Site Search Site Search

Loading Results

1° Encuesta sobre optimización del proceso de cumplimiento SOX de PwC Argentina

Introducción a la encuesta

La pandemia aceleró la digitalización. Las organizaciones están alineando sus procesos, cambiando su cultura y aprovechando las enormes ventajas en eficiencia y simpleza que brindan las nuevas tecnologías: Robotic Process Automation (RPA), Process Mining y Artificial Intelligence (AI) se suman a la continua evolución de las herramientas de Data Analytics. Las funciones de gestión de riesgo, cumplimiento y aseguramiento son parte de este proceso. Para estas funciones, la disrupción digital supone un doble desafío ya que:

  • deben colaborar activamente para que la organización adopte estas tecnologías en forma segura, administrando adecuadamente los riesgos asociados;
  • y tienen que adoptar las nuevas tecnologías para transformar el control interno y los procesos de cumplimiento y aseguramiento de la organización.

Atravesamos un período de grandes transformaciones e incertidumbres y los riesgos se han incrementado aumentando los desafíos de las organizaciones para poder operar de manera confiable, cumpliendo con los requerimientos de los reguladores y de los diferentes actores clave.

En este contexto, la inversión de tiempo y recursos que las organizaciones sujetas al régimen SOX realizan para implementar y mantener el proceso de cumplimiento debe evaluarse con una mirada integradora que permita aprovechar las sinergias existentes con los demás procesos de cumplimiento y aseguramiento, así como las ventajas que brindan la tecnología y los enfoques ágiles.

Esta encuesta busca aportar datos objetivos para que las áreas de cumplimiento y aseguramiento puedan enfocar sus proyectos e inversiones de forma inteligente y efectiva.

Principales resultados de la encuesta:

Las organizaciones dedican tiempo y recursos en diferentes medidas al proceso de cumplimiento SOX 

Las organizaciones con variaciones significativas por sobre o debajo de la mediana, deberían realizar una evaluación adicional con el fin de confirmar si las estrategias adoptadas, en relación a la definición de los alcances y la estructuración de los equipos y presupuestos resulta la más adecuada.

Las organizaciones que tercerizan una parte de su proceso de cumplimiento pueden generar mayores eficiencias.

La tercerización genera beneficios no sólo en términos de eficiencia, sino que también mitiga el impacto de los picos de trabajo a lo largo del año. Adicionalmente, permite tener acceso a recursos especializados para áreas específicas y actualizaciones técnicas y mejores prácticas.

Más de la mitad de las organizaciones encuestadas tienen al menos una parte de su proceso de cumplimiento tercerizado. Este grupo de organizaciones han optado por tercerizar la prueba de controles y/o la prueba de reportes clave. 

El 71 % de las organizaciones que manifestaron tener una parte de su proceso de cumplimiento tercerizado se encuentran por debajo de la mediana en términos de presupuesto total.

Hay un espacio significativo para lograr mayor adopción de tecnología en los procesos de negocio

El porcentaje de controles automáticos informado es más bajo que lo esperado, considerando que la mayor parte de la población objetivo del estudio se encuentra sujeta a los requerimientos de SOX desde hace varios años. Sólo el 23 % de las  organizaciones informaron un porcentaje de controles automáticos del 50 % o superior.

De la misma forma, si bien se observa un alto grado de adopción de herramientas más tradicionales, no se observa lo mismo en relación a las tecnologías emergentes.

Las organizaciones deben seguir innovando para integrar más los esfuerzos de cumplimiento con la gestión

Para muchas organizaciones, SOX continúa siendo un requerimiento de cumplimiento ad hoc con poca integración a la administración de riesgos de la organización y limitadas sinergias con otras actividades de gestión.

Si bien en su mayoría, las organizaciones utilizan más de un método para capturar los cambios en los procesos de negocio para actualizar el diseño de los controles, todas sin excepción utilizan métodos tradicionales y sólo el 23 % de los equipos de cumplimiento participan en comités de cambio de la organización. Ninguna organización utiliza tecnologías emergentes para identificar cambios en los procesos de negocio.

Y deben acelerar la digitalización del proceso de cumplimiento para generar resultados en forma más ágil y proactiva.

Si bien se observa un uso incipiente de tecnologías emergentes en algunas organizaciones para el desarrollo del proceso de cumplimiento, aún hay mucho por hacer en la adopción de herramientas tradicionales.

Modelo de madurez digital del cumplimiento SOX de PwC Argentina

El modelo tiene como objetivo evaluar el nivel de madurez digital del proceso de cumplimiento SOX de las organizaciones. Combina una serie de atributos cualitativos relacionados con el uso de la tecnología y en la adopción de metodologías ágiles para implementar un proceso de cumplimiento continuo a lo largo del tiempo e integrado con el resto de las actividades de gestión de las organizaciones para determinar el grado de evolución a través de un modelo de cinco niveles.

Modelo de madurez digital del cumplimiento SOX de PwC Argentina
Modelo de madurez digital del cumplimiento SOX de PwC Argentina

El 85 % de las organizaciones se encuentran en un nivel de madurez entre incipiente e integrado. Sólo un 15 % se encuentra en un nivel de madurez entre integrado y digital. Ninguna organización muestra aún características propias de un nivel de madurez avanzado en el desarrollo de su proceso de cumplimiento.

Enfoque de construcción modular

Las nuevas tecnologías permiten una implementación gradual y en bloques mediante la ejecución de proyectos cortos y enfocados en problemas específicos, a veces precedidos por pruebas de concepto, generando quick wins y regulando el ritmo de la inversión alineados con una estrategia integral. 

Las organizaciones deben avanzar con este enfoque para incrementar su madurez digital en el proceso de cumplimiento.

Ciberseguridad: el riesgo más relevante

La 25 encuesta global a los CEOs realizada por PwC muestra que la ciberseguridad es la principal preocupación entre los CEOs a nivel global y la tercera preocupación a nivel local. La pandemia aceleró la transformación digital y junto con ella, la proliferación de amenazas de ciberataques.

Nuestra experiencia nos indica que los ciberataques que explotan vulnerabilidades en la tecnología no sujeta a los controles SOX rápidamente pueden generar efectos que son relevantes para el reporte financiero o el control interno sobre el reporte financiero, reduciendo las fronteras entre los controles de tecnología SOX y no SOX.

Actualmente, las organizaciones deben informar en sus presentaciones a la SEC sobre los riesgos e incidentes de ciberseguridad. Esto podría impactar en: risk factors, MD&A, DC&P, financial statement disclosures y 8-K filings.

También deben implementar controles para mitigar los riesgos asociados a ciberseguridad y reportar en tiempo y forma sobre cualquier incidente material con impacto en los estados contables.

SEC propone nueva regla sobre ciberseguridad

El 9 de marzo de 2022, la SEC publicó su propuesta para una nueva regla sobre ciberseguridad. En caso de ser aprobada, la misma implicará para los registrantes:

  • Cambios en los requerimientos sobre reportes de incidentes de ciberseguridad.
  • “Disclosures” periódicos sobre las políticas y procedimientos acerca del manejo de los riesgos de ciberseguridad.
  • “Disclosures” sobre el rol de la Gerencia y el Directorio acerca de la supervisión de la gestión de los riesgos de ciberseguridad, incluyendo la especialización de los directores en ciberseguridad.
  • Actualizaciones periódicas sobre incidentes de seguridad reportados.

Las tecnologías emergentes permiten generar nuevos negocios y obtener eficiencias, pero hay que gestionar los riesgos asociados

La mayoría de las veces la introducción de tecnología genera riesgos en el ecosistema de la organización que es necesario mitigar con los siguientes controles específicos:

  • Cambios en los controles sobre el gobierno de las tecnologías emergentes, en particular en relación al uso de “Shadow IT”.
  • Riesgos asociados a los cambios funcionales en los procesos de negocio que se derivan de la implementación de tecnología.
  • Aspectos operativos sobre la detección y recuperación ante errores o fallas de funcionamiento.
  • Gestión del cambio incluyendo las pruebas de los nuevos desarrollos.
  • Riesgos técnicos relacionados con la seguridad y la continuidad del procesamiento.
  • Riesgos de terceras partes en particular cuando se implementan soluciones en la nube.

Cambio de paradigma en la gestión del control interno

La transformación digital implica la implementación de tecnologías emergentes pero sobre todo representa un cambio radical en la forma de operar y en la cultura de toda la organización. El control interno en general y el proceso de cumplimiento SOX también se transforman.

Control interno en el modelo tradicional

 

Control interno en el modelo tradicional
Control interno en el modelo tradicional

Control interno digital

Control interno digital
Control interno digital

Conclusiones y recomendaciones

A continuación enumeramos una serie de recomendaciones prácticas para quienes tienen la responsabilidad de llevar adelante los procesos de cumplimiento:

  • Evaluar si los alcances definidos para el proceso están en línea con los requerimientos de cumplimiento y los riesgos actuales con el fin de encontrar un adecuada combinación de controles clave enfocados en los riesgos de error material en los estados contables.
  • Considerar las eficiencias y beneficios que pueden lograrse a través de una tercerización adecuada de ciertos procesos de cumplimiento mediante una combinación de recursos internos con conocimiento de la organización y recursos externos para atender picos de demanda y aportar conocimiento especializado.
  • Involucrarse desde el inicio en los proyectos de transformación digital de la organización aportando una mirada sobre los riesgos asociados y asegurando desde el inicio que las tecnologías emergentes también colaboren en la optimización del control interno y en el proceso de cumplimiento.
  • Repensar el proceso de cumplimiento aprovechando las ventajas que genera la tecnología para transformar los ciclos anuales discretos en ciclos de aseguramiento y monitoreo continuos.
  • Incorporar al proceso de cumplimiento los controles necesarios para responder a los riesgos emergentes (por ejemplo, ciber) en forma oportuna y anticipándose a los nuevos requerimientos de los reguladores.

Acerca de la encuesta

La encuesta fue realizada por PwC Argentina con información correspondiente al ejercicio fiscal finalizado el 31 de diciembre de 2020 e incluyó a empresas FPIs cuyo proceso de certificación SOX se encuentra mayoritariamente centralizado en Argentina.

De un total de 25 empresas que forman parte del universo objetivo del estudio, obtuvimos respuestas de 13 empresas, lo que representa un 52 % del total. Los resultados del estudio, así como las conclusiones y comentarios volcados en la presente se basan en las respuestas obtenidas de los participantes y las mejores prácticas en la materia.

Contenido relacionado

Contactanos

Martín Barbafina

Socio de PwC Argentina a cargo de Marketing y Comunicaciones, PwC Argentina

Tel: (54 11) 4850-4690

Linkedin Follow Email

Fernando Isler

Socio, PwC Argentina

Tel: (54 11) 4850-4635

Linkedin Follow Email
Seguinos y viví la experiencia PwC en las redes sociales