Al conjunto de hojas de cálculo y de bases de datos de escritorio (MS Access/FoxPro) se les identifica como Aplicaciones de Usuario (AU ). Éstas se utilizan en muchos lugares, pues permiten preparar y realizar análisis rápidos que nos consumirían tiempo en exceso. Su éxito radica en la flexibilidad que nos proporciona su uso. El problema está en el hecho de que tendemos a tener una confianza excesiva o indebida en la integridad del análisis que preparamos. En la medida en la que los usuarios adquieren más conocimientos técnicos, aumenta el número, uso y complejidad de las aplicaciones de usuario, la mayoría de las cuales, respaldan procesos de negocios importantes

El tamaño del problema

Los requerimientos normativos o regulatorios han hecho resaltar la importancia y el grado en el que las aplicaciones de usuario están siendo utilizadas. Los negocios
que reciben el impacto de la Ley Sarbanes-Oxley y de Basilea II se encuentran bajo presión para probar que no se producen errores en las aplicaciones críticas de usuario para el negocio. Los proyectos de cumplimiento en la Sarbanes-Oxley, sólo tocan la punta del iceberg, ya que centran su atención en los riesgos relacionados con la generación de informes financieros; sin embargo, el riesgo operativo puede llegar a ser más significativo: una simple búsqueda de sus redes puede sorprenderle sobremanera, ya que es posible llegar a revelar cientos, si no es que miles de aplicaciones de usuario que están siendo utilizadas.

¿Por qué es un tema de riesgo de negocios relevante?

• De las empresas de EE.UU., 95% basan en las AU sus reportes financieros, es posible encontrar errores en 94% de todas las hojas de cálculo.

• Las AU se utilizan en las empresas, tanto en sus operaciones, como en la generación de información para la toma de decisiones de procesos críticos (presupuesto, tesorería, ventas, informes, bonos, etcétera).

• Los sistemas centrales, comúnmente, son alimentados de forma manual o automática, por los datos generados en las AU. Un error en una AU puede afectar la integridad de la información y deteriorar los controles en todos los sistemas centrales.

Algunas preguntas que debemos hacernos para entender la problemática, son:

• ¿Sabemos en dónde son ocupadas las aplicaciones de usuario que soportan procesos críticos de la empresa?

• ¿Sabe cómo estas aplicaciones están siendo controladas?

• ¿Está enterado cómo los cambios organizacionales (rotación de personal, etc.), impactan la habilidad de mantener el nivel necesario de control?

Los siguientes son algunos de los indicadores de la necesidad de realizar un análisis para establecer mecanismos de control sobre las hojas de cálculo:

• La existencia y uso de un gran número de hojas de cálculo y bases de datos desarrolladas por los propios usuarios finales.

• El uso de hojas de cálculo para los análisis de precios, la elaboración de modelos y la toma de decisiones.

• El uso significativo de las hojas de cálculo para recopilar y presentar la información financiera.

• La existencia de un historial de errores debidos al uso de las aplicaciones de usuario final.

• La no existencia de una política, en relación con el desarrollo y el uso de las aplicaciones de usuario final.

• Las obligaciones para el cumplimiento con la Ley Sarbanes-Oxley.

Estos son algunos ejemplos reales de errores no voluntarios en la elaboración de AU:

• Fidelity. Un signo de menos omitido causó que el Fondo Magellan sobre estimara los ingresos proyectados por USD 2.6 mil millones y se perdió un dividendo ya prometido. CIO World.

• Fannie Mae. Después de liberar las cifras correspondientes al tercer trimestre, Fannie Mae tuvo que re-emitir sus utilidades no realizadas en USD1.2 billones. Esto fue el resultado de “errores honestos en una hoja de cálculo utilizada en la implementación de una nueva Norma de Información Financiera”. PC World.

De las empresas estadounidenses, 95% basan en las AU sus reportes financieros, y es posible encontrar errores en 94% de todas las hojas de cálculo»

Los siguientes son ejemplos malos manejos en la elaboración de las AU:

• Allfirst. Un cajero de la casa de cambio, que comenzó a perder dinero de sus compras y ventas, utilizó las AU y ocultó pérdidas. Al descubrirse ascendieron a USD$691.2 M, que equivalían a 60% de los ingresos de la compañía. Sarbanes–Oxley: What About All the Spreadsheets? Raymond R. Panko.

• ProQuest. El CFO, utilizando aplicaciones de usuario hizo asientos de contabilidad fraudulentos, creó documentación falsa para manipular saldos de cuentas, mediante hileras ocultas para esconder información falsa haciéndola invisible. El costo para la compañía fue de más de USD 437 millones de valor en el mercado de capitales.

La solución: nos enfocamos en la raíz de la solución: incorporar controles en las AU.

Lic. Luis Cabrera Álvarez
Director de TI
Centro Bursátil
luis.cabrera@protiviti.com.mx

Hoy en día, se ofrece una solución muy práctica para ayudar a administrar y gestionar el riesgo que surge del uso de las aplicaciones de usuario. El enfoque ha sido desarrollado al trabajar con algunas de las organizaciones más grandes a nivel mundial. El enfoque se puede aplicar en cualquier empresa, independiente de sus objetivos en relación con la administración o gestión del riesgo.

El enfoque consta de cuatro etapas, cada una de las cuales es una parte crítica para la solución integral de la administración de aplicaciones de usuario. Muchas empresas pueden haber alcanzado cierto progreso como resultado de las iniciativas de cumplimiento.

Identificar las aplicaciones de usuario y priorizar

• Definir, de manera clara, los objetivos (por ejemplo, el cumplimiento con la Ley Sarbanes-Oxley versus el riesgo operativo).

• Correr herramientas para escanear la red y evaluar la escala del problema.

• Definir cuál es el significado del término “crítico para el negocio” en relación con estos objetivos.

• Utilizar un enfoque basado en riesgos para centrar la atención y localizar las partes del negocio que otorgan más confianza a las aplicaciones.

• Discutir con los propietarios de los procesos para identificar aquellas aplicaciones potencialmente críticas.

Un buen enfoque de control consta de cuatro etapas, cada una de las cuales es una parte crítica para la solución integral de administración de aplicaciones de usuario»

• Crear un inventario de aplicaciones críticas (requerido para el cumplimiento de la Ley Sarbanes-Oxley).

• La criticidad de cada aplicación se evalúa considerando el potencial impacto financiero u operacional que pueden llegar a causar los errores.

• Se utiliza una metodología desarrollada de manera interna para determinar el grado de probabilidad de ocurrencia de errores de una aplicación.

Evaluar la integridad y los controles

• Revisar las aplicaciones de usuario, críticas para verificar los posibles errores materiales o lógicos y realizar el trabajo de remediación, en la medida en que éste se requiera, para obtener seguridad en relación con el uso de la aplicación.

• La integridad lógica de las aplicaciones críticas debe ser evaluada para sentar las bases adecuadas de funcionalidad de las aplicaciones existentes.

• Considerar cuáles son los controles que existen en relación con el desarrollo, mantenimiento y uso de las aplicaciones.

• Considerar si existen controles para mitigar el riesgo en los proceso de negocios, que puedan detectar los errores en caso de que surjan.

• Realizar un análisis de las brechas para identificar un plan de remediación que contenga los pasos adecuados para mejorar el control general sobre las aplicaciones al nivel que se requiere.

Implementar el marco de control

• Se debe implementar un marco de control o proceso para administrar y gestionar las aplicaciones de usuario de manera continua y asegurar que se puede confiar en que se protegerá la integridad de las aplicaciones críticas más adelante.

• Las políticas y procedimientos solamente reducirán el riesgo si las políticas se adoptan de manera consistente. Se requerirán de programas de entrenamiento y de procesos de monitoreo para lograr el cumplimiento.

• Existen soluciones tecnológicas para reducir el esfuerzo manual que se requiere para administrar o gestionar los riesgos generados por el uso de las aplicaciones de usuario y para asegurar el cumplimiento de manera continua. Se puede ofrecer el apoyo para seleccionar la herramienta apropiada teniendo en cuenta los objetivos de su negocio.

Rediseño de las aplicaciones de usuario

• Para las aplicaciones críticas consideramos su reconstrucción, incorporando controles en las mismas aplicaciones y las mejores prácticas en el uso de Add-Ins de Excel; o la migración de la funcionalidad de las aplicaciones hacia una aplicación estructurada que sea controlada por el departamento de TI.

Entendemos que las hojas de cálculo van a existir por siempre. Se debe contar con la experiencia para ayudarle a entender el riesgo que se relacionado con el uso de las aplicaciones de usuario; además, puede ayudarle a implementar los controles que sean apropiados para cada situación. Nuestro enfoque representa una respuesta adecuada al riesgo relacionado con el uso de estas aplicaciones, considerando las necesidades reales del negocio.