Sarbanes Oxley: las Pyme se preparan para su aplicación
:quality(75):max_bytes(102400)/https://assets.iprofesional.com/assets/jpg/2010/10/175831.jpg)
En Estados Unidos, el tiempo está corriendo para las más pequeñas compañías, que puede que representen una mediana o grande en Latinoamérica. En particular para aquellas que se encuentran en su primer año de cumplimiento con las normas contables Sarbanes-Oxley (SOX) en lo que se refiere al control interno sobre el reporte financiero.
Algunos expertos confían una vez más que exista una nueva prórroga, y es por esta razón que muchas compañías no se están preparando. Otros versados en el tema consideran improbable que se demore una vez más su efectiva aplicación.
Vamos a ver como sería un cronograma aplicable para las más pequeñas, o sea, aquellas con capitalización igual o menor a los 75 millones de dólares:
- Deben cumplir con los requerimientos de la sección 404 de SOX para los ejercicios fiscales terminados a partir del 15 de diciembre de 2007.
- Lo primero a considerar es el reporte del management referido al control interno sobre el reporte financiero, el cual deberá entregarse a la Comisión de Valores estadounidense (SEC) conjuntamente con la entrega de los estados financieros luego del primer trimestre del 2008.
- El reporte del auditor externo referido al control interno sobre el reporte financiero debería ser presentado un año después.
Mientras la SEC se mantiene firme en su posición de mantener el vencimiento del reporte del management para el cierre 2007, algunos congresistas no se terminan
de convencer y siguen presionando por más tiempo de preparación. El proyecto de posponer su vigencia está pendiente de discusión en el Congreso de los Estados Unidos a la espera de fecha de tratamiento.
Desde que comenzó a aplicarse las SOX, existieron muchas idas y vueltas sobre guías y metodologías para el efectivo cumplimiento de la sección 404 y en general, todos los cambios y propuestas apuntaron a hacerla más eficiente, sencilla y a bajar los costos en general, sobre todo teniendo en consideración el miedo de las más pequeñas compañías de no poder cumplir y entonces tener que deslistarse a tiempo del mercado de valores.
La SEC publicó una guía este año dando al management instrucciones más específicas sobre cómo reportar sobre el control interno en forma más eficaz, eficiente y con mayor certeza.
Mientras tanto, el Comité de vigilancia de las firmas de auditoría que dictaminan compañías públicas (PCAOB), ha publicado su estándar más flexible para seguir el proceso de revisión del control interno sobre el reporte financiero (AS5).
Aún así las más pequeñas compañías tienen muchas dudas frente a este desafío. Algunas están atentas a las estadísticas referidas a los altos costos incurridos por las firmas que ya están en proceso de cumplimiento. Sucede que suelen no tener expertos dentro de la compañía y conocen los costos de consultoría en la colaboración para
su cumplimiento.
Aquí cabe considerar también que la falta de profesionales por el crecimiento de la demanda provocó un incremento de los costos de mano de obra y consecuente incremento en los honorarios profesionales.
Hay una corriente de expertos que está preocupada por lo siguiente: mientras algunos se inclinan por el corrimiento del cumplimiento de SOX 404 para las pequeñas compañías y la SEC se esfuerza por su efectiva aplicación, en el medio quedan los empresarios, quienes se sabe por experiencia, podrían comenzar a preocuparse realmente por el cumplimiento una vez puesta en firme la fecha.
Al respecto estos expertos opinan que la incertidumbre está siendo la peor alternativa entre las tres, pues provoca preocupación y hasta pánico en el empresario.
Sucede que si las pequeñas compañías listadas no comienzan ya, la incertidumbre está creando la profecía autocumplida que pone presión en las firmas de auditoría, en el sistema en su conjunto y nos remonta nuevamente al primer cumplimiento de SOX por parte de las más grandes (pero ahora sobre la espalda de las más chicas).
Y es esta incertidumbre la que está provocando que muchas compañías intimidadas por el esfuerzo que consideran que este proceso conlleva, podrían llegar a evaluar las posibles consecuencias de un incumplimiento y no esforzarse demasiado por prepararse. Podrían existir compañías con claras debilidades de control que están dispuestas a reconocerlas directamente y que han elegido "no cumplir con SOX".
Algunas compañías intentan minimizar el esfuerzo en el primer año que no tendrán reporte del auditor externo. Esta interpretación supone que la real necesidad de cumplimiento llega en el año subsiguiente.
En realidad la norma expresa que solo existe una diferencia en cuanto a los diferentes responsables involucrados por sus dichos sobre los controles sobre el reporte financiero.
Esta minimización del esfuerzo puede lograrse mediante un ordenado y estratégico enfoque de "risk management" en el cual esté lo mínimo indispensable, sin por eso prescindir de todo lo necesario; dicho de otra forma, nos referimos a un adecuado balance y racionalización de los controles internos clave a analizar y probar y su relación con los riesgos más relevantes.
Este enfoque podría mejorar y eficientizarse aún más en el año 2 con "reuniones de sintonización" con el auditor externo (sin por eso que el auditor externo deba tomar
definiciones en un campo donde su participación está restringida por ley en ciertas cuestiones).
Si las compañías no encaran a conciencia el trabajo duro de documentación de sus más importantes procesos y no prueban sus controles clave, podrían creer que no tienen debilidades materiales -máximo grado de una falla de control- cuando en realidad existen, y llevarse una grandísima sorpresa en la revisión del año subsiguiente.
Carlos Rozen
Socio de BDO Becher & Asociados
Auditoría Interna y Procesos