Tecnologia, Contacto Profesional

PREGUNTAS Y RESPUESTAS

P: ¿A qué se refiere la Ley Sarbanes-Oxley?
R: Sarbanes-Oxley (SOX) es una ley americana que busca evitar los escándalos financieros y quiebras producidos a principios de la década. Alcanza en principio a todas las empresas que cotizan en la bolsa. Pero de hecho se extiende a las oficinas que puedan tener en el exterior, así como a las empresas que se encuentren en la cadena de valor, especialmente las que le provean servicios de outsourcing.

P: ¿Cuáles son los aspectos más trascendentes de esta ley?
R: Aunque varias secciones se destacan por su importancia e implicancias, la más mencionada es la Sección 404, Valuación Gerencial de los Controles Internos, referidos a los informes financieros. Esta sección tiene dos partes: (a) y (b). En la primera, se establece la responsabilidad por parte de la gerencia del establecimiento y mantenimiento de un sistema adecuado de controles internos, que debe ser valuado al fin de cada año fiscal en cuanto a su efectividad. La segunda parte, indica que una auditoría externa debe testimoniar e informar la exactitud de la valuación anterior.

P: ¿Cómo se cumple con los requisitos de la Sección 404?
R: En primer lugar tenemos la SEC, es decir la Comisión Nacional de Valores americana, que ha emitido las Reglas Finales 33-8238 que, entre otras cosas, regula la implementación de la Sección 404 (a). Además, está la PCAOB (Supervisión de la Contabilidad de las Compañías Cotizantes), creada por la ley y que depende de la SEC. La PCAOB ha emitido la Norma de Auditoría No. 2 (AS2) que básicamente gobierna el informe realizado por los auditores externos bajo las disposiciones de la Sección 404 (b).

P: ¿Y qué son y cómo se tratan los controles internos?
R: Los controles internos, como concepto general, son los métodos y procedimientos que se usan para salvaguardar los activos, y asegurar que los mismos se usen conforme los objetivos de la empresa. Los controles internos se establecen en base a una valuación y gestión de riesgo de las operaciones comerciales. En el caso de Sarbanes-Oxley, los controles internos son los procesos para un aseguramiento razonable de la confiabilidad de los informes financieros.

P: ¿Qué relación tiene la Seguridad de la Información con Sarbanes-Oxley?
R: En general el aspecto de seguridad ha sido visto más dentro de un esquema, incompleto, de sistemas IT. En realidad, la ISO 17799 es un compendio de controles de buenas prácticas no limitado a las cuestiones técnicas, sino con alcance plenamente corporativo. Además, si bien esta norma se ha vuelto una suerte de metáfora de la Seguridad de la Información, debe considerársela junto con la ISO 27001 que establece los requisitos y condiciones de implementación del sistema de gestión correspondiente.

P: ¿Cuáles serían concretamente dichas implicancias?
R: En primer lugar, la Sección 404 (a) se mapea en dos capítulos de la ISO 27001 referidos a la revisión y responsabilidad gerencial. Luego, los controles generales de un sistema de control interno, como COSO, se mapean en controles de seguridad de siete de las once áreas que trata la ISO 17799. Por otra parte, la ISO 27001 es la herramienta más idónea para auditar la seguridad de los proveedores de servicios.

P: ¿Cómo se definiría en definitiva el soporte de las normas de seguridad a la ley Sarbanes-Oxley?
R: El proceso de selección de controles de seguridad implica un análisis gap respecto de una valuación de riesgos de seguridad que enfoca principalmente los aspectos de confidencialidad, integridad, disponibilidad y confiabilidad necesarios para asegurar la exactitud de los informes financieros que pide esta ley. Este aspecto, así como los mapeados referidos antes, dan a Sarbanes-Oxley un soporte completo en cuanto a seguridad de la información, encuadrado en el paradigma del Corporate Governance.