Desde el 15 de noviembre comenzó a regir en EE.UU. la Ley Sarbanes-Oxley, que obliga a las empresas públicas nacionales o extranjeras a llevar un control y almacenamiento informático estricto de su actividad. Este paso abre un gran desafío tecnológico para las corporaciones.

Los escándalos financieros ocurridos en las compañías Enron y Worldcom, durante 2002 en Estados Unidos, no sólo abrieron una nueva etapa en la historia corporativa de dicho país, además dieron pie a la creación de la Ley Sarbanes-Oxley (SOX), que pretende evitar futuros fraudes similares. La norma obliga a las empresas que cotizan en las bolsas de valores estadounidenses a mantener un respaldo informático con todos los registros originales relacionados con el negocio, incluyendo correos electrónicos. El objetivo de esta base de datos es que sea accesible a auditorías y organismos reguladores en cualquier momento, para así detectar inconsistencias que puedan llevar a un fraude financiero.

La Ley comenzó a regir desde el 15 de noviembre y dentro de las empresas que deben adherir al nuevo sistema se encuentran tanto las estadounidenses como las extranjeras que tienen ADRs en Estados Unidos, lo que incluye a varias chilenas.

En detalle, la Ley SOX indica que la conservación y disponibilidad de los documentos en formato digital no pueden ser modificados por un período de 10 años, lo que implica tres puntos esenciales: almacenamiento, aplicaciones y políticas y procedimientos. El primero de ellos debe considerar accesibilidad y capacidad de búsqueda para el manejo de datos, con opciones de cinta, disco óptico y magnético para conservar la información. Las aplicaciones deben contar con especificaciones como protección de documentos, clasificación en línea y capacidad de auditorías. Y en lo que respecta al tercer punto, se definen las opciones de cómo los datos serán movidos y almacenados, además de cómo y cuándo está autorizado el personal de TI para tener acceso y modificarlo y en qué tiempo se pueden destruir.

El cumplimiento de la reglamentación es un desafío para las empresas actuales. Según una encuesta realizada por InformationWeek a 200 profesionales de tecnología empresarial, cuatro de cada cinco respondieron que es un desafío verificar si sus organizaciones logran las metas de cumplimiento de la reglamentación. Por otro lado, alrededor de dos tercios dijeron que el gasto en cumplimiento de la reglamentación será superior este año. Entonces, ¿qué medidas adoptar para enfrentar la implementación tecnológica que conlleva el cumplimiento de la Ley SOX?

Control Interno

El pilar fundamental en la infraestructura tecnológica que debe tener una compañía para el nuevo panorama se basa en el "control interno", para así lograr un perfecto "control externo", que es la finalidad principal de la Ley SOX. A diferencia del tan bullado "bug del segundo milenio" (Y2K), que significó llevar a cabo procesos para la evaluación y mejora del control interno en momentos específicos, la Ley SOX con los artículos 302 y 404, establece que el diseño, evaluación y mejoramiento del control interno será un proceso rutinario y parte importante en el logro de nuevos negocios para las compañías.

La mayoría de los CEOs, CFOs y CIOs entienden que el rol de las TI en el funcionamiento de una compañía es fundamental, especialmente en el ámbito competitivo del siglo veintiuno. En los ambientes corporativos hoy en día, el procesamiento y emisión de los reportes financieros son realizados utilizando sistemas de información, bien sean integrados o no, por lo que el control interno de TI debe ser diseñado, evaluado y mantenido como cualquier otro proceso de negocio de la corporación, a fin de cumplir con las exigencias de la Ley SOX.

Los profesionales de TI responsables de llevar a cabo la identificación, diseño y/o evaluación del control interno en la organización, en el marco de un proyecto destinado a dar cumplimiento de lo exigido por la Ley SOX, deben contar con una metodología apropiada para llevar a cabo dicho proceso.

Lo primero es que todos los empleados conozcan y entiendan cómo funciona el proceso de divulgación financiera y dónde la tecnología es más crítica en su apoyo. Esto permitirá identificar los sistemas de información claves que necesitan ser incluidos en el alcance del proyecto. Cuando la plataforma tecnológica que rige los procesos financieros ya está altamente desarrollada, esto es bastante sencillo. Dentro de este aspecto, la organización debe además prever el riesgo de acontecimientos inesperados que puedan significar pérdida de información, tanto por el aspecto financiero como por el operacional.

En cuanto al diseño del control informático, no existe una forma particular de documentación aprobada o requerida. El grado de la documentación puede variar, dependiendo del tamaño y de la complejidad de la organización, sin embargo, es importante contar con un sistema de información que permita clasificar la documentación según su confidencialidad y criticidad.

Luego de haber realizado el diseño del control interno, debe confirmarse la eficiencia y eficacia del mismo, por lo que es necesario realizar pruebas, conducidas por responsables de los controles y del equipo de la gerencia interna del programa de control.

Todo esto sitúa a los departamentos de TI en una importante posición, ya que deberán velar para que la información generada desde los sistemas de información, utilizada para la emisión de los reportes financieros de la corporación, sea íntegra, veraz y oportuna. En este sentido, no muchas organizaciones cuentan con áreas de TI que conozcan y gestionen los riesgos de manera adecuada, careciendo incluso de una estructura formal para realizar dicha labor.

Por estas razones, muchas organizaciones se verán en la necesidad de buscar apoyo externo de especialistas en TI y riesgos, a fin de lograr la asesoría en las áreas claves para TI, tomando en cuenta que el control interno no es un acontecimiento, sino un proceso que requiere la ayuda y la evaluación continua para permanecer en el tiempo.

Almacenamiento

Otro pilar fundamental en la plataforma informática necesaria para cumplir la Ley SOX, tiene relación con la forma en que serán almacenadas. Por ejemplo, si un empleado de una empresa que cotiza en la Bolsa de Nueva York envía un correo electrónico, éste no sólo deberá almacenarse en un servidor de correos, sino que además deberá copiarse de forma idéntica al original en un sistema de almacenamiento que esté a disposición de las auditorías. Este mismo proceso deberá efectuarse en las transacciones electrónicas, generación de documentos, reportes financieros, etc. En general, toda acción que se realice bajo algún formato electrónico.

El almacenamiento exige seguridad, integridad de los datos, costo total de propiedad (TCO), desempeño, accesibilidad y capacidad de búsqueda. Las opciones para conservar los documentos electrónicos son cinta, disco óptico y disco magnético. Cualquiera sea que se utilice, deben cumplir con las siguientes características:

Write once read many: No cualquier sistema de almacenamiento servirá para almacenar los datos. Las empresas que requieran cumplir con esta normativa deberán considerar renovar sus sistemas de almacenamiento por aquellos que posean la característica "WORM" (Write Once Read Many, que significa escritura única, lectura múltiple), es decir, que aseguren que el dato no pueda ser modificado del original. Esta característica se implementa por firmware, por ejemplo, en los arreglos de disco de Hitachi Data Systems.

Acceso rápido a datos: El artículo 17ª-4 de la Securities and Exchange Comission (SEC) señala que las compañías deben responder a las peticiones de los datos en días, no en semanas.

Capacidad de búsqueda: El sistema de almacenamiento debe ser capaz de buscar entre una gran cantidad de datos, sin requerir localizar y montar las cintas o medios ópticos. En este aspecto, poseer un data center interno o bien tercerizar la base de datos a una empresa especialista.

Rentabilidad: El costo de almacenamiento es fundamental. Por ejemplo, el valor del disco magnético ATA se reduce cada vez más, que lo hace más competitivo respecto a los medios ópticos y de cinta, ya que significa búsquedas más rápidas y menos costosas (menor TCO). Las soluciones de cinta, en cambio, siguen siendo convenientes, pero no incluyen el costo de bibliotecas, drivers, mantenimiento y administración.

Existen empresas, tales como Veritas e IXOS, que han desarrollado el software que permite automatizar la migración de datos desde ambientes productivos a almacenamiento históricos. A estos sistemas se les conoce como administradores del ciclo de vida de los datos (Data Lifecycle Management Systems).

Seguridad y Administración

En un informe realizado a principios de este año por la consultora Gartner, se indicaba textualmente que "las tecnologías de seguridad TI pueden afrontar el cumplimiento de la reglamentación". O sea, que los procesos y las tecnologías para el control de las vulnerabilidades y la administración de la seguridad de TI son la base de la implementación de la ley.

La consultora financiera Deloitte, por su parte, posee una opinión similar estableciendo que para un buen cumplimiento de la ley se necesitan algunos factores como: estructura documentada del control interno; mayor transparencia en la eficacia de los controles; monitoreo electrónico continuo de las acciones de mejoramiento; desarrollo de controles documentados coherentes que se puedan aprovechar en las múltiples unidades empresariales; y procesos acelerados y racionalizados. En otras palabras, las empresas se están dando cuenta de que las leyes reglamentarias simplemente significan utilizar buenas prácticas de seguridad.

Pero la seguridad no es la única parte de la plataforma de software que es necesaria para cumplir la ley. La "gestión de información y documentos" tiene que ser lo más transparente y práctica posible, permitiendo además búsquedas asertivas utilizando, por ejemplo, estructuras de datos en Extensible Markup Language (XML). También debe ofrecer a los usuarios, operadores y administradores de los sistemas un proceso de alertas y consultas.

La comunicación y colaboración entre empleados también debe gestionarse mediante un software de administración que tenga acceso a las bases de datos, además de la posibilidad de compartir proyectos, estados financieros y otro tipo de procesos propios de la empresa moderna.

En definitiva, lo que la Ley busca no sólo tiene relación con la disponibilidad de la información del negocio a auditores externos y así evitar cualquier tipo de fraude, sino que sea la misma empresa, gracias a sus procesos e infraestructura tecnológica, la que regule negligencias y problemas, mostrándose más transparente en una sistema económico donde existen muchos elementos aún para poder flanquear las regulaciones.