Sarbanes Oxley: La importancia de mantener el foco en la información financiera

20 Jul 2006 en Software

Sarbanes Oxley, la norma conocida mejor con la sigla SOX, fue creada como protección para la integridad de la información financiera de las organizaciones. Se ha establecido como estándar para las empresas multinacionales y otras a las que aun no siéndolo, se les hace exigible su cumplimiento para hacer negocios en el exterior, cotizar en bolsas, etc.
Aunque existe una multitud de proveedores que asignan a sus productos de IT algún grado de contribución al cumplimiento de SOX, si algo no afecta a la generación de reportes financieros, no es SOX. “En IT debemos enfocarnos en cuáles son los riesgos inaceptables en los servicios que proveemos al negocio,” nos dice George Spafford, especialista en compliance, management y optimización de procesos, en un artículo escrito para Datamation.
“Lo más importante son los servicios que contribuyen materialmente al proceso de generación de los reportes financieros y, si esos sistemas están comprometidos, los reportes emitidos para uso público corren riesgo de tener errores,” agrega.
Según este autor, no se trata de eliminar riesgos, sino de emprender las acciones para su reducción a un nivel tolerable para los objetivos de las áreas funcionales de la organización. Eso establece el nivel conocido como “riesgo residual,” mientras que el grado de riesgo que la conducción de una empresa está dispuesta a asumir, se denomina “apetito de riesgo” de una empresa. La “tolerancia de riesgo” es, como resultado, el nivel aceptable de variación respecto de los objetivos.
Spafford recomienda dos fuentes para utilizar como guía: Control Objectives for Information and related Technologies (COBIT) versión cuatro y a IT Control Objectives for Sarbanes Oxley (ITCO). Spafford recomienda a COBIT, especialmente a empresas que enfrentan una gama más amplia de controles para revisar y diseñar. El autor agrega luego que, “por otra parte, en empresas de menor tamaño que sólo tienen que cumplir con SOX, el documento ITCO puede ser de ayuda,”
Pero lo que interesan son los “controles clave” que aseguren la integridad de la información financiera, ya que son los que serán puestos a prueba por auditores internos y externos. Los documentos antes mencionados identificarán controles que no son clave para la mayoría de las organizaciones. Esos controles clave responden a los riesgos que más afectan a la empresa y a su reducción a un nivel considerado aceptable. “No busquen la perfección; si intentan implementar cada control a su mayor extensión posible, sólo encontrarán mayores costos, frustración e incapacidad de sustentabilidad.”
Finalmente, para que los controles funcionen, deben acoplarse a los procesos. Por ejemplo, si el control COBIT A16.1 dice que la empresa debería cambiar estándares y procedimientos, en cada caso habrá que resolver cómo se implementa la recomendación. “Aquí entran en juego las referencias de mejores prácticas. ITIL (IT Infraestructure Library) tiene en mi opinión la mejor guía para la administración de los procesos de cambio en su volumen Service Support. No quiero decir que haya que seguir a ITIL al pie de la letra, pero se utiliza como referencia para comenzar lo mejor posible con los recursos y restricciones que se tengan,” agrega Spafford. “COBIT e ITIL nos dicen qué hacer, pero nos queda por ver cómo implementamos procesos que usen los controles necesarios en cada situación.”