Por Miguel Angel Farah, Gerente de Auditoría Interna y Cumplimiento Regulatorio en BDO Becher, www.bdobecher.com.

Día a día, la realidad actual nos muestra y confirma la importancia que tiene para una organización un adecuado y eficaz sistema de Control Interno.

Aunque en la actualidad nos estemos planteando si la Ley Sarbanes- Oxley (SOX) es suficiente para prevenir ciertos fraudes corporativos (en especial los vinculados a la manipulación de información financiera), o bien si deberíamos re-orientar su alcance, seguimos viendo que los casos de fraude siguen ocurriendo. La diferencia es que ahora tenemos responsables y por otro lado, han disminuido la cantidad de casos (aunque solo en número y no en valores monetarios).

El objetivo inmediato que busca este tipo de legislaciones relacionadas con Gobierno Corporativo, transparencia y confianza, es conseguir el resguardo del ciudadano que, sin conocimiento financiero, debe estar protegido al comprar valores de una empresa para evitar la pérdida de su patrimonio que tenga que ver con información errónea o falseada, como sucedió a los poseedores de acciones de Enron, Worldcom, etc.

Así fue como nació la Ley Sarbanes-Oxley en Estados Unidos (US-SOX) y leyes equivalentes en países como Australia, Canadá, Francia, Reino Unido, entre otros. No dejaremos de mencionar el Decreto 677/01
(Argentina) que curiosamente es anterior a la propia SOX.

Siguiendo estas normas y regulaciones y como aspecto novedoso, en junio de 2006 se promulga en Japón la "ley del tratamiento sobre la aplicación contable de las subsidiarias fuera del país para efecto de la preparación de los estados financieros consolidados", conocida informalmente como J-SOX, la cual crea obligaciones para los emisores; asimismo, obliga al auditor externo a opinar sobre el diseño y efectividad del sistema de control interno sobre el reporte de información financiera que la compañía tiene establecido, al igual que la US-SOX. A partir del 1 de abril de 2008 entró en vigor su aplicación y cumplimiento.

En febrero de 2007, el Bussiness Accounting Council publica el "On the setting of the Standards and Practice Standards for Management Assessment and Audit concerning Internal Control Over Financial Reporting".

Finalmente, en octubre de 2007, el JICPA (Instituto de Contadores en
Japón) desarrolla una guía práctica para las auditorías de control interno sobre la información financiera. Similar al AS2 (PCAOB), o su versión más actual AS5.
Quiero destacar a continuación algunas particularidades de la J-SOX, así como las principales diferencias con la ya conocida US-SOX:

Ambito de Aplicación y Vigencia
Las compañías sujetas a estas regulaciones son aquellas que hacen oferta pública de sus acciones en Japón, donde están obligadas a presentar un reporte anual a la "Agencia de Servicios Financieros del Gobierno Japonés" (FSA). (http://www.fsa.go.jp) La vigencia de J-SOX parte con los ejercicios iniciados el 1 de abril de 2008. Es importante aclarar que en Japón los ejercicios fiscales son de abril a marzo del siguiente año.

Alcance de la revisión.
Aquí podemos encontrar un punto de similitud entre ambas leyes, dado que tanto una como la otra consideran el enfoque de arriba hacia abajo ("top down") basado en riesgos clave ("risk based") como así también se incluye la evaluación de los controles de alta gerencia conocidos como Company Level Controls (CLC's).

Selección de localidades y ciclos a revisión.
J-SOX requiere efectuar la selección de alcance o "scoping" sobre la base de la materialidad o significatividad, considerando el monto de ventas en orden descendente, hasta alcanzar un rango aceptable, el cual correspondería a dos terceras partes de las ventas consolidadas si los controles a nivel entidad "CLC's" son efectivos. También puede hacerse la selección considerando el monto de los activos. US-SOX parte del enfoque de arriba hacia abajo, enfocándose en la materialidad y en los riesgos.

Independencia.
La J-SOX no impide a los auditores prestar servicios de consultoría, auditoría interna y otros diferentes a la Auditoría Externa, a excepción de los que implican actividades relacionadas con el control interno. En US-SOX existen reglas muy estrictas emitidas por la SEC en las que establece los servicios incompatibles con los de Auditoría Externa, y aclarando también que el auditor no deberá actuar en el rol de la administración ni deberá auditar su propio trabajo.

Requerimientos.
En lo que a control interno se refiere, la Dirección debe reportar el estado actual del mismo y el auditor externo, debe certificarlo. Esto es similar a lo estipulado por la sección 404 de US-SOX.

Marco de control interno.
J-SOX indica que las compañías deberán evaluar el control interno de acuerdo con el marco de trabajo establecido por la FSA, donde el mismo está basado en el marco internacional de control interno conocido como Committee of Sponsoring Organizations of the Treadway Commission (COSO), el cual fue adoptado por la US-SOX. Solo realiza algunas modificaciones al mismo, adicionando objetivos de control como la "salvaguarda de activos" y un nuevo componente denominado "respuesta a tecnología de la información" (TI).

Responsabilidad del auditor externo.
En US-SOX exige que el auditor externo en forma independiente, emita una opinión directa sobre la efectividad del control interno mediante la obtención de suficiente evidencia sobre su funcionamiento.
En cambio en J-SOX el obtener sus propias muestras es una parte del trabajo del auditor, luego debe compararlas con los resultados de la Dirección para poder emitir una opinión. Es un requisito esencial de esta norma, la revisión y comparación de los resultados de la evaluación de la efectividad del control interno hecha por la Dirección de la entidad. No puede basar su opinión solamente con sus propias evidencias.

Uso del trabajo de otros.
Aquí podemos encontrar una de las mayores diferencias. Mientras que en US-SOX el auditor externo puede utilizar el trabajo realizado por otros, como es el caso del auditor interno, en J-SOX no se puede, y entonces el auditor externo debe extraer sus propias muestras y ejecutar sus pruebas de efectividad.

Fraude.
En US-SOX el auditor necesita diseñar su plan de trabajo considerando el fraude, mientras que en J-SOX no existe una guía para que el auditor incluya este tema en su enfoque de auditoría.

Evaluación de TI.
J-SOX proporciona una guía específica para cubrir ciertas áreas de TI, incluyendo controles generales de tecnología de información. En US-SOX, si bien las prácticas recomiendan COBIT como el marco de referencia técnico adecuado, no existe una guía específica recomendada; sin embargo, el área de TI es un componente clave por ser la herramienta que soporta toda la información financiera.

Clasificación de deficiencias.
J-SOX clasifica las deficiencias en: 1) deficiencia, y 2) debilidad material, mientras que en US-SOX, incluye una categoría adicional entre ambas, denominada deficiencia significativa.

Si bien es cierto que la obligación de cumplimiento de esta ley es reciente y que probablemente sufra modificaciones como ocurrió en Estados Unidos, podemos ver que Japón al igual que otros países, va por el camino del fortalecimiento del Gobierno Corporativo y del mejoramiento de la transparencia y confiabilidad de la información financiera. Al respecto, muchos entendidos en la materia han cuestionado fuertemente la oportunidad en su lanzamiento; pero nadie puede objetar que está vigente y que ha tomado forma en el Oriente para quedarse.

Historial de noticias