1 Negocios riesgosos: Uso de hojas de cálculoSabino Ramos ACL Services, Ltd. Bavaro, Republica Dominicana

2 Descripción de la presentaciónUso de hojas de cálculo en los negocios Riesgos del uso de hojas de cálculo Requisitos específicos del análisis de datos en los negocios y auditoría Uso de la herramienta correcta para el trabajo Soluciones para negocios y auditoría diseñadas para fines específicos Consideraciones y recomendaciones En la presentación de hoy, hablaremos sobre las ventajas y desventajas del uso de hojas de cálculo, y sobre los riesgos que se vinculan con las hojas de cálculo como herramienta para el estudio analítico de datos. También veremos cómo el software para estudios analíticos de datos con fines específicos puede mantener la integridad de los datos, minimizar el riesgo y mejorar el desempeño comercial general. Quisiera comentarles que podrán descargar una copia de estas diapositivas después de la presentación. <>

3 Todos lo hacen Según una encuesta realizada entre ejecutivos de finanzas, el 92 por ciento de las empresas que cotizan en bolsa emplean hojas de cálculo para el desarrollo de tareas contables de vital importancia. AccountingWEB.com 2006

4 Hojas de cálculo Hoy en día son una de las aplicaciones más difundidas para computadoras personales Imposible negar su utilidad, flexibilidad y practicidad Fueron diseñadas para: Entrada directa de datos Importación de archivos de texto simples en formatos de PC comunes Funciones analíticas básicas Automatización de tareas mediante macros Con su introducción en el mundo de los negocios a fines de la década del 1970 y principios de la década de 1980, la hoja de cálculo se convirtió en un éxito casi inmediato. La utilidad, la posibilidad de adaptación y las capacidades de las hojas de cálculo resultaron grandes atractivos y, sin lugar a dudas, contribuyeron a impulsar la adopción a gran escala de las computadoras personales en las empresas. Hoy en día, las hojas de cálculo electrónicas están presentes en cualquier empresa... y no faltan motivos para que así sea. Se han convertido en una herramienta indispensable para quienes realizan cálculos y trabajan en el desarrollo de modelos financieros. Otros motivos por los que las hojas de cálculo se usan tanto son sus capacidades (cálculos, sentencias condicionales, vinculación y programación mediante macros), que permiten que se adapten muy bien a la creación de aplicaciones ad hoc. Es posible aplicarlas a una gran cantidad de usos, entre los que se cuentan el presupuesto, el inventario, el desarrollo de modelos financieros, el ingreso de datos financieros y la generación de reportes.

5 Riesgos del uso de hojas de cálculoEl uso en aplicaciones financieras clave implica un riesgo empresarial y legislativo inaceptable Propensión a errores errores de entrada, lógica, uso e interfaces de datos los valores pueden modificarse deliberada o accidentalmente Incumplimiento de los estándares de sistemas para aplicaciones críticas documentación, comprobación y control de versiones Cuando usan hojas de cálculo, las organizaciones deben alcanzar un equilibrio entre la flexibilidad, la facilidad de uso y el bajo costo de obtención por un lado, y las deficiencias de estas aplicaciones en un contexto empresarial por el otro. Paradójicamente, lo que convierte a las hojas de cálculo en un elemento tan atractivo es también la causa fundamental de sus deficiencias. Son propensas a sufrir errores: de entrada, lógica, uso e interfaces de datos: los valores pueden modificarse deliberada o accidentalmente. No cumplen con los estándares de sistemas para aplicaciones críticas: documentación, comprobación y control de versiones Las deficiencias de las hojas de cálculo llevan a que la calidad de los datos se ponga en duda. Los datos dudosos se traducen en la elaboración de reportes imprecisos y dificultan la toma de decisiones. Por lo tanto, la utilización de hojas de cálculo en aplicaciones financieras clave genera un nivel inaceptable de riesgo empresarial y legislativo. La realidad es que muchas organizaciones que recurren a las hojas de cálculo para aplicaciones clave lo hacen por necesidad. El desarrollo, la administración o la implementación de aplicaciones personalizadas o la adquisición de soluciones puntuales no siempre resultan objetivos prácticos o realizables cuando se necesita llenar el vacío que resuelven las hojas de cálculo. Además, dado que una aplicación de hojas de cálculo es mejor que la regresión a procesos manuales, las hojas de cálculo continuarán siendo utilizadas. Para poder abordar los riesgos que genera el empleo de hojas de cálculo, es necesario que la Gerencia determine con más cuidado cómo y en qué áreas se utilizan estas aplicaciones. Por otra parte, Auditoría debe contar con un medio para evaluar en forma independiente la precisión de los datos y los reportes de los que depende la organización.

6 Peligros de las hojas de cálculoA veces, a los buenos les pasan cosas malas: Errores de lógica en las hojas de cálculo Falta de documentación, comprobación y control de versiones de los macros/aplicaciones de hojas de cálculo Problemas de integridad de datos Errores al cortar y pegar El 91% de las hojas de datos auditadas contenía errores Computer World May 2006 Los errores en las hojas de cálculo son tan omnipresentes como las hojas mismas. Un artículo de Computer World publicado en mayo de 2004 indicaba que el 91 por ciento de las hojas de cálculo recientemente auditadas contenía errores. Asimismo, The Journal of Property Management informó que entre el 30 y el 90 por ciento de todas las hojas de cálculo presentan, como mínimo, un error grave por parte del usuario. El impacto es sorprendente y las anécdotas son muchas: (HAGA CLIC)

7 El costo de los errores en las hojas de cálculoDepartamento de Vivienda y Desarrollo Urbano de EE.UU. Errores en el ingreso de datos Impacto: $118, 387 Importante sociedad multinacional Error en el cálculo de indemnización Impacto: 11 millones de dólares NASA Totalización de datos anuales mediante hojas de cálculo Impacto: 644 millones de dólares En febrero de 2006, el Chicago Tribune informó que una auditoría del Departamento de Vivienda y Desarrollo Urbano de EE.UU. llevada a cabo por el Inspector General reveló que casi 100 inquilinos habían recibido vales de elección de vivienda para hogares más grandes de lo que precisaban. Tanto los inquilinos como los propietarios recibieron dinero de más por un error en el ingreso de datos que superó los dólares. En última instancia, este error en las hojas de cálculo significó un costo de dólares para las autoridades de la vivienda. En noviembre de 2005, una importante multinacional se vio obligada a modificar un reporte de ganancias trimestral. Se registró un error vinculado con la indemnización mal calculada de un empleado y esto reveló "una falencia en los controles internos... lo que tuvo repercusiones en la contabilidad que tuvo que reestructurarse". El cálculo incorrecto se tradujo en un increíble error en la indemnización por 11 millones de dólares y fue atribuido a una hoja de cálculo equivocada. "Se agregaron demasiados ceros al monto adeudado al empleado en concepto de indemnización." Hasta los científicos espaciales cometen errores... En el año 2000, empleados del congreso hallaron un error en la exposición de datos financieros de la NASA correspondiente al ejercicio de 1999 por 644 millones de dólares. Este error no había sido detectado antes ni por la NASA ni por su auditor independiente. El error surgió porque los sistemas de la NASA no podían generar los datos presupuestarios exigidos por las normas contables federales. En su lugar, el organismo solicitaba los datos de cierre de ejercicio fiscal a las 10 unidades que presentaban reportes y la totalización de los datos se hacía mediante una hoja de cálculo. Los errores anteriores son meramente accidentales. Cuando alguien desea cometer fraude en una organización, las hojas de cálculo pueden resultar muy útiles.

8 Peligros de las hojas de cálculoA veces, a los malos les pasan cosas malas: Manipulación de hojas de cálculo para cometer fraude Un operador bancario pudo cometer fraude mediante la manipulación de modelos de hojas de cálculo usados por el personal de control de riesgos del banco. Supuestamente el personal de control de riesgos del banco efectuaba una comprobación independiente de las actividades del operador y del Valor en Riesgo (VaR), pero en realidad, confiaban en una hoja de cálculo que obtenía información de la computadora personal del operador e incluía cifras de transacciones que no eran reales. Puesto que los controles de la hoja de cálculo resultaron deficientes, el fraude continuó durante meses.

9 Lo difícil parece fácil, lo fácil parece difícilLa percepción de que las hojas de cálculo son fáciles de usar, hasta cierto punto, es una ilusión. Es facilísimo obtener una respuesta de una hoja de cálculo. No obstante, esa respuesta no es necesariamente la correcta. Spreadsheet Addiction, Patrick Burns, Burns Statistics, octubre de 2006

10 Responsabilidad del auditorBrindar a las organizaciones un aseguramiento objetivo e independiente Agregar valor y mejorar las operaciones Aplicar un enfoque sistemático y ordenado para evaluar y mejorar la gestión de riesgos, el control y la dirección Extender el uso de las hojas de cálculo al análisis de datos en auditoría va en contra de estas responsabilidades. En el contexto financiero, el departamento de auditoría proporciona una evaluación independiente de las prácticas contables y de elaboración de reportes de una empresa, así como de los riesgos comerciales y los controles internos. Los auditores establecen los alcances de la auditoría determinando la efectividad de los controles internos para reducir el riesgo de alteraciones graves de los estados financieros. Para validar sus opiniones, la auditoría puede profundizar hasta llegar al nivel de las transacciones de una empresa y analizar la información mediante métodos de comprobación sustanciales. En el contexto legal, los auditores permiten que las organizaciones estén seguras de la veracidad y exactitud de su información financiera. Además, brindan asesoría calificada acerca de las falencias de los controles y sistemas de procesamiento. También confirman el tratamiento contable de las transacciones complejas. En el entorno legal actual, se encargan de los requisitos legales de presentación de reportes, como los definidos en el artículo 404 de la ley Sarbanes-Oxley. Al igual que cualquier otro cliente, los auditores pueden elegir una herramienta de uso general y fácil de obtener, como las hojas de cálculo, o una herramienta desarrollada para fines específicos. La ventaja indiscutible de una herramienta desarrollada para fines específicos es que satisface las necesidades reales de los auditores. Veamos los fundamentos de esta afirmación en más detalle.

11 La herramienta correcta para el trabajoRequisitos Facilidad de acceso a los datos Atributos Lectura de datos en cualquier formato y en cualquier volumen Conservación de la integridad de los datos Ausencia de errores de conversión/totalización No se manipulan ni se alteran en ninguna forma los datos de origen Herramientas diseñadas con el fin específico de analizar datos para auditorías Análisis de datos específicos para auditoría Creación de registros y automatización Seguimiento exhaustivo de auditoría para el suministro de pruebas Automatización para análisis predefinidos, capacidad de repetición y eficiencia Visibilidad Estos son los atributos fundamentales de la herramienta correcta para el trabajo Básicamente, lo importante es: Obtener los datos cuando los necesita. Contar con las funciones de análisis comprobadas y desarrolladas por profesionales que necesitan los auditores para llevar a cabo su trabajo. Poder documentar el análisis en forma automática y repetirlo a voluntad. Tener una arquitectura técnica adecuada para responder a los desafíos de las auditorías que se realizan en toda la organización. Poder acceder a un producto integral que satisfaga las necesidades del proceso de auditoría. Nivel empresarial Poblaciones de datos ilimitadas Análisis en plataformas múltiples 100% de cobertura Consideraciones del proveedor Un producto integral diseñado para auditores Con el soporte de quienes conocen el proceso de auditoría

12 Facilidad de acceso a los datosPosibilidad de tomar la información necesaria "a discreción" con independencia e integridad Volumen: la cantidad de datos es inmensa y sigue creciendo hasta 30% según un informe reciente de investigaciones de Gartner Diversidad: los datos presentan formatos y ubicaciones variados Datos de diversos orígenes y aplicaciones Veracidad: la fidelidad o precisión de los datos es primordial para el proceso de auditoría Facilidad de acceso a los datos El mero hecho de acceder a los datos que necesita analizar el auditor puede resultar una tarea ciclópea. Lo que la hace engorrosa es el proceso de solicitud de datos instrumentado en la mayoría de las organizaciones. El siguiente es un ejemplo típico: Descripción del ciclo de solicitud de datos de 2-3 semanas Un análisis inicial indica que o bien i.) falta cierta información (número de cuenta, código postal, identificación del proveedor) o ii.) se necesita información adicional que no se había previsto en la primera solicitud de datos. Se devuelve a sistemas otra solicitud pidiendo los datos adicionales y vuelve a comenzar el período de espera de 2-3 semanas. Este ejemplo es frecuente y obstaculiza el proceso de auditoría, tanto interno como externo. En primer lugar, los auditores no pueden darse el lujo de aguardar extractos de información durante semanas. En segundo lugar, el departamento de sistemas suele tener que cumplir con tareas de programación o elaboración de reportes para realizar la extracción de datos. Durante el proceso, es probable que se haya efectuado una totalización o un filtrado. Como resultado, podría haberse omitido información crítica sin desearlo. En consecuencia, la integridad de los datos es cuestionable. Por lo tanto, se pueden poner en peligro tanto los análisis ad hoc como los continuos. Una tecnología efectiva de auditoría permite que los auditores accedan de manera directa a los datos. Esta posibilidad tiene dos beneficios: dinamiza el proceso de auditoría en su conjunto y libera al personal ya ocupado del departamento de sistemas de cumplir con los pedidos recurrentes de los auditores. Basta con permitir que el departamento de auditoría “tome a discreción” la información necesaria. El volumen, la diversidad y la veracidad también son muy importantes al considerar la adecuación de la tecnología de análisis al proceso de auditoría. Una tecnología de análisis de datos para auditoría necesita garantizar la calidad e integridad de los datos. La integridad de los datos podría verse afectada accidentalmente mediante la extracción de datos y las conversiones de formato. Una tecnología adecuada de auditoría realiza operaciones de sólo lectura de los datos originales; ya sea desde interfaces de bases de datos directaso desde archivos planos. En lo posible, este tipo de aplicaciones conservan los datos en su lugar y los analizan en el origen. De esta manera, evitan el riesgo asociado a la conversión o duplicación de información comercial crítica. La seguridad de los datos es fundamental. SERVIDORES Y EVITAR LA DUPLICACIÓN DE DATOS

13 Análisis de datos específicos para auditoríaFuncionalidad que se ajusta al proceso de auditoría Comparar y contrastar datos Buscar faltantes y duplicados Agrupar las transacciones por tipo, importe o fecha Muestreo estadístico y muestreo de unidad monetaria Filtrar, ordenar y reorganizar vistas de datos Desarrollo y comprobación profesionales Aseguramiento de la integridad de los datos Funciones específicas de auditoría: funciones y funcionalidad que los auditores necesitan para realizar su trabajo con eficiencia La auditoría debe admitir las afirmaciones inherentes a los estados financieros publicados, tales como su singularidad y totalidad, la precisión, las instancias, las valuaciones y la presentación. Una tecnología desarrollada con fines específicos incluirá algoritmos diseñados para permitir la realización de estas pruebas sin necesidad de programar macros. Algunos ejemplos: Comparación y contraste de datos de diferentes orígenes Faltantes, duplicados, agrupar las transacciones por tipo, importe o fecha, muestreo estadístico Obviamente, las hojas de cálculo carecen de la mayor parte de los estudios analíticos específicos de auditoría. A pesar de que las funciones analíticas específicas no están incluidas en los programas estándar, mediante la programación de macros podrían ampliarse sus capacidades analíticas. Los usuarios que desean añadir funciones de análisis personalizadas y no están familiarizados con los macros, podrían optar por eludir el problema mediante la creación de fórmulas complejas dentro de la hoja de cálculo para obtener los mismos resultados. Por ejemplo, fórmulas lógicas complejas, múltiples celdas con referencias entre sí, combinaciones de celdas/hojas de cálculo/fórmulas, búsquedas, etc. Esto podría acrecentar la posibilidad de errores y dificultar la revisión de la hoja de cálculo. Si bien esto demuestra la flexibilidad y capacidad de extensión de los macros, también resalta una deficiencia clave en su forma usual de implementación. Rara vez se desarrollan, codifican y comprueban los macros de acuerdo con las prácticas establecidas de desarrollo de software. Incluso si así fuera, la versión y configuración no suelen estar administradas debidamente ni tampoco estar protegidos para que sea imposible editarlos. Por lo tanto, aunque un macro estuviera documentado correctamente, no existe manera de asegurar su integridad durante un lapso prolongado. A veces, una tarea en apariencia inofensiva, como la ordenar los datos, puede provocar errores. Muchos usuarios de hojas de cálculo han cometido errores al ordenar únicamente algunas columnas de la hoja de cálculo, lo que deriva en información indescifrable y carente de significado.

14 Creación de registros y automatizaciónCreación automática de un seguimiento de auditoría para: Revisiones de colegas Documentación del proceso de auditoría Recuperación de resultados anteriores Contexto de resultados Conjunto creíble de pruebas Automatización de tareas Capacidad de repetición y estandarización de auditorías Del acceso a los datos, al análisis y a la generación de reportes Dinamización del proceso de auditoría para mejorar la eficiencia Creación de registros y automatización seguimiento completo de auditoría para: Automatización de tareas Revisiones de colegas Documentación del proceso, recuperación de resultados Conjunto creíble de pruebas Facilidad de automatización de tareas, con creación de registros, desde el acceso a los datos hasta los distintos pasos del análisis y la creación de informes.

15 Nivel empresarial La auditoría abarca a toda la organizaciónSe necesita una plataforma tecnológica eficaz Punto de vista único de la empresa Es necesaria la tecnología que permita hacer esto con seguridad Se conserva la seguridad de los datos Nivel empresarial La función de auditoría abarca a toda la organización. No se limita a actividades controladas por una única aplicación o registradas en una única base de datos. El departamento de auditoría necesita obtener una visión del rendimiento financiero actual y de las operaciones de la organización para evaluar riesgos, emitir opiniones sobre la eficacia, adecuación y cumplimiento de los controles y reglas, y hacer recomendaciones valiosas y atinadas a la comisión de auditoría. Para cumplir con esta difícil tarea, el departamento de auditoría debe poder ver todos los aspectos de la organización y necesita analizar su rendimiento a través del análisis independiente de los enormes volúmenes de transacciones registradas en infinidad de bases de datos, archivos de datos, hojas de cálculo y reportes. Una tecnología efectiva que posibilite todo esto necesita la capacidad de leer e interpretar grandes cantidades de datos empresariales de cualquier manera a partir de una sola interfaz de usuario intuitiva. Los datos deben compararse y contrastarse, unirse y relacionarse, separarse en estratos y separarse por antigüedad en diferentes categorías y buckets. Es fundamental contar con la capacidad de arrastrar columnas entres las vistas, de aplicar rápidamente filtros de datos y de ordenar los datos sin el riesgo de alterar los datos originales. Además, no pueden ponerse en riesgo el control y la seguridad de los datos de la organización a causa de la extracción y distribución de datos a ubicaciones y aplicaciones no seguras o no sometidas a control. Una solución efectiva debe permitir que los datos sean analizados en su lugar de origen; es decir, en los servidores o bases de datos en los que están almacenados. No es sensato, práctico ni posible pensar en realizar esta tarea mediante una hoja de cálculo desarrollada para PC.

16 Consideraciones y recomendacionesServicios de soporte diseñados y ofrecidos pensando en el proceso de operativo, contable y de auditoría Cursos de capacitación desarrollados en forma específica para areas operativas internas que sea eficaz y eficiente Servicios de consultoría orientados hacia la aceleración de la productividad y la eficiencia de los auditores Resultado: Maximización del Retorno de la inversión

17 Beneficios de una solución específica para de finanzas y auditoríaCiclos de tareas más cortos Mayor eficiencia y cobertura de los analisis Análisis de todos los datos de la organización entera en un entorno seguro Eliminación del riesgo para la organización que significan los errores en las hojas de cálculo Detección de fraudes y sobrepagos, y mejora de la eficiencia operativa Confianza en que los auditores a analistas de negocio pueden ver el panorama completo

18 El ciclo de analisis de datosPRUEBA PLANIFICACIÓN REVISIÓN REPORTE PREPARACIÓN Los análisis iniciales permiten las evaluaciones de riesgo Concentración en áreas de riesgo elevado, metas y objetivos comerciales clave Un solo ejemplo que representa un ciclo común Algunos departamentos de auditoría tienes 3 etapas o hasta seis...

19 El ciclo de analisis de datosPRUEBA PREPARACIÓN REVISIÓN REPORTE PLANIFICACIÓN Identificación de requisitos de datos Aprovechamiento de la tecnología de análisis de datos para el acceso directo a los datos Un solo ejemplo que representa un ciclo común Algunos departamentos de auditoría tienes 3 etapas o hasta seis...

20 El ciclo de analisis de datosPRUEBA REVISIÓN REPORTE PLANIFICACIÓN PREPARACIÓN Análisis del 100% de los datos y transacciones pertinentes Eliminación de la necesidad de hacer un muestreo o de hacer solicitudes repetidas de datos Un solo ejemplo que representa un ciclo común Algunos departamentos de auditoría tienes 3 etapas o hasta seis...

21 El ciclo de analisis de datosPRUEBA REVISIÓN REPORTE PLANIFICACIÓN PREPARACIÓN Compartir resultados y métodos para la congruencia de las mejores prácticas Permitir el desarrollo profesional Un solo ejemplo que representa un ciclo común Algunos departamentos de auditoría tienes 3 etapas o hasta seis...

22 El ciclo de analisis de datosPRUEBA REVISIÓN REPORTE PLANIFICACIÓN PREPARACIÓN Integrar los resultados de las pruebas a los reportes de auditoría Pruebas basadas en hechos para sustentar las recomendaciones Un solo ejemplo que representa un ciclo común Algunos departamentos de auditoría tienes 3 etapas o hasta seis...

23 ¿Por qué auditar la organización con la misma herramienta que la amenaza?

24 Preguntas y respuestasModelos de preguntas (sin orden fijo) ¿Qué nivel de capacitación se necesita para utilizar este tipo de software? ¿Por qué es necesaria una herramienta específica si puedo analizar todo lo que necesito dentro de una hoja de cálculo? ¿Qué tipo de soporte puede esperarse de un proveedor de tecnología? Veo que se trabajan con comandos y capacidades analíticas. ¿Pueden duplicarse estos elementos mediante un macro de hoja de cálculo? ¿Existe algún peligro si se pasa de una hoja de cálculo a una herramienta específica durante el proceso de análisis? ¿No puede garantizarse la integridad de los datos haciendo que las hojas de cálculo tengan acceso de sólo lectura?

25