Sarbanes-Oxley o SOX

¿A qué se refiere la Ley Sarbanes-Oxley?

Sarbanes-Oxley, o SOX, se refiere a una serie de regulaciones financieras y de valores promulgadas en 2002. La Ley SOX añadió nuevos niveles de sanciones penales para cualquier persona culpable de infringir las leyes sobre valores, tanto las incluidas en la SOX como otras leyes financieras. Las normas establecidas por la SOX exigían una contabilidad más estricta y añadían obligaciones de cumplimiento a los directivos de las empresas, los auditores y el personal contable.

¿Por qué el Congreso aprobó esta ley?

La ley Sarbanes-Oxley se aprobó en respuesta a varios escándalos financieros de alto nivel. Uno de los más notables fue el escándalo de Enron, que supuso la quiebra de una enorme (y aparentemente estable) empresa y las repercusiones en toda la economía del país.

Las empresas de Enron incluían compañías e inversiones en sectores como el petróleo, el gas, el papel, las comunicaciones, la electricidad y las centrales eléctricas. Era un negocio global, pero se declaró en bancarrota repentinamente en 2001. Durante las repercusiones financieras relacionadas con Enron, quedó claro que se habían inflado los informes de beneficios y se habían producido otros fraudes y malversaciones.

Enron y otros escándalos relacionados con el fraude y la manipulación de informes hicieron que el Congreso se replanteara los procesos de información necesarios para las corporaciones y empresas públicas. Esto condujo a la Ley Sarbanes-Oxley cuyo objetivo era crear más seguridad para los inversores y proteger los intereses financieros de la nación en general.

¿Por qué se llama Ley Sarbanes-Oxley?

Como muchas leyes federales, la SOX toma su nombre de sus patrocinadores legislativos. Fue un planteamiento bipartidista, y los patrocinadores fueron el senador Paul S. Sarbanes, demócrata de Maryland, y el congresista Michael G. Oxley, republicano de Ohio.

El papel de los departamentos financieros y legales de las empresas

La ley Sarbanes-Oxley no es una ley pequeña, lo que hace que sea difícil de entender y tener en cuenta todas las facetas de la ley cuando se crean informes o se toman decisiones financieras. Por ello, muchas empresas hacen que el cumplimiento de la SOX sea competencia de los mismos departamentos que gestionan otros tipos de cumplimiento normativo, como PCI o HIPAA.

Los departamentos de finanzas y de cumplimiento normativo trabajan juntos para:

• Entender cómo afecta la SOX a la organización.
• Desarrollar la formación sobre el cumplimiento de la SOX para todos los departamentos y el personal necesarios.
• Supervisar los informes y las tareas financieras para garantizar el cumplimiento de la ley SOX.
• Gestionar las líneas de información internas para aquellos que quieran informar de un posible problema con la ley SOX.
• Responder a las preocupaciones sobre cuestiones relacionadas con la SOX.
• Llevar a cabo auditorías de varios procesos para ayudar a garantizar que la empresa cumple con la ley SOX.

A veces, estos departamentos y procedimientos se engloban bajo el título de Gestión de Riesgos.

Las empresas más pequeñas que no tienen la capacidad de gestionar el cumplimiento de la SOX a través de un departamento existente pueden necesitar trabajar con socios empresariales externos, incluyendo abogados, consultores de gestión de riesgos o contables, para este fin. Aquí es donde suele ser importante el papel de un sistema de gestión de documentos de conformidad.

Disposiciones importantes de la ley Sarbanes-Oxley

Las disposiciones de la ley Sarbanes-Oxley suelen denominarse por su número de sección. Por ejemplo, la sección 302 responsabiliza a los directores financieros y de operaciones de la exactitud de los informes presentados y de los controles financieros internos de la organización. Esta sección exige que un ejecutivo de la C-suite firme los archivos y otros informes relacionados, indicando que ha leído todo el informe y cree que todo lo que contiene está bien fundado y es preciso.

Otras disposiciones importantes de la SOX son, entre otras, las siguientes:

• La sección 401 exige que los informes financieros sean precisos y vayan acompañados de cierta documentación de apoyo, como las transacciones fuera de balance y los pasivos. Uno de los propósitos de la Sección 401 es garantizar que los informes registrados públicamente por las empresas incluyan una imagen más completa de la salud financiera y que sea menos probable que las transacciones queden ocultas fuera del informe.
• La Sección 404 exige que los informes financieros anuales vayan acompañados de una declaración de control interno. En concreto, la dirección tiene que verificar que tiene el nivel adecuado de control interno sobre los procesos financieros e informar de las deficiencias en este sentido. Esta sección es compleja y a menudo difícil de aplicar, ya que requiere una documentación y un proceso de auditoría sólidos y conformes.
• La sección 806 es la disposición sobre los denunciantes. Si un empleado de una empresa que cotiza en bolsa o de una filial denuncia un posible fraude u otra actividad ilegal en virtud de la SOX, está protegido. La sección 806 define los tipos de denuncias que se consideran protegidas, y que incluyen la denuncia de fraude contra los accionistas, el incumplimiento de las normas de la SEC y el fraude federal por correo o bancario.
• El artículo 1107 protege aún más a los denunciantes al tipificar como delito las represalias contra ellos.
• El artículo 802 establece la posibilidad de sanciones penales si se descubre a alguien alterando documentos relacionados con las actividades financieras de la empresa o con la presentación de informes. Esto incluye la falsificación de registros, la destrucción de documentos de apoyo críticos y la influencia o la obstaculización de una investigación.

¿Cuáles son las sanciones por incumplimiento de la SOX?

Las sanciones por no cumplir con la ley Sarbanes-Oxley pueden ser duras. El artículo 906 contempla las sanciones en caso de que alguien certifique (mediante su firma) un informe financiero fraudulento o engañoso. Si se le acusa de este delito y se le declara culpable, podría enfrentarse a 20 años de prisión y a una multa de hasta 5 millones de dólares. Otras secciones de la ley cubren diferentes actos financieros criminales, a menudo enumerando penas potenciales que son similares en su alcance.

Buenas prácticas para garantizar el cumplimiento de la SOX

La concienciación y la formación están a la vanguardia de las mejores prácticas para garantizar que las organizaciones cumplan con la ley Sarbanes-Oxley. Los ejecutivos de la alta dirección deben ser conscientes de sus responsabilidades en virtud de la ley, y el personal de contabilidad y finanzas obviamente necesita saber cómo seguir cumpliendo. Pero los empleados de toda la organización deben entender qué es la ley Sarbanes-Oxley y si tienen algún papel que desempeñar en su cumplimiento.

Otras buenas prácticas podrían ser:

• Crear procesos sólidos de gestión documental que permitan controlar quién puede acceder a ellos y modificarlos.
• Ciertos tipos de documentos deben conservarse en una organización durante un número de años legalmente establecido antes de que se permita su eliminación. El uso de un sistema de gestión de documentos que proporcione las herramientas de flujo de trabajo para decretar la protección o destrucción en momentos predeterminados es clave para cumplir la normativa.
• Mantener un registro de todos los accesos y versiones de los documentos con fines de auditoría.
• Automatizar las tareas rutinarias para reducir la probabilidad de que un error humano pueda dar lugar a una infracción de la SOX.