Integración de los enfoques de gestión documental y gestión de riesgos para el tratamiento de la información como evidencia de actos y transacciones organizacionales

REVISIÓN

 

Integración de los enfoques de gestión documental y gestión de riesgos para el tratamiento de la información como evidencia de actos y transacciones organizacionales

 

Integration of the approaches of documentary management and risk management for the treatment of the information as evidence of acts and organizational transactions

 

 

Mayra Marta Mena Mugica, Jorge del Castillo Guevara

Facultad de Comunicación. Universidad de La Habana. La Habana, Cuba.

 

 


RESUMEN

En el presente artículo se exploran los nexos entre gestión documental y gestión de riesgos. Para esto se analiza cómo la gestión documental ha evolucionado en las últimas décadas hasta enfocarse en los procesos de captura y mantenimiento de evidencias de actos y transacciones de negocios. Se muestra cómo la literatura especializada exploró dicha relación e identificó que los documentos son tanto fuentes de información para la identificación de riesgos, como objetos de riesgos en sí mismos. Se concluye que los sistemas de gestión documental ayudan a las organizaciones a gestionar la incertidumbre en relación con el fracaso en la creación y control de documentos de calidad, por el impacto negativo que esto tiene en la capacidad de la organización para lograr sus objetivos. En este sentido se considera que un sistema de gestión documental es un sistema de gestión de riesgos, en el que es esencial la determinación de requisitos de gestión documental para la identificación y la mitigación de riesgos organizacionales derivados de la información, como evidencia de actos y transacciones de negocios.

Palabras clave: gestión documental; gestión de riesgos; calidad de la información; control interno.


ABSTRACT

In this article the links between records management and risk management are explored. It is exposed how records management has evolved in recent decades to focus on the processes of capture and maintenance of acts evidence and business transactions. It shows how the specialized literature explored this relationship and identified that documents are both information sources for risks identification, and objects of risks in themselves. It is concluded that Records Management Systems help organizations to manage the effect of uncertainty in relation to the failure in the creation and control of quality documents, due to the negative impact that this has on the organization's capacity to achieve its objectives. In that sense a Records Management System is considered to be a Risk Management system, where it is essential the determination of records management requirements for the identification and mitigation of organizational risks derived from information as acts and business transactions evidences.

Key words: records management; risk management; information quality; internal control.


 

 

INTRODUCCIÓN

La literatura internacional que ha examinado los nexos entre documentos y riesgos, así como la de sus respectivos procesos de gestión, data de la última década del siglo XX. En un artículo pionero de 1998 en el que la australiana McKemmish,1 exploraba la relación entre gestión documental (GD) y rendición de cuentas, ya se aseguraba que el fracaso de los sistemas de gestión documental traía consigo riesgos organizacionales y sociales. En el año 2010, Victoria Lemieux aplicó la metodología del análisis visual a 248 artículos del campo de la GD publicados en siete revistas de corriente principal, e identificó que hasta ese momento la literatura especializada había explorado la relación entre documentos y riesgos desde los siguientes puntos de vista:

- Uso de los documentos para explorar riesgos organizacionales.

- Riesgos de los documentos.

- Documentos como causas de riesgos.

- Cambios en los documentos que pueden significar riesgos para la profesión.

- Riesgos asociados con los sistemas archivísticos tradicionales.

- Gestión Documental como técnica para la mitigación de riesgos.

- Aplicación de procesos de gestión de riesgos.

Esto permitió asegurar que un numeroso grupo de autores comoAkotia,2 Gilliland-Swetland,3 Palmer4 Lemieux,5-7 Clifford,8 Fraser y Henry,9 Dietel,10 Mat Isa,11 Reed,12 Ebaid,13 y Ngoepe,14 entre otros; exploraran desde finales del siglo XX la relación entre fracasos organizacionales y una pobre o inexistente gestión documental. En el presente artículo se examina una buena parte de esa literatura con el propósito de determinar cómo se ha abordado dicha relación para comprender el papel de los documentos y su gestión en la identificación y mitigación de riesgos organizacionales.

Este material es el primero de dos artículos que se proponen explorar la relación entre la gestión documental y la gestión de riesgos, con la intención de determinar el papel de la primera en los procesos de control interno. En consecuencia, este primer artículo tiene como objetivo explorar los nexos, identificados por la literatura internacional, entre estas áreas, y explicar el papel esencial de la primera en la identificación y la mitigación de riesgos derivados de la gestión de la información como evidencia de actos y transacciones de las organizaciones. Estos dos artículos se sustentan sobre los siguientes aspectos:

a) El énfasis que pone la conceptualización del modelo económico y social cubano de desarrollo socialista y el plan nacional de desarrollo económico y social hasta el año 2030, en la necesidad de modernización tanto de la Administración Pública como del sector empresarial.

b) La acelerada introducción de sistemas electrónicos de gestión de información en las administraciones cubanas, como consecuencia del proceso de informatización de la sociedad.

c) El fuerte desbalance que muestra el marco regulatorio cubano en relación con las necesidades de gestión administrativa eficiente y eficaz, y los imprecisos enfoques de gestión documental presentes en este.

d) La magnitud de los riesgos organizacionales identificados por la literatura internacional como consecuencia de una pobre o inexistente gestión documental.

e) La evaluación de los resultados de la XI comprobación nacional al control interno, publicados en el periódico Granma el 31 de enero de 2017, en los que la Contraloría General de la República expresó que "durante la ejecución de este proceso se presentaron 26 incidencias en 13 entidades, donde no se pudieron cumplir algunos de los objetivos específicos que se habían proyectado para las acciones de control. En general, estas incidencias están asociadas a la falta de confiabilidad de la documentación primaria o la inexistencia de la misma",15 lo que representó una pérdida de 90 millones 9 070 pesos en moneda nacional y 51 millones 505 792 de pesos convertibles.

Se utilizó como método el análisis documental clásico, a partir de la literatura especializada sobre gestión documental y gestión de riesgos, lo cual permitió examinar los nexos entre estas áreas y que han sido identificados por reconocidos autores en el contexto internacional.

 

LA GESTIÓN DOCUMENTAL

La gestión de los documentos en los que se registran los actos y transacciones organizacionales es tan antigua como la sociedad misma, pues esta necesita dejar registradas sus acciones en soportes perdurables en los que se pueda confiar, como forma de "mantenerse, protegerse y perpetuarse a sí misma".16 Como afirma Mena,17 esa necesidad de registro y confianza yace en el centro de un consenso social que supone ineludible la ejecución de determinadas acciones a través de la generación de documentos que sirvan de evidencia o prueba de estas, los cuales por su propia naturaleza, necesitan ser adecuadamente gestionadas.

El advenimiento de la época moderna con su impronta racionalizadora, asentada en la predictibilidad, deducción y control, propició el surgimiento de una forma de funcionamiento organizacional: el modelo burocrático legal racional descrito por Max Weber,18 en el cual todas las comunicaciones organizacionales se realizan a través de documentos escritos, por medio de rutinas normalizadas, estándares y reglamentos que definen los procedimientos para garantizar la comprobación, la documentación apropiada y el cumplimiento de las tareas y objetivos organizacionales. Dicho modelo se complementaba con formas de gestión documental que se asentaban en el sometimiento de los documentos a su conservación en archivos. De esta forma se buscaba que las comunicaciones fueran interpretadas de una manera uniforme, al tiempo que se avalaba la confianza en la información registrada en los documentos en que estas eran asentadas.

Sin embargo, la diversificación de las formas de registro de información, y especialmente la enorme explosión documental de mediados del siglo XX como resultado de la complejidad de las administraciones de la época, condujo a la necesidad del establecimiento de una nueva forma de manejo de los documentos que, inspirada en los enfoques propios de la gestión, se preocupó inicialmente por la economía y eficiencia del manejo de los documentos administrativos. Esta nueva forma apareció en los Estados Unidos entre las décadas de los 40-50 bajo la denominación de Records Management y fue refrendada en la Federal Records Act del Congreso Norteamericano en el año 1950, como el método de gestión de los documentos de la administración federal, con el objetivo de "asegurar una documentación adecuada, evitar lo no esencial, simplificar los sistemas de creación y uso del papeleo, mejorar la forma en que se organizan y recuperan los documentos, proporcionar el cuidado adecuado y el almacenamiento a bajo costo de los documentos en los archivos, y asegurar la ordenación adecuada de los documentos que no se necesitan por mucho tiempo en la conducción de los asuntos del momento".19 Estos procesos de gestión documental y sus herramientas se extendieron rápidamente por todo el mundo, dadas sus bondades para gestionar grandes volúmenes documentales, y mantuvieron sus valores de evidencia.

La gestión documental se definió entonces como el "área de la administración que se encarga de garantizar la economía y eficiencia en la creación, mantenimiento, uso y disposición de los documentos (records) durante todo su ciclo de vida".20 Si para los primeros momentos la gestión documental se asoció con propósitos de eficiencia, eficacia y bajos costos en el manejo de los documentos, ya para los años 90 del siglo XX sus funcionalidades fueron directamente vinculadas con la defensa de las organizaciones frente a fenómenos de fraude y corrupción, en las que se argumentó su papel determinante en la creación de capacidades organizacionales para la rendición de cuentas transparente y responsable.

Esta evolución en los propósitos de la gestión documental está estrechamente relacionada con los riesgos del mantenimiento del valor de evidencia (prueba) de las nuevas formas de producción de información, como resultado de la acelerada asimilación de las tecnologías de la información y la comunicaciones (TICs) por parte de las organizaciones contemporáneas.

Según Mat Isa,11 a partir de las últimas décadas del siglo XX, muchas organizaciones se vieron alentadas a introducir diferentes tipos de sistemas de gestión de información, tales como Electronic Document Management,Knowledge Management, Integrated Document Management, Content Management and Enterprise Content Management Systems, dadas las facilidades que ofrecían para la gestión de la información. Sin embargo, dichos sistemas carecían de funcionalidades de gestión de información como evidencia de actos y transacciones organizacionales que hicieran posible que la toma de decisiones y la rendición de cuentas se realizara con información de calidad. A pesar de esto, asegura Stephens,21 muchos ejecutivos corporativos se inclinaron a considerar la gestión documental como un esfuerzo discrecional, que no estaba relacionado con el éxito organizacional y, por consiguiente, indigno de atención por parte de una gestión seria.

Sin embargo, los grandes escándalos de corrupción de importantes corporaciones como Enron, Arthur Andersen, Tyco International , WorldCom y Peregrine Systems, entre otros, y sus quiebres por manipulación, decontroles internos contables, sus prácticas inadecuadas de destrucción de documentación financiera y el incumplimiento de regulaciones relativas a la disposición y retención de documentos, pusieron de manifiesto la ocurrencia de una profunda crisis en la capacidad de rendición de cuentas transparente y responsable por parte de las organizaciones, que ya había sido advertida desde la década de los 90 por el destacado archivista norteamericano David Bearman.22

Teniendo en cuenta que un factor clave de la crisis fue la manipulación fraudulenta de información financiera registrada en los controles internos, dadas las facilidades que las TICs ofrecían para dicha manipulación, esta tuvo significativas consecuencias para la gestión documental, tanto en el ámbito legislativo como normativo.

En la esfera legislativa es bien conocida la Public Company Accounting Reform and Investor Protection Act, promulgada en el año 2002 por el Congreso de los Estados Unidos [(más conocida como Sarbanes-Oxley Act o (SOX)], que si bien legislaba para las compañías y empresas de contabilidad públicas norteamericanas y sus subsidiarias, reflejaba las principales preocupaciones del mundo entero por los escándalos de corrupción de las corporaciones ya mencionadas. Según Mat Isa, 11 la SOX defiende la necesidad de la buena gobernanza corporativa y la rendición de cuentas transparente y responsable, a través de la necesidad de la integridad de los sistemas financieros y de contabilidad de las organizaciones públicas. Así, las secciones 302 y 404 (Título IV. Mejora de las Declaraciones Financieras) de la ley tienen importantes implicaciones para las políticas de gestión documental de las organizaciones públicas norteamericanas y sus firmas de auditoría.

Esto es especialmente importante en relación con la disponibilidad de la información en casos de auditorías, investigaciones gubernamentales, u otros propósitos legales, pues la SOX estableció importantes reglas relacionadas con la retención de los documentos, incluyendo los electrónicos (incluso el correo), la preservación de evidencias relevantes y la prohibición de su destrucción, encaminadas a lograr que la información sobre el estado financiero de las organizaciones se mantuviera disponible por el tiempo que fuera necesario. Asimismo, la SOX consideró como conducta criminal la destrucción, accidentalmente, de información como evidencia.

A partir de la refrendación de la SOX, el manejo fraudulento de la información del estado financiero de las organizaciones, y consecuentemente los incumplimientos sobre la retención de estos documentos, se convirtieron en infracciones legales imputables con penas de hasta veinte años de reclusión. Regulaciones similares a la SOX se aplicaron en todo el mundo a partir de ese momento. Se destacó la refrendada por Japón, conocida como JSOX.

Con respecto al ambiente normativo, la crisis favoreció la aparición de numerosas normas y buenas prácticas nacionales e internacionales. Dentro de ellas resulta de especial interés para los propósitos de este artículo las actualizaciones del marco del control interno realizadas por parte del ya mencionado Committee of Sponsoring Organizations of theTreadway Commission (COSO).

Dicho Comité, alentado por las funestas consecuencias de la crisis de transparencia y especialmente por la necesidad de cumplimiento de la SOX, actualizó solamente —dos años después de la promulgación de aquella— su marco de control interno del año 1994 y lo hizo integrándolo explícitamente a la gestión de riesgos. Esta actualización del año 2004 bajo el sugerente título de Gestión de Riesgos Empresariales - Marco Integrado (Enterprise Risk Management (ERM) - Integrated Framework) o COSO ERM, no sustituía el marco del control interno, sino que lo incorporaba a un enfoque de gestión de riesgos, que subrayaba particularmente los riesgos asociados a la manipulación de la información registrada en los informes financieros y consecuentemente a la necesidad de controles que garantizaran la confianza en estos. Así, el nuevo marco estableció, dentro de las categorías de objetivos de las organizaciones, la confiabilidad de los informes financieros y el cumplimiento de las normas y regulaciones legales.23 Este enfoque, basado en los principios de la gestión de riesgos, pretendía ofrecer seguridad razonable para alcanzar los objetivos de confiabilidad, integridad y exactitud de la información contable, salvaguardarla de manipulaciones fraudulentas y favorecer la confianza en los documentos, así como la producción oportuna de informes contables e información sobre la gestión de las organizaciones. Sin embargo, es preciso señalar que este marco contaba con un enfoque limitado en relación con las cualidades de la evidente información.

La necesidad de una nueva actualización del COSO en el año 2012 se fundamentó, según sus propios autores, en la identificación de un importante número de problemas a nivel mundial, tales como en el aumento de la complejidad y la versatilidad de los negocios, las expectativas de vigilancia para la gobernanza; el incremento de la atención sobre los riesgos y los enfoques basados en riesgo; la creciente megatendencia de la globalización de los mercados y de sus operaciones; el crecimiento de la complejidad de los negocios y de las estructuras organizacionales, incluyendo la tercerización y los proveedores estratégicos; el aumento del número y la complejidad de las de las leyes, la pobre o inexistente transparencia, el aumento de regulaciones y normas; la crisis financiera internacional, así como los escándalos de quiebres ya han sido mencionados y la evolución dramática de las tecnologías, que permiten el uso de sofisticados sistemas de información electrónicos que producen enormes cantidades de datos muy complejos de gestionar, especialmente en cuanto a su veracidad.24

En consecuencia, el enfoque respecto a los riesgos de la información se vio significativamente reforzado a partir de puntos de vista más claros sobre el combate al fraude, al considerar sus causas potenciales como un principio separado del control interno y, quizás lo más sobresaliente para los propósitos de este artículo, extendió el objetivo sobre la confiabilidad, integridad y exactitud de la información a los documentos no financieros. Para esto introdujo el concepto de calidad de la información, y lo definió como un elemento necesario para la efectividad del sistema de control interno, pues se reconoció que los datos inexactos e incompletos y la información derivada de ellos podía generar decisiones, estimaciones o juicios potencialmente erróneos, que son fuente permanente de riesgos.25

Como se puede apreciar, tanto la SOX como las diferentes actualizaciones del marco del control interno, reconocen la centralidad de los procesos de manipulación de la información en la ocurrencia de la crisis de transparencia y rendición de cuentas; consecuentemente prestan especial atención a los riesgos derivados de su manipulación fraudulenta y establecen un conjunto de requisitos para su manejo. Ahora bien, la consecución de dichos requisitos de calidad de la información es difícilmente alcanzable sin la implementación de un robusto sistema de gestión documental que sostenga y respalde el cumplimiento de normativas, como la SOX, y de control interno.

En este escenario, y bajo el influjo de la crisis de transparencia y rendición de cuentas ya mencionada, el Subcomité 11 del Comité Técnico ISO/TC 46 Información y documentación de la Organización Internacional de Normalización (ISO), publicó más de una decena de normas que se ocupan de los diferentes procesos de la gestión documental, entre las cuales sobresalen las muy conocidas ISO 15489 (partes 1 y 2) del año 2001 y la familia de Sistema de Gestión ISO 30300 de 2011. Esta última define el objeto de la gestión documental como la "información creada, recibida y mantenida como evidencia e información por una organización o persona en virtud de sus obligaciones legales o en el desarrollo de sus transacciones y actividades de negocios", donde la evidencia es la "documentación de una transacción"; es decir, es "...una prueba de realización de una transacción de negocio que puede demostrar que ha sido creada en el curso normal de la misma y que está intacta y completa. No se limita al sentido legal del término";26 información que es registrada en documentos que son "...generados o recibidos en el curso de actividades y transacciones organizacionales como sus instrumentos o subproductos, esos registros de información documental son las evidencias (pruebas) primordiales para suposiciones o conclusiones relativas a dichas actividades y las situaciones que contribuyen a crear, eliminar, mantener o modificar. A partir de esas evidencias, las intenciones, las acciones, las transacciones y los hechos pueden ser corroborados, comparados, analizados y evaluados".27

Consecuentemente, el mantenimiento del carácter de evidencia inalterable de este tipo de información necesita ser debidamente gestionado. En tal sentido, el papel por excelencia de la gestión documental hoy es la creación y el mantenimiento de información de calidad sobre las actividades y transacciones de negocios, para garantizar que la toma de decisiones, la rendición de cuentas, los procesos de auditorías, la identificación de riesgos y la memoria organizacional y social, tengan lugar en un escenario de seguridad razonable. Por otra parte, la gestión documental es vista hoy como un sistema de gestión que crea capacidades para que las organizaciones tomen decisiones y rindan cuentas de forma transparente y responsable, con información que pueda ser considerada de calidad.

Tal declaración insiste en dos aspectos en ocasiones olvidados por parte de las organizaciones: no basta con registrar las acciones y transacciones organizacionales en documentos para confiar en su veracidad, tampoco resulta suficiente mostrar esos documentos con propósitos de auditorías, reclamos judiciales, toma de decisiones o rendición de cuentas; sino que es necesario que estos sean gestionados de forma tal que se pueda confiar en dicha información, es decir, que sea posible garantizar su valor como evidencia o prueba veraz de dichas actividades.

En tal sentido, la norma ISO 15489, bajo el examen de las causas de la crisis, redefine a la gestión documental como el "área o campo de la gestión organizacional responsable por el control eficaz y sistemático de la creación, recepción, mantenimiento, uso, disposición y preservación de documentos (Records), en la que son determinantes los procesos de captura y mantenimiento de la evidencia y la información sobre las transacciones y actividades de negocios de la organización",28 y los documentos objeto de su gestión son definidos como "información creada, recibida y mantenida como evidencia y/o activo por una organización o persona, en el curso de sus obligaciones legales, sus actos y transacciones de negocios, o para dichos propósitos, sin importar su forma, formato o medio".21

Razonablemente un sistema de gestión documental permite la gestión sistemática de los documentos como información acerca de las actividades de negocios de las organizaciones, ya que tales documentos son el soporte tanto de las decisiones tomadas, como de las actividades subsiguientes y aseguran la rendición de cuentas ante las partes interesadas presentes y futuras.8

En consecuencia, puede afirmarse que la gestión documental ofrece la infraestructura necesaria, sobre la base de herramientas normativas, operativas y evaluadoras, para crear capacidades organizacionales que permitan generar y brindar información veraz sobre sus actuaciones, de forma tal que sea posible corroborar, comparar, analizar y evaluar con confianza cualquier ejercicio administrativo, evitándose posibles actos de manipulación de la información y consecuentemente la ocurrencia de hechos fraude y corrupción.

Como se puede observar, el objetivo de la gestión documental está alineado con los requerimientos de calidad de la información establecidos por regulaciones como la SOX y el control interno, pues dicho sistema establece políticas y procedimientos de custodia de la información, para satisfacer los requisitos legales y operacionales de las organizaciones, así como para la recuperación y distribución de información de calidad que es necesaria para la consecución de actividades de negocios e incluye la disposición de documentos para las auditorias que evalúan el cumplimiento del marco regulatorio.29 Esta afirmación resulta crucial para comprender la relación entre la gestión documental y la gestión de riesgos.

 

EL VÍNCULO ENTRE LA GESTIÓN DOCUMENTAL Y LA GESTIÓN DE RIESGOS

Desde la década de los 90 del siglo XX, como resultado de la crisis de transparencia y rendición de cuentas, comenzó a aparecer —tanto en el campo de la gestión documental como de la gestión de riesgos— considerable literatura que analizaba las interrelaciones entre ambos procesos. En un inicio se identificó que muchas dificultades de la gestión financiera de las organizaciones provenían de la ausencia de métodos de gestión documental para el tratamiento de los documentos generados por los sistemas de contabilidad.2,4 Sin embargo, ya para la primera década del siglo XXI se reconoció el carácter inseparable de los procesos de gestión documental y gestión de riesgos al considerarse que los programas de gestión documental debían constituir una parte integral de la gestión de riesgos de las organizaciones. Al mismo tiempo, se aceptó la idea de que la gestión documental tenía que ser asumida como una herramienta para la identificación y evaluación de riesgos, como se reconoce por autores como Fraser y Henry;9 Ebaid13 y Ngoepe.14

Sin embargo, Ngoepe14 asegura que las interrelaciones entre gestión documental y gestión de riesgos no siempre se articulan claramente, pues los directivos identifican y relacionan más los riesgos con las auditorías, los procesos legales y los problemas con las tecnologías, a pesar de que muchos de los riesgos se deben a problemas con los documentos y su gestión. En tal sentido, la citada autora resume como sigue las dimensiones en las que se relacionan los documentos y su gestión con los riesgos organizacionales: los documentos como fuentes de información para identificar riesgos organizacionales, y los documentos como fuente de riesgos organizacionales. Ambos aspectos están determinados por el carácter de evidencia de los documentos, pues estos permiten corroborar, comprobar, analizar y evaluar todas las actuaciones organizacionales, por lo que consecuentemente se constituyen en fuente de información esencial para la identificación de riesgos, ya que son el registro de información de todas las transacciones de negocios; es decir, el único subproducto, huella, traza o testimonio registrado de estas. Es a través de esta información que se puede conocer cómo, cuándo, por qué, para qué, dónde, por quién, se realizó una actividad o transacción de negocio y razonablemente su consulta permite identificar riesgos organizacionales, pues esta constituye “huella” informativa de las decisiones tomadas, al registrar la información de cómo estas se realizaron.

Por otra parte, los documentos en sí mismos son fuentes de riesgos si la calidad de la información que ellos contienen de las actividades de negocios es pobre o nula y si su integridad no puede ser demostrada, ya que todos los juicios, reflexiones, cálculos, estimaciones u otras decisiones de gestión organizacionales podrían ser completamente erróneas, incluso aquellas relacionadas con la propia identificación de riesgos organizacionales.

Mat Isa asegura al respecto que "...las decisiones o acciones tomadas deben estar basadas en evidencia empírica para evitar exponer a la organización a riesgos inesperados como consecuencia de la inexactitud de la información que se usa para evaluar los riesgos". 11 En consecuencia, la gestión de riesgos podría no alcanzar sus objetivos y no ser exitosa si las fuentes documentales para la identificación de los riesgos organizacionales no son gestionadas de forma tal que la integridad de la información registrada sobre actos y transacciones o actividades de negocios no pueda ser demostrada en alto grado; es decir, que la información contenida en los documentos que registran las actividades y transacciones de la organización no sea evidencia veraz, registro de información confiable, auténtica, íntegra y accesible.

En tal sentido, la gestión documental tiene la función de crear capacidades organizacionales para la identificación de riesgos, pues es a través de sus procesos y herramientas que es posible la creación y el mantenimiento de información de calidad. Por eso las normas ISO 15489-1 y 30300 identifican a la información como un recurso valioso y un activo importante para las organizaciones, pues su adecuada gestión ayuda a capitalizar su valor y a proteger a las organizaciones de pérdidas financieras, fraudes, corrupción e incluso del fracaso total y la consecuente desaparición como asevera Lemeaux.6

Clifford 8 identifica los tipos de riesgos que las organizaciones podrían enfrentar como resultado de una pobre o inexistente gestión documental y consecuentemente de la dudosa calidad de la información de sus procesos de negocios. Estos son:

 

- Riesgos legales: Pueden enfrentarse litigios o no cumplimiento de leyes o regulaciones, normativas, etcétera. Se conoce también como riesgos de cumplimiento.

- Riesgos financieros: Pueden enfrentarse pérdidas financieras o amenazas a la posición financiera de la organización.

- Riesgos de reputación: Pueden enfrentarse daños de la imagen pública, la confianza y la reputación de la organización.

- Riesgos ambientales: Imposibilidad de documentar prácticas medioambientales seguras.

 

A estos se agregan los riesgos operacionales o de transacciones, identificados por Ambira y Kemoni29 que imposibilitan a las organizaciones de cumplimentar efectivamente transacciones de negocios. Estos son aquellos que resultan del fraude, el error o la incapacidad de cumplir con productos y servicios, mantener la posición de competitividad y gestionar información. Estos pueden ser también riesgos estratégicos, pues resultan en decisiones erradas.

Mat Isa11 propone la integración de los procesos de gestión documental y gestión de riesgos en las organizaciones por medio de la formación de grupos de trabajo que integren el funcionamiento de los comités de auditoría, los archiveros y gestores documentales, así como los equipos de gestión de riesgos, pues la gestión documental refuerza a la gestión de riegos y asegura la disponibilidad de información de alta calidad para sus propósitos.

 

CALIDAD DE LA INFORMACIÓN Y RIESGOS ORGANIZACIONALES

Teniendo en cuenta lo explicado hasta aquí, el concepto de calidad de la información sobre actos y transacciones organizacionales resulta esencial para la efectividad de la identificación, mitigación y gestión de riesgos, pues permite tomar decisiones con seguridad razonable respecto a las fuentes de información para tales juicios o sentencias. En consecuencia este concepto se ha vuelto central tanto en el campo de la gestión documental como en el de la gestión de riesgos. El cuadro 1 muestra algunos de estos enfoques; sin embargo, nótese cómo las cualidades aportadas por el enfoque de la gestión documental (normas ISO 15489 y 30300), tales como confiabilidad, autenticidad, integridad y accesibilidad, asociadas todas con la confianza en la información registrada, son recurrentes en cada uno de ellos.

 

Como se puede apreciar, la gestión documental define la calidad de la información desde la cualidad de veracidad de los documentos; es decir, que ellos puedan ser considerados confiables, auténticos, íntegros y que estén disponibles, dicho de otra forma, desde el valor de la veracidad de las fuentes documentales de información.

Según MacNeil, la veracidad se define como la cualidad de los documentos para constituir "una declaración precisa y una manifestación genuina"30 de los actos y transacciones que ellos registran, lo que significa que estos no han sido manipulados o alterados, deliberadamente o no. La veracidad, también traducida como credibilidad, se compone de otras dos cualidades, la confiabilidad y la autenticidad. La primera, según ISO 15489-1, se refiere a aquellos documentos "cuyo contenido puede ser considerado una representación completa y precisa de las operaciones, las actividades o los hechos de los que da testimonio, y al que se puede recurrir en el curso de posteriores operaciones o actividades".28 Está relacionada con el momento de la creación de los documentos.

De otra parte, un documento auténtico, "es aquél del que se puede probar que es lo que afirma ser; que ha sido creado o enviado por la persona que se afirma que lo ha creado o enviado; y que ha sido creado o enviado en el momento que se afirma".28 Esto es la garantía de que el documento no ha sido manipulado o corrompido desde su creación, o sea, que mantiene su integridad como registro de información. En otras palabras la autenticidad es el mantenimiento en el tiempo y el espacio de la confiabilidad del documento.

Otros dos aspectos se consideran esenciales desde un enfoque de gestión documental respecto a la calidad de la información, la integridad y la accesibilidad de los documentos. La integridad hace referencia al carácter completo e inalterado de estos y la accesibilidad o disponibilidad a la necesidad de que estos puedan ser localizados, recuperados, presentados e interpretados, a lo largo del tiempo.28 Por tanto, alcanzar una seguridad razonable en relación con los riesgos derivados con la calidad de la información implica la creación y el mantenimiento de documentos en los que se pueda verificar la existencia de cualidades tales como la veracidad, confiabilidad, integridad y accesibilidad.

REQUISITOS DE GESTIÓN DOCUMENTAL PARA LA IDENTIFICACIÓN Y MITIGACIÓN DE RIESGOS ORGANIZACIONALES DERIVADOS DE INFORMACIÓN COMO EVIDENCIA DE ACTOS Y TRANSACCIONES ORGANIZACIONALES

Según la norma ISO 3030026 uno de los objetivos de los procesos de gestión documental es crear y controlar documentos de una forma sistemática y verificable para contribuir a la gestión de los riesgos asociados con la existencia o no de evidencias de actividades o transacciones organizacionales. Asimismo, la norma asegura que la implementación de sistemas de gestión documental ayuda a las organizaciones a cumplir con los objetivos de la gestión de riesgos, y asegura que se crea, gestiona y se hace accesible durante todo el tiempo que se necesita información veraz y confiable, como evidencia de las actividades realizadas bajo el sistema de gestión.

En tal sentido, la norma ISO/TR 18128 de 2014,31 sobre apreciación del riesgo en procesos y sistemas de gestión documental, considera que dichos riesgos se identifican basados en su potencial para socavar las cualidades de veracidad, confiabilidad, autenticidad, integridad y accesibilidad de los documentos, lo cual permite que no se satisfagan los propósitos para los que fueron creados; es decir, para el registro de actos y transacciones organizacionales.

Consecuentemente la norma establece que la identificación de riesgos de gestión documental debe estructurarse de acuerdo con las categorías de contexto, sistemas y procesos de creación y control de los documentos. El cuadro 2 muestra las áreas de incertidumbres que la norma identifica en relación con estas tres categorías de riesgos de gestión documental.

 

Al tener en cuenta que la norma ISO/TR18128 del año 2014 no trata directamente la mitigación de riesgos de gestión documental y dada la centralidad de los procesos y controles en dicho propósito, se abordarán brevemente con el objetivo de exponer sus particularidades generales para cualquier tipo de organización. Este abordaje se realizará tomando en cuenta la propuesta de la norma ISO 30301.

Los procesos de gestión documental que identifica la norma ISO 30301 son los de creación y control de los documentos, En consecuencia, en el Anexo A de esta se establecen los controles que serán necesarios establecer para garantizar la creación de documentos veraces, confiables, auténticos, íntegros y accesibles y su control. En tal sentido el proceso de creación deberá:

 

- Determinar qué documentos, cuándo y cómo deben ser creados y capturados en cada proceso de negocio.

- Determinar la información sobre el contenido, contexto y control (metadatos) que debe incluirse en los documentos.

- Decidir en qué forma y estructura se deben crear y capturar los documentos.

- Determinar tecnologías apropiadas para crear y capturar documentos.

 

En relación con el proceso de control de los documentos, el propio anexo A define que se deberá:

 

- Determinar qué información de control (metadatos) debe crearse en los procesos de gestión de documentos y cómo se vinculará con los documentos y se gestionará a largo del tiempo.

- Establecer las reglas y condiciones para el uso de los documentos a lo largo del tiempo.

- Mantener la usabilidad de los documentos a lo largo del tiempo.

- Establecer la disposición/eliminación autorizada de los documentos.

- Establecer las condiciones de administración y mantenimiento de las aplicaciones de gestión de documentos.

 

Como se puede observar, estas normas ofrecen herramientas útiles para el diseño e implantación de sistemas de gestión documental, lo cual ofrece garantías para alcanzar una seguridad razonable en relación con los riesgos organizacionales derivados del registro y la gestión de información como evidencia de los actos y transacciones de negocio.

 

CONCLUSIONES

Las definiciones de gestión documental evolucionaron en su propósito y objetivos de contribuir a la eficacia, eficiencia y bajos costos en el manejo de los documentos de las organizaciones en los años 50 del siglo XX, y a identificarse a partir de las primeras décadas del siglo XXI con procesos de captura y mantenimiento de evidencias de actos y transacciones de negocios, para la creación de capacidades organizacionales de rendición de cuentas, transparencia, responsabilidad, toma de decisiones e identificación de riesgos con información de calidad. Esto estuvo determinado, entre otros aspectos, por la profunda crisis de capacidad de rendición de cuentas desde el año 2000 que mostró la estrecha relación entre los fraudes y quiebres de importantes empresas con la capacidad que los sistemas de información electrónicos ofrecían para el acceso y la manipulación de la información.

La literatura especializada que exploró desde esa época la relación entre gestión documental y gestión de riesgos identificó que los documentos (información evidencia o prueba de actos y transacciones de negocios) son tanto fuentes de información para la identificación de riesgos, como fuente de riesgos en sí mismos, ya que el mantenimiento de su calidad resultan esenciales para la necesaria garantía de confianza en la información con que las organizaciones toman decisiones, rinden cuentas y son transparentes.

En consecuencia, se reconoce hoy que los riesgos asociados a la falta de calidad de la información para las organizaciones son de tipo legal, financiero, de reputación, ambientales y operacionales o transaccionales. Es por eso que se considera que el establecimiento de sistemas de gestión documental ayuda a las organizaciones a gestionar el efecto de incertidumbre en relación con el fracaso en la creación y control de los documentos de calidad, por el impacto negativo que esto tiene en la capacidad de la organización para lograr sus objetivos de toma de decisiones, transparencia, rendición de cuentas, mejora de los procesos de negocio, eficacia y eficiencia en los costos, e incluso en las relaciones con las partes interesadas.

Es en este sentido que se considera que un sistema de gestión documental es un sistema de gestión de riesgos, en el que es esencial la determinación de requisitos de gestión documental para la identificación y mitigación de riesgos organizacionales derivados de información como evidencia de actos y transacciones de negocios. Algunos de estos requisitos han sido aportados por las normas ISO de gestión documental y se enfocan en los procesos de creación y control de documentos, partiendo de la identificación de áreas de incertidumbre en relación con el contexto, los sistemas y los procesos de gestión documental.

 

Conflicto de intereses

Los autores declaran que no hay conflicto de intereses.

 

REFERENCIAS BIBLIOGRÁFICAS

1. McKemmish S. The smoking gun: recordkeeping and accountability. 22nd Annual Conference of the Archives and Records Association of New Zealand: Records and Archives Now;1998.

2. Akotia P. The management of public sector financial records: The implications for good government. Legon: University of Ghana; 1996.

3. Gilliland-Swetland A. Enduring paradigm, new opportunities: the value of the archival perspective in the digital environment. Council on Library and Information Resources; 2000.

3. Palmer M. Records management and accountability versus corruption, fraud and mal administration. Rec Manag J. 2000;10(2):61-72.

4. Lemieux V. Competitive viability, accountability and record keeping: a theoretical and empirical exploration using a case study of Jamaican Commercial Bank Failures. London: University College London; 2001.

5. Lemieux V. Two approaches to managing information risks. Inform Manag J. 2004;38(5):56-62.

6. Lemieux V. The records-risk nexus: exploring the relationship between records and risk. Rec Manag J. 2010;20(2):199-216.

7. Clifford C. Scary Records Management Stories. Rec Manag Bull. 2002;22-6.

8. Fraser I, Henry W. Embedding risk management: Structures and approaches. Manag Auditing J. 2007;22(4):392-409.

9. Dietel JE. Recordkeeping Integrity: Assessing records; content after enron. Inform Manag J. 2003;37(3):43-51.

10. Mat Isa A. Records management and the accountability of governance [Tesis de Doctorado]. Faculty of Arts, University of Glasgow; 2009.

11. Reed B. Managing record keeping risk. 2010 [citado 12 de junio de 2018]. Disponible en: http://www.naa.gov.au/records-management/strategic-information/linking/Recordkeepingrisks.aspx

12. Ebaid I. Internal audit function: An exploratory study from Egyptian listed firms. Internat J Law Manag. 2011;53(2):108-28.

13. Ngoepe M. The role of records management as a tool to identify risks in the public sector in South Africa. J Inform Manag. 2014;16(1):1-8.

14. Rivero RA. Dar en el control un necesario paso de avance. Periódico Granma. 17 de octubre de 2017.

15. Duranti L. The impact of digital technology on archival science. Arch Sci. 2001;1:39-55.

16. Mena Mugica MM. Propuesta de requisitos funcionales para la gestión de documentos archivísticos electrónicos en la Administración Central del Estado cubano (Tesis de Doctorado). Facultad de Comunicación. Universidad de La Habana; 2006.

17. Weber M. Economía y sociedad. México D.F.: Fondo de Cultura Económica; 1964.

18. Ricks A. La gestión de documentos como una función archivística. En: Ricks A, editor. La administración moderna de archivos y la gestión de documentos. París: UNESCO; 1985. p. 179-89.

19. Walne P. Dictionary of archival terminology. Berlín: Handbooks Series; 1988;3. p. 25.

20. Stephens DO. The Sarbanes-Oxley Act. Records management implications. Rec Manag J. 2005;15(2):98-103.

21. Bearman D. Electronic evidence: strategies for managing records in contemporary organizations. Pittsburgh: Archives & Museum Informatics; 1994.

22. Committee of Sponsoring Organizations of the Treadway Commission. Enterprise Risk Management-Integrated Framework. New York: Institute of Certified Public Accountants (AICPA); 2004.

23. Protiviti & Institute of Management Accountants. Improving Organizational Performance and Governance. How the COSO Frameworks Can Help. COSO; 2013.

24. Committee of Sponsoring Organizations of the Treadway Commission. Internal Control-Integrated Framework: Framework and Appendices; COSO; 2012.

25. ISO 30300. Información y Documentación. Sistemas de Gestión para los Documentos. Fundamentos y vocabulario. ISSO; 2011. p. 14.

26. Duranti L. Registros documentais contemporâneos como provas de ação. Estud Histór. 1994;7(13): 2.

27. ISO 15489-1. Information and Documentation Records Management. ISO; 2001. p. 3.

28. Ambira CK. Records management and risk management at Kenya Commercial Bank Limited. Nairobi: South Afr J Inform Manag. 2011;13(1):1-11.

29. MacNeil H. Trusting records: legal, historical and diplomatic perspectives. Kluwer Acadamic Publishers; 2000.

30. ISO/TR 18128. Información y Documentación. Apreciación del riesgo en procesos y sistemas de gestión. ISO; 2014.

 

 

Recibido: 27 de febrero de 2018.
Aprobado: 26 de mayo de 2018.

 

 

Mayra Marta Mena Mugica. Facultad de Comunicación. Universidad de La Habana. La Habana, Cuba. Correo electrónico: mmena@fcom.uh.cu

DOI: http://dx.doi.org/10.36512/rcics.v29i2.1213.g750

Copyright (c) 2018 jorge del castillo guevara

Licencia de Creative Commons
Este obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional.