¿Qué es la lista de comprobación del cumplimiento de la SOX?

Una lista de comprobación del cumplimiento de la SOX es una herramienta utilizada para evaluar el cumplimiento de la Ley Sarbanes-Oxley, o SOX, reforzar los controles de seguridad y tecnología de la información, y mantener las prácticas financieras legales. Las empresas estadounidenses que cotizan en bolsa, las empresas internacionales con deuda o acciones registradas en la Comisión del Mercado de Valores de EE.UU. y los proveedores de servicios financieros a las entidades mencionadas deben garantizar el cumplimiento de la SOX para proteger a los inversores, aumentar la transparencia del gobierno corporativo y fomentar la confianza del público.

¿Qué es la Ley Sarbanes-Oxley?

ElLey Sarbanes-Oxley de 2002La ley, también conocida como «Public Company Accounting Reform and Investor Protection Act» en el Senado y «Corporate and Auditing Accountability and Responsibility Act» en la Cámara de Representantes, lleva el nombre de sus patrocinadores, el senador Paul Sarbanes (D-Md) y el representante Michael Oxley (R-Ohio). El Congreso de Estados Unidos aprobó la SOX debido a los escándalos contables deEnron,WorldComyArthur Andersenentre otros.

La SEC de Estados Unidos aplica la SOX para evitar conductas empresariales engañosas, como el mantenimiento de enormes deudas fuera de los balances, la infradeclaración de los costes de las líneas mediante la capitalización en lugar de la contabilización, y el inflado de los ingresos con asientos contables falsos que acaban provocando multas millonarias y condenas penales.

¿Qué es el control interno SOX?

Según la sección 404 de la SOX, cada informe financiero anual debe incluir un informe de control interno, en el que se declare que la dirección es responsable de establecer y mantener una estructura y unos procedimientos de control interno adecuados para la elaboración de informes financieros. Todo informe de control interno debe contener también la evaluación de la dirección sobre la eficacia de la estructura y los procedimientos mencionados y la revelación de las salvaguardias de seguridad, las infracciones y los fallos, atestiguados e informados por auditores externos registrados.

Cumplimiento de la SOX en 2020

La norma final de la SEC que exime a más categorías de empresas de la atestación de los auditores de las finanzas de la dirección ha entrado en vigordesde el 27 de abril de 2020.La adopción de enmiendas se ha decidido para reducir las cargas de cumplimiento para las empresas, especialmente para las más complicadas, controvertidas y costosas de aplicar: la evaluación de los controles internos por parte de la dirección.

Este cambio significa que ciertas empresas de bajos ingresos pueden presentar la evaluación de la eficacia de sus directivos en el control interno sobre la información financiera, o ICFR, sin ninguna atestación del auditor independiente. La SEC estimó que 539 empresas quedarían exentas, lo que ahorraría costes de cumplimiento y posiblemente animaría a más empresas a salir a bolsa.

Sin embargo, también es probable que los inversores valoren la pérdida de la certificación de la auditoría de los controles internos en su prima de riesgo de las acciones, lo que les hace comprar acciones con tasas de descuento más altas debido al mayor riesgo de controles internos potencialmente débiles. En definitiva, el cumplimiento de la SOX 404 se puede resumir enun comunicado de prensa anterior de la SEC:

«El Congreso nunca pretendió que el proceso 404 se volviera inflexible, oneroso y derrochador. El objetivo de la Sección 404 es proporcionar información significativa a los inversores sobre la eficacia de los sistemas de control interno de una empresa, sin crear cargas de cumplimiento innecesarias ni malgastar los recursos de los accionistas.»

¿Cuáles son los requisitos de una auditoría SOX?

La auditoría implica la revisión de los controles, las políticas y los procedimientos de una auditoría 404. También examinará al personal, sus funciones y la descripción de su trabajo, y si han recibido la formación pertinente para acceder de forma segura a la información financiera. De acuerdo con las secciones 302, 404 y 409 de la Ley Sarbanes Oxley, es necesario supervisar, registrar y auditar las siguientes condiciones:

• Controles internos

• Actividad en la red

• Actividad de la base de datos

• Actividad de inicio de sesión

• Actividad de la cuenta

• Actividad de los usuarios

• Acceso a la información

No superar una auditoría de cumplimiento de la SOX puede dar lugar a multas y sanciones importantes que pueden dañar la reputación de la organización.

¿Cuál es la diferencia entre SOX y J-SOX?

La J-SOX es el equivalente japonés de la Ley Sarbanes Oxley de Estados Unidos. Tanto la normativa SOX como la J-SOX pretenden evaluar los sistemas de control interno relacionados con la información financiera. Aunque hay similitudes en sus normas y requisitos, ambos tienen sus diferencias. Entre ellos, el marco de control interno, el enfoque de evaluación, el ámbito de las entidades, el alcance del proceso, etc.

¿Qué es el procedimiento SOX?

Todas las entidades sujetas a la SOXdeben presentar el IFCR de acuerdo con la Sección 404, mientras que la evaluación de la eficacia de la gestión en el IFCR de algunas empresas informantes más pequeñas puede presentarse sin la atestación del auditor externo de acuerdo conla norma final de la SEC. Las empresas privadas que se preparan para su oferta pública inicial (OPI) también deben cumplir la Ley Sarbanes-Oxley.

Además, laDivisión de Finanzas Corporativas de la SECrealiza algún nivel de revisión de cada empresa declarante al menos una vez cada tres años y revisa un número significativo de empresas con mayor frecuencia.

¿Qué son los requisitos de cumplimiento de la SOX?

Dado que el cumplimiento de la SOX es crucial para mantener a su empresa a flote, aquí están las otras secciones de la Sarbanes-Oxley en las que debe centrarse:

• Sección 302 de la SOX: Responsabilidad corporativa de los informes financieros El director general, o CEO, y el director financiero, o CFO, de una empresa son directamente responsables de la documentación y certificación precisas de todos los informes financieros presentados a la SEC. Crear comités de auditoría, de compensación y de divulgación compuestos por miembros del consejo de administración y conseguir un buen asesoramiento jurídico puede ayudar a reforzar los controles internos y limitar la responsabilidad de la empresa.Dado que el artículo 302 de la SOX tiene por objeto evitar la presentación de informes financieros defectuosos, asegúrese de que los controles de seguridad verificables que impiden la manipulación de los datos, establecen plazos y rastrean el acceso a los datos son operativos, se revisan periódicamente para comprobar su eficacia y son capaces de detectar fallos de seguridad.

• Sección 401 de la SOX: divulgación en los informes periódicos Todos los estados financieros de la empresa en los informes periódicos deben hacerse con todos los pasivos, obligaciones o transacciones importantes fuera de balance, auditados por una empresa de contabilidad pública registrada y publicados al público.

• Sección 409 de la SOX: Divulgación en tiempo real por parte del emisor Cualquier cambio en la situación financiera o en las operaciones de una empresa debe comunicarse casi en tiempo real utilizando información cualitativa y de tendencias y presentaciones gráficas para proteger a los inversores y el interés público.

• Sección 802 de la SOX: Sanciones penales por alteración de documentos Penas de hasta 20 años de prisión esperan a quien altere, destruya, mutile, oculte, encubra o falsifique cualquier registro, documento u objeto tangible con la intención de influir, obstruir o impedir una investigación legal. El auditor que no mantenga los documentos de revisión durante un periodo de 5 años será multado y/o encarcelado por un periodo no superior a 10 años.

• Sección 906 de la SOX: Responsabilidad de las empresas en los informes financieros Todos los estados financieros de la empresa incluidos en los informes periódicos deben ser certificados por el director general y el director financiero con una declaración escrita, además de la exigida por la sección 302, de que cumplen plenamente los requisitos y de que la información contenida en ellos presenta fielmente la situación financiera y los resultados de las operaciones de la empresa.

Cómo utilizar la lista de comprobación del cumplimiento de la SOX

Dado que el cumplimiento de la SOX es esencial para las empresas que cotizan en bolsa, es importante que una organización tenga un enfoque estandarizado a la hora de hacer un seguimiento de su propio cumplimiento. Una lista de comprobación del cumplimiento de la ley SOX permite a las empresas enumerar sus puntos de cumplimiento y evitar que se pasen por alto áreas críticas que pueden dar lugar a un incumplimiento de la ley. Sin embargo, su uso en una plataforma muy intuitiva aumenta su documentación, precisión y rapidez.

Pasos para utilizar la lista de comprobación del cumplimiento de la SOX

Un cumplimiento eficaz de la SOX sigue estos pasos:

1. Establezca las funciones pertinentes del equipo directivo – Especifique quién realizará las auditorías o inspecciones SOX para garantizar una aplicación interna de la ley sin problemas.

2. Identifique las áreas de cumplimiento: adapte su lista de comprobación para cumplir con los requisitos de la ley SOX. Utilice esto como una base bien fundamentada para hacer las preguntas correctas y determinar los puntos críticos para el enfoque de asegurar y mantener el cumplimiento.

3. Determine si los controles clave funcionan – Analice si los sistemas actualmente implementados funcionan eligiendo entre Sí, No o N/A, las organizaciones pueden incluso personalizar su propio conjunto de respuestas.

4. Reconocer las posibles áreas de incumplimiento – Con este documento, el equipo de gestión puede detectar de forma proactiva los incidentes de incumplimiento y evaluar cómo se pueden mejorar y evitar en el futuro.

5. Introduzca comentarios adicionales: añada cualquier recomendación, sugerencia o comentario para reforzar aún más el enfoque de la organización sobre el cumplimiento de la SOX, antes de firmar.