Desde el año 2002, numerosas compañías tanto americanas como extranjeras han pasado por el duro proceso de adaptación para cumplir las exigencias que establece la Comisión de Bolsa y Valores (SEC), a través de la Ley SOX, con respecto al cumplimiento de los requerimientos relativos a garantizar la existencia de modelos de control interno de la información financiera (en inglés ICFR- Internal Controls over Financial Reporting). Todo ello siguiendo los estándares de control interno que marca COSO (Committee of Sponsoring Organizations of the Treadway Commission) para asegurar que la información que se hace pública a los mercados de valores es fiable y transparente.
A este respecto, dichos modelos de control, con doble vertiente, implican, por un lado, la afirmación y certificación de la compañía (CEO y CFO) en relación con su responsabilidad sobre el control interno y su efectividad operativa y, por otro, el informe que ha de emitir el auditor externo sobre dicho control interno. Estos requerimientos suponen para todas las organizaciones un gran volumen de recursos dedicados tanto a su diseño e implementación como, sobre todo, a su gestión diaria, dado el peso que supone evidenciar que las actividades de control se ejecutan según su definición y son eficaces para mitigar el riesgo.
Los retos de la Ley Sarbanes Oxley, al detalle
Esta realidad también se refleja en el reciente informe 2023 SOX Report, elaborado por KPMG, que recoge las principales conclusiones de una encuesta realizada a compañías americanas cotizadas en los diferentes Mercados de Valores de Estados Unidos y sujetas a la Ley Sarbanes Oxley, de la que se desprenden los principales retos que, a lo largo del tiempo, dicha normativa ha supuesto y supone para las organizaciones.
Más concretamente, en la presente encuesta, realizada sobre datos de 2022, se ponen de manifiesto algunas conclusiones clave:
Como se puede observar y, a pesar de que, en muchos casos, las organizaciones encuestadas disponen de modelos de control de la información financiera que podrían considerarse maduros, la evolución y tendencia general gira en torno al refuerzo de dichos sistemas de control. Esto se debe, fundamentalmente, a la mayor presión regulatoria y al escrutinio de las entidades auditoras (por el PCAOB), que imprime mayores exigencias por parte de los auditores externos para asegurar que el control de las compañías está bien diseñado y es eficaz para asegurar que la información financiera que se emite a los Mercados es fiable en todos los aspectos materiales.
En España, disponemos de requerimientos similares, aunque menos detallados. Así, la CNMV exige disponer de un Sistema de Control Interno de la Información Financiera (SCIIF), para entidades cotizadas, siguiendo una estructura y naturaleza similar a lo recogido en le Ley Sarbanes Oxley, y con criterios alineados con el estándar de COSO; con la diferencia de que no existe obligación de que dicho modelo de control sea objeto de auditoría. Esto último lo que provoca es una reducción en el nivel de presión en las organizaciones, ya que no existe obligación de que un experto independiente verifique y opine sobre la efectividad del control interno.
Aunque la implementación es igualmente retadora en los estadios iniciales y supone recursos relevantes para las compañías (especialmente en los procesos de salida a bolsa), el mantenimiento del modelo de control presenta cierta flexibilidad.
‘Efecto sierra’
A lo largo de los años, desde el momento inicial de diseño e implementación de los modelos de control interno de la información financiera, se ha visto que en procesos de revisión periódicos recurrentes o incluso en la realización de los llamados “healthchecks” o “evaluaciones de madurez”, todas las organizaciones, tanto bajo requerimientos SOX como bajo requerimientos SCIIF tienen una tendencia, en el medio plazo, a reducir los niveles internos de exigencia con respecto a los modelos de control, relajándose progresivamente tanto la ejecución de los controles como los soportes documentales generados para evidenciar la efectividad de dichos controles.
Esto se produce, entre otros, una vez que las compañías han implementado sus mecanismos de control y han sido objeto de revisión o auditoría sin identificar oportunidades de mejora relevantes o, habiéndose identificado, han sido resueltas en tiempo y forma (es decir, han logrado “cumplir”). En esta situación, el Top Management ha alcanzado niveles de confort suficientemente adecuados como para reducir el nivel de presión sobre los equipos, lo que genera, en el medio plazo, el deterioro de los mecanismos de control y cumplimiento si no se establecen medidas para asegurar el “sostenimiento” de dichos modelos.
En tales circunstancias, se incrementa el riesgo de fallos de control que pudieran ocasionar, de nuevo, la necesidad de reforzar toda la estructura de control requiriendo esfuerzos relevantes adicionales que hubieran sido innecesarios de haber alcanzado un modelo de control interno de la información financiera sostenible.
Es lo que se conoce como “Saw Effect” o “Efecto sierra”. Es decir, al inicio de la implementación de los modelos de control existe presión y recursos por parte de la organización para “cumplir” y en el momento en el que se alcanza ese objetivo, empieza a existir una tendencia a la reducción del esfuerzo que poco a poco reduce el grado de cumplimiento que, en determinadas situaciones o fallos, genera la necesidad de incrementar de nuevo la presión o los recursos para volver a los niveles de “cumplimiento” requeridos por la normativa.
Este “Efecto sierra” es lo que, en las organizaciones maduras, impone el plan de actuación para alcanzar un equilibrio entre los recursos disponibles y la exigencia de cumplir con los requerimientos normativos y es lo que se pone de manifiesto en la encuesta mencionada anteriormente. Es decir, las principales conclusiones alcanzadas demuestran la necesidad de que las organizaciones incrementen los recursos para mantener su modelo de cumplimiento, reforzando el soporte documental generado, así como los controles de sistemas, lo que redundará en modelos de control estables, eficientes y sostenibles en el tiempo.
Una vez puesto sobre la mesa la existencia del “Efecto sierra” y los costes relacionados con la gestión de dicho efecto, se hace necesario para las organizaciones se planteen la necesidad de alcanzar modelos de control interno sostenibles y eficientes, de forma que eviten el riesgo tanto operativo como económico de permitir la degradación de los controles a lo largo del tiempo.
Para lo cual los elementos clave que las organizaciones deberían considerar se resumen en:
En organizaciones con modelos de control interno de la información financiera maduros, el reto al que se enfrenta la Dirección es quizá mucho más relevante que durante la implantación de los mismos, ya que han de conseguir alcanzar altos estándares de control y cumplimiento con los recursos disponibles y sin rebajar el nivel de exigencia, especialmente en mercados regulados.
Senior manager de Gobierno, Riesgo y Cumplimiento de KPMG en España