SOX. Una breve introducción.

No sé hasta dónde llega su memoria histórica, pero es muy posible que recuerden el nombre de Enron, una empresa energética que se hizo mundialmente famosa por salpicar en un escándalo de fraude contable al actual presidente de los Estados Unidos a finales de 2001, y por desprestigiar gravemente a la conocida firma de auditoría Arthur Andersen. Quizá también les suene el nombre de Worldcom, que se declaró en bancarrota y ostenta el dudoso título de ser a día de hoy el mayor caso de bancarrota en la historia de EEUU (disculpen mi falta de vocabulario financiero técnico y/o legal); Enron le acompaña como segunda en el podio. Más allá de estos dos célebres casos, es posible que desconozcan que Tyco o Xerox estuvieron también implicadas en escándalos similares; y hay bastantes más.

Sin entrar en demasiados detalles, el denominador común a todos estos casos fue la utilización de “técnicas contables” que enmascaraban y ocultaban problemas financieros, que llegaban a ser de miles de millones de dólares, reflejando una falta de transparencia del gobierno empresarial y la situación contable y financiera. Noten que no he indicado que existiese una falta de control, porque dadas las características de dichos fraudes multimillonarios, en los que estaban implicados los principales responsables corporativos, no puede decirse que hubiese ausencia de control interno (aunque sí externo) en la medida en que las actividades fraudulentas eran premeditadas. Como respuesta a este tipo de fraudes, se introdujo en EEUU la ley conocida comúnmente como SOX, cuyo nombre completo es Sarbanes-Oxley Act of 2002.

Esta ley fue pensada y escrita con el propósito de incrementar la transparencia financiera de las empresas que cotizan en la bolsa estadounidense, protegiendo de este modo a los inversores y accionistas exigiendo fiabilidad, responsabilidad y exactitud en los datos financieros; salvando las distancias, que no son pocas, podríamos decir que SOX es, respecto a datos contables y financieros, lo que la LOPD es a los datos de carácter personal. La manera que SOX tiene de aplicar estos objetivos es mediante el establecimiento de controles que impidan y disuadan de la realización de actividades financieras ilícitas, además de introducir multas de hasta 5 millones de dólares y penas de cárcel de hasta 20 años para aquellos gestores cuyas empresas incumplan con los requerimientos de SOX. En la actualidad, esta es una de las leyes más completas y estrictas —quizá en algunos aspectos demasiado— en la prevención del crimen financiero, definiendo una serie de comportamientos fuertemente penados tales como alteración de informes financieros, amenazas contra posibles denunciantes de actividades irregulares (whistleblowing), o engañar y confundir a los auditores.

Hay que destacar que, por el espíritu de protección de los accionistas e inversores que tiene SOX, su ámbito de aplicación no se limita a aquellas corporaciones sitas en EEUU, sino a todas aquellas, estadounidenses o no, que directa o indirectamente tienen presencia en la bolsa americana; esto implica por tanto que una corporación multinacional formada por diversas unidades de negocio, en la que únicamente una de ellas cotiza en la bolsa estadounidense, deberá ser conforme a SOX en todas ellas. Esto evitará que un fraude financiero en una filial o la empresa matriz repercuta en las cuentas de la empresa que cotiza en la bolsa americana y que está “limpia” financieramente a todos los efectos.

Aunque como se ha indicado anteriormente la ley establece claramente cuáles son aquellas conductas irregulares penadas, y transmite en general la idea de transparencia y responsabilidad a la conducta y gobierno empresarial, no entra en los detalles concretos de cuáles deben ser las medidas para la adaptación y conformidad a SOX, dejando la decisión y definición de los controles a las propias empresas. Esto aporta como principal ventaja la libertad y flexibilidad que confiere a la propia empresa en el tipo, calidad y cantidad de los controles, aunque por otra parte, esta falta de definición y ausencia de concreción es uno de principales focos de confusión acerca de qué debe considerarse un control apropiado para SOX. Las áreas donde SOX tiene una mayor incidencia son, según la metodología COSO (Committee of Sponsoring Organizations of the Treadway Commission) de cumplimiento, la Evaluación de Riesgos, el Control del Ambiente Laboral, el Control de las Actividades, la Monitorización, y la Información y Comunicación.

Aparte de la ley estadounidense, leyes con un propósito similar existen en otros países, bien creadas a partir de SOX, o de manera independiente; algunos ejemplos son CSOX (Canadá), CLERP9 (Australia), J-SOX (Japón) o LSF (Francia), y en la actualidad existe un proyecto de SOX europea denominada euroSOX. Aunque como se ha indicado SOX es de obligatorio cumplimiento sólo para organizaciones que coticen en la bolsa americana, hay que considerarla como norma de referencia para el buen gobierno.

No obstante, es preciso aclarar que SOX no es, como cualquier regulación, norma o ley, la panacea; SOX no pone una pistola en la nuca de cada bróker, contable o financiero, ni una cámara encima de cada persona; no es capaz de preveer o evitar complejos fraudes financieros que son desarrollados por personas muy conocedoras del entorno en el que se mueven; y otro ejemplo más es el reciente caso del bróker Jérôme Kervial en Société Genéralé, aunque el comentario lo dejamos para una próxima entrada.

Para finalizar con esta introducción, lo que este tipo de situaciones ponen de manifiesto es que, más allá de regulaciones o restricciones exógenas, se hace imprescindible que los controles y mecanismos tengan un origen endógeno, que surjan de la propia organización, consciente de los riesgos a los que se enfrenta, tanto ajenos como propios. Conceptual e idealmente, los controles que introducen leyes como SOX no deberían ser algo que “emanase” de organismos ajenos sino que las empresas deberían implantar de “motu propio”.

Comments

  1. Buena introducción Manolo.
    Solo decir que como consecuencia de la SOX, las empresas americanas se pusieron las pilas en cuanto a lo que la seguridad de la información se refiere y han implantado medidas de seguridad a nivel global que ya eran demandadas por otras leyes (protección de datos, HIPA, etc.) pero eran apliamente ignoradas en este aspecto. Parece que la llamada del dolar y la cotización en bolsa de las acciones son lo mas importante en los Estados Unidos y cualquier cosa que les afecte tiene prioridad. La consecuencia ha sido mover un gran negocio en las consultoras y proveedores de seguridad así que esperemos un efecto similar en Europa cuando toque.

  2. SOX es tan importante que Cobit, por ejemplo, ya hace referencia a esta ley. De hecho Cobit ya publicó un librito con los controles para el cumplimiento de la ley:

    http://www.isaca.org/Template.cfm?Section=bookstore&Template=/Ecommerce/ProductDisplay.cfm&Productid=512

    Imprescindible para el buen Gobierno de la información, sobretodo en multinacionales, sería interesante saber como será la SOX europea, ¿hay algún borrador de la euroSOX?

    Salu2

  3. Vistos los sucesos de estas últimas semanas, en el mundo financiero, sobre todo el americano, me pregunto donde estaban los inspectores y auditores de la SOX cuando se ha llegado a esto.
    Desde un principio he creido que era una buena norma y además necesaria, pero he dudado del uso que se haría de ella y parece que los hechos me dan la razón. Con la SOX se obtiene mucha información interesante sobre las prácticas y estado financiero de las empresas, aparte de conocerse fortalezas y debilidades de los sistemas que la gestionan. Quién y como usa esta información, es otra cosa.

  4. yo trabajo como outsourcing para una empresa automotriz en México, mi rol es externo como proveedor de un servicio de asesoria en seguros, estoy capturando polizas en SAP referentes a mi trabajo de reclamos que generamos a la compañia de seguros…¿es correcto que me dejen hacer esto? capturo y concilio los pagos, ademas de generarlos, o sea, todo el proceso de un flujo de trabajo…¿esta mal esto?
    mi correo es ga-ma1967@hotmail.com
    Gracias y saludos.

Trackbacks

  1. […] ¿Te interesa la regulación de los mercados internacionales? […]