SOX también madura
Nadie es perfecto y SOX también ha madurado. El 13 de abril del presente año la SEC organizó una mesa redonda para discutir la implementación de los requisitos de información sobre el control interno de empresas sujetas a la famosa sección 404 de SOX llegando, entre otras, a las siguientes conclusiones: 1) Decisión unánime de que la Sección 404 era un concepto válido para el control interno, 2) El binomio coste/beneficio estaba fuera de balance y deberían equilibrarse en el futuro, 3) El primer año ha sido un año de aprendizaje para todos (empresas y auditores), impactado por la emisión tardía del estándar de auditoría Nº 2 del PCAOB (AS2) (marzo 2004).
Adicionalmente, las observaciones indicaron que la ausencia de un marco de análisis de riesgos apropiado había llevado a dar la misma importancia tanto a los riesgos de nivel alto como a los de bajo, premiando el enfoque “cuantitativo” y “conservador”.
Esta observación confirma que implantar y mantener un enfoque de este tipo, tal y como requieren otras normas como BS7799 parte II, no se implementan en un año sino que tardan en reflejarse en la operativa del día a día de las empresas. Claro está que, una vez extendida, influirá directamente en la calidad del control interno y la reducción del coste de cumplimiento, sobre todo porque no será el auditor externo quien dictamine el esfuerzo, sino que éste se limitará a valorar si el sistema de identificación y valoración del riesgo es adecuado.
Otro punto de especial importancia para empresas geográficamente dispersas es la necesidad de ejemplos de mejores prácticas que sirvan de orientación tanto para las organizaciones como para los auditores, con el fin de incrementar la consistencia en criterios de valoración del nivel de la calidad del control interno.
Otros epígrafes adicionales de interés hicieron referencia a una mayor dependencia de los auditores en el trabajo de otros (p.e. Informes tipo SAS 70 Type II); más claridad en la evaluación de Controles TI y de aplicación; y atención al modelo de negocio, incluyendo un enfoque basado en el análisis de riesgo en la implementación de la gestión del riesgo a nivel corporativo con el fin de enfocarse en los riesgos importantes.
Atender todos estos puntos llevará a una clara racionalización de una norma que, en mi opinión, también debe evolucionar y madurar para acercarse al control selectivo de los riesgos importantes y facilitar al máximo la rentabilidad del negocio.
Sin duda, el inapropiado enfoque y análisis de riesgos conlleva un sobreesfuerzo que se ha visto como una de la principales quejas a SOX. Por ello, la PCAOB (Public Company Accounting Oversight Board) ha emitido una guía adicional para los auditores de control interno con el fin de reducir la “sobre Auditoría” y apaciguar las muchas quejas recibidas de las empresas.
|
La EU no se queda atrás
Desde la aparición de SOX se lleva diciendo que en la EU también llegará un equivalente. Pues bien, ya se han puesto mano a la obra, e incluso hay que remarcar que desde hace algún tiempo ya existía en el viejo continente normativa relacionada. Dos ejemplos: el Cadbury Code (ahora Combines Code) en Inglaterra, que lleva casi una década, y el Cromme en Alemania. Ambos del estilo “Cumple o Explica”.
La EU no se ha quedado atrás, y aunque a su estilo, también ha tomado medidas. Un ejemplo está en las presentadas el 31 de mayo de 2003 para mejorar el buen gobierno de las empresas y los servicios de auditoría. Aunque las medidas tomadas por la EU y las de SOX tengan casi el mismo objetivo, el estilo es totalmente distinto, dejando a los estados miembros el desarrollo de las medidas propuestas por la Comisión.
“Compliance Maturity Model”
Sinceramente, no sé si existe pero está claro que es una realidad. Los cambios continuos en los criterios de evaluación y en las guías dificultan la implementación de un modelo de buen gobierno para la empresa, especialmente los obligados, donde es necesaria la valoración de un tercero independiente.
Sin embargo, es interesante ver la evaluación de los retos al que está sometido el responsable de cumplimento al respecto de estas normas. Posiblemente en los próximos años pase por las siguientes fases: 1) Cumple y punto, 2) Cumple y reduce el coste de cumplimiento, 3) Cumplimiento como facilitador de negocio (“Business as Usual”) En este contexto me he permitido extrapolar los modelos de maduración de seguridad al modelo de cumplimento, ya que creo que son equiparables, especialmente porque, como diría mi padre, ‘los milagros tardan como mínimo 24 horas’.
Bromas aparte, el proceso de adaptar una organización a un modelo de bueno gobierno no es inmediato y en cada fase de maduración habrá nuevos retos.
En la primera fase, el énfasis será cumplir y aprender. La clasificación de riesgos será menor y todos serán tratados igual: los auditores, con el objetivo de reducir el riesgo asumido al mínimo, y la empresa, por no tener un modelo maduro de análisis de riesgos.
La culminación de la maduración tendrá lugar cuando el modelo de buen gobierno sea transparente para el usuario y parte de su operativa diaria. Al mismo tiempo la dirección podrá utilizar los mecanismos de control para obtener mejor calidad e información y así minimizar el riesgo y maximizar las recompensas de la operativa de negocio.
No olvide
Como reflexión final cabe resaltar que existen ciertos aspectos a tener en cuenta que se acentúan con la implementación de un modelo de bueno gobierno y para el cual se deberá estar preparado:
– Gestione la percepción de lo que es admisible y de lo que no lo es. Este aspecto puede resultar difícil cuando hay que lidiar entre varios evaluadores externos independientes en distintos países con distintos criterios de valoración, aunque con una buena comunicación todo es mucho más fácil.
– Gestione bien la diversidad cultural, ya que distintas culturas perciben un control de distintas formas.
– Nunca pierda la visión del alcance verdadero de la norma. Especialmente en SOX se ha hecho mucho más de lo que era necesario, debido a que, en ocasiones, es difícil determinar si un proceso está sujeto a SOX o no.
– Mantenga un modelo de comunicación claro y continuo. El idioma elegido de comunicación suele ser el inglés para multinacionales, pero en ocasiones se deberán traducir algunos texto clave.
– Nunca pierda de vista el alcance del programa de cumplimiento. Debe seguir generando ingresos. A veces esto se olvida premiando el 0 riesgo por el riesgo asumido.
|