El cumplimiento de la SOX es el acto de atenerse a los requisitos de información financiera, seguridad de la información y auditoría de la Ley Sarbanes-Oxley (Ley SOX), una ley estadounidense cuyo objetivo es prevenir el fraude corporativo.
Para cumplir con la SOX, las empresas públicas que hacen negocios en EE. UU. deben:
- Implementar controles internos para proteger los datos financieros contra alteraciones.
- Presentar informes periódicos ante la Comisión de Bolsa y Valores (SEC) que atestigüen la eficacia de los controles de seguridad y la exactitud de las divulgaciones financieras.
- Aprobar una auditoría anual independiente de sus estados financieros y controles.
La Ley SOX también establece reglas para las firmas de contabilidad que auditan a las empresas públicas y los analistas que publican investigaciones sobre valores. La ley impone importantes multas y condenas penales por actividades financieras fraudulentas y determinadas formas de incumplimiento.
Aunque la SOX es una normativa financiera, las partes interesadas de toda la organización participan en el cumplimiento de la normativa. Los departamentos de TI y los equipos de ciberseguridad han cobrado especial importancia a medida que las organizaciones recurren cada vez más a soluciones tecnológicas para proteger la información financiera en las complejas redes empresariales.
Según un informe de 2023 de la consultora Protiviti (enlace externo a ibm.com), más de la mitad de las empresas afirman que ahora se tarda más en cumplir la SOX. La organización promedio gasta más de 1 millón de dólares cada año en esfuerzos de cumplimiento de la SOX.
Obtenga insights para prepararse y responder a los ciberataques con mayor velocidad y eficacia con el índice de IBM Security X-Force Threat Intelligence.
Regístrese para recibir el informe sobre el costo de una filtración de datos
La Ley Sarbanes-Oxley de 2002 es una ley federal estadounidense impulsada conjuntamente por el senador Paul Sarbanes y el representante Michael. El Congreso promulgó la ley a raíz de varios escándalos financieros en los albores del siglo XXI, como las quiebras de Enron, WorldCom y Tyco.
En estos y otros casos, las empresas públicas utilizaban una mezcla de bucles contables y el fraude directo para inflar sus valores, lo que provocaba que los inversores perdieran miles de millones. Por ejemplo, cuando se descubrieron los fraudes de Enron, el precio de sus acciones cayó de 90.75 centavos de dólar a solo 60 centavos por acción.
En algunos casos, las compañías contaron con la ayuda de las empresas de contabilidad externas que supuestamente debían auditarlas. Arthur Andersen, que alguna vez fue una de las "Cinco Grandes" empresas de contabilidad, cesó sus operaciones debido a su papel en los escándalos de Enron y WorldCom.
La SOX tiene como objetivo prevenir el fraude corporativo estableciendo mandatos regulatorios estrictos sobre cómo las organizaciones protegen los registros financieros contra la manipulación y haciendo que los auditores sean más independientes de sus clientes.
Se trata de una ley de gran alcance, con 11 títulos en total. Algunos de sus efectos más significativos incluyen:
- La creación del Consejo de Supervisión Contable de las Empresas Públicas (PCAOB)
- El fortalecimiento de los requisitos de información financiera
- La responsabilización personal de los directivos de las empresas por la información y los controles financieros
- Mayor independencia de los auditores y analistas externos
- Protección de los denunciantes
La SOX creó la PCAOB, una corporación sin fines de lucro que establece estándares de auditoría financiera y regula las firmas de contabilidad que auditan a las empresas públicas. La PCAOB puede investigar a las empresas sospechosas de incumplimiento y sancionarlas con multas de hasta 10 000 USD a los particulares y 2 000 000 USD a las organizaciones.
En virtud de la Ley del Mercado de Valores de 1934, las empresas públicas de cierto tamaño ya tenían que presentar informes financieros anuales y trimestrales a la SEC. La SOX enfatiza que estos informes deben estar libres de declaraciones engañosas. Los informes deben prepararse de acuerdo con los principios de contabilidad generalmente aceptados, un conjunto de normas mantenidas por el Consejo de Normas de Contabilidad Financiera (enlace externo a ibm.com).
Algunas transacciones fuera de balance que las empresas podían dejar fuera de los informes financieros, como las deudas mantenidas por subsidiarias no consolidadas, ahora deben informarse si tendrían un efecto material en el estado financiero de la empresa. La información es "material" si hace que un inversionista razonable reconsidere una decisión de inversión.
Las empresas también deben informar al público, casi en tiempo real, de cualquier cosa que constituya un cambio sustancial en su información financiera.
Por último, las empresas deben implementar controles internos para proteger los datos financieros de la manipulación y el uso fraudulento por parte de actores internos o externos. Esto incluye conservar los registros financieros durante determinados periodos de tiempo.
Según la SOX, el director general (CEO), el director financiero (CFO) y cualquier directivo de la empresa que desempeñe funciones similares son personalmente responsables de garantizar que los estados financieros sean veraces y que las estructuras de control interno sean eficaces. Los ejecutivos pueden enfrentar multas y sentencias penales si los informes financieros son inexactos, incluso si no engañaron intencionalmente a los inversionistas.
Los conflictos de intereses contribuyeron a los escándalos que impulsaron la aprobación de la SOX. Las firmas de contabilidad que auditaban los estados financieros de las empresas públicas a menudo proporcionaban lucrativos servicios de consultoría a esas mismas empresas. Los contadores se sintieron incentivados a producir informes de auditoría que sus clientes encontraron aceptables o que arriesgaron perder estos acuerdos rentables.
Del mismo modo, los analistas que informan sobre valores bursátiles a menudo trabajan para organizaciones que proporcionan banca de inversión u otros servicios a empresas públicas.
La SOX pretende eliminar estos conflictos de intereses de varias maneras. En primer lugar, obliga a las empresas públicas a crear comités de auditoría independientes de la dirección. Estos comités son responsables de contratar y coordinar con auditores independientes. La SOX también prohíbe que las organizaciones intenten influir en los resultados de las auditorías.
Las empresas de contabilidad no pueden proporcionar consultoría ni otros servicios a las mismas empresas para las que realizan auditorías SOX, y las organizaciones deben rotar a los auditores externos cada cinco años.
Los analistas de valores deben operar con independencia de las partes de banca de inversión de sus instituciones. También deben revelar cualquier posible conflicto de intereses cuando informen sobre valores.
La SOX prohíbe tomar represalias contra los empleados que denuncien posibles fraudes, ya sea degradándolos, despidiéndolos, suspendiéndolos, acosándolos o perjudicándolos de cualquier otra forma.
La SOX se aplica a todas las empresas que cotizan en bolsa y operan en EE. UU. y a sus filiales al 100 %. También se aplica a los analistas de valores y a las firmas de contabilidad que auditan empresas públicas.
Aunque las empresas privadas y las organizaciones sin ánimo de lucro no suelen estar sujetas a SOX, existen algunas excepciones. Las empresas privadas que se preparan para salir a bolsa a través de una oferta pública inicial están sujetas a la SOX cuando presentan una declaración de registro ante la SEC. Las empresas privadas que prestan servicios a empresas públicas están protegidas por la SOX al informar sobre la mala conducta de sus clientes públicos.
La SOX establece que es ilegal que cualquier organización, pública, privada o sin ánimo de lucro, destruya o falsifique registros financieros para obstruir una investigación federal.
Si bien la SOX es una regulación estadounidense, tiene repercusiones para las organizaciones de fuera del país. Las empresas públicas con sede fuera de EE. UU. deben cumplir con los requisitos de la SOX si hacen negocios en EE. UU. La aprobación de la SOX también inspiró a otros países a adoptar sus propias leyes para combatir el fraude financiero, como la Ley de Cumplimiento de la Promesa para una Economía Fuerte de Canadá (también llamada “C-SOX”) y la Ley de Bolsa e Instrumentos Financieros de Japón (también llamada “J- SOX”).
En Europa, muchos han notado una superposición significativa entre el cumplimiento de la SOX y el cumplimiento del Reglamento General de Protección de Datos (RGPD). En particular, muchos de los mismos controles de seguridad y procesos de protección de datos que permiten el cumplimiento de la SOX también respaldan el cumplimiento del RGPD. La Unión Europea también ha implementado sus propias normas similares a las de la SOX en torno a la independencia de los auditores financieros.
En esencia, el cumplimiento de la SOX significa que todos los datos financieros de una organización son totalmente exactos y que la organización dispone de controles y documentación para respaldar sus estados financieros.
Sin embargo, el proceso de cumplimiento de la SOX puede ser complejo. La SOX no describe exhaustivamente todos los controles que necesita una empresa o todos los pasos que deben dar los auditores. Diferentes organizaciones alcanzan el cumplimiento de la SOX de diferentes maneras.
En un nivel alto, la SOX tiene tres requisitos amplios:
- Presentar informes financieros precisos certificados por ejecutivos corporativos
- Implementar controles internos apropiados
- Aprobación de auditorías regulares
Según la sección 302 de la SOX, "Responsabilidad corporativa de los informes financieros", el CEO, CFO o líderes equivalentes de una empresa deben firmar cada informe financiero anual y trimestral presentado a la SEC.
Al firmar los informes, el CEO y el CFO deben certificar que los estados financieros son completamente precisos. También deben afirmar que existen los controles internos adecuados y que han sido validados en los últimos 90 días.
En la sección SOX 404, "Evaluación de gestión de controles internos", cada informe financiero anual presentado con la SEC debe contener un informe de control interno detallado. El informe de control interno establece que la gerencia es responsable de los controles internos y evalúa la efectividad de los controles internos de la empresa al final del año fiscal más reciente.
Las organizaciones deben informar de inmediato cualquier cambio sustancial en su situación financiera. Mientras que los incidentes de ciberseguridad pueden contar como cambios materiales bajo la SOX, vale la pena señalar que la SEC adoptó nuevas normas en julio de 2023 haciendo que los requisitos de información para estos incidentes sean aún más estrictos (enlace externo a ibm.com).
En particular, las organizaciones deben notificar los incidentes de ciberseguridad en un plazo de cuatro días a partir del momento en que determinen que el incidente ha tenido o podría tener un impacto material. Las empresas deben informar sobre incidentes en terceros, como los servicios en la nube, si pueden afectar materialmente a la organización.
Las empresas implementan controles internos de la SOX para evitar que los actores internos y externos alteren fraudulentamente los datos financieros o los utilicen con fines ilícitos.
La SOX no enumera explícitamente todos los controles que las empresas deben implementar. Las organizaciones a menudo dependen de marcos de gobernanza corporativa como los objetivos de control para el marco de información y tecnologías relacionadas que pertenecen a la Asociación de auditoría y control de sistemas de información. También es popular el marco del Comité de Organizaciones Patrocinadoras de la Comisión Treadway. Si bien estos marcos no se desarrollaron específicamente para la SOX, los esquemas de control que presentan generalmente cumplen con los requisitos de cumplimiento de la SOX.
Las organizaciones implementan controles tanto a nivel de los procesos de negocio como de la infraestructura de tecnología de la información.
Los controles de los procesos empresariales incluyen aspectos como la capacitación de los empleados sobre los requisitos de la SOX y el establecimiento de canales de información seguros para los denunciantes.
Muchas empresas también aplican la segregación de funciones, un principio en el que los flujos de trabajo se dividen en varias partes y diferentes empleados son responsables de cada paso. La idea es que ningún empleado controle todo el flujo de trabajo y que cada persona involucrada actúe como control de las demás. Un ejemplo típico sería hacer que la persona que aprueba los pagos no sea la misma persona que emite los cheques desde la cuenta de la empresa.
Las empresas también pueden crear procesos para almacenar y preservar registros para cumplir con los requisitos de la SOX para la retención de documentos. Por ejemplo, los auditores deben guardar los documentos de trabajo asociados con una auditoría durante siete años.
La automatización es cada vez más importante para el cumplimiento de la normativa SOX, ya que las redes empresariales son cada vez más complejas. Según Protiviti, la empresa promedio tiene 36 aplicaciones comerciales que caen bajo los requisitos de la SOX (enlace externo a ibm.com). Los controles de seguridad de TI pueden ayudar a hacer cumplir las reglas de la SOX en todas estas aplicaciones.
Algunas organizaciones utilizan software especializado de cumplimiento de la SOX para almacenar de forma segura datos y documentos relacionados con la SOX, realizar un seguimiento de la actividad relevante y marcar brechas en los controles internos. Sin embargo, las empresas también pueden usar herramientas de ciberseguridad más generales con fines de cumplimiento de la SOX.
Las herramientas de protección de datos, como las soluciones de prevención de pérdida de datos (DLP), pueden rastrear dónde se almacenan los datos sensibles, quién accede a ellos y qué hace con ellos. Algunas herramientas de DLP también pueden impedir que los usuarios realicen cambios no autorizados en los datos financieros o los muevan a ubicaciones no autorizadas. Las organizaciones también pueden utilizar copias de seguridad automatizadas para que los datos puedan recuperarse si se destruyen o manipulan.
Las soluciones de gestión de identidad y acceso (IAM) permiten a las organizaciones establecer políticas granulares de control de acceso siguiendo el principio de privilegios mínimos. A los empleados solo se les otorgan los permisos más bajos que necesitan para hacer su trabajo. Las plataformas de IAM también pueden optimizar la gestión de cambios para que las organizaciones puedan actualizar y eliminar rápidamente los permisos de acceso a medida que las personas se unen a la empresa, cambian de rol o se van.
Las empresas pueden utilizar soluciones de gestión de eventos e información de seguridad (SIEM) para supervisar la actividad de la red, detectar brechas de seguridad y responder a los incidentes con mayor rapidez. Las soluciones SIEM también mantienen registros de seguridad que ayudan a las organizaciones a demostrar el cumplimiento durante las auditorías de la SOX. Algunas herramientas SIEM llevan incorporadas funciones específicas para la SOX o se integran con herramientas que sí las tienen, lo que les permite registrar automáticamente la información pertinente y generar informes de cumplimiento.
Las obligaciones de seguridad de la información de la SOX se extienden a los centros de datos en la nube donde las organizaciones almacenan o procesan información financiera. Las empresas también deben tener en cuenta los controles para estas fuentes de datos.
Como se señaló anteriormente, el CEO y el CFO deben garantizar la exactitud de cada informe financiero y la efectividad de los controles internos. Las auditorías regulares dan a los ejecutivos la prueba que necesitan para hacer estas declaraciones.
Al realizar auditorías internas periódicas de las prácticas de reporte financiero y los controles de datos, las empresas pueden monitorear el cumplimiento de normas a lo largo del tiempo, identificar brechas y remediar debilidades.
Los hallazgos de las auditorías internas también pueden ayudar a los auditores externos que realizan auditorías anuales de cumplimiento de la SOX. En la auditoría anual, una empresa de contabilidad independiente lleva a cabo su propia evaluación de los controles internos y la presentación de informes financieros. Los resultados de esta auditoría suelen incluirse en el informe anual de la empresa a la SEC.
En el pasado, los auditores tuvieron que informar si sintieron que las evaluaciones de la gerencia de los controles internos eran precisas. Este requisito se eliminó cuando la SEC adoptó el Estándar de auditoría n.º 5 en 2007 (enlace externo a ibm.com).
La SOX no especifica exactamente cómo los gerentes y las firmas de contabilidad deben realizar sus auditorías. En su lugar, la SEC afirma (enlace externo a ibm.com) que los auditores y gerentes deben utilizar una evaluación de riesgos descendente (TDRA) para determinar el alcance de sus auditorías. Un TDRA identifica las cuentas, divulgaciones y otras áreas que corren mayor riesgo de fraude material y se enfoca en evaluar los controles clave que abordan esos riesgos.
Cumplir con la SOX tiene sus beneficios. Los inversores pueden tener más confianza en las revelaciones financieras y, por lo tanto, estar más dispuestos a invertir en empresas que cumplen con la SOX. La SOX también reduce los incentivos para que los líderes corporativos cometan fraude al responsabilizarlos personalmente de los estados financieros.
El cumplimiento de la SOX puede ayudar a las organizaciones a mejorar sus posturas de ciberseguridad en general. Muchos de los controles de seguridad de datos que utilizan las organizaciones para evitar alteraciones financieras también pueden combatir los ciberataques. Por ejemplo, las soluciones de IAM ayudan a mantener a los hackers fuera de las cuentas de los usuarios, y las herramientas SIEM pueden ayudar a detectar antes los incidentes de seguridad en curso.
El incumplimiento de la SOX también puede conducir a sanciones civiles y penales para organizaciones e individuos.
Los ejecutivos que certifiquen un informe financiero inexacto pueden ser multados con hasta 1 millón de dólares y encarcelados hasta 10 años. Los ejecutivos que certifiquen deliberadamente declaraciones engañosas pueden ser multados con hasta 5 millones de dólares y encarcelados hasta 20 años.
Los ejecutivos también pueden recuperar la compensación vinculada a incentivos si una organización tiene que hacer una reformulación financiera. Según las normas de la SEC adoptadas en 2022 (enlace externo a ibm.com), los ejecutivos ni siquiera necesitan ser culpables de mala conducta. Los clawbacks se activan automáticamente cada vez que una reafirmación muestra que no se cumplieron los objetivos vinculados a incentivos.
La SOX también hace ilegal dañar, alterar o interferir de otro modo con los registros financieros. Los empleados individuales pueden enfrentar sentencias de prisión de hasta 20 años por hacerlo. Los directivos de empresas que toman represalias contra los denunciantes se enfrentan a multas y penas de prisión de hasta 10 años.
La SEC puede prohibir que las personas que infrinjan las reglas de la SOX sirvan como funcionarios corporativos, directores, corredores, asesores y distribuidores. Las empresas pueden incluso ser excluidas de las bolsas de valores por incumplimiento significativo.
El software de conformidad de IBM Security QRadar SIEM reduce las vulnerabilidades y ayuda a gestionar los requisitos de conformidad complejos mediante la ejecución de sus datos de registro de SIEM a través de extensiones de conformidad para la mayoría de los estándares normativos, todo ello de forma gratuita.
IBM Security Guardium Insights le permite automatizar y agilizar su camino hacia la seguridad de los datos y el cumplimiento con un software que protege sus datos, dondequiera que vivan.
AIX, el sistema operativo Unix patentado de IBM, impulsa la innovación con capacidades de nube híbrida y código abierto que le ayudan a crear e implementar aplicaciones modernas y compatibles dentro de un entorno seguro y resiliente.
El índice IBM Security X-Force Threat Intelligence de 2023 ofrece información procesable para ayudarle a comprender cómo proteger su organización de forma proactiva.
La GRC es una estrategia organizativa para gestionar la gobernanza, la gestión de riesgos y el cumplimiento de la normativa industrial y gubernamental.
SIEM es una solución de seguridad que permite a las organizaciones reconocer y abordar posibles amenazas y vulnerabilidades de seguridad antes de que tengan la oportunidad de interrumpir las operaciones comerciales.