Sarbanes-Oxley Sección 404
La punta del Iceberg del Cumplimiento

Introducción

Desde su publicación en el 2002, la Ley Sarbanes-Oxley (SOX) ha enfatizado el propósito de la gobernabilidad de las empresas en lo concerniente al cumplimiento de las leyes y regulaciones. Las empresas han invertido miles de horas en la preparación de sus primeros intentos para obtener certificaciones "no calificadas" de sus contadores públicos. Estas certificaciones son requeridas para sustentar las declaraciones del directorio referidas a la efectividad general de la estructura de control interno, de acuerdo a lo regulado en la sección 404 de la Ley.
Dado que la primer fecha límite es Diciembre 2004, muchos CEOs y CFOs creen haber transitado adecuadamente el curso que la ley les ha propuesto.
Pero, los esfuerzos corporativos para cumplir con las regulaciones de la sección 404, ¿proveen suficiente información para evitar imprevistas complicaciones debidas a eventos de incumplimiento? ¿O han tratado únicamente con la punta del iceberg del cumplimiento?


Estado actual

Tal como se ha dramatizado en los principales títulos, los inversores corporativos se han visto negativamente sorprendidos por los alegatos de quiebres de control en los "líderes" (estandartes) del mundo de las inversiones. Dadas las nebulosas y las ramificaciones de algunas transacciones, los ejecutivos están crecientemente sensibilizados con la dificultad de asegurar si los controles son adecuados para monitorear efectivamente todas las actividades relacionadas. Más aún, el dinamismo de una economía global, agrega un desafío adicional a la habilidad de la organización para evaluar y asegurar la efectividad general de su ambiente de control. Estos hechos conducen a una cuestión fundamental: ¿Cómo puede Ud. conocer si su ambiente de control es efectivo, sin un completo entendimiento tanto de la profundidad de cumplimiento requerida como la adecuación de su proceso de medición?


¿Letra o espíritu?

Numerosos comentarios de individuos claves, inclusive los agentes de la SEC (Security Exchange Commission), han aclarado que la ley SOX no intenta, como finalidad principal, el reaseguramiento de las operaciones de las organizaciones para la inversión pública, ni para el gobierno federal. En realidad, la ley tiene como finalidad, expresamente: el establecimiento de una estructura de control integrada, tal como fue definido en el Informe COSO, emitido por el Committee on Sponsoring Organizations of Treadway Commission. Por su diseño, este marco (COSO) cubriría todos los aspectos de la ley como parte de la definición general de gobernabilidad corporativa.
A pesar de este hecho, muchas organizaciones han respondido estricta y tácticamente a los mandatos del cumplimiento de la Sección 404 con "Certificaciones en cascada" que requieren a todos los niveles de la administración, desarrollar el mismo nivel de certificación requerida para los CEOs y para los CFOs, en los informes anuales y trimestrales para la SEC. También, muchos han adoptado la filosofía de "esperar y ver" relacionada con los componentes estratégicos más lejanos de la ley, tales como la publicación de guías y consejos, protocolos de comentarios y anuncios, y la incorporación de una estructura de control uniforme basada en COSO a lo largo de todos los procesos financieros y no financieros de las organizaciones.
(Corporate Governance and Independence Monitoring Function, 10/1/2003, CFO Project Volume 2)

Para tomar certeza sobre la profundidad del "iceberg del cumplimiento", debe comenzarse con la intención gerencial de cumplir con el espíritu más que con la letra de la ley SOX. La Administración debe decidir si establece un adecuado y efectivo entorno de control basado en la estructura de control interno de acuerdo con el "espíritu" del Informe COSO o basarse en lo requerido específicamente en cada sección de la ley. ( lo "escrito" ).

Figura 1: Iceberg del Cumplimiento

Tal como se observa en la Figura 1, las organizaciones enfocadas exclusivamente en el cumplimiento de las Secciones 404 y 302 se ocupan meramente de la punta del iceberg. La verdadera adhesión al COSO, requiere una adecuada medición de niveles adicionales --otras secciones de SOX, otras regulaciones, acuerdos con prestadores, definición de postulados de la misión, políticas, procedimientos, tareas, y eventos de control únicos y exclusivos-- como parte del "proceso de monitoreo" de COSO que se desarrolla. (Observe la Figura 2 para visualizar la descripción de monitoreo de los niveles del Cubo de COSO). Esto significa que una vez que la administración decide cumplir con el espíritu más que con la letra de la ley, en primer lugar, debe determinar cuánto de lo que ya ha sido realizado para preparar el cumplimiento de la Sección 404, puede ser usado para evaluar y cuantificar los controles actuales.

El estado actual del cumplimiento de la sección 404
Desde el inicio de las actividades para preparar el cumplimiento con la Sección 404, han surgido una cantidad de metodologías "ad hoc". Redefinidos por ensayo y error, estos procesos han sido adoptados con varios propósitos en la mayoría de las organizaciones. Incluyen los siguientes pasos:

1. Evaluar el estado actual de los controles de la organización en los procesos claves.
2. Asegurarse de que el estado actual es adecuado en términos de fortaleza y documentación de los controles; donde los mismos no se encuentran o son inadecuados, desarrollarlos desde la base.
3. Contar con organismos o individuos independientes de los trabajos realizados en el paso 2, que testen la efectividad de los controles, corrijan las deficiencias donde sea necesario, y luego los vuelvan a probar.
4. Informar los resultados de los tres pasos anteriores para preparar la carta de declaración de la gerencia como se indica en al Sección 404, y proveer esos resultados a los auditores externos para la certificación de esa declaración.

Desafortunadamente, estas fases claves no han sido uniformemente implementadas a lo largo de todas las empresas. Abundan las historias preventivas que relatan cómo las organizaciones han salteado la fase de evaluación y comenzaron el paso de documentación; o han autorizado a los mismos organismos o personas que desarrollaron el trabajo requerido por el paso 2 para testearlo en el paso 3. En ambos casos, esas inconsistencias han resultado en costos adicionales a la organización, ya sea en redefinir los alcances o en rehacer completamente el trabajo de la 404.
Finalmente, y más importante, el trabajo llevado a cabo hasta la fecha en el paso 4 como el resultado de ese proceso no ha sido substanciado como el producto apropiado, dado que los Standards finales de Pruebas no han sido desarrollados aún por ningún auditor. (Norma # 2 del PCAOB)

¿Cuánto es suficiente?

Independientemente de la cantidad de esfuerzos ya insumidos en preparase para la Sección 404, la respuesta a esta pregunta fundamental expuesta anteriormente --¿Cómo puede conocer si su ambiente de control es efectivo, sin un pleno entendimiento de la profundidad de cumplimiento necesario y la adecuación de su proceso de medición y evaluación?-- puede "no ser suficiente", dado que se relaciona al cumplimiento íntegro y completo de la ley SOX.
Muchas organizaciones enfocadas únicamente en el cumplimiento de la Sección 404, han contratado firmas de servicios o software orientados al tema, que esencialmente proveen un producto para el informe 404. Las deficiencias significativas de este enfoque --que falla en asegurar que el producto será el cumplimiento y adecuación al Informe COSO, tal como es estipulado en las normativas emitidas hasta la fecha por el Public Company Accounting Oversight Board (PCAOB)-- aparecerán inmediatamente en los esfuerzos requeridos para recrear ese trabajo, tanto para cumplimentar las futuras declaraciones anuales de la 404, como para obtener las certificaciones trimestrales de la 302. Tal como se muestra en la Figura 1, el cumplimiento de COSO se extiende a los niveles inferiores de las secciones de la ley --a todo lo largo de las actividades de control individuales dentro de la organización. Para lograr el cumplimiento integral y completo regulado por la ley, una organización debe tomar un enfoque fundado en los elementos del Cubo COSO.

El marco COSO de Control interno

El Informe titulado "Internal Control-Integrated Framework" (Control Interno-Estructura Integrada), fue encomendado por el Committee on Sponsoring Organizations of the Treadway Commission (COSO). Estableció una definición común de control interno que cubre las necesidades de varios interesados, no solamente por evaluar los sistemas de control, sino también para determinar cómo se puede mejorarlos.

Figura 2: El impacto de Sarbanes-Oxley en el Modelo COSO


Tal como fuera originalmente publicado, el Informe COSO fue considerado como un enfoque voluntario para implementar las mejores prácticas dado que se refieren a un ambiente de control sano. Sin embargo, con el surgimiento de la ley SOX y la mayor clarificación provista por la SEC y el PCAOB, el Informe COSO se ha establecido como el parámetro de comparación para determinar el cumplimiento con la ley. Y más importante aún, dado que otros aspectos de la ley son definidos más claramente o se convierten en aplicables, los componentes del Informe COSO tomaron aún más importancia. Los mismos cubren, no solamente los controles necesarios para adecuarse a las regulaciones para los informes económico-financieros, sino que, además claramente identifican los controles operativos, que se transformaran en críticos para la evaluación precisa y la exposición de todos los temas sujetos a análisis de acuerdo a las normas, ya sean de naturaleza económico-financieros como operacionales.
El aspecto más pertinente del Informe COSO es su establecimiento, por primera vez, de una definición universal de control interno:

Control Interno es ampliamente definido como un proceso desarrollado por el Directorio de una entidad, por su gerencia y demás personal, designado para proveer razonable aseguramiento relacionado con el logro de objetivos en las siguientes categorías:

  • Efectividad y Eficiencia de las operaciones
  • Confiabilidad en la Información Económico-Financiera
  • Adecuado cumplimiento de las leyes y regulaciones aplicables

    El control interno consiste en cinco componentes interrelacionados. Los mismos son derivados de la modalidad en la que la administración maneja su negocio, y están integrados con los procesos administrativos. Los componentes son: Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y Comunicación y Monitoreo

Las siguientes secciones brindan una breve visión de la naturaleza, la importancia y los conductores primarios de cada componente de control citados en el informe.

Ambiente de Control

El ambiente de control establece el tono de la organización, influencia la conciencia del control de su gente, y sirve como fundamento disciplinario y estructural para todos los otros componentes del control interno. Los factores claves en ese ambiente incluyen la integridad, los valores éticos, y la competencia de sus empleados; la filosofía de la gerencia y su estilo operativo; la manera en que la gerencia asigna la autoridad y las responsabilidades y organiza y desarrolla a su gente; y la atención y dirección que les brinda el Directorio.
¿Qué significa esto para una organización? El ambiente de control es el punto de partida para determinar si la decisión de la gerencia ejecutiva de cumplir con la Ley Sarbanes-Oxley será percibida como un ejercicio del “espíritu” o de la “letra” de la ley. Las organizaciones que decidan establecer el cumplimiento sólo con la letra de la ley, pueden razonablemente quedar cortos con las expectativas de la SEC y la PCAOB en algún punto futuro, y deberán afrontar las posibles consecuencias negativas de esa actitud. Dada esta probabilidad, un enfoque mucho más prudente sería reconocer que, dado que el control interno es responsabilidad del management, debe ser activamente ejercido por todas las personas relacionadas con la organización. Este tono debería ser reflejado en las declaraciones de la misión, las políticas de ética, las pautas para la revelación de eventos, y para la mesa directiva, los comités de auditoría y los estatutos de auditoría interna.

Los conductores principales de este componente incluyen al Directorio, al CEO y al CFO.

Evaluación de Riesgos

Cada entidad enfrenta riesgos internos y externos que deben ser cuidadosamente investigados. Una precondición para una evaluación de riesgos efectiva, es establecer objetivos que estén relacionados en los diferentes niveles, y que sean internamente consistentes. La evaluación de riesgos identifica y analiza riesgos que pueden afectar el logro de dichos objetivos. También provee una base para determinar cómo los riesgos deben ser manejados.
Debido a que las condiciones económicas, industriales, legales y operativas están siempre sujetas a cambios constantes, se necesitan mecanismos para identificar y manejar los riesgos especiales asociados con esos cambios.
Lo que esto significa para una organización es que el manejo del riesgo, primariamente exclusivo de los auditores internos y agentes de seguros, ha tomado un rol clave en la Dirección. En efecto, más y más corporaciones están tomando conciencia de su importancia estratégica a través de la designación de un Ejecutivo de Manejo de Riesgos (CRO – Chief Risk Officer) para dar a este componente del COSO la atención que merece. Irónicamente, muchos gerentes operacionales se han enfrentado por primera vez a políticas de evaluación de riesgos, y rápidamente descubren lo poco que queda de sus responsabilidades previas, involucrando la consideración del componente “qué pasa si”. Y aún, como muchos inmediatamente reconocen, sólo una evaluación realista del potencial impacto de un resultado negativo puede llevar a un claro entendimiento de los pasos necesarios para mitigar ese riesgo.
Las condiciones siempre cambiantes del mundo de los negocios hacen de la evaluación de riesgos una actividad dinámica y permanente. Requiere de la implementación de un proceso definido para guiar a la organización a través de la definición de áreas claves de riesgo, puntualizar riesgos específicos en esas áreas, evaluar la probabilidad y severidad de cada riesgo, e identificar los recursos que se requieren para mitigarlos a un nivel aceptable. Ahora más que nunca, las realidades de una comunidad de negocios global generan la habilidad para controlar todos los riesgos significativos, esencial para el éxito de una organización.

Los conductores principales de este componente incluyen al CEO, al CFO, CRO, COO, gerencia operativa y al auditor interno.

Actividades de Control

Las actividades de control son las políticas y procedimientos que expresan las directivas de la gerencia. Ellos aseguran que se tomen las acciones necesarias para mitigar los riesgos que amenazan el cumplimiento de los objetivos de la organización. Las actividades de control ocurren en toda la organización, en todos los niveles y en todas las funciones. Ellos son tan diversos como aprobaciones, autorizaciones, verificaciones, reconciliaciones, revisiones de los resultados operativos, seguridad de activos, y segregación de funciones.
La importancia organizacional de las actividades de control se relaciona con el hecho de que muchos de los esfuerzos (y gastos) que las corporaciones han dedicado para lograr el cumplimiento de la sección 404, hasta ahora han sido para identificar y documentar estos componentes del COSO. Más aún, muchos –si no todos-- de esos esfuerzos han estado limitados a los controles financieros, ya que pertenecen a la producción de los estados financieros. Como se demostró en la Figura 1, será evidente para muchos gerentes que la siguiente tarea monumental requerida por la ley será la inclusión de las otras dos áreas de control: operaciones de negocio y cumplimiento de las normativas. El esfuerzo requerido para lograr una adecuada documentación en estas áreas adicionales dependerá de la madurez que se haya alcanzado previamente en los controles generales.

Los conductores principales de este componente incluyen al CFO, CRO, COO, y la gerencia operativa.

Información y Comunicación

La información pertinente debe ser identificada, capturada, y comunicada en una forma y dentro de un plazo que anime a la gente a llevar a cabo sus responsabilidades. Los sistemas de información generan reportes sobre temas operacionales, financieros y relacionados con el proceso de cumplimiento, que hacen posible tener en marcha y controlar al negocio. Ellos proveen no solo datos generados internamente, sino también información sobre eventos externos, actividades y condiciones necesarias para una toma de decisiones bien informada y para el reporte externo. La comunicación efectiva también debe ocurrir en un sentido amplio, fluyendo hacia abajo, a lo ancho y hacia arriba en la organización. Todo el personal debe recibir un mensaje claro de la alta gerencia que las responsabilidades de control deben ser tomadas seriamente. Los trabajadores deben entender no sólo su propio rol en el sistema de control interno, sino cómo las actividades individuales se relacionan con el trabajo de los otros. Ellos deben tener un medio para comunicar información significativa hacia arriba. También necesitan ser efectivos en la comunicación con terceros como clientes, proveedores, entes regulatorios y accionistas.
Lo que esto significa para una organización es que no es suficiente con sólo documentar las actividades de control identificadas en el ejercicio de cumplimiento de la sección 404. Estas deben ser efectivamente comunicadas a las bases, junto con un “tono en la cúpula” que refuerce el hecho de que el control es un trabajo de todos.
Adicionalmente, mientras toma efecto la sección 409 (oportunidad de los reportes) muchas organizaciones serán forzadas a evaluar nuevamente la efectividad de sus sistemas de comunicación internos, con un énfasis en cómo estos sistemas aseguran que la información es comunicada, procesada y transmitida en una forma eficiente y oportuna.

Los conductores principales de este componente incluyen al CFO, CIO, así como a la gerencia operativa.

Monitoreo

Los sistemas de control interno necesitan ser monitoreados a través de un proceso que asegure la calidad de cada sistema a lo largo del tiempo. El proceso debe incorporar actividades de monitoreo constantes, evaluaciones independientes, o una combinación de ambas. El monitoreo constante ocurre en el curso de las operaciones. Incluye actividades regulares de supervisión y management, junto con otras acciones que el personal toma mientras desarrolla sus tareas. El alcance y la frecuencia de las evaluaciones independientes dependerán primariamente de la evaluación de riesgos y de la efectividad de los procedimientos de monitoreo. Las deficiencias de control interno deberán ser reportadas inmediatamente, y los problemas serios reportados a la alta gerencia y a la Mesa Directiva.

Lo que esto significa para una organización es que, el factor de éxito más significativo para lograr el cumplimiento con un marco de control COSO, es la habilidad para medir la profundidad y consistencia del cumplimiento con los controles individuales de la organización. Como cualquier auditor interno puede testificar, hay tres estadios que definen las actividades típicas de una organización:

  • La visión del equipo de dirección
  • La forma en que esa visión es traducida en políticas y procedimientos
  • Qué es lo que hacen realmente en el día a día los trabajadores

Generalmente, estos tres estados –que deberían ser idénticos—reflejan grados variables de consistencia dentro de la organización. Esta consistencia puede estar típicamente atada al componente más pasado por alto y menos utilizado del marco COSO: la función de monitoreo. Más importante, en un ambiente que aún arrastra declaraciones de la naturaleza de Enron y WorldCom, la evaluación independiente mencionada anteriormente ha asumido un rol de creciente importancia en el aseguramiento por parte de la organización a sus inversores, de que se toma el concepto de gobernabilidad seriamente. Por ello, y en oposición al monitoreo estático y esporádico que se hacía en el pasado, es necesario que los sistemas provean a la gerencia la confianza en que el monitoreo en tiempo real está ocurriendo en todos los controles claves de cada proceso – financiero, operacional y regulatorio.
Los marineros ansiosos deben confiar en los sistemas manuales para medir la profundidad de un iceberg. Con la aparición de las sondas de navegación, o SONAR, la tecnología ha provisto medidas confiables y en tiempo real. Haciendo un paralelo con la navegación, la tecnología puede mejorar significativamente la habilidad de la organización para medir tanto la profundidad como la consistencia del cumplimiento de los controles. Evaluando el retorno de la inversión en mejoras tecnológicas, la gerencia debe comparar los costos de esa tecnología contra los costos de mano de obra requerida para llevar a cabo las mediciones manualmente, y los riesgos asociados con los controles inadecuados que no están funcionando en forma continua.

Los conductores principales de este componente incluyen al CEO, CFO, CRO, CIO, y COO; la gerencia operativa y a los auditores internos y externos.

Las influencias de la marea

Algunas experiencias claves tomadas de las múltiples historias surgidas en la lucha por el cumplimiento de SOX se refieren a las áreas de planificación y a la madurez de los controles de la organización.

Cualquiera de estas “influencias de la marea” puede afectar significativamente la efectividad –y la efectividad de costos-- de las mediciones que tiene la organización sobre la profundidad de sus esfuerzos puestos en lograr el cumplimiento. Como ejemplo, los esfuerzos invertidos por muchas organizaciones, sólo en cumplir con la sección 404, se ha estimado en más de 5000 horas de trabajo interno, con un gasto estimado desde USD 500.000 hasta varios millones. Estas cifras subrayan la vital importancia de asegurar que se lleve a cabo un enfoque metódico para determinar la profundidad del trabajo a realizar para alcanzar el cumplimiento de la organización, y establecer en forma realista tanto el grado de madurez de control de la misma, como el objetivo a lograr una vez que el proceso esté completo.

Figura 3: Modelo de Madurez del Control Interno

Conclusión

Aunque muchas organizaciones confían en que alcanzarán las exigencias de la sección 404 de la ley SOX, esta confianza se desvanece exponencialmente cuando se les consulta si se consideran “cumplidores COSO” en todos los aspectos del iceberg que significa el cumplimiento de la ley. Muchos podrían tomar cuenta de un grado aún menor de confianza que –dada la naturaleza cambiante del entorno corporativo y regulatorio-- el trabajo que se lleve a cabo en la primera certificación para 404, resulte satisfactorio para el futuro o para las certificaciones de la sección 302. Este hecho plantea una segunda pregunta fundamental: una que todos los ejecutivos corporativos deben estar haciéndose hoy. “Teniendo en cuenta que el cumplimiento del 404 es sólo la punta del iceberg, ¿cómo puedo mejorar mi nivel de confianza respecto a satisfacer completamente la necesidad de cumplir con el espíritu (o el cumplimiento completo del COSO) de la ley Sarbanes-Oxley?

Traducción de Ana Zanussi, CIA y Leticia Quiroga, CIA

VERSIÓN COMPATIBLE CON IMPRESORA   

Autor:
Dwayne Jorgersen
CIA, CFE, Director, CTG SOX Services Practice
dwayne.jorgensen@ctg.com

Es el Director de servicios de Sarbanes-Oxley para CTG, una compañía internacional de tecnología de la información y empleos. Ha servido como Director de Servicios de Auditoría para una firma de servicios Norteamericana; como principal de una larga lista de consultoras, donde encabezó la práctica del outsourcing de procesos de negocio; y como Director de Auditoría Interna y Secretario del Comité de Auditoría de un holding. Es miembro de The Institute of Intenal Auditors y de la Asociación de Examinadores Certificados de Fraude.