¿Es momento de actualizar la Ley Sarbanes-Oxley?

La Ley SOX marcó un antes y un después al establecer obligaciones como:

• Certificación personal de los estados financieros por parte del director ejecutivo (CEO, por sus siglas en inglés) y el director de finanzas (CFO), de conformidad con la sección 302.
• Evaluación y auditoría a los controles internos sobre la información financiera (contemplado en la sección 404).
• Nuevas reglas de independencia para los auditores bajo la supervisión del Public Company Accounting Oversight Board (PCAOB).

Gracias a estas medidas, los inversionistas recuperaron la confianza en los mercados financieros y las empresas comprendieron la importancia de robustecer sus mecanismos de control; sin embargo, los riesgos actuales no se limitan a la manipulación contable. Hoy en día, se identifican tres dimensiones críticas que ponen a prueba la solidez del mercado regulatorio.

• Ciberseguridad: en cuestión de horas, un ataque informático puede alterar registros financieros, interrumpir operaciones críticas y comprometer la confiabilidad de la información revelada al mercado.
• Sostenibilidad y cambio climático: la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) ha propuesto reglas que obligan a revelar riesgos climáticos y criterios ambientales, sociales y de gobernanza (ASG). Aunque estos reportes aún no se encuentran plenamente dentro de la cobertura de la Ley SOX, requieren un nivel de confiabilidad equiparable al de la información financiera.
• Reputación digital y exposición mediática: en un entorno dominado por las redes sociales y la comunicación abierta, los riesgos reputacionales pueden afectar la valuación de las compañías y, por ende, deben ser gestionados con controles internos robustos.

Actualizar la Ley SOX es una necesidad estratégica para mantener la relevancia y efectividad en un marco que busca salvaguardar la integridad de los mercados financieros.

En este escenario, los controles exigidos por la Ley SOX siguen siendo necesarios, pero no suficientes. La sección 404(b), que impone auditorías externas sobre controles internos, ha sido objeto de constante debate debido a los elevados costos de cumplimiento que representa, especialmente para empresas emergentes y de baja capitalización. Eximirlas totalmente puede reducir la carga regulatoria, pero incrementa la vulnerabilidad de los inversionistas. La solución requiere un equilibrio más preciso entre eficiencia y protección.

Las empresas mexicanas que emanan certificados emitidos por un banco en USA enfrentan este reto con doble complejidad: deben preparar estados financieros bajo las Normas Internacionales de Información Financiera (NIIF) y, adicionalmente, cumplir con la Ley SOX y las normas del PCAOB en sus auditorías. Este marco dual exige claridad en la aplicación de controles internos y genera costos que, en muchos casos, limitan la competitividad frente a emisores estadounidenses.

Hasta el momento no existe una iniciativa formal en el congreso estadounidense para reformar la Ley SOX; no obstante, la SEC y el PCAOB han emitido guías y pronunciamientos que, en la práctica, han ampliado su alcance. En estas guías se incluyen aspectos como ciberseguridad, reportes no financieros y expectativas de gobierno corporativo que no están explícitamente contemplados en el texto original de la ley en cuestión. Esta evolución regulatoria informal evidencia la necesidad de una actualización normativa integral.

Una reforma a esta normativa deberá considerar, al menos, los siguientes elementos:

• Integración explícita de la ciberseguridad: se debe conformar dentro del marco de control interno, con responsabilidades claras para la alta dirección y el consejo de administración.
• Incorporación de la información no financiera: particularmente en materia de sostenibilidad y riesgos climáticos; debe alinearse con estándares internacionales como la NIIF S-1, que establece los requerimientos generales de revelación de información relacionada con la sostenibilidad; la NIIF S-2, enfocada en riesgos climáticos; el Global Reporting Initiative (GRI), que impulsa reportes de impacto económico, ambiental y social; y el Sustainability Accounting Standards Board (SASB), que desarrolló estándares sectoriales para la revelación de información financiera relacionada con la sostenibilidad.
• Regulación del uso de tecnologías emergentes: se deben regular las herramientas utilizadas en la preparación y auditoría de información financiera, incluyendo Inteligencia Artificial (IA), blockchain y big data, las cuales ya forman parte de los procesos empresariales.
• Diferenciación proporcional de requerimientos: requisitos para empresas según su tamaño y nivel de capitalización, esto con el fin de garantizar protección a los inversionistas sin imponer cargas desproporcionadas a las compañías más pequeñas.
• Refuerzo de la responsabilidad del consejo de administración: sobre todo en la supervisión de controles internos, de manera que no recaiga únicamente en el CEO y el CFO.
• Revisión de los esquemas de independencia y supervisión de auditores: se deben adaptar a nuevas formas de riesgo y posibles conflictos de interés derivados de la transformación del sector de servicios profesionales.

Actualizar la Ley SOX no debe entenderse como una opción, sino como una necesidad estratégica para mantener la relevancia y efectividad de un marco que busca salvaguardar la integridad de los mercados financieros. La resiliencia empresarial requiere que los reportes de sostenibilidad tengan la misma solidez que los estados financieros auditados; que los controles internos incluyan la gestión de riesgos tecnológicos; y que el cumplimiento se lleve a cabo con eficiencia sin menoscabar la transparencia.

La economía digital, la transformación tecnológica y la creciente exposición a riesgos no financieros plantean nuevos retos que exigen una revisión de los cimientos regulatorios.

Conclusiones

La Ley SOX fue diseñada para restaurar la confianza en los mercados financieros y ese objetivo sigue plenamente vigente; sin embargo, los riesgos del siglo XXI ya no se limitan a los fraudes contables, ahora abarcan ciberataques, omisiones en sostenibilidad y exposición reputacional. Incorporar estos elementos al marco legal fortalecerá la protección a los inversionistas y contribuirá a un gobierno corporativo más sólido.

La actualización de la Ley SOX constituye un paso necesario para asegurar que las empresas continúen generando información confiable, transparente y útil para la toma de decisiones en beneficio no sólo de los accionistas, sino también de empleados, clientes y la sociedad en su conjunto.