Tecnologia

Gripe A (H1N1) + Teletrabajo + SOX

Las diferentes situaciones que se han originado en mi país (Argentina) en relación con la Gripe A (H1N1) y su directa relación con el Teletrabajo para cierto tipo de actividades, me ha llevado a considerar e investigar acerca de las normas internacionales de calidad que afectan e influyen a la misma, tanto para aquella organización que se encuentra evaluando su implementación, como para aquella persona que desea trabajar en modalidad remota.


En esta primera parte abordaré superficialmente los conceptos relacionados con las normas SOX.

Varias son las razones por las cuales el “Teletrabajo“ actualmente es una de las opciones para las organizaciones en todo el mundo, p.e.:

    * contaminación ambiental,
    * dificultades en el traslado a la empresa,
    * catástrofes climáticas,
    * atentados terroristas,
    * pandemias (Gripe A, SARS, SIDA, otros),

Muchos son los websites y blogs que podemos encontrar con mucha información al respecto desde diferentes posturas, discutiéndose sus ventajas y desventajas, exponiéndose ejemplos y casos concretos, con propuestas y hasta dictámenes a la espera de una promulgación de ley.

Indudablemente todo este cúmulo de conocimiento -que va en aumento- se origina debido a los factores antes enumerados y las acciones que se están evaluando y/o ejecutando para darle solución a esta problemática mundial.

Ahora bien, para efectuar esta actividad tanto la organización como la persona que actuará como “teletrabajador” deberán cumplir con una serie de precondiciones y ejecutar determinados procedimientos antes/durante/después de la misma.

Respecto a la empresa, hay que considerar si la misma actúa en el mercado norteamericano o cotiza en la bolsa de EEUU y/o son proveedores de las mismas, ya que rigen para ellas las SOX (Sarbanes-Oxley), y para aquellas que no, el mismo mercado les esta marcando el camino a la certificación en una o en más de las actuales normas de calidad internacional (ISO, ITIL, PMI, COSO, entre otras).

Respecto al teletrabajador, hay que considerar si trabaja para alguna de estas organizaciones ya que las propias exigencias que tienen las mismas, afectará el teletrabajo debido a determinadas condiciones y reglamentaciones que deberá estar cumplimentando la persona.

En el universo actual de tipo de organizaciones nos podemos encontrar con aquellas que:

    * han implementado normas SOX
    * están en el proceso de implementación de las normas SOX
    * han implementado alguna de las normas internacionales de calidad
    * están en el proceso de implementación de alguna de las normas internacionales de calidad
    * están evaluando alguna de estas posibilidades para implementarlas
    * no se encuentran en ninguno de estos estados

En cualquiera de estos escenarios, por experiencia, siempre nos encontraremos con problemas de tipo organizacional, humano y de gestión de procesos.

Los disparadores tienen su origen en los cambios que provoca la implementación de este tipo de normas ya que es directamente proporcional con la madurez de la organización.

La implementación de estas normas provoca conflictos y discusiones a nivel político y operativo entre las gerencias, departamentos, sectores, oficinas, o como se hayan definido las divisiones de aquellas organizaciones que han decidido este cambio, debido a los relevamientos detallados que se deben realizar sobre:

    * los procesos;
    * las actividades;
    * las tareas;
    * las transacciones;

para obtener así los controles pertinentes.

No es sencillo trabajar en este proceso de cambio para fijar las SOX ya que mucho tiene que ver el grado de madurez que se tenga, no todas las personas tienen una educación forjada o experiencia adquirida relacionada con la generación de procedimientos de control o documentación. Por ese motivo hay circunstancias donde hay que capacitar mientras que hay otras en donde hay que recomendar e insistir en que efectúe la tarea. A veces hasta cuesta hacer entender que con procesos controlados, se puede trabajar mejor e incluso se hacen más fácil las actualizaciones y/o mejoras que haya que hacer sobre ellos.

Sintéticamente habría que abarcar las siguientes etapas:

   1. Determinación del Alcance
   2. Relevamiento y Documentación de Procesos y Controles
   3. Análisis del Diseño de los Controles y Planes de Contingencia
   4. Análisis del Diseño de los Controles y Planes de Continuidad de Negocios
   5. Walkthrough (ó Recorridos)
   6. Pruebas de Efectividad de los Controles y Planes de Contingencia / Continuidad de Negocios
   7. Autoevaluación (Management) – Certificación (Auditor Externo)

Para que este proceso tenga el éxito esperado, desde el primer momento habrá que tener el apoyo y compromiso de la dirección de la empresa, gerencia general, y altas gerencias.

La inducción correspondiente debe marcar muy claramente una de las exigencias de estas normas que son las registraciones de evidencias objetivas que permitan a un área de auditoría interna o externa, conocer las razones de las valuaciones y/o exposiciones con sus correspondientes autorizaciones, asi como controlar que cada instancia volcada en los Estados Contables y Financieros tengan su correspondencia razonable.

El foco de estudio en este tipo de normas son todos aquellos procesos que tengan impacto significativo en los estados financieros de la organización. Por lo tanto, habrá que conocer la forma en que la empresa controla, para elaborar un correcto diagnóstico inicial.

Del relevamiento mismo puede estar surgiendo como resultado a detección de controles duplicados, redundantes, y/o sin sentido.

Quien se haga cargo de este proceso de cambio debe tener una mentalidad sistémica ya que el control que se esté estudiando no hay que tratarlo como algo aislado sino como una parte de un sistema.

La etapa del Walkthrough muchas veces no es tenida en cuenta aunque bien puede considerarse muy importante porque puede servir de input para el pretesting que toda organización debe llevar a cabo.

En cuanto al Pre Testing, los resultados que puede arrojar son los siguientes:

    * inexistencia de evidencia documental
    * control no implementado
    * control no funciona tal como fue establecido
    * determinación de los controles claves
    * controles recientemente implementados
    * controles que requieren ajustes
    * controles que se disparan en determinados períodos

Sobre estos últimos es muy importante “construir” las precondiciones necesarias para simular suficientes escenarios que permitan testear este tipo controles, de lo contrario se llegará a la etapa del testing por parte de los certificadores con mucha incertidumbre.

Podemos concluir que cada proceso debería tener un sistema que permita minimizar el riesgo de ocurrencia de fraudes o errores, sin la necesidad de activar las alarmas tempranas del sistema contable, para ciertos casos.

Fuente: Testeo y calidad del software (http://www.testingsoftware.com.ar/gripe-a-h1n1-teletrabajo-sox/)