¿Qué es el cumplimiento de SOX? Requisitos y control

En 2002, el Congreso aprobó la Ley Sarbanes-Oxley, que lleva el nombre de sus patrocinadores, el Senador Paul Sabains (D-MD) y el Representante Michael G. Oxley (R-OOH-4). Establecido "para proteger a los inversores mejorando la precisión y confiabilidad de la divulgación corporativa de información realizada de acuerdo con las leyes de valores", Sarbanes-Oxley (comúnmente llamado SOX) ha establecido un protocolo más estricto para el control interno que afecta la información financiera y la seguridad en las empresas públicas.

La ley fue aprobada en medio de una ola de notorios escándalos financieros. Los gigantes corporativos Enron, WorldCom y Tyco han sido acusados ​​de fraude significativo y WorldCom se ha negado Quiebra por $ 104 mil millones. De acuerdo a cincotreintaocholas pérdidas asociadas con la explosión de la burbuja de las puntocom que comenzó en 2000, un evento que ha causado muchos de estos escándalos de fraude”,[destroyed] 6,2 billones de dólares en riqueza de los hogares durante los próximos dos años”.

línea de tiempo de cumplimiento de sox

Dado el enorme impacto perjudicial del fraude de valores financieros en las empresas públicas, el Congreso reconoció la necesidad de una supervisión más estricta, un control interno mejorado y prácticas de auditoría más rigurosas en la regulación corporativa.

Índice

    Fundamentos del cumplimiento de SOX

    ¿Qué es el cumplimiento de SOX? Aunque los detalles de la Ley Sarbanes-Oxley son complejos, el "cumplimiento de SOX" se refiere a una auditoría anual durante la cual una empresa pública debe proporcionar evidencia de estados financieros precisos provistos de datos.

    sox-matching-basics

    Con este fin, mientras que las medidas de SOX tienen como objetivo regular las transacciones y divulgaciones financieras de las entidades corporativas y cualquiera de sus proveedores de servicios financieros bajo contrato, las regulaciones se aplican a varios departamentos y algunos a TI. Los informes de SOX incluyen especialmente a los departamentos de TI, porque un control interno adecuado de SOX requiere una seguridad completa de los archivos y una visibilidad completa del historial de registros financieros, condiciones que requieren que cada empleado de TI comprenda su función para demostrar el cumplimiento de SOX.

    Lo que significa el cumplimiento de SOX para TI empresarial

    Durante la auditoría de TI de SOX, el departamento de TI demuestra el cumplimiento de los requisitos mediante la presentación de documentos que demuestran que su empleador ha cumplido con los umbrales establecidos de transparencia financiera y seguridad de datos.

    Para cumplir con la legislación reglamentaria de SOX, los departamentos de TI deben estar familiarizados con los estándares de seguridad, los privilegios de acceso y la gestión de registros necesarios para sus documentos financieros. El primer paso para consolidar el control interno de SOX es crear un "ambiente de control" que debería:

    1. Reconocer la necesidad de transparencia, equilibrio interno y regulación.
    2. Buscar realizar acciones de control que reduzcan el riesgo y aseguren la integridad y confiabilidad de la información financiera.

    En casos anteriores de fraude corporativo, las partes interesadas manipularon archivos de alto formato para tergiversar deliberadamente la situación financiera de su empresa, engañando a los inversores y costando billones en el mercado de valores cuando tuvieron que volver a publicar sus informes.

    Para evitar que agentes fraudulentos (internos o externos) manipulen información financiera confidencial en el futuro, SOX ha emitido las secciones 302 y 404 de la Ley, que definen los parámetros de las reglas de informes aplicables a los departamentos de TI.

    Sección 302 de la Ley SOX

    Sección 302 requiere que el director ejecutivo y el director financiero firmen y revisen su informe anual o trimestral de cumplimiento de SOX. Sin embargo, deben confirmar que la información incluida es completamente cierta y representa la situación financiera de la empresa, hasta donde saben. Para tal fin, estos agentes deberán hacer lo siguiente:

    • Crear y mantener el control interno: Esto se aplica a la creación de sistemas que protegen la información financiera, identifican el acceso privilegiado, rastrean amenazas potenciales, el historial de cambios de directorio e identifican vulnerabilidades de seguridad.
    • Mantener la transparencia entre el personal: La Sección 302 establece que una organización debe desarrollar “tales controles internos para asegurar que la información material sobre el emisor y sus subsidiarias consolidadas sea conocida por tales funcionarios por otras personas en esas organizaciones”.[1] En principio, es muy importante garantizar la transparencia para todo el personal que se preocupa por la seguridad financiera y la seguridad de los datos.
    • Evaluar regularmente el control: Las organizaciones deben poder demostrar que han "evaluado la efectividad del control interno del emisor" durante los últimos 90 días.
    • Enviar informes: Los informes de cumplimiento deben presentar esta evaluación, señalar las debilidades del sistema y evaluar la eficacia general.

    En resumen, la Sección 302 obliga a las partes interesadas de la organización, a saber, los altos ejecutivos y el personal financiero, a garantizar la seguridad de los datos financieros, mantenerse informados y presentar honestamente a los auditores SOX el estado de sus finanzas y sistemas de seguridad.

    Sección 404 de la Ley SOX

    En consecuencia, la Sección 304 establece que todas las organizaciones bajo la Ley cuentan con sistemas establecidos para proporcionar los datos requeridos para una auditoría de cumplimiento. Define las reglas para la elaboración de los informes anuales obligatorios, que deberán:

    • "... indicar la responsabilidad de la administración para establecer y mantener una estructura de control interno y procedimientos de información financiera apropiados",[2] y;
    • "... contener una evaluación, al final del último año fiscal del emisor, de la efectividad de la estructura de control interno del emisor y los procedimientos para la información financiera".[3]

    Esto demuestra la efectividad de los informes de control interno de SOX: no es suficiente que las empresas informen que han garantizado la seguridad de los archivos y la transparencia financiera. Ante una auditoría de cumplimiento de SOX, las empresas deben poder demostrar que han cumplido con las reglas durante al menos los últimos 90 días con documentación confiable. Debido a este requisito, los datos del sistema SOX deben ser tanto a salvo y disponible como referencia cuando los auditores independientes realizan sus evaluaciones.

    Esto hace que las funciones de seguimiento y catalogación sean necesarias porque las empresas necesitan informar sobre las infracciones de seguridad exitosas o intentadas y sus soluciones. En otras palabras, la seguridad de la información y la gestión de eventos (SIEM) es crucial. Los auditores deben tener una huella en papel para evaluar, por lo que deben poder acceder a los datos del registro de eventos para garantizar que los sistemas de seguridad sean efectivos, que los documentos no se alteren y que el acceso esté debidamente restringido.

    Qué tipos de software pueden ayudar según SOX

    Por supuesto, proporcionar documentación extensa sobre el cumplimiento de SOX y mantener registros precisos de los cambios en la información financiera privilegiada para toda la empresa puede ser una tarea insoportable, si no imposible, si se realiza manualmente.

    Además, las tasas de incumplimiento organizacional son increíblemente altas. Según la Sección 906 de la Ley Sarbanes-Oxley, las empresas son responsables de los informes inexactos, independientemente de la intención. Por "falta de certificación de estados financieros por parte de funcionarios corporativos", la información falsa proporcionada accidentalmente se castiga con una multa de hasta $ 1 millón o prisión de hasta 10 años. Si se informa información errónea “intencionalmente”, los oficiales enfrentan hasta 20 años de prisión y una multa de hasta $ 5 millones.

    Debido a las apuestas pesadas, confusas y altas informes de cumplimientoes importante elegir un software sofisticado que automatice muchas responsabilidades de auditoría. Software de cumplimiento de SOX capaz de rastrear datos relevantes, detectar amenazas de seguridad, generar informes de cumplimiento de acuerdo con plantillas comunes o completar fácilmente informes individuales con datos catalogados y análisis realizados en un ordenador.

    software SIEM es más útil en su capacidad de consolidar la gestión de revistas para analizar tendencias e identificar la información más importante. Muchas herramientas SIEM detectan automáticamente amenazas de seguridad a través de canales de información que identifican malware, piratas informáticos y personal no autorizado. Además, estas herramientas reconocen actividades sospechosas familiares y presionan notificaciones o configuran alarmas para identificar posibles fuentes de problemas.

    Por supuesto, la ciberseguridad implica más que acciones policiales o abusivas detección de pérdida de datos, y quién pirateó datos seguros; también es preventivo al regular quién tiene acceso a los datos en primer lugar. Por ejemplo, para identificar a los usuarios no autorizados que han manipulado los registros financieros, los departamentos de TI deben haber protegido los archivos de forma sistemática, proporcionando acceso a usuarios privilegiadosdando a otros acceso de solo lectura y restringiendo completamente el acceso para algunos.

    Herramientas de gestión de derechos de acceso proporcione una visión holística del acceso a servidores y ubicaciones mediante la preparación de información para informes de cumplimiento, la minimización de suposiciones, la necesidad de operaciones de auditoría y la reducción de la pérdida de datos.

    Otra opción es utilizar un solución de archivo de correo electrónico. Estas herramientas almacenan constantemente los mensajes en un lugar centralizado y seguro donde se puede acceder a ellos fácilmente cuando es necesario. Esto lo ayudará a demostrar el cumplimiento de SOX, ya que podrá almacenar y recibir los registros de correo electrónico de su organización en cualquier momento.

    Mail Assure (de la familia SolarWinds) es herramienta universal de gestión de correo electrónico eso puede ayudar Junto con un archivado de correo electrónico sólido, también ofrece protección mejorada contra amenazas para correos electrónicos entrantes y salientes, así como muchas otras funciones útiles. También es una excelente opción para los proveedores de servicios administrados, ya que se puede usar para archivar correos electrónicos para un gran volumen de negocios de clientes individuales.

    Prepárese para una auditoría de cumplimiento de SOX

    Ya sea que se acerquen a una auditoría de TI de SOX o en unos pocos meses, las corporaciones deben tener una estrategia a largo plazo para demostrar los requisitos de cumplimiento de SOX. Si bien el software reduce el trabajo de gestión de diarios, detección inteligente de amenazas y generación de formularios, es importante que las empresas públicas entiendan cómo implementar software de manera efectiva.

    La capacitación del equipo de TI garantiza que todos los empleados procesen datos de manera segura, estén al tanto de las amenazas de seguridad y usen Software de cumplimiento de SOX optimizar adecuadamente la simplicidad y precisión de los informes financieros. Para que esto suceda, las organizaciones responsables deben promover un diálogo productivo entre sus departamentos para que el personal financiero y los altos ejecutivos comuniquen sus necesidades al departamento de TI, que a su vez puede proporcionar información de ciberseguridad de alto nivel.

    Usado correctamente, el software de cumplimiento de SOX simplifica el proceso de establecer controles internos, agiliza la documentación de cumplimiento y garantiza el éxito continuo de las empresas.


    [1] CERTIFICACIÓN DE LA PRINCIPAL LIBERACIÓN OFICIAL EJECUTIVA BAJO LA SECCIÓN 302 DE LA LEY SARBANNES-OKLI DE 2002, https://www.sec.gov/Archives/edgar/data/1582982/000149315218011173/ex31-1.htm

    [2]15 Código de EE. UU. § 7262. Evaluación de la gestión del control interno https://www.law.cornell.edu/uscode/text/15/7262

    [3]Ibídem.

    Artículos de interés

    Subir