<aside> <img src="/icons/library_gray.svg" alt="/icons/library_gray.svg" width="40px" />
</aside>
La Ley Sarbanes-Oxley, conocida como SOX (Sarbanes-Oxley Act – Ley Sarbanes-Oxley), es una normativa estadounidense promulgada en 2002 con el objetivo de fortalecer la transparencia, la confiabilidad de la información financiera y los controles internos de las organizaciones que cotizan en bolsa en los Estados Unidos. Si bien su origen está vinculado a escándalos financieros y contables, su impacto es especialmente significativo en el ámbito de los Sistemas y Tecnologías de la Información (TI), ya que gran parte de la información financiera se genera, procesa, almacena y reporta a través de sistemas informáticos.
Desde la perspectiva de la administración, SOX transforma a los sistemas de información en componentes críticos del control interno, imponiendo responsabilidades claras sobre la forma en que se gestionan los datos, los accesos, los cambios en los sistemas y la trazabilidad de la información financiera. Comprender SOX desde TI implica reconocer que la tecnología no solo soporta el negocio, sino que también puede convertirse en una fuente de riesgo regulatorio si no se gestiona adecuadamente.
La Sarbanes-Oxley Act (SOX) establece un marco legal destinado a:
Desde los sistemas de información, SOX parte de un supuesto central:
si los sistemas que procesan información financiera no son confiables, la información contable tampoco lo será.
Por este motivo, la ley no se limita a controles contables tradicionales, sino que exige controles sobre los procesos tecnológicos que intervienen en la generación de información financiera.
Los sistemas de información desempeñan un rol clave en el cumplimiento de SOX, ya que: