SOX Compliance: Qué es la Ley SOX y cómo cumplirla

Tras los escándalos financieros del 2002, en los que salió a la luz evidencia de que grandes empresas publicaron informes financieros fraudulentos, se crea la Ley SOX como una guía para la adecuada y veraz creación de dichos informes.

A continuación te explicamos qué es la Ley SOX y cómo podemos ayudarte a darle cumplimiento. ¡Comencemos!

¿Qué es la Ley SOX?

La Ley Sarbanes-Oxley, también llamada Sarbanes-Oxley Act (SOA) y abreviada usualmente como Ley SOX, es una ley formulada en Estados Unidos en el 2002 como respuesta a los escándalos financieros corporativos de las empresas Enron Corporation, Tyco International y WorldCom. 

Antes de la promulgación de esta ley, el mercado de valores de Estados Unidos era regulado por la Ley de Valores de 1933. Esta le exigía a las empresas publicar información fidedigna de cualquier acción que emitiera y que cotizara en la bolsa de valores. Bajo esta ley, los CEO (Chief Executive Officer) no tenían responsabilidad legal y, por lo tanto, no podían ser procesados por ocultar información financiera.

Es en este contexto que empresas de gran prestigio como WorldCom, Enron y Tyco publicaron registros financieros fraudulentos, llevando al descenso brusco del precio de sus acciones y, con ello, a grandes pérdidas de dinero de sus inversionistas. El escándalo que esto causó llevó al descubrimiento de una larga lista de estados financieros falsificados y empresas que carecían de controles internos y llevaban conductas indebidas.

Esto impulsó la creación de la Ley Sarbanes-Oxley para garantizar la transparencia y exactitud de sus informes financieros, y con ello proteger al público de acciones fraudulentas de las corporaciones y restablecer su confianza en la bolsa de valores.

¿Para qué sirve la Ley SOX?

La SOX regula las auditorías y funciones financieras contables en las empresas públicas y privadas mediante el incremento de la cantidad y exactitud de los controles internos que éstas deben realizar. Su finalidad es que la información financiera publicada sea tan fiable como sea posible y que se mantenga registrada durante un mínimo de 5 años, de manera que se restablezca la confianza de los inversores.

Adicionalmente, esta ley penaliza el crimen corporativo con severas sanciones: desde grandes multas (de hasta 10 millones de dólares) hasta penas de prisión (de un máximo de 30 años), y la posibilidad de que los accionistas presenten demandas civiles contra la empresa. 

La ley también establece normas sobre ética corporativa para prevenir los actos de corrupción. Para regular los nuevos lineamientos sobre ética y competencia profesional, se crea la Public Company Accounting Oversight Board (PCAOB). Este último es a su vez supervisado por la Securities and Exchange Commission (SEC).

¿Quiénes deben cumplir la SOX?

Todas las empresas, estadounidenses o extranjeras, que cotizan en la bolsa de valores de Estados Unidos, así como sus filiales, deben darle cumplimiento a la ley SOX. Esta ley también debe ser cumplida por las corporaciones de contabilidad que se encargan de la auditoría de las empresas antes mencionadas.

Diferencia entre SOX y J-SOX

J-SOX es el nombre que se le dio a una ley similar a la SOX que fue creada en Japón cinco años después. Aunque en general son leyes con finalidades similares, su estructura, enfoque de la evaluación y el alcance de cada entidad dentro del proceso es distinto en cada una.

La principal diferencia radica en que el cumplimiento de la J-SOX es más costoso y requiere mayor tiempo de dedicación, pues exige a las empresas japonesas a presentar reportes de sus auditores y también de evaluaciones externas.

Requisitos de cumplimiento de la SOX

Las auditorías SOX revisan los sistemas de control interno, los procedimientos y políticas de las empresas, así como las funciones y capacitación del personal. Los principales requisitos que se deben cumplir son:

Informes financieros

Las empresas deben publicar sus estados financieros, incluyendo todas sus obligaciones materiales, deudas y transacciones. Estos datos financieros deben pasar por una auditoría interna, así como por un auditor independiente o un comité de auditoría pública, antes de ser revelados al público general.

Adicionalmente, la ley SOX establece que cualquier modificación de la situación financiera de una empresa debe ser notificada en tiempo real mediante información cualitativa, porcentual y gráficos explicativos, para salvaguardar a los inversores.

Controles internos

Toda empresa debe tener un proceso de control interno propio, que se adapte a sus funciones, y que sea supervisado por el director general o CEO (Chief Executive Officer), su gabinete de directivos y por auditores externos a la empresa. 

De esta forma se lleva a cabo una auditoría de cumplimiento que garantiza la eficacia y veracidad del proceso, y que permite identificar posibles fallas del mismo de manera temprana.

Seguridad de los datos

Es imprescindible que toda empresa conozca y posea métodos para identificar qué datos son sensibles y qué usuarios tienen acceso a ellos, de manera que se reduzca la probabilidad de que ocurra una filtración de datos. Así mismo, si se llega a producir algún incidente, deben contar con los recursos y la planificación para tomar medidas de inmediato y garantizar la seguridad de la información.

Controles de acceso

Tener una adecuada gestión de identidades y accesos permite limitar el acceso de los miembros de la empresa a los datos financieros sensibles, lo cual disminuye la probabilidad de que se filtre información. 

Para ello, es necesario establecer políticas de seguridad de la información, mantener los dispositivos y servidores en áreas seguras e implementar el uso de contraseñas seguras, entre otros.

Controles de gestión de cambios

Cuando se realizan cambios en el entorno informático de la empresa, como incluir nuevos empleados o dispositivos al sistema y actualizar el software, es necesario que se mantenga un registro de los mismos que incluya el cambio realizado, la fecha y el responsable de llevarlo a cabo. Esto facilitará la realización de la auditoría de cumplimiento.

Copias de seguridad de los datos

Toda empresa debe tener algún sistema para mantener y proteger las copias de seguridad de los datos financieros para disminuir la probabilidad de que se pierdan datos si ocurre un incidente. 

En caso de que las copias de seguridad estén almacenadas por un tercero, los requisitos de cumplimiento de la SOX aplican a los terceros de la misma manera que a la empresa que los contrata.

Responsabilidad del CEO y el CFO

La ley SOX establece que el gobierno corporativo de las empresas, específicamente el CEO y el CFO (Chief Financial Officer o director de operaciones financieras), debe ser responsable del apropiado registro y certificación de todos los reportes financieros que la empresa envía a la SEC. Dicho de otra manera, deben presentar una declaración que asevere la legitimidad de la información financiera.

Así mismo, deben velar por la creación de comités de auditoría interna y obtener asesorías legales para reforzar los controles internos.

Es importante destacar que el departamento de TI (tecnología de la información) es responsable de mantener un adecuado control de accesos, garantizar la seguridad de TI, resguardar las copias de seguridad de los datos y supervisar la gestión de cambios en una auditoría SOX. Por lo tanto, es primordial que el personal de este departamento esté familiarizado con las especificaciones de la ley.

Te ayudamos a garantizar el cumplimiento de la SOX en tu empresa

El cumplimiento de la SOX puede aportar grandes ventajas a una empresa. Más allá de evitar las severas sanciones antes mencionadas, cumplir con los requisitos de esta ley disminuye el riesgo de fraudes financieros y filtraciones de información sensible, generando así una mayor confianza en los inversionistas y el público general.

Sin embargo, poner en marcha todos los procesos que permiten cumplir con los requisitos de cumplimiento de la SOX puede ser abrumador por la gran cantidad de detalles que implica. Por ello, el uso de tecnología que permita la automatización de estos procesos puede aliviar las responsabilidades del personal y facilitar el cumplimiento de la ley.

En Delta Protect te ofrecemos Apolo, un SaaS (Software as a Service) que permite la automatización de los procesos repetitivos que requieren cumplimiento, y que también facilita la capacitación y evaluación del personal en materia de cumplimiento normativo.

Adicionalmente, Apolo tiene varios complementos, uno son las pruebas de pentesting que facilitan la identificación de vulnerabilidades en materia de seguridad de la información que podrían afectar la transparencia de los informes financieros.

Y otro es nuestro CISO as a Service, que provee un equipo de expertos en materia de ciberseguridad que ayudan a planificar el marco de control interno de la empresa, de manera que sea lo más eficiente posible, y que se adapte a las necesidades particulares de tu empresa.

En Delta Protect te ayudamos a simplificar la ciberseguridad y el cumplimiento de tu empresa. Si quieres saber de qué otras maneras podemos ayudarte a lograr tener SOX compliance en tu empresa, agenda una demo de Apolo con nuestros expertos.