La implementación de la Ley Sarbanes-Oxley (SOX) tiene una arista curiosa: las compañías suelen ver el proceso de evaluación y mitigación de riesgos como un trámite burocrático.

Sin embargo, el impacto de la SOX sobre las firmas que cotizan en el mercado norteamericano (Security Exchange Commission), ha originado un aumento de la preocupación por el control interno.

Este fenómeno se ve reflejado en el incremento del interés de la gerencia en minimizar la exposición a los riesgos que pudieran surgir de las tareas rutinarias.

Sarbanes-Oxley contempla un conjunto de medidas tendientes a asegurar la efectividad de los controles internos sobre reportes financieros:

Sección 302: La empresa debe informar trimestralmente al organismo controlador sobre cualquier cambio que afecte los controles internos sobre información financiera.

Sección 404 (la que ha recibido mayor atención y que ha afectado sustancialmente a las compañías): La gerencia y los auditores externos deben presentar una certificación anual a la SEC acerca de la eficacia de los controles internos sobre la información financiera.

Específicamente, los auditores externos deben expresar su opinión sobre:

1) El proceso de evaluación seguido por la gerencia para emitir su certificación

2) La efectividad de los controles internos sobre información financiera. Esta segunda opinión debe ser alcanzada por los auditores financieros tras evaluar los controles de manera independiente.

El procedimiento establecido por la ley sigue un enfoque lógico. Existe una serie de actividades que guían a la gerencia y a los auditores hasta llegar a una conclusión. El principio del proceso consiste en un análisis del contenido de los estados financieros de la compañía. Luego, se identifican los balances. Su trascendencia dependerá de la materialidad del mismo con respecto a la posición general de la empresa.

En este marco, el "proceso de IT" cobra cada vez mayor relevancia en el control interno de una compañía. Este proceso, base informática del resto de los procesos de negocio, permite otorgar confianza sobre las aplicaciones que los soportan.

Si bien la ley no define un alcance obligatorio en relación a las áreas de riesgo que deben cubrirse para los Controles Generales de Tecnología Informática, la mayoría de las compañías toman como base los dominios de COBIT (Control Objetives Information Technology), quedando a criterio de cada una de ellas los subdominios que no se considerarán en su alcance. Por ejemplo, si bien la metodología relacionada con la Continuidad del Negocio (Business Continuity Planning) no forma parte del proceso de IT para SOX, existen empresas que igualmente lo incluyen en el alcance de la evaluación de control interno para mitigar los riesgos.
Los controles de aplicación son trascendentales dentro de cada uno de los procesos del negocio. La implementación es más eficiente cuando están bien diseñados y se ejecutan en un entorno de controles generales de tecnología informática donde los riesgos se encuentran mitigados.

En conclusión, el proceso de evaluación y mitigación de riesgos se convierte en un valor agregado para las empresas. Sin embargo, hay que tener en cuenta que la existencia de un proceso rutinario tiene la desventaja de generar "acostumbramiento" y perder su eficiencia. El desafío: que sea proactivo para detectar deficiencias de control.

Lo importante, independientemente de las regulaciones existentes, es que las compañías DEBEN estar tranquilas y seguras de la integridad de la información reflejada en sus estados financieros.