mejor práctica
Un puñado de empresas inteligentes han dejado de
quejarse de la Ley Sarbanes-Oxley, que protege a los
inversionistas, y la han transformado en ventaja al
controlar mejor las operaciones y rebajar al mismo
tiempo los costos de su cumplimiento.
Los inesperados beneficios
de la Ley Sarbanes-Oxley
por Stephen Wagner y Lee Dittmar
C uando el Congreso aprobó apu-
radamente la Ley Sarbanes-Oxley
(SOX) de 2002, tenía en mente combatir
el fraude, aumentar la confiabilidad de
los informes financieros y reestablecer
la confianza de los inversionistas. Com-
prensiblemente, la mayoría de los ejecu-
tivos se preguntaron por qué debían ellos
estar sujetos a las mismas obligaciones de
quienes habían sido negligentes o desho-
nestos. En particular, las empresas más
pequeñas se quejaron de una monopoli-
zación del tiempo de los ejecutivos y de
costos por millones de dólares.
Quizás el factor más gravoso de SOX
era el Artículo 404, que dice que la di-
rección es responsable de mantener una
sólida estructura de control interno para
la información financiera y evaluar su
propia eficacia, y que es responsabilidad
de los auditores dar fe de la solidez de la
evaluación de la dirección e informar del
estado del sistema completo de control
financiero (Vea el recuadro “Controlar los
controles”.)
Sin embargo, en nuestras asesorías
Tim Ellis
sobre cumplimiento a ejecutivos, des-
cubrimos un pequeño subgrupo que
Copyright 2006 Harvard Business School Publishing Corporation. All rights reserved. Todos los derechos reservados. 1
enfrentó la nueva ley con una suerte de
gratitud. Durante años, y especialmente
cuando los informes financieros se habían
vuelto engañosos y la conducta delictiva
se había arraigado en lugares como Worl-
dCom y Enron, estos ejecutivos habían
deseado secretamente que una parte de
los recursos absorbidos por los centros
de utilidades de sus empresas pudiera
haberse destinado a mejorar los proce-
sos y capacidades de gestión financiera.
Estaban pensando no sólo en proteger a
los accionistas y resguardar de litigios a
sus empresas, sino también en generar
mejor información sobre las operaciones
de las empresas para evitar así las malas
decisiones.
No obstante, la carga de implementar
de SOX por primera vez en 2004 era tan
grande que este grupo más previsor no
podía dedicar mucho tiempo a generar
y adoptar políticas y prácticas que fueran
más allá del cumplimiento literal. Algu-
nos hablaron de poner sus iniciativas “en
lista de espera”, con la esperanza de con-
tinuarlas el año siguiente. Al entrar en
vigencia SOX, más y más ejecutivos em-
pezaron a ver la necesidad de reformas
m e j o r p r á c t i c a • Lo s i n e s p e ra d o s b e n e f i c i o s de la Ley Sarbanes-Oxley

internas. De hecho, muchos se sintieron
sorprendidos por las debilidades y bre-
chas dejadas a la vista por las revisiones
y evaluaciones de cumplimiento, como la
no aplicación de las políticas existentes,
una complejidad innecesaria, comunica-
ciones obstruidas y una débil cultura de
cumplimiento.
En cualquier época, la promulgación
de una ley como SOX probablemente
habría desencadenado un balance simi-
lar. Sin embargo, factores del mundo
de los negocios, aparte de los recientes
abusos, habían opacado las operaciones
y los informes de algunas empresas, in-
cluso para los que estaban a cargo, con-
virtiendo en particularmente afortunado
el momento en que se promulgó SOX.
Un foco sobre el ambiente de control ayuda a
garantizar que los controles mismos sean líneas
de defensa secundarias y terciarias, no primarias.
Entre tales factores estaban las frenéticas
fusiones y adquisiciones, y la imperfecta
integración de las entidades combinadas;
la rápida implementación de nuevas tec-
nologías de información y su incompatibi-
lidad con los antiguos sistemas, así como
una defectuosa seguridad electrónica y
parches y arreglos provisionales por el
evento año 2000; la expansión a mercado
externos, que produjo desencuentros con
culturas, leyes, formas de hacer negocios
y lenguajes desconocidos; la proliferación
de alianzas de negocios y tercerización,
además de la combinación de cadenas de
suministro. No es sorprendente que para
muchas el desempeño real y el informado
fuera divergente.
Ya ha concluido el segundo año de
cumplimiento en la mayoría de las
grandes empresas de Estados Unidos.
¿Está todavía la lista de espera llena de
planes de cambio sin implementar? Sí,
Stephen Wagner (swagner@deloitte.com) es socio director del U.S. Center for Corporate
Governance en Deloitte & Touche. Lee Dittmar (ldittmar@deloitte.com)) dirige el área
de Consultoría de Gobernabilidad Empresarial para Deloitte Consulting y ejerce como
colíder del área de Sarbanes-Oxley de la organización. Wagner se ubica en la oficina
de Boston, mientras que Dittmar en Philadelphia. Todas las empresas mencionadas en
este artículo son clientes de sus firmas.
para un gran número de organizaciones.
Sus ejecutivos quieren simplificar y
estandarizar procesos y sistemas, pero al
parecer no pueden encontrar el momento
o los recursos para hacerlo. Pero algu-
nos ejecutivos, particularmente los que
reconocieron desde el principio las venta-
jas de SOX, han descubierto la forma de
aprovechar la nueva ley para realizar esos
planes de mejora.
En el segundo año, una serie de em-
presas ha empezado a estandarizar y
consolidar procesos financieros clave (a
menudo en centros de servicio comparti-
dos); además, eliminar sistemas de infor-
mación redundantes y unificar múltiples
plataformas, minimizar inconsistencias
en definiciones de datos, automatizar
procesos manuales, reducir el número de
transferencias, integrar mejor oficinas y
adquisiciones distantes, ayudar a los nue-
vos empleados a dominar más pronto sus
tareas, ampliar la responsabilidad por los
controles y eliminar los controles innece-
sarios. Más aún, los procedimientos inspi-
rados en SOX están empezando a servir
como modelo de cumplimiento con otras
normas reglamentarias. En este artículo
describimos las amplias áreas en que el
cumplimiento de SOX ha beneficiado la
gobernabilidad, la gestión y a los inver-
sionistas de las empresas.
Fortalecimiento del
Ambiente de Control
La buena gobernabilidad es una mezcla
de lo impuesto y lo intangible. Las orga-
nizaciones con una gobernabilidad fuerte
entregan disciplina y estructura, infunden
valores éticos en los empleados y los capa-
citan en los procedimientos apropiados, y
muestran comportamientos de la junta y
de los ejecutivos que el resto de la organi-
zación querrá imitar.
Todos esos son componentes del am-
biente de control que conforman el funda-
mento del control interno. Popularizado
por el Committee of Sponsoring Organi-
zations de la Treadway Commission en su
reporte de 1994 “Internal Control — Inte-
grated Framework”, el término “ambiente
de control” abarca las actitudes y valores
de ejecutivos y directores, y el grado en el
cual éstos reconocen la importancia de
los métodos, transparencia y cuidado en
la creación y ejecución de las políticas y
procedimientos de sus empresas.
Un ambiente de control apropiado es
un factor que un auditor externo pondera
cuando se le llama a evaluar el control
interno sobre los informes financieros de
acuerdo con el Artículo 404. Bob Murray,
director de auditoría interna en Yankee
Candle, una empresa de velas aromáticas
y otros artículos para el hogar con ingre-
sos por US$ 600 millones, envía regular-
mente a la firma de auditoría copias de la
correspondencia interna que enfatizan la
prevención de fraudes, el control interno
y el cumplimiento de las regulaciones.
“Esperamos ganar muchos puntos con
nuestro auditor por hacer esto”, dice
(aunque se apresura a agregar que forta-
lecer el ambiente de control es la princi-
pal preocupación de la empresa).
Estos “puntos” no se contabilizan en un
sentido literal. Más bien, contribuyen al
cúmulo de evidencia ponderado por el
auditor externo. Si una empresa puede
demostrar un fuerte ambiente de control,
entonces puede restringir el ámbito de
evaluación del control interno. Un menor
ámbito puede significar que la empresa
no tiene que ejecutar tantas pruebas in-
ternas y que el auditor puede efectuar
menos comprobaciones, lo que reduce
los costos de cumplimiento. (El alcance
de las pruebas es asunto de criterio y
quizás de negociación entre el auditor y
la empresa. De hecho, la Public Company
Accounting Oversight Board [PCAOB] y
la Securities and Exchange Commission
[SEC] estimulan a los auditores a usar su
criterio cuando evalúan los controles de
la información financiera.)

2 harvard business review

 Lo s i n esp erados b enef icios de la Ley Sarbanes-Oxley • m e j o r p r á c t i c a

PepsiCo usa una encuesta anual de sobre sus responsabilidades, como parte diendo de la unidad de negocios, dice
unos 100 altos ejecutivos para demostrar de su capacitación anual en ética. La ca- Lardieri. Los auditores pueden analizar
el estado de su cultura de control. El cues- pacitación se administra mediante un los registros de esta capacitación.
tionario, administrado por los auditores paquete interactivo que incluye escenar- En nuestras presentaciones en semi-
internos de la empresa, investiga prácti- ios de dilemas éticos que se podrían en- narios y conferencias de negocios se
cas de contratación, evaluación de empl- contrar al tratar con clientes, proveedores nos pregunta muchas veces por qué en-
eados, solicitud de contratos, informe de y colegas, y sugiere posibles soluciones. fatizamos tanto el ambiente de control.
incidentes, fijación de objetivos y otras Unos 25.000 ejecutivos reciben la capaci- Quienes nos preguntan parecen creer
áreas. Según Thomas Lardieri, auditor tación. Los 135.000 empleados restantes que el buen control interno se basa en
general y vicepresidente de gestión de de la empresa reciben un manual de los controles mismos: la verificación recí-
riesgo, PepsiCo también evalúa la com- código de ética y cierto nivel de capaci- proca, las conciliaciones y la verificación
prensión de los empleados de finanzas tación y reforzamiento, que varía depen- de datos. Respondemos que sin un fuerte
ambiente de control una empresa nunca
conseguirá una buena gobernabilidad. Un
foco sobre el ambiente de control ayuda a
Controlar los controles garantizar que los controles mismos sean
La frase “estructura y procedimientos de control líneas de defensa secundarias y terciarias,
interno” aparece prominentemente en el Artículo no primarias. Los empleados a quienes se
404 de la Ley Sarbanes-Oxley. Pero ¿de qué se les ha hecho entender que no está bien
compone exactamente una estructura de con- hacer tratos laterales con los clientes,
trol? Un control es una práctica establecida para reconocer un ingreso prematuramente,
ayudar a garantizar que los procesos se ejecuten ocultar posibles conflictos de intereses o
en forma consistente, segura, con la autorización hacer la vista gorda cuando estos tipos de
apropiada y en la forma prescrita. Tome por actividades están ocurriendo no se dedi-
ejemplo el objetivo de preservar la seguridad de la información. Los controles carán a saltarse el sistema de control a
para lograr este objetivo podrían ser tan simples como cerrar con llave un ga- cada momento.
binete de archivos o tan complicados como encriptar datos del computador. Algunos ejecutivos sienten que deben
SOX se promulgó para aumentar la confiabilidad de los informes financie- vincular cada acción a los resultados de la
ros; por tanto, la mayoría de los controles adoptados de acuerdo con la Ley empresa. A ellos les decimos: la mayoría
se refieren a la oportunidad, integridad y exactitud de los datos financieros. de los servicios de clasificación de em-
Los controles caben en dos categorías amplias. Controles preventivos, desti- presas para inversionistas incluyen una
nados a eliminar errores, intencionales o no. Un ejemplo sería la separación evaluación de los ambientes de control
de tareas en una sección de cuentas por pagar: una persona aprueba una como parte de su evaluación global de la
factura, otra prepara el pago y una tercera firma el cheque. Así se impiden los empresa. Los puntajes de estos servicios
pagos no autorizados. Los Controles de detección buscan identificar irregulari- pueden tener un significativo impacto
dades que ya puedan haber ocurrido. Por ejemplo, la conciliación mensual de –positivo o negativo– sobre la opinión de
las cuentas de efectivo se realiza para descubrir esas irregularidades. los inversionistas y el costo de capital de
Un elemento esencial de cualquier programa de cumplimiento con SOX la empresa.
es el test de controles. Durante el primer año de vigencia de la ley, muchas
empresas y sus auditores –debido a la novedad de la ley y a la ausencia de Mejorar la Documentación
orientación regulatoria– pusieron a prueba un número innecesariamente Durante el primer año de SOX, las acti-
grande de controles. En ciertos casos, las cosas que se sometían a prueba vidades de documentación consumieron
eran demasiado insignificantes para conducir a una declaración errónea de incontables horas de los empleados; las
importancia en los informes financieros. En otros, una alta tasa de muestreo empresas actualizaban los manuales de
no aclaraba más la eficacia de ciertos controles que una tasa más baja. Para operaciones, revisaban las políticas de
reducir la carga de cumplimiento, algunas empresas recurren ahora a la personal y registraban los procesos de
“racionalización de controles”, que implica evaluar qué actividades son las control. Algunos creen que el papeleo es
más susceptibles de error o abuso y si éstas podrían ser la causa de una de- equivalente a estar ocupado, pero este
claración errónea importante. Esos controles se prueban con más frecuen- esfuerzo intensivo en mano de obra, para
cia, pudiendo considerarse que los menos esenciales están totalmente fuera nuestra sorpresa, recibió cada vez más
del ámbito del plan de pruebas. Muchas empresas han logrado ahorros de apoyo del grupo ejecutivo. El estímulo lo
costos en el segundo año de cumplimiento con SOX, sin reducir en nada la constituyeron los Artículos 302 y 404, que
eficacia de los controles, al racionalizar sus controles de esta forma. requieren que los CEO y los directores
financieros den fe personalmente de la
eficacia del control interno sobre los in-

abril 2006 3
m e j o r p r á c t i c a • Lo s i n e s p e ra d o s b e n e f i c i o s de la Ley Sarbanes-Oxley
formes financieros, y el Artículo 906, que
considera un delito “la negación volunta-
ria” a manifestar la verdadera situación de
las operaciones y finanzas de la empresa.
El Artículo 404 también requiere que el
auditor independiente de fe cada año de
la evaluación que hace la empresa de sus
controles. Se espera que el auditor evalúe
la documentación de controles y proce-
dimientos, así como hasta dónde los em-
pleados ejecutan en forma competente
las actividades de control de las que son
responsables. (Vea el recuadro “La ley Sar-
banes-Oxley en pocas palabras”.)
BlackRock, una firma de inversiones
con más de US$ 450.000 millones en ac-
tivos, realizó un exhaustivo inventario de
sus políticas y procedimientos escritos,
según Paul Audet, ex director financiero y
ahora jefe ejecutivo de gestión de efectivo
de la empresa. Durante el ejercicio, Audet
supo que había que actualizar muchas
descripciones de cargo. “Si usted no do-
cumenta apropiadamente los requisitos
de trabajo, termina comunicando la in-
formación importante sólo verbalmente”
dice.
Con la llegada de SOX, Audet vio una
oportunidad de mejorar la document-
ación de descripción de cargos. Los ben-
eficios de hacerlo han sido especialmente
notables durante las ausencias de emplea-
dos o en períodos de alta rotación, porque
la documentación modificada ha ayudado
a los nuevos integrantes a aclimatarse con
más rapidez. Definir claramente quién es
responsable de qué procesos es un ele-
mento clave de un programa de control
interno y facilita la capacitación, la super-
visión y la evaluación del desempeño.
Los esfuerzos de documentación de
BlackRock también han acrecentado la
comprensión de los empleados sobre las
operaciones. La necesidad de poner la
información por escrito (o en unidades
de disco duro) ha enviado a terreno a los
auditores internos y a otros empleados
para ver directamente cómo se realizan
las tareas y cómo podrían mejorarse.
PepsiCo también se ha beneficiado de
poner al día sus procesos de documenta-
ción. Determinó que sus controles eran
inadecuados para la contabilidad de pen-
siones, un proceso complejo que depende
no sólo del conjunto de la compensación
4 harvard business review
y los beneficios internos sino también de
actuarios y custodios de activos externos.
Para su consternación, Lardieri dice: “Una
serie de medidas que suponíamos que
se estaban tomando –conciliaciones de
cuentas, cálculos de intereses y chequeos
sobre la integridad de los datos– en reali-
dad no se estaban tomando”.
En cuanto se revelaron los errores, la
empresa asignó un contralor a su grupo
de compensación y beneficios, y un
equipo interno identificó, documentó e
implementó las actividades de control
que faltaban. PepsiCo también empezó
a exigir garantías escritas (en forma de
reportes SAS 70 tipo II) a sus custodios de
activos, de que las empresas con las que
hacían negocios adherían a estrictos con-
En nuestras asesorías sobre cumplimiento a
ejecutivos, descubrimos un pequeño subgrupo que
enfrentó la nueva ley con una suerte de gratitud.
troles internos. (Los informes certifican
que una empresa independiente de audi-
toría ha examinado los controles internos
de un proveedor de servicios.) Estas me-
didas clarificaron las responsabilidades de
control de los departamentos de tesorería
y finanzas y del grupo de compensación y
beneficios. También mejoraron las trans-
ferencias de información entre estas fun-
ciones y terceros.
Un director financiero de una empresa
inmobiliaria Fortune 1.000 nos informó de
otro beneficio de documentación resul-
tante de SOX. Este ejecutivo se acercó a la
documentación para cumplir con el Artí-
culo 404 confiado en que las firmas de su
empresa se habían estampado sin fallar,
pero se encontró con lo que él llamó un
descubrimiento “humillante”: las perso-
nas que firmaban los documentos hacían
lo mismo que siempre habían hecho, es
decir, simplemente les daban una mirada
a los distintos contratos y arrendamientos.
Esa falta de atención dejaba a la empresa
vulnerable frente a cláusulas inaplicables
de contrato, aumentos mal calculados
de alquiler y acuerdos subyacentes no
ejecutados. Después de disciplinar a los
negligentes, la empresa instituyó verifi-
caciones recíprocas mucho más rigurosas
en los contratos y arrendamientos.
Aumentar la Participación del
Comité de Auditoría
No hace mucho, los nombramientos
en la junta directiva eran mayormente
considerados trabajos privilegiados, que
otorgaban estatura y recompensas eco-
nómicas pero que sólo demandaban un
esfuerzo limitado. Hoy, en contraste, los
directores enfrentan una mayor respon-
sabilidad legal por falta de atención y, por
tanto, una carga de trabajo más pesada.
Además, todos los miembros del comité
de auditoría deben estar suficientemente
libres de vínculos financieros y personales
con la empresa, y al menos un miembro
del comité debe ser un “experto finan-
ciero” (o la empresa debe revelar que
ningún miembro lo es), de acuerdo con
SOX. Por tanto, no debe sorprender que
la membresía de la junta haya cambiado
notablemente. Parece que tanto los nue-
vos integrantes como los veteranos están
tomando muy en serio sus nuevas respon-
sabilidades, tal como lo evidencian las
reuniones más prolongadas y frecuentes
del comité, y las preguntas más incisivas
de los miembros.
Para muchos directores financieros con
los que hemos trabajado la transforma-
ción ha sido dramática: “Ya la siguiente re-
unión de nuestro comité de auditoría era
un mundo diferente en términos del nivel
de compromiso de los miembros”, dice un
ejecutivo.“Algunos argumentarán que tal
intensidad debió estar siempre allí, pero
el hecho es que no estaba”.
El director financiero de Yankee Cae-
dle, Bruce Besanko, quien trabajaba en
otra empresa de productos de consumo
cuando se promulgó SOX, dice que la Ley
cambió la atmósfera del comité de audi-
toría de esa empresa. Besanko explica que
antes de la Ley, muchas empresas usaban
la misma empresa de contabilidad -del

grupo de las Cuatro Grandes- para audi-
toría y consultoría de impuestos, y que la
mayor parte de los honorarios iba a manos
de los consultores. Aunque las reglas de
la SEC proscriben diversas actividades de
consultoría, como la ayuda de auditores
independientes en el diseño de sistemas
internos de información financiera, otros
tipos de servicios de consultoría sí se
permiten. No obstante, muchos comités
de auditoría, incluyendo el de Yankee
Candle, han pedido a sus auditores inde-
pendientes que dejen de prestar servicios
de consultoría a la empresa, excepto en
circunstancias limitadas y estrictamente
controladas y sólo con la aprobación ex-
plícita del comité de auditoría.
Explotar las Oportunidades
de Convergencia
Dos enfoques predominan sobre SOX. Al-
gunos ejecutivos cumplen debidamente
con los requisitos de la Ley, pero a un costo
mínimo, utilizando los menores recursos
posibles. Otros aprovechan los recursos
gastados en cumplimiento para obtener
un retorno sobre su inversión.
abril 2006 5
Lo s i n esp erados b enef icios de la Ley Sarbanes-Oxley • m e j o r p r á c t i c a
RSA Security, una empresa de tecno-
logía de US$ 300 millones que ayuda a
las organizaciones a proteger identida-
des en línea y activos digitales, decidió
realizar un cruce entre esos enfoques,
combinando el cumplimiento de SOX
con otras obligaciones para aumentar la
eficiencia y reducir los costos totales. La
empresa reunió a un equipo para identifi-
car elementos comunes entre las normas
reglamentarias que debía cumplir, inclu-
yendo la Health Insurance Portability and
Accountability Act de 1996 (HIPAA), la
Gramm-Leach-Bliley (GLB) Act, la Secu-
rity Breach Information Act de California
y otras leyes para proteger la privacidad y
combatir el robo de identidad.
Un área de convergencia fue la de regis-
tros de los empleados. Como la mayoría de
las empresas, RSA Security mantiene ar-
chivos computarizados de recursos huma-
nos, que contienen datos personales tales
como pago, beneficios de salud y números
de seguro social. Diversas leyes y regula-
ciones rigen el manejo de estos datos. La
información financiera está protegida por
SOX, los beneficios de salud por HIPAA y
la información de seguridad social y otros
datos personales por diversos estatutos fe-
derales y estatales de privacidad.
John Parsons, vicepresidente de finan-
zas y jefe de contabilidad de RSA, dice
que el equipo ejecutivo se percató de que
podía utilizarse un solo conjunto de con-
troles para cumplir con las diversas leyes,
dada la forma similar en que estaban or-
ganizados los datos y el interés común de
las leyes en proteger la integridad y seguri-
dad de los datos. Como respuesta, las fun-
ciones tales como TI y recursos humanos,
adoptaron un solo conjunto de controles
que determinaba el nivel de acceso de los
empleados al sistema computacional. Un
ejemplo de esta consolidación fue un solo
registro para beneficios, nómina de pagos
y otros datos. “Dependiendo de su nivel
y su papel, algunos empleados reciben
derechos de ‘sólo lectura’ a los archivos.
Otros tienen la facultad de cambiar los
datos y a otros, desde luego, se les niega
el acceso”, explica Parsons.
RSA Security adoptó un enfoque simi-
lar de convergencia para su proyecto de
International Organization for Standardi-
zation (ISO) 9000, un programa interna-
cional de certificación administrado por
una ONG con sede en Ginebra que repre-
senta a cientos de entidades nacionales
fijadoras de estándares. ISO fija estánda-
res de gestión y garantía de calidad en
áreas tales como procesos de producción,
mantención de registros, mantenimiento
de equipo, capacitación de empleados y
relaciones con los clientes.
Los elementos comunes entre los
proyectos de ISO y SOX no eran obvios
para los dos equipos –uno de operaciones
para el primero y uno de finanzas para
SOX- porque trabajaban en edificios sepa-
rados, con poca conciencia de la actividad
del otro.
Ambos equipos se encargaron de doc-
umentar docenas de procesos de nego-
cios y determinar cuán eficientemente
estaban siendo diseñados y ejecutados.
El equipo de ISO; por ejemplo, examinó
procesos establecidos para garantizar
que solamente los software de alta cali-
dad y absolutamente sin fallas llegaran al
mercado, mientras el equipo de SOX, por
ejemplo, examinaba el proceso de concili-
ación contable.
m e j o r p r á c t i c a • Lo s i n e s p e ra d o s b e n e f i c i o s de la Ley Sarbanes-Oxley

Cuando Parsons examinó un flujograma
detallado del ciclo de ingresos que había
preparado su equipo de SOX, se le ocur-
rió que el equipo de ISO estaba diseñando
exactamente el mismo proceso.“¿Por qué”,
se pregunta él, “íbamos a tener dos mapas
diferentes para el mismo proceso de nego-
cios? Ciertamente no necesitábamos dos
mapas de proceso, dos evaluaciones de
riesgo y dos conjuntos de controles sobre
el ciclo de ingresos desde la generación
de la factura hasta el recibo del pago. Así
que llevamos los que eran procesos total-
mente paralelos de ISO y SOX a un solo
mapa convergente de proceso y a un solo
enfoque operacional”.
Los beneficios han transcendido el
ahorro de costos. “Además pudimos lib-
erar empleados y reasignar su tiempo a
actividades de más alto valor” dice él. En
vez de ocupar a tantos empleados en las
consumidoras tareas de cumplimiento y
certificación, RSA Security destinó a una
parte de ellos a mejoras operacionales,
tales como simplificar el proceso de pedi-
dos de los clientes y ampliar las capaci-
dades de la cadena de suministro.
Estandarizar Procesos
Aunque la estandarización de procesos
nunca se confundirá con algo fácil, mu-
chos creen que bien vale el esfuerzo. El
trabajo de identificar y enfrentar incon-
sistencias a través de unidades operativas
y lugares puede ser considerable, pero
igual puede ser el resultado.
Considere el caso de un gran fabricante
de prendas de vestir que opera tiendas mi-
noristas en todo el país bajo varias marcas
bien conocidas. Durante la primera etapa
de cumplimiento de la empresa con SOX,
los socios de Deloitte & Touche se reunie-
ron con el director financiero y su equipo
para analizar los procesos existentes para
registrar transacciones financieras básicas.
Empezaron con cuentas por cobrar y se
percataron de que cada división de la em-
presa imponía diferentes fechas de venci-
miento y de pago urgente, comisiones por
mora y tasas de interés a los clientes. Si las
divisiones hubieran sido empresas inde-
pendientes, estas inconsistencias habrían
sido sin importancia, pero cada una de
estas unidades introducía sus datos a los
estados financieros consolidados; estos
procesos sin estandarizar producían un
desastre de cuentas antiguas por cobrar y
cuentas incobrables.
Una situación análoga existía en
Sunoco. Al documentar sus procedimien-

La ley Sarbanes-Oxley informe de control interno, sí ha indicado que el docu-

en pocas palabras
La Ley Sarbanes-Oxley de 2002 es casi desafiantemente
breve. Por ejemplo, el Artículo 404 tiene apenas 173 pala-
bras. Significativamente más detallados son los diversos
reglamentos, estándarers y explicaciones emitidos por la
Public Company Accounting Oversight Board y la Secu-
rities and Exchange Commission. Para la mayoría de las
empresas, los Artículos 302 y 404 representan la parte
gruesa de la tarea de cumplimiento.
Artículo 302 (Título III - Responsabilidad corpora-
tiva): Responsabilidad corporativa por informes finan-
cieros. Este artículo requiere que los CEO y los directores
de finanzas certifiquen personalmente la exactitud de
las declaraciones financieras y las situaciones hechas
públicas en los informes periódicos, y que esas declara-
ciones presenten imparcialmente en todos sus aspectos
de importancia las operaciones y la situación financiera
de la empresa. Además, los ejecutivos deben certificar
que se han implementado y evaluado los controles y
procedimientos financieros, y que ha quedado señalado
cualquier cambio al sistema de control interno efectuado
desde el trimestre anterior.
Artículo 404 (Título IV: Mejoramiento de la trans-
parencia financiera): Evaluación de la gestión de con-
troles internos. Este artículo demanda una evaluación
anual de los controles y procedimientos internos para
los informes financieros. Al igual que el Artículo 302, el
Artículo 404 requiere que los CEO y los directores finan-
cieros evalúen y garanticen periódicamente su eficacia.
El Artículo 404 también exige que las empresas inclu-
yan un informe de control interno en su informe anual.
Aunque la SEC no ha detallado todos los elementos del
mento debe contener lo siguiente:
•una declaración donde se acepta la responsabilidad
por establecer y mantener un control interno adecuado
sobre los reportes financieros,
•una declaración que identifica el marco de control
interno usado para evaluar la eficacia del control interno
sobre los informes financieros,
•una evaluación de la eficacia del control interno de la
empresa sobre los informes financieros al final del año
fiscal más reciente,
•hacer pública cualquier debilidad importante en el
control interno de la empresa sobre los informes finan-
cieros (si existe alguna debilidad importante, entonces el
control interno sobre los informes financieros se consi-
dera ineficaz)
•una declaración de que el auditor independiente ha
emitido un informe sobre la evaluación de la empresa
sobre el control interno de los informes financieros.
Además, el Artículo 404 requiere que el auditor ex-
terno de una empresa examine e informe sobre la ges-
tión de evaluación de los controles internos, así como la
eficacia de los controles mismos.
Artículo 906 (Título IX: Aumento de las sanciones
por delitos de cuello blanco): Responsabilidad cor-
porativa por los informes financieros. Esta sección
requiere que los CEO y los directores financieros firmen
y certifiquen el informe que contiene los estados finan-
cieros. Ellos deben confirmar que el documento cumple
con los requisitos de reporte de la SEC y que representa
imparcialmente la situación y los resultados financieros
de la empresa. El incumplimiento voluntario con este
requisito puede generar multas de hasta US$ 5 millones
y prisión hasta por 20 años.

6 harvard business review


tos para cumplir con el Artículo 404, al
director financiero Tom Hofmann se le
recordó que la empresa “tenía tres o cua-
tro formas de introducir una factura al sis-
tema”. El negocio de refinería de Sunoco
llevaba el proceso de facturación por ca-
tegoría de producto, ya fuera combustible
para avión, lubricantes o petróleo para
calefacción de venta mayorista.
“Estas transacciones no son tan distin-
Debido a las dificultades que han tenido las empresas
para conducir sus propias evaluaciones de control
interno, la mayoría de ellas palidece frente a la idea
de verificar los controles internos de terceros.
tas”, dice Hofmann. “¿Por qué íbamos a
tener diferentes métodos de facturación?”
Él atribuyó la discrepancia a la inde-
pendencia histórica de las diversas áreas
de negocios y a la falta de presión para
estandarizar. Por tanto, por consejo de
su equipo, encargó una sola fórmula que
capturara toda la información requerida
para procesar el pedido de un cliente.
Esta consistencia, dice Hofmann, reduce
las posibilidades de error en el registro y
consolidación de datos.
Tener que volver a facturarles a los cli-
entes por errores puede tener un efecto
de cascada sobre las operaciones: toda
discrepancia de facturación, ya sea de-
tectada internamente o hecha notar por
un cliente, se debe investigar y conciliar,
debiendo la factura entonces anularse,
rehacerse y entregarse de nuevo. Como
resultado, se interrumpe el ciclo de flujo
de caja y puede generarse tensión en
la relación con el cliente. En Sunoco, la
creación de un solo formulario estanda-
rizado para todo tipo de producto redujo
estos problemas a un mínimo.
Los beneficios potenciales de la estand-
arización también atrajeron la atención
de los ejecutivos de Kimberly-Clark, el
fabricante de productos de consumo.
Mark Buthman, vicepresidente senior y
director financiero, dice que el trabajo
de su empresa por SOX sacó a la luz un
área llena de inconsistencias: los regis-
tros manuales. “Quizás no parezca que
abril 2006 7
Lo s i n esp erados b enef icios de la Ley Sarbanes-Oxley • m e j o r p r á c t i c a
los registros sean tan importantes, pero
tenemos cientos de personas en todo el
mundo generándolos”, dice Buthman,
cuya empresa emplea a más de 60.000
trabajadores en 38 países.
Antes de SOX, el proceso de registros
de la empresa variaba ampliamente por
división y ubicación. Algunos emplea-
dos creaban registros a mano, otros los
digitaban en hojas de trabajo de Excel y
otros los introducían en el programa de
software financiero SAP de la empresa.
El proceso de analizar los registros tam-
bién estaba fragmentado y algunos análi-
sis eran realizados por personas sin su-
ficiente antigüedad en la organización.
La dirección de Kimberly-Clark decidió
que el personal anotara todos los regis-
tros en el sistema SAP de la empresa. “En
vez de tener cientos de procedimientos
ad hoc para registros de diario, ahora sólo
tenemos tres” dice Buthman. Los datos
son ahora más consistentes y confiables,
y se requieren menos empleados y horas-
hombre para hacer la misma tarea, dice.
La estandarización es también un
asunto de resultados financieros para
Manpower, un proveedor de servicios de
empleo de US$ 16.000 millones que opera
en 72 países. Con más de dos millones de
empleados permanentes y temporales en
su nómina, existe una gran necesidad de
mantener controles rigurosos.“Incluso pe-
queños errores de codificación, decimales
o de aplicación, pueden tener un enorme
impacto”, dice Nancy Creuziger, vicepresi-
denta y contralora de la empresa.
Para protegerse de esos errores, Man-
power estandarizó su proceso de gestión
de cambio para el desarrollo de software.
Cualquier alteración de código está su-
jeta a una serie de revisiones, pruebas,
análisis y aprobaciones antes de entrar
en vigencia. Cerca del final del proceso
de desarrollo se introduce una prueba de
regresión para validar el nuevo código.
Durante la prueba, los técnicos manejan
dos máquinas en forma conjunta, una que
hace funcionar el antiguo código y la otra
el nuevo. En ambas se ponen los mismos
datos y se comparan los resultados para
identificar errores de codificación. El ejer-
cicio está diseñado para revelar cualquier
cambio de programación que no entra en
el ámbito del plan de desarrollo.
Además de evitar pérdidas financieras,
el estandarizar los procesos de codifi-
cación de software también ayuda a
simplificar el ciclo de desarrollo. “Usted
estandariza un proceso sólo después de
definir la forma más eficiente de hacerlo”,
señala Creuziger. Para una empresa que
crea aplicaciones globales de software
para sus unidades de negocios, los cos-
tos de desarrollo y de soporte se pueden
reducir sustancialmente. Beneficios
adicionales se generan al momento de
llegar los auditores internos y externos,
puesto que los procesos estandarizados
se pueden evaluar en forma más rápida y
por tanto más barata.
Reducir la Complejidad
Algunas tareas son inherentemente
complejas: diseñar chips de computado-
res, rastrear patrones climáticos o hacer
un mapa del genoma humano. Otras
lo son innecesariamente. En el caso de
Iron Mountain, una empresa de gestión
de registros e información de US$ 1.800
millones, la actividad de fusiones y ad-
quisiciones contribuyó a una estructura
organizativa cada vez más engorrosa. Du-
rante diez años la empresa había adqui-
rido más de 150 competidores y negocios
complementarios. También adquirió indi-
rectamente otras 50 empresas al comprar
su mayor competidor, Pierce Leahy, que a
su vez acababa de finiquitar una serie de
adquisiciones.
La simplificación fue siempre la norma
en Iron Mountain, dice John F. Kenny, Jr.,
vicepresidente ejecutivo y director finan-
ciero, pero las extensas pruebas requeri-
das por SOX aceleraron estos esfuerzos.
Cada empresa adquirida aportó su pro-
pio organigrama. Iron Mountain integró
y simplificó la estructura de informes.
Cada adquisición trajo sus propias prác-
ticas contables; Iron Mountain centralizó
m e j o r p r á c t i c a • Lo s i n e s p e ra d o s b e n e f i c i o s de la Ley Sarbanes-Oxley
todas las actividades de contabilidad. Al-
gunas de las empresas utilizaban Unix
mientras que otras empleaban Linux, No-
vell NetWare o Windows; Iron Mountain
optó por una sola plataforma. Muchas de
las empresas calculaban los impuestos a
mano o en hojas de cálculo; Iron Moun-
tain automatizó la estimación y pago de
impuestos.
“No podemos decir con certeza que
una determinada mejora ha conducido,
por ejemplo, a una reducción de cos-
tos de 5%”, dice Kenny. No obstante, él
y otros ejecutivos creen que la empresa
ha aumentado significativamente su efi-
ciencia.
Reforzar los Nexos Débiles
Otra fuente de complejidad surge de la
tercerización, las sociedades y los acuer-
dos de servicios compartidos, conocidos
colectivamente como la “empresa exten-
dida”. Aunque por mucho tiempo las em-
presas han tercerizado tareas tales como
producción, cumplimiento de pedidos,
nómina de sueldos, contabilidad, recursos
humanos, despacho, informe de impues-
tos y procesamiento de cupones y garan-
tías, SOX ha reformado estas relaciones.
Una complicación relacionada con SOX
surge cuando la empresa socia realiza ac-
tividades que influyen significativamente
en las finanzas de la empresa principal.
Aquí se pueden incluir el albergar aplica-
ciones de TI, gestionar infraestructura de
TI, brindar servicios de cuentas por cobrar
o por pagar, procesar nóminas de sueldos,
gestionar beneficios y mantener inventa-
rios de bodega. En tales casos la empresa
principal debe obtener evidencias de con-
trol interno eficaz en la empresa socia,
idealmente por un informe SAS 70 tipo
II brindado por el socio. Sin embargo, si
el proveedor de servicios no quiere o no
puede presentarlo, la empresa principal
debe realizar su propia auditoría.
En vista de las dificultades de las em-
presas para hacer sus propias evaluacio-
nes de controles internos, la mayoría pali-
dece ante la idea de verificar los controles
internos de terceros. Como resultado,
muchos clientes de nuestras respectivas
empresas están reevaluando sus acuer-
dos de tercerización y de sociedades.
Por ejemplo, el director de finanzas de
8 harvard business review
Yankee Candle planea adoptar una línea
dura si no puede obtener un reporte SAS
70. “Si es un socio importante que perju-
dica nuestras finanzas, pondremos fin a la
relación”, dice Besanko.
Minimizar el Error Humano
Pregunte a la mayoría de los auditores
cuál consideran ellos el aspecto más débil
del control interno y le dirán que “los pro-
cesos manuales”. Los seres humanos en-
cargados de realizarlos se pueden cansar,
distraer, estresar, ausentarse o ser mali-
ciosos. Michael Hammer, el originador de
la reingeniería, gustaba de decir que son
Pregunte a la mayoría de los auditores cuál es el
aspecto más débil del control interno y le dirán
que “los procesos manuales”.
“las ‘unidades biológicas de trabajo’ las
que causan la mayoría de los problemas”
Los controles automatizados, si se dise-
ñan e implementan apropiadamente, no
son susceptibles de caer en esas trampas.
Sin embargo, según nuestra experiencia,
la mayoría de los controles siguen siendo
manuales.
Puesto que los controles automatizados
son más confiables, quizás sólo haya que
probar una sola muestra de una actividad.
(Un control manual de la misma activi-
dad podría requerir docenas de pruebas.)
Asimismo, según una reciente directriz de
PCAOB, algunos controles automatizados
se pueden probar cada tres años en vez de
cada año, en tanto la empresa pueda de-
mostrar que el control no se ha cambiado.
Algunas empresas aumentan sus medidas
de seguridad para asegurarse de que no se
puedan hacer modificaciones no autoriza-
das de software. Por ejemplo, muchas em-
presas requieren ahora claves de al menos
ocho caracteres consistentes en números,
símbolos y letras en mayúscula y minús-
cula. Los usuarios deben cambiar las claves
al menos cada tres meses y se les prohíbe
la entrada después de varios intentos con-
secutivos incorrectos de entrar.
Aún así, algunas situaciones requieren
del juicio humano. Manpower se esfuerza
por lograr un equilibrio entre controles
manuales y automatizados. Por ejemplo,
su sistema automatizado de monitoreo
señaliza ajustes de ventas que superan los
US$ 10.000. Pero a veces esos ajustes son
permisibles.“Se requiere criterio humano
para determinar si el ajuste es razonable
o si se debe investigar más”, dice Creuz-
iger. “Incluso los sistemas altamente au-
tomatizados deben contar con la posibili-
dad del ajuste humano en circunstancias
especiales”.
•••
Las empresas pueden haber detectado la
necesidad de una reforma interna antes
de SOX, o han hecho planes sólo recien-
temente, pero, como sea, son demasiado
pocas las que han implementado mejo-
ras. Existen varias razones: los comités
de auditoría no han insistido en que sus
empresas vayan más allá de proteger sus
activos y su reputación, los CEO no han
destinado suficientes recursos para ma-
nejar la carga de hacerlo, los directores
financieros no han sido lo suficiente-
mente ingeniosos para crear formas de
que SOX pueda aportar verdadero valor,
y los CEO, los directores financieros y los
departamentos de auditoría interna no
han estado colaborando para identificar
áreas donde se puedan usar las ganan-
cias de valor para compensar los costos
de cumplimiento.
Más de un año después de cumplirse
el primer plazo del Artículo 404, la Ley
Sarbanes-Oxley sigue inspirando temor
en las juntas directivas y en los altos eje-
cutivos: temor de acciones impuestas por
ley, de la reacción de la bolsa de valores
a una deficiencia y de responsabilidad
personal. El temor puede ser un pode-
roso generador de una conducta honrada.
Pero las empresas se basan en descubrir
y crear valor. Estos postergadores deben
empezar a ver la Ley Sarbanes-Oxley de
2002 como un aliado en ese esfuerzo.
Reimpresión R0604J-E