Inicio
 > Informes e investigaciones > Blog de TEC > La ley Sarbanes-Oxley y la gestión de cadena de ...

La ley Sarbanes-Oxley y la gestión de cadena de suministro

Escrito por: Predrag Jakovljevic
Publicado: febrero 23 2007

Las secciones 404 y 401 de la ley Sarbanes-Oxley

Cada vez son más las empresas que se están dando cuenta de la importancia de adoptar un enfoque integral para sus negocios, empezando por los niveles jerárquicos más altos. Asimismo, están empezando a aprovechar una categoría de software estratégico que está adquiriendo importancia: gobernabilidad, gestión de riesgos y cumplimiento normativo (GRC). Es por ello que su atención se ha concentrado en el cumplimiento de la ley Sarbanes-Oxley (SOX) de los Estados Unidos. Los directores financieros y los directores generales de las empresas públicas tienen ahora plena conciencia de la forma en que esta ley puede afectar sus empresas, ya que la falta de apego –aunque sea involuntaria- a las estrictas normas y políticas que ella establece puede representar el fin de la carrera de cualquier ejecutivo, muchas veces de forma vergonzosa. Si desea conocer más sobre la relación que existe entre la ley SOX y otras leyes, consulte Cumplirás con los reglamentos.

La ley SOX ha agregado varios mandatos nuevos, entre los cuales hay dos secciones que afectan los sistemas de información empresariales y otros que son relevantes especialmente para la gestión de cadena de suministro (SCM). De forma específica, de acuerdo a la Sección 404 (evaluación gerencial de los controles internos), los directores de las empresas deben evaluar cada año la eficacia de sus propios controles internos y sus procedimientos de generación de reportes internos. La Sección 409 (avisos en tiempo real) exige que las empresas divulguen los cambios materiales que sufran sus condiciones u operaciones financieras, de forma rápida y actualizada. La Sección 404, que determina la necesidad de realizar auditorías a los controles internos, ha hecho que los ejecutivos de las empresas revalúen y a veces reemplacen los sistemas operativos que no se integran completamente con sus sistemas financieros.

La Sección 401a (divulgación de obligaciones fuera del balance general) es una adición a la Ley de Valores de 1934 y determina la divulgación de "las transacciones materiales que estén fuera del balance general, los acuerdos, las obligaciones (incluidas las obligaciones contingentes) y otras relaciones que el emisor [es decir, la empresa misma, un emisor de valores] tenga con otras... entidades o personas", siempre que estos acuerdos tengan un impacto material, en ese momento o en un futuro, en la condición financiera de la empresa, sus operaciones, etc.

Este punto afecta de modo especial los contratos de servicio, como los que se celebran generalmente con transportistas marítimos, y los acuerdos de inventario manejado por los proveedores que se celebran con el fin de evitar o reducir el riesgo y sacar los activos del balance general. Los negocios que recurren a las prácticas de inventario manejado por los proveedores para reducir la cantidad actual de activos de inventario están optando por incluir una cláusula de penalizaciones en sus contratos, que especifique las consecuencias de no usar los materiales o de cancelar los acuerdos antes de cierta fecha. La Sección 401a exige el uso de tablas que contengan dichas obligaciones posibles, ordenadas por fechas. Asimismo, es posible que las empresas se vean en la necesidad de cancelar acuerdos de compra a largo plazo con sus proveedores, debido a los cambios que sufre el mercado, y esto puede dar lugar a penalizaciones por cancelación o a cargos por reposición de existencias. La ley SOX exige que las empresas expliquen los detalles de estos cargos o estas penalizaciones. De la misma forma, las empresas deben generar informes y documentos sobre las tarifas de terminación o cancelación de cualquier contrato de arrendamiento o carta de intención (que a veces sirven de ayuda para los programas de entregas y los tiempos de procesamiento de la fabricación de artículos críticos).

Si bien las aplicaciones de la Sección 401a a algunos contratos de cadena de suministro son limitadas, la Sección 404 es de gran relevancia para muchos procesos de SCM, como los acuerdos de subcontratación (outsourcing). La subcontratación de procesos y transacciones está contemplada en las Secciones 401 y 404, que indican que los acuerdos que estén fuera del balance general y que se celebren con los proveedores deben ser reportados (401) y controlados de manera interna (404). La ley SOX es mucho más exigente en este sentido que las normas tradicionales de auditoría. Por ejemplo, la Sección 404 indica que la Comisión de bolsa y valores (SEC) de los Estados Unidos dictará las reglas conforme a las cuales los reportes anuales deben incluir un reporte de control interno. Este reporte de control interio debe contener dos elementos: 1) debe declarar la responsabilidad que tienen los directores de una empresa de establecer y mantener controles (políticas, procedimientos y procesos) para la generación de reportes financieros y 2) debe contener una evaluación de la eficiencia de dichos controles y procedimientos.

Si la cadena de suministro estará controlada realmente al nivel que especifica la ley SOX, entonces debe existir un proceso bien estructurado que abarque varias funciones, y no una simple serie de transacciones que pretenden ser un proceso. Así, los directores generales recurrirán a todos los líderes de la empresa, incluyendo los directores de SCM, para adoptar un rol proactivo y de colaboración en la gobernabilidad de la empresa. Todos ellos deben estar conscientes de que las auditorías son sólo el inicio de las mejoras a la gobernabilidad de la empresa, y que los auditores nunca entenderán las áreas de la cadena de suministro como las entienden los profesionales de este campo (y viceversa).

Aquellas empresas que avancen con mayor agresividad en la dirección que indica la Sección 404 se encontrarán con una oportunidad para mejorar la gestión de sus cadenas de suministro (es decir, alcanzar la excelencia en este ámbito) y obtener una ventaja competitiva con respecto a sus rivales. Esto es especialmente cierto, ya que existen otros requisitos de divulgación (por ejemplo, aquéllos instituidos en la Unión Europea [UE]) que también pueden soportar un ambiente competitivo más eficiente y creíble para los negocios y sus cadenas de suministro.

Para lograr un control es necesario tener visibilidad de todos los procesos (desde la colocación de los pedidos hasta la entrega de los bienes terminados y los servicios a los clientes), y la tecnología de la información (TI) puede ser un elemento de ayuda necesario para lograrlo. Pero por sí sola no es suficiente para crear un control del nivel que lo exige la ley SOX. Es decir que el simple hecho de rastrear el inventario no puede sustituir la eficiencia y la eficacia en todas las actividades de SCM. Por ejemplo, cuando se habla de gestión de inventario y descuentos o reducciones en el mismo, la mayoría de las empresas mantienen la responsabilidad de controlar el inventario y los activos fijos. Sin embargo, de acuerdo a la ley SOX, ahora es necesario que se declaren correctamente los valores del inventario, de manera que los directores financieros ya no pueden “diferir” los descuentos en el mismo para evitar pérdidas por descuentos en los estados de ingresos trimestrales. Dicho de otro modo, la ley SOX exige que las empresas implementen una contabilidad más precisa y puntual que garantice que el material está presente físicamente, que se declara correctamente su condición y que los valores del inventario se registran con exactitud en el sistema contable.

En cuanto a las transferencias de material y la falta de precisión en el inventario, la mayoría de las empresas siguen siendo responsables de las actividades de control de materiales. Antes sucedía con frecuencia que las transferencias de material y las transacciones de inventario no se procesaran a tiempo, dando lugar a un inventario real que no funciona correctamente de acuerdo a la sitaución esperada en los registros. Pero la ley SOX declara que todos los movimientos de inventario o activos fijos deben registrarse de forma puntual. En otras palabras, todos los movimientos tendrán consecuencias financieras específicas en la empresa, y la ley SOX tiene como base el registro de la información financiera precisa.

Además, un sistema de cuentas por pagar que no establece sistemáticamente la relación entre las órdenes de compra y las recepciones y las facturas de los proveedores antes de pagarlas, puede prestarse a fraudes o a una situación en la que alguien cree empleados o proveedores ficticios para "pagarles" y quedarse con el dinero. Por lo general, los departamentos de SCM de las empresas (por ejemplo, los departamentos de ingeniería) han aceptado "clientes internos" para "limpiar" los compromisos conocidos como "posteriores a la orden de compra". Sin embargo, de acuerdo a lo que establece la ley SOX, si las políticas y los procedimientos establecen específicamente autoridades de requisicionamiento y aprovisionamiento, y si éstas indican claramente que los departamentos de SCM no están autorizados para emitir compromisos de confirmación, entonces dichas acciones de los departamentos de SCM serían una violación evidente a la ley SOX. El “cargo” sería incapacidad para apegegarse a los controles internos con respecto al compromiso de los fondos de la empresa y conforme a las políticas y los procedimientos de la misma.

Todo esto subraya la importancia de instituir la llamada segregación de deberes en las prácticas que puedan generar un conflicto de intereses en los procesos que abarcan desde el aprovisionamiento hasta el pago, y que comprenden recepciones, colocación de pedidos, procesamiento de facturas y definición de datos maestros de los proveedores. La Sección 404 pretende asegurarse de que las empresas cuentan con los procesos de aprobación y los procedimientos adecuados para evitar fraudes o robos, y que llevan a cabo las pruebas y los procedimientos de control necesarios para garantizar que estos métodos de salvaguarda funcionan adecuadamente.

Otro ejemplo de prácticas de excelencia en segregación de deberes es no permitir que un director de ingeniería seleccione proveedores y les pague, ya que muchos de ellos podrían, por ejemplo, ser familiares o amigos suyos. Los desarrolladores de software deben realizar pruebas de calidad a sus propias aplicaciones. Asimismo, un sistema de facturación que no está integrado con los embarques puede permitir que un director se equivoque y reconozca ingresos que aún no se perciben. Actualmente existen muchas empresas que usan una gran cantidad de herramientas contemporáneas, como tarjetas de compra, aplicaciones de aprovisionamiento electrónico (e-procurement) y liberaciones de órdenes generales, para ayudar a realizar los gastos de la empresa o para llevarlos a cabo. La ley SOX pretende asegurarse de que las empresas implementan controles adecuados para supervisar los gastos y los compromisos de capital, con el fin de garantizar la salvaguarda de sus activos y el cumplimiento con las políticas.

Las actividades de documentación

La ley SOX también ha afectado la obligación que tienen las empresas públicas de documentar sus actividades. Los cambios en las actividades de las empresas pueden afectar sus resultados netos, por lo tanto, deben proporcionarles a sus accionistas la información sobre cualesquiera cambios, antes de que transcurran 96 horas (consulte el artículo que publicó Claudia Delto en el 2005, Checking It Twice -- Basel II, Sarbanes-Oxley Act, International Financial Reporting Standards). Por eso, la puntualidad que exige la Sección 409 parece estar orientada a aumentar la transparencia y la integración de un sistema de generación de reportes financieros. Por ejemplo, parecería que las empresas que están acostumbradas a trabajar con periodos de cierre financiero de diez días, se arriesgan a no apegarse al requisito de divulgación en tiempo real, que actualmente se interpreta como una divulgación obligatoria de los eventos materiales antes de que transcurran cuatro días hábiles.

Lógicamente, cuando los suministros o los servicios clave o críticos tardan en llegar, los ingresos de una empresa se ven afectados. Y cuando los retrasos en las entregas tienen un impacto financiero material deben reportarse puntualmente. Asimismo, dada la tendencia a subcontratar servicios, las empresas son ahora responsables de tomar las decisiones comerciales correctas y de celebrar los acuerdos y mantener relaciones con los proveedores. La Sección 409 pretende asegurarse de que en caso de una interrupción del suministro, existe un proceso que permita reportar su impacto financiero de forma puntual, cuando sea de naturaleza material.

También puede ser necesario incluir un reporte SAS 70 Tipo II con la solicitud de propuesta de subcontratación. El reporte SAS 70 es una norma de auditoría que diseñó el American Institute of Certified Public Accountants (AICPA) con el propósito de permitir que un auditor independiente evalúe y emita un juicio sobre los controles de una empresa de servicios. El reporte del auditor de servicios contiene su opinión, una descripición de los controles ejercidos sobre la operación y una descripción de las pruebas que realizó de la eficiencia operativa (si el reporte es de Tipo II).

El reporte de la auditoría puede compartirse con los clientes de la empresa de servicios (empresas usuarias) y sus respectivos auditores. La empresa de servicios debe encargarse de describir sus objetivos de control y las actividades de control que serían interesantes para las empresas usuarias y sus auditores. Dicho de otra forma, el reporte permite que cada proveedor de subcontratación tenga una sola cuenta de evaluación, y descarta la necesidad de que cada cliente revise sus procesos. Es un mecanismo para que los proveedores de subcontratación demuestren que su diseño de controles es suficiente y verifiquen que estos funcionan con eficiencia.

El problema de los reportes especificados por la ley SOX se agudiza para las empresas que tienen varias unidades operativas y sistemas descentralizados. Esto se debe a que en los últimos años, muchas empresas han crecido de forma orgánica y por medio de adquisiciones, por lo tanto, generar reportes precisos sobre estas unidades de negocios implica una gran cantidad de ajustes y procesos contables "manuales". Dichas empresas tendrán que adoptar un sistema común de generación de reportes financieros, probablemente integrar varios sistemas con una capa de generación de reportes financieros en el nivel corporativo o implementar una solución de gestión del desempeño para poder ofrecer analítica en tiempo real (consulte el artículo Financial Reporting, Planning, and Budgeting As Necessary Pieces of EPM).

Asimismo, si bien los primeros años de la ley SOX se han dedicado principalmente a asuntos financieros, a partir del 2007 sus mandatos tratarán más con las estructuras empresariales y una buena parte de los departamentos de SCM, recursos humanos (RRHH) y TI. Aún ahora, la ley SOX exige que se divulguen los riesgos y las estrategias que se utilizarán después de eventos como huracanes, accidentes y amenezas o ataques terroristas, para reducir sus efectos.

El reto del cumplimiento con la ley SOX

De todas las leyes y todos los reglamentos, la ley SOX es la que impone algunos de los retos técnicos más importantes para los negocios, ya que los requisitos adicionales que especifica aumentan la cantidad de procesamiento manual necesario. A su vez, esto aumenta enormemente el costo del cumplimiento. El costo constante de probar los controles financieros manuales para apegarse a los requisitos que marca la ley SOX, así como los siempre presentes riesgos de cumplimiento que implican dichos controles, están obligando a las empresas a avanzar hacia sistemas de contabilidad y gestión financiera que no sólo registren las transcacciones, sino que se encarguen de todo el proceso de cumplimiento con la Sección 404 de la ley SOX.

Parece que las primeras empresas que se preocuparon por apegarse a la ley SOX han aprendido algunas lecciones. Los programas que establece esta ley han puesto énfasis en el hecho de que las auditorías de los procesos manuales y burocráticos resultan muy costosas comparadas con las de los procesos automatizados. Toma mucho tiempo conciliar y corregir los errores que aparecen en los procesos manuales. Además de que aumenta la probabilidad de error y omisión (que pueden ser viles), tienen costos constantes muy altos (ya que el que una ubicación cumpla con la ley no quiere decir que las demás lo harán) y requieren de controles detectivescos para buscar e identificar los errores que ya han ocurrido. Sin embargo, si se descubre que una empresa ha ignorado o violado sus deberes de generación de reportes, es posible declarar culpable a su director de informática (consulte Checking It Twice). Hasta las empresas privadas que no tienen la responsabilidad legal de apegarse a la ley SOX pueden verse afectadas por ella. Por ejemplo, las empresas que son clientes que fabrican o suministran bienes a grandes empresas públicas -como empresas automotrices- y cuyos proveedores deben apegarse a la ley SOX.

Lógicamente, la pregunta es ¿qué debe hacer una empresa que tiene recursos limitados (una empresa pequeña) para enfrentar todo esto? Peor aún, ¿cómo deben prepararse dichas empresas para los cambios que están por venir? La TI podría ser una respuesta a estas preguntas, ya que se han desarollado muchas herramientas de software que pueden simplificar el proceso. Se trata de administrar y supervisar los procesos internos de una empresa. Idealmente, estos controles del cumplimiento -preventivos, detectivescos y de reducción de riesgo- deben abarcar a los usuarios, los roles y los procesos, ya que todos ellos necesitan que se evalúen, se prueben y se remedien su acceso y su autorización.

Por ejemplo, algunas de estas soluciones comparan los controles actuales de una empresa con las "prácticas de excelencia" de cumplimiento con la ley, y ofrecen soluciones para apoyar sus debilidades y segregar mejor los deberes. En otras palabras, el software rige quién puede realizar tareas como hacer un cheque para un proveedor, pagarle a un empleado o agregar ingresos en un trimestre en particular. Es probable que este software no sólo defina quién puede hacer qué, sino que también haga cumplir las reglas (es decir, alerte a los supervisores del cumplimiento cuando una persona no autorizada trate de hacer algo indebido, y evite que se cometa un fraude). Existe otro software que puede ayudar a los directores a documentar las políticas y los procedimientos y a crear archivos electrónicos de dichas políticas mientras que otras soluciones marcan las transacciones internas que parecen sospechosas.

De esta forma, los usuarios deben poder obtener un control óptimo de los problemas de segregación de deberes y un sistema que identifique la falta de control y reduzca el riesgo. Por lo general, dichas herramientas, como Compliance Control Manager (CCM) que acaba de lanzar Lawson, Internal Controls Manger de Oracle, Enterprise Internal Controls Enforcer de PeopleSoft, Event Manager de Exact o la serie CODA-Control, entre otras, pueden representar soluciones poco costosas que permitan que los directores de las empresas se enfoquen en implementar mejoras operativas y no en los problemas de cumplimento. Asimismo, estos sistemas pueden permitir que las empresas usuarias simplifiquen la integración de las divisiones nuevas en sus sistemas y procesos financieros, asegurando con ello que los procesos del negocio de las unidades adquiridas se apeguen a la Sección 404 de la ley SOX. Si desea obtener más información, consulte los artículos Joining the Sarbanes-Oxley Bandwagon; Meeting the Needs of Small and Medium Businesses o Utilizar la infraestructura de inteligencia comercial para asegurar el cumplimiento del Principio de Sarbanes-Oxley.

Para muchos proveedores tiene sentido, sobre todo desde el punto de vista financiero de ventas o de mercadotecnia, lanzar módulos de cumplimiento como parte de una solución para productos y arquitecturas cuyos datos, procesos, reportes y otras capacidades de cambio de las entregas son limitados. Sin embargo, hay otros proveedores, como Agresso, que tienen otra perspectiva. La empresa afirma que no tiene que crear módulos especiales para cumplimiento y venderlos como productos nuevos, gracias a su arquitectura inherente, reconfigurable tipo Lego y a la cantidad prácticamente infinita de formas en que puede acoplar los datos, los procesos, etc., sin importar los cambios que sufran los reglamentos.

Es decir que la capacidad para responder a los requisitos nuevos de los reglamentos proviene de la solución misma (consulte los artículos La relación entre la creación de modelos y la agilidad después de la implementación en la empresa y Cómo un vendedor da agilidad a los sistemas empresariales después de su implementación). Teóricamente, es posible adaptarse a cualquier reglamento nuevo con "poco personal interno de TI", o hasta con un usuario inteligente y conocedor del mismo. La desventaja es que entonces las empresas tendrían que depender de su propio conocimento de los reglamentos y de los usuarios que analicen la legislación y creen especificaciones para su sistema empresarial. De cualquier forma, siempre es conveniente estar bien informado.

Es posible que la ley SOX sea sólo el principio de una ola de guías, leyes y reglamentos financieros que las empresas deban cumplir directa o indirectamente. Así, las empresas deben asegurarse de que sus sistemas de planificación de recursos empresariales (ERP) y gestión financiera les den un conjunto adecuado de capacidades financieras y analíticas para cumplir con los requisitos.

Segunda parte de la serie Cumplirás con los reglamentos

 
comments powered by Disqus