Documentos de Trabajo del Departamento de Derecho Mercantil 2007/14 Septiembre 2007 LA LEY SARBANES-OXLEY Y LAS SOCIEDADES COTIZADAS DE MENOR TAMAÑO: ¿SIRVE UN MISMO MODELO PARA TODOS LOS TIPOS DE SOCIEDADES? Juan Ignacio Signes de Mesa* *e-mail del autor: Ignacio.Signes@curia.europa.eu Departamento de Derecho Mercantil. Facultad de Derecho. Universidad Complutense. Ciudad Universitaria s/n. 28040 Madrid 00 34 -913 94 54 93 http://www.ucm.es/info/mercantil Documento depositado en el archivo institucional EPrints Complutense. Puede descargarse en cualquiera de las siguientes direcciones: http://www.ucm.es/eprints http://www.ucm.es/BUCM/der/10437.php Copyright © 2007 por el autor LA LEY SARBANES-OXLEY Y LAS SOCIEDADES COTIZADAS DE MENOR TAMAÑO: ¿SIRVE UN MISMO MODELO PARA TODOS LOS TIPOS DE SOCIEDADES? JUAN IGNACIO SIGNES DE MESA* LETRADO DEL TRIBUNAL DE JUSTICIA DE LAS COMUNIDADES EUROPEAS. COLLÈGE D'EUROPE '03, HARVARD LAW SCHOOL '05 Resumen: El mayor debate respecto de la Sarbanes-Oxley Act de 2002 ha venido siempre referido al elevado coste que supone para las sociedades cotizadas norteamericanas cumplir con sus disposiciones. Este coste es aún más significativo en términos relativos para las sociedades de menor tamaño. Las críticas se han centrado en la Sección 404 de la Ley, que impone a los administradores y auditores de estas sociedades la obligación de evaluar y certificar respectivamente la eficacia de los denominados controles internos sobre información financiera. Unas nuevas líneas directrices y un nuevo estándar de auditoría han sido elaborados por la SEC y el PCAOB para guiar esta labor y procurar así una reducción de los costes para las sociedades. No obstante, la falta de concreción de las pautas propuestas, así como la ausencia de un análisis empírico que pruebe que efectivamente los costes de evaluación y certificación serán más reducidos en el futuro, no permiten concluir que las sociedades cotizadas, fundamentalmente aquéllas de menor tamaño, se verán beneficiadas. Palabras clave: Sarbanes-Oxley Act, Gobierno Corporativo, Sociedades Cotizadas, Análisis coste-beneficio, Deber de transparencia y publicidad. Abstract: The main debate concerning the Sarbanes-Oxley Act (2002) is referred to the high cost that public companies must undertake in order to comply with its provisions. This cost is even more representative in relative terms with respect to small-size companies. The critique to this respect has mainly focused on § 404 SOX, which requires directors and external auditors to respectively evaluate and certificate the effectiveness of internal controls over financial reporting. A new framework has been elaborated by the SEC and the PCAOB to guide these tasks. Nonetheless, the lack of concretion of the standards proposed and the absence of an empirical analysis measuring the actual reduction of the compliance costs of the Sarbanes-Oxley Act lead to the conclusion that these last ones will not be reduced in a significative way, mainly for small business companies. Key words: Sarbanes-Oxley Act, Corporate Governance, Public Companies, Cost-benefice analysis, Disclosure requirements. * Versión ampliada y anotada de la comunicación remitida por el autor al IV Seminario Harvard- Complutense sobre, Shareholders Rights in Listed Companies celebrado en la Universidad de Harvard los días 30 y 31 de octubre de 2006. 2 LA LEY SARBANES-OXLEY Y LAS SOCIEDADES COTIZADAS DE MENOR TAMAÑO: ¿SIRVE UN MISMO MODELO PARA TODOS LOS TIPOS DE SOCIEDADES? JUAN IGNACIO SIGNES DE MESA LETRADO DEL TRIBUNAL DE JUSTICIA DE LAS COMUNIDADES EUROPEAS. COLLÈGE D'EUROPE '03, HARVARD LAW SCHOOL '05 SUMARIO: INTRODUCCIÓN ................................................................................................................. 4 LA SARBANES-OXLEY ACT Y LAS SOCIEDADES COTIZADAS DE MENOR TAMAÑO................................................................................................................................ 5 LA SECCIÓN 404 DE LA LEY SARBANES OXLEY Y EL MARCO NORMATIVO DE DESARROLLO DE 2003 ................................................................ 13 LAS NUEVAS LÍNEAS DIRECTRICES DE 2007. LAS SOCIEDADES DE MENOR TAMAÑO EN PARTICULAR ........................................................................... 20 CRÍTICAS AL NUEVO MARCO REGULADOR........................................................... 25 CONCLUSIÓN ...................................................................................................................... 30 3 INTRODUCCIÓN El mayor debate respecto a la Public Company Accounting Reform and Investor Protection Act de 25 de julio de 2002, mayormente conocida como Sarbanes-Oxley Act1, ha venido siempre referido al elevado coste que supone para las sociedades cotizadas norteamericanas cumplir con las disposiciones de esta Ley. Este coste es aún más oneroso en términos relativos para las sociedades de menor tamaño. Las críticas se han centrado fundamentalmente en la Sección 404 (en adelante, § 404 SOX), que impone a los administradores y auditores de estas sociedades la obligación de evaluar y certificar respectivamente la efectividad de los mecanismos internos de control que se establecen para asegurar la veracidad de las informaciones financieras que han de publicarse anualmente por mandato legal. Habiéndose cumplido cinco años desde la adopción de la Ley, se han elaborado unas nuevas líneas directrices y un nuevo estándar de auditoría relativos a la aplicación de la § 404 SOX. Este marco, todavía pendiente de aprobación, se encuentra compuesto por el «Management's Report on Internal Control over Financial Reporting» de 20072 y el «Auditing Standard Nº 5»3. Ambos documentos han sido desarrollados por la Securities and Exchange Commission (SEC) y por el Public Company Accounting Oversight Board (PCAOB), y pretenden flexibilizar el modelo uniforme originario de la Sarbanes-Oxley Act para adaptarlo fundamentalmente a las sociedades de menor tamaño. Se espera con ello que estas últimas puedan reducir los costes en que incurren habitualmente en el ejercicio de evaluación de los controles internos. Una vez aprobado, estas disposiciones completarán las adoptadas a este mismo respecto en el año 2003. 1 SOX, § 1 Pub. L 107-204, 2002 U.S.C.C.A.N. (116 Stat.) 745 2 «Interpretative guidance for management regarding its evaluation of internal control over financial reporting and related rule amendments. Management's Report on Internal Control over Financial Reporting», Securities Act Release No. 8762, Exchange Act Release No. 54976 (pendiente de aprobación por la SEC, en adelante Management Report de 2007) 3 «Auditing Standard No. 5 – An audit of internal control over financial reporting that is integrated with an audit of financial statements and related independence rule and conforming amendments», PCAOB Release No. 2007-005 (24 de mayo de 2007, pendiente de ratificación por la SEC, en adelante Auditing Standard Nº5) 4 El presente trabajo parte de la concepción de la Sarbanes-Oxley Act como una norma rígida de reacción, en este caso frente a escándalos tales como Enron, Xerox o Worldcom, para presentar el nuevo marco director de aplicación de la § 404 SOX y analizar así en qué medida sus disposiciones modulan el carácter uniforme y severo inicial de dicha Ley. A pesar de no encontrarse todavía en vigor, han sido varias las críticas que han recaído sobre estas nuevas normas, las cuales, se refieren fundamentalmente a la falta de concreción de los estándares que administradores y auditores han de utilizar para orientar su labor y a la ausencia de un análisis empírico que determine que efectivamente los costes para las sociedades de menor tamaño serán más reducidos. LA SARBANES-OXLEY ACT Y LAS SOCIEDADES COTIZADAS DE MENOR TAMAÑO (a) La Sarbanes-Oxley Act fue adoptada por el Congreso de los Estados Unidos con el objetivo expreso en su preámbulo de procurar una mayor seguridad y veracidad de las informaciones que las sociedades cotizadas han de publicar de acuerdo con las normas norteamericanas del mercado de valores. En realidad, se trataba de contestar con inmediatez a los escándalos que se sucedieron a comienzos de la presente década y que tuvieron como resultado la bancarrota de estructuras empresariales que hasta el momento se creía sólidas e impermeables. En todos estos casos, el común denominador fue no solamente la sobreestimación del valor de las acciones de estas empresas conforme con el afán de «prosperidad irrealista»4 de la época, sino también la publicación de información fraudulenta que se realizaba sistemáticamente en cada ejercicio y que tenía como resultado una asimetría marcada entre el estado que estas empresas reflejaban en sus cuentas públicas e informes de auditoría y sus condiciones financieras 4 Lipton, M., «The Millennium Bubble and Its Aftermath: Reforming Corporate America and Getting Back to Business», Commercial Club of Chicago, 15 de junio de 2003, disponible en 10.2139/ssrn.417503; v. también McLean, B., «Is Enron Overpriced?», Fortune, 5 de marzo de 2001, Vol. 143, No. 5, p. 122. 5 reales5. Las autoridades federales concibieron, ante esta situación, que más allá de los efectos inmediatos que estas circunstancias pudieran provocar en la economía norteamericana, en términos de pérdidas de empleo directas y desaparición de capitales, el mayor temor provenía de la falta de confianza que podía proyectarse sobre los mercados de inversión. La Sarbanes-Oxley Act es, sin duda, la disposición más relevante adoptada en el dominio del gobierno societario en los últimos años en EEUU6 y supone uno de los cambios más importantes en materia de Derecho del mercado de valores desde el New Deal en 1930 y la Securities Exchange Act de 19347. (b) Sin negar su valor como disposición de contribución a la mejora del gobierno corporativo y el régimen de auditoría, la Sarbanes-Oxley Act ha sido siempre criticada por los enormes costes que conlleva su aplicación para las sociedades cotizadas. De manera particular, estas críticas se han referido a la § 404 de la Ley, relativa a la evaluación de los controles internos sobre información financiera8. Esta disposición estableció la obligación de evaluar anualmente la eficacia de los sistemas de control que las sociedades establecen para garantizar la veracidad de los informes que éstas han de 5 A modo de ilustración, v. Coffee, J. C., «What Caused Enron?: A Capsule Social and Economic History of the 1990's», Columbia Law and Economics Working Paper No. 214., disponible en 10.2139/ssrn.373581, y Palepu, K. & Healy, P. M. (Harvard Business School), «The Fall of Enron», Journal of Economic Perspectives, Vol. 17, No. 2, 2003, p. 10. 6 Como medidas adicionales a la Sarbanes-Oxley Act, dentro de esta nueva tendencia en el gobierno corporativo en Estados Unidos, han de destacarse las NYSE Corporate Governance Rules, de 30 de junio de 2003 (§ 303a de la NYSE's Listed Company Manual) y las normas equivalentes del NASDAQ, así como la dirección marcada por las decisiones recientes de la jurisdicción de Delaware, concretamente en Oracle Corp. Derivative Litigation, 824 A.2d 917 (Del. Ch. 2003), In re Walt Disney Company Derivative Litigation, 825 A.2d 275 (Del. Ch 2003) y In re The Walt Disney Company Derivative Litigation, Consol. C.A. No. 15452 (Del. Ch. Aug. 9, 2005). V. Clark, R. C., «Corporate Governance Changes in the Wake of the Sarbanes-Oxley Act: A Morality Tale for Policymakers Too», Harvard Law & Economics Discussion Paper, No. 525, p. 7 7 Ha de destacarse incluso que esta Ley ha supuesto un cambio en el modo de regulación corporativa en Estados Unidos, teniendo en cuenta que nunca hasta ahora el régimen federal había previsto requisitos sustantivos como los recogidos en la SOX, sino que el Congreso norteamericano se había limitado exclusivamente a promulgar disposiciones relativas al deber de publicidad y transparencia de las sociedades cotizadas. V. Romano, R., «The Sarbanes-Oxley Act and the Making of Quack Corporate Governance». NYU, Law and Econ Research Paper 04-032; Yale Law & Econ Research Paper 297; Yale ICF Working Paper 04-37; ECGI - Finance Working Paper 52/2004, p. 1523. 8 Éstos son conocidos comúnmente en la literatura jurídica norteamericana como «internal controls over financial reporting» (ICFR). V. Management’s Report on Internal Control Over Financial reporting, Securities Act Release No. 8238, Exchange Act Release No. 47,986, 68 F.R. 36636, 36659, de 5 de junio de 2003. 6 hacer públicos conforme con la Securities Exchange Act9. Esta tarea de evaluación, que adquiere un carácter notablemente riguroso conforme a dicha sección, corresponde a los administradores y su resultado ha de publicarse junto con las cuentas anuales. Por su parte, los auditores externos de las sociedades cotizadas han de certificar esta labor descrita de los directivos y la eficacia de dichos controles internos. Es precisamente la verificación exhaustiva que ha de hacerse en cada uno de los estadios de formación de los informes la que implica tan altos costes de dinero, personal y tiempo. Ello contrasta con la labor que hasta la adopción de la Sarbanes- Oxley Act cumplían los auditores externos de las sociedades cotizadas, quienes habían de limitarse simplemente a comprobar que un sistema de control interno había sido diseñado e implementado en la sociedad respectiva y que se encontraba plenamente operativo10. La implantación de un régimen tan costoso de auditoría, a la vez interna y externa, ha tenido consecuencias remarcables para la economía norteamericana11. Entre ellas, la huida de los mercados financieros estadounidenses de grandes empresas, que buscan su lugar en mercados menos rígidos como Londres o Hong Kong. El mercado estadounidense está resultando sencillamente cada vez «menos atractivo», ello para empresas tanto nacionales como extranjeras12. Se ha destacado a este respecto que si bien en 1990 los mercados de capitales norteamericanos atraían un 48% de las ofertas públicas de venta globales, esta cifra ha caído ahora más de un 7%. Igualmente, mientras que en 2000 cada oferta pública de venta realizada por una compañía norteamericana se producía exclusivamente en EEUU, en 9 § 13(a) o 15(d) de la Securities Exchange Act de 1934 (15 U.S.C 789 m o 78 o[d]) 10 Root, S. J. Beyond COSO-Internal Control to Enhance Corporate Governance, 1998 11 Jackson H. E. & Roe M. J., «Public Enforcement of Securities Laws: Preliminary Evidence», disponible en http://jonwoojung.com/H_Jackson.pdf, 12 Scott, H. S (Harvard Law School & Director of the Committee on Capital Markets Regulation), en «Sarbanes-Oxley 404: Will the SEC's and PCAOB's New Standards Lower Compliance Costs for Small Companies? », U.S. House of Representatives - Small Business Committee, 5 de junio de 2007, donde; v., también, Epstein D., «Goodbye, Farwell, Auf Widerssehn, Adieu,…», Wall Street Journal, 9 de febrero de 2005. 7 2006 un 17% de los fondos que se adquieren en el ahorro público son extranjeros13. En cualquier caso, de todas las consecuencias a las que nos referimos, la que goza de mayor atención por parte de las instituciones federales ha sido la que atañe a las sociedades de menor tamaño14. Éstas son conocidas, a efectos de la aplicación de la § 404 de la Ley, con el término anglosajón de «non-accelerated filers» y se definen como aquellas sociedades que tienen un valor de capitalización menor a 75 millones de dólares al final del ejercicio anual15. La cuestión a este respecto deriva del hecho de que la Sarbanes-Oxley Act se aplica a todo emisor de valores públicos que deba publicar periódicamente información financiera conforme con la Securities Exchange Act16, lo que significa que toda sociedad cotizada, en principio, tiene que cumplir con sus 13 Scott, H. S, supra, p. 2 14 Puede destacarse a este respecto la labor del Comittee on Small Business del Congreso norteamericano, cuyas iniciativas pueden consultarse en www.house.gov/smbiz. Esta iniciativa se suma a la Ley de Mejora de los Créditos a Pequeñas Empresas de 2007 (Small Businnes Lending Improvements Act de 2007), que permitirá reducir los costes de financiación aportando una mayor modernización a las iniciativas crediticias de las Agencia de Pequeñas Empresas (U.S. Small Business Administration) 15 Cfr. Rule 0-10 de la Exchange Act (17 CFR 240.10[a]). Dado que no existe una definición en las normas promulgadas por la SEC de «non-accelerated filers», estas compañías han sido definidas negativamente como aquéllas que no son ni «accelerated filers» (sustancialmente, aquéllas con un valor de capitalización global mayor a 75 millones de dólares, pero menor de 700 millones de dólares) ni «large accelerated filers» (aquéllas con un valor de capitalización igual o mayor a 700 millones de dólares) conforme con la Rule 12b-2 de la Securities Exchange Act de 1934. V. Internal Control over financial reporting in Exchange Act periodic reports of non-accelerated filers and newly public companies, Securities Act Release No. 8731, Exchange Act Release No. 54295. 16 § 2 (7) SOX Issuer. «The term "issuer" means an issuer (as defined in section 3 of the Securities Exchange Act of 1934 (15 U.S.C. 78 c)), the securities of which are registered under section 12 of that Act /15 U.S.C. 78]), or that is require to file reports under section 15(d) (15 U.S.C. 78o(d)), or that files or has filed a registration statement that has not yet become effective under the Securities Act of 1933 (15 U.S.C. 77a et seq.), and that it has not withdrawn». Añadamos que según la Securities Exchange Act, debe registrar sus informes financieros (conforme con la form 10-k y 10-q), (1) toda sociedad que cotice en el mercado de valores nacional, (2) con un valor mayor a los 10 millones de dólares, y 500 o más de accionistas, (3) que haya registrado su oferta en el último año y tenga 300 o más tenedores de un valor registrado, o (4) que voluntariamente cumpla con estos requisitos (SEA § 13(a), 15(d), 15 U.S.C. 78m(a), 78o(d). 8 disposiciones17, incluidas aquí las de menor tamaño18. Se trata, en definitiva, de un modelo uniforme de evaluación y control («one-size-fits-all»), que estableció la Ley desde su adopción y que luego se mantuvo en el primer marco de desarrollo de sus disposiciones en 2003. Sobre esta base, si los costes que derivan de la aplicación de la § 404 SOX son en sí mismos elevados para todas las sociedades cotizadas en general, éstos repercuten aún más en las sociedades de un valor de capitalización reducido al soportar relativamente una mayor carga. Es importante destacar que cuando se adoptó la Ley Sarbanes-Oxley, se hizo una estimación inicial del coste que supondría para las sociedades menores el cumplimiento de las obligaciones que derivaban de su aplicación. La cantidad que se dedujo a estos efectos fue de 91.000 dólares (1.240 millones de dólares para todas la sociedades)19. Estos datos han sido cuestionados posteriormente cuando la Ley entró finalmente en vigor. Según estudios más recientes, las sociedades de menor tamaño han de soportar unas cargas que superan en realidad el millón de dólares, lo que viene a representar una media del 3% de su beneficio neto anual. A estos costes es necesario añadir otros menos aparentes como el tiempo que sus directivos y empleados han de dedicar a cumplir con los requisitos de la § 404 de la Ley. Se ha señalado que una sociedad pequeña, que no cuente con más de 20 empleados, gasta anualmente un 45% más por empleado que una sociedad mayor. Para las empresas de mayor envergadura este coste supone unos 3,8 millones de dólares anuales, esto es, un 0,1% de su beneficio20. 17 Cfr. § 405 SOX, en donde la Ley estableció una exención respecto de las § 401-404 para aquellas sociedades de inversión registradas conforme a la sección 8 de la Investement Company Act de 1940. 18 V. Management Report 2003, supra, p. 41. 19 Estas estimaciones partían de un total de 5.396.266 horas necesarias entre personal interno (200 dólares/hora) y profesionales externos (300 dólares/hora). V. Management Report 2003, supra, p. 38. 20 Financial Executives International Report, «Survey on SOX Section 404 Implementation» (marzo de 2006). V. también Committee on Capital Markets Regulation, Interim Report of the Committee on Capital Markets Regulation (30 de noviembre de 2006), disponible en www.capmktsreg.org/pdfs/11.30Committeee_Interim_ReportREV2.pdf y Commission on the Regulation of U.S. Capital Markets in the 21st Century, Report and Recommendations (marzo de 2007), disponible en www.uschamber.com/portal/capmarkets/default 9 Las consecuencias que se derivan de lo anterior para las sociedades de menor tamaño son fácilmente descriptibles: por un lado, el traslado de las inversiones en investigación y desarrollo entre otras a sufragar dichos costes de control, lo que supone, en definitiva, una pérdida potencial de competitividad21. Por otro, el desincentivo de acudir al ahorro público con vistas al desarrollo de proyectos de mayor inversión, o por el contrario, el incentivo «irónico» para convertirse en sociedades no cotizadas22. En realidad, lejos de ser una cuestión baladí, éste es un problema que adquiere gran importancia a nivel nacional en Estados Unidos. No en vano las compañías de menor tamaño son el sustrato principal de la economía, como primera fuente de innovación y creación de empleo23, y en ellas participan, bien directamente, bien a través de fondos de inversión o pensiones, numerosos inversores en todo el país. A este respecto se ha llegado a afirmar que Wall Street puede recolocarse en otros mercados internacionales y ello solamente afectará a los Estados Unidos en el corto plazo; sin embargo, lo que la economía norteamericana no podría sustentar sería la pérdida de Main Street24, esto es, la calle principal de toda ciudad norteamericana en la que se identifican las sociedades cotizadas de un tamaño más reducido. A diferencia de los grandes capitales, éstas no pueden partir y recolocarse y los costes tan altos acaban por mermar sus mejores opciones de competitividad25. (d) En cualquier caso, la idea inicial del proyecto de la Sarbanes-Oxley Act reposaba también en gran medida en la flexibilidad que ofrecía el texto de la 21 V. Crain, M., «The Impact of Regulatory Costs on Small Firms», Septiembre 2005, disponible en www.sba.gov/advo/research/rs264tot.pdf 22 Carney, W. J., «The costs of being public after Sarbanes-Oxley: The irony of "going to private"», Emory L & Econ. Res. Paper 05-4, Feb. 2005. V. McKinsey&Co., «Sustaining New York's and the US Global Financial Services Leadership (22 de enero de 2007), y Foley & Lardner LLP, «The Cost of Being Public in the Era of Sarbanes-Oxley» (16 de junio de 2005), y Commission on the Regulation of US Capital Markets in the 21st Century, «Report and Recommendations» (Marzo de 2007), disponible en www.uschamber.com/portal/capmarkets/default 23 Baldwin, J. R. & Johnson, «Entry, Innovation and firm growth», en Acs, Z. J. (ed.): Are Small Firms Important? Their role and impact in the US, SBA, Kluwer Academic Publishers, 1991, p. 52 24 Scott, H., supra, p. 12 25 V. Cutler, M. G., «Sarbanes-Oxley: Section 404 and the death of the small public company», Berkeley Electronic Press, No. 1254, 2006. 10 Ley, por cuanto preveía que sus disposiciones habían de ser implementadas y desarrolladas posteriormente. Esta función venía encomendada a la Securities and Exchange Commission (SEC)26 y al Public Company Accounting Oversight Board (PCAOB)27, creado precisamente por la propia Ley. Ambos organismos han sido los encargados de implementar hasta el momento las obligaciones que derivan de la § 404 de la Sarbanes-Oxley Act, y de manera particular, de establecer los estándares, reglas y directrices relativos al modo, calidad e independencia de la evaluación y certificación de los controles internos que deben llevar a cabo tanto directivos como auditores externos en el cumplimiento de sus respectivas obligaciones. Cabe señalar que el PCAOB supone una novedad importante en el nuevo diseño de orientación y control para los auditores, y por ello, la Ley le dedica su Título Primero. Se trata de un organismo de naturaleza discutida, pero único en su configuración28, que está llamado a convertirse en el «gatekeeper de los gatekeepers»29. Su consejo de dirección está formado por cinco miembros, dos de los cuáles han de ser auditores, que proporcionan el conocimiento experto al Consejo, y tres miembros independientes de la profesión, lo que se establece para evitar una regulación endogámica y unidimensional. Tal y como dispone la Ley, el objetivo fundamental del PCAOB es promover la confianza de los inversores respecto de los informes financieros de las sociedades cotizadas, y desarrollar una actividad que, en definitiva, mejore la calidad de las auditorías. Para ello, tiene asignadas las tareas concretas de: (i) registrar e inspeccionar las firmas que se encargan de auditar las sociedades cotizadas en los mercados de valores de Estados 26 § 3 (a) SOX, Regulatory Action. 27 § 103 (a) SOX Auditing, Quality Control and Independence Standards and Rules. 28 V. Coates IV, J. C, «The goals and promise of the Sarbanes-Oxley Act», Journal of Economic Perspectives, Vol. 21, No. 21, Winter 2007, p. 99, que señala que no se trata ni de una agencia ni organismo autónomo; sino más bien de un organismo de naturaleza privada («nonprofit corporation», según la § 101, Establishement; Administrative Provisions, de la Sarbanes Oxley Act), en tanto que según la Ley no es una agencia estatal, y que por ello está exento de la aplicación de Leyes de derecho administrativo relativas, entre otras, a la publicidad de sus reuniones o los procedimientos en la adopción de decisiones. Su elemento público vendría exclusivamente determinado por el hecho de que la SEC designa los miembros de su consejo y puede ejercer determinadas prerrogativas reservadas a las agencias gubernamentales. 29 Cutler, M. G., supra, p. 11 11 Unidos; (ii) investigar y someter al régimen de disciplina a aquellas firmas de auditoría que violen las leyes deontológicas de auditoría y los estándares profesionales; y, por último, (iii) elaborar criterios y estándares relativos a la propia labor de auditoría y la independencia de los auditores. Es en el ejercicio de esta última función que el PCAOB está implicado en el desarrollo del marco normativo relativo a la § 404 SOX. Es importante señalar, no obstante, que su labor se encuentra supervisada por la SEC y las disposiciones adoptadas por el PCAOB deben ser ratificadas posteriormente por el organismo regulador30. Hasta el momento, por lo que se refiere a los controles internos de auditoría de la § 404 de la Ley, la labor de la SEC y del PCAOB ha tenido como resultado la adopción del denominado Management's Report 200331 y el Auditing Standard Nº 232. Estas dos disposiciones conforman el marco de desarrollo que todavía se encuentra en vigor y que aplican en la actualidad las sociedades cotizadas. No obstante, pronto serán complementadas –y reemplazadas, en parte- por el Management's Report de 2007 y el Auditing Standard Nº 5, este último aprobado ya el pasado 23 de mayo y pendiente de ratificación por la SEC. Ambas reformas suponen el primer estadio en el desarrollo de un nuevo marco normativo que adecúe las obligaciones de la § 404 SOX a las sociedades cotizadas de menor tamaño. Si bien en 2003 se pretendió exclusivamente desarrollar los preceptos de la SOX para permitir la aplicabilidad de sus disposiciones lo antes posible, el segundo grupo ha pretendido flexibilizar el modelo inicial y hacerlo más adaptable y menos costoso para las sociedades de menor tamaño. Los próximos apartados intentarán mostrar en qué medida este resultado ha sido alcanzado. 30 V. Coates IV, J. C., supra, p. 98. 31 V. Management’s Report 2003, supra, n. 8 32 «Auditing Standard No. 2 – An audit of internal control over financial reporting that is integrated with an audit of financial statements and related independence rule and conforming amendments», PCAOB Release No. 2004-003 (17 de junio de 2004) 12 LA SECCIÓN 404 DE LA LEY SARBANES OXLEY Y EL MARCO NORMATIVO DE DESARROLLO DE 2003 (a) Como hemos señalado anteriormente, la Sarbanes-Oxley Act partía de la consideración de que, en realidad, lo que había provocado la caída de sociedades como Enron o Adelphia había sido precisamente el fallo sistemático de los encargados de velar por que la información sobre el estado de las empresas fuera veraz (estos son, auditores, analistas, abogados y agencias de evaluación)33. Es por ello que, entre otras medidas adoptadas34, esta Ley federal se centró en establecer una serie de obligaciones añadidas para directivos y auditores que permitiesen reducir el riesgo de que informaciones erróneas o fraudulentas de las cuentas de las sociedades no pudiesen ser detectadas a tiempo en los informes financieros anuales. Aquí radica la importancia de la § 404 de la Ley, que dispuso un doble pivote de control dentro del Título relativo a la revelación de información financiera relevante. La § 404 SOX dispone lo siguiente: “SEC. 404. MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS (a) RULES REQUIRED- The Commission shall prescribe rules requiring each annual report required by section 13(a) or 15(d) of the Securities Exchange Act of 1934 (15 U.S.C. 78m or 78o(d)) to contain an internal control report, which shall- (1) state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting; and (2) contain an assessment, as of the end of the most recent fiscal year of the issuer, of the effectiveness 33 Frente a esta opinión que intenta reducir las causas de Enron a un fallo exclusivo de los denominados «gatekeepers», v. Coffee, J. C., «Understanding Enron: It's About the Gatekeepers, Stupid" (July 30, 2002). Columbia Law & Economics Working Paper No. 207, disponible en DOI: 10.2139/ssrn.325240 34 Han de destacarse las secciones relativas a la independencia en la labor de auditoría (§ 201-209), a la responsabilidad corporativa de los directivos y consejeros jurídicos (§ 301- 308), a las obligaciones reforzadas de publicidad y transparencia (§ 401-409), a los conflictos de intereses y la prohibición para los directivos y consejeros de ser beneficiarios de préstamos por parte de la sociedad (§ 501), y, por último, a las sanciones penales y civiles por acciones fraudulentas (§ 801-807, § 901-906, § 1101-1107) 13 of the internal control structure and procedures of the issuer for financial reporting. (b) INTERNAL CONTROL EVALUATION AND REPORTING- With respect to the internal control assessment required by subsection (a), each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to, and report on, the assessment made by the management of the issuer. An attestation made under this subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board. Any such attestation shall not be the subject of a separate engagement”. Conforme con el apartado (a) de esta disposición, este nuevo sistema consiste en la obligación destinada a los administradores de las sociedades cotizadas de desarrollar controles internos de auditoría, sobre los que ha de redactarse un informe acompañando las cuentas anuales que deben publicarse en virtud de la Securities Exchange Act. En este informe, ha de dejarse constancia de la responsabilidad de los directivos por establecer y mantener una adecuada estructura de control interno sobre los informes financieros, así como una evaluación de la efectividad de los mismos que garantice que información fraudulenta no podrá ser filtrada en las cuentas anuales. En un segundo estadio, conforme con el siguiente apartado de la sección (b), estos controles han de ser a su vez analizados por auditores independientes a la sociedad, que deben certificar en qué medida los directivos han cumplido con su obligación de desarrollo y evaluación. Para dicha labor, los auditores han de guiarse mediante los «auditing standars» elaborados por el PCAOB. Conforme con las reglas sobre independencia de auditores dispuestas por la SEC, los administradores no pueden delegar sus funciones de evaluación en los auditores35. Como puede observarse, la novedad fundamental de la § 404 SOX se encuentra, no en el establecimiento de mecanismos internos de control sobre las cuentas financieras, que siempre constituyeron una obligación para las sociedades cotizadas, sino en el hecho de que dichos controles han de ser refrendados a partir de ahora con una evaluación anual por parte de los directivos y una certificación 35 Comunicación de la SEC No. 33-8138, de 28 de enero de 2003, [68 FR 6006] 14 adjunta sobre la validez de dicha evaluación firmada por un auditor independiente. Es conveniente advertir que, desde su elaboración, la § 404 SOX encontró un importante complemento en la § 302 SOX, dentro del Título III relativo a la responsabilidad corporativa. Su función fue hacer expreso y reforzar la responsabilidad de los directivos principales de las sociedades en la elaboración de los informes contables, dado que, en ocasiones, éstos habían logrado evadir su responsabilidad –fundamentalmente penal36- argumentando la imposibilidad fáctica de supervisar a fondo toda la información contable de sus respectivas empresas. En virtud de esta sección, las sociedades cotizadas han de incorporar a sus informes periódicos financieros una certificación firmada por el consejero ejecutivo principal («chief executive officer», CEO) y el principal directivo financiero («chief financial officer», CFO) dando fe de haber supervisado la elaboración de tales informes y de que, sobre su conocimiento, los mismos no están basados en informaciones falaces u omiten datos materiales necesarios para su elaboración. Igualmente, la § 302 dispone que los mismos firmantes han de certificar ser responsables del establecimiento y mantenimiento de los controles internos de auditoría, cuya efectividad debe ser evaluada con 90 días de antelación a la publicación de los informes. Por último, los directivos están obligados a revelar todo conocimiento sobre la existencia de deficiencias en el sistema de control que pudiera afectar adversamente los datos de auditoría, así como todo fraude que involucre a directivos o empleados participantes en tales controles. (b) El primer desarrollo de la § 404 SOX, tal y como ya hemos destacado, vino establecido por el Management's Report de 2003 y el Auditing Standard No. 2. La primera disposición adoptó una serie de reglas y directrices aplicables a la labor de evaluación de los administradores. La segunda, por su parte, estableció el estándar que habían de utilizar los auditores a la hora de certificar la evaluación de los directivos. 36 V. también § 906 SOX, relativa a la responsabilidad corporativa en los informes contables, dentro del Título IX sobre las sanciones penales reforzadas por delitos de guante blanco. 15 La importancia de este marco de desarrollo, fundamentalmente del primer documento, radica en la concreción que realizó de las obligaciones que la Ley había dispuesto de manera genérica. En la actualidad, tras la aprobación del Management's Report de 2003, que modificó las disposiciones respectivas de la Securities Exchange Act y de la Investment Company Act, todo informe relativo a los controles internos sobre información financiera ha de incluir los siguientes documentos: (i) una declaración que haga expresa la responsabilidad de los directivos en el establecimiento y el mantenimiento de la idoneidad de los controles internos sobre información financiera; (ii) una declaración identificando el marco utilizado por los directivos para evaluar la efectividad de dichos controles; (iii) una evaluación firmada por los propios directivos sobre los controles internos relativa al último año fiscal en la que se identifique la existencia o no de «debilidades materiales» en el proceso de control; (iv) finalmente, una declaración por parte de una firma de auditoría incluida en el informe anual donde se certifique que los administradores han cumplido con su obligación de evaluación de la efectividad de los controles internos. A todo ello ha de añadirse la obligación de revelar dentro de cada cuatrimestre del ejercicio societario cualquier modificación que se produzca en el control interno y que lo afectara o pudiera afectarlo razonablemente de manera sustancial37. (c) Para la implementación de las obligaciones anteriores, la SEC tuvo que establecer asimismo la definición de dos conceptos clave: por un lado, el relativo a «controles internos sobre información financiera» (internal controls over financial reporting); por otro, el de «debilidad material o sustantiva» (material weakness). Uno y otro son cardinales para la determinación concreta de las obligaciones de los administradores y auditores y la demarcación de los extremos de su responsabilidad. 37 Este último requisito fue introducido por la SEC sin que el mismo constara en el texto original de la Sarbanes-Oxley Act. V. Management's Report de 2003, supra, p. 14. 16 Respecto del primero, hemos de señalar que no se trata de un concepto nuevo38. La obligación de establecer y mantener controles internos sobre los informes contables fue por primera vez introducida por la denominada Foreign Corrupt Practices Act de 1977 y posteriormente redefinida por el Committee of Sponsoring Organisations of the Treadway Commission (COSO)39. Sin embargo, las definiciones propuestas en aquellas ocasiones no fueron consideradas suficientemente precisas por la SEC y, por ello, este organismo estimó oportuno articular una nueva definición. A efectos de aplicación de la § 404 SOX, el control interno sobre información financiera se define actualmente como40: "A process designed by, or under the supervision of, the issuer's principal executive and principal financial officers, or persons performing similar functions, and effected by the registrant's board of directors, management and other personnel, to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles and includes those policies and procedures that: (1) Pertain to the maintenance of records that in reasonable detail accurately and fairly reflect the transactions and dispositions of the assets of the registrant; (2) Provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles, and that receipts and expenditures of the registrant are being made only in accordance with authorizations of management and directors of the registrant; and (3) Provide reasonable assurance regarding prevention or timely detection of unauthorized acquisition, use or disposition of the registrant's assets that could have a material effect on the financial statements”. 38 V. Root, S. J., supra, n. 10 39 Title I of Pub. Law No. 95-213 40 Esta definición de «internal controls over financial reporting» es igualmente consistente con la reflejada en la Exchange Act 13(a)-15(f) u 15d-15(f) [17 CFR 240, 13a-15(f) y 11d- 15(b)] 17 Es importante señalar que, con el objetivo de mantener una cierta correlación entre los términos utilizados para desarrollar la obligación de evaluación de los directivos, por un lado, y la obligación de certificación de los auditores externos, por otro, la definición propuesta empleó un lenguaje acorde con la §103 de la Sarbanes-Oxley Act. Esta sección se encuentra referida a la labor de certificación de los auditores externos de las sociedades cotizadas, y es precisamente la que el PCAOB está encargado de trasponer mediante sus estándares de auditoría (auditing standards). Así el primer (1) y segundo (2) apartado de la definición hacen referencia a la necesidad de mantener registros de toda transacción que de manera adecuada y veraz reflejen la actividad de las sociedades cotizadas. El tercer apartado (3), por su parte, incluye una referencia explícita a la obligación de registrar y dejar patente toda disposición o uso de los bienes de las sociedades, para impedir de esta manera adquisiciones no autorizadas de los mismos. Ésta es quizá la novedad más destacada respecto de las definiciones pasadas de controles internos. (d) El segundo concepto que había de ser definido en esta ocasión era el relativo a «debilidad material o sustantiva». La importancia de este término es capital, puesto que constituye la base para determinar cuándo los controles internos son efectivos y, subsidiariamente, cuándo los administradores han cumplido con las obligaciones que les corresponden en virtud de la § 404 SOX. La regla determina que no podrá certificarse la efectividad de los controles internos si existen una o más debilidades en este sentido. En la versión final del Management Report de 2003, la SEC dispuso que «debilidad material» había de ser definida como: “Aggregation of significant deficiencies in the design or operation of internal control that could adversely affect a company's ability to record, process, summaries and report financial data consistent with the assertions of management in the company's financial statements”41. Conforme con la definición anterior, los administradores, a la hora de realizar su evaluación, deben verificar que no existan deficiencias 41 V. Management Report 2003, supra, p. 13 18 significativas en el proceso de control que pudieran afectar los datos incorporados a sus informes financieros. Ahora bien, ¿qué método de evaluación y estándar ha de aplicarse para evaluar que los controles internos son eficaces? La SEC siempre se ha resistido a ofrecer un estándar cuantitativo a este respecto. Siempre ha considerado que había de tratarse de una labor variable según los distintos tipos de sociedad cotizada. Por ello, el desarrollo de la evaluación sobre la efectividad de los controles internos se ciñe por el momento, conforme con el Management’s Report de 2003, a un estándar de «reasonableness». Ello quiere decir que todo administrador estará libre de responsabilidad siempre y cuando pueda aportar en el evento pruebas que apoyen razonablemente su evaluación final42. Como tendremos ocasión de tratar posteriormente, aquí radica una de las cuestiones más controvertidas del marco de desarrollo actualmente en vigor, dado que no ofrece ningún parámetro concreto de orientación a los administradores. La crítica a este respecto señala que tal situación invita a estos últimos a desarrollar su actividad de control y evaluación de un modo excesivo e innecesario, con el consiguiente coste desperdiciado para la sociedad. (f) Por último, hemos de destacar la obligación que se impuso de declarar el marco concreto de evaluación utilizado por los directivos respecto de los controles internos. Este marco tiene la función de estructurar la labor de evaluación, estableciendo definiciones y objetivos, pero no sustituye la valoración de los administradores, que ha de hacerse conforme con los parámetros anteriormente descritos. Se parte igualmente de que el mismo puede variar de compañía a compañía teniendo en cuenta las características de cada una de ellas. Lo único que se exige es que sea apto para llevar a cabo tal evaluación y que reduzca al máximo la subjetividad del análisis, permitiendo evaluaciones cualitativas y cuantitativas razonablemente consistentes de los controles internos y siendo lo suficientemente exhaustivo como para abarcar todos los factores que afectan los controles internos. Sin hacerlo imperativo, la SEC recomendó desde el principio el denominado 42 V. Management Report 2003, supra, p. 14 19 «Integrated Framework» creado por COSO, anteriormente citado. Se trata de un marco de auditoría resultado de un estudio extensivo de control interno que establece criterios sobre cómo evaluar y comprobar los sistemas de control verificando la efectividad en áreas puntuales preestablecidas. Este marco ha sido adaptado recientemente a las necesidades de las sociedades de menor tamaño tras la adopción de las Sarbanes-Oxley Act43. LAS NUEVAS LÍNEAS DIRECTRICES DE 2007. LAS SOCIEDADES DE MENOR TAMAÑO EN PARTICULAR (a) Desde que entró en vigor el marco regulador anterior, no han cesado las críticas referidas a lo costoso que resulta cumplir con las obligaciones de la § 404 SOX. Fundamentalmente, se ha denunciado que las directrices de la SEC, tal y como son aplicadas en la práctica, así como el estándar de auditoría publicado por el PCAOB, resultan artificiales y desproporcionados para las sociedades cotizadas menores si atendemos a los beneficios potenciales que cabe esperar44. No puede concebirse que un mismo tipo de obligaciones de verificación y evaluación se aplique tanto a grandes como a pequeñas empresas, teniendo en cuenta que unas y otras operan de un modo radicalmente distinto, y que las primeras cuentan con recursos que las segundas no pueden emplear para reforzar los controles internos sin perjuicio de afectar otras áreas de inversión y desarrollo45. Por otro lado, también se ha destacado, como antes indicábamos, que la falta de 43 V. Internal Control over Financial Reporting –Guidance for Smaller Public Companies, de 11 de Julio de 2006. Los comentarios del PCAOB sobre la primera propuesta de este documento realizada por COSO está disponible en www.pcaobus.org/about-the- PCAOB/Small_Business/index.aspx 44 United Sates Government Accountability Office Report to the Committee on Small Business and Entreprenuership, US Senate: Sarbanes-Oxley Act: Consideration of Key Principles Hended in Addressing Implementation for Smaller Public Companies (Abril 2006), disponible en http://www.gao.gov/new.items/d06361.pdf 45 Final Report of the Advisory Committee on Smaller Public Companies to the United States Securities and Exchange Commission de 23 de abril de 2006, disponible en http://www.sec.gov/info/smallbus/acspc/acspc-finalreport.pdf, que señala que las empresas pequeñas tienen un número limitado de personal, que no permite distribuir las distintas funciones que prescribe la Ley Sarbanes Oxley para distintos puestos dentro de la sociedad. Además, los directivos tienen una forma más sencilla de manipular dichos controles dada su comunicación más directa dentro de la sociedad. Finalmente, las dinámicas de las sociedades pequeñas no permiten mantener una tan exhaustiva documentación de los procesos internos, tal y como se requiere para evitar responsabilidades. 20 concreción de los estándares propuestos por la SEC para guiar la labor de los administradores está provocando que éstos dediquen tiempo innecesario en la consecución de su tarea con la única intención de evitar posibles responsabilidades, y que, en ocasiones, se estén dejando guiar por lo dispuesto en el Auditing Standard Nº 2, dirigido exclusivamente a los auditores46. La anterior situación de incertidumbre sobre cómo aplicar el marco de desarrollo fue atendida por las autoridades federales desde un principio, y varias fueron las alternativas planteadas para atenuar las consecuencias que se estaban produciendo47. La primera y más inmediata fue la de establecer exenciones provisionales para las sociedades de menor tamaño hasta que la SEC y el PCAOB desarrollaran unas nuevas líneas directrices que adaptaran el modelo del primer marco normativo a tales sociedades. Así, si bien las sociedades mayores («acellerated filers» y «large accelerated filers») hubieron de comenzar a cumplir con las obligaciones ya descritas y registrar los informes respectivos antes del 15 de junio de 2004, las sociedades de menor tamaño («non-accelerated filers») no estuvieron obligadas a hacerlo hasta el 15 de abril de 2005. Sucesivas ampliaciones de plazo han permitido que las sociedades de menor tamaño no vayan a tener que cumplir con su obligación de evaluación hasta el 15 de diciembre de 2007 y con la obligación respectiva de certificación hasta el 15 de diciembre de 200848. En la actualidad, pudiéndose vislumbrar la llegada de este término, la importancia de estas exenciones provisionales se encuentra en que constituyen la base de una de las peticiones más reiteradas de las sociedades cotizadas de menor tamaño por cuanto solicitan que sean ampliados indefinidamente49. 46 El mayor esfuerzo de crítica y presión ha sido llevado a cabo por la denominada Office of Advocacy of Small Businesses, creada por la Small Business Regulatory Enforcement Fairness Act, Pub. L. 104-121, title II, 110 Stat- 857 (1996) 47 V. Management’s Report 2003, supra, p. 42. 48 V. Comunicación de la SEC No. 33-8392, de 24 de febrero de 2004 [69 FR 9722] y la Comunicación de la SEC No. 33-8760, de 15 de diciembre de 2006. 49 Esta contención no ha sido aceptada, no obstante, por la SEC hasta el momento, porque en su opinión los mayores casos de fraude se producen precisamente en este tipo de sociedades V. Management’s Report 2003, supra, p. 44. 21 (b) Durante todo este tiempo de inaplicación provisional de las normas de 2003, tanto la SEC como el PCAOB se han encargado de desarrollar unas nuevas líneas de orientación y un nuevo estándar de auditoría para facilitar la tarea de directivos y auditores50. El nuevo marco director se encuentra compuesto por el Management’s Report de 2007 y el Auditing Standard Nº 5. Si bien el primer documento todavía no ha sido aprobado por la SEC y todavía queda pendiente la ratificación del segundo, está previsto que ambos sean publicados antes del mes de noviembre de 2007. El objetivo fundamental de este marco es proporcionar un serie de principios que ayuden a las sociedades cotizadas a reforzar sus controles internos y a reducir al mismo tiempo costes redundantes. De manera particular, se ha pretendido: (i) alinear las definiciones, los términos y la prescripción de las obligaciones empleados por la SEC y el PCAOB en sus líneas directrices y el estándar de auditoría; (ii) estudiar y analizar las particularidades de las sociedades de menor tamaño para modular las obligaciones de la § 404 SOX e intentar adaptarlas a sus modos de operación; (iii) delimitar la labor de administradores y auditores con el objetivo de evitar repeticiones en sus tareas; (iv) compatibilizar las labores de unos y otros de manera que el trabajo de los primeros pueda ser utilizado por los segundos, sin que ello signifique una delegación de funciones ni implique un riesgo de ineficacia.51. No obstante lo anterior, el nuevo marco director no establece reglas fijas ni ofrece modelos concretos de aplicación automática a los controles internos. Al igual que en 2003, las directrices actuales parten de la consideración de que es imposible establecer una única metodología de evaluación y análisis para todas las sociedades cotizadas. Los administradores deben, por ello, adecuar sus obligaciones a las propias características y dinámicas internas de 50 Esta labor legislativa ha estado precedida por mesas de debate celebradas por la propia SEC y en la que participaron representantes corporativos de compañías norteamericanas y extranjeras, auditores, inversores y el PCAOB. V. www.sec.gov/news/press/4-511.shtml. V. también el Commission Statement on Implementation of Internal Control Reporting Requirements, Press Release No. 2005-74, de 16 de mayo de 2005, disponible en www.sec.gov/sportlight/soxcom/.htm. 51 V. Management’s Report 2003, supra, n. 44 y Auditing Standard Nº5, supra, p. 4. 22 la sociedad cotizada sobre la base de los principios propuestos. La SEC y el PCAOB se han preocupado de esta manera de destacar el carácter orientador y flexible de las nuevas directrices, así como la necesidad de que impere el principio de diseño individual («tailoring and scaliability principle») frente a la idea de modelo común y uniforme inicial de la Sarbanes-Oxley Act («one- size-fits-all model»). A ello también contribuye el carácter abierto del marco, que permite a los administradores apartarse de él siempre y cuando se respete el estándar final de efectividad, esto es, que se reduzca al máximo razonable el riesgo de que un error material en las cuentas de las sociedades no pueda ser detectado o evitado en tiempo oportuno. (c) Respecto de las directrices contenidas en el Management Report de 2007, además de lo ya comentado, ha de destacarse que el principal empeño se ha dirigido a hacer ver a los administradores de las sociedades cotizadas que han de centrar su labor en los estadios del procedimiento de elaboración de informes financieros que impliquen un mayor riesgo de error, y no analizar otras fases que pudieran tener menor importancia. Se sigue a estos efectos el denominado «top-down risk-based principle». Este mismo principio se extiende en el Auditing Standard Nº 5 a los auditores. El objetivo fundamental es reducir costes de evaluación dirigiendo la tarea de éstos a los aspectos más críticos de la elaboración de los informes («materiality-focused design»), allí dónde puede preverse una mayor probabilidad de deficiencias o dónde las consecuencias de tales deficiencias pudieran ser más perjudiciales. Por otro lado, estas líneas directrices incluyen una nueva definición de «debilidad material». Lo cierto es que no aporta ninguna novedad llamativa respecto la definición de 2003. Únicamente incorpora el componente de riesgo al que deben atender los administradores para determinar la existencia de dicha debilidad en el proceso de control. La redefinición propuesta en esta ocasión es la siguiente: «deficiency, or combination of deficiencies, in internal control over financial reporting, such that there is a reasonable possibility that a material misstatement of the 23 company's annual or interim financial statements will not be prevented or detected on a timely basis»52. De lo anterior se desprende que, como en 2003, los administradores deben evaluar que no exista ninguna «posibilidad razonable» o «probable»53 de que se produzca una deficiencia en el sistema de control interno. Se ha preferido hacer incluir tal mención en la propia definición para evitar confusiones entre los administradores de las sociedades. Para evitar esfuerzos desmedidos por parte de los administradores, la SEC ha enfatizado también que nunca el estándar de «reasonableness» ha de interpretarse como una exigencia de exactitud absoluta54. Solamente ha de procurarse realizar la evaluación con un nivel de detalle y rigor que pueda satisfacer a un directivo prudente en el desarrollo de sus labores. En cualquier caso, la SEC ha pretendido dejar patente –y para ello ha modificado determinadas disposiciones de la Code of Federal Regulation55- que el seguimiento de los parámetros orientadores del Management's Report de 2007 es una forma de cumplir con dicho estándar y con las obligaciones derivadas de la § 404 SOX. A su juicio, ello ha de suponer una mayor tranquilidad y garantía para los administradores. (e) Por lo que respecta al Auditing Standard Nº 5, las modificaciones también se consideran sustanciales. En primer lugar, porque se han eliminado gran parte de los criterios del Auditing Standard No. 2, que era la medida que, según los representantes de las sociedades cotizadas de menor tamaño, generaba un mayor coste. Con esta nueva modificación, se ha hecho hincapié en que los auditores no deben cuestionar en ningún momento los métodos empleados por los administradores para desarrollar sus informes internos, sino solamente su efectividad final. En consecuencia, estos últimos gozan de perfecta autonomía para diseñar mecanismos de coste menor y los auditores no han de intervenir en rediseñar otros más efectivos como había estado 52 Cfr. con la definición de «significant deficiency» del Auditing Standard No.5, infra. 53 V. Management’s Report 2007, supra, p. 13 54 Cfr. Comunicación de la SEC No. 34-17500, de 29 de enero de 1981[46 FR 11544] 55 17 CFR Part 210, 17 CFR Part 240 y 17 CFR Part 241 24 ocurriendo. Su labor ha de ceñirse exclusivamente a la certificación de la evaluación de los administradores. El estándar actual requiere a los auditores considerar y comunicar al comité interno de auditorías de la sociedad cotizada cualquier «deficiencia significativa» (significant deficiency) del proceso de control interno para que este último adopte las medidas oportunas para repararla. Su certificación final dependerá de la efectividad de las medidas adoptadas. A este respecto, «deficiencia significativa» ha sido definida por el PCAOB como: «a deficiency, or a combination of deficiencies, in internal control over financial reporting that is less severe than a material weakness yet important enough to merit attention by those responsible for oversight of the company's financial reporting»56. Por último, ha de destacarse la eliminación de la prohibición inicial dirigida a los auditores de utilizar datos recabadas por los empleados de la sociedad cotizada a la hora de certificar la evaluación de los directivos, la denominada «Principal Evidence Rule provision»57. Con el nuevo estándar, los auditores, en el ejercicio de su función, podrán hacer uso de las informaciones obtenidas o elaboradas por terceros o el personal de la sociedad, exceptuando aquí a los auditores internos, y siempre atendiendo al riesgo de subjetividad, error o fraude de dichos datos («The use of work of others rule»). El objetivo es evitar la repetición de tareas y reducir los pasos para la certificación de los controles internos58. CRÍTICAS AL NUEVO MARCO REGULADOR (a) Si bien siempre ha existido un consenso generalizado respecto de la necesidad de adoptar una Ley que censurara determinadas conductas que hasta el momento se habían estado produciendo en los mercados financieros 56 Auditing Standard No. 5, supra, p. 11 57 Auditing Standard No. 5, supra, p. 13 58 Auditing Standard No. 5, supra, p. 14 25 norteamericanos, la gran mayoría de académicos y expertos del sector han considerado que la Sarbanes Oxley Act ha sido una reacción desmedida. Ello fundamentalmente porque, como se ha argumentado, el régimen de gobierno corporativo en Estados Unidos no estaba tan cuestionado como se pensó, y la desconfianza radical que se creía de los inversores, no era tal59. A pesar de los casos de fraude, que no pueden negarse fueron de gran dimensión, los mercados financieros norteamericanos tenían una actividad normal, incluso después de tales acontecimientos, o cuanto menos, solamente retrocedían en la misma medida que los mercados europeos y asiáticos, en todo caso por razones ajenas a la falta de confianza de los inversores. Ello hace pensar que a las causas puramente estructurales que motivaron la adopción de la Ley hayan de añadirse otras de consideración política60. Sin embargo, cuando se plantea la pregunta de por qué se accedió entonces a elaborar un norma cuyo cumplimiento se sabía costoso para las empresas desde un principio, no ha de olvidarse que la Sarbanes-Oxley Act fue una norma de reacción rápida que pretendía ofrecer una imagen de firmeza frente al fraude y la voluntad sólida de restaurar un mercado transparente y confiable para los inversores. Este carácter de urgencia impidió, sin embargo, que la medida fuese sometida a un análisis en el que se ponderaran tanto los beneficios que la disposición podría generar en el corto y en el largo plazo, como los costes que podrían derivarse de su aplicación, en este caso, fundamentalmente en el corto y medio plazo. La Ley fue adoptada porque se pensaba establecía principios rígidos que nadie podía poner en duda y que tampoco podían ser cuestionados desde una perspectiva moral. Se consideró 59 V. Holmström, B. R. & Kaplan, S. N., «The State of U.S. Corporate Governance: What's Right and What's Wrong?» (September 2003). European Corporate Governance Institute – MIT, Finance Working Paper No. 23/2003, p. 30. Cfr. Coffee, J. C., «A Theory of Corporate Scandals: Why the U.S. and Europe Differ», (March 2005). Columbia Law and Economics Working Paper No. 274, disponible el 10.2139/ssrn.694581. 60 A este respecto, puede destacarse la opinión de la Profª. Romano, que señala que la mayor parte de los funcionarios estaban pendientes de reelecciones y reaccionaron de manera oportunística. La consecuencia derivada de la proyección mediática de estos acontecimientos también sirvió de catalizador para introducir disposiciones que ya estaban proyectadas, pero en su medida más rigurosa Todo lo anterior provocó que se abriera lo que ella denomina una «policy window» de acción, cuyo resultado fue desmedido. V. Romano, R., supra, p. 1525-1528. 26 igualmente que, si bien con costes tangibles inmediatos elevados, el establecimiento de un régimen transparente, seguro y confiable en materia de gobierno corporativo y auditoría procuraría la eliminación del riesgo de pérdidas por fraude y dinamizaría con ello las inversiones nacionales y extranjeras. Finalmente, siempre se tuvo presente que la Sarbanes-Oxley Act era una disposición que había de ser implementada y desarrollada posteriormente y en esta medida podría tratarse de un texto flexible que podía ser modulado en el devenir de los años. (b) Las consideraciones anteriores son relevantes por cuanto delimitan los extremos del debate actual respecto de las virtudes y defectos del nuevo marco director de 2007. Aun cuando este último no se encuentra todavía en vigor, la SEC y el PCAOB se han apresurado en presentarlo como un paso a favor de la flexibilización del rígido régimen inicial de la Sarbanes-Oxley Act y de la adaptación de éste a las sociedades cotizadas de menor tamaño61. Estos organismos reconocen que determinados costes seguirán estando presentes para las sociedades cotizadas, sobre todo para las de menor tamaño, pero consideran que éstos son esenciales para mantener un mercado dinámico de valores de plena seguridad y confianza para los inversores («magic field»). Como cabía esperar, el punto de vista optimista de los representantes de la SEC y el PCAOB ha sido matizado por expertos académicos y profesionales del sector financiero62. En términos elementales, estas críticas basan sus argumentos en la ausencia de un análisis empírico que evalúe rigurosamente si los costes que deben soportar las sociedades cotizadas de menor tamaño 61 V. sendas comparecencias de Cox, C. (Chairman, U.S. Securities Exchange Commission) y Olson, M. W. (Chairman, Public Company Accounting Oversight Board), en «Sarbanes- Oxley 404: Will the SEC's and PCAOB's New Standards Lower Compliance Costs for Small Companies?», U.S. House of Representatives - Small Business Committee, 5 de junio de 2007 62 V. la comparecencia de Scott, H. S, supra, y las intervenciones respectivas del Hon. Sullivan, T. (Chief Counsel for Advocacy, U.S Small Business Administration) y del Independent Community Bankers of America (ICBA), en «Sarbanes-Oxley and Small Business: Addressing Proposed Regulatory Changes and their Impacts on Capital Markets», U.S. Senate Committee on Small Business & Entrepreneurship, de 18 de abril de 2007. 27 serán más reducidos con la implantación de las nuevas líneas directrices63. Las nuevas líneas directrices han sido objeto de estudio menores, pero lo cierto es que todavía no pueden estimarse si rebajarán los costes del cumplimiento con la § 404 SOX. Probablemente, éstos sean más reducidos, pero no lo suficiente, porque la solución propuesta se basa en la aplicación de estándares que los administradores todavía deben interpretar, y no normas que conformen un nuevo sistema de control. Además, el nuevo marco regulador sigue la pauta de reducir los costes directos que derivan del cumplimiento con la § 404 SOX, pero no tiene en cuenta otro tipo de costes como los que derivan de dedicar parte de los empleados a tareas ajenas a su labor cotidiana, así como los referidos al tiempo empleado en verificar el proceso de control interno y la diversificación que producirá dedicar inversiones en I+D a estas tareas. Sobre esta base, se ha pedido a la SEC que se comprometa a establecer un objetivo cuantitativo en la elaboración de normas y directrices que garantice la reducción de los costes en al menos un 20%64. La falta de un análisis coste-beneficio fue ya el problema que presentó el primer marco de implementación de 2003, e incluso la Sarbanes-Oxley Act cuando fue adoptada. Recordemos que se hizo una estimación rápida inicial del coste que las nuevas obligaciones habían de suponer, y sin embargo, esa cifra se multiplicó sin control según estudios posteriores. Ante esta ausencia de análisis coste-beneficio, numerosos académicos norteamericanos han recordado que, según la National Securities Market Improvements Act de 1996, toda reglamentación de la SEC debe tener en cuenta, además de la protección a los inversores, cómo afectará dicha medida a la promoción de eficiencia, la competitividad de los mercados y la atracción de capital65. De hecho, recuerdan cómo los Tribunales han llegado a anular reglamentaciones elaboradas por la SEC porque no contaba con un análisis coste-beneficios 63 V. las cartas de Chairman C. Cox y Chairman M. Olson, presidentes de la SEC y el PCAOB respectivamente, dirigidas al Congreso norteamericano, reconociendo que no existen datos que aseguren la reducción de costes para las sociedades cotizadas de menor tamaño, disponibles en http://www.house.gov/smbiz/PressReleases/2007/pr-06-26-07- sec-sox.htm. 64 Independent Community Bankers of America (ICBA), supra, p. 4 65 Scott, H., supra, p. 7 28 propio66. La Sarbanes-Oxley Act hace explícito incluso que la SEC debía promulgar sus reglas acorde con las disposiciones de la Ley señalada anteriormente. Por otro lado, se ha denunciado la falta de definición concreta de fórmulas tales como «debilidad material». Ellas son fundamentales para determinar cuál debe ser el grado de evaluación que deben emplear los directivos en cumplimiento de sus obligaciones y dónde se encuentran los límites a su responsabilidad. Como afirma el Prof. SCOTT, en representación del Comittee on Captial Markets Regulation (CCMR), el principal problema deriva de no haber establecido un estándar preciso que defina el concepto de «materialidad» conforme a las nuevas reglas. Este concepto es lo que guía esencialmente la acción de los administradores, y por el momento, éstos no saben cómo garantizar su cumplimiento al tratarse de un estándar cualitativo de poca precisión. Ante esta situación, el CCMR propone, entre otras medidas, que el término de «materialidad» sea definido de manera cuantitativa, sobre la base de un test del 5% neto de los beneficios67, lo cual sería igualmente consistente con los principios que subyacen en el nuevo marco. Finalmente, se ha estimado que, el hecho de que ni la SEC ni el PCAOB, hayan dedicado parte de este nuevo marco a la responsabilidad de auditores y directivos en el desarrollo de sus obligaciones, va a impedir que efectivamente éstos se encuentren más confiados para diseñar a su propia medida sus estructuras de evaluación. La pregunta que permanece es hasta qué punto serán responsables de un error no detectado. Por esta razón, solicitan a la SEC que establezca un «safe harbour» claro y bien definido, como se ha hecho en otras ocasiones y como puede encontrarse en otras 66 Chamber of Commerce of the United Status v. SEC, 412 F. 3d 133 (D.C. Cir. 2005). El Tribunal consideró que: "uncertainty may limit what the Commission can do, but it does not excuse the Commission from its statutory obligation to do what it can to apprise itself –and hence the public and the Congress- of the economic consequence of a proposed regulation before it decides whether to adopt the measure" (para. 144). 67 Scott, H., supra, p. 5 29 leyes federales, que elimine la responsabilidad de administradores y auditores en caso de error68. Ante las deficiencias señaladas del nuevo marco de desarrollo, se ha pedido insistentemente que el Congreso modifique la Ley Sarbanes-Oxley para que de hecho ninguna sociedad cotizada de menor tamaño tenga que cumplir con las obligaciones de la § 404 SOX. Subsidiariamente, pero con efectos similares, se ha solicitado a la SEC la prorrogación indefinida del cumplimiento con la § 404 SOX para las sociedades de menor tamaño. CONCLUSIÓN No existe duda para los expertos en gobierno corporativo y auditoría financiera respecto de la necesidad de adoptar una disposición como la Sarbanes-Oxley Act, teniendo en cuenta la grave crisis de confianza que parecían experimentar los mercados norteamericanos tras los escándalos de principios de década. Lo que se denuncia es, sencillamente, que los costes que se derivan de su aplicación para las sociedades cotizadas son excesivamente altos, y en particular para aquéllas de menor tamaño. Sin embargo, no hay que perder de vista dos aspectos que justifican su adopción y que adquieren relevancia ahora que se cumplen cinco años desde su entrada en vigor. En primer lugar, con sus carencias y altos costes, la Ley venía a cumplir una función de reacción y buena publicidad para los inversores, mostrando que se había hecho frente a un problema que ponía en peligro uno de los sustentos más fundamentales de la economía norteamericana. Introdujo por ello cambios en la legislación que en algunos casos ya se habían previsto en pro de un mejor gobierno corporativo. En segundo lugar, la Ley Sarbanes-Oxley fue concebida desde un principio como una norma básica que posteriormente habría de ser desarrollada por las autoridades reguladoras, ocasión que habría de aprovecharse para intentar reducir al máximo los costes de su aplicación («compliance costs»). 68 V. a modo de ilustración la Comunicación No. 2003-66 de la SEC, referida al «safe harbour» relativo a compañías de inversión I+D, de 27 de mayor de 2003. 30 Este anterior ha sido el objetivo primario tanto de la SEC como del PCAOB desde que elaboraron el primer marco de desarrollo de la Ley en 2003. Actualmente, estas disposiciones van a ser completadas –y sustituidas en determinados aspectos- mediante los denominados Management's Report de 2007 y el Auditing Standard Nº5. Ambos documentos establecen un marco de principios dirigidos a administradores y auditores externos de las sociedades cotizadas para orientar sus labores de evaluación y certificación de los controles internos sobre información financiera. Aun cuando redactado en términos neutrales, se presume que las directrices presentes han de ser empleadas mayormente por las sociedades cotizadas de menor tamaño. Los nuevos principios pretenden dirigir estas tareas a los estadios del control interno que impliquen un mayor riesgo de error o fraude. Su carácter abierto y flexible pretende igualmente que sean los administradores quienes diseñen sus propios mecanismos de control, adaptándolos a las circunstancias particulares de cada sociedad. De esta manera, han de eliminarse costes innecesarios o esfuerzos inútiles en las tareas de verificación de la información financiera. A pesar de todo lo anterior, la falta de concreción de conceptos claves como «debilidad material» en el control interno y la no adopción de un estándar cuantitativo para guiar el grado de evaluación, hace poco previsible la reducción considerable de costes de control, dado que los administradores, y en parte también los auditores, no saben cómo aplicar las obligaciones que les corresponden en virtud de la § 404 SOX. La SEC tampoco ha podido aportar ningún estudio que demuestre la previsión efectiva de reducción de costes. Ante esta situación la petición más reclamada por parte de los representantes del sector es la exención absoluta de las sociedades cotizadas de menor tamaño de cumplir con las disposiciones de la Sarbanes-Oxley Act, y en particular, con la § 404. 31