados

   
   
   El artículo 307 de la Ley prescribe normas para los abogados que ejercen en su jurisdicción. Requiere que los abogados informen de las irregularidades al abogado jefe o al director general y, si no responden, al comité de auditoría de la Junta. Aunque algunos dicen que se trata de nuevos requisitos para los abogados, argumentando que "la ley federal de valores no exigía que un abogado informara a nadie de las irregularidades de la empresa o que hiciera algo respecto del fraude empresarial" y las Reglas Modelo de la Asociación de Abogados de los Estados Unidos otorgan a los abogados un margen de maniobra considerable, ya que la Regla 1.13 sólo exige que "el abogado proceda como sea razonablemente necesario en el mejor interés de la organización". La sección 307, según este punto de vista, parece "aumentar significativamente las responsabilidades y deberes éticos de los abogados corporativos". Sin embargo, tras un análisis más detenido, parece que el texto de la Sección 307 no confiere a la Comisión la autoridad para imponer obligaciones a los abogados más allá de las que desde hace mucho tiempo les exigen los tribunales, las Reglas Modelo y el Restatement"; no se otorgó a la Comisión de Valores y Bolsa nueva autoridad sobre los abogados. En particular, al discutir la Sección 307, el Senador Mike Enzi declaró que "básicamente instruye a la SEC a comenzar a hacer exactamente lo que estaban haciendo hace 20 años, comenzar a hacer cumplir este principio de arriba. Los redactores tenían la intención de sólo recordar a los abogados sus deberes existentes y asegurar que la Comisión y la ABA están haciendo cumplir apropiadamente esos deberes."
   
   
   

   Consideraciones técnicas

   
   
   La SOX requiere que los altos directivos certifiquen que nadie ha manipulado sus informes financieros. Dado que los principales escándalos financieros de los últimos años han venido de empleados de confianza que no deberían haber sido de confianza, entran en juego los clásicos requisitos de seguridad de la información:
   
   - saber quiénes son realmente tus empleados,
   - uso inteligente del Principio del Menor Privilegio,
   - estableciendo mecanismos por los que se identifican a los sistemas informáticos y los sistemas autentifican esa reivindicación de identidad,
   - dando a los usuarios autentificados un conjunto de credenciales que definen lo que se les permite acceder y hacer.
   
   Los requisitos SOX son un subconjunto del campo de la gestión de la identidad. La sección 802 especifica: "Quien a sabiendas altere, destruya, mutile, oculte, encubra, falsifique o haga una entrada falsa en cualquier registro, documento u objeto tangible... será multado bajo este título, encarcelado no más de 20 años, o ambos". Afirmar una falsa identidad es una forma bastante elemental de encubrimiento. A lo largo de los años, las instituciones financieras han desarrollado otras salvaguardias, como insistir en que los empleados tomen vacaciones para que no puedan seguir cubriendo malversaciones.
   
   No sólo se necesita identificación y autenticación durante las operaciones, sino que la verificación de la identidad debe hacerse en las nuevas contrataciones y en los contratistas que desempeñan funciones delicadas. Cuanto más sensible sea el trabajo en términos de la SOX, más estricta debe ser la verificación.
   
   

   Restricciones de la práctica

   
   
   Muchas empresas tenían sistemas de contabilidad proporcionados o construidos por la rama de consultoría de grandes empresas de contabilidad, que en realidad tienen mucha experiencia. A raíz de escándalos como el de Enron, en el que la empresa de contabilidad externa obtuvo más ingresos de los informes de gestión y los servicios fiscales que de su papel presuntamente neutral como auditor externo, el Instituto Estadounidense de Contadores Públicos Certificados (AICPA) y otros han ordenado, esencialmente, que las funciones de auditor externo y de una empresa que presta otros servicios son incompatibles. Antes de la Ley, las principales empresas de contabilidad aplicaban grandes sistemas de programas informáticos financieros y otros procedimientos que su práctica de auditoría podría tener que inspeccionar. Si bien, en principio, había una "muralla china" entre los auditores y otros empleados, tanto los auditores como los consultores en un contrato tendían a informar al mismo ejecutivo de la empresa, que era el responsable de las pérdidas y ganancias de la cuenta. Ahora bien, la cuestión puede ser comprar sistemas de una empresa de contabilidad derivada, o construirlos en la propia empresa.
   
   Además de las restricciones sobre los conflictos de intereses obvios, la profesión contable formalizó procedimientos sobre las mejores prácticas en la presentación de informes internos. La empresa de auditoría verificaría que estos controles están en vigor. Obsérvese que otra empresa de contabilidad, que no tiene responsabilidad de auditoría, tiene libertad para establecer controles y programas informáticos de apoyo. Con la tormenta de fusiones y adquisiciones en la contabilidad pública, lo que hoy podrían ser empresas separadas podría convertirse en una sola mañana, y la nueva empresa tendría que desprenderse de las tareas que dan lugar a la aparición de un conflicto de intereses.
   
   De la misma manera, hay restricciones para los auditores internos, que no pueden construir ni operar los sistemas cuya producción supervisan. Tienen la responsabilidad de recomendar mejoras.
   
   

   Diseñando el control interno

   
   
   La Ley creó la Junta de Supervisión de la Contabilidad de las Empresas Públicas (PCAOB), que es cuasi-pública, en el sentido de que varios reguladores financieros como la FDIC son cuasi-públicos. El PCAOB supervisa en realidad a los auditores de las empresas públicas, más que a las propias empresas, incluyendo la regulación y la disciplina. La SOX crea además requisitos para un fuerte control financiero interno, la independencia de los auditores externos y mayores responsabilidades de la alta dirección en cuanto a la divulgación de información financiera. El PCAOB supervisa la integridad del proceso de auditoría, pero la Junta de Normas de Contabilidad Financiera independiente seguirá desarrollando las normas de contabilidad.
   
   Los escándalos financieros de la década de 1970 dieron lugar a la Ley de prácticas corruptas en el extranjero de 1977 (FCPA), y finalmente a la creación en 1985 de la Comisión Nacional de Información Financiera Fraudulenta, llamada Comisión Treadway en honor a su primer presidente. En su primer informe, publicado en 1987, se recomendó que el Comité de Organizaciones Patrocinadoras (COSO), integrado por cinco asociaciones profesionales que se ocupan de la auditoría, creara una orientación integrada sobre el control interno. Contrataron a una importante empresa de contabilidad y redactaron el primer marco de control interno aprobado por el COSO, publicado en 1992 como Control Interno: Marco integrado. Esperemos que su cliente trabaje en plazos más rápidos que éstos.
   
   Este informe presentaba una definición común de control interno (CI) y proporcionaba un marco con el que los sistemas de CI pueden ser evaluados y mejorados. Este informe es el estándar que las empresas estadounidenses utilizan para evaluar su cumplimiento con la FCPA. El marco de COSO define el programa de CI que subyace a SOX. Este programa tiene cuatro principios y cinco componentes. COSO Además, COSO define los tres objetivos del control interno como:
   
   - Eficacia y eficiencia de las operaciones
   - Fiabilidad de los informes financieros
   - Cumplimiento de las leyes y reglamentos aplicables
   
   Los Principios establecen las expectativas de la CI, mientras que los Componentes se ocupan de cómo ejecutar la CI. El COSO reconoce las limitaciones del mundo real y, en sus Principios, ambos aceptan que ningún sistema de CI es perfecto, pero también requiere la debida diligencia para tratar de encontrar problemas no cubiertos por el CI.
   
   
   - El primer Principio hace hincapié en que la CI es un proceso que es un medio para lograr un fin, cuyo fin es la presentación de informes financieros precisos. No es un fin en sí mismo.
   - Con toda la documentación que existe en el mundo, seguirá en pie o fracasará basándose en el trabajo de personas de todos los niveles de la empresa.
   - Es imperfecto. Proporciona advertencias a la alta dirección y al consejo de administración, pero la gente de la empresa siempre debe ser proactiva en cuanto a la información financiera.
   - El CI está orientado a objetivos, que pueden superponerse.
   
   
   - La base de todo lo demás es el entorno de control, que hace que su personal sea consciente de la necesidad y el valor del control. Al proporcionar disciplina y estructura a los demás componentes, debe ser coherente con una gestión ética, basada en la integridad. Las organizaciones construyen constantemente sus propias organizaciones de control mediante la delegación apropiada de autoridad y el desarrollo del personal.
   - Antes de evaluar los riesgos, la organización debe definir sus objetivos, a los que luego asignará riesgos y enfoques de gestión de riesgos.
   - Cuando la información y las comunicaciones son los habilitadores técnicos, las actividades de control son las normas y la orientación para las personas que ejecutan el control y la gestión de riesgos. Incluyen una gama de actividades tan diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones, exámenes del rendimiento operativo, seguridad de los activos y segregación de funciones.
   - Los sistemas de información y comunicaciones son esenciales para el funcionamiento real de los sistemas de CI. Producen información sobre las operaciones, las finanzas y el cumplimiento de las normas. No basta con producir información; la información debe fluir hacia arriba, hacia abajo y a través de la empresa y, cuando proceda, hacia los interesados externos, como clientes, proveedores, reguladores, analistas y reporteros financieros y accionistas.
   - La supervisión de los sistemas de CI, que tienen por objeto vigilar las finanzas de la empresa, debe ser a su vez supervisada.es necesario La supervisión es la retroalimentación de los sistemas arquitectónicos, y el proceso arquitectónico, sujeto a la supervisión contable y jurídica, debe mejorar constantemente el sistema. Se advierte que los cambios en la presentación de informes pueden necesitar aprobación externa, y que es posible que deban modificarse en momentos concretos, como trimestralmente o al final del ejercicio económico. Cambiar los métodos de análisis de manera que un período determinado tenga cálculos con métodos diferentes puede hacer que los informes fiscales y financieros sean incoherentes.
   
   

   Evolución política

   
   
   Los críticos han sugerido que era "innecesario, perjudicial e inadecuado", pero permitió que los funcionarios fueran vistos como receptivos. Un argumento de que era innecesario incluía "las bolsas de valores ya habían aplicado la mayoría de los cambios de la SOA en las normas de gobernanza empresarial en sus nuevas normas de cotización; la Comisión de Valores y Bolsa (SEC) tenía plena autoridad para aprobar y hacer cumplir las normas de contabilidad, el requisito de que los directores generales certificaran los estados financieros de sus empresas y las normas de divulgación de información de las empresas; y el Departamento de Justicia tenía amplia autoridad para procesar a los ejecutivos por fraude en los valores. La nueva y costosa Junta de Supervisión de la Contabilidad de las Empresas Públicas (PCAOB) es especialmente innecesaria". El senador Paul Sarbanes (D-MD) y el representante Michael Oxley (R-OH) optaron por no presentarse a la reelección del Congreso al final del mandato de 2006. La Corte Suprema de los Estados Unidos aceptó escuchar una impugnación en 2009; en noviembre de 2009, el Comité de Servicios Financieros de la Cámara de Representantes aprobó una enmienda, la Ley de Protección del Inversor de 2009, que, de ser promulgada, haría inoperantes muchas disposiciones de la SOX.

Compartir

Buscar y comentar

Asistente IA

Consulta nuestro asistente de Inteligencia Artificial
¡te responderá en segundos!

Respuesta completa
Respuesta corta

[ Ayuda ] Dale información suficiente de lo que buscas, dale un contexto. El Asistente te puede dar definiciones, sinónimos y antónimos, oraciones de uso de palabras, encontrar ideas relacionadas, corregir ortografía y darte asistencia escolar sobre cualquier tema. Igualmente, te recomiendo FUERTEMENTE que uses nuestro Buscador (más abajo) para encontrar información apropiada, ya que esta fue escrita por nuestros expertos.

* ACLARACIÓN: el asistente ha sido entrenado para responder tus dudas con muy buenos resultados, pero puede equivocarse. Te sugiero dejar tu email para que te contactemos si vemos errores en la respuesta de la IA: leemos todas las consultas.

Esta imagen puedes emplearla con fines didácticos en la escuela, institución educativa o proyectos web.

¿Hay un error o desea enviarnos un mensaje?: enviar mensaje

No hay ningún comentario todavía