El cumplimiento de la SOX es el acto de atenerse a los requisitos de información financiera, seguridad de la información y auditoría de la Ley Sarbanes-Oxley (Ley SOX), una ley estadounidense cuyo objetivo es prevenir el fraude corporativo.
Para cumplir con la SOX, las empresas públicas que hacen negocios en EE. UU. deben:
- implementar controles internos para proteger los datos financieros de manipulaciones.
- presentar informes periódicos ante la Comisión de Bolsa y Valores (SEC) que acrediten la eficacia de los controles de seguridad y la precisión de las divulgaciones financieras.
- pasar una auditoría anual independiente de sus estados financieros y controles.
La Ley SOX también establece reglas para las empresas contables que auditan empresas públicas y los analistas que publican investigaciones sobre valores. La ley impone importantes multas y condenas penales por actividades financieras fraudulentas y determinadas formas de incumplimiento.
Aunque la SOX es una regulación financiera, las partes interesadas de toda la organización participan en el cumplimiento. Los departamentos de TI y los equipos de ciberseguridad se han vuelto particularmente importantes a medida que las organizaciones recurren cada vez más a soluciones tecnológicas para proteger la información financiera en complejas redes empresariales.
Según un informe de 2023 de la empresa de consultoría Protiviti (enlace externo a ibm.com), más de la mitad de las empresas afirman que el cumplimiento de la SOX tarda más en alcanzarse ahora. La organización promedio gasta más de 1 millón de dólares cada año en esfuerzos de cumplimiento de SOX.
Obtenga información para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe "Coste de una filtración de datos"
La Ley Sarbanes-Oxley de 2002 es una ley federal estadounidense impulsada conjuntamente por el senador Paul Sarbanes y el representante Michael. El Congreso promulgó la ley a raíz de varios escándalos financieros en los albores del siglo XXI, como las quiebras de Enron, WorldCom y Tyco.
En estos y otros casos, las empresas públicas utilizaban una mezcla de bucles contables y el fraude directo para inflar sus valores, lo que provocaba que los inversores perdieran miles de millones. Por ejemplo, cuando se descubrieron los fraudes de Enron, el precio de sus acciones cayó de 90,75 centavos de dólar a sólo 60 centavos por acción.
En algunos casos, las compañías contaron con la ayuda de las empresas de contabilidad externas que supuestamente debían auditarlas. Arthur Andersen, que alguna vez fue una de las "Cinco Grandes" empresas de contabilidad, cesó sus operaciones debido a su papel en los escándalos de Enron y WorldCom.
La SOX tiene como objetivo prevenir el fraude corporativo estableciendo mandatos regulatorios estrictos sobre cómo las organizaciones protegen los registros financieros contra la manipulación y haciendo que los auditores sean más independientes de sus clientes.
Se trata de una ley de gran alcance, con 11 títulos en total. Algunos de sus efectos más significativos incluyen:
- Creación del Consejo de Supervisión Contable de las Empresas Públicas (PCAOB)
- Fortalecimiento de los requisitos de información financiera
- Responsabilización personal de los directivos de las empresas por la información y los controles financieros
- Mayor independencia de los auditores y analistas externos
- Protección de los denunciantes
La SOX creó la PCAOB, una corporación sin ánimo de lucro que establece estándares de auditoría financiera y regula las firmas de contabilidad que auditan a las empresas públicas. El PCAOB puede investigar a las empresas sospechosas de incumplimiento y sancionarlas con multas de hasta 10 000 USD a los particulares y 2 000 000 USD a las organizaciones.
En virtud de la Ley del Mercado de Valores de 1934, las empresas públicas de cierto tamaño ya tenían que presentar informes financieros anuales y trimestrales a la SEC. La SOX enfatiza que estos informes deben estar libres de declaraciones engañosas. Los informes deben prepararse de acuerdo con los principios de contabilidad generalmente aceptados, un conjunto de normas mantenidas por el Consejo de Normas de Contabilidad Financiera (enlace externo a ibm.com).
Algunas operaciones no incluidas en el balance que las empresas podían omitir anteriormente en los informes financieros, como las deudas de filiales no consolidadas, deben notificarse ahora si tienen un efecto importante en la situación financiera de la empresa. La información es "material" si provocaría que un inversor razonable reconsidere una decisión de inversión.
Las empresas también deben informar al público, de forma casi en tiempo real, cualquier cosa que constituya un cambio material en su información financiera.
Por último, las empresas deben implementar controles internos para proteger los datos financieros de la manipulación y el uso fraudulento por parte de actores internos o externos. Esto incluye retener los registros financieros durante ciertos períodos de tiempo.
Bajo la SOX, el director genera , el director financiero y cualquier responsable corporativo que desempeñe funciones similares son responsables personalmente de garantizar que los estados financieros sean verdaderos y que las estructuras de control interno sean efectivas. Los ejecutivos pueden enfrentar multas y sentencias penales si los informes financieros son inexactos, incluso si no engañaron intencionalmente a los inversionistas.
Los conflictos de intereses contribuyeron a los escándalos que impulsaron la aprobación de la SOX. Las empresas de contabilidad que auditaban los estados financieros de las empresas públicas a menudo prestaban lucrativos servicios de consultoría a esas mismas empresas. Los contables se sentían incentivados a elaborar informes de auditoría que sus clientes consideraran aceptables, o se arriesgaban a perder estos rentables acuerdos.
Del mismo modo, los analistas que informan sobre valores bursátiles suelen trabajar para organizaciones que proporcionan banca de inversión u otros servicios a empresas públicas.
La SOX pretende eliminar estos conflictos de intereses de varias maneras. En primer lugar, obliga a las empresas públicas a crear comités de auditoría independientes de la dirección. Estos comités son responsables de contratar y coordinar con auditores independientes. La SOX también prohíbe que las organizaciones intenten influir en los resultados de las auditorías.
Las empresas contables no pueden proporcionar consultoría u otros servicios a las mismas empresas para las que realizan auditorías SOX, y las organizaciones deben rotar auditores externos cada cinco años.
Los analistas de valores deben operar independientemente de las partes de banca de inversión de sus instituciones. También deben revelar cualquier posible conflicto de intereses cuando informen sobre valores.
La SOX prohíbe tomar represalias contra los empleados que denuncien posibles fraudes, ya sea degradándolos, despidiéndolos, suspendiéndolos, acosándolos o perjudicándolos de cualquier otra forma.
La SOX se aplica a todas las empresas que cotizan en bolsa y operan en EE. UU. y a sus filiales al 100 %. También se aplica a los analistas de valores y a las firmas de contabilidad que auditan empresas públicas.
Aunque las empresas privadas y las organizaciones sin ánimo de lucro no suelen estar sujetas a SOX, existen algunas excepciones. Las empresas privadas que se preparan para salir a bolsa a través de una oferta pública inicial están sujetas a la SOX cuando presentan una declaración de registro ante la SEC. Las empresas privadas que prestan servicios a empresas públicas están protegidas por la SOX al informar sobre la mala conducta de sus clientes públicos.
La SOX prohíbe a cualquier organización, pública, privada o sin ánimo de lucro, destruir o falsificar registros financieros para obstruir una investigación federal.
Aunque la SOX es una SOX estadounidense, tiene repercusiones para las organizaciones de fuera del país. Las empresas públicas con sede fuera de EE. UU. deben cumplir con los requisitos de SOX si hacen negocios en EE. UU. La aprobación de la SOX también inspiró a otros países a adoptar sus propias leyes para combatir el fraude financiero, como la Ley de Cumplimiento de la Promesa para una Economía Fuerte de Canadá (también llamada “C-SOX”) y la Ley de Bolsa e Instrumentos Financieros de Japón (también llamada “J- SOX”).
En Europa, muchos han notado una superposición significativa entre el cumplimiento de la SOX y el cumplimiento del Reglamento General de Protección de Datos (RGPD). En particular, muchos de los mismos controles de seguridad y procesos de protección de datos que permiten el cumplimiento de la SOX también respaldan el cumplimiento del RGPD. La Unión Europea también ha implementado sus propias normas similares a las de la SOX en torno a la independencia de los auditores financieros.
En esencia, el cumplimiento de la SOX significa que todas las divulgaciones financieras de una organización son completamente precisas y que la organización tiene controles y documentación para respaldar sus estados financieros.
Sin embargo, el proceso de cumplimiento de la SOX puede ser complejo. La SOX no describe exhaustivamente todos los controles que una empresa necesita ni todos los pasos que deben tomar los auditores. Las diferentes organizaciones alcanzan el cumplimiento de la SOX de diferentes maneras.
En un nivel alto, la SOX tiene tres requisitos generales:
- Presentación de informes financieros precisos certificados por ejecutivos corporativos
- Implementar controles internos apropiados
- Aprobación de auditorías regulares
En virtud de la sección 302 de la SOX, "Responsabilidad corporativa de los informes financieros", el director general, el director financiero o directivos equivalentes de una empresa deben firmar todos los informes financieros anuales y trimestrales presentados a la SEC.
Al firmar los informes, el director general y el director financiero deben confirmar que los estados financieros son completamente precisos. También deben afirmar que se han implementado los controles internos adecuados y que se han validado en los últimos 90 días.
En virtud de la sección 404 de la SOX, "Evaluación de los controles internos por parte de la dirección", todo informe financiero anual presentado a la SEC debe contener un informe exhaustivo sobre los controles internos. El informe de control interno establece que la gerencia es responsable de los controles internos y evalúa la efectividad de los controles internos de la empresa al final del año fiscal más reciente.
Las organizaciones deben informar de cualquier cambio material en su estado financiero rápidamente. Aunque los incidentes de ciberseguridad pueden contar como cambios materiales en la SOX, vale la pena señalar que la SEC adoptó nuevas reglas en julio de 2023 haciendo que los requisitos de generación de informes para estos incidentes sean aún más estrictos (enlace externo a ibm.com).
En particular, las organizaciones deben notificar los incidentes de ciberseguridad en un plazo de cuatro días a partir del momento en que determinen que el incidente ha tenido o podría tener un impacto material. Las empresas deben informar sobre incidentes en terceros, como los servicios en la nube, si podrían afectar materialmente a la organización.
Las empresas implementan controles internos de la SOX para evitar que los actores internos y externos alteren fraudulentamente los datos financieros o los utilicen con fines ilícitos.
La SOX no enumera explícitamente todos los controles que las empresas deben implementar. Las organizaciones suelen confiar en marcos de gobierno corporativo como los objetivos de control para el marco de información y tecnologías relacionadas que pertenecen a la Asociación de auditoría y control de sistemas de información. También es popular el marco del Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Si bien estos marcos no se desarrollaron específicamente para la SOX, los esquemas de control que presentan generalmente cumplen con los requisitos de cumplimiento de la SOX.
Las organizaciones implementan controles tanto a nivel de los procesos de negocio como de la infraestructura de tecnología de la información.
Los controles de los procesos empresariales incluyen aspectos como la formación de los empleados sobre los requisitos SOX y el establecimiento de canales de información seguros para los denunciantes.
Muchas empresas también aplican la segregación de tareas, un principio en el que los flujos de trabajo se dividen en múltiples partes y los diferentes empleados son responsables de cada paso. La idea es que ningún empleado controle todo el flujo de trabajo y cada persona involucrada actúe como un control sobre los demás. Un ejemplo típico sería hacer que la persona que aprueba los pagos no sea la misma que extiende los cheques desde la cuenta de la empresa.
Las empresas también pueden crear procesos para almacenar y preservar los registros a fin de cumplir con los requisitos de la SOX para la retención de documentos. Por ejemplo, los auditores deben guardar todos los documentos de trabajo relacionados con una auditoría durante siete años.
La automatización es cada vez más importante para el cumplimiento de la normativa SOX, ya que las redes empresariales son cada vez más complejas. Según Protiviti, la empresa promedio tiene 36 aplicaciones comerciales que caen bajo los requisitos de la SOX (enlace reside fuera de ibm.com). Los controles de seguridad de TI pueden ayudar a hacer cumplir las normas SOX en todas estas aplicaciones.
Algunas organizaciones utilizan software especializado en el cumplimiento de la SOX para almacenar de forma segura datos y documentos relacionados con la SOX, realizar un seguimiento de la actividad relevante y señalar las brechas en los controles internos. Sin embargo, las empresas también pueden utilizar herramientas de ciberseguridad más generales para el cumplimiento de la SOX.
Las herramientas de protección de datos, como las soluciones de prevención contra la pérdida de datos (DLP), pueden rastrear dónde se almacenan los datos confidenciales, quién accede a ellos y qué hacen con ellos. Algunas herramientas de DLP también pueden impedir que los usuarios realicen cambios no autorizados en los datos financieros o los muevan a ubicaciones no autorizadas. Las organizaciones también pueden utilizar copias de seguridad automatizadas para que los datos se puedan recuperar si se destruyen o manipulan.
Las soluciones de gestión de identidades y accesos (IAM) permiten a las organizaciones establecer políticas de control de acceso granulares siguiendo el principio de privilegios mínimos. A los empleados sólo se les conceden los permisos más bajos que necesitan para hacer su trabajo. Las plataformas de IAM también pueden optimizar la gestión de cambios para que las organizaciones puedan actualizar y eliminar rápidamente los permisos de acceso a medida que las personas se unen a la empresa, cambian de rol o se van.
Las empresas pueden utilizar soluciones de gestión de eventos e información de seguridad (SIEM) para supervisar la actividad de la red, detectar violaciones de seguridad y responder a los incidentes con mayor rapidez. Las soluciones SIEM también conservan los registros de seguridad que ayudan a las organizaciones a demostrar el cumplimiento durante las auditorías de la SOX. Algunas herramientas SIEM tienen funciones específicas de la SOX integradas o se integran con herramientas que permiten registrar automáticamente la información relevante y generar informes de cumplimiento.
Las obligaciones de seguridad de la información de SOX se extienden a los centros de datos en la nube donde las organizaciones almacenan o procesan información financiera. Las empresas también deben tener en cuenta los controles para estas fuentes de datos.
Como se señaló anteriormente, el director general y el director financiero deben garantizar la exactitud de cada informe financiero y la eficacia de los controles internos. Las auditorías periódicas ofrecen a los ejecutivos la prueba que necesitan para hacer estas declaraciones.
Al realizar auditorías internas periódicas de las prácticas de información financiera y los controles de datos, las empresas pueden monitorizar el cumplimiento a lo largo del tiempo, identificar brechas y remediar debilidades.
Los hallazgos de las auditorías internas también pueden ayudar a los auditores externos que realizan auditorías anuales de cumplimiento de la SOX. En la auditoría anual, una empresa de contabilidad independiente realiza su propia evaluación de los controles internos y los informes financieros. Los resultados de esta auditoría suelen incluirse en el informe anual de la SEC de la empresa.
En el pasado, los auditores tenían que informar si consideraban que las evaluaciones de la administración sobre los controles internos eran precisas. Este requisito se eliminó cuando la SEC adoptó la Norma de Auditoría Nº 5 en 2007 (enlace externo a ibm.com).
La SOX no especifica exactamente cómo deben llevar a cabo sus auditorías los gerentes y las empresas contables. En su lugar, la SEC afirma (enlace externo a ibm.com) que los auditores y gestores deben utilizar una evaluación de riesgos descendente (TDRA) para determinar el alcance de sus auditorías. Un TDRA identifica las cuentas, divulgaciones y otras áreas que corren mayor riesgo de fraude material y se enfoca en evaluar los controles clave que abordan esos riesgos.
Cumplir con la SOX tiene beneficios. Los inversores pueden tener más confianza en la información financiera y, por tanto, estar más dispuestos a invertir en empresas que cumplen la SOX. La SOX también reduce los incentivos para que los líderes corporativos cometan fraude al hacerlos personalmente responsables de los estados financieros.
El cumplimiento de la SOX puede ayudar a las organizaciones a mejorar sus posturas de ciberseguridad en general. Muchos de los controles de seguridad de datos que utilizan las organizaciones para evitar la manipulación financiera también pueden combatir los ciberataques. Por ejemplo, las soluciones de IAM ayudan a mantener a los hackers fuera de las cuentas de los usuarios, y las herramientas SIEM pueden ayudar a detectar antes los incidentes de seguridad en curso.
El incumplimiento de la SOX también puede conducir a sanciones civiles y penales para organizaciones e individuos.
Los ejecutivos que certifiquen un informe financiero inexacto pueden ser multados con hasta 1 millón de dólares y encarcelados hasta 10 años. Los ejecutivos que certifiquen deliberadamente declaraciones engañosas pueden ser multados con hasta 5 millones de dólares y encarcelados hasta 20 años.
Los ejecutivos también pueden recuperar la compensación vinculada a incentivos si una organización tiene que hacer una reformulación financiera. En virtud de las normas de la SEC adoptadas en 2022 (enlace externo a ibm.com), los ejecutivos ni siquiera necesitan ser culpables de mala conducta. Las devoluciones se activan automáticamente cada vez que una reformulación muestra que no se cumplieron los objetivos vinculados a los incentivos.
La SOX también declara ilegal dañar, alterar o interferir de otro modo con los registros financieros. Los empleados individuales pueden enfrentar penas de prisión de hasta 20 años por hacerlo. Los directivos de empresas que toman represalias contra los denunciantes se enfrentan a multas y penas de prisión de hasta 10 años.
La SEC puede prohibir que las personas que infringen las normas de la SOX sirvan como funcionarios corporativos, directores, corredores, asesores y distribuidores. Las empresas pueden incluso ser excluidas de las bolsas de valores por incumplimiento significativo.
El software de conformidad de IBM Security QRadar SIEM reduce las vulnerabilidades y ayuda a gestionar los requisitos de conformidad complejos mediante la ejecución de sus datos de registro de SIEM a través de extensiones de conformidad para la mayoría de los estándares normativos, todo ello de forma gratuita.
IBM Security Guardium Insights le permite automatizar y agilizar su camino hacia la seguridad de los datos y la conformidad con un software que protege sus datos, dondequiera que vivan.
AIX, el sistema operativo Unix patentado de IBM, impulsa la innovación con capacidades de nube híbrida y código abierto que le ayudan a crear e implementar aplicaciones modernas y compatibles dentro de un entorno seguro y resiliente.
Aprenda a mejorar su posición de seguridad y cumplimiento de los datos, incluso a medida que el panorama de la TI se vuelve cada vez más descentralizado y complejo.
La GRC es una estrategia organizativa para gestionar la gobernanza, la gestión de riesgos y el cumplimiento de la normativa industrial y gubernamental.
Una solución SIEM es una solución de seguridad que permite a las organizaciones reconocer y abordar posibles amenazas y vulnerabilidades antes de que perturben su actividad.