El Modelo de
Prevención y Gestión de Riesgo versus SOX; iguales, parecidas o incomparables
Como consecuencia de las tendencias mundiales
relacionadas al incremento casi exponencial de los delitos financieros comerciales,
industriales y de gobierno corporativo, con impacto directo en los ciudadanos y
por lo tanto en los países, se da desde hace varias décadas una cruzada para
tratar de alguna forma a minimizar estos delitos o el impacto de estos incentivando
a las organizaciones al autocontrol operacional de sus actividades, instaurando
el debido control y la debida diligencia en la identificación, monitoreo y
minimización de riesgos derivados de las operaciones empresariales, so pena en
caso de incumplimiento, de consecuencias penales, pecuniarias y administrativas
a la persona jurídica y a sus administradores de hecho o nombrados.
Esta problemática ha sido abordada desarrollando y
concertando un sinnúmero de leyes, reglamentos y entes reguladores orientados a
minimizar y controlar el incremento en delitos económicos o por lo menos
disminuir su impacto. Esos reglamentos algunos de carácter internacional voluntario
o no según el caso y con alcance para los países que compiten en segmentos y sectores específicos de mercados
tienen la finalidad de estandarizar y homologar procesos, indicadores, cálculos
y controles.
La entrada en vigor en julio del 2015 de la reforma
al código penal Español conocida como Ley 1/2015, específicamente el artículo
31°, 31bis y sucesivos apunta totalmente a las mejores prácticas para incentivar
el autocontrol empresarial. Esta ley ampliamente discutida se sustenta en los
fundamentos teóricos y prácticos de los enfoques metodológicos del ERM
ampliamente usada para la evaluación de los riesgos inherentes a los procesos
empresariales de impacto estratégicos, financieros, operacionales y de
cumplimiento.
Los que tuvimos la oportunidad de dirigir y
participar en proyectos SOX podemos percibir que ambas normativas tienen muchas
similitudes en su fin y su objetivo. Para recordar la Ley Sarbanes Oxley o SOX
(2002) fue promovida a raíz de los escándalos financieros de la empresa
energética Enron, WorldCom, Xerox, entre otras, que ocasionaron uno de los
descalabros financieros de mayor impacto mundial; y no solo para los grandes
mercados bursátiles que fue devastador sino para el pequeño inversionista que
vio todos sus ahorros y su futuro desaparecer en menos de 8 horas de debacle. Este desastre financiero que fue hábilmente
interrumpido hubiese logrado un efecto casi como el de La Gran Depresión o la
Crisis del 29 y un efecto dómino en todo el mundo industrializado.
SOX obliga a todas las empresas nacionales o
internacionales que están registradas en la Comisión de Bolsa y Valores de
Estados Unidos o SEC a cumplir una serie de actividades de control
obligatorias y vinculantes para sus empresas relacionadas directa o
indirectamente estén o no domiciliadas en EEUU, en la cual sus directivos
garantizan bajo juramento que conocen sus controles y desviaciones, sus riesgos
y sus exposiciones y que toman las medidas necesarias para minimizar los
riesgos y exposición que su operación supone. Las consecuencias del descontrol
serán penales, pecuniarias y administrativas para la persona jurídica como para
sus directivos.
Como vemos hay una diferencia importante en el
alcance y es que no todas las empresas Americanas cotizan en la SEC, mientras
que la amplitud de la Ley 1/2015 abarca a todas las empresas españolas sin
importar si son pymes, micropymes o grandes pymes; aplica a todas por igual y deben
considerarse sujetos obligados de su implantación.
La Ley 1/2015 expone que las empresas deben ser
responsables en diseñar, implementar y sustanciar que los riesgos inherentes a
su operación y sus procesos en los ambientes operativo, financiero, estratégico
y de cumplimiento han sido identificados, son controlados y son eficientes.
Esta evaluación contenida en un Dossier conocido como el Manual de Riesgos contendrá
diverso documentos, matrices de riesgos, procesos evaluados, entre otros y es
el que en caso requerido un Juez solicitará para evaluar sí la organización
había implantado un modelo de evaluación de riesgos oportuno, idóneo y
diligente. Por lo tanto el diseño del Modelo de Gestión de Riesgos es avalado internamente
por el Consejo de Administración. El diseño del informe deberá ser metodológicamente
desarrollado usando enfoques COSO/COBIT, ISO31000/9001:2015, ANZ u otro que la
organización considere adecuado.
Ese mismo informe bajo el enfoque SOX es conocido
como el 302, pero ese informe es la base para que los auditores externos
sustancien su entendimiento del control interno aprobando la metodología aplicada,
tamaño de muestra y atributos de prueba, rediseñando nuevas pruebas que
culminará en la emisión de un certificado conocido como el 404 que es firmada
por la Dirección, el Consejo de
Administración de la organización y el Socio de la Firma Auditora y es la que será
consignada ante la SEC como aval que la empresa está en cumplimiento. Esta diferencia
otorga al Auditor Financiero una responsabilidad administrativa y penal por el
desarrollo idóneo del trabajo de auditoría no solo avalando la razonabilidad e
idoneidad de la información financiera, sino que avala y certifica que la
información de control interno de esa organización es eficiente, valida,
consistente y oportuna.
Un aspecto interesante del SOX es que una de las
responsabilidades más importantes de esta certificación recae en el Auditor
Financiero, no solo por certificar el 404 del cliente sino porque las Firmas
son sujetas a revisión por un ente externo regulador de su actividad. Este organismo
conocido como el PCAOB o Company Accounting Oversight Board el cual es una
organización independiente establecida por el Congreso Norteamericano con el
fin de establecer un sistema de vigilancia y control de la actividad de las
firmas de auditoría y sus Socios, con la finalidad de proteger a las compañías cotizadas
y accionistas promoviendo la exacta, valida e independencia de los reportes de
los auditores financieros; regulando su actividad y la calidad de las
declaraciones de estos ante los entes reguladores.
Lo importante y significativo de esta simple
comparación es que ambas normas buscan desde perspectivas diferentes el
autocontrol empresarial a través de la adecuada identificación del riesgo que
esa empresa supone y que expuesta en su sector de mercado, buscando minimizar
el impacto que la ocurrencia de un evento genere en la sociedad, en el
ambiente, en los empleados y sus accionistas.
Si deseas agregar algún comentario estas en la libertad de hacerla, respetando las ideas y comentarios de los demás y sin exponer a personas o empresas.
Comentarios
Publicar un comentario