Buenas Prácticas de Control Interno en las Planillas de Cálculo.
Por Gustavo Regner (*)
Debía finalizarse el presupuesto ese mismo día, los números no terminaban de cerrar y menos aún tenían sentido. Lo único claro era que el vencimiento era inamovible.
De pronto, alguien del equipo tuvo la claridad necesaria y pudo finalmente desenmarañar esa maraña matemático-contable-estimativa, llegando a una conclusión que resultaba aceptable.
Le envió un e-mail al resto del equipo con los números finales. Con los importes definidos, un analista abrió una planilla de cálculo en blanco en su computadora, estableció las columnas y filas correspondientes (léase campos y registros respectivamente, por los más entendidos en bases de datos), las encabezó y cargó uno a uno los datos recibidos. Guardó la planilla en el disco rígido de su computador y envió una copia también por e-mail a su jefe para obtener la pertinente aprobación; finalmente éste último pudo enviar el ansiado presupuesto justo a tiempo.
Algunos meses después, hubo que explicar los desvíos que la realidad impuso sobre los pronósticos. El jefe abrió la planilla electrónica que tenía “guardada” en la casilla de “elementos enviados”; allí sólo vio un grupo de columnas y números que no pudo entender. Llamó al analista para que lo ayude, pero éste había borrado el archivo, tanto del disco de su computadora como también de su mente, tan pronto como envió aquel correo. Entonces pidieron el auxilio de quien había determinado los números, el que quedó perplejo mirando la pantalla pero sin recordar absolutamente nada de cómo había conseguido obtener esos resultados. Sus archivos le resultaban tan extraños y lejanos que le era imposible poder explicar las diferencias.
Si esta escena le resulta familiar, no se sienta mal, usted no es el único. Las políticas de manejo de las planillas de cálculo generalmente no han estado dentro de los puntos de mejora o tareas consideradas importantes por la mayoría de las compañías, sin importar su tamaño.
Sin dudas, las planillas de cálculo constituyen una de las herramientas más poderosas, útiles y, también, tan flexibles como vulnerables con que cuentan las compañías para desarrollar sus tareas diarias. Su uso está tan difundido que sería difícil hoy imaginar un mundo sin ellas.
Ante este panorama, cabe preguntarse acerca de los motivos por los cuales no se establecen políticas, se desarrollan procedimientos y se adoptan prácticas que permitan que las planillas sean más seguras, íntegras y confiables, es decir, que tengan un marco que las vuelva una fuente fidedigna de información.
Cuando decidimos abordar hace algunos años esta especialidad dentro de las buenas prácticas de control interno, pensamos que teníamos por delante un desafío más que interesante y, parafraseando el título del famoso libro de Stephen Covey “Los 7 hábitos de la gente altamente efectiva”, pensamos en incorporar “Los 7 hábitos de las planillas altamente confiables”. ¿Cuáles son estos hábitos? Veamos:
Inventario.
No es posible controlar lo que no se conoce. En este caso, la primera medida será identificar los procesos que la compañía considera susceptibles de control. Esta identificación puede basarse en cuestiones vinculadas a información de gestión sensible, reporte de resultados, estimaciones, cierres contables y todo aquel proceso en el que la información importante deba procesarse a través de Planillas de Cálculo, sea en una etapa o en su totalidad.
Identificado el proceso, se deberá realizar un relevamiento que permita identificar las Planillas de Cálculo utilizadas en el mismo. Hecho esto es importante segregar las que son “Clave” de aquellas que no cumplen otra función que la de soporte o, aún menos que eso, cuando no cumplen ninguna función específica.
Seguramente, de un universo inicial a veces inimaginable de Planillas utilizadas, se llegue a un nuevo escenario con muchos menos archivos, pero todos importantes. Este nuevo universo se detallará, identificará, creando de ser necesario, un glosario donde se detallen sus usos y finalidades. De esta forma ya tenemos nuestro “Inventario de Planillas de Cálculo”
Unificación y Racionalización
Como en el ejemplo inicial, es muy común que se generen tantas planillas como requerimientos o necesidades de cálculo existan. También es común que esas planillas no se parezcan unas a otras, aunque versen sobre el mismo tema, sean generadas por la misma persona y respondan al mismo requerimiento que les dio origen. Por esto es importante estandarizar patrones de Planillas, estableciendo modelos, unificando contenidos y minimizando la cantidad de documentos circulantes a los necesarios para el logro de los objetivos buscados.
Control de Cambios
Una vez hecho el inventario, identificadas las planillas clave, unificadas y parametrizadas, ¿podemos asegurar que los cambios y actualizaciones introducidas pueden rastrearse y reconstruirse?; es decir, ¿podemos aseverar que esos documentos electrónicos son auditables?. Si bien es conocido que, en general, las planillas de cálculo no poseen una función que permita realizar un control de cambios, la solución a esta carencia puede ser más sencilla de lo que muchos imaginan: Realizando un control de versiones, numerando las sucesivas ediciones y nunca sobrescribiendo el documento original o de base ni sus modificaciones posteriores. De esta manera, se podrá tener la integridad de la “historia” de esa planilla y cómo la información que contiene fue evolucionando con las distintas correcciones. Las planillas de cálculo no cuentan, por ahora, con logs (o rastro) de cambios, por lo que éstos deben ser generados por los usuarios. Al fin y al cabo, son los primeros interesados en mantener claros y ordenados sus papeles de trabajo.
Adicionalmente, es muy útil recurrir a un viejo truco que usaban nuestros abuelos: hacer anotaciones. Al trabajar sobre papel, es común hacer anotaciones aclaratorias al margen o junto a los datos, más allá de los números y cuentas que pudiera haber, permitiendo que, cuando posteriormente volvamos a verlos, podamos rápidamente recordar a qué nos referíamos o de dónde surgieron los valores. Entonces, ¿por qué no hacemos eso con las Planillas Electrónicas? … misterios de la naturaleza. Adicionar una columna de Comentarios que permita incluir citas, referencias, ayuda-memoria y todo aquello que haga de los papeles de trabajo fuentes de evidencias claras y confiables nunca estará de más.
Protección
Hemos logrado hasta aquí ordenar y unificar nuestras Planillas, para que la tecla “Del” (o costumbre) de borrado no sea la que finalmente eche por tierra nuestros esfuerzos, siempre es recomendable recurrir a las funciones de protección de celdas, hojas y libros, no olvidando el incluir contraseñas de lectura y/o escritura (dependiendo de la necesidad) si la información es sensible. Esto último debiera ser una obviedad, siendo que este trabajo lo estaremos realizando sobre Planillas catalogadas como “Clave”, cuyos contenidos definimos previamente como Críticos.
El lector menos avisado podría dar cuenta que lo anteriormente expuesto resulta de las prácticas más básicas pero, lamentablemente, menos difundidas. Aun recordamos el caso de un ajuste de varios miles de dólares propuesto por un auditor a una compañía que omitió incorporar protecciones de hoja y celdas, lo que permitió que alguien inserte filas de manera accidental a una hoja de cálculo y determine las existencias de bienes erróneamente. Increíblemente nadie lo notó sino hasta que fue incorporado a los estados contables.
Archivo
“Perdí la información”, “se borró”, “estaba en otra máquina”, “lo grabé en un CD, pero no sé dónde lo dejé” y tantas otras frases célebres pueden oírse al momento de intentar recuperar un archivo si el mismo no aparece. Es recomendable destinar un espacio en la red corporativa para que la información pueda ser “subida” y guardada eficazmente. Resta aclarar que la red deberá contar con las debidas medidas de back-up, re-store y disponibilidad que permitan asegurar un adecuado resguardo de la información. En este punto, el foco no será la planilla, sino el continente, esto es, la red. Será objeto de próximos artículos el desarrollo de este punto.
Acceso
Si bien el mantener la información en discos compartidos de la red corporativa nos brinda cierta seguridad, ¿sabemos realmente con quién estamos compartiendo esa información? Por definición, la red de la organización es de acceso general al personal de la misma. Por eso es recomendable que la información sensible se encuentre en sitios especiales con accesos restringidos según definiciones de responsabilidad. Recordemos: las planillas de cálculo no llegan a tener las características de los sistemas seguros pues de hecho no lo son. Se trata de herramientas. No poseen perfiles configurables para su uso, pero sí podemos lograr que quienes acceden a ellas lo hagan con los permisos adecuados, acotando de esa manera el riesgo de errores involuntarios (o no).
Comunicación y Capacitación
Finalmente, ninguno de los puntos anteriores tendrá sentido si no se establecen mecanismos que permitan difundir estas prácticas, darles fuerza a través de normas y procedimientos e inculcar en la gente la necesidad de trabajar dentro de estos parámetros. Si no se logra unificar esfuerzos, será el entusiasmo de un reducido grupo de idealistas, nada más. En igual sentido, es importante incorporar prácticas de auditoría sobre las planillas de cálculo, no sólo a través del cumplimiento de las normas que pudieran aplicarse, sino sobre las mismas planillas, validando su contenido y continente.
En conclusión, pueden ensayarse muchos argumentos respecto del por qué hasta hoy no se implementó en forma masiva un adecuado enfoque y tratamiento consecuente de las Planillas de Cálculo. No obstante, quienes aún no lo hayan hecho, se hallan frente a un desafío no menor: asegurar la confiabilidad, integridad y seguridad de un desconocido volumen de información que generan a diario.
(*) el autor es Gerente de BDO Becher y Asociados en las prácticas de Auditoría Interna y Procesos y es especialista en Cumplimiento de la Ley Sarbanes Oxley.
Por Gustavo Regner (*)
Debía finalizarse el presupuesto ese mismo día, los números no terminaban de cerrar y menos aún tenían sentido. Lo único claro era que el vencimiento era inamovible.
De pronto, alguien del equipo tuvo la claridad necesaria y pudo finalmente desenmarañar esa maraña matemático-contable-estimativa, llegando a una conclusión que resultaba aceptable.
Le envió un e-mail al resto del equipo con los números finales. Con los importes definidos, un analista abrió una planilla de cálculo en blanco en su computadora, estableció las columnas y filas correspondientes (léase campos y registros respectivamente, por los más entendidos en bases de datos), las encabezó y cargó uno a uno los datos recibidos. Guardó la planilla en el disco rígido de su computador y envió una copia también por e-mail a su jefe para obtener la pertinente aprobación; finalmente éste último pudo enviar el ansiado presupuesto justo a tiempo.
Algunos meses después, hubo que explicar los desvíos que la realidad impuso sobre los pronósticos. El jefe abrió la planilla electrónica que tenía “guardada” en la casilla de “elementos enviados”; allí sólo vio un grupo de columnas y números que no pudo entender. Llamó al analista para que lo ayude, pero éste había borrado el archivo, tanto del disco de su computadora como también de su mente, tan pronto como envió aquel correo. Entonces pidieron el auxilio de quien había determinado los números, el que quedó perplejo mirando la pantalla pero sin recordar absolutamente nada de cómo había conseguido obtener esos resultados. Sus archivos le resultaban tan extraños y lejanos que le era imposible poder explicar las diferencias.
Si esta escena le resulta familiar, no se sienta mal, usted no es el único. Las políticas de manejo de las planillas de cálculo generalmente no han estado dentro de los puntos de mejora o tareas consideradas importantes por la mayoría de las compañías, sin importar su tamaño.
Sin dudas, las planillas de cálculo constituyen una de las herramientas más poderosas, útiles y, también, tan flexibles como vulnerables con que cuentan las compañías para desarrollar sus tareas diarias. Su uso está tan difundido que sería difícil hoy imaginar un mundo sin ellas.
Ante este panorama, cabe preguntarse acerca de los motivos por los cuales no se establecen políticas, se desarrollan procedimientos y se adoptan prácticas que permitan que las planillas sean más seguras, íntegras y confiables, es decir, que tengan un marco que las vuelva una fuente fidedigna de información.
Cuando decidimos abordar hace algunos años esta especialidad dentro de las buenas prácticas de control interno, pensamos que teníamos por delante un desafío más que interesante y, parafraseando el título del famoso libro de Stephen Covey “Los 7 hábitos de la gente altamente efectiva”, pensamos en incorporar “Los 7 hábitos de las planillas altamente confiables”. ¿Cuáles son estos hábitos? Veamos:
Inventario.
No es posible controlar lo que no se conoce. En este caso, la primera medida será identificar los procesos que la compañía considera susceptibles de control. Esta identificación puede basarse en cuestiones vinculadas a información de gestión sensible, reporte de resultados, estimaciones, cierres contables y todo aquel proceso en el que la información importante deba procesarse a través de Planillas de Cálculo, sea en una etapa o en su totalidad.
Identificado el proceso, se deberá realizar un relevamiento que permita identificar las Planillas de Cálculo utilizadas en el mismo. Hecho esto es importante segregar las que son “Clave” de aquellas que no cumplen otra función que la de soporte o, aún menos que eso, cuando no cumplen ninguna función específica.
Seguramente, de un universo inicial a veces inimaginable de Planillas utilizadas, se llegue a un nuevo escenario con muchos menos archivos, pero todos importantes. Este nuevo universo se detallará, identificará, creando de ser necesario, un glosario donde se detallen sus usos y finalidades. De esta forma ya tenemos nuestro “Inventario de Planillas de Cálculo”
Unificación y Racionalización
Como en el ejemplo inicial, es muy común que se generen tantas planillas como requerimientos o necesidades de cálculo existan. También es común que esas planillas no se parezcan unas a otras, aunque versen sobre el mismo tema, sean generadas por la misma persona y respondan al mismo requerimiento que les dio origen. Por esto es importante estandarizar patrones de Planillas, estableciendo modelos, unificando contenidos y minimizando la cantidad de documentos circulantes a los necesarios para el logro de los objetivos buscados.
Control de Cambios
Una vez hecho el inventario, identificadas las planillas clave, unificadas y parametrizadas, ¿podemos asegurar que los cambios y actualizaciones introducidas pueden rastrearse y reconstruirse?; es decir, ¿podemos aseverar que esos documentos electrónicos son auditables?. Si bien es conocido que, en general, las planillas de cálculo no poseen una función que permita realizar un control de cambios, la solución a esta carencia puede ser más sencilla de lo que muchos imaginan: Realizando un control de versiones, numerando las sucesivas ediciones y nunca sobrescribiendo el documento original o de base ni sus modificaciones posteriores. De esta manera, se podrá tener la integridad de la “historia” de esa planilla y cómo la información que contiene fue evolucionando con las distintas correcciones. Las planillas de cálculo no cuentan, por ahora, con logs (o rastro) de cambios, por lo que éstos deben ser generados por los usuarios. Al fin y al cabo, son los primeros interesados en mantener claros y ordenados sus papeles de trabajo.
Adicionalmente, es muy útil recurrir a un viejo truco que usaban nuestros abuelos: hacer anotaciones. Al trabajar sobre papel, es común hacer anotaciones aclaratorias al margen o junto a los datos, más allá de los números y cuentas que pudiera haber, permitiendo que, cuando posteriormente volvamos a verlos, podamos rápidamente recordar a qué nos referíamos o de dónde surgieron los valores. Entonces, ¿por qué no hacemos eso con las Planillas Electrónicas? … misterios de la naturaleza. Adicionar una columna de Comentarios que permita incluir citas, referencias, ayuda-memoria y todo aquello que haga de los papeles de trabajo fuentes de evidencias claras y confiables nunca estará de más.
Protección
Hemos logrado hasta aquí ordenar y unificar nuestras Planillas, para que la tecla “Del” (o costumbre) de borrado no sea la que finalmente eche por tierra nuestros esfuerzos, siempre es recomendable recurrir a las funciones de protección de celdas, hojas y libros, no olvidando el incluir contraseñas de lectura y/o escritura (dependiendo de la necesidad) si la información es sensible. Esto último debiera ser una obviedad, siendo que este trabajo lo estaremos realizando sobre Planillas catalogadas como “Clave”, cuyos contenidos definimos previamente como Críticos.
El lector menos avisado podría dar cuenta que lo anteriormente expuesto resulta de las prácticas más básicas pero, lamentablemente, menos difundidas. Aun recordamos el caso de un ajuste de varios miles de dólares propuesto por un auditor a una compañía que omitió incorporar protecciones de hoja y celdas, lo que permitió que alguien inserte filas de manera accidental a una hoja de cálculo y determine las existencias de bienes erróneamente. Increíblemente nadie lo notó sino hasta que fue incorporado a los estados contables.
Archivo
“Perdí la información”, “se borró”, “estaba en otra máquina”, “lo grabé en un CD, pero no sé dónde lo dejé” y tantas otras frases célebres pueden oírse al momento de intentar recuperar un archivo si el mismo no aparece. Es recomendable destinar un espacio en la red corporativa para que la información pueda ser “subida” y guardada eficazmente. Resta aclarar que la red deberá contar con las debidas medidas de back-up, re-store y disponibilidad que permitan asegurar un adecuado resguardo de la información. En este punto, el foco no será la planilla, sino el continente, esto es, la red. Será objeto de próximos artículos el desarrollo de este punto.
Acceso
Si bien el mantener la información en discos compartidos de la red corporativa nos brinda cierta seguridad, ¿sabemos realmente con quién estamos compartiendo esa información? Por definición, la red de la organización es de acceso general al personal de la misma. Por eso es recomendable que la información sensible se encuentre en sitios especiales con accesos restringidos según definiciones de responsabilidad. Recordemos: las planillas de cálculo no llegan a tener las características de los sistemas seguros pues de hecho no lo son. Se trata de herramientas. No poseen perfiles configurables para su uso, pero sí podemos lograr que quienes acceden a ellas lo hagan con los permisos adecuados, acotando de esa manera el riesgo de errores involuntarios (o no).
Comunicación y Capacitación
Finalmente, ninguno de los puntos anteriores tendrá sentido si no se establecen mecanismos que permitan difundir estas prácticas, darles fuerza a través de normas y procedimientos e inculcar en la gente la necesidad de trabajar dentro de estos parámetros. Si no se logra unificar esfuerzos, será el entusiasmo de un reducido grupo de idealistas, nada más. En igual sentido, es importante incorporar prácticas de auditoría sobre las planillas de cálculo, no sólo a través del cumplimiento de las normas que pudieran aplicarse, sino sobre las mismas planillas, validando su contenido y continente.
En conclusión, pueden ensayarse muchos argumentos respecto del por qué hasta hoy no se implementó en forma masiva un adecuado enfoque y tratamiento consecuente de las Planillas de Cálculo. No obstante, quienes aún no lo hayan hecho, se hallan frente a un desafío no menor: asegurar la confiabilidad, integridad y seguridad de un desconocido volumen de información que generan a diario.
(*) el autor es Gerente de BDO Becher y Asociados en las prácticas de Auditoría Interna y Procesos y es especialista en Cumplimiento de la Ley Sarbanes Oxley.