En nuestro mundo actual el día a día nos inunda de actualizaciones e innovaciones tecnológicas que un par de siglos atrás hubieran sido consideradas fantasías, cuando no, brujerías o herejías. Hoy tal vez (y sin pretender ser un hereje) Galileo sería CEO de un holding multinacional fabricante de “gadgets” y algún que otro insumo aeroespacial.
Cruzar el Atlántico insume el mismo tiempo que una jornada laboral (si es que alguien aun sigue trabajando sólo 8 horas diarias) y enviar un mensaje de Buenos Aires a México DF para avisar que estamos en camino demora lo que nuestros dedos en escribir “Tamos dspgndo” (antes que nos indiquen apagar el celular).
Sin embargo, y a pesar de estos increíbles avances que disfrutamos sin siquiera preguntarnos cómo pueden ser posibles, algunas actividades requieren hoy casi el mismo tiempo que hace 100 o 200 años, aun cuando muchas se han “tecnificado” como, por ejemplo, afeitarse o leer un libro (e-book, por supuesto).
Operaciones manuales
Decir que el mundo corporativo no es ajeno a esta realidad no es ninguna novedad. Negocios cada vez más efímeros, oportunidades que vienen y van en cuestión de segundos, ERP potentes, regulaciones incesantes, decenas, cientos o miles de empleados y terceros operando a la vez, generando datos e información que requiere un mínimo de validaciones pero que siempre resultan escasas ante la abrumadora avalancha de sucesos. Nuestra actividad cotidiana nos enfrenta a ejecutivos preocupados por cómo mantener un grado razonable de control sin entorpecer las operaciones, evitando que los controles se conviertan en una obsesión por sobre el propósito de las actividades bajo su responsabilidad.
Así, surgen innumerables puntos donde actividades manuales, rutinarias, con sus respectivos controles de idénticas características se acumulan y parecen no tener puntos de mejora más allá de empleados bien entrenados y eficientes. Entre estas tareas se destacan las conciliaciones en general y las bancarias en particular. Una firma que tenga más de 5 cuentas bancarias activas con un volumen interesante insumirá al menos 40 horas/hombre mensuales en ejecutar este control.
Si consideramos la criticidad de conciliaciones bien hechas, donde se detectan irregularidades en los ingresos o egresos de fondos, los pagos en proceso de clearing se identifican, donde las responsabilidades con terceros se monitorean y el fondeo de la compañía se refleja, es entendible que no puede ni debe eludirse la existencia de las mismas. Sin embargo, la preparación de una conciliación típica insume el 90% de tiempo en actividades mecánicas de cruce y “matcheo” y sólo un 10% de análisis y racionalización. Así, para el caso de las 40 horas mensuales (1 semana laboral) solamente 4 estarán dedicadas a la revisión de la información, identificando diferencias y estableciendo la existencia de situaciones que requieren profundizarse. Pero ¿es posible modificar esta realidad, más allá de las funcionalidades que algunos ERP ofrecen? ¿Es factible automatizar las rutinas manuales tradicionalmente ejecutadas por ejércitos de analistas? El mercado hoy ofrece novedades en este ámbito que nos permiten responder por la afirmativa. Hoy existen soluciones que, obteniendo las bases de datos contables y bancarios, ejecutan, en pocos segundos la tarea que antes llevaban horas y días, con un grado de eficiencia asombroso. Así, permite al responsable dedicarse al análisis, mejorando el rendimiento y reduciendo los tiempos de respuesta y elimina la tediosa tarea de cruzar, lápiz en mano, interminables listados de cheques, transferencias y movimientos.
Por otro lado, cuando pensamos en automatizar controles, es probable que lo primero que pensemos sea en la implementación de un nuevo sistema, costosas instalaciones o complicadas tecnificaciones. Sin embargo, hoy se encuentran disponibles distintas herramientas que, adaptándose a las diversas necesidades, requieren una muy baja inversión y ofrecen un alto grado de respuesta. Claro que no todas las ofertas disponibles se aplican a todos los públicos y en cada caso habrá que evaluar necesidades. Así, por ejemplo, cuando recorremos los escritorios de una oficina tipo, y más aun si estamos en el área de Administración y Finanzas, seguramente encontremos que la mayoría de las computadoras en uso tienen abierta alguna planilla electrónica de cálculo. Pero, en determinadas organizaciones, el uso de este aplicativo puede (y lo hace) transformarse en un verdadero dolor de cabeza. Son buenas prácticas cada vez más difundidas el guardarlas en las redes corporativas en lugar de almacenarlas en discos rígidos locales, protegerlas con contraseñas, limitar el acceso a ciertos usuarios, entre otras medidas, pero sigue siendo un problema para quien debe supervisarlas y validar la información que contienen (algunas verdaderos monumentos a la complejidad) el otorgarles la confianza necesaria, asegurándose por ejemplo, que las fórmulas son consistentes, los vínculos están bien construidos, las celdas de control efectivamente controlan, que no hay datos o celdas ocultos que alteren el número final e innumerables etcéteras. Teniendo en cuenta que la inmensa mayoría de los papeles de trabajo de un analista se hacen utilizando planillas de cálculo y que los resultados se incorporan directamente, por ejemplo, a la Contabilidad, es altamente recomendable el uso de revisores electrónicos de planillas de cálculo.
Hemos sido testigos de algunas de las situaciones en las que, de haberse empleado un revisor, se habrían detectado tempranamente situaciones que se volvieron complejas. Algunos ejemplos son:
• Un Banco en USA dio de baja erróneamente 2.4 mil millones de dólares en hipotecas por deficiencias detectadas posteriormente en planillas clave.
• Una firma en Argentina estuvo al borde del re-statement por fallas en los reportes llevados en planillas de cálculo sin integridad. La empresa invirtió cientos de horas hombre en detectar la falla, resultando ser filas intercaladas por error.
• Una organización presentaba sobrevaluación de las ganancias presupuestadas en unos 2.6 mil millones de dólares por haber “olvidado” un signo MENOS en una fórmula.
Es probable que muchos de nuestros lectores piensen que sus planillas de cálculo son seguras y probablemente lo sean, sin embargo, nuestra experiencia nos permite afirmar que:
• Una planilla que contenga más de 200 renglones tiene aproximadamente un 99.9% de probabilidades de contener un error.
• El 94% de los campos tomados como muestras tuvieron errores en auditorias realizadas
• Más del 90% de las planillas tienen errores que afectan las cifras del resultado final de un P&L en un 5% o más
• Entre el 20% y el 40% de los errores no se encuentran en el primer intento de prueba.
¿Cuáles son los casos más comunes de errores en las planillas?
• Fórmulas Duplicadas
• Fórmulas Inconsistentes
• Hojas y/o Celdas “Invisibles”
• Links Externos
• Rangos Sospechosos
• Referencias a Celdas Vacías
• Números con formato texto, excluyéndolos del cálculo
• Errores de tipeo
• Signos Negativos/Positivos “Forzados”
• Etcétera
Teniendo esto en cuenta, nos permitimos sugerir algunos pasos elementales para evaluar el riesgo que significa trabajar con estos aplicativos:
• Hacer una Evaluación Integral de Riesgo:
• Realizando un Inventario de las Planillas a Revisar, identificando el propósito de cada una.
• Revisión de la complejidad, materialidad y riesgo de cada documento
• Ejecutar una Revisión Exhaustiva:
• Analizar las Planillas de mayor riesgo, complejidad y materialidad en búsqueda de errores e inconsistencias específicos
• ¿Y después qué?
• Revisar los controles internos y asegurar la calidad de las medidas adoptadas.
• Implementar medidas que mejoren la eficiencia y minimicen los riesgos.
Finalmente, algunas de las recomendaciones básicas que solemos brindar incluyen:
• Evaluar los accesos a los documentos por parte de los usuarios
• Evaluar el rol de quienes acceden
• Considerar otras medidas de seguridad adicionales a las claves, por ejemplo, una contraseña como: “14CBXMDX765A” lleva 1.37 minutos “crackearla” con un software gratuito
• Reducir la información con codificaciones “duras” o poco flexible
• Documentar las instrucciones para el mantenimiento y modificaciones de las planillas de cálculo.
Hasta aquí hemos hecho una somera revisión sobre dos clásicas actividades que habitualmente se ejecutan en forma manual, implicando alto riesgo e insumiendo recursos en tiempo y dedicación. Pero ¿Qué ocurre en lo relativo al monitoreo de operaciones aun más complejas?
Monitoreo Continuo
Actualmente la tendencia del mundo corporativo es la de analizar las vulnerabilidades existentes frente a la probabilidades de ocurrencia de las fallas. De esta manera, se busca no ser estático y avanzar hacia una continua y mejorada evaluación de riesgos, determinando las competencias necesarias para administrarlos. Así, se incrementa la evaluación misma y se traslada a toda la empresa, incluyendo a las contrapartes y los eventuales socios, haciendo énfasis en la continuidad del negocio.
¿Cuál es el impacto de esta forma de evaluación? Se mitigan las probabilidades para concentrarse en las debilidades, las evaluaciones se tornan más desafiantes, cruzando las fronteras de la empresa y avanzan sobre los límites organizacionales y políticos y se determinan programas de respuesta rápida y flexible para responder a riesgos emergentes.
Para poder lograr esto, es necesaria la incorporación de herramientas que faciliten automatizar el monitoreo y los controles. Si bien los especialistas concuerdan en que los riesgos tecnológicos se mantendrán altos, las empresas siguen viendo a la automatización como una buena estrategia para ganar productividad en esta etapa de (¿post?) crisis.
También es cierto que la seguridad de datos es un dato que preocupa.
Los defraudadores también están al tanto de esto y la naturaleza del fraude se automatiza y perfecciona a diario. Esto implica que las empresas deberán trabajar en contar personal adecuadamente capacitado en cuestiones informáticas y deberán avanzar hacia soluciones de monitoreo continuo, análisis proactivo de datos y detección temprana de intentos de fraude.
La nota negativa la ha dado el Consejo del “Committee of Sponsoring Organizations (COSO)” quien en 2009 ha dicho que considera que las organizaciones no han aplicado como deberían el componente de monitoreo de un sistema de control interno según el Marco emitido por el organismo.
Siendo que el Monitoreo es un Componente del Sistema de Control Interno y si el Control Interno es crítico para el éxito de una organización, entonces ¿Cómo hace hoy una organización para soportar sus conclusiones sobre la efectividad de su Sistema de Control Interno?
Hace poco más de un año, el mismo Comité de COSO, emitió su reporte “COSO Monitoring” buscando ayudar a las organizaciones en la dura misión de “controlar sus controles”. Así, puso énfasis en 2 principios básicos:
• El monitoreo debe estar diseñado para determinar que todos los componentes del control interno operan eficazmente a lo largo del tiempo.
• Las debilidades de control interno deben comunicarse oportunamente a los responsables del monitoreo, así como a la gerencia y al Consejo, para que se lleven a cabo acciones correctivas.
De esta manera, estamos en condiciones de afirmar que un monitoreo efectivo requiere:
• Establecer bases adecuadas:
• Implementando un claro mensaje directivo (“Tone from the Top”) que resulte inconfundible para el personal.
• Determinar una adecuada Estructura Organizacional
• Tener un buen conocimiento previo de la efectividad del control interno
• Diseño y ejecución
• Priorizar riesgos
• Identificar controles
• Identificar información fehaciente de los controles
• Implementar procedimientos de monitoreo
• evaluación del Reporte
• Priorizar las observaciones
• Reportar los resultados al nivel apropiado
• Seguimiento de las acciones correctivas
Todas las conclusiones a las que se llegue como resultado del monitoreo deben estar adecuadamente documentas. De este modo, El Monitoreo Continuo provee soporte primario para el conocimiento “diario” del Management acerca de la efectividad de los controles.
Y frente a esta serie de condiciones y prácticas recomendadas, volvemos a preguntarnos ¿Es posible contar con un buen mecanismo de monitoreo sin soporte de la tecnología? Hay actividades que por lo general implican el involucramiento de niveles superiores de revisión, autorización y supervisión, ¿Cómo ayudarlos para que se sientan seguros de lo que están viendo? Es probable que ese ejecutivo conozca muy bien los controles existentes en la organización sabiendo exactamente donde fallan los controles manuales y piensen en automatizarlo, pero enfrenta el riesgo de pasar de controles manuales deficientes a controles automáticos inefectivos. La automatización, en si misma, no significa mejorar los controles, requieren un análisis e implementación muy bien estudiada. Tal vez el mejor ejemplo de esta complejidad y necesidad de automatizar podemos encontrarlo en las transacciones que continuamente se ingresan en los distintos módulos de un ERP. ¿Cómo asegurarnos que los asientos diarios están debidamente autorizados? ¿Cómo saber online que un pago podría estar duplicado y, a pesar de las restricciones en los módulos, igualmente se pudo generar? ¿Hay manera de saber sin mayor esfuerzo que un proveedor ha sido dado de alta por un usuario que tiene un perfil inadecuado? Estos y otros ejemplos hacen que las tareas de cierre de, por ejemplo, reportes mensuales, se vuelvan un verdadero desafío para supervisores, gerentes y directores preocupados por las cifras y datos que tienen frente a ellos. El mercado ofrece hoy, en nuestro país, muy buenas herramientas que permiten incorporar tecnología al programa de Monitoreo Continuo sobre las transacciones en prácticamente cualquier sistema que se utilice, brindando de esa manera, la seguridad que las operaciones de Pagos, Cobros, Despachos, Viáticos, Registro Contable y otras se encuentran bajo una estricta revisión, adicional a los controles propios de cada una de esos circuitos.
Saliendo del campo numérico y yendo al operacional, toda organización se enfrenta a múltiples contingencias que requieren atención y cuidado. Tal vez una de las de mayor riesgo, por sus derivaciones y altas probabilidades de ocurrencia, es la vinculada al manejo de las relaciones y formalidades con terceros ajenos a la empresa. La tercerización o outsourcing se ha vuelto una práctica común, pero también riesgosa, pues en algunos casos, los externos superan largamente al propio personal y si se cuentan con varias locaciones donde éstos se desempeñan el riesgo es incremental. Estar seguro que todo el personal que accede a las instalaciones cuenta con los permisos correspondientes, con las protecciones indicadas, con el entrenamiento mandatario, las calificaciones requeridas, la documentación laboral e impositiva en regla y tantos otros requisitos y, además, contar con un soporte de rápido acceso donde sea que esto ocurra hoy es un deber casi ineludible. Pero ¿Qué es el control de contratistas? Es una metodología de gestión de riesgos (laborales, legales y contractuales) provenientes de potenciales problemas derivados de trabajar con contratistas, sub-contratistas, sus empleados, y vehículos que ingresan a la planta y/o instalaciones de la empresa. Estos riesgos se identifican y analizan en forma cuidadosa, entonces se colocan controles para mitigarlos. En general se basa en la solicitud y revisión de un conjunto de documentación y auditorías presenciales. La tendencia actual es realizarlo mediante herramientas informáticas que trabajan con un sistema de alarmas a fin de parametrizar los peligros y accionar antes de que se materialicen.
De esta forma se minimiza la probabilidad y el impacto relacionado con las contingencias que involucra toda tercerización de servicios y se reduce el riesgo de que se invoque la Responsabilidad Solidaria que surge al subcontratar un externo.
Hoy, donde los tiempos urgen, la reducción de costos es casi obligatoria y la eficiencia un deber, implementar la automatización de actividades típicamente manuales y de supervisión que no siempre garantizan seguridad deja de ser algo “interesante” para volverse una necesidad. Tal vez uno de los desafíos del ejecutivo actual en esta época post-crisis es dejar de administrar “Centros de Costos” y pasar a gerenciar “Centros de Eficiencia”. Y como decía un clásico de los ’70 “Tenemos la tecnología, podemos hacerlo”.
