Introducción a SOX | [Parte 1] | SOX & COBIT.

Es frecuente escuchar en algunas empresas sobre SOX, especialmente las que son filiales de empresas americanas, pero la norma SOX está ligada a un famoso escándalo financiero de la empresa ENRON [EE.UU], empresa energética en la cual se efectuó un  fraude contable, que salpicó y desprestigió gravemente a la conocida firma de auditoría Arthur Andersen.  Existieron en Norteamérica otros escándalos como: Worldcom, que se declaró en bancarrota y ostenta el dudoso título de ser a día de hoy el mayor caso de bancarrota en la historia de EEUU, también están Tyco o Xerox y el último la Deuda SUBPRIME [Crisis de las Hipotecas], de las cuales detallaremos en posteos posteriores como análisis de casos de fraudes.

Sin entrar en demasiados detalles, el denominador común a todos estos casos fue la utilización de “técnicas contables” que enmascaraban y ocultaban problemas financieros, que llegaban a ser de miles de millones de dólares, reflejando una falta de transparencia del gobierno empresarial y la situación contable y financiera. Noten que no he hablado dela existencia de falta de control, porque dadas las características de dichos fraudes multimillonarios, en los que estaban implicados los principales responsables corporativos, no puede decirse que hubiese ausencia de control interno (aunque sí externo) en la medida en que las actividades fraudulentas eran premeditadas. Como respuesta a este tipo de fraudes, se introdujo en EEUU la ley conocida comúnmente como SOX, cuyo nombre completo es Sarbanes-Oxley Act of 2002.

Esta ley fue pensada y escrita con el propósito de incrementar la transparencia financiera de las empresas que cotizan en la bolsa estadounidense, protegiendo de este modo a los inversores y accionistas exigiendo fiabilidad, responsabilidad y exactitud en los datos financieros.  La manera que SOX tiene de aplicar estos objetivos es mediante el establecimiento de controles que impidan y disuadan de la realización de actividades financieras ilícitas, además de introducir multas de hasta 5 millones de dólares y penas de cárcel de hasta 20 años para aquellos gestores cuyas empresas incumplan con los requerimientos de SOX. En la actualidad, esta es una de las leyes más completas y estrictas —quizá en algunos aspectos demasiado— en la prevención del crimen financiero, definiendo una serie de comportamientos fuertemente penados tales como alteración de informes financieros, amenazas contra posibles denunciantes de actividades irregulares (whistleblowing), o engañar y confundir a los auditores (penalidades en EE.UU).

Hay que destacar que, por el espíritu de protección de los accionistas e inversores que tiene SOX, su ámbito de aplicación no se limita a aquellas corporaciones ubicadas en EEUU, sino a todas aquellas, estadounidenses o no, que directa o indirectamente tienen presencia en la bolsa americana; esto implica por tanto que una corporación multinacional formada por diversas unidades de negocio, en la que únicamente una de ellas cotiza en la bolsa estadounidense, deberá ser conforme a SOX en todas ellas. Esto evitará que un fraude financiero en una filial o la empresa matriz repercuta en las cuentas de la empresa que cotiza en la bolsa americana y que está “limpia” financieramente a todos los efectos.

Aunque como se ha indicado anteriormente la ley establece claramente cuáles son aquellas conductas irregulares penadas, y transmite en general la idea de transparencia y responsabilidad a la conducta y gobierno empresarial, no entra en los detalles concretos de cuáles deben ser las medidas para la adaptación y conformidad a SOX, dejando la decisión y definición de los controles a las propias empresas. Esto aporta como principal ventaja la libertad y flexibilidad que confiere a la propia empresa en el tipo, calidad y cantidad de los controles, aunque por otra parte, esta falta de definición y ausencia de concreción es uno de principales focos de confusión acerca de qué debe considerarse un control apropiado para SOX. Las áreas donde SOX tiene una mayor incidencia son, según la metodología COSO (Committee of Sponsoring Organizations of the Treadway Commission) de cumplimiento, la Evaluación de Riesgos, el Control del Ambiente Laboral, el Control de las Actividades, la Monitorización, y la Información y Comunicación.

No obstante, es preciso aclarar que SOX no es, como cualquier regulación, norma o ley, la panacea; SOX no pone una pistola en la nuca de cada bróker, contable o financiero, ni una cámara encima de cada persona; no es capaz de preveer o evitar complejos fraudes financieros que son desarrollados por personas muy conocedoras del entorno en el que se mueven; y otro ejemplo más es el reciente caso del bróker Jérôme Kervial en Société Genéralé, aunque el comentario lo dejamos para un próximo posteo.