Administración de Riesgos Riesgos al utilizar hojas electrónicas de cálculo. Ventas 2010 Q1 Q2 Q3 Q4 Total Panamá Centro 125,000 137,500 130,625 212,500 605,625 Provincias Centrales 55,000 60,500 57,475 93,500 266,475 Chiriquí 23,000 25,300 24,035 39,100 111,435 Zona Libre de Colón 21,000 23,100 21,945 35,700 101,745 Total ==> 336,000 (221,760) 234,080 (190,400) 157,920 Variación Ventas 2009 22% -5% 27% 35% 20% (+ / -) Ventas 2010 por trimestre NA 10% -5% 75% Los riesgos al utilizar las hojas electrónicas de cálculos y consejos para crear un ambiente controlado para su uso, son abordados en esta nueva entrega de Punto de Vista. En este punto de vista Cuál es el problema? 2 El riesgo ubicuo de las hojas electrónicas de cálculo 3 Administrar el riesgo de las hojas electrónicas de cálculo 4 RISCCO Punto de vista
Cuál es el problema? Ya sea para hacer la lista de los cumpleaños del mes, para las proyecciones de ventas del último trimestre o el cálculo de bonos y aumentos en la compensación de los empleados, la información proporcionada por las hojas electrónicas de cálculo (HEC) es utilizada por Gerentes y Vicepresidentes para tomar decisiones de negocio; frecuentemente, decisiones críticas. De hecho, muchas veces, datos proporcionados por sistemas de información gerencial de clase mundial y aplicaciones de inteligencia de negocios, son volcados a HEC para análisis adicionales y toma de decisiones que tocan hasta reuniones de Juntas Directivas. Ahora bien, por otro lado, permítame informarle que respetados estudios indican que más del 85% de las HEC presentan errores. Muchos de estos errores pueden ser costosos, de verdad muy costosos. El valor de las acciones del grupo económico de bebidas británico C & C se redujo 15% luego de reportar, a los medios, ingresos erróneos a finales de 2009. C & C reportó incremento del 3% en los ingresos, pero luego admitió que lo cierto era que se habían disminuido en un 5%. La causa, según el Director Financiero, fue un error en una HEC construida tomando datos del sistema de contabilidad. En otro incidente, a la compañía canadiense de generación de energía TransAlta, le costó US$24 millones un error en el precio de su oferta en una licitación. Tal error representó 10% menos de las ganancias de ese año. El vocero de la compañía indicó que el error se debió a un cut and paste en una HEC utilizada para calcular el precio de su oferta, y que reconocía que aún cuando fue un error humano, tenían que honrar el precio ofertado. Más allá de hechos aislados, este tipo de errores son más comunes de los que los Ejecutivos y los que dirigen las organizaciones creen. Por qué?, las HEC están por todas partes en las organizaciones y se están convirtiendo en un riesgo ubicuo. RISCCO Punto de vista 2
El riesgo ubicuo de las hojas electrónicas de cálculo Según la Real Academia Española de la Lengua, ubicuo significa: Que está presente a un mismo tiempo en todas partes. Pues eso es lo que pareciera suceder con las HEC. De acuerdo con la casa de investigación Forrester, 80% de las computadoras empresariales y 64% de las hogareñas utilizan MS Excel. Si a eso le adiciona las cuotas de mercado de los pares de OpenOffice.org, Google Docs y otras similares, se podría decir que casi en todo computador se tiene instalado este tipo de herramienta. De igual forma, están los riesgos derivados de su uso, a los que las organizaciones están expuestas, entre los cuales podemos mencionar: La reputación de la compañía se vería afectada al informar a los medios resultados incorrectos de las operaciones. Proporcionar informes, al ente regulador o al Gobierno, con índices erróneos sobre la operación de la compañía. Tomar decisiones equivocadas por proyecciones de venta o ganancias incorrectas. Lo importante resaltar aquí es que casi todas las veces, los errores en las HEC son causa de aquellos que las crean o utilizan. Algunas de las razones por las cuales esto ocurre son: Incapacidad de que la HEC se actualice con los datos más recientes (por ejemplo, del mes), ya que, el que la creó, ya no labora en la compañía. Entrenamiento pobre o inexistente sobre el uso de la herramienta. Poca o ninguna concienciación sobre los riesgos al utilizar HEC. Ausencia de controles básicos que debe incorporar cualquier HEC. Poco control de versiones de las HEC. Por ejemplo, en qué lugar en la red son almacenadas y quién es el responsable de la integridad de la misma. Falta de un proceso para el manejo del riesgo del uso de HEC. Indistintamente de los riesgos a los que las organizaciones están expuestas, las HEC seguirán utilizándose para la toma de decisiones, por lo cual, adoptar buenas prácticas sobre su uso e implantar controles para mitigar su riesgo, hoy día no es opcional. RISCCO Punto de vista 3
Administrando el riesgo de las hojas electrónicas de cálculo Clasifique las hojas electrónicas de cálculo utilizadas Compile un inventario e identifique para qué se utilizan. La clave aquí es determinar cuáles decisiones críticas o importantes del negocio se toman o apoyan en ciertas HEC y cuál sería el impacto de que las mismas proporcionen información incorrecta. Esto ayudará a diferenciar las HEC de los cumpleaños del mes a las utilizadas para hacer proyecciones de ventas. Preferentemente las HEC críticas deberían estar en un lugar centralizado (servidor) con buenos controles de acceso y edición y no en el disco fijo del computador del creador o usuarios de dicha hoja. Valide las formulas de las HEC críticas Para cada HEC crítica, cada creador debe verificar que las formulas utilizadas son correctas. Además, el usuario final deberá asegurarse de que la información proporcionada es correcta. Una vez logrado esto, se deben instaurar controles de acceso y modificación a dicha hoja y deberían documentarse aspectos o consideraciones relevantes de las formulas utilizadas. Esto mitiga el riesgo de la dependencia de una o pocas personas para conocer cómo corregirla. Defina e implante un marco de control sobre el uso y mantenimiento de las hojas electrónicas de cálculo Las dos etapas previas le ayudarán a controlar las HEC en uso, pero la organización debe crear un conjunto de estándares y controles sobre la creación, mantenimiento, propiedad y documentación de las HEC. Esto es vital para que las mismas se creen y utilicen en un ambiente controlado. Entrene al personal El conjunto de estándares y controles será efectivo en la medida en que el personal lo conozca. Entrenar al personal es un aspecto fundamental. Además, se debe monitorear el cumplimiento del marco de control creado. Finalmente tenga presente que dado al uso extensivo de las HEC, administrar el riesgo derivado de su uso no es opcional en las organizaciones. Consecuentemente, si toma una mala decisión producto de una formula mal construida o un signo de menos en el lugar incorrecto, no culpe al software, ya que, muy probablemente el responsable sea sólo usted. RISCCO Punto de vista 4
Independencia. Integridad. Conocimiento. Credibilidad. RISCCO es una compañía independiente dedicada de manera exclusiva a la consultoría en riesgo, negocios y auditoría interna. Para mayor información sobre el contenido de este documento o conocer más sobre la forma cómo estamos ayudando a las organizaciones a enfrentar sus desafíos en materia de administración de riesgo, riesgos de tecnología o auditoría interna, por favor contáctenos. info@riscco.com Teléfono: +507 279-1410 RISCCO Ave. Ricardo J. Alfaro Panamá, Rep. de Panamá www.riscco.com 2009-2011 RISCCO. Todos los derechos reservados. RISCCO y su logo son una marca registrada de RISCCO, S. de R. L. RISCCO no está registrada ni licenciada como una firma de contadores públicos y no emite opinión sobre estados financieros u ofrece servicios de atestación.