Eleva tus habilidades de liderazgo y negocios

Súmate a más de 52,000 líderes en 90 empresas mejorando habilidades de estrategia, gestión y negocios.


Los beneficios inesperados de Sarbanes-Oxley

Algunas compañías inteligentes han dejado de que se quejan de Sarbanes-Oxley, la Ley de Protección de los Inversores, y la convirtió en su ventaja, aportando operaciones bajo un mejor control mientras conduce los costos de cumplimiento.

El primer año de aplicación fue costoso y oneroso, mucho más de lo que las empresas esperaban. Sin embargo, en opinión de algunas empresas de mentalidad abierta, el segundo año de cumplimiento resultó ser no sólo menos costoso y menos oneroso (como suele ser hacer algo por segunda vez), sino una fuente de información valiosa sobre las operaciones, que la administración ha traducido en una mejora de la eficiencia y ahorro de costes.

Las áreas de mejora van mucho más allá del cumplimiento normativo técnico. Entre ellas figuran un entorno de control reforzado; una documentación más fiable; una mayor participación de los comités de auditoría; un cumplimiento mejor y menos engorroso de otros regímenes legales; procesos más estandarizados para las tecnologías de la información y otras funciones; una menor complejidad de los procesos institucionales; mejores controles internos dentro de las empresas asociadas, y un uso más eficaz de los controles automatizados y manuales. El resultado no es sólo la protección de los accionistas, el propósito oficial de la ley, sino también un mayor valor de los accionistas.

Más de un año desde que llegó el primer plazo, Sarbanes-Oxley sigue inspirando temor: a las acciones coercitivas, a la reacción del mercado bursátil a una deficiencia y a la responsabilidad personal. El miedo puede ser un poderoso generador de conducta honesta. Pero las empresas se dedican a descubrir y crear valor. Las empresas necesitan empezar a ver a Sarbanes-Oxley como un aliado en ese esfuerzo.

Cuando el Congreso aprobó apresuradamente la Ley Sarbanes-Oxley de 2002, tenía en mente combatir el fraude, mejorar la fiabilidad de los informes financieros y restablecer la confianza de los inversores. Es comprensible que la mayoría de los ejecutivos se pregunten por qué deberían estar sujetos a las mismas cargas de cumplimiento que los que han sido negligentes o deshonestos. Las empresas más pequeñas, en particular, se quejaron de la monopolización del tiempo y los costos de los ejecutivos que ascienden a millones de dólares.

Tal vez el elemento más gravoso de SOX fue el artículo 404, que dice que es responsabilidad de la administración mantener una sólida estructura de control interno para la presentación de informes financieros y evaluar su propia eficacia, y que es responsabilidad de los auditores dar fe de la solidez de la evaluación de la administración y informe sobre el estado del sistema general de control financiero. (Consulte la barra lateral «Tomando el control de los controles»).

 

La frase «estructura y procedimientos de control interno» ocupa un lugar destacado en la Sección 404 de Sarbanes-Oxley. Pero, ¿de qué se compone exactamente una estructura de control? Un control es una práctica establecida para ayudar a garantizar que los procesos de negocio se llevan a cabo de manera consistente, segura, con la autorización adecuada y en la forma prescrita. Tomemos, por ejemplo, el objetivo de mantener la seguridad de la información. Los controles para lograr este objetivo pueden ser tan sencillos como bloquear un archivador o tan elaborados como cifrar datos informáticos.

Sarbanes-Oxley se promulgó para mejorar la fiabilidad de los informes financieros; por lo tanto, la mayoría de los controles adoptados de conformidad con la Ley se refieren a la puntualidad, integridad y exactitud de los datos financieros.

Los controles se dividen en dos categorías generales. Controles preventivos tienen por objeto eliminar los errores, ya sea intencional o involuntario. Un ejemplo sería la separación de funciones en un departamento de cuentas por pagar, de modo que una persona apruebe una factura, otra prepare el pago y un tercero firme el cheque. De esta forma, se impide la emisión de un pago no autorizado. Controles de detectives están diseñados para identificar los errores e irregularidades que ya se han producido. Por ejemplo, la conciliación mensual de las cuentas de efectivo se lleva a cabo para averiguar esas condiciones.

Un elemento esencial de cualquier programa de cumplimiento de Sarbanes-Oxley es la prueba de controles. Durante el primer año de vigencia de la ley, muchas empresas y sus auditores -debido a la novedad de la ley y a la falta de orientación regulatoria- pusieron a prueba un número innecesariamente elevado de ellos. En algunos casos, las cuestiones que se estaban ensayando eran demasiado poco importantes para contribuir a una inexactitudes materiales en los informes financieros. En otros casos, una alta tasa de muestreo no daba una imagen más clara de la eficacia de determinados controles de lo que habría hecho una tasa más baja. Para reducir la carga del cumplimiento, algunas empresas recurren ahora a la «racionalización de los controles», que consiste en evaluar qué actividades son más susceptibles a errores o abusos y si podrían ser responsables de un error importante. Estos controles se ensayan con mayor frecuencia; se puede considerar que los menos esenciales quedan fuera del ámbito del plan de pruebas. Muchas empresas han logrado ahorros de costos en el segundo año de cumplimiento SOX, sin ninguna reducción en la efectividad del control, racionalizando sus controles de esta manera.

Sin embargo, en el curso de proporcionar asesoramiento de cumplimiento a los ejecutivos, descubrimos un pequeño subconjunto que se acercó a la nueva ley con algo así como gratitud. Durante años, y especialmente cuando los informes financieros se habían vuelto rápidos y sueltos y la conducta criminal se atrincheró en lugares como WorldCom y Enron, estos ejecutivos habían deseado secretamente que algunos de los recursos absorbidos por los centros de ganancias de sus empresas pudieran haber sido desviados para mejorar la gestión financiera procesos y capacidades. Estaban pensando no sólo en proteger a las partes interesadas y proteger a sus empresas de demandas, sino también en desarrollar mejor información sobre las operaciones de la empresa para evitar tomar malas decisiones.

Mientras prestábamos asesoramiento en cumplimiento de normas a los ejecutivos, descubrimos un pequeño subgrupo que se acercó a Sarbanes-Oxley con algo así como gratitud.

Sin embargo, la carga de implementar SOX por primera vez, en 2004, fue tan grande que este grupo con más visión de futuro podría dar poco tiempo a desarrollar y adoptar políticas y prácticas que iban más allá del cumplimiento literal. Algunos hablaron de poner sus iniciativas planeadas en un «estacionamiento», con la esperanza de perseguirlas el año siguiente. A medida que SOX entró en vigor, cada vez más ejecutivos comenzaron a ver la necesidad de reformas internas; de hecho, muchos se sorprendieron por las debilidades y lagunas que las revisiones y evaluaciones de cumplimiento habían expuesto, como la falta de cumplimiento de las políticas existentes, la complejidad innecesaria, las comunicaciones obstruidas y un débil cultura de cumplimiento.

En cualquier época, la promulgación de una ley como SOX probablemente habría provocado un balance similar. Pero factores en el mundo de los negocios independientes de los abusos recientes habían hecho que las operaciones de algunas empresas y los informes fueran opacos incluso a las personas a cargo, haciendo que el momento de la promulgación de SOX fuera particularmente afortunado. Entre esos factores figuraban el ritmo frenético de las fusiones y adquisiciones y la integración no perfecta de las entidades combinadas; la rápida aplicación de nuevas tecnologías de la información y su incompatibilidad con los sistemas heredados, así como la deficiente seguridad electrónica y los parches y arreglos amañados por el jurado para el año 2000; la expansión extranjera, que produjo encuentros desorientadores con idiomas, culturas, leyes y formas desconocidas de hacer negocios; la proliferación de alianzas comerciales y externalización; y el encadenamiento de cadenas de suministro. No es de extrañar que los resultados reales y reportados en varias empresas difieran.

El segundo año de cumplimiento ya está completo en la mayoría de las grandes empresas estadounidenses. ¿El estacionamiento sigue lleno de planes de cambio no implementados? En muchas organizaciones, lo es. Sus ejecutivos quieren simplificar y estandarizar procesos y sistemas, pero parece que no pueden encontrar el tiempo ni los recursos para hacerlo. Pero algunos ejecutivos, especialmente aquellos que reconocieron las ventajas de SOX desde el principio, han descubierto cómo aprovechar la nueva ley para que esos planes de mejora puedan ser realizados.

En el segundo año, varias empresas han comenzado a estandarizar y consolidar procesos financieros clave (a menudo en centros de servicios compartidos); eliminar los sistemas de información redundantes y unificar múltiples plataformas; minimizar las incoherencias en las definiciones de datos; automatizar los procesos manuales; reducir el número de traspasos; integrar mejor las oficinas y las adquisiciones más lejanas; aumentar la velocidad de los nuevos empleados; ampliar la responsabilidad de los controles; y eliminar los controles innecesarios. Además, los procedimientos inspirados en SOX están empezando a servir de modelo para el cumplimiento de otros regímenes legales. En este artículo, describimos las áreas amplias en las que el cumplimiento de SOX ha beneficiado a la gobernanza, la gestión y los inversores de las empresas.

Fortalecimiento del entorno de control

La buena gobernanza es una mezcla de lo exigible y lo intangible. Las organizaciones con una gobernanza sólida proporcionan disciplina y estructura; inculcaran valores éticos en los empleados y los capacitan en los procedimientos adecuados; y exhiben comportamientos a nivel de junta y ejecutivo que el resto de la organización querrá emular.

Todos estos son componentes del entorno de control, que forma la base del control interno. El término «entorno de control», popularizado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway en su informe de 1994 «Control Internal — Marco Integrado», abarca las actitudes y los valores de los ejecutivos y directores y el grado en que reconocen la importancia del método, transparencia y cuidado en la creación y ejecución de las políticas y procedimientos de su empresa.

Un entorno de control adecuado es uno de los factores que un auditor externo considera cuando se le pide que evalúe el control interno de la presentación de informes financieros de conformidad con el artículo 404. Bob Murray, el director de auditoría interna de Yankee Candle, proveedor de 600 millones de dólares de velas perfumadas y otros artículos para el hogar, envía regularmente a la firma de auditoría copias de correspondencia interna enfatizando la prevención del fraude, el control interno y el cumplimiento normativo. «Esperamos anotar puntos importantes con nuestro auditor para hacer esto», dice (aunque apresurarnos a agregar que fortalecer el entorno de control es la principal preocupación de la compañía).

Estos «puntos» no se contabilizan en ningún sentido literal. Más bien, contribuyen a la masa de pruebas ponderadas por el auditor externo. Si una empresa puede demostrar un entorno de control sólido, entonces puede reducir el alcance general de su evaluación de control interno. El alcance reducido puede significar que la empresa no tenga que llevar a cabo tantas pruebas internas y el auditor puede hacer menos corroboración, lo que resulta en menores costos de cumplimiento. (El alcance de la prueba es una cuestión de juicio y tal vez negociación entre el auditor y la empresa. De hecho, el Consejo de Supervisión de la Contabilidad de Empresas Públicas [PCAOB] y la Comisión de Bolsa y Valores animan a los auditores a que actúen con criterio cuando evalúen los controles de información financiera.)

PepsiCo utiliza una encuesta anual de alrededor de 100 altos ejecutivos para demostrar el estado de su cultura de control. Llevado a cabo por los auditores internos de la empresa, el cuestionario examina las prácticas de contratación, la evaluación de empleados, la solicitud de contratos, la notificación de incidentes, el establecimiento de objetivos y otras áreas. Según Thomas Lardieri, auditor general y vicepresidente de gestión de riesgos, PepsiCo también pone a prueba la comprensión de los empleados financieros de sus responsabilidades como parte de su formación anual en ética. La capacitación se administra a través de un paquete interactivo que incluye escenarios de dilemas éticos que uno podría encontrar tratando con clientes, proveedores y colegas y sugiere posibles soluciones. Alrededor de 25.000 gerentes reciben la capacitación. Los 135.000 empleados restantes de la compañía reciben un código de ética manual y algún nivel de refuerzo y formación, que varía según la unidad de negocio, dice Lardieri. Los registros de esta formación pueden ser revisados por los auditores.

En nuestras presentaciones en seminarios y conferencias de negocios, a menudo se nos pregunta por qué enfatizamos tanto el entorno de control. Nuestros interrogantes parecen creer que un buen control interno se basa en los propios controles: la comprobación cruzada, las conciliaciones, la verificación de datos. Respondemos que sin un entorno de control fuerte, una empresa nunca logrará un buen gobierno. Un enfoque en el entorno de control ayuda a garantizar que los controles en sí mismos sean la segunda y tercera línea de defensa, no la primera. Los empleados a los que se ha hecho entender que no está bien hacer acuerdos paralelos con los clientes, reconocer los ingresos prematuramente, ocultar posibles conflictos de intereses, o mirar hacia otro lado cuando este tipo de actividades se están llevando a cabo, no estarán ocupados eludiendo el sistema de control a cada paso.

Un enfoque en el entorno de control ayuda a garantizar que los controles en sí mismos sean la segunda y tercera línea de defensa, no la primera.

Algunos ejecutivos sienten que necesitan atar cada acción de nuevo a la línea final. A ellos les decimos: La mayoría de los servicios de calificación de inversores incluyen una evaluación del entorno de control como parte de su evaluación general de la empresa. Las puntuaciones de estos servicios pueden tener un impacto significativo, ya sea positivo o negativo, en el sentimiento de los inversores y en el costo de capital de la empresa.

Mejorando la documentación

Las actividades de documentación consumieron innumerables horas de trabajo durante el primer año de Sarbanes-Oxley, ya que las empresas actualizaron los manuales de operaciones, revisaron las políticas de personal y registraron los procesos de control. Algunas mentes equiparan el papeleo con el trabajo ocupado, pero este esfuerzo intensivo de mano de obra, para nuestra sorpresa, recibió gradualmente un apoyo creciente de la suite ejecutiva. El estímulo fue las Secciones 302 y 404, que exigen que los directores ejecutivos y los directores ejecutivos den fe personalmente de la eficacia del control interno sobre la presentación de informes financieros, y la Sección 906, que hace que el «fracaso deliberado» describan la verdadera condición de las operaciones de la empresa y financian un delito. El artículo 404 también exige que el auditor independiente certifique cada año la evaluación de sus controles por parte de la empresa. Se espera que el auditor evalúe la documentación de los controles y procedimientos, así como la competencia de los empleados para llevar a cabo las actividades de control de las que son responsables. (Consulte la barra lateral «SOX en breve»).

 

 

BlackRock, una empresa de inversión con más de 450 mil millones de dólares en activos bajo administración, tomó un inventario exhaustivo de sus políticas y procedimientos escritos, dice Paul Audet, ex CFO y ahora director ejecutivo del negocio de administración de efectivo de la compañía. Durante este ejercicio, Audet aprendió que era necesario actualizar muchas descripciones de trabajos. «Si no documentas adecuadamente los requisitos de trabajo, entonces terminas comunicando información importante únicamente de boca a boca», dice.

Con la llegada de Sarbanes-Oxley, Audet vio la oportunidad de revisar la documentación de descripción del trabajo. Las ventajas de hacerlo han sido especialmente notables durante las ausencias de los empleados y los períodos de alta rotación, ya que la documentación revisada ha ayudado a los nuevos reclutas a aclimatarse con mayor rapidez. Definir claramente quién es responsable de los procesos de negocio es un elemento clave de un programa de control interno y facilita la capacitación, supervisión y evaluación del desempeño.

Los esfuerzos de documentación de BlackRock también han aumentado la comprensión de las operaciones por parte de los empleados. Tener que enviar información a papel (o discos duros) ha enviado auditores internos y otros empleados al campo para ver de primera mano cómo se realizan las tareas y cómo se pueden mejorar.

PepsiCo también se ha beneficiado de la actualización de sus procesos de documentación. En el curso de estas actualizaciones, la empresa determinó que existían controles inadecuados para la contabilidad de las pensiones, un proceso complejo que depende no sólo del grupo interno de compensación y prestaciones, sino de actuarios externos y custodios de activos. Lardieri dice con consternación: «Muchos pasos que asumimos que se estaban tomando —conciliaciones de cuentas, cálculos de intereses y comprobaciones de integridad de los datos— en realidad no lo estaban».

Tan pronto como se revelaron los fallos, la compañía asignó un controlador a su grupo de compensación y beneficios, y un equipo interno identificó, documentó e implementó las actividades de control faltantes. PepsiCo también comenzó a exigir garantías por escrito de sus custodios de activos de que las empresas con las que realizó negocios se adhirieron a estrictos controles internos. (Muchas otras empresas obtienen garantías similares al exigir informes SAS 70 tipo II, que certifican que una empresa de auditoría independiente ha examinado los controles internos de un proveedor de servicios.) Estas medidas aclararon las responsabilidades de control de los departamentos de tesorería y finanzas y del grupo de compensaciones y prestaciones. También mejoraron las transferencias de datos entre estas funciones y con terceros.

Un CFO de un Fortuna 1000 empresa inmobiliaria nos informó de otro beneficio documentación de Sarbanes-Oxley. Este ejecutivo se acercó a la documentación de la Sección 404 confiando en que las firmas de su empresa habían sido ejecutadas indefectiblemente, sólo para hacer lo que él denominó un descubrimiento «humilde»: las personas que firman los documentos aparentemente habían estado simplemente mirando los contratos y arrendamientos en cuestión. Esa falta de atención dejó a la empresa susceptible de cláusulas contractuales inexigibles, escalaciones de alquileres mal calculadas y acuerdos subyacentes no ejecutados. Después de disciplinar a las partes negligentes, la empresa instituyó controles cruzados mucho más rigurosos de contratos y arrendamientos.

Aumento de la participación del Comité de Auditoría

No hace mucho tiempo, algunos consideraban que los asientos de la junta eran tareas de ciruela, trayendo estatura y recompensas financieras, pero requiriendo un esfuerzo limitado. Hoy, por el contrario, los directores se enfrentan a una mayor responsabilidad jurídica por falta de atención y, por lo tanto, una carga de trabajo más pesada. Además, todos los miembros del comité de auditoría deben estar libres de la mayoría de los vínculos financieros y personales con la empresa, y al menos un miembro del comité debe ser un «experto financiero», según Sarbanes-Oxley. Si no, la empresa debe decirlo. Por lo tanto, no debería sorprender que la composición de la junta haya cambiado sustancialmente. Parece que tanto los reclutas como los veteranos están tomando muy en serio sus nuevas responsabilidades, como lo demuestran las reuniones de comités más largas y frecuentes y las preguntas más puntiagudas que plantean los miembros.

Para muchos CFO con los que hemos trabajado, la transformación ha sido dramática: «En la próxima reunión de nuestro comité de auditoría, fue un mundo diferente en términos de nivel de compromiso de los miembros», dice un ejecutivo. «Algunos argumentarían que esta intensidad debería haber estado ahí todo el tiempo, pero el hecho es que no lo fue».

Bruce Besanko, CFO de Yankee Candle, quien trabajaba en otra compañía de productos de consumo cuando se promulgó Sarbanes-Oxley, dice que la Ley cambió la atmósfera en el comité de auditoría de esa compañía. Besanko explica que antes de Sarbanes-Oxley, muchas empresas utilizaban la misma firma contable de los Cuatro Grandes tanto para la auditoría como para la consultoría, a menudo con la preponderancia de los honorarios destinados a los consultores. Mientras que las normas de la SEC prohíben a los auditores independientes ayudar en el diseño de sistemas internos de información financiera, se permiten otros tipos de servicios de consultoría. Sin embargo, varios comités de auditoría, incluyendo Yankee Candle, han pedido a sus auditores independientes que dejen de prestar ciertos servicios de consultoría a la compañía, excepto en circunstancias limitadas y estrictamente controladas. (Cabe señalar que Sarbanes-Oxley afirma que cualquier los servicios adicionales que deberá prestar el auditor externo están sujetos a la aprobación explícita del comité de auditoría.)

Aprovechamiento de las oportunidades de convergencia

Predominan dos enfoques a Sarbanes-Oxley. Algunos ejecutivos cumplen con los requisitos de SOX, pero a un costo mínimo y utilizan los menos recursos posibles. Otros aprovechan los recursos gastados en cumplimiento para obtener un retorno de su inversión.

RSA Security, una empresa tecnológica de 300 millones de dólares que ayuda a las organizaciones a proteger identidades en línea y activos digitales, decidió llevar a cabo esos enfoques, combinando el cumplimiento de Sarbanes-Oxley con otras obligaciones regulatorias para obtener eficiencias y reducir los costos generales. La compañía convocó a un equipo para identificar las características comunes entre los regímenes legales con los que tenía que cumplir, incluyendo la Ley de Portabilidad y Responsabilidad de Seguros Médicos de 1996 (HIPAA), la Ley Gramm-Leach-Bliley (GLB), la Ley de Información sobre Violaciones de Seguridad de California y otras leyes para proteger la privacidad y combatir el robo de identidad.

Un ámbito de convergencia fue el mantenimiento de registros de los empleados. Al igual que la mayoría de las empresas, RSA Security mantiene archivos informatizados de recursos humanos que contienen datos personales relacionados con el pago, los beneficios de salud y el Seguro Social. Varias leyes y regulaciones rigen el manejo de estos registros: la información financiera está protegida bajo Sarbanes-Oxley, los beneficios de salud bajo la HIPAA, y la Seguridad Social y otra información personal bajo diversas leyes federales y estatales de privacidad.

John Parsons, vicepresidente de finanzas y director de contabilidad de RSA Security, dice que el equipo ejecutivo se dio cuenta de que un solo conjunto de controles se podría usar para cumplir con los diversos actos, dada la forma similar en que se organizaron los datos y el interés común de los actos en proteger la integridad de los datos y seguridad. En respuesta, funciones como IT y recursos humanos adoptaron un único conjunto de controles que determinaban el nivel de acceso de los empleados al sistema informático. Un ejemplo de esta consolidación fue un inicio de sesión único para beneficios, nóminas y otros datos. «Dependiendo de su nivel y rol, algunos empleados obtienen derechos de ‘sólo lectura’ a los archivos; algunos tienen la capacidad de cambiar los datos; y otros, por supuesto, se les niega el acceso», explica Parsons.

RSA Security adoptó un enfoque similar de convergencia para su proyecto 9000 de la Organización Internacional de Normalización (ISO), un programa internacional de certificación administrado por una ONG con sede en Ginebra que representa a cientos de organismos nacionales de normalización. ISO establece estándares para la gestión de la calidad y el aseguramiento de la calidad en áreas tales como procesos de producción, mantenimiento de registros, mantenimiento de equipos, formación de empleados y relaciones con los clientes.

Los elementos comunes entre los proyectos ISO y SOX no fueron fácilmente evidentes para los dos equipos que trabajaban en ellos (un equipo de operaciones para el primero y un equipo de finanzas para el segundo) porque los dos grupos trabajaban en edificios separados, con poca conciencia de las actividades del otro.

Ambos equipos se encargaron de documentar docenas de procesos empresariales y determinar la eficiencia con que se diseñaron y operaron. El equipo de ISO, por ejemplo, examinó los procesos establecidos para garantizar que sólo el software de alta calidad y totalmente depurado llegara al mercado, mientras que el equipo de SOX, por ejemplo, examinó el proceso de conciliación de cuentas. Cuando Parsons examinó un diagrama de flujo detallado del ciclo de ingresos que su equipo de SOX había preparado, se le ocurrió que el equipo de ISO estaba trazando exactamente el mismo proceso. «¿Por qué?», pregunta, «¿tendríamos dos mapas diferentes para el mismo proceso empresarial? Ciertamente no necesitábamos dos mapas de procesos, dos evaluaciones de riesgos y dos conjuntos de controles sobre el ciclo de ingresos desde la generación de la factura hasta la recepción del pago. Así que impulsamos lo que eran procesos ISO y SOX completamente paralelos en un mapa de procesos convergente y un enfoque operativo».

Los beneficios han ido más allá del ahorro de costos. «También pudimos liberar a las personas y reasignar su tiempo a actividades de mayor valor», dice. En lugar de vincular a tantos empleados en las tareas de cumplimiento de normas y certificación, RSA Security ha reorientado algunos de ellos a mejoras operacionales, como la racionalización del proceso de pedidos de clientes y la ampliación de las capacidades de la cadena de suministro.

Estandarización de procesos

Aunque la estandarización del proceso nunca se confundirá con la fruta de bajo nivel, muchos creen que vale la pena escalar. La labor de identificar y abordar las incoherencias entre las unidades operativas y las ubicaciones puede ser considerable, pero también lo puede hacer el rendimiento.

Considere el caso de un gran fabricante de ropa que opera puntos de venta en todo el país bajo varias marcas conocidas. Durante la primera etapa de cumplimiento de Sarbanes-Oxley, los socios de Deloitte & Touche se reunieron con el CFO y su personal para revisar los procesos en marcha para registrar las transacciones financieras básicas. Comenzamos con las cuentas por cobrar y nos enteramos de que cada división de la compañía impuso diferentes fechas de vencimiento y reclamación, tasas de demora y tasas de interés a los clientes. Si las divisiones hubieran sido empresas independientes, estas incoherencias habrían sido inocuas, pero cada una de estas unidades alimentaba sus datos financieros en estados financieros consolidados, y estos procesos no estandarizados ensuciaron las cuentas por cobrar y las cuentas de deuda incobrable.

En Sunoco existía una situación análoga. Al documentar sus procedimientos para la Sección 404, el CFO Tom Hofmann recordó que la empresa «tenía tres o cuatro formas diferentes de introducir una factura en el sistema». El negocio de refinación de Sunoco varió el proceso de facturación por categoría de producto, ya sea combustible de aeronaves, lubricantes o aceite de calefacción al por mayor.

«Estas transacciones no son tan diferentes», dice Hofmann. «¿Por qué tendríamos diferentes métodos de facturación?» Señaló la discrepancia con la independencia histórica de los diversos grupos empresariales y la falta de presión para estandarizar. Por lo tanto, siguiendo el consejo de su equipo, encargó un único formulario que podía capturar toda la información necesaria para procesar un pedido del cliente. Esta consistencia, dice Hofmann, reduce las posibilidades de error en la entrada y consolidación de datos.

Tener que volver a facturar a los clientes para corregir errores de facturación puede tener un efecto en cascada en las operaciones: cada discrepancia de facturación, ya sea detectada internamente o marcada por un cliente, debe investigarse y conciliarse, y la factura debe cancelarse, rehacerse y volver a entregarse. Como consecuencia, el ciclo de flujo de caja se interrumpe y las relaciones con los clientes pueden verse tensas. En Sunoco, la creación de un formulario único y estandarizado para cada tipo de producto redujo estos problemas al mínimo.

Los beneficios potenciales de la estandarización también llamaron la atención de los ejecutivos de Kimberly-Clark, el fabricante de productos de consumo. Mark Buthman, vicepresidente sénior y CFO, dice que el trabajo de su compañía en Sarbanes-Oxley puso de relieve un área llena de inconsistencia: entradas manuales de diarios. «Puede que no parezca que las entradas de diario sean tan importantes, pero tenemos cientos de personas en todo el mundo que las generan», dice Buthman, cuya empresa emplea a más de 60.000 trabajadores en 38 países.

Antes de Sarbanes-Oxley, el proceso de entrada en diarios de la compañía variaba ampliamente según la división y la ubicación, con algunos empleados que creaban entradas a mano, otros que las integraban en hojas de cálculo de Excel y otros que los registraban en el programa de software financiero SAP de la compañía. El proceso de revisión de las entradas también estaba fragmentado, y algunas revisiones realizadas por personas no lo suficientemente altas. La dirección de Kimberly-Clark decidió que el personal registrara todas las entradas del diario en el sistema SAP de la compañía. «En lugar de tener cientos de procedimientos ad hoc para las entradas de diario, ahora solo tenemos tres», dice Buthman. Los datos son ahora más consistentes y confiables, y se requieren menos empleados y horas de trabajo para llevar a cabo la misma tarea, dice.

La normalización es también una cuestión fundamental para Manpower, un proveedor de servicios de empleo por valor de 16.000 millones de dólares que opera en 72 países. Con más de 2 millones de empleados temporales y permanentes en la nómina de la empresa, la necesidad de mantener controles y equilibrios rigurosos es significativa. «Incluso los errores decimales o de codificación de aplicaciones menores pueden tener un gran impacto», dice Nancy Creuziger, vicepresidenta y controladora de la compañía.

Para protegerse contra este tipo de errores, Manpower estandarizó su proceso de administración de cambios para el desarrollo de software. Cualquier modificación del código ahora está sujeta a una serie de revisiones, pruebas, análisis y aprobaciones antes de entrar en marcha. Una prueba de regresión se introduce cerca del final del proceso de desarrollo para validar el nuevo código. Durante la prueba, los técnicos operan dos máquinas simultáneamente, una que ejecuta el código antiguo y la otra la nueva. Los mismos datos se ponen en cada uno, y la salida se compara con el fin de identificar errores de codificación. El ejercicio está diseñado para revelar cualquier cambio de programación que no esté dentro del ámbito del plan de desarrollo.

Además de evitar pérdidas financieras, la estandarización de los procesos de codificación de software también ayuda a agilizar el ciclo de desarrollo. «Usted estandariza un proceso sólo después de definir la forma más eficiente de hacerlo», señala Creuziger. Para una empresa que desarrolla aplicaciones globales de software para sus unidades de negocio, los costos de desarrollo y soporte se pueden reducir sustancialmente. Se obtienen más beneficios cuando los auditores internos y externos llegan a llamar, ya que los procesos estandarizados pueden evaluarse más rápidamente y, por lo tanto, de manera más económica.

Reducción de la complejidad

Algunas tareas son intrínsecamente complejas: diseñar chips de computadora, rastrear patrones climáticos, mapear el genoma humano. Otros lo son innecesariamente. En el caso de Iron Mountain, una empresa de gestión de registros e información, fusiones y adquisiciones por valor de 1.800 millones de dólares contribuyó a crear una estructura organizativa cada vez más engorrosa. Durante un período de diez años, la empresa había adquirido más de 150 competidores y empresas complementarias. Adquirió otras 50 empresas indirectamente cuando adquirió su mayor competidor, Pierce Leahy, que acababa de completar una serie de adquisiciones propia.

La simplificación siempre fue el plan de juego en Iron Mountain, dice John F. Kenny, Jr., vicepresidente ejecutivo y CFO, pero los extensos requisitos de pruebas de Sarbanes-Oxley aceleraron estos esfuerzos. Cada empresa adquirida venía con su propio organigrama; Iron Mountain integró y racionalizó la estructura de presentación de informes. Cada adquisición trajo sus propias prácticas contables; Iron Mountain centralizó todas las actividades contables. Algunas de las compañías ejecutaban Unix mientras que otras ejecutaban Linux, Novell NetWare o Windows; Iron Mountain optó por una única plataforma. Muchas de las compañías calcularon los impuestos a mano o en hojas de cálculo; Iron Mountain automatizó la estimación y los pagos de impuestos.

«No podemos decir con certeza que tal y tal mejora haya llevado, digamos, a una reducción del 5% en los costos», dice Kenny. Sin embargo, él y otros ejecutivos creen que la compañía ha logrado importantes ganancias en eficiencia.

Fortalecimiento de los vínculos débiles

Otra fuente de complejidad surge de la externalización, las asociaciones y los acuerdos de servicios compartidos, conocidos colectivamente como la «empresa extendida». Aunque las empresas han externalizado durante mucho tiempo tareas tales como fabricación, cumplimiento de pedidos, nóminas, contabilidad, recursos humanos, envío, informes fiscales y procesamiento de cupones y garantías, SOX ha reformulado estas relaciones.

Una complicación relacionada con SOX surge cuando la empresa asociada participa en actividades que afectan materialmente a las finanzas de la empresa principal. Estos pueden incluir alojamiento de aplicaciones de IT, administración de infraestructura de TI, prestación de servicios en cuentas por cobrar o cuentas por pagar, procesamiento de nóminas, administración de beneficios y mantenimiento de inventarios de almacenes. En tales casos, la empresa principal debe obtener pruebas de un control interno efectivo en la empresa asociada, idealmente en la forma de un informe SAS 70 Tipo II que el socio proporcione. Sin embargo, si el proveedor de servicios no está dispuesto o no puede hacerlo, la empresa principal debe llevar a cabo su propia auditoría.

Debido a las dificultades que han experimentado las empresas para llevar a cabo sus propias evaluaciones de control interno, la mayoría de ellos se escieron ante la idea de verificar los controles internos de terceros.

En vista de las dificultades que han experimentado las empresas para llevar a cabo sus propias evaluaciones de control interno, la mayor parte de ellas se ve en la idea de verificar los controles internos de terceros. Como resultado, muchos de los clientes de nuestras respectivas empresas están reevaluando sus acuerdos de externalización y asociaciones. El CFO de Yankee Candle, por ejemplo, planea tomar una línea dura si no puede obtener un informe SAS 70. «Si es un socio importante el que afecta a nuestras finanzas, terminaremos la relación», dice Besanko.

Minimización de errores humanos

Pregúntele a la mayoría de los auditores qué consideran el aspecto más débil del control interno, y le dirán, «Procesos manuales». Los seres humanos encargados de llevarlos a cabo pueden estar fatigados, distraídos, estresados, maliciosos o ausentes. Michael Hammer, el creador de la reingeniería, le gustaba decir que son «las ‘unidades de trabajo biológicas’ las que causan la mayoría de sus problemas». Los controles automatizados, si se diseñan e implementan correctamente, no son susceptibles a tales trampas. Sin embargo, según nuestra experiencia, la mayoría de los controles siguen siendo manuales.

Pregúntele a la mayoría de los auditores cuál es el aspecto más débil del control interno, y le dirán, «Procesos manuales».

Dado que los controles automatizados son más fiables, es posible que sólo sea necesario probar una sola muestra de una actividad. (Un control manual de la misma actividad podría requerir docenas de pruebas). Además, según la reciente guía de PCAOB, algunos controles automatizados se pueden probar cada tres años en lugar de cada año, siempre y cuando la empresa pueda demostrar que el control no ha sido cambiado. Algunas empresas intensifiquen sus medidas de seguridad para garantizar que no se puedan realizar modificaciones de software no autorizadas. Por ejemplo, muchas empresas ahora requieren contraseñas de al menos ocho caracteres consistentes en números, símbolos y letras minúsculas y mayúsculas. Los usuarios deben cambiar las contraseñas al menos cada tres meses y están bloqueados después de varias entradas incorrectas consecutivas.

Aún así, algunas situaciones requieren juicio humano. Manpower se esfuerza por encontrar un equilibrio entre los controles automatizados y manuales. Por ejemplo, su sistema de monitoreo automatizado marca ajustes de ventas superiores a 10.000 dólares. Pero a veces tales ajustes son permisibles. «Se necesita un juicio humano para determinar si la anulación es razonable o si necesita ser investigada más a fondo», dice Creuziger. «Incluso los sistemas altamente automatizados necesitan la posibilidad de anulación humana en circunstancias especiales».• • •

Ya sea que las empresas hayan visto la necesidad de una reforma interna antes de SOX o hayan hecho planes recientemente, muy pocas han implementado mejoras en el negocio. Las razones para esto son varias: los comités de auditoría no han insistido en que sus empresas vayan más allá de proteger sus activos y reputación; los directores ejecutivos no han desplegado suficientes recursos para manejar la carga de hacerlo; los CFO no han sido lo suficientemente ingeniosos para idear formas de que SOX pueda aportar valor real; y los directores ejecutivos, CFO , y los departamentos de auditoría interna no han colaborado para identificar esferas en las que podrían utilizarse ganancias de valor para compensar los costos del cumplimiento.

Más de un año desde que llegó el primer plazo de la Sección 404, Sarbanes-Oxley sigue inspirando temor en los consejos y ejecutivos superiores: a las acciones de aplicación, a la reacción del mercado bursátil ante una deficiencia y a la responsabilidad personal. El miedo puede ser un poderoso generador de conducta honesta. Pero los negocios se ejecutan en el descubrimiento y la creación de valor. Los procrastinadores necesitan comenzar a ver la Ley Sarbanes-Oxley de 2002 como un aliado en ese esfuerzo.


Stephen Wagner Lee Dittmar
Via HBR.org


Eleva tus habilidades de liderazgo y negocios

Súmate a más de 52,000 líderes en 90 empresas mejorando habilidades de estrategia, gestión y negocios.