¿Qué es el cumplimiento de SOX 404 y cómo puede lograrlo?

Publicado: 2021-10-08

El cumplimiento de SOX 404 es una necesidad para todas las empresas que cotizan en bolsa en los Estados Unidos, además de las subsidiarias de propiedad total y las empresas extranjeras que cotizan en bolsa que hacen negocios en los Estados Unidos.

Se creó después de una serie de escándalos corporativos de alto perfil a principios de la década de 2000 y se implementó para proteger mejor a los accionistas y aumentar la transparencia a través de divulgaciones corporativas consistentes y precisas.

Hay una serie de secciones dentro de los 11 títulos de SOX, pero algunas serán más pertinentes para las empresas debido a su alcance y costo, específicamente SOX 404, que se refiere a la evaluación de los controles internos con respecto a la información financiera.

El cumplimiento de SOX 404 puede ser muy costoso, pero a través de la tecnología moderna y la gestión de documentos, muchos procesos que antes eran manuales pueden automatizarse, lo que reduce el riesgo y el costo.

En esta publicación de blog, vamos a echar un vistazo a SOX 404, incluidos los requisitos y lo que las organizaciones pueden hacer para cumplir.

¿Qué es la Sección 404 de SOX?

La Sección 404 de la Ley SOX es el aspecto más costoso y complejo del cumplimiento de SOX y se refiere a los informes financieros anuales.

La sección 404 requiere que los informes anuales incluyan la propia evaluación de la empresa de sus controles internos sobre los informes financieros, así como un auditor que certifique e informe sobre la evaluación de la empresa.

Este auditor debe ser un tercero y debe demostrar la confiabilidad y precisión de los controles internos de una empresa.

Según la Sección 404, las entidades registradas en la SEC deberán incluir en su presentación anual:

  • Una declaración de la responsabilidad de la administración para establecer y mantener un control interno adecuado sobre la información financiera.
  • Una declaración que identifique el marco utilizado por la administración para evaluar la efectividad del control interno.
  • Evaluación de la administración de la efectividad del control interno al final del año fiscal más reciente de la compañía
  • Una declaración de que el auditor externo de la empresa ha emitido un informe de certificación sobre la evaluación de la administración.

¿Qué significan los controles internos?

En cualquier empresa, sin importar su tamaño, el personal de alta dirección debe mantener un conjunto de estándares para garantizar la precisión de sus estados financieros.

La legislación en sí no especifica exactamente qué deben hacer las empresas para cumplir con sus estándares de controles internos; esto ha llevado a muchos a interpretar lo que realmente significa “controles internos”.

Afortunadamente, existen marcos, en particular el Marco de Control Interno COSO, desarrollado como una iniciativa conjunta entre cinco organizaciones: Instituto de Auditores Internos (IIA), Instituto Estadounidense de Contadores Públicos Certificados (AICPA), Financial Executives International (FEI), The Association de Contadores y Profesionales Financieros en Negocios (IMA) y la Asociación Estadounidense de Contabilidad (AAA).

Los controles descritos en el marco de controles de COSO son apropiados para las empresas que buscan garantizar el cumplimiento de SOX 404.

El Marco COSO

El marco COSO contiene 17 principios dentro de cinco subsecciones que deben seguirse para demostrar a un auditor externo que la empresa cumple con los requisitos de ciberseguridad de SOX.

5 componentes del marco COSO | ¿Qué es el cumplimiento de SOX 404 y cómo puede lograrlo?

Control medioambiental

El entorno de control establece el conjunto de estándares y procesos que son la base para llevar a cabo el control interno en toda la empresa.

Un sistema eficaz de control interno se basa en el entorno de control y debe estar impulsado por los objetivos estratégicos de:

  • Proporcionar informes financieros fiables a las partes interesadas internas y externas.
  • Operar el negocio de manera eficiente y efectiva.
  • Cumplir con todas las leyes y reglamentos aplicables
  • Protección de activos e información sensible

Principios asociados

  1. Demostrar compromiso con la integridad y los valores éticos.
  2. Asegurar que la junta ejerza la responsabilidad de supervisión
  3. Establecer estructuras, líneas de reporte, autoridades y responsabilidades
  4. Demostrar compromiso con una fuerza laboral competente
  5. Responsabilizar a las personas

Evaluación de riesgos para SOX

Una evaluación de riesgos para SOX es crucial para determinar cuáles son los factores de riesgo de una empresa y cómo se gestionarán.

En este caso, el "riesgo" se define como la probabilidad de que ocurra un evento que interrumpa los objetivos comerciales.

La evaluación de riesgos requiere que la alta dirección considere las implicaciones de los cambios en el entorno de control y tome medidas cuando corresponda para gestionar el riesgo.

Principios asociados

  1. Especificar objetivos apropiados
  2. Identificar y analizar riesgos
  3. Evaluar los riesgos de fraude
  4. Identificar y analizar los cambios que podrían afectar significativamente los controles internos

Actividades de control

Las actividades de control se refieren a las acciones que se toman para ayudar a mitigar los riesgos determinados en la evaluación de riesgos.

Estas actividades pueden ser preventivas o de detección y se pueden realizar en todos los niveles dentro de una organización.

Principios asociados

  1. Seleccionar y desarrollar actividades de control que mitiguen los riesgos
  2. Seleccionar y desarrollar controles tecnológicos
  3. Desplegar actividades de control a través de políticas y procedimientos

Información y comunicaciones

La información y las comunicaciones que fluyen hacia arriba, hacia abajo y entre organizaciones se comparten de manera eficaz y eficiente.

Los sistemas y repositorios de información deben proporcionar a las partes interesadas apropiadas información que sea relevante para sus objetivos establecidos de manera oportuna y suficientemente comprensible.

Lo mismo es necesario también para las partes interesadas fuera de la organización.

Principios asociados

  1. Utilizar información relevante y de calidad para apoyar la función de control interno
  2. Comunicar la información de control interno internamente
  3. Comunicar la información de control interno externamente

Vigilancia

La organización debe adoptar evaluaciones continuas de los controles internos para garantizar que las funciones de control interno funcionen correctamente.

Cuando se encuentren deficiencias, estas deben evaluarse y comunicarse de manera oportuna a la alta dirección y al directorio (si es necesario) para que puedan corregirse rápidamente.

Principios asociados

  1. Realizar evaluaciones continuas o periódicas de los controles internos (o una combinación de las dos)
  2. Comunicar deficiencias de control interno

¿Por qué debería establecer el marco COSO en su negocio?

Si una organización no implementa los controles del marco COSO, es muy posible que esté violando los requisitos SOX 404 exigidos por la ley federal para la presentación de informes financieros.

Los auditores juzgarán las capacidades de control interno de una empresa en relación con el marco COSO, por lo que es mejor que las empresas se atengan a ese estándar para cumplir con SOX.

Cómo implementar el marco COSO

Publicación relacionada: ¿Qué sucede durante una auditoría de riesgos de ciberseguridad?

La implementación de COSO implica evaluar dónde se encuentra actualmente una organización entre sus cinco subsecciones y comprender qué se necesita para alcanzar el estándar.

Esto comprenderá una auditoría SOX, que debe incorporar el marco COSO y una evaluación de los 17 principios mencionados anteriormente, generalmente en cuatro etapas distintas.

Planificación y alcance

La implementación comienza desde el principio: se involucrará a las partes interesadas clave y los auditores de ciberseguridad designarán a las partes interesadas correctas para cada uno de los principios.

Por ejemplo, se contratará a ejecutivos de alto nivel para muchas de las actividades del entorno de control, mientras que el personal de TI se puede contratar para los principios de procedimientos y políticas de tecnología, y se puede contratar a un miembro de cumplimiento como parte interesada clave para los principios de supervisión.

Los auditores deberán tener una imagen completa de dónde se almacenan todos los datos comerciales, incluidas las aplicaciones de terceros que operan bajo la red de la empresa.

Ejecución

Los auditores realizarán pruebas de penetración y escaneo de vulnerabilidades para establecer claramente dónde se encuentra el negocio con su modelo actual dentro del marco COSO.

Análisis e informes

Luego, estos resultados se informarán a las partes interesadas clave y se harán recomendaciones para ayudar a que la empresa cumpla con el marco COSO, momento en el cual la organización puede estar segura de que cumple con SOX 404.

La línea de fondo

El cumplimiento de SOX 404 es una forma de cumplimiento necesaria pero francamente bastante compleja para las empresas que cotizan en bolsa.

Los requisitos de SOX 404 significan la adhesión al marco COSO. Sus 17 principios ofrecen una base sólida y medios para que una organización cumpla con SOX 404, y es una buena idea que las empresas sigan este estándar para que sus controles internos estén al día.

Para implementar el marco COSO, las empresas deben considerar contratar a un proveedor de servicios de seguridad administrados para auditar sus sistemas y proporcionar recomendaciones sobre qué soluciones, políticas y procedimientos deben adoptarse para cumplir.

Si necesita cumplir con SOX 404 pero no está seguro de por dónde empezar, considere que Impact realice una evaluación de riesgos para SOX. Póngase en contacto hoy para comenzar a asegurar su futuro.