Índice de contenidos

¿Pueden las auditorías salvar su empresa?

¿Qué es la Ley SOX?

3 retos del cumplimiento de la ley Sarbanes Oxley

Cumplimiento de las normas Sox y el coste de la exención

Soluciones tecnológicas y cumplimiento de la SOX

Auditoría y prevención del fraude

La responsabilidad de los auditores internos

¿Qué pasa si me auditan?

¿Pueden las auditorías salvar su empresa?

Nos gusten o no, los requisitos de los auditores externos para los informes financieros de las empresas han demostrado ser "muy eficaces" para detectar el fraude empresarial, según un estudio reciente de la Asociación Americana de Contabilidad.

I¿Está su empresa exenta de la revisión de la auditoría externa de la ley Sarbanes-Oxley (SOX)? Si es así, esa exención puede costarle a su empresa tanto como le ahorra, según un reciente estudio publicado a finales de junio por notables instituciones académicas.

El estudiarEl estudio, dirigido por académicos de la Universidad de Washington y de la Universidad de Georgetown, descubrió que, si bien la exención de las auditorías de la SOX puede beneficiar a las empresas desde el punto de vista financiero -al evitar los elevados honorarios de las auditorías-, también puede hacer que las empresas incurran en gastos aún más costosos por la presentación de informes erróneos, entre otros:

  1. Menores resultados de explotación por la falta de saneamiento
  2. Valores de mercado que no reflejan el estado de control interno subyacente de una empresa

¿Qué es la Ley SOX?

El Ley Sarbanes-Oxley (SOX) fue aprobado por el Congreso de Estados Unidos en 2002 para ayudar a frenar la actividad contable fraudulenta de las empresas. 

Más concretamente, la disposición 404(a) de la Ley SOX exige a las organizaciones que establezcan controles contables internos y métodos de información.  La sección 404(b) exige que los auditores externos supervisen el control interno de las empresas sobre la información financiera.

Las empresas con menos de $75 millones de capitalización bursátil han estado permanentemente exentas de la 404(b) desde 2010, gracias a la Ley Dodd Frank, una prórroga que se concedió a las pequeñas empresas por temor a que no pudieran asumir la carga de los costes asociados al cumplimiento.

3 retos del cumplimiento de la ley Sarbanes-Oxley

Incluso si las empresas creen que las auditorías externas pueden salvarlas de los peligros del fraude, siguen teniendo las frustraciones asociadas al cumplimiento de la ley Sarbanes-Oxley y otros requisitos de auditoría.

1. Los requisitos y la normativa cambian constantemente

Las organizaciones tienen que seguir el ritmo de esos cambios y luego modificar sus propios procesos para cumplir con esas obligaciones en constante evolución. Lea, "Sus auditores se preocupan por estas 8 cosas"

2. Mantener el ritmo cuando las reglas cambian constantemente cuesta tiempo y dinero

De hecho, puede suponer un coste real para los recursos de una organización. Sin el personal, las herramientas o la tecnología adecuados, las organizaciones pueden verse desviando recursos del rendimiento empresarial solo para cumplir con la normativa.

3. La tecnología se queda anticuada rápidamente

Las organizaciones no sólo tienen que mantener sus procesos e informes en consonancia con la evolución de las normas y requisitos, sino que también tienen que mantener actualizada la tecnología que utilizan para apoyar sus esfuerzos de cumplimiento. Y para las empresas que invirtieron en tecnología a principios de la era de la ley Sarbanes-Oxley, y ahora tienen "sistemas heredados", esto puede ser una verdadera lucha.

Afortunadamente, en los últimos años tecnología de gestión de riesgos integrada ha madurado significativamente para hacer más ágil la gestión del cumplimiento y la auditoría.

Dado que esta tecnología se ofrece ahora como software como servicio, presenta ventajas como la rapidez de implantación y modificación, la mejora de la productividad del auditor y del auditado, la reducción de la dependencia del personal informático y la reducción general de los costes.

Esto permite a las empresas centrarse en los problemas -ya sea el fraude o cualquier otra cuestión que pueda poner de manifiesto una auditoría- en lugar de centrarse en mantener el funcionamiento de la tecnología.   

El cumplimiento de la SOX y el coste de la exención

Sin embargo, la carga del cumplimiento podría ser una carga que vale la pena soportar, según el estudio, que se titula Beneficios y costes de la exención de la Sección 404(b) de la Ley Sarbanes-Oxley: Datos de la información sobre el control interno de las pequeñas empresas.

El estudio fue basado en una muestra de más de 5.300 organizaciones exentas y observaciones anuales de 2007 a 2014.

Ciertamente, confirma que los honorarios de auditoría no son un gasto menor, con un ahorro de honorarios de auditoría que se estima en un total de $388 millones para las empresas exentas evaluadas durante el análisis de siete años.

Aun así, el estudio concluyó que el coste de la exención 404(b) era mucho mayor que el ahorro. Entre 2007 y 2014, las empresas de la muestra del estudio perdieron enormes ganancias potenciales -estimadas en $856 millones en total- por no remediar adecuadamente sus controles internos.

Además, experimentaron una $935 millones en valor de mercado agregado con retraso debido a la divulgación inoportuna del control interno.

En última instancia, el estudio determinó que "la exención de la sección 404(b) es costosa en la medida en que da lugar a que las empresas no descubran o revelen controles internos ineficaces (por ejemplo, la presentación de informes erróneos)".

Las dos principales pérdidas que se derivan de la presentación de informes erróneos -como ya se ha mencionado- incluyen un menor rendimiento operativo debido a la falta de reparación y valores de mercado que no reflejan el estado de control interno subyacente de una empresa.

Soluciones tecnológicas y cumplimiento de la SOX

Las consecuencias de los informes erróneos que se producen por el incumplimiento o la falta de supervisión de los controles contables y los métodos de información pueden ser costosas.

Estos costes, por supuesto, ni siquiera tienen en cuenta las sanciones y multas en las que incurren las organizaciones más grandes que realmente tienen que cumplir con la SOX 404(b).

Por esta razón, las grandes empresas recurrieron a la tecnología en busca de ayuda cuando se establecieron los requisitos. De hecho, la Ley SOX generó un enorme aumento en el suministro de software para apoyar los requisitos de la ley, un software costoso y engorroso que ahora está anticuado y no puede soportar la naturaleza evolutiva de los requisitos o las necesidades cambiantes de las empresas.

Sin embargo, en los últimos años, se ha desarrollado una nueva tecnología SaaS para ayudar a abordar los controles contables internos y los métodos de elaboración de informes, que ha demostrado ser más rápida, más segura y más eficaz, con una menor necesidad de apoyo interno.

Incluso la tecnología de gestión de riesgos puede ahora integrar soluciones para resolver estos problemas. Esto significa que la tecnología es accesible para organizaciones grandes y pequeñas por igual -independientemente de que se requiera o no el cumplimiento de la norma SOX 404(b)- y a una fracción de los costes que se derivan de los informes erróneos.

Más recientemente se ha hecho mayor hincapié en los enfoques basados en el riesgo. A menudo no es posible hacer absolutamente todo lo que se requiere (y ciertamente no es rentable), por lo que muchas organizaciones han desarrollado enfoques basados en el riesgo. En 2002, no se hacía mucho hincapié en el riesgo. La norma de riesgo más importante en ese momento era probablemente la AS:NZS4360:1999 y no fue hasta 2009 que apareció la ISO 31000, que ahora constituye la base del riesgo en muchas otras normas (nota: la ISO 31000 está en revisión y un nuevo proyecto de norma internacional fue publicado el 17 de febrero de 2017). Aunque la reforma de la SOX puede estar en estudio, el consenso general parece ser que se centrará más en las reformas para las instituciones financieras, pero pase lo que pase, los cambios podrían ser tan repentinos como los cambios tipo tsunami que desencadenó la SOX en 2002.

Ventajas de tener los datos SOX en la nube

Sin embargo, hay cambios provocados por la tecnología que pueden hacer que esta próxima ola sea más sencilla de gestionar para aquellos que estén preparados. En primer lugar, la nube. Aunque muchos siguen debatiendo sobre los aciertos y errores de tener datos SOX en la nube, cada vez se acepta más el uso de la misma. Las principales ventajas son:

Velocidad de aplicación.

Velocidad de actualización.

La seguridad.

Piense en los grandes proveedores de la nube, que cuentan con cientos, si no miles, de personas y sistemas altamente especializados que protegen el sistema y los datos, en comparación con los recursos informáticos de la mayoría de las empresas.

El coste.

El coste compartido de la infraestructura en la nube suele ser mucho menor que el de las implantaciones in situ.

En segundo lugar, la integración del proceso SOX en todos los nichos de la organización ha dado lugar a la Gestión Integrada de Riesgos, en la que los riesgos de cualquier parte de la organización se gestionan de forma coherente y se basan en los datos interconectados para garantizar que haya una única instancia de los hechos, de forma que se pueda tomar una mejor decisión y que los posibles problemas salgan a la luz antes de que se conviertan en incidentes importantes.

En tercer lugar, el "Big Data" está aquí. Si bien esto puede ser un reto en sí mismo, la clave es la superposición de herramientas de visualización de datos que se sitúan por encima de los datos, proporcionando una visión de este conjunto masivo de datos y presentando estas ideas de manera que se entiendan fácilmente y permitan a los responsables tomar decisiones informadas basadas en los datos actuales. Pero las implantaciones in situ pueden no tener la capacidad de aprovechar esta ola con tanta eficacia como los sistemas basados en la nube.

La nube está aquí para quedarse, y ahora podría ser el mejor momento para considerar un cambio.

Auditoría y prevención del fraude

Aunque los ejecutivos de las empresas suelen considerar que los requisitos de auditoría de la Ley Sarbanes-Oxley -o cualquier otro requisito de auditoría- son engorrosos y costosos, los riesgos asociados a no auditar (incluso si su empresa no está obligada a hacerlo) puede ser aún más costoso, especialmente si se detecta un fraude.

Por ejemplo, la organización típica pierde 5% de sus ingresos por fraude cada año, según el más reciente Informe a las Naciones sobre el fraude y el abuso en el trabajoque fue publicado en 2014 por la Asociación de Examinadores de Fraude Certificados.

El informe también destacó que más de 22% de los casos de la encuesta dieron lugar a pérdidas de al menos $1 millón, y la pérdida media ascendió a $145.000. La costosa naturaleza del fraude es la razón por la que la detección del mismo es tan importante, y en efecto, por la que las auditorías externas son potencialmente igual de importantes.

El estudio de la American Accounting Associationpublicado en Auditoría: A Journal of Practice and TheoryEl informe de la Comisión Europea sobre el control interno de la información financiera sugiere que existe una relación entre la debilidad de los controles internos de la información financiera y un mayor riesgo de fraude contable no revelado en las empresas públicas.

Ese vínculo "es una consideración importante a la hora de sopesar los costes y los beneficios de Sarbanes-Oxley". según un reciente artículo del New York Times, "Sarbanes-Oxley, Bemoaned as a Burden, Is an Investor's Ally".

Esta consideración ha cobrado gran interés últimamente, ya que el Congreso está estudiando la posibilidad de hacer retroceder algunas de las normas de la ley.

La responsabilidad de los auditores internos

Los departamentos de auditoría interna se han considerado tradicionalmente como una función orientada a la gobernanza y el cumplimiento de la normativa, destinada a garantizar que la gestión de riesgos, la gobernanza y el proceso de control interno de la organización funcionan eficazmente para cumplir con los reglamentos y las normas que afectan a sus negocios.

Las expectativas de los miembros del consejo de administración están siendo elevadas para los auditores internos para innovar de manera que protejan y transformen la empresa-lo que significa que el cumplimiento es crítico. La tecnología de gestión de riesgos integrada ayuda a desarrollar eficazmente formas innovadoras de proporcionar una mejor estrategia que permita a los auditores internos centrar eficazmente sus esfuerzos en la predicción del riesgo y la protección de sus organizaciones.

Los datos pueden introducirse, normalizarse y revisarse en tiempo real, todo en un solo lugar. La información precisa y las perspectivas están disponibles de inmediato y actualizadas, en lugar de estar encerradas en hojas de cálculo enviadas por correo electrónico con datos antiguos que ya no son relevantes.

Los sistemas automatizados y basados en la nube fomentan el intercambio de información en toda la organización y proporcionan datos y análisis en tiempo real. Las representaciones visuales o gráficas instantáneas de los datos reducen el tiempo de elaboración de informes y permiten mejorar las estrategias de auditoría, acelerar los ciclos de auditoría, reducir los costes de auditoría y mejorar la productividad de los auditores.

Por qué la auditoría interna debe pasar de marcar casillas a innovar

La necesidad de ser relevante es a menudo el principal motor de los departamentos de auditoría interna que intentan pasar de las funciones basadas en el cumplimiento a las operaciones de transformación, un concepto que sin duda resulta familiar para empresas de auditoría externa también compiten por ser relevantes y aportar valor a sus clientes.

Para los propios auditores, pasar de un papel basado en el cumplimiento a un papel innovador va a ser obviamente más satisfactorio profesionalmente. Pero las empresas también obtienen recompensas financieras muy reales al pensar en el cumplimiento de una manera "fuera de la caja" en lugar de "marcar cajas".

Pero, ¿cómo es realmente la innovación en los departamentos de auditoría interna? Según el Instituto de Auditores Internos, "el pulso de la profesión" estudio, requiere que los departamentos de auditoría interna transformen sus operaciones y mejoren sus respuestas a la constante evolución de los trastornos empresariales.

Simplificado, significa que deben identificar y mitigar los riesgos perjudiciales antes de la interrupción, así como darse cuenta de la ventaja del riesgo, para que la dirección pueda tomar decisiones informadas para proteger y añadir valor al negocio.

Si esto parece imposible, no lo es... al menos para aquellas organizaciones dispuestas a invertir en la tecnología adecuada. Según el informe anual de PwC "Estado de la Profesión de Auditoría Interna" estudio, 56% de los líderes de auditoría interna creen que la adopción de la tecnología influye en el valor de la auditoría interna para la organización.

¿Qué pasa si me auditan?

Si su empresa está sujeta a Cumplimiento de la SOX u otros externos requisitos de auditoría - o simplemente contrata a auditores externos como un coste de la actividad empresarial, entonces podría experimentar un mayor nivel de escrutinio por parte de sus auditores.

Ello se debe a que una multitud de empresas de auditoría se verán sometidas a un mayor escrutinio a medida que la Consejo de Supervisión Contable de Empresas Públicas (PCAOB) anunció a finales de agosto que tiene la intención de revisar 195 auditores registrados de empresas públicas y otros emisores en 2017 en torno a algunas áreas de interés clave.

La naturaleza y el alcance de los hallazgos de las inspecciones del PCAOB siguen influyendo significativamente en la forma en que se ejecuta la industria de la auditoría y en cómo las empresas diseñan y operan los controles internos.

Las áreas clave de enfoque para las revisiones del PCAOB de 2017 incluyen:

  1. Áreas de auditoría en las que los inspectores han detectado deficiencias en el pasado, como la evaluación y respuesta a los riesgos de incorrecciones materiales
  2. Áreas de auditoría afectadas por la reciente evolución económica, incluido el alto índice de actividad de fusiones y adquisiciones y las fluctuaciones de los precios del petróleo y el gas natural
  3. Áreas de información financiera que requieren un juicio significativo, incluidas las consideraciones de empresa en funcionamiento y la información sobre el impuesto sobre la renta
  4. Cumplimiento de las nuevas normas de transparencia por parte de una empresa de auditoría (formulario AP)
  5. Preparación para las nuevas normas contables de reconocimiento de ingresos y contabilidad de arrendamientos
  6. Trabajo de otros auditores en auditorías multinacionales
  7. El uso de la tecnología de la información por parte del auditor, en particular las herramientas de auditoría de software
  8. El sistema de control de calidad de la empresa de auditoría

Ya sea que su empresa esté sujeta a auditorías externas por elección o por necesidad, usted no es ajeno a las regulaciones, normas de cumplimiento y requisitos de auditoría en constante evolución, que pueden hacer que su proceso de cumplimiento y auditoría se convierta en un caos.

Sin embargo, saber qué buscan los auditores puede ayudar a aliviar ese estrés. ¿Está interesado en saber más sobre cómo la tecnología de gestión de riesgos puede resolver sus problemas de cumplimiento de SOX o de auditoría? Lea más sobre Solución SOX de Riskonnect para la ley Sarbanes-Oxley. 

¿Por qué el cumplimiento de la SOX requiere tanto tiempo?

Incluso después de 15 años, los ejecutivos de las grandes empresas que cotizan en bolsa dicen que siguen luchando por estabilizar los costes y controlar las horas dedicadas al cumplimiento de la ley Sarbanes-Oxley, (SOX compliance), según Protiviti's Encuesta sobre el cumplimiento de la ley Sarbanes-Oxley de 2017.

Las principales conclusiones del estudio son:

La evolución de la normativa aumenta el tiempo dedicado al cumplimiento de la SOX

La mayoría de las empresas -independientemente de su tamaño- vieron aumentar el tiempo que dedicaron al cumplimiento de la SOX el año pasado, y para dos tercios de esas empresas aumentó más del 10%. Según el estudio, los cambios en la normativa, como la norma de auditoría AS.18 (AS.2410 recodificada), la divulgación de información no conforme a los PCGA y los controles asociados, el aumento de la documentación sobre ciberseguridad y la mayor atención a los informes SOC subcontratados, fueron probablemente factores determinantes. Es probable que los requisitos normativos asociados sigan cambiando, lo que hace difícil predecir el número de horas que las organizaciones -sobre todo las grandes y complejas- tendrán que dedicar a su cumplimiento de año en año.

Las organizaciones complejas dedican más tiempo al cumplimiento de la SOX

No es sorprendente que exista una correlación entre el número de sedes y los costes anuales de cumplimiento de la SOX, con una diferencia media de casi $1 millones entre las organizaciones menos y más complejas. Más concretamente, la encuesta señala que cuanto mayor sea el número de sedes de la empresa, mayor será el número de cuentas de control. Casi el 43 por ciento de las empresas con más de 12 sedes afirmaron que entre el 78 y el 100 por ciento de los controles estaban clasificados como controles clave, un porcentaje significativamente mayor que el de las empresas con entre 4 y 12 sedes.

La subcontratación ofrece un alivio a los problemas de cumplimiento de la SOX

Cada vez son más las empresas que subcontratan el trabajo de cumplimiento de la SOX, probablemente impulsadas por las limitaciones de tiempo que impone a la organización. Como resultado, están descubriendo que los costes se están nivelando. Sin embargo, estos costes de terceros generalmente no se incluyen en el presupuesto de cumplimiento de SOX, sino que se dispersan a través de los presupuestos de las unidades de negocio. Para las organizaciones más grandes, esto hace que sea aún más difícil capturar con precisión cuánto se está gastando en el cumplimiento de SOX.

Leer "¿Las auditorías externas cuestan y ahorran dinero a las empresas?"

El trabajo de cumplimiento de la SOX sigue siendo visto positivamente por los ejecutivos

A pesar de los costes, los ejecutivos informaron de que el cumplimiento de la SOX les ha ayudado a crear procesos más ágiles y sencillos, lo que tiene beneficios más allá del cumplimiento. Pero obtener valor a largo plazo de sus esfuerzos podría exigir una mirada más cercana a cómo están tejiendo el trabajo de cumplimiento en otros aspectos del control de riesgos.

El papel de la tecnología de gestión de riesgos en el cumplimiento de la SOX

Los resultados de esta encuesta deberían incitar a los ejecutivos de las empresas grandes -y en crecimiento- a considerar qué pueden hacer para controlar el tiempo y los costes del cumplimiento de la SOX. La mayoría de las grandes empresas probablemente ya han invertido en algún tipo de solución tecnológica para apoyar los esfuerzos de cumplimiento de SOXpero esa tecnología podría estar mostrando su edad.

Los ejecutivos deben examinar si sus soluciones tecnológicas son lo suficientemente ágiles para ayudar a controlar el tiempo y los costes en el futuro. Aprenda cómo Tecnología de gestión de riesgos SaaS puede ayudar a las organizaciones complejas y globales a mantenerse al día con las cambiantes regulaciones y a integrar el cumplimiento de SOX en su programa general de ERM.