Hace quince años, la Ley Sarbanes-Oxley (SOX) se convirtió en ley. Poco después se produjo una avalancha masiva de empresas que necesitaban una forma de cumplirla. Esto también dio lugar a una oleada de implantaciones de software que eran necesarias y debían estar en marcha y funcionando muy rápidamente. Huelga decir que esto requería el uso de la tecnología disponible en aquel momento. Para muchos, el vínculo con esta tecnología no se ha roto. Ciertamente, ha habido actualizaciones y, para algunos, migración a nuevas versiones y, más recientemente, a sistemas basados en la nube, pero para muchos (aproximadamente la mitad si utilizamos la duración típica de una generación de unos 30 años), el sistema que utilizan fue implantado por una generación anterior de auditores, y los que están sujetos a los requisitos de mantenimiento de registros y elaboración de informes de la SOX. Más recientemente se ha hecho mayor hincapié en los enfoques basados en el riesgo. A menudo no es posible hacer absolutamente todo lo que se exige (y desde luego no es rentable), por lo que muchas organizaciones han desarrollado enfoques basados en el riesgo. En 2002, no se hacía mucho hincapié en el riesgo. La norma de riesgo más importante en aquel momento era probablemente AS:NZS4360:1999 y no fue hasta 2009 cuando apareció la ISO 31000, que ahora constituye la base del riesgo en muchas otras normas (nota: la ISO 31000 está siendo revisada y el 17 de febrero de 2017 se publicó un nuevo borrador de norma internacional). Aunque puede que se esté estudiando la reforma de la SOX, el consenso general parece ser que ésta se centrará más en las reformas para las instituciones financieras, pero pase lo que pase, los cambios podrían ser tan repentinos como los cambios tipo tsunami que desencadenó la SOX en 2002. Sin embargo, hay cambios provocados por la tecnología que pueden hacer que esta próxima oleada sea más sencilla de gestionar para quienes estén preparados. En primer lugar, la nube. Aunque muchos siguen debatiendo sobre lo bueno y lo malo de tener datos SOX en la nube, cada vez se acepta más el uso de la nube. Entre sus principales ventajas se incluyen:
– Rapidez de aplicación.
– Velocidad de actualización.
– Seguridad.
Piensa en los grandes proveedores de la nube, que tienen cientos, si no miles, de personas y sistemas altamente especializados protegiendo el sistema y los datos, en comparación con los recursos informáticos de la mayoría de las empresas.
Coste.
El coste compartido de la infraestructura en la nube suele ser mucho menor que el de las implantaciones in situ. En segundo lugar, la integración del proceso SOX en todos los nichos de la organización ha dado lugar a la Gestión Integrada de Riesgos, en la que los riesgos de cualquier parte de la organización se gestionan de forma coherente y se basan en los datos interconectados para garantizar que existe una única instancia de los hechos, de modo que se pueda tomar una mejor decisión y los posibles problemas salgan a la luz antes de que se conviertan en incidentes graves. En tercer lugar, han llegado los «Grandes Datos». Aunque esto puede ser un reto en sí mismo, la clave está en la superposición de herramientas de visualización de datos que se sitúen por encima de los datos, proporcionando una visión de este conjunto masivo de datos y presentando estas visiones de forma que sean fácilmente comprensibles y permitan a los responsables tomar decisiones informadas basadas en los datos actuales. Pero las implantaciones in situ pueden no tener la capacidad de aprovechar esta ola con tanta eficacia como los sistemas basados en la nube. La nube está aquí para quedarse, y ahora podría ser el mejor momento para plantearse un cambio.
¿Por qué el cumplimiento de la SOX requiere tanto tiempo?
Incluso después de 15 años, los directivos de las grandes empresas públicas afirman que siguen luchando por estabilizar los costes y controlar las horas dedicadas al cumplimiento de la Ley Sarbanes-Oxley (SOX), según un informe de Protiviti. de Protiviti 2017 de Protiviti sobre el cumplimiento de la ley Sarbanes-Oxley.
Las principales conclusiones del estudio incluyen:
La evolución de la normativa aumenta el tiempo dedicado al cumplimiento de la SOX
La mayoría de las empresas -independientemente de su tamaño- vieron aumentar el tiempo que dedicaban al cumplimiento de la SOX el año pasado, y para dos tercios de esas empresas aumentó más de un 10%. Según el estudio, los cambios en la normativa -como la Norma de Auditoría AS.18 (AS.2410 recodificada); la divulgación de información no ajustada a los PCGA y los controles asociados; el aumento de la documentación sobre ciberseguridad; y la mayor atención prestada a los informes SOC externalizados- fueron probablemente factores determinantes. Los requisitos normativos asociados probablemente seguirán cambiando, por lo que es difícil predecir el número de horas que las organizaciones -sobre todo las grandes y complejas- tendrán que dedicar al cumplimiento de año en año.
Las organizaciones complejas dedican más tiempo al cumplimiento de la SOX
No es sorprendente que exista una correlación entre el número de sedes y los costes anuales de cumplimiento de la SOX, con una diferencia media de casi 1 millón de dólares entre las organizaciones menos y más complejas. Más concretamente, la encuesta señala que cuanto mayor sea el número de sedes de la empresa, mayor será el recuento de controles. Casi el 43% de las empresas con más de 12 sedes afirmaron que entre el 78% y el 100% de los controles estaban clasificados como controles clave, un porcentaje significativamente superior al de las empresas con entre 4 y 12 sedes.
La externalización ofrece alivio a los problemas de cumplimiento de la SOX
Cada vez son más las empresas que externalizan su trabajo de cumplimiento de la SOX, probablemente impulsadas por las limitaciones de tiempo que impone a una organización. Como resultado, descubren que los costes se están nivelando. Sin embargo, estos costes de terceros no suelen incluirse en el presupuesto de cumplimiento de SOX, sino que se dispersan por los presupuestos de las unidades de negocio. Para las grandes organizaciones, esto hace aún más difícil determinar con precisión cuánto se gasta en el cumplimiento de SOX.
Leer «¿Las auditorías externas cuestan o ahorran dinero a las empresas?»
Los ejecutivos siguen valorando positivamente el trabajo de cumplimiento de la SOX
A pesar de los costes, los directivos informaron de que el cumplimiento de la SOX les ha ayudado a crear procesos más ágiles y racionalizados, lo que tiene beneficios más allá del cumplimiento. Pero obtener valor a largo plazo de sus esfuerzos podría exigir un análisis más detallado de cómo están entretejiendo el trabajo de cumplimiento con otros aspectos del control de riesgos.
El papel de la tecnología de gestión de riesgos en el cumplimiento de la SOX
Los resultados de esta encuesta deberían incitar a los directivos de las empresas grandes -y en crecimiento- a plantearse qué pueden hacer para controlar el tiempo y los costes del cumplimiento de la SOX. Es probable que la mayoría de las grandes empresas ya hayan invertido en algún tipo de solución tecnológica para apoyar los esfuerzos de cumplimiento de la SOXpero puede que esa tecnología se esté quedando anticuada.
Los directivos deben examinar si sus soluciones tecnológicas son lo suficientemente ágiles como para ayudar a controlar el tiempo y los costes en el futuro. Más información La tecnología de gestión de riesgos SaaS puede ayudar a las organizaciones complejas y globales a mantenerse al día con las cambiantes normativas y a integrar el cumplimiento de SOX en su programa general de ERM.
