Sarbanes-Oxley Sección 404
Enviado por maavendano1 • 18 de Marzo de 2013 • 3.554 Palabras (15 Páginas) • 490 Visitas
Sarbanes-Oxley Sección 404
La punta del Iceberg del Cumplimiento
Introducción
Desde su publicación en el 2002, la Ley Sarbanes-Oxley (SOX) ha enfatizado el propósito de la gobernabilidad de las empresas en lo concerniente al cumplimiento de las leyes y regulaciones. Las empresas han invertido miles de horas en la preparación de sus primeros intentos para obtener certificaciones "no calificadas" de sus contadores públicos. Estas certificaciones son requeridas para sustentar las declaraciones del directorio referidas a la efectividad general de la estructura de control interno, de acuerdo a lo regulado en la sección 404 de la Ley.
Dado que la primer fecha límite es Diciembre 2004, muchos CEOs y CFOs creen haber transitado adecuadamente el curso que la ley les ha propuesto.
Pero, los esfuerzos corporativos para cumplir con las regulaciones de la sección 404, ¿proveen suficiente información para evitar imprevistas complicaciones debidas a eventos de incumplimiento? ¿O han tratado únicamente con la punta del iceberg del cumplimiento?
Estado actual
Tal como se ha dramatizado en los principales títulos, los inversores corporativos se han visto negativamente sorprendidos por los alegatos de quiebres de control en los "líderes" (estandartes) del mundo de las inversiones. Dadas las nebulosas y las ramificaciones de algunas transacciones, los ejecutivos están crecientemente sensibilizados con la dificultad de asegurar si los controles son adecuados para monitorear efectivamente todas las actividades relacionadas. Más aún, el dinamismo de una economía global, agrega un desafío adicional a la habilidad de la organización para evaluar y asegurar la efectividad general de su ambiente de control. Estos hechos conducen a una cuestión fundamental: ¿Cómo puede Ud. conocer si su ambiente de control es efectivo, sin un completo entendimiento tanto de la profundidad de cumplimiento requerida como la adecuación de su proceso de medición?
¿Letra o espíritu?
Numerosos comentarios de individuos claves, inclusive los agentes de la SEC (Security Exchange Commission), han aclarado que la ley SOX no intenta, como finalidad principal, el reaseguramiento de las operaciones de las organizaciones para la inversión pública, ni para el gobierno federal. En realidad, la ley tiene como finalidad, expresamente: el establecimiento de una estructura de control integrada, tal como fue definido en el Informe COSO, emitido por el Committee on Sponsoring Organizations of Treadway Commission. Por su diseño, este marco (COSO) cubriría todos los aspectos de la ley como parte de la definición general de gobernabilidad corporativa.
A pesar de este hecho, muchas organizaciones han respondido estricta y tácticamente a los mandatos del cumplimiento de la Sección 404 con "Certificaciones en cascada" que requieren a todos los niveles de la administración, desarrollar el mismo nivel de certificación requerida para los CEOs y para los CFOs, en los informes anuales y trimestrales para la SEC. También, muchos han adoptado la filosofía de "esperar y ver" relacionada con los componentes estratégicos más lejanos de la ley, tales como la publicación de guías y consejos, protocolos de comentarios y anuncios, y la incorporación de una estructura de control uniforme basada en COSO a lo largo de todos los procesos financieros y no financieros de las organizaciones.
(Corporate Governance and Independence Monitoring Function, 10/1/2003, CFO Project Volume 2)
Para tomar certeza sobre la profundidad del "iceberg del cumplimiento", debe comenzarse con la intención gerencial de cumplir con el espíritu más que con la letra de la ley SOX. La Administración debe decidir si establece un adecuado y efectivo entorno de control basado en la estructura de control interno de acuerdo con el "espíritu" del Informe COSO o basarse en lo requerido específicamente en cada sección de la ley. ( lo "escrito" ).
Figura 1: Iceberg del Cumplimiento
Tal como se observa en la Figura 1, las organizaciones enfocadas exclusivamente en el cumplimiento de las Secciones 404 y 302 se ocupan meramente de la punta del iceberg. La verdadera adhesión al COSO, requiere una adecuada medición de niveles adicionales --otras secciones de SOX, otras regulaciones, acuerdos con prestadores, definición de postulados de la misión, políticas, procedimientos, tareas, y eventos de control únicos y exclusivos-- como parte del "proceso de monitoreo" de COSO que se desarrolla. (Observe la Figura 2 para visualizar la descripción de monitoreo de los niveles del Cubo de COSO). Esto significa que una vez que la administración decide cumplir con el espíritu más que con la letra de la ley, en primer lugar, debe determinar cuánto de lo que ya ha sido realizado para preparar el cumplimiento de la Sección 404, puede ser usado para evaluar y cuantificar los controles actuales.
El estado actual del cumplimiento de la sección 404
Desde el inicio de las actividades para preparar el cumplimiento con la Sección 404, han surgido una cantidad de metodologías "ad hoc". Redefinidos por ensayo y error, estos procesos han sido adoptados con varios propósitos en la mayoría de las organizaciones. Incluyen los siguientes pasos:
1. Evaluar el estado actual de los controles de la organización en los procesos claves.
2. Asegurarse de que el estado actual es adecuado en términos de fortaleza y documentación de los controles; donde los mismos no se encuentran o son inadecuados, desarrollarlos desde la base.
3. Contar con organismos o individuos independientes de los trabajos realizados en el paso 2, que testen la efectividad de los controles, corrijan las deficiencias donde sea necesario, y luego los vuelvan a probar.
4. Informar los resultados de los tres pasos anteriores para preparar la carta de declaración de la gerencia como se indica en al Sección 404, y proveer esos resultados a los auditores externos para la certificación de esa declaración.
Desafortunadamente, estas fases claves no han sido uniformemente implementadas a lo largo de todas las empresas. Abundan las historias preventivas que relatan cómo las organizaciones han salteado la fase de evaluación y comenzaron el paso de documentación; o han autorizado a los mismos organismos o personas que desarrollaron el trabajo requerido por el paso 2 para testearlo en el paso 3. En ambos casos, esas inconsistencias han resultado en costos adicionales a la organización, ya sea en redefinir los alcances o en rehacer completamente el trabajo de la 404.
Finalmente, y más importante, el trabajo llevado a cabo hasta la fecha en el paso
...