EY se refiere a la organización global, y puede referirse a una o más, de las firmas miembro de Ernst & Young Global Limited, cada una de las cuales es una entidad legal separada. Ernst & Young Global Limited, una compañía británica limitada por garantía, no presta servicios a los clientes.
La transición desde un modelo SCIIF (Sistema de Control Interno sobre la Información Financiera), como el utilizado en España para garantizar la fiabilidad de la información financiera, hacia un modelo SOX (Sarbanes-Oxley Act), de origen estadounidense, es un paso que muchas organizaciones europeas están considerando. El impulso suele venir de la pertenencia a grupos cotizados en EE. UU., la búsqueda de mayor disciplina en el control interno o la necesidad de armonizar prácticas con matrices internacionales.
Aunque ambos modelos se inspiran en principios comunes del marco COSO (Committee of Sponsoring Organizations of the Treadway Commission), su nivel de exigencia y su impacto operativo son muy diferentes. Y es precisamente en ese salto del “deber ser” al “debe quedar demostrado”, donde aparecen las principales implicaciones.
1. Cultura de documentación y evidencia
Adoptar SOX supone entrar en una cultura de documentación y evidencia mucho más estricta. En SCIIF, el foco está en asegurar que los procesos críticos estén identificados, descritos y razonablemente controlados. Sin embargo, SOX exige que cada control pueda demostrarse con evidencia detallada, fechada, almacenada y trazable.
No basta con que un control exista; debe quedar perfectamente acreditado. Esto implica:
- Rediseñar matrices de riesgos y controles,
- Estandarizar plantillas y reforzar la calidad de los flujogramas.
- Cambiar la mentalidad de “documentar cuando toca” a “documentar siempre”.
Muchas compañías descubren que, más que implantar nuevos controles, el reto real está en generar y custodiar evidencias consistentes.
2. Evaluación de deficiencias
SOX introduce criterios mucho más rígidos que SCIIF. Mientras que este último se orienta a ofrecer transparencia al mercado sobre la robustez del sistema, SOX clasifica las deficiencias en categorías como:
- Deficiencia.
- Deficiencia significativa.
- Material weakness.
Cada una tiene consecuencias concretas en los informes del auditor externo y del propio management. La materialidad se convierte en un eje central, y cada fallo debe valorarse con rigor profesional: impacto potencial, probabilidad, controles compensatorios y riesgo de error material.
Esto requiere metodologías más formales, matrices de severidad y, sobre todo, una cultura interna que entienda que clasificar adecuadamente una deficiencia no es un trámite, sino un elemento crítico de cumplimiento regulatorio.
3. Responsabilidad de la alta dirección
La ley SOX exige que el CEO y el CFO certifiquen la efectividad del control interno, lo que eleva enormemente el nivel de supervisión ejecutiva. Estas certificaciones no son una mera formalidad: conllevan obligaciones legales.
Esto provoca:
- Mayor presión en las áreas financieras.
- Estandarización de procesos y mejora en la calidad de la información.
- Refuerzo de las revisiones antes de cierre.
Los comités de dirección suelen involucrarse más activamente y se genera un ciclo de responsabilidad más claro entre propietarios de procesos (process owners), responsables de controles (control owners) y la alta dirección.
4. Intensificación del papel del auditor externo
Mientras que en SCIIF la auditoría financiera evalúa el sistema de forma más general, en SOX debe emitir una opinión específica sobre la efectividad del control interno, basada en pruebas exhaustivas.
Esto se traduce en:
- Más interacción y requerimientos.
- Mayor escrutinio sobre la evidencia.
- Necesidad de alinear criterios entre auditoría interna, control interno y auditoría externa para evitar duplicidades o discrepancias.
5. Controles de TI como eje crítico
La transición a SOX refuerza significativamente el peso de los controles de TI, los ITGCs (Information Technology General Controls). Aunque SCIIF contempla componentes tecnológicos, SOX exige una visión mucho más completa:
- Accesos y segregación de funciones.
- Gestión de cambios y desarrollo de aplicaciones.
- Operación de sistemas y seguridad lógica.
En muchas compañías, este es el punto donde se detectan las mayores brechas y donde suelen concentrarse las inversiones iniciales.
Conclusión
Pasar de un modelo SCIIF a un modelo SOX es más que un cambio metodológico; es un cambio cultural. Supone adoptar un estándar donde la evidencia es tan importante como el control, donde las responsabilidades están plenamente trazadas y donde la supervisión es continua y mucho más rigurosa.
Aunque requiere un esfuerzo considerable, especialmente en los primeros años, el resultado suele ser un sistema de control interno más robusto, más transparente y mejor preparado para responder a riesgos emergentes.
Resumen
La transición del modelo SCIIF al modelo SOX implica un cambio profundo en la gestión del control interno, pasando de un enfoque orientado a la transparencia y la identificación de procesos críticos a otro basado en evidencia exhaustiva, trazabilidad y responsabilidad legal directa del CEO y CFO. Este salto exige rediseñar matrices de riesgos y controles, reforzar la documentación, aplicar metodologías más rigurosas para evaluar deficiencias y asumir una interacción más intensa con auditores externos. Además, otorga un papel central a los controles tecnológicos (ITGCs) y genera una cultura organizativa donde la supervisión continua y la acreditación formal son esenciales para garantizar la fiabilidad de la información financiera y cumplir con estándares internacionales más exigentes.
Artículos relacionados
Sobreviviendo al laberinto fiscal: cómo los ERPs optimizan el cumplimiento
En un contexto fiscal cada vez más exigente y digitalizado, contar con un ERP robusto, adaptable y correctamente implementado no es una opción, sino una necesidad