A muchos puede parecerles extraño que la cuestión de los informes de la ley Sarbanes-Oxley (SOX) resurja tantos años después de que se aprobara la legislación original en 2002, y después de que se hayan invertido miles de millones de dólares en los sistemas, procesos y tecnología que las empresas han implantado para cumplirla.
No obstante, en los últimos años se ha producido un aumento constante del esfuerzo, los recursos y el coste del cumplimiento de la SOX debido a la renovada atención prestada a las hojas de cálculo en el proceso SOX, a medida que la dirección, los auditores y el Consejo de Supervisión Contable de Empresas Públicas (PCAOB) comprenden plenamente la magnitud y la importancia de la omnipresencia de las hojas de cálculo en aplicaciones y procesos empresariales clave.
Aunque el riesgo de la hoja de cálculo puede ser un nuevo ámbito de atención de la SOX, sus principios clave permanecen inalterados. Los resultados trimestrales y anuales comunicados por las empresas que cotizan en bolsa en Estados Unidos deben reflejar fielmente el negocio subyacente, y los altos directivos, normalmente el Consejero Delegado y el Director Financiero, deben estar dispuestos a dar fe de ello.
Esto significa que debe aplicarse el mismo nivel de control de gestión, transparencia y auditabilidad al nuevo entorno significativo de hojas de cálculo que al entorno informático corporativo que sustenta el resto del entorno SOX.
Las empresas suelen ser partidarias de mantener el uso de hojas de cálculo, ya que su potencia y flexibilidad contribuyen a su flexibilidad y dinamismo. Muchas reconocen cada vez más que la SOX significa que deben aportar la misma gobernanza y control que el resto de su parque informático.
Dados los retos que plantea la gestión del riesgo de las hojas de cálculo en el marco de la SOX, y la importancia de los resultados, las entidades deben reflexionar detenidamente sobre la mejor manera de aprovechar el poder de las hojas de cálculo, mitigando al mismo tiempo los riesgos asociados a ellas. Necesitan garantizar el gobierno de los datos que esperan la dirección, los auditores y los reguladores.
Un enfoque de mejores prácticas para la gestión del riesgo de la hoja de cálculo en el cumplimiento de SOX
Basado en la experiencia de ayudar a una amplia gama de empresas a abordar la gestión del riesgo de las hojas de cálculo bajo una serie de regímenes de cumplimiento, este es un enfoque de mejores prácticas de gestión del riesgo de las hojas de cálculo en SOX.
Identificar las hojas de cálculo SOX
La eficacia de los informes SOX depende de contar con las bases adecuadas, y es vital identificar todas las hojas de cálculo SOX clave. Estas hojas de cálculo pueden abarcar una serie de áreas y funciones empresariales: procesos de gestión de ingresos, modelos de gestión de costes, modelos de amortización, modelos de reconocimiento de ingresos, registros de contratos o gestión de pedidos, por ejemplo. Las hojas de cálculo también son importantes en los modelos de consolidación y en los informes finales. Todo ello, combinado con los datos de una serie de sistemas corporativos, da lugar a los resultados finales de SOX que deben certificarse.
Estas hojas de cálculo estarán ubicadas en distintos departamentos, unidades de negocio e incluso países. Puede haber diferentes versiones, formatos y definiciones utilizadas en la misma unidad de negocio, una situación que se amplifica a través de múltiples unidades de negocio. Esto proporciona un amplio margen para la aparición del riesgo de las hojas de cálculo más adelante en el camino de la implantación y la elaboración de informes.
Evalúe los riesgos de sus hojas de cálculo SOX
En un marco SOX que utilice hojas de cálculo, éstas tendrán una importancia variable. La importancia de una hoja de cálculo puede depender, por ejemplo, de cuántas otras hojas de cálculo estén vinculadas a ella, de cuántas fórmulas y hojas de trabajo contenga y de la complejidad de sus fórmulas y macros. Aunque es un criterio útil, otras hojas de cálculo mucho más sencillas pueden ser igualmente críticas para la presentación de informes SOX.
Disponer de un modelo sistemático de evaluación de riesgos para el cumplimiento de la SOX permite a las personas de toda la empresa acordar objetivamente cuáles son las hojas de cálculo que requieren un examen más minucioso. Esto puede constituir la base de un modelo eficaz de implantación de proyectos de gestión de hojas de cálculo SOX, además de servir para desarrollar el marco de gestión de riesgos, auditoría y gobernanza que requieren las instituciones.
También garantiza que la gestión de riesgos se centre en las áreas adecuadas, en lugar de que el esfuerzo se disipe evaluando demasiadas hojas de cálculo equivocadas.
Supervise y audite sus hojas de cálculo SOX
La etapa final consiste en supervisar de cerca sus hojas de cálculo SOX clave, para identificar los cambios en ellas y su impacto potencial en los resultados SOX y en el negocio en general. Es importante que los cambios en las hojas de cálculo (fórmulas, fuentes de datos, hojas de trabajo individuales y macros, por ejemplo) puedan identificarse fácilmente, ya que pueden tener un impacto material en los resultados finales de SOX.
Estos cambios deben ser fácilmente identificables, auditables y notificables, de modo que el marco de gestión de riesgos y gobernanza fundamental para cumplir la SOX esté plenamente respaldado.
Sea cual sea la forma en que una institución aborde este reto, es importante que el modelo de gestión de riesgos y gobernanza se considere un requisito indispensable de un modelo de implantación de gestión de hojas de cálculo SOX, junto con la gestión de datos, así como la integración y el diseño de sistemas. Además de garantizar la exactitud de los resultados finales, este enfoque asegura que los resultados finales de SOX, extraídos de los procesos basados en hojas de cálculo, están plenamente alineados con los requisitos de auditoría y gobierno de datos de SOX.
Ofrecer estas capacidades mediante procesos manuales es, como mínimo, un reto. Hay margen para implementar estas capacidades, aprovechando la automatización, de manera eficiente y eficaz, utilizando las capacidades de ClusterSeven.
Descubra PolicyHub
It’s the Policy Management solution that’s easy to use, so you can build stronger compliance.
