Los beneficios inesperados de Sarbanes-Oxley

Cuando el Congreso aprobó apresuradamente la Ley Sarbanes-Oxley de 2002, tenía en mente combatir el fraude, mejorar la fiabilidad de los informes financieros y restablecer la confianza de los inversores. Es comprensible que la mayoría de los ejecutivos se pregunten por qué deberían estar sujetos a las mismas cargas de cumplimiento que los que habían sido negligentes o deshonestos. Las empresas más pequeñas, en particular, se quejaron de la monopolización del tiempo y los costes de los ejecutivos, que ascendieron a millones de dólares.

Quizás el elemento más gravoso de la SOX fuera la Sección 404, que dice que es responsabilidad de la dirección mantener una sólida estructura de control interno de la información financiera y evaluar su propia eficacia, y que es responsabilidad de los auditores dar fe de la solidez de la evaluación de la dirección e informar sobre el estado del sistema general de control financiero. (Consulte la barra lateral «Tomar el control de los controles».)

Tomar el control de los controles

La frase «estructura y procedimientos de control interno» ocupa un lugar destacado en la sección 404 de Sarbanes-Oxley. Pero, ¿de qué se compone exactamente una estructura de

…

Sin embargo, al asesorar sobre el cumplimiento a los ejecutivos, descubrimos un pequeño subgrupo que abordó la nueva ley con algo parecido a la gratitud. Durante años, y especialmente cuando la información financiera se hizo rápida y flexible y la conducta delictiva se afianzó en lugares como WorldCom y Enron, estos ejecutivos desearon secretamente que algunos de los recursos absorbidos por los centros de beneficios de sus empresas se hubieran desviado a mejorar los procesos y las capacidades de la gestión financiera. Pensaban no solo en proteger a las partes interesadas y proteger a sus empresas de las demandas, sino también en desarrollar mejor información sobre las operaciones de la empresa para evitar tomar malas decisiones.

Mientras asesorábamos sobre el cumplimiento a los ejecutivos, descubrimos un pequeño subgrupo que se acercó a Sarbanes-Oxley con algo parecido a la gratitud.

Sin embargo, la carga de implementar el SOX por primera vez, en 2004, fue tan grande que este grupo con más visión de futuro pudo dedicar poco tiempo a desarrollar y adoptar políticas y prácticas que fueran más allá del cumplimiento literal. Algunos hablaron de poner las iniciativas planificadas en un «estacionamiento», con la esperanza de llevarlas a cabo el año siguiente. A medida que la SOX entró en vigor, cada vez más ejecutivos empezaron a darse cuenta de la necesidad de reformas internas; de hecho, muchos se sorprendieron por las debilidades y las brechas que las revisiones y evaluaciones del cumplimiento habían puesto de manifiesto, como la falta de aplicación de las políticas existentes, la complejidad innecesaria, la obstrucción de las comunicaciones y una débil cultura de cumplimiento.

En cualquier época, la promulgación de una ley como la SOX probablemente habría provocado un balance similar. Pero factores del mundo empresarial independientes de los abusos recientes habían hecho que las operaciones y los informes de algunas empresas fueran opacas incluso para los responsables, lo que hizo que el momento de la promulgación de la SOX fuera particularmente afortunado. Estos factores incluían un ritmo frenético de fusiones y adquisiciones y una integración poco perfecta de las entidades combinadas; la rápida implementación de las nuevas tecnologías de la información y su incompatibilidad con los sistemas heredados, así como una seguridad electrónica defectuosa y los parches y soluciones del año 2000 manipulados por el jurado; la expansión extranjera, que produjo encuentros desorientadores con idiomas, culturas, leyes y formas de hacer negocios desconocidos; la proliferación de alianzas comerciales y subcontratación; y la unión de cadenas de suministro. No es de extrañar que el rendimiento real y el reportado en varias empresas divergieran.

Se ha completado el segundo año de cumplimiento en la mayoría de las grandes empresas estadounidenses. ¿El aparcamiento sigue lleno de planes de cambios sin implementar? En muchas organizaciones, lo es. Sus ejecutivos quieren simplificar y estandarizar los procesos y sistemas, pero parece que no encuentran el tiempo ni los recursos para hacerlo. Sin embargo, algunos ejecutivos, especialmente los que reconocieron las ventajas de los SOX desde el principio, han descubierto cómo aprovechar la nueva ley para poder hacer realidad esos planes de mejora.

En el segundo año, varias empresas empezaron a estandarizar y consolidar los procesos financieros clave (a menudo en centros de servicios compartidos); a eliminar los sistemas de información redundantes y a unificar varias plataformas; a minimizar las inconsistencias en las definiciones de los datos; a automatizar los procesos manuales; a reducir el número de transferencias; a integrar mejor las oficinas y las adquisiciones lejanas; a poner al día a los nuevos empleados más rápido; a ampliar la responsabilidad de los controles y a eliminar los controles innecesarios. Además, los procedimientos inspirados en los Sox están empezando a servir de modelo para el cumplimiento de otros regímenes legales. En este artículo, describimos las amplias áreas en las que el cumplimiento de las SOX ha beneficiado al gobierno, la dirección y los inversores de las empresas.

Reforzar el entorno de control

La buena gobernanza es una mezcla de lo exigible y lo intangible. Las organizaciones con un gobierno sólido proporcionan disciplina y estructura; inculcan valores éticos a los empleados y los capacitan en los procedimientos adecuados; y muestran un comportamiento en los niveles directivo y ejecutivo que el resto de la organización querrá emular.

Todos estos son componentes del entorno de control, que constituye la base del control interno. El término «entorno de control», popularizado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway en su informe de 1994 «Control interno: marco integrado», abarca las actitudes y los valores de los ejecutivos y directores y el grado en que reconocen la importancia del método, la transparencia y el cuidado en la creación y ejecución de las políticas y procedimientos de su empresa.

Un entorno de control adecuado es uno de los factores que un auditor externo tiene en cuenta cuando se le pide que evalúe el control interno de los informes financieros, de conformidad con la Sección 404. Bob Murray, director de auditoría interna de Yankee Candle, un proveedor de 600 millones de dólares de velas aromáticas y otros artículos del hogar, envía periódicamente a la firma de auditoría copias de la correspondencia interna que hace hincapié en la prevención del fraude, el control interno y el cumplimiento de la normativa. «Esperamos conseguir puntos importantes con nuestro auditor por ello», afirma (aunque se apresura a añadir que reforzar el entorno de control es la principal preocupación de la empresa).

Estos «puntos» no se cuentan en ningún sentido literal. Más bien, contribuyen a la masa de pruebas que sopesa el auditor externo. Si una empresa puede demostrar un entorno de control sólido, puede reducir el alcance general de su evaluación de control interno. La reducción del alcance puede significar que la empresa no necesite realizar tantas pruebas internas y que el auditor corrobore menos, lo que se traduce en una reducción de los costes de cumplimiento. (El alcance de las pruebas es cuestión de juicio y quizás de negociación entre el auditor y la empresa. De hecho, la Junta de Supervisión Contable de las Empresas Públicas [PCAOB] y la Comisión de Bolsa y Valores alientan a los auditores a actuar con criterio al evaluar los controles de la información financiera.)

PepsiCo utiliza una encuesta anual a unos 100 altos ejecutivos para demostrar el estado de su cultura de control. Realizado por los auditores internos de la empresa, el cuestionario analiza las prácticas de contratación, la evaluación de los empleados, la solicitud de contratos, la notificación de incidentes, la fijación de objetivos y otras áreas. Según Thomas Lardieri, auditor general y vicepresidente de gestión de riesgos, PepsiCo también pone a prueba la comprensión de sus responsabilidades por parte de los empleados financieros como parte de su formación ética anual. La formación se imparte a través de un paquete interactivo que incluye escenarios de dilemas éticos que podrían surgir al tratar con clientes, proveedores y colegas y sugiere posibles soluciones. Unos 25 000 directivos reciben la formación. Los 135 000 empleados restantes de la empresa reciben un manual del código ético y algún nivel de refuerzo y formación, que varía según la unidad de negocio, afirma Lardieri. Los auditores pueden revisar los registros de esta formación.

En nuestras presentaciones en seminarios y conferencias de negocios, a menudo nos preguntan por qué hacemos tanto hincapié en el entorno de control. Nuestros interrogadores parecen creer que un buen control interno se basa en los propios controles: las comprobaciones cruzadas, las conciliaciones, la verificación de los datos. Respondemos que sin un entorno de control sólido, una empresa nunca logrará un buen gobierno. Centrarse en el entorno de control ayuda a garantizar que los propios controles sean la segunda y la tercera línea de defensa, no la primera. Los empleados a los que se les haya hecho entender que no está bien llegar a acuerdos paralelos con los clientes, reconocer los ingresos prematuramente, ocultar posibles conflictos de intereses o hacer la vista gorda cuando se llevan a cabo este tipo de actividades no estarán ocupados eludiendo el sistema de control en todo momento.

Centrarse en el entorno de control ayuda a garantizar que los propios controles sean la segunda y la tercera línea de defensa, no la primera.

Algunos ejecutivos piensan que tienen que vincular cada acción a los resultados. A ellos les decimos: La mayoría de los servicios de calificación de inversores incluyen una evaluación del entorno de control como parte de su evaluación general de la empresa. Las puntuaciones de estos servicios pueden tener un impacto significativo, positivo o negativo, en la confianza de los inversores y en el coste de capital de la empresa.

Mejorar la documentación

Las actividades de documentación consumieron innumerables horas de trabajo durante el primer año de Sarbanes-Oxley, ya que las empresas actualizaron los manuales de operaciones, revisaron las políticas de personal y registraron los procesos de control. Algunas mentes equiparan el papeleo con el trabajo ajetreado, pero este esfuerzo que requiere mucha mano de obra, para nuestra sorpresa, recibió un apoyo cada vez mayor de la suite ejecutiva. El estímulo fueron las secciones 302 y 404, que obligan a los directores ejecutivos y directores financieros a dar fe personalmente de la eficacia del control interno de la información financiera, y la Sección 906, que tipifica como delito «no describir deliberadamente» el verdadero estado de las operaciones y las finanzas de la empresa. La sección 404 también exige que el auditor independiente dé fe cada año de la evaluación de sus controles por parte de la empresa. Se espera que el auditor evalúe la documentación de los controles y procedimientos, así como la competencia con la que los empleados realizan las actividades de control de las que son responsables. (Consulte la barra lateral «Resumen de los SOX»).

Resumen de los SOX

La Ley Sarbanes-Oxley de 2002 es casi desafiantemente breve; la Sección 404, por ejemplo, solo tiene un total de 173 palabras. Mucho más detalladas son las diversas normas, normas

…

BlackRock, una firma de inversiones con más de 450 000 millones de dólares en activos bajo gestión, hizo un inventario exhaustivo de sus políticas y procedimientos escritos, afirma Paul Audet, exdirector financiero y ahora director ejecutivo del negocio de administración de efectivo de la empresa. Durante este ejercicio, Audet descubrió que había que actualizar muchas descripciones de puestos. «Si no documenta adecuadamente los requisitos del trabajo, acabará comunicando la información importante únicamente de boca en boca», afirma.

Con la llegada de Sarbanes-Oxley, Audet vio la oportunidad de revisar la documentación de descripción del puesto. Las ventajas de hacerlo se han hecho especialmente evidentes durante las ausencias de los empleados y los períodos de alta rotación, ya que la documentación revisada ha ayudado a los nuevos empleados a aclimatarse más rápidamente. Definir claramente quién es responsable de qué procesos empresariales es un elemento clave de un programa de control interno y facilita la formación, la supervisión y la evaluación del desempeño.

Los esfuerzos de documentación de BlackRock también han aumentado la comprensión de las operaciones por parte de los empleados. El hecho de tener que escribir la información en papel (o en discos duros) ha llevado a los auditores internos y a otros empleados a trabajar sobre el terreno para comprobar de primera mano cómo se realizan las tareas y cómo podrían mejorarse.

PepsiCo también se ha beneficiado de la actualización de sus procesos de documentación. Durante la realización de estas actualizaciones, la empresa determinó que existían controles inadecuados en la contabilidad de las pensiones, un proceso complejo que depende no solo del grupo interno de compensaciones y prestaciones, sino también de actuarios y custodios de activos externos. Lardieri dice con consternación: «Muchas medidas que supusimos que se estaban tomando (conciliaciones de cuentas, cálculos de intereses y comprobaciones de la integridad de los datos) en realidad no lo estaban».

En cuanto se revelaron los errores, la empresa asignó un controlador a su grupo de compensación y prestaciones y un equipo interno identificó, documentó e implementó las actividades de control que faltaban. PepsiCo también empezó a exigir a sus custodios de activos garantías por escrito de que las empresas con las que hacía negocios cumplían estrictos controles internos. (Muchas otras empresas obtienen garantías similares al exigir los informes SAS 70 tipo II, que certifican que una firma de auditoría independiente ha examinado los controles internos de un proveedor de servicios). Estas medidas aclararon las responsabilidades de control de los departamentos de tesorería y finanzas y del grupo de compensación y prestaciones. También mejoraron las transferencias de datos entre estas funciones y con terceros.

Un CFO de un Fortuna 1000 agentes inmobiliarios nos informaron de otro beneficio de documentación de Sarbanes-Oxley. Este ejecutivo consultó la documentación de la Sección 404 con la confianza de que las aprobaciones de su empresa se habían ejecutado infaliblemente, solo para hacer lo que él denominó un descubrimiento «humillante»: las personas que firmaban los documentos al parecer se habían limitado a echar un vistazo a los contratos y arrendamientos en cuestión. Esa falta de atención hizo que la empresa fuera susceptible a disposiciones contractuales inaplicables, a aumentos de alquileres mal calculados y a acuerdos subyacentes no ejecutados. Tras sancionar a las partes negligentes, la empresa instituyó controles cruzados mucho más rigurosos de los contratos y arrendamientos.

Aumentar la participación del comité de auditoría

No hace mucho, algunos consideraban que los puestos en la junta eran tareas de ciruela, ya que acarreaban prestigio y recompensas financieras, pero solo requerían un esfuerzo limitado. Hoy, por el contrario, los directores se enfrentan a una mayor responsabilidad legal por falta de atención y, por lo tanto, a una mayor carga de trabajo. Además, todos los miembros del comité de auditoría deben estar libres de la mayoría de los vínculos financieros y personales con la empresa, y al menos un miembro del comité debe ser un «experto financiero», según Sarbanes-Oxley. Si no, la empresa debe decirlo. Por lo tanto, no debería sorprender que la composición de la junta haya cambiado sustancialmente. Parece que tanto los reclutas como los veteranos se toman sus nuevas responsabilidades muy en serio, como lo demuestran las reuniones del comité más largas y frecuentes y las preguntas más puntiagudas que hacen los miembros.

Para muchos directores financieros con los que hemos trabajado, la transformación ha sido drástica: «En la siguiente reunión de nuestro comité de auditoría, era un mundo diferente en términos del nivel de participación de los miembros», afirma un ejecutivo. «Algunos dirían que esta intensidad debería haber estado ahí desde el principio, pero el hecho es que no lo estuvo».

Bruce Besanko, director financiero de Yankee Candle, que trabajaba en otra empresa de productos de consumo cuando se promulgó la Sarbanes-Oxley, afirma que la ley cambió el ambiente en el comité de auditoría de esa empresa. Besanko explica que antes de Sarbanes-Oxley, muchas empresas utilizaban la misma firma de contabilidad de las Cuatro Grandes tanto para la auditoría como para la consultoría, y a menudo los honorarios se destinaban a los consultores. Si bien las normas de la SEC prohíben a los auditores independientes ayudar en el diseño de sistemas de información financiera internos, se permiten otros tipos de servicios de consultoría. Sin embargo, varios comités de auditoría, incluido el de Yankee Candle, han pedido a sus auditores independientes que dejen de prestar ciertos servicios de consultoría a la empresa, excepto en circunstancias limitadas y estrictamente controladas. (Cabe señalar que Sarbanes-Oxley afirma que cualquier los servicios adicionales que preste el auditor externo están sujetos a la aprobación explícita del comité de auditoría.)

Aprovechar las oportunidades de convergencia

Predominan dos enfoques de Sarbanes-Oxley. Algunos ejecutivos cumplen debidamente los requisitos de la SOX, pero con un coste mínimo y con el menor número de recursos posible. Otros aprovechan los recursos que se gastan en el cumplimiento para obtener una rentabilidad de su inversión.

RSA Security, una empresa de tecnología de 300 millones de dólares que ayuda a las organizaciones a proteger las identidades en línea y los activos digitales, decidió adoptar esos enfoques y combinar el cumplimiento de Sarbanes-Oxley con otras obligaciones reglamentarias para aumentar la eficiencia y reducir los costes generales. La empresa convocó a un equipo para identificar los puntos en común entre los regímenes legales que tenía que cumplir, como la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), la Ley Gramm-Leach-Bliley (GLB), la Ley de Información sobre Violaciones de Seguridad de California y otras leyes para proteger la privacidad y combatir el robo de identidad.

Un área de convergencia era el mantenimiento de registros de los empleados. Como la mayoría de las empresas, RSA Security mantiene archivos informatizados de recursos humanos que contienen datos personales relacionados con la paga, las prestaciones de salud y la Seguridad Social. Varias leyes y reglamentos rigen el manejo de estos registros: la información financiera está protegida por la Sarbanes-Oxley, las prestaciones de salud en virtud de la HIPAA y la Seguridad Social y otra información personal por varias leyes de privacidad federales y estatales.

John Parsons, vicepresidente de finanzas y director de contabilidad de RSA Security, afirma que el equipo ejecutivo se dio cuenta de que se podía utilizar un solo conjunto de controles para cumplir con las distintas leyes, dada la forma similar en que estaban organizados los datos y el interés común de las leyes por proteger la integridad y la seguridad de los datos. En respuesta, funciones como TI y RRHH adoptaron un único conjunto de controles que determinaban el nivel de acceso de los empleados al sistema informático. Un ejemplo de esta consolidación fue un inicio de sesión único para ver las prestaciones, la nómina y otros datos. «Según su nivel y función, algunos empleados tienen derechos de «solo lectura» sobre los archivos; otros tienen la posibilidad de cambiar los datos y a otros, por supuesto, se les niega el acceso», explica Parsons.

RSA Security adoptó un enfoque de convergencia similar para su proyecto de la Organización Internacional de Normalización (ISO) 9000, un programa de certificación internacional administrado por una ONG con sede en Ginebra que representa a cientos de organismos nacionales de normalización. La ISO establece normas para la gestión y el control de la calidad en áreas como los procesos de producción, el mantenimiento de registros, el mantenimiento de los equipos, la formación de los empleados y las relaciones con los clientes.

Los puntos en común entre los proyectos ISO y SOX no se hicieron evidentes para los dos equipos que trabajaban en ellos (un equipo de operaciones para el primero y un equipo de finanzas para el segundo) porque los dos grupos trabajaban en edificios separados y tenían poco conocimiento de las actividades del otro.

Ambos equipos se encargaron de documentar docenas de procesos empresariales y de determinar la eficacia con la que se diseñaban y operaban. El equipo de ISO, por ejemplo, examinó los procesos establecidos para garantizar que solo llegara al mercado software de alta calidad y totalmente depurado, mientras que el equipo de SOX, por ejemplo, analizó el proceso de conciliación de cuentas. Cuando Parsons examinó un diagrama de flujo detallado del ciclo de ingresos que había preparado su equipo de SOX, se dio cuenta de que el equipo de ISO estaba trazando exactamente el mismo proceso. «¿Por qué», pregunta, «tendríamos dos mapas diferentes para el mismo proceso empresarial? Desde luego, no necesitábamos dos mapas de procesos, dos evaluaciones de riesgos y dos conjuntos de controles sobre el ciclo de ingresos, desde la generación de la factura hasta la recepción del pago. Así que convertimos lo que eran procesos ISO y SOX completamente paralelos en un mapa de procesos y un enfoque operativo convergentes».

Las ventajas van más allá del ahorro de costes. «También pudimos liberar a las personas y reasignar su tiempo a actividades de mayor valor», afirma. En lugar de dedicar a tantos empleados a las agotadoras tareas del cumplimiento y la certificación, que agotan los ingresos, RSA Security volvió a dedicar algunos de ellos a las mejoras operativas, como la racionalización del proceso de pedidos de los clientes y la ampliación de las capacidades de la cadena de suministro.

Estandarización de los procesos

Si bien la estandarización de los procesos nunca se confundirá con fruta fácil, muchos creen que vale la pena. El trabajo de identificar y abordar las inconsistencias entre las unidades operativas y las ubicaciones puede ser sustancial, pero también lo puede ser el rendimiento.

Pensemos en el caso de un gran fabricante de ropa que opera puntos de venta en todo el país con varias marcas conocidas. Durante la primera etapa del cumplimiento de la normativa Sarbanes-Oxley por parte de la empresa, los socios de Deloitte & Touche se reunieron con el CFO y su personal para revisar los procesos establecidos de registro de las transacciones financieras básicas. Empezamos con las cuentas por cobrar y nos enteramos de que cada división de la empresa imponía fechas de vencimiento y embargo, cargos por pagos atrasados y tipos de interés diferentes a los clientes. Si las divisiones hubieran sido sociedades independientes, estas inconsistencias habrían sido inocuas, pero cada una de estas unidades incluyó sus datos financieros en los estados financieros consolidados y estos procesos no estandarizados arruinaron las cuentas de cuentas por cobrar y de deudas incobrables.

Existía una situación análoga en Sunoco. Al documentar sus procedimientos para la Sección 404, se le recordó al CFO Tom Hofmann que la empresa «tenía tres o cuatro formas diferentes de introducir una factura en el sistema». El negocio de refinación de Sunoco varió el proceso de facturación por categoría de producto, ya fuera combustible para aviones, lubricantes o gasóleo para calefacción al por mayor.

«Estas transacciones no son muy diferentes», afirma Hofmann. «¿Por qué tendríamos diferentes métodos de facturación?» Atribuyó la discrepancia a la independencia histórica de los distintos grupos empresariales y a la falta de presión para estandarizar. Así que, siguiendo el consejo de su equipo, encargó un formulario único que pudiera recopilar toda la información necesaria para procesar el pedido de un cliente. Esta coherencia, afirma Hofmann, reduce las probabilidades de errores en la entrada y la consolidación de los datos.

Tener que volver a facturar a los clientes para corregir los errores de facturación puede tener un efecto en cascada en las operaciones: cada discrepancia en la facturación, ya sea detectada internamente o señalada por un cliente, debe investigarse y conciliarse y, a continuación, cancelar, volver a entregar la factura. Como consecuencia, el ciclo del flujo de caja se interrumpe y las relaciones con los clientes pueden volverse tensas. En Sunoco, la creación de un formulario único y estandarizado para cada tipo de producto redujo estos problemas al mínimo.

Las posibles ventajas de la estandarización también llamaron la atención de los ejecutivos de Kimberly-Clark, el fabricante de productos de consumo. Mark Buthman, vicepresidente sénior y director financiero, afirma que el trabajo de su empresa en Sarbanes-Oxley puso de relieve un área plagada de inconsistencias: las anotaciones manuales en el diario. «Puede que las anotaciones en el diario no sean tan importantes, pero tenemos cientos de personas en todo el mundo que las generan», afirma Buthman, cuya empresa emplea a más de 60 000 trabajadores en 38 países.

Antes de Sarbanes-Oxley, el proceso de registro del diario de la empresa variaba mucho según la división y la ubicación: algunos empleados creaban entradas a mano, otros las escribían en hojas de cálculo de Excel y otros las registraban en el programa de software financiero SAP de la empresa. El proceso de revisión de las entradas también estaba fragmentado, y algunas reseñas las realizaban personas que no tenían el suficiente nivel de experiencia. La dirección de Kimberly-Clark decidió que el personal registrara todas las anotaciones del diario en el sistema SAP de la empresa. «En lugar de tener cientos de procedimientos ad hoc para las anotaciones en el diario, ahora solo tenemos tres», afirma Buthman. Los datos son ahora más coherentes y fiables, y se necesitan menos empleados y horas de trabajo para realizar la misma tarea, afirma.

La estandarización también es una cuestión fundamental para Manpower, un proveedor de servicios de empleo de 16 000 millones de dólares que opera en 72 países. Con más de 2 millones de empleados temporales y permanentes en la nómina de la empresa, la necesidad de mantener controles y contrapesos rigurosos es importante. «Incluso los pequeños errores decimales o de codificación de aplicaciones pueden tener un impacto enorme», afirma Nancy Creuziger, vicepresidenta y controladora de la empresa.

Para evitar este tipo de errores, Manpower estandarizó su proceso de gestión de cambios para el desarrollo de software. Cualquier modificación del código se somete ahora a una serie de revisiones, pruebas, análisis y aprobaciones antes de su publicación. Se introduce una prueba de regresión cerca del final del proceso de desarrollo para validar el nuevo código. Durante la prueba, los técnicos utilizan dos máquinas al mismo tiempo, una con el código antiguo y la otra con el nuevo. Se ponen los mismos datos en cada uno y se compara el resultado para identificar los errores de codificación. El ejercicio está diseñado para revelar cualquier cambio en la programación que no esté dentro del ámbito del plan de desarrollo.

Además de evitar pérdidas financieras, la estandarización de los procesos de codificación del software también ayuda a agilizar el ciclo de desarrollo. «Solo se estandariza un proceso después de definir la forma más eficiente de hacerlo», señala Creuziger. Para una empresa que desarrolla aplicaciones de software globales para sus unidades de negocio, los costes de desarrollo y soporte pueden reducirse sustancialmente. Se obtienen más beneficios cuando los auditores internos y externos llaman a la puerta, ya que los procesos estandarizados se pueden evaluar de forma más rápida y, por lo tanto, más económica.

Reducir la complejidad

Algunas tareas son intrínsecamente complejas: diseñar chips de ordenador, rastrear los patrones meteorológicos, mapear el genoma humano. Otros lo son innecesariamente. En el caso de Iron Mountain, una empresa de gestión de registros e información de 1.800 millones de dólares, las actividades de fusiones y adquisiciones contribuyeron a una estructura organizativa cada vez más engorrosa. Durante un período de diez años, la empresa adquirió más de 150 competidores y negocios complementarios. Adquirió otras 50 empresas de forma indirecta cuando compró a su mayor competidor, Pierce Leahy, que acababa de completar su propia ola de adquisiciones.

La simplificación siempre fue el plan de juego en Iron Mountain, afirma John F. Kenny, Jr., vicepresidente ejecutivo y director financiero, pero los exhaustivos requisitos de pruebas de Sarbanes-Oxley aceleraron estos esfuerzos. Cada empresa adquirida tenía su propio organigrama; Iron Mountain integró y simplificó la estructura jerárquica. Cada adquisición trajo sus propias prácticas contables; Iron Mountain centralizó todas las actividades contables. Algunas de las empresas utilizaban Unix, mientras que otras utilizaban Linux, Novell NetWare o Windows; Iron Mountain optó por una sola plataforma. Muchas de las empresas calculaban los impuestos a mano o en hojas de cálculo; Iron Mountain automatizaba la estimación y los pagos de los impuestos.

«No podemos decir con certeza que tal o cual mejora haya llevado a, por ejemplo, una reducción de los costes del 5%», afirma Kenny. Sin embargo, él y otros ejecutivos creen que la empresa ha logrado avances significativos en eficiencia.

Reforzar los eslabones débiles

Otra fuente de complejidad proviene de la subcontratación, las asociaciones y los acuerdos de servicios compartidos, conocidos colectivamente como «empresa ampliada». Aunque las empresas llevan mucho tiempo subcontratando tareas como la fabricación, la gestión de pedidos, la nómina, la contabilidad, los recursos humanos, el envío, la declaración de impuestos y la tramitación de cupones y garantías, SOX ha reformulado estas relaciones.

Una complicación relacionada con los SOX se presenta cuando la empresa asociada participa en actividades que afectan sustancialmente a las finanzas de la empresa principal. Estas pueden incluir el alojamiento de aplicaciones de TI, la gestión de la infraestructura de TI, la prestación de servicios de cuentas por cobrar o por pagar, el procesamiento de las nóminas, la gestión de las prestaciones y el mantenimiento de los inventarios del almacén. En esos casos, la empresa principal debe obtener pruebas del control interno efectivo en la empresa asociada, idealmente en forma de un informe SAS 70 de tipo II que presente el socio. Sin embargo, si el proveedor de servicios no quiere o no puede hacerlo, la empresa principal debe realizar su propia auditoría.

Debido a las dificultades a las que se han enfrentado las empresas para realizar sus propias evaluaciones del control interno, la mayoría palidece ante la idea de verificar los controles internos de terceros.

En vista de las dificultades a las que se han enfrentado las empresas para realizar sus propias evaluaciones del control interno, la mayoría palidece ante la idea de verificar los controles internos de terceros. Como resultado, muchos de los clientes de nuestras respectivas firmas están reevaluando sus acuerdos y asociaciones de subcontratación. El director financiero de Yankee Candle, por ejemplo, planea adoptar una postura dura si no puede obtener un informe del SAS 70. «Si es un socio importante lo que afecta a nuestras finanzas, pondremos fin a la relación», afirma Besanko.

Minimizar el error humano

Pregunte a la mayoría de los auditores cuál consideran el aspecto más débil del control interno y le dirán: «Procesos manuales». Los seres humanos encargados de llevarlos a cabo pueden estar fatigados, distraídos, estresados, malintencionados o ausentes. A Michael Hammer, el creador de la reingeniería, le gustaba decir que son «las ‘unidades de trabajo biológicos’ las que causan la mayoría de sus problemas». Los controles automatizados, si se diseñan e implementan correctamente, no son susceptibles a esos peligros. Sin embargo, según nuestra experiencia, la mayoría de los controles siguen siendo manuales.

Pregunte a la mayoría de los auditores cuál es el aspecto más débil del control interno y le dirán: «Procesos manuales».

Como los controles automatizados son más fiables, puede que solo sea necesario analizar una muestra de una actividad. (El control manual de la misma actividad podría requerir docenas de pruebas.) Además, según las recientes directrices de la PCAOB, algunos controles automatizados se pueden probar cada tres años en lugar de todos los años, siempre y cuando la empresa demuestre que el control no se ha cambiado. Algunas empresas intensifican sus medidas de seguridad para garantizar que no se puedan realizar modificaciones de software no autorizadas. Por ejemplo, muchas empresas ahora exigen contraseñas de al menos ocho caracteres compuestas por números, símbolos y letras minúsculas y mayúsculas. Los usuarios deben cambiar las contraseñas al menos cada tres meses y se les bloquea tras introducir varias veces consecutivas de forma incorrecta.

Aun así, algunas situaciones requieren el juicio humano. Manpower se esfuerza por encontrar un equilibrio entre los controles automatizados y manuales. Por ejemplo, su sistema de monitorización automática marca los ajustes de ventas que superen los 10 000 000$. Pero a veces se permiten esos ajustes. «Se necesita el juicio humano para determinar si la anulación es razonable o si hay que investigarla más a fondo», afirma Creuziger. «Incluso los sistemas altamente automatizados necesitan la posibilidad de ser anulados por un humano en circunstancias especiales».• • •

Ya sea que las empresas hayan visto la necesidad de una reforma interna antes que los SOX o que hayan hecho planes recientemente, muy pocas han implementado mejoras empresariales. Las razones son varias: los comités de auditoría no han insistido en que sus empresas vayan más allá de proteger sus activos y su reputación; los directores ejecutivos no han desplegado los recursos suficientes para soportar la carga de hacerlo; los directores financieros no han sido lo suficientemente ingeniosos a la hora de idear formas en las que SOX pueda aportar un valor real; y los directores ejecutivos, directores financieros y departamentos de auditoría interna no han colaborado para identificar las áreas en las que las ganancias de valor podrían utilizarse para compensar los costes del cumplimiento.

Más de un año desde que llegó la primera fecha límite de la Sección 404, Sarbanes-Oxley sigue inspirando miedo en las juntas directivas y los altos ejecutivos: ante las medidas coercitivas, ante la reacción del mercado de valores ante una deficiencia y ante la responsabilidad personal. El miedo puede ser un poderoso generador de conducta honrada. Pero los negocios se basan en descubrir y crear valor. Los procrastinadores tienen que empezar a ver la Ley Sarbanes-Oxley de 2002 como una aliada en ese esfuerzo.