Las hojas de cálculo son prácticos elementos en numerosas labores empresariales. Sin embargo, en ocasiones su uso se hace incontrolable generando dificultades para la disposición y el reporte de información; situación sensible en la preparación de reportes de organismos de vigilancia, control e inspección. A su vez, los archivos creados con hojas de cálculo no cuentan con grandes medidas de seguridad, y se presentan ciertos riegos operativos al digitar, escribir mal una formula o al totalizar datos incompletos. En razón a todo ello, en la labor de auditoría se debe hacer uso de herramientas diferentes a las hojas de cálculo, en miras a que la infraestructura utilizada sea la más práctica, segura y accesible posible con una mayor automatización y un menor uso manual de datos. 

Redacción INCP a partir del artículo publicado por Auditool.  

Para mayor información, puede revisar el artículo titulado “Las hojas de cálculo y los riesgos para el Auditor”, de la fuente Auditool.  

Las hojas de cálculo y los riesgos para el Auditor 

Las hojas de cálculo se emplean con gran beneficio en multitud de labores en las empresas. Pero, en ocasiones, este uso se hace incontrolable y se genera una multitud de dificultades, en particular en el control y reporte de información. Esto es particularmente sensible cuando se requiere preparar reportes para organismos que ejercen labores de inspección, vigilancia y control; por ejemplo, reportes de cumplimiento normativo.

Uno de los principales inconvenientes es contar con diversas versiones de alguna información clave. En muchas ocasiones, empleados de diferentes niveles de un área o de diferentes áreas toman un archivo para efectuar sus propias modificaciones, sin consultar o verificar si el mismo ha tenido cambios. La situación se vuelve aún más compleja cuando las hojas electrónicas están vinculadas con otros archivos. Es difícil saber si el resultado final incluyó o no los datos completos y debidamente actualizados.

Otra dificultad está dada en que los archivos creados con hojas de cálculo, generalmente se trabajan sin mayores medidas de seguridad. Así, resulta relativamente fácil que sean alterados o modificados de manera tanto voluntaria como involuntaria. Esto origina que no se tenga certeza de si los resultados o la información consignada en las hojas sea confiable.

Otro tema es el riesgo operativo. Algunos errores al digitar, omitir una fila o columna, escribir mal una fórmula, totalizar datos incompletos ocurren con bastante frecuencia. En cálculos complejos, efectuar un seguimiento o una prueba de recorrido de una operación implica un gran desgaste de recursos y de tiempo.

La documentación de las operaciones efectuadas en las hojas de cálculo se suma a este panorama. Generalmente no se escribe lo que se hace. La labor de revisión y recálculo es bastante compleja, más aún cuando hay hojas cuyo contenido depende de otros archivos.

Las anteriores situaciones hacen que en la compañía existan diferentes hojas de cálculo con variados grados de precisión o actualización. Los cambios en una versión no significan automáticamente cambios en otras versiones. Esto supone un desastre para las pistas de auditoría de la compañía; un nuevo empleado o alguien que acceda a una de estas hojas de cálculo puede no saber necesariamente si es correcta, o si está desactualizada, un borrador descartado o cómo conciliarlo con otras hojas de cálculo. Es posible que ni siquiera pueda determinar información básica de la cadena de evidencia, como quién accedió a qué cuándo y quién hizo qué cambia cuándo. (Tener metadatos básicos para cuando se escribió la hoja de cálculo en el sistema o cuando se abrió por última vez no necesariamente es suficientemente útil).

Aún hay muchas áreas de auditoría o de cumplimiento que dependen abrumadoramente de hojas de cálculo rudimentarias, almacenadas localmente para políticas críticas y funciones de seguimiento. Esto representa un riesgo significativo de seguridad, privacidad y cumplimiento. A diferencia del software diseñado para labores específicas, el seguimiento manual de la gobernabilidad, el riesgo y el cumplimiento (GRC) con hojas de cálculo electrónicas almacenadas localmente puede significar tener varios archivos de hojas de cálculo que representan innumerables versiones pobremente documentadas. Sin las herramientas apropiadas, este problema de manejo de datos se complica a medida que las personas comparten hojas de cálculo relacionadas a través de canales inseguros como el correo electrónico o unidades USB.

Ahora bien, la existencia de aplicativos para labores específicas de auditoría o de cumplimiento, si bien contribuyen a minimizar los anteriores riesgos, en algunos de ellos muchas tareas siguen siendo manuales. A esto se suma que el error humano. Todo el mundo olvida o pasa por alto o descuida algo aquí o allá, y en el ámbito del cumplimiento normativo, el error humano es un factor de riesgo muy real.

Por ello es aconsejable contar con un software robusto para labores sensibles. Los aplicativos especializados en tareas de auditoría o de cumplimiento pueden detectar errores y descuidos, rastrear fechas y otra información e incluso identificar y llamar la atención sobre los requisitos de cumplimiento para partes de una empresa que de otro modo podrían pasarse por alto. Si a esto se suma que gestionar y realizar un seguimiento de todos los elementos necesarios y las tareas pendientes de forma manual puede ser demasiado dispendioso y pesado, un buen software o aplicativo podría aliviar realmente la carga de trabajo. Esto es especialmente útil para la gestión de terceros y la gestión de clientes.

Es así como una herramienta de auditoría o de cumplimiento automatizada, con una interfaz de usuario accesible y de uso amplio, se constituye en un valioso recurso. Esto no quiere decir que deban eliminarse las hojas de cálculo del proceso. Se trata de no usarlas como la única infraestructura (o al menos mayoritaria) en la labor de auditoría y de cumplimiento, y de hacer que la infraestructura sea más manejable, más segura y más accesible con más automatización y menos administración manual de datos. 

Fuente: Auditool