The Sarbanes-Oxley Act explained: Definition, purpose, and provisions

Sarbanes-Oxley Act: Summary and definition

La Ley Sarbanes-Oxley (a veces conocida como SOA, Sarbox, o SOX) es una ley estadounidense para proteger a los inversores mediante la prevención de prácticas contables y financieras fraudulentas en empresas que cotizan en bolsa. Aprobada en 2002 a raíz de una serie de escándalos corporativos y el estallido de la burbuja punto-com, Sarbanes-Oxley impuso una serie de informes, contabilidad y mandatos de retención de datos para garantizar que las prácticas comerciales en las grandes empresas permanezcan por encima de la mesa.,

mientras que muchas disposiciones de Sarbanes-Oxley se centran en asuntos financieros y contables, el tratamiento adecuado de los datos corporativos es la piedra angular de muchos aspectos de cómo funciona la ley, y eso tiene un gran impacto en él, en el que nos centraremos en este artículo.

¿Cuál es el propósito de la Ley Sarbanes-Oxley?

El acto de Sarbanes-Oxley es producto de una serie de escándalos que tuvieron lugar alrededor del cambio de milenio., Varias compañías que cotizan en bolsa—Enron y WorldCom fueron dos de las más prominentes-utilizaron trucos contables, corporaciones ficticias y otras técnicas fraudulentas para ocultar las pérdidas comerciales del público y mantener los precios de las acciones artificialmente altos. Los ejecutivos y los miembros de la Junta utilizaron este engaño para enriquecerse, cobrando y dejando a los inversores (y, en el caso de Enron, los empleados que habían sido instados a poner su jubilación en acciones de la compañía) sosteniendo la bolsa cuando el engaño ya no podía mantenerse y el precio de las acciones colapsó.,

estos escándalos se desataron casi al mismo tiempo que los precios de las acciones de punto-com colapsaron, y aunque ninguna de esas compañías de internet en etapa inicial perpetró fraude a una escala tan grande como Enron, muchas personas creían que habían inflado los informes de su potencial de ganancias antes de las OPI inicialmente lucrativas, esencialmente enriqueciendo a los fundadores de la compañía a expensas de los inversores.

La Ley Sarbanes-Oxley impuso una pesada carga regulatoria en un intento de evitar que este tipo de abusos vuelvan a ocurrir., La ley tiene como objetivo mejorar el comportamiento corporativo asegurándose de que las empresas produzcan y retengan datos precisos sobre sus propias finanzas, y que puedan poner esos datos a disposición de los inversores y reguladores en tiempo casi real. Para ti, eso significa que enormes cantidades de datos corporativos deben mantenerse meticulosamente precisos y absolutamente seguros, tanto de amenazas internas como externas, y deben estar disponibles para los auditores e inversores con poca antelación.

¿a quién se aplica Sarbanes-Oxley?,

algunas disposiciones de Sarbanes-Oxley se aplican a las empresas privadas: la ley prohíbe a dichas empresas destruir registros para impedir la investigación de una agencia federal, por ejemplo, o tomar represalias contra los denunciantes. Sin embargo, en general, las disposiciones de la ley que vamos a discutir aquí se aplican a las empresas cuyas acciones se negocian en las bolsas de valores públicas, o que están preparando una salida a bolsa para salir a bolsa. La transparencia de los datos que la ley exige está destinada a proteger a los inversores o inversores potenciales de juzgar mal las finanzas de una empresa debido a la manipulación por parte de los iniciados.,

disposiciones de Sarbanes-Oxley

Las disposiciones de la Ley Sarbanes-Oxley se desglosan en secciones numeradas. Echemos un vistazo a las secciones de mayor interés en términos de ti y seguridad de datos:

  • sección 302: las empresas públicas deben presentar informes periódicos a la Comisión de seguridad e intercambio. Los altos ejecutivos deben dar fe personalmente de la información contenida en estos informes y son responsables de establecer controles internos de los datos.,
  • Sección 404: los informes financieros anuales deben incluir una sección sobre esos controles internos que evalúe su eficacia; cualquier deficiencia descubierta en esos controles debe ser revelada. Los auditores externos registrados deben dar fe de la evaluación de la gestión de los controles internos.
  • sección 409: cualquier cambio importante en las condiciones financieras u operaciones de la COMPAÑÍA debe divulgarse al público de manera oportuna.
  • secciones 802 y 906: estas son las secciones que se ocupan de las sanciones., Entraremos en los detalles más adelante en el artículo, pero prohíben alterar documentos en un intento de impedir una investigación y también hacen ilegal que cualquiera certifique un informe financiero engañoso o fraudulento.

de estas secciones, 404 se considera la más compleja y más onerosa. No solo se deben establecer sistemas técnicos elaborados para mantener la integridad y la protección de los datos, sino que la administración de la empresa y los auditores externos deben evaluar y documentar regularmente la eficacia de esos sistemas.,

requisitos de Sarbanes-Oxley

esas son muchas disposiciones para digerir, y tendrá que profundizar en los mandatos específicos que imponen. Pero aquí hay un resumen de alto nivel de lo que la ley requiere que vale la pena tener en cuenta como una vista de 10,000 pies:

todas las compañías aplicables deben establecer un marco de contabilidad financiera que pueda generar informes financieros que sean fácilmente verificables con datos de origen trazables. Estos datos de origen deben permanecer intactos y no pueden someterse a revisiones no documentadas., Además, cualquier revisión de los programas informáticos financieros o contables debe estar plenamente documentada en cuanto a lo que se cambió, por qué, por quién y cuándo.

aquí reconocerás elementos de la tríada CIA y sus variantes. En particular, la integridad de los datos debe ser protegida, los datos deben estar disponibles para aquellos que los necesitan, y el no repudio debe aplicarse para garantizar que sea posible saber quién creó o alteró los datos.

controles de Sarbanes-Oxley

los medios por los que se implementan los requisitos de Sarbanes-Oxley dentro de una organización se conocen como controles., Un control en este contexto es una norma interna destinada a prevenir o detectar errores o irregularidades dentro de un ciclo de Información Financiera.

Sarbanes-Oxley exige que los controles se implementen en toda la empresa. El Blog Varonis ofrece algunos ejemplos específicos de los tipos de reglas que se investigarían como parte de un procedimiento de auditoría Sarbanes-Oxley:

  • Acceso: necesitará tener reglas que cubran tanto el acceso físico a sus oficinas y archivos en papel como el acceso electrónico a sus datos., La ley exige un modelo de acceso menos permisivo, bajo el cual los empleados solo tienen acceso tan extenso como sea necesario para hacer su trabajo, pero no más extenso que eso.
  • copia de seguridad de datos: los registros financieros deben ser respaldados fuera del sitio en formas establecidas por la ley.
  • Seguridad: necesitará un conjunto de reglas que demuestren que ha protegido sus datos contra violaciones, aunque la implementación se deja a su discreción dentro de límites razonables.,
  • Gestión de cambios: necesitará tener procedimientos definidos para agregar o cambiar las bases de datos y el software que administran sus finanzas corporativas, así como agregar nuevos usuarios a sus sistemas.

notará que estos controles se describen de manera abstracta. En general, los controles se detallan en términos de lo que hacen (o previenen), y depende de él averiguar cómo implementarlos., Por ejemplo, las normas sobre Acceso Electrónico pueden identificar los títulos de trabajo cuyos titulares pueden modificar los datos financieros internos de una empresa, pero dependerá del departamento de TI de la empresa asegurarse de que las personas correctas tengan los permisos adecuados en los sistemas pertinentes para hacerlo (o se les impida hacerlo).

esto obviamente hace mucho trabajo, y tal vez como era de esperar ha creado una industria artesanal de paquetes de software preescritos para ayudar a implementar controles estandarizados de Sarbanes-Oxley.,estos mandatos tomando los siguientes pasos, como se resume en el blog de Varonis:

  1. Los CEOs y CFO deben asumir la responsabilidad de los informes financieros y los controles internos
  2. Se debe redactar un informe de control interno que tenga una mirada honesta a los controles de la empresa
  3. Las políticas formales de seguridad de datos deben redactarse y aplicarse de manera coherente, y se debe desarrollar una estrategia de seguridad de datos
  4. Todos los pasos de cumplimiento deben registrarse y documentarse continuamente

todo esto requiere mucho trabajo por parte de las empresas, y muchas buscan ayuda para hacerlo., Una organización que ofrece recursos es el Comité de organizaciones patrocinadoras de la Comisión Treadway, o COSO. Formado en 1985 para ayudar a combatir el fraude corporativo, COSO ha mantenido durante años un marco para los controles internos que las empresas pueden seguir con el fin de implementar las mejores prácticas antifraude. La revisión más reciente, que data de 2013, describe específicamente cómo puede ayudarlo a lograr el cumplimiento de Sarbanes-Oxley.,lista de comprobación de nce que le da una idea rápida de todo lo que necesitará cubrir:

  1. Evitar la manipulación de datos
  2. registrar plazos para actividades clave
  3. Crear controles verificables para rastrear el acceso
  4. probar, verificar y divulgar salvaguardias a los auditores
  5. informar sobre la eficacia de las salvaguardias
  6. detectar violaciones de seguridad
  7. divulgar violaciones de seguridad y fallos de controles de seguridad a los auditores

RSI Security tiene una visión más profunda de lo que debe hacer cuando se enfrenta a una auditoría de cumplimiento de Sarbanes-Oxley que tiene muchos detalles excelentes.,

Sarbanes-Oxley penalties

Sarbanes-Oxley penalties can be quite serious—and, importantly, they apply to individuals in positions of power at companies directly, not just the companies as institutions. Si bien los funcionarios corporativos que firman erróneamente informes erróneos pueden ser castigados por ello, el peor tratamiento se reserva para el fraude deliberado. Por ejemplo, un director ejecutivo o director financiero que certifique a sabiendas un informe que viola la Ley puede ser multado con hasta 5 5 millones de dólares o enviado a prisión por hasta 20 años.,

Ley Sarbanes-Oxley: casos y ejemplos

definitivamente hay ocasiones en que el Gobierno federal de los Estados Unidos utiliza las armas que proporciona Sarbanes-Oxley. Por ejemplo, en 2003, poco después de que se aprobara la ley, los empleados de Ernst & Young fueron detenidos por destruir documentos pertenecientes a uno de sus clientes. en 2014, la FEC presentó cargos contra el CEO y CFO de una compañía de computadoras de Florida por engañar a los auditores sobre el estado de sus controles internos.,

pero en la práctica, algunos ven a Sarbanes-Oxley como una oportunidad perdida cuando se trata de procesar el fraude corporativo. Incluso cuando se puede demostrar que los informes financieros son fraudulentos, puede ser difícil probar que los Directores Ejecutivos y los Directores Financieros sabían sobre el fraude cuando firmaron los informes, y si los fiscales tienen pruebas sólidas de esto, casi siempre pueden usar la evidencia para presentar cargos de fraude aún más fuertes que no forman parte del conjunto de opciones Sarbanes—Oxley., Sin embargo, el profesor de derecho Peter Henning dice que la ley ha tenido un efecto positivo como disuasivo: se establece que «las travesuras contables ya no se tolerarán.»Espero que eso te haga sentir que la lucha por la certificación vale la pena.

Share

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *