Artículo

Guía de cumplimiento de la SOX: ¿Qué es el cumplimiento de la SOX?

Compliance
Tiempo de lectura: 30 min

¿Qué es el cumplimiento de la SOX?

El cumplimiento de la SOX se refiere al cumplimiento de la Ley Sarbanes-Oxley (SOX), una ley federal de Estados Unidos que se promulgó en 2002 para proteger a los inversionistas y clientes contra prácticas corporativas fraudulentas. Los requisitos para el cumplimiento de la SOX garantizan la precisión de los informes financieros de las empresas, mejoran la divulgación de la información financiera e impiden errores contables así como prácticas fraudulentas en las sociedades. La ley lleva el nombre de sus promotores: el senador Paul Sarbanes (D-MD) y el representante Michael G. Oxley (R-OH).

Todos los años, las empresas deben llevar a cabo auditorías de cumplimiento de la SOX, que son realizadas por auditores independientes autorizados.

Durante estas auditorías, se evalúan los controles internos y los estados financieros de las empresas. Además, se les solicita al director ejecutivo (CEO) y al director de finanzas (CFO) que firmen declaraciones para dar fe de la precisión de toda la información que se entrega.

La satisfacción de los requisitos relacionados con el cumplimiento de la SOX no solo tiene que ver con una obligación legal, sino también con las buenas prácticas empresariales. Todas las organizaciones se deben comportar de manera ética y limitar el acceso a sus datos financieros. De igual manera, el cumplimiento de la SOX ayuda a las organizaciones a proteger los datos confidenciales contra las amenazas internas, los ciberataques y las violaciones de seguridad.

Los 11 Títulos de la SOX

La ley SOX está compuesta por 11 Títulos. Las secciones de cada Título detallan lo que se necesita para cumplir la SOX. A continuación, se muestra una lista de la ley, que describe las secciones con mayor impacto para las empresas.

Título I. Junta de Supervisión de Contabilidad de Empresas Públicas

El Título I establece la Junta de Supervisión de Contabilidad de Empresas Públicas y explica cómo supervisa de manera independiente las empresas de contabilidad pública que prestan servicios de auditoría. Además, crea una junta de supervisión más pequeña que se encarga de registrar a los auditores; definir los procesos y procedimientos específicos de las auditorías de cumplimiento normativo; inspeccionar y vigilar el control de calidad y el comportamiento; y hacer cumplir los mandatos particulares de la SOX.

Sección 101. Establecimiento; disposiciones administrativas Sección 102. Registro ante la Junta Sección 103. Auditoría, control de calidad y normas y estándares para la independencia Sección 104. Inspecciones de las empresas de contabilidad pública registradas Sección 105. Procedimientos disciplinarios e investigaciones Sección 106. Empresas extranjeras de contabilidad pública Sección 107. Supervisión de la Junta por parte de la Comisión Sección 108. Normas contables Sección 109. Financiamiento

Título II. Independencia del Auditor

En el Título II se fijan las normas relacionadas con la independencia de los auditores externos con el fin de limitar los conflictos de intereses. Además, suministra información sobre los requisitos de aprobación de los nuevos auditores, la rotación de los socios de auditoría y las formalidades de la elaboración de informes para los auditores. De igual manera, el Título II establece la segregación de tareas de los auditores para evitar que la misma empresa realice auditorías y preste otros servicios diferentes a los de auditorías por cumplimiento de la SOX.

Sección 201. Servicios que se encuentran fuera del alcance de las prácticas de los auditores Sección 202. Requisitos de preaprobación Sección 203. Rotación de los socios de auditoría Sección 204. Informes de los auditores para los comités de auditoría Sección 205. Modificaciones de conformidad Sección 206. Conflicto de intereses Sección 207. Estudio de la rotación obligatoria de las empresas de contabilidad pública registradas Sección 208. Autoridad de la comisión Sección 209. Consideraciones de las autoridades reguladoras estatales pertinentes

Título III. Responsabilidad Corporativa

El Título III define las responsabilidades de los altos directivos que son responsables de la precisión y la completitud de los informes financieros empresariales. Además, detalla la interacción de los auditores externos y los comités empresariales de auditoría, y especifica la responsabilidad de los directivos de la precisión y la validez de los informes financieros empresariales. Asimismo, esta parte de la ley SOX define las pérdidas específicas de beneficios y las sanciones por incumplimiento.

Sección 301. Comités de auditoría de empresas públicas Sección 302. Responsabilidad de la empresa en cuanto a los informes financieros A continuación, se presenta lo más destacado de la sección 302:

  1. Las empresas públicas deben presentar informes financieros ante la SEC.
  2. CEOs and CFOs must certify that they have reviewed the report being submitted and that it “does not contain any untrue statements.”
  3. Los directivos firmantes deben dar fe de que existen controles internos efectivos y que fueron implementados en los últimos 90 días antes de la elaboración del informe con el fin de garantizar que cualquier información que suministre la empresa sea precisa y esté a disposición de los auditores.
  4. Se ha identificado y comunicado a los auditores cualquier "deficiencia" en el diseño o la operación de estos controles internos.
  5. Se les debe informar a los auditores cualquier cambio realizado a los controles internos después de la entrega del informe.

Sección 303. Influencia indebida en la realización de auditorías. La Sección 303 prohíbe "cualquier acción que influya, presione, manipule o engañe de manera fraudulenta a cualquier contador certificado o público independiente que realice una auditoria de los estados financieros de ese emisor con el fin de que dichos estados financieros resulten materialmente engañosos". Sección 304. Pérdida de algunos bonos y ganancias Sección 305. Sanciones y prohibiciones para los directores y directivos Sección 306. Operaciones con información privilegiada durante los periodos de bloqueo de los fondos de pensiones Sección 307. Normas de responsabilidad profesional para abogados Sección 308. Fondos justos para inversionistas

Título IV. Mejoras en las Divulgaciones Financieras

El Título IV explica los requisitos de la elaboración de informes para el cumplimiento de la SOX en cuanto a las operaciones financieras, incluidas las operaciones no consignadas en el balance general, las cifras proforma y las operaciones bursátiles de los directivos. Además, especifica los controles internos necesarios para validar la precisión de las divulgaciones y los informes financieros, y exige tanto auditorías como informes de dichos controles.

Sección 401. Divulgaciones en informes periódicos La Sección 401 reitera que los informes de cumplimiento de la SOX no pueden contener ninguna afirmación engañosa, declaración falsa ni error fáctico. De igual manera, establece que los informes financieros se deben preparar de conformidad con los principios de contabilidad generalmente aceptados (PCGA). Sección 402. Mejora de las disposiciones relacionadas con los conflictos de intereses Sección 403. Divulgación de las operaciones que involucren la dirección y los principales accionistas Sección 404. Evaluación de los controles internos por parte de la dirección. En general, se considera que la implementación de la Sección 404 es las más complicada, difícil y costosa:

  1. Ordena a la dirección que establezca una "estructura y procedimientos de control interno adecuados para la elaboración de informes financieros".
  2. Establece que la dirección tiene la responsabilidad de evaluar la eficacia de dichos controles y procedimientos durante el año fiscal más reciente.
  3. Exige que cada empresa de contabilidad pública registrada que elabore o redacte el informe de auditoría certifique y dé cuenta de la evaluación que realizó la dirección.

Sección 405. Exención Sección 406. Código de ética para altos directivos financieros Sección 407. Divulgación de experto en finanzas del comité de auditoría Sección 408. Revisión mejorada de las divulgaciones periódicas de los emisores Sección 409. Divulgaciones del emisor en tiempo real. La Sección 409 indica que las empresas deben informar de inmediato al público cualquier modificación material de sus operaciones o condición financieras, incluida la divulgación de filtraciones de datos o de cualquier otra forma de ciberataque.

Título V. Conflicto de intereses de los analistas

El Título V consiste en una sola sección, la cual se elaboró con la intención de restablecer la confianza de los inversionistas en los informes de los analistas bursátiles mediante la definición de códigos de conductas y el requisito de divulgación de cualquier conflicto de intereses conocido.

Sección 501. Tratamiento de los analistas bursátiles por parte de las asociaciones de valores registradas y las bolsas de valores nacionales.

Título VI. Autoridad y Recursos de la Comisión

El Título VI define las prácticas que se deben realizar para restablecer la confianza de los inversionistas en los analistas bursátiles. Además, confirma que la SEC dispone de la autoridad para inhabilitar o prohibir el ejercicio de cualquier analista bursátil.

Sección 601. Autorización de asignaciones Sección 602. Comparecencia y práctica ante la Comisión Sección 603. Autoridad del tribunal federal para imponer prohibiciones relacionadas con las acciones de poco valor Sección 604. Calificaciones de las personas asociadas a los corredores de bolsa.

Título VII. Estudios e informes

El Título VII especifica los requisitos del Contralor General y la Comisión de Valores de los Estados Unidos (SEC) para realizar diversos estudios y publicar sus conclusiones.

Sección 701. Estudio e informe de la Oficina de Contabilidad General (GAO) sobre la consolidación de empresas de contabilidad pública Sección 702. Estudio e informe de la comisión sobre los organismos de calificación crediticia Sección 703. Estudio e informe sobre los infractores y las infracciones Sección 704. Estudio de las medidas de ejecución Sección 705. Estudio de los bancos de inversión

Título VIII. Responsabilidad por fraude corporativo y penal

El Título VIII, también conocido como "Ley de Responsabilidad por Fraude Corporativo y Penal de 2002", enumera las sanciones penales por la manipulación, destrucción o modificación de los registros financieros, así como por cualquier otra interferencia en las investigaciones. Además, ofrece protecciones a los denunciantes.

Sección 801. Título corto Sección 802. Sanciones criminales por la modificación de documentos La sección 802 establece que cualquier persona que altere, destruya o falsifique intencionadamente cualquier registro estará sujeto a multas altas, encarcelamiento o ambos. De igual manera, indica que todos los papeles de trabajo de la revisión o auditoría se deben guardar durante un periodo de cinco años a partir de la auditoría, incluidos los registros electrónicos y no electrónicos. El hecho de no hacerlo puede dar lugar a multas, encarcelamiento o ambos. Sección 803. Deudas inapelables, si se contraen infringiendo las leyes de fraude bursátil Sección 804. Prescripción del fraude bursátil Sección 805. Revisión de las Pautas de Sentencia Federales para la imposición de penas por obstrucción a la justicia y fraude penal extensivo Sección 806. Protección para los empleados de empresas que cotizan en la bolsa que suministren pruebas de fraude La sección 806 se centra en los denunciantes y especifica que la SOX protege a los empleados y directivos de una empresa que colaboren en una investigación, proporcionen información, testifiquen en una investigación o divulguen cualquier información relacionada con el fraude financiero de una empresa. Se protege a los empleados contra el despido injustificado y el acoso, la degradación, la suspensión o cualquier forma de discriminación. Sección 807. Sanciones penales por estafa a accionistas de empresas que cotizan en la bolsa.

Título IX. Aumento de las penas por delitos de cuello blanco

El Título IX, también conocido como "Ley de Aumento de las Penas por Delitos de Cuello Blanco 2002", describe el aumento de las sanciones penales relacionadas con las conspiraciones y los delitos de cuello blanco, y ofrece recomendaciones para la imposición de penas ampliadas. Asimismo, esta sección considera un delito penal el hecho de no certificar los informes financieros empresariales.

Sección 901. Título corto. Sección 902. Tentativas y conspiraciones para cometer delitos penales de fraude La Sección 902 establece que "toda persona que intente, o conspire para, cometer cualquier delito descrito en el presente capítulo estará sujeto a las mismas sanciones previstas para el delito". Sección 903. Sanciones penales por fraude electrónico o postal Sección 904. Sanciones penales por infracción de la Ley de Seguridad del Ingreso de Jubilación de los Empleados de 1974 Sección 905. Modificación de las pautas para la imposición de sanciones por determinados delitos de cuello blanco Sección 906. Responsabilidad de la empresa sobre los informes financieros La Sección 906 también abarca las sanciones penales, incluidos el encarcelamiento y las multas, para los empleados que presenten informes falsos o engañosos que transgredan la SOX. Entre las personas que pueden considerarse responsables se incluyen contratistas, empleados, agentes y ejecutivos.

Título X. Declaraciones de impuestos corporativos

El Título X está compuesto por una sección. La sección 1001 establece que el director ejecutivo debe firmar la declaración de impuestos de la empresa.

Sección 1001. Opinión del Senado respecto de la firma de las declaraciones de impuestos de las empresas por parte de los directores ejecutivos.

Título XI. Responsabilidad por el fraude corporativo

El Título XI consiste en siete secciones. La sección 1101 recomienda que este título se llame "Ley de Responsabilidad por el Fraude Corporativo". Identifica el fraude corporativo y la manipulación de registros como delitos penales y los asocia con sanciones específicas. De igual manera, revisa las pautas de las sentencias y refuerza las sanciones de estas sentencias.

Esto le permite a la SEC recurrir al congelamiento temporal de las operaciones o pagos que se consideraron "importantes" o "inusuales". También creó el delito de obstrucción de un procedimiento oficial.

Sección 1101. Título corto Sección 1102. Manipulación de registros u obstrucción de un procedimiento oficial Sección 1103. Facultad de la Comisión de Valores de los Estados Unidos (SEC) para aplicar congelamientos temporales Sección 1104. Modificación de las Pautas de Sentencia Federales para la imposición de sanciones Sección 1105. Facultad de la Comisión para prohibir que ciertas personas desempeñen el cargo de directivo o director Sección 1106. Aumento de las sanciones penales de conformidad con la Ley de Intercambio de Valores de 1934 Sección 1107. Represalias contra informantes Fortalece las protecciones para los denunciantes, ya que establece sanciones penales federales en forma de multas o encarcelamiento de menos de diez años por cualquier represalia contra cualquier informante.

Historia breve de la SOX

Luego de una oleada de actividades fraudulentas por parte de grandes empresas a principios del siglo XXI, los organismos reguladores gubernamentales sucumbieron a la presión para proteger a los accionistas. La SOX nació de la voluntad de llenar las lagunas contables y eliminar la elaboración de informes financieros deficientes que provocaron quiebras empresariales por el valor de miles de millones de dólares a los inversionistas y afectaron la confianza del público en los mercados de valores estadounidenses.

El proyecto de ley fue aprobado por una abrumadora mayoría tanto en la Cámara de Representantes como en el Senado (es decir, aprobada en la Cámara con 423 votos a favor, 3 en contra y 8 abstenciones, junto con 99 votos a favor y 1 abstención en el Senado). Cuando el presidente George W. Bush firmó la ley SOX, dijo que era "la reforma de mayor alcance con respecto a las prácticas empresariales estadounidenses desde la época de Franklin D. Roosevelt. La era de los bajos estándares y los falsos beneficios ha terminado; ninguna sala de juntas en Estados Unidos está por encima ni puede ir más allá de la ley."

Harvey Pitt, el 26.º presidente de la SEC, dirigió la adopción de las normas de cumplimiento de la SOX. Creó el Consejo de Supervisión de la Contabilidad de Empresas Públicas (PCAOB) para hacer cumplir los requisitos de la SOX. El PCAOB supervisa, regula, inspecciona e instruye las empresas de contabilidad en su función de auditores de empresas públicas.

Por qué el cumplimiento de la SOX es necesario para la empresa

Cumplir con los requisitos de la SOX va más allá de la ejecución de una obligación legal; seguir las normas de la SOX es una buena práctica empresarial. La SOX ofrece un marco de comportamiento ético para las empresas y les permite proteger sus datos confidenciales y financieros. A continuación, se describen otras maneras en que la SOX favorece a las empresas.

Fortalecimiento de la estructura de control

Las empresas mejoran su productividad cuando cumplen los requisitos de la SOX de documentación de controles, incluidos los manuales de operaciones, las políticas de personal y registros de los procesos de control. Esto se debe que muchas organizaciones encuentran deficiencias importantes en la documentación. Mejorar la documentación para que esté al nivel que exige la SOX permite corrigir errores y omisiones, y esto benefician las operaciones en general.

Auditorías eficientes

En la mayoría de las empresas públicas, el cumplimiento de la SOX está a cargo del comité de auditoría o de la dirección ejecutiva, que también cumplen el rol de patrocinadores ejecutivos de los esfuerzos de cumplimiento de la SOX. Para lograr dicho cumplimiento, este grupo cuenta con una visión amplia en términos de gestión de riesgos y elaboración de informes, y utiliza el peso de sus cargos para impulsar mejoras en los procesos con el fin de aumentar el nivel de preparación de la organización para las auditorías. De este modo, el cumplimiento de la SOX fomenta procesos más eficaces y eficientes, que a su vez agilizan los procesos de auditoría, y reducen el tiempo y los costos necesarios para completarlos.

Mejora de la elaboración de informes financieros

El aumento de las normas mínimas requeridas para cumplir con la SOX al eleborar informes financieros da resultados que van más allá de la aprobación de auditorías. Por ejemplo, se pudieron identificar y subsanar todas las brechas importantes gracias a la obligatoriedad de controles internos detallados que demuestren la existencia de actividades de control para todas las afirmaciones relevantes de los informes financieros de todas las cuentas y divulgaciones significativas.

A partir de la entrada en vigor de la SOX, las empresas elaboran informes financieros más fiables y eficientes, lo que significa que se necesita menos tiempo para recopilar datos y realizar correcciones.

Priorización de riesgos

Cumplir los requisitos de la SOX permite a las organizaciones determinar en qué sistemas se deben enfocar, ya que pueden realizar evaluaciones de riesgo que permiten clarificar la exposición al riesgo y los controles existentes. Los esfuerzos pueden centrarse más una vez que se suprimen los sistemas que no necesitan cumplir con la SOX. Dado que, en muchos casos, los requisitos de la SOX son más estrictos que las normas empresariales, el cumplimiento de los mandatos genera una postura de seguridad sólida.

Optimización de operaciones

El cumplimiento de la SOX beneficia a las empresas ya que aumenta la eficiencia de los procesos más allá de las finanzas. Por lo tanto, las empresas que deben cumplir los requisitos de la SOX mejoran su documentación, optimizan sus procesos empresariales y de TI, y disminuyen los costos de auditoría.

Quiénes deben cumplir la SOX

El cumplimiento de la SOX tiene un amplio alcance, pero las empresas privadas, las organizaciones benéficas y las organizaciones sin fines de lucro generalmente no deben cumplir toda la SOX. Las entidades que están obligadas a cumplir los requisitos de la SOX son:

  1. Empresas que cotizan en labolsa
  2. Filiales de propiedad absoluta
  3. Empresas extranjeras que cotizan en bolsa y hacen negocios en EE. UU.
  4. Empresas privadas que tengan pensado hacer una Oferta Pública Inicial (IPO)
  5. Empresas de contabilidad que hacen auditorías a empresas públicas
  6. Empresas d contabilidad y auditoría

Beneficios del cumplimiento de la SOX

  1. Mayor seguridad Los requisitos para la reducción de riesgos y la protección de datos han mejorado la seguridad general de las empresas que deben cumplir la SOX.
  2. Controles internos mejorados El cumplimiento de la SOX les ofrece a las empresas una base para comprender las normas de los controles internos que protegen sus datos y sus negocios.
  3. Eliminación del conflicto de intereses de contabilidad La SOX establece que la empresa encargada de las auditorías no puede ser la misma que se ocupe de la contabilidad.
  4. Gestión de riesgos mejorada El cumplimiento de la SOX posibilita ciertos procesos que permiten a las empresas centrarse en las prioridades de alto riesgo, así como en controles empresariales más apropiados para resolverlas, incluida la integración de la TI y la seguridad en los departamentos aislados.
  5. Disminución del error humano mediante la automatización de procesos Los controles automatizados sustituyen a los procesos manuales propensos a errores, lo que disminuye los errores en gran medida, aumenta la eficiencia y reduce la necesidad de comprobar los controles.
  6. Resultados financieros predecibles Los controles, las pruebas, la automatización y la mayor eficiencia operativa han mejorado la visibilidad y permiten a las empresas predecir sus resultados financieros.
  7. Reducción de la complejidad de la contabilidad En vez de emplear diversas prácticas contables, las empresas usan un sistema centralizado y siguen las mejores prácticas para simplificar los procesos y realizar auditorías con mayor rapidez y menores errores.
  8. Operaciones más fluidas Las mejoras en la documentación aportan mayor claridad a las descripciones de los cargos y ofrecen definiciones exactas de quién se encarga de cada proceso empresarial, lo que optimiza las incorporaciones y ayuda a los empleados a comprender mejor las operaciones y su realización.
  9. Procesos estandarizados Como los procesos estandarizados se pueden evaluar con mayor facilidad y rapidez durante una auditoría de cumplimiento de la SOX, muchas empresas que estandarizaron ciertos procesos en todos los sistemas pudieron ahorrar tiempo y sobresalir en las auditorías.
  10. Optimización de las auditorías El cumplimiento de la SOX proporciona a los equipos de auditoría interna responsabilidades más específicas en cuanto a la elaboración de informes de la SOX, documentación de los datos y pruebas de la SOX.

Desafíos del cumplimiento de la SOX

  1. Cumplir la SOX representa una carga financiera adicional que no está directamente relacionada con los resultados empresariales.
  2. Diseñar e implementar un marco de controles internos para el cumplimiento de la SOX puede ser complejo y suponer una carga para los recursos empresariales.
  3. Establecer nuevos controles internos, crear procesos de información financiera y confirmar la precisión de los informes para cumplir los criterios de la SOX resulta agobiante.
  4. Contratar nuevos empleados y contratistas para que asistan en los procesos de cumplimiento de la SOX es costoso y consume tiempo.
  5. Es difícil implementar controles para las operaciones importantes o no recurrentes, evaluar los controles existentes y responder a las deficiencias y debilidades materiales importantes.
  6. El aumento de las auditorías y las empresas de contabilidad incrementan los costos.
  7. A menudo, la segregación de las tareas contables requiere la incorporación de nuevos miembros.

Requisitos para el cumplimiento de la SOX

En un nivel alto, los requisitos de cumplimiento de la SOX se pueden resumir en un proceso de cuatro pasos:

  1. Proporcionar a la SEC estados financieros que hayan sido auditados por un tercero, que no puede ser la misma empresa encargada de la contabilidad.
  2. Informar al público cualquier cambio material de manera oportuna como se define en los requisitos de cumplimiento de la SOX.
  3. Diseñar, implementar y probar los controles internos en todos los sistemas de TI para garantizar la seguridad de los datos financieros.
  4. Elaborar una declaración anual que informe sobre los controles internos y su adecuación, que debe ser ratificada por la dirección ejecutiva y auditada por un tercero.

Auditorías de cumplimiento de la SOX

Las auditorías de cumplimiento de la SOX están compuestas por cuatro puntos claves: control de acceso, gestión de cambios, respaldo de datos y seguridad de TI.

Control de acceso

Las organizaciones deben implementar controles para garantizar que solo los usuarios autorizados puedan acceder y consultar la información confidencial. Los controles de acceso deben abarcar el acceso físico (p. ej., puertas, cajones de archivos, etc.) y el acceso electrónico (p. ej., credenciales de acceso).

Gestión de cambios

Se deben implementar procesos definidos para añadir y eliminar usuarios, contenido y dispositivos, así como para instalar y actualizar el software. También se debe registrar y guardar una pista de auditoría que indique quién realizó la modificación, qué se cambió y cuándo se llevó a cabo dicha modificación.

Respaldo de datos

Se deben implementar sistemas que garanticen el respaldo —tanto dentro como fuera de la oficina— de todos los registros financieros y datos confidenciales con sistemas de almacenamiento apropiados.

Seguridad de TI

Las empresas deben demostrar que saben con exactitud quién tiene acceso a qué datos y recursos. Asimismo, deben probar que cuentan con las herramientas apropiadas para proteger los datos y evitar filtraciones.

Cumplimiento de la SOX

Desde el punto de vista de TI, se deben implementar los siguientes controles para facilitar el cumplimiento de la SOX:

  1. Control de acceso
  2. Sistemas de respaldo
  3. Gestión de cambios
  4. Seguridad y ciberseguridad
  5. Segregación de tareas

Además, se deben supervisar, registrar y auditar las siguientes actividades:

  1. Actividad de la cuenta
  2. Actividad de la base de datos
  3. Acceso a la información
  4. Actividad interna
  5. Actividad de inicio de sesión
  6. Actividad de la red
  7. Actividad del usuario

Pasos clave para el cumplimiento de la SOX

El cumplimiento de la SOX se puede lograr de manera eficiente y eficaz siguiendo estos pasos:

Establecer un comité de cumplimiento.

  1. Los miembros obligatorios son el CEO, el CFO y los jefes de las principales unidades de negocio.
  2. Entre los miembros recomendados se encuentran los ejecutivos de áreas funcionales (p. ej., finanzas, TI, legal, recursos humanos, etc.).

Evaluar riesgos.

  1. Identificar los tipos y el alcance de los riesgos en las pautas de riesgos de la Junta.
  2. Evaluar los riesgos empresariales dentro de la organización, como:
  3. Riesgos financieros
  4. Riesgos de capital humano
  5. Riesgos normativos y legales
  6. Riesgos operativos
  7. Riesgos estratégicos
  8. Riesgos tecnológicos
  9. Cuantificar cada riesgo (es decir, probabilidad, alcance, impacto potencial, etc.).
  10. Documentar el panorama de riesgos para identificar las interrelaciones.
  11. Desarrollar un plan de gestión de riesgos.

Establecer pautas para los controles.

  1. Definir normas de decisión y objetivos de información para abordar los riesgos.
  2. Correctivas
  3. Detectoras
  4. Preventivas
  5. Establecer objetivos para los controles internos en las siguientes áreas:
  6. Servicios empresariales
  7. Servicios empresariales
  8. Sistemas y recursos
  9. Sistemas y recursos

Desarrollar un plan de implementación.

  1. Definir pasos para la transición desde la etapa de planificación/proyecto hasta la etapa de producción con el fin de respaldar las operaciones diarias en curso.
  2. Garantizar que los empleados tengan lo que necesitan para llevar a cabo los controles internos.
  3. Identificar los factores que afectan la ejecución correcta de los métodos de control interno.

Comunicar los procedimientos en curso.

  1. Explicar su porqué.
  2. Asegurarse de que estén claramente definidos.
  3. Identificar a los expertos en la materia para abordar las preguntas.

Proporcionar capacitación.

  1. Proporcionar los conocimientos y los recursos que necesitan los empleados para respaldar el cumplimiento de la SOX.
  2. Proporcionar los conocimientos y los recursos que necesitan los empleados para respaldar el cumplimiento de la SOX.
  3. Utilizar componentes internos y externos.

Documentar los procesos de la gestión de riesgos.

  1. Desarrollar documentación para todos los controles.
  2. Proporcionar recursos que expliquen por qué se adoptaron los controles.
  3. Escribir descripciones y análisis detallados de los controles con miras a auditorías futuras.

Realizar evaluaciones constantes.

  1. Asegurarse de que los controles funcionen como se espera.
  2. Implementar sistemas que detecten problemas con anticipación.
  3. Aplicar las actualizaciones necesarias para mantener el cumplimiento de la SOX.

Además de EE. UU., ¿existen otros países donde se deban cumplir los requisitos de la SOX?

Después de la aprobación de la SOX, sus principios se incluyeron en las leyes de varios países, por ejemplo:

  1. Canadá (2002)
  2. Alemania (2002)
  3. Países Bajos (2004)
  4. Turquía (2002)
  5. Turquía (2002)
  6. Israel (2006)
  7. Sudáfrica (2002)
  8. Francia (2003)
  9. Australia (2004)
  10. La India (2015)
  11. Italia
  12. Japón
  13. Reino Unido

Lista de cumplimiento de la SOX

A continuación, se presenta una serie de recomendaciones para elaborar una lista básica de cumplimiento de la SOX con preguntas sobre procesos y sistemas clave. Cada organización tiene sus propios requisitos, pero estas recomendaciones permitirán a los equipos a orientarse en varias áreas importantes e identificar las áreas adyacentes, al considerar las preguntas que se apliquen a su caso.

Sistemas de respaldo

  1. ¿Se implementan las políticas y la documentación para regular los sistemas de respaldo?
  2. ¿Se prueban con regularidad las capacidades de restauración?
  3. ¿Qué sistema de validación se implementa para demostrar que las copias de seguridad son precisas e seguras?

Control de acceso a los datos

  1. ¿Se necesitan credenciales únicas de acceso con contraseñas fuertes?
  2. ¿Pueden los usuarios compartir las credenciales?
  3. ¿Se pueden rastrear las sesiones en la red hasta los usuarios individuales?
  4. ¿Cuál es el proceso para actualizar los privilegios de acceso cuando un usuario cambia de función o abandona la organización?
  5. ¿Qué tecnologías se implementaron para rastrear los inicios de sesión y detectar los intentos sospechosos de inicio de sesión en el sistema que se usa para almacenar los datos financieros?
  6. ¿Quién tiene acceso a datos financieros confidenciales?

Informes para registros financieros y empresariales

  1. ¿Se implementan sistemas para registrar y aplicar marcas de fecha en las actividades relacionadas con los datos que sean relevantes para el cumplimiento de la SOX?
  2. ¿Se pueden buscar y filtrar archivos para elaborar informes personalizados?
  3. ¿Dónde se almacenan esos registros? ¿Cuentan con controles para evitar alteraciones?
  4. ¿Facilitan los sistemas existentes la recuperación de los datos desde una gran cantidad de depósitos, incluidos los archivos, el protocolo de transferencia de archivos (FTP) y las bases de datos?
  5. ¿Se mantienen registros sobre quién accedió o modificó datos?

Repuestas a filtraciones de seguridad

  1. ¿Se implementan sistemas de seguridad para supervisar y analizar los datos, identificar cualquier señal de filtración de seguridad, emitir avisos y enviar actualizaciones a un sistema de gestión de incidentes automáticamente?
  2. ¿Existe un plan de incidentes que cuente con un equipo preparado para implementarlo?
  3. ¿Cómo se gestionan los ciberataques (p. ej., phishing, ransomware, etc.)?
  4. ¿Existe algún plan para informar a los auditores las filtraciones de seguridad y el fallo de los controles de seguridad?
  5. ¿Qué sistemas se utilizan para registrar las filtraciones de seguridad y permitirle al personal que registre sus incidentes de resolución?
  6. ¿Cuáles son los procesos para los incidentes en escalada?

Segregación de tareas

  1. ¿Están las funciones de los empleados definidas claramente y comprenden ellos los parámetros?
  2. ¿Se ejecutan protocolos que garanticen la segregación apropiada de tareas (p. ej., un usuario que presente una factura no puede aprobarla él mismo)?
  3. ¿Se utilizan sistemas para prevenir y detectar el fraude (p. ej., malversación de fondos)?
  4. ¿Acata la organización el principio de privilegios mínimos?

Almacenamiento

  1. Si se almacenan los datos en la nube, ¿cumple el nivel de servicio los requisitos de la SOX?
  2. ¿Existe algún plan de gestión de datos que dirija la retención, la protección, el acceso y la destrucción de los datos?

Verificación de las protecciones

  1. ¿Se implementan sistemas que suministran actualizaciones diarias a las partes interesadas de la organización para confirmarles que las medidas de control relacionadas con el cumplimiento de la SOX funcionan apropiadamente?
  2. ¿Se pueden suministrar informes a los auditores y a otros individuos de una manera que solo los puedan ver y no puedan realizar modificaciones?
  3. ¿Cómo se prueban, se verifican y se informan a los auditores las protecciones relacionadas con el cumplimiento de la SOX?
  4. ¿Cómo se crean los informes relacionados con avisos y mensajes urgentes, incidentes de seguridad que ocurrieron y la forma en que se gestionaron?

Soluciones para el cumplimiento de la SOX

Existen muchas soluciones disponibles que ayudan a la empresa a cumplir la SOX. Los tipos de soluciones más utilizados de cumplimiento de la SOX son:

  1. Software para la gestión de accesos Se usa para proteger las redes; limita el acceso externo y gestiona los usuarios internos con el fin de evitar cualquier acceso interno no autorizado.
  2. Solución de respaldo automatizado En caso de catástrofe u otra causa de pérdida de datos, estas soluciones permiten contar con copias de aplicaciones y datos.
  3. Software para la transferencia de archivos Se utiliza para proteger las transferencias de datos, incluido el cifrado, que protege los archivos en movimiento, y la ejecución de normas relacionadas con lo que se puede compartir y a qué se puede acceder.
  4. Software para la gestión de registros Rastrea y registra el acceso a los sistemas y archivos para proporcionar una pista de auditoría e informar a los administradores en caso de que se detecte cualquier actividad inusual.
  5. Software para el cumplimiento de la SOX Estas soluciones llevan a cabo análisis para buscar amenazas a la seguridad y marcarlas, rastrear datos y generar informes.

Los altos riesgos de no cumplir con la SOX

Los riesgos del incumplimiento la SOX son elevados y conllevan responsabilidades personales para los ejecutivos. Un CEO o CFO que presente deliberadamente documentación inexacta durante una auditoría de cumplimiento de la SOX puede recibir una pena de prisión de hasta 20 años, multas de hasta cinco millones de dólares o incluso ambos.

Además, es importante señalar la ignorancia no es una justificación cuando se trata del cumplimiento de la SOX. Si se presenta por accidente información incorrecta durante una auditoría de cumplimiento de la SOX, el CEO o el CFO igualmente puede recibir multas (hasta un millón de dólares) o penas de prisión (hasta 10 años). Además, el incumplimiento de los requisitos de la SOX puede hacer que una empresa pierda su cotización en la bolsa.

El cumplimiento de la SOX exige la máxima atención. La empresa debe tomarse el tiempo para identificar los sistemas que necesita para respaldar los esfuerzos, invertir en la implementación adecuada de los sistemas y procesos, y dedicar los recursos necesarios para continuar el cumplimiento de la SOX e, incluso, mantenerse al tanto de los cambios en la normativa y las soluciones de apoyo.

Asuma el control de su plataforma en la nube.

Obtener más información sobre Identity Security de SailPoint.

 Horizontes de Seguridad de la Identidad 2024-2025

Horizontes de Seguridad de la Identidad 2024-2025

Obtén información para transformar tu programa de identidad mientras comprendes los cinco horizontes de madurez de identidad y descubres en qué nivel se encuentra tu organización.

Leer el informe
Crisis de la identidad de las máquinas: los retos de los procesos manuales y los riesgos ocultos

Crisis de la identidad de las máquinas: los retos de los procesos manuales y los riesgos ocultos

Descubra en este informe por qué las identidades de las máquinas son más numerosas, más difíciles de gestionar, carecen de visibilidad y plantean mayores riesgos de seguridad que las identidades humanas.

Obtener más información
Guía de Mercado Gartner® 2024 para Administración y Gobernanza de Identidades

Guía de Mercado Gartner® 2024 para Administración y Gobernanza de Identidades

Analisis de la investigación que ayuda a los líderes en seguridad y gestión de riesgos, encargados de la gestión de identidades y accesos (IAM), a navegar en el dinámico mercado de la gestión de la gobernanza de identidades (IGA) y a mejorar su toma de decisiones.

Obtener más información