Sarbanes-Oxley Sección 404

Sarbanes-Oxley Sección 404

La punta del Iceberg del Cumplimiento

Introducción

Desde su publicación en el 2002, la Ley Sarbanes-Oxley (SOX) ha enfatizado el propósito de la gobernabilidad de las empresas en lo concerniente al cumplimiento de las leyes y regulaciones. Las empresas han invertido miles de horas en la preparación de sus primeros intentos para obtener certificaciones "no calificadas" de sus contadores públicos. Estas certificaciones son requeridas para sustentar las declaraciones del directorio referidas a la efectividad general de la estructura de control interno, de acuerdo a lo regulado en la sección 404 de la Ley.

Dado que la primer fecha límite es Diciembre 2004, muchos CEOs y CFOs creen haber transitado adecuadamente el curso que la ley les ha propuesto.

Pero, los esfuerzos corporativos para cumplir con las regulaciones de la sección 404, ¿proveen suficiente información para evitar imprevistas complicaciones debidas a eventos de incumplimiento? ¿O han tratado únicamente con la punta del iceberg del cumplimiento?

Estado actual

Tal como se ha dramatizado en los principales títulos, los inversores corporativos se han visto negativamente sorprendidos por los alegatos de quiebres de control en los "líderes" (estandartes) del mundo de las inversiones. Dadas las nebulosas y las ramificaciones de algunas transacciones, los ejecutivos están crecientemente sensibilizados con la dificultad de asegurar si los controles son adecuados para monitorear efectivamente todas las actividades relacionadas. Más aún, el dinamismo de una economía global, agrega un desafío adicional a la habilidad de la organización para evaluar y asegurar la efectividad general de su ambiente de control. Estos hechos conducen a una cuestión fundamental: ¿Cómo puede Ud. conocer si su ambiente de control es efectivo, sin un completo entendimiento tanto de la profundidad de cumplimiento requerida como la adecuación de su proceso de medición?

¿Letra o espíritu?

Numerosos comentarios de individuos claves, inclusive los agentes de la SEC (Security Exchange Commission), han aclarado que la ley SOX no intenta, como finalidad principal, el reaseguramiento de las operaciones de las organizaciones para la inversión pública, ni para el gobierno federal. En realidad, la ley tiene como finalidad, expresamente: el establecimiento de una estructura de control integrada, tal como fue definido en el Informe COSO, emitido por el Committee on Sponsoring Organizations of Treadway Commission. Por su diseño, este marco (COSO) cubriría todos los aspectos de la ley como parte de la definición general de gobernabilidad corporativa.

A pesar de este hecho, muchas organizaciones han respondido estricta y tácticamente a los mandatos del cumplimiento de la Sección 404 con "Certificaciones en cascada" que requieren a todos los niveles de la administración, desarrollar el mismo nivel de certificación requerida para los CEOs y para los CFOs, en los informes anuales y trimestrales para la SEC. También, muchos han adoptado la filosofía de "esperar y ver" relacionada con los componentes estratégicos más lejanos de la ley, tales como la publicación de guías y consejos, protocolos de comentarios y anuncios, y la incorporación de una estructura de control uniforme basada en COSO a lo largo de todos los procesos financieros y no financieros de las organizaciones.

(Corporate Governance and Independence Monitoring Function, 10/1/2003, CFO Project Volume 2)

Para tomar certeza sobre la profundidad del "iceberg del cumplimiento", debe comenzarse con la intención gerencial de cumplir con el espíritu más que con la letra de la ley SOX. La Administración debe decidir si establece un adecuado y efectivo entorno de control basado en la estructura de control interno de acuerdo con el "espíritu" del Informe COSO o basarse en lo requerido específicamente en cada sección de la ley. ( lo "escrito" ).

Figura 1: Iceberg del Cumplimiento

Tal como se observa en la Figura 1, las organizaciones enfocadas exclusivamente en el cumplimiento de las Secciones 404 y 302 se ocupan meramente de la punta del iceberg. La verdadera adhesión al COSO, requiere una adecuada medición de niveles adicionales --otras secciones de SOX, otras regulaciones, acuerdos con prestadores, definición de postulados de la misión, políticas, procedimientos, tareas, y eventos de control únicos y exclusivos-- como parte del "proceso de monitoreo" de COSO que se desarrolla. (Observe la Figura 2 para visualizar la descripción de monitoreo de los niveles del Cubo de COSO). Esto significa que una vez que la administración decide cumplir con el espíritu más que con la letra de la ley, en primer lugar, debe determinar cuánto de lo que ya ha sido realizado para preparar el cumplimiento de la Sección 404, puede ser usado para evaluar y cuantificar los controles actuales.

El estado actual del cumplimiento de la sección 404

Desde el inicio de las actividades para preparar el cumplimiento con la Sección 404, han surgido una cantidad de metodologías "ad hoc". Redefinidos por ensayo y error, estos procesos han sido adoptados con varios propósitos en la mayoría de las organizaciones. Incluyen los siguientes pasos:

1. Evaluar el estado actual de los controles de la organización en los procesos claves.

2. Asegurarse de que el estado actual es adecuado en términos de fortaleza y documentación de los controles; donde los mismos no se encuentran o son inadecuados, desarrollarlos desde la base.

3. Contar con organismos o individuos independientes de los trabajos realizados en el paso 2, que testen la efectividad de los controles, corrijan las deficiencias donde sea necesario, y luego los vuelvan a probar.

4. Informar los resultados de los tres pasos anteriores para preparar la carta de declaración de la gerencia como se indica en al Sección 404, y proveer esos resultados a los auditores externos para la certificación de esa declaración.

Desafortunadamente, estas fases claves no han sido uniformemente implementadas a lo largo de todas las empresas. Abundan las historias preventivas que relatan cómo las organizaciones han salteado la fase de evaluación y comenzaron el paso de documentación; o han autorizado a los mismos organismos o personas que desarrollaron el trabajo requerido por el paso 2 para testearlo en el paso 3. En ambos casos, esas inconsistencias han resultado en costos adicionales a la organización, ya sea en redefinir los alcances o en rehacer completamente el trabajo de la 404.

Finalmente, y más importante, el trabajo llevado a cabo hasta la fecha en el paso 4 como el resultado de ese proceso no ha sido substanciado como el producto apropiado, dado que los Standards finales de Pruebas no han sido desarrollados aún por ningún auditor. (Norma # 2 del PCAOB)

¿Cuánto es suficiente?

Independientemente de la cantidad de esfuerzos ya insumidos en preparase para la Sección 404, la respuesta a esta pregunta fundamental expuesta anteriormente --¿Cómo puede conocer si su ambiente de control es efectivo, sin un pleno entendimiento de la profundidad de cumplimiento necesario y la adecuación de su proceso de medición y evaluación?-- puede "no ser suficiente", dado que se relaciona al cumplimiento íntegro y completo de la ley SOX.

Muchas organizaciones enfocadas únicamente en el cumplimiento de la Sección 404, han contratado firmas de servicios o software orientados al tema, que esencialmente proveen un producto para el informe 404. Las deficiencias significativas de este enfoque --que falla en asegurar que el producto será el cumplimiento y adecuación al Informe COSO, tal como es estipulado en las normativas emitidas hasta la fecha por el Public Company Accounting Oversight Board (PCAOB)-- aparecerán inmediatamente en los esfuerzos requeridos para recrear ese trabajo, tanto para cumplimentar las futuras declaraciones anuales de la 404, como para obtener las certificaciones trimestrales de la 302. Tal como se muestra en la Figura 1, el cumplimiento de COSO se extiende a los niveles inferiores de las secciones de la ley --a todo lo largo de las actividades de control individuales dentro de la organización. Para lograr el cumplimiento integral y completo regulado por la ley, una organización debe tomar un enfoque fundado en los elementos del Cubo COSO.

El marco COSO de Control interno

El Informe titulado "Internal Control-Integrated Framework" (Control Interno-Estructura Integrada), fue encomendado por el Committee on Sponsoring Organizations of the Treadway Commission (COSO). Estableció una definición común de control interno que cubre las necesidades de varios interesados, no solamente por evaluar los sistemas de control, sino también para determinar cómo se puede mejorarlos.

Figura 2: El impacto de Sarbanes-Oxley en el Modelo COSO

Tal como fuera originalmente publicado, el Informe COSO fue considerado como un enfoque voluntario para implementar las mejores prácticas dado que se refieren a un ambiente de control sano. Sin embargo, con el surgimiento de la ley SOX y la mayor clarificación provista por la SEC y el PCAOB, el Informe COSO se ha establecido como el parámetro de comparación para determinar el cumplimiento con la ley. Y más importante aún, dado que otros aspectos de la ley son definidos más claramente o se convierten en aplicables, los componentes del Informe COSO tomaron aún más importancia. Los mismos cubren, no solamente los controles necesarios

...