ArticlePDF Available

Integración de los enfoques de Gestión Documental y Gestión de Riesgos para la identificación y mitigación de riesgos derivados de la información como evidencia de actos y transacciones organizacionales Integration of approaches of Record Management and Risk Management for the identification and mitigation of risks derived from the information as evidence of organizational acts and transactions

Authors:

Abstract

En el presente artículo se exploran los nexos entre gestión documental y gestión de riesgos. Para esto se analiza cómo la gestión documental ha evolucionado en las últimas décadas hasta enfocarse en los procesos de captura y mantenimiento de evidencias de actos y transacciones de negocios. Se muestra cómo la literatura especializada exploró dicha relación e identificó que los documentos son tanto fuentes de información para la identificación de riesgos, como objetos de riesgos en sí mismos. Se concluye que los sistemas de gestión documental ayudan a las organizaciones a gestionar la incertidumbre en relación con el fracaso en la creación y control de documentos de calidad, por el impacto negativo que esto tiene en la capacidad de la organización para lograr sus objetivos. En este sentido se considera que un sistema de gestión documental es un sistema de gestión de riesgos, en el que es esencial la determinación de requisitos de gestión documental para la identificación y la mitigación de riesgos organizacionales derivados de la información, como evidencia de actos y transacciones de negocios.
Integración de los enfoques de Gestión Documental y Gestión
de Riesgos para la identificación y mitigación de riesgos
derivados de la información como evidencia de actos y
transacciones organizacionales
Integration of approaches of Record Management and Risk
Management for the identification and mitigation of risks
derived from the information as evidence of organizational acts
and transactions
Mayra Marta Mena Mujica
1
y Jorge del Castillo Guevara
2
Resumen
En el presente artículo se exploran los nexos entre Gestión Documental y Gestión de Riesgos. En
tal sentido se expone como la Gestión Documental ha evolucionado en las últimas décadas hasta
enfocarse en los procesos de captura y mantenimiento de evidencias de actos y transacciones de
negocios para la creación de capacidades organizacionales de rendición de cuentas, transparencia,
responsabilidad, toma de decisiones e identificación de riesgos con información de calidad.
Asimismo se muestra como la literatura especializada que exploró dicha relación identificó que
los documentos (información evidencial o prueba de actos y transacciones de negocios) son tanto
fuentes de información para la identificación de riesgos, como fuente de riesgos en sí mismos, ya
que el mantenimiento de su calidad o cualidades de veracidad, confiabilidad, autenticidad,
integridad y accesibilidad resultan esenciales para la necesaria garantía de confianza en la
información con que las organizaciones toman decisiones, rinden cuentas y son transparentes.
Finalmente se concluye que el establecimiento de Sistemas de Gestión Documental ayuda a las
organizaciones a gestionar el efecto de incertidumbre en relación con el fracaso en la creación y
control de documentos de calidad, por el impacto negativo que esto tiene en la capacidad de la
organización para lograr sus objetivos de toma de decisiones, transparencia, rendición de cuentas,
mejora de los procesos de negocio, eficacia y eficiencia en los costos, e incluso en las relaciones
con las partes interesadas. Es en este sentido que se considerara que un Sistema de Gestión
Documental es un sistema de Gestión de Riesgos, en el que es esencial la determinación de
requisitos de Gestión Documental para la identificación y mitigación de riesgos organizacionales
derivados de información como evidencia de actos y transacciones de negocios.
Palabras clave: gestión documental; gestión de riesgos; calidad de la información; control interno
1
Universidad de La Habana, Facultad de Comunicación, Cuba, mmena@fcom.uh.cu
2
Universidad de La Habana, Facultad de Comunicación, Cuba, guevara@fcom.uh.cu
Abstract
In this article, the links between Record Management and Risk Management are explored. In this
sense, it is exposed how Record Management has evolved in recent decades to focus on the
processes of capture and maintenance of evidence of acts and business transactions for the
creation of organizational capacities of accountability, transparency, responsibility, decision
making and identification of risks with quality information. It also shows how the specialized
literature that explored this relationship identified that the documents (evidential information or
evidence of acts and business transactions) are both sources of information for the identification
of risks, as a source of risks in themselves, since maintenance of its quality or qualities of
truthfulness, reliability, authenticity, integrity and accessibility are essential for the necessary
guarantee of confidence in the information with which organizations make decisions, render
accounts and are transparent. Finally, it is concluded that the establishment of Record
Management Systems helps organizations to manage the effect of uncertainty in relation to the
failure in the creation and control of quality documents, due to the negative impact that this has
on the organization's capacity to achieve its objectives of decision making, transparency,
accountability, improvement of business processes, effectiveness and efficiency in costs, and even
in relationships with stakeholders. It is in this sense that a Record Management System is
considered to be a Risk Management system, in which the determination of Record Management
requirements for the identification and mitigation of organizational risks derived from
information as evidence of acts and transactions is essential of business.
Keywords:record management;risk management; quality information; internal control
Introducción
El presente material es el primero de dos artículos que se proponen explorar la relación entre la
Gestión Documental y la Gestión de Riesgos, con la intención de determinar el papel de la
primera en los procesos de Control Interno. En consecuencia, este primer artículo examina la
relación entre Gestión Documental y Gestión de Riegos, para en el segundo centrarnos en el
análisis del papel de los sistemas de Gestión Documental en la consecución de los objetivos del
Control Interno.
La literatura internacional que ha examinado los nexos entre documentos y riesgos, así como la
de sus respectivos procesos de gestión, data de la última década del siglo XX. En un artículo
pionero de 1998 en el que la australiana McKemmish, exploraba la relación entre Gestión
Documental y rendición de cuentas, ya se aseguraba que el fracaso de los sistemas de Gestión
Documental traía consigo riesgos tanto organizacionales como sociales (McKemmish, 1998).
Más tarde, en 2010, Victoria Lemieux, aplicando la metodología del análisis visual a 248
artículos del campo de la GD publicados en siete revistas de corriente principal
3
identificó que
hasta ese momento la literatura especializada había explorado la relación entre documentos y
riesgos desde los siguientes puntos de vista:
Uso de los documentos para explorar riesgos organizacionales,
Riesgos de los documentos,
Documentos como causas de riesgos,
Cambios en los documentos que pueden significar riesgos para la profesión,
Riesgos asociados con los sistemas archivísticos tradicionales,
Gestión Documental como técnica para la mitigación de riesgos,
Aplicación de procesos de Gestión de Riesgos.
Ello nos permite asegurar que un numeroso grupo de autores como Akotia (1996) Gilliland-
Swetland (2000); Palmer (2000); Lemieux (2001, 2004, 2010); Clifford (2002); Fraser y Henry
(2007); Dietel (2003); Mat Isa (2009); Reed (2010); Ebaid, (2011); Ngoepe (2014), entre otros;
exploraron desde fines del siglo XX la relación entre fracasos organizacionales y una pobre o
inexistente Gestión Documental. En el presente artículo se examina una buena parte de esa
literatura con el propósito de determinar cómo se ha abordado dicha relación para comprender el
papel de los documentos y su gestión en la identificación y mitigación de riesgos
organizacionales.
Resulta importante señalar que nos hemos visto animados a publicar estos dos artículos teniendo
en cuenta los siguientes aspectos:
a) El énfasis que pone la Conceptualización del
Modelo Económico y Social Cubano de Desarrollo Socialista y el Plan Nacional de
33
Las revistasexaminadaspor la autorafueron American Archivist, Archival Science, Archivaria,
Information Management Journal, Journal of Documentation, Journal of the American Society of
Information Science and Technology (JASIST), Records Management Journal.
Desarrollo Económico y Social hasta 2030, en la necesidad de modernización tanto de la
Administración Pública como del sector empresarial,
b) La acelerada introducción de sistemas electrónicos
de gestión de información en las administraciones cubanas, como consecuencia del proceso
de informatización de la sociedad,
c) El fuerte desbalance que muestra el marco
regulatorio cubano en relación con las necesidades de gestión administrativa eficiente y eficaz
y los imprecisos enfoques de Gestión Documental presentes en el mismo,
d) La magnitud de los riesgos organizacionales
identificados por la literatura internacional como consecuencia de una pobre o inexistente
Gestión Documental y, no por último menos importante;
e) La evaluación de los resultados de la XI
Comprobación Nacional al Control Interno, publicados en el periódico Granma el 31 de enero
de 2017, en los que la Contraloría General de la República expresó que “Durante la ejecución
de este proceso se presentaron 26 incidencias en 13 entidades, donde no se pudieron cumplir
algunos de los objetivos específicos que se habían proyectado para las acciones de control. En
general, estas incidencias están asociadas a la falta de confiabilidad de la documentación
primaria o la inexistencia de la misma…”, lo que representó una pérdida de 90 millones 9 070
pesos en moneda nacional y 51 millones 505 792 de pesos convertibles.
La necesidad de un estado de seguridad razonable en el actual contexto organizacional, ha estado
condicionada por un entorno de alto riesgo en relación con el cumplimiento de los objetivos
institucionales y el buen curso de la gestión administrativa. Algunos acontecimientos ocurridos a
lo largo del siglo XX y que marcaron el inicio de una sociedad que algunos han decidido
denominar posmoderna -como el proceso de internacionalización de los recursos (globalización),
la presencia de un modelo neoliberal, el cambio de las estructuras burocráticas, el desarrollo de
las tecnologías de la información y las comunicaciones, y con ello, el advenimiento de los nuevos
modos de producción documental-, han conducido a que autores como Bearman (1994) se
refieran a una crisis de transparencia y de rendición de cuentas en las organizaciones.
Los escándalos por corrupción y falsedad documental acontecidos a lo largo de la segunda mitad
del siglo pasado -como PROFS, Enron y WorldCom-, han propiciado que cada país refuerce sus
sistemas de control interno, en especial en lo que se refiere al manejo y uso de los documentos y
la información que se genera como resultado de los procesos de trabajo. Por otra parte, en el
dominio de la gestión documental, en artículos publicados especialmente en el ámbito anglosajón
se puede observar un recurrente interés por abordar temas relacionados con la rendición de
cuentas y la gestión de riesgos, entre los que se destacan: McKemmish (1998); Palmer (2000);
Lemieux (2000, 2004, 2010); Mat Isa (2009); Reed (2010); Ngoepe (2014), entre otros.
En algunos de los análisis realizados sobre casos como el de Enron
4
, no se señala la insuficiente
gestión de la documentación como una de las causas fundamentales que, ciertamente, llevaron a
una empresa como esta a su total descalabro. No obstante, este caso es un ejemplo de la
necesidad de un adecuado control de la información sobre las operaciones.
Tradicionalmente, se ha visto por separado el control de la gestión organizacional del manejo de
la información financiera. Sin embargo, en la actualidad se considera un aspecto esencial la
adecuada gestión de este tipo de información para que las organizaciones puedan informar con
integridad (Cunningham& Harris, 2006).
Esta mirada resulta necesaria toda vez que la manera en que se gestionan los documentos y la
información sobre los procesos de trabajo tiene una relación directa con los riesgos de una
organización y, por tanto, su control interno, pues como aseveran Reed y Gordon (2010), el
mantenimiento de la confiabilidad y fidelidad de la información como evidencia de las
actividades es un aspecto crítico de la gestión organizacional, en la medida que contribuye con su
efectividad y eficacia, así como a ofrecer servicios confiables. Por ello, la gestión documental
debe ser transversal a todos los procesos y sistemas de la organización.
4
Enron fue considerada una de las compañías más innovadoras de América. Se trata de una de las más importantes
compañías energéticas de los Estados Unidos que llegó a la quiebra en el año 2001 por manipulación de sus
estados financieros, entre otros aspectos, por lo que se ha considerado un caso emblemático de fraude
empresarial.
La norma ISO 30300 Information and documentation Management systemfor records
Fundamentals and vocabulary, concibe la gestión documental como
área de gestión responsable de un control eficaz y sistemático de la creación, la recepción,
el mantenimiento, el uso y la disposición de los documentos, incluidos los procesos para
incorporar y mantener, en forma de documentos, las información y prueba de las
actividades y operaciones de la organización.
Esta definición esclarece algunos aspectos que resulta importante puntualizar:
1. Se trata de un proceso de gestión, por lo que requiere ser planificado, organizado, dirigido
y controlado.
2. La gestión documental no comienza al final de la vida de los documentos o la
información, ni después de creados, sino en el propio momento de su creación, incluso
antes.
3. Tiene como finalidad garantizar el carácter probatorio de la información; esto implica que
los documentos y la información cumplan su propósito de servir como evidencia de los
procesos de trabajo, lo cual resulta un requisito para que las organizaciones tengan la
capacidad de rendir cuentas sobre sus actos y con ello asegurar un ambiente de confianza.
Lo antes expuesto hace notar la existencia de una relación dialógica entre la gestión documental,
la capacidad rendir cuentas de forma transparente sobre las actuaciones de una organización y la
efectividad de su sistema de control interno como parte esencial de la gestión de riesgos. En los
acápites siguientes se precisará cómo se produce esa relación en el entorno administrativo.
La gestión documental, la rendición de cuentas y la seguridad razonable: su relación en el
contexto de la administración contemporánea
Las sociedades organizadas, desde la antigüedad hasta nuestros días, han sustentado sus sistemas
de gestión administrativa sobre la base de una estructura documental. El acto de registrar
información sobre un soporte es inherente a los procesos de trabajo. Ha sido característica de los
modelos burocráticos
5
que se han mantenido vigentes hasta la actualidad. El tipo documental al
que se hace referencia (aquel que surge como resultado de una transacción o proceso de trabajo)
puede considerarse como:
la expresión de un tipo de consenso que de antemano se ha establecido en la sociedad, a
través del cual los hombres han convenido realizar sus relaciones por medio de
documentos escritos que les sirvan de evidencia de sus actuaciones y en los cuales ellos
puedan confiar (Mena, 2006).
En tal sentido, el acto de registrar información acerca de nuestras actuaciones deviene de la
necesidad de operar en un entorno de confianza, por lo que tales documentos e información se
consideran evidencia
6
(ISO/TC 46 SC 11, 2010 p. 9) con independencia del soporte en el que se
encuentre o canal que se utilice para comunicarla.
Ahora bien, para obtener ese entorno de confianza, ¿bastaría con registrarla y comunicarla? Tal
interrogante hace pensar en otras como: ¿qué información registrar y comunicar? ¿Cómo, dónde
y cuándo registrarla y comunicarla? ¿A quién comunicarla? El asunto parece alcanzar una
complejidad que rebasa los límites de la primera pregunta, puesto que, en el actual contexto
organizacional, para alcanzar ese entorno de confianza, no basta con registrar información para
comunicarla: es indispensable gestionarla.
Al ser la información como evidencia un activo y, como tal, parte integral del capital intelectual
de una organización (ISO/TC 46 SC 11, 2010 p. 3), se hace necesario en la base de la gestión, un
sistema que garantice su calidad. La calidad de la información es una noción cardinal para la
actuación confiable de cualquier organización, en especial, de aquellas que utilizan de forma
intensiva las tecnologías de la información y las comunicaciones para la ejecución de sus
procesos. La misma incluye un conjunto de características como las que identificó Lemieux
(2004): exactitud, integridad, oportunidad, apropiada para su retención, relevante, comprensible,
5
Se refiere al modelo burocrático legal racional desarrollado por Max Weber en la segunda mitad del siglo
XIX.
6
La ISO 30300 Information and documentation Management systemfor records Fundamentals and vocabulary
define la evidencia como “una prueba de realización de una actividad que puede demostrar que ha sido creada en
el curso normal de la misma y que está intacta y completa. No se limita al sentido legal del término”.
adecuada, creíble, confiable, capacidad para ser compartida, capacidad para comprometer,
accesible, recuperable, reusable, asequible, comunicable, entre otras. El mantenimiento de estas
características es el principal resultado de una efectiva gestión documental, con vista a que los
documentos y la información puedan cumplir su funcionalidad esencial, y con ello coadyuvar al
mantenimiento de un entorno de responsabilidad administrativa.
Un aspecto que resulta medular en la gestión organizacional y que está muy relacionado a esa
noción de responsabilidad, es la rendición de cuentas. Este es un tema que ha sido ampliamente
abordado desde diferentes aristas como la ciencia política, la administración y que, alrededor los
años ochenta del siglo pasado, se ha hecho recurrente en los discursos de archivística y gestión
documental. Semejante interés se ha dado por la probada relación que existe entre esta categoría
y la ocurrencia de casos de corrupción política y administrativa, algunos de los cuales han
resultado en verdaderos escándalos a nivel internacional. Es por ello que el Committee of
SponsoringOrganizations of theTreadwayCommission (COSO) ha integrado la rendición de
cuentas como un elemento clave para la gobernanza y la gestión de procesos en los marcos de
gestión de riesgos empresariales y el control interno.
La rendición de cuentas puede entenderse como la relación que ocurre entre dos actores mediante
la cual el primero (una determinada estructura de poder) tiene la obligatoriedad de informar,
explicar y justificar sus actuaciones ante la otra parte (trabajadores, evaluadores, ciudadanos), por
lo que esta última tiene la posibilidad de fiscalizar la gestión del primero y cuenta con
herramientas y mecanismos para incidir en él por medio de sanciones o estímulos (Philp, 2008).
Ciertamente, se trata de un fenómeno que requiere de una infraestructura informacional, en este
sentido, un sistema de gestión documental que garantice las herramientas y mecanismos para su
cumplimiento. Sobre la base de esta perspectiva, se puede afirmar que la rendición de cuentas
está sujeta, en sus dos primeras fases, a la eficacia y eficiencia con la que se gestionen los
documentos y la información.
Entre los años ochenta y noventa del siglo pasado, la Royal CommissionintoCommercialActivities
of Government, un organismo del gobierno de Australia que investigaba eventos de fraude y
corrupción administrativa, advertía sobre la relación entre una inadecuada gestión administrativa
y la corrupción, con la insuficiente gestión documental. Uno de los criterios más ilustrativos fue
expresado por el jefe de esta comisión, al decir que “los sistemas de gestión documental
insuficientes atraen a la corrupción como los cadáveres a las moscas” (McKinnon, 1994).
El sistema de gestión documental, mediante el uso de herramientas de control, tiene entre sus
propósitos crear la capacidades en las organizaciones para una efectiva rendición de cuentas de
manera responsable, sobre la base de un ambiente de transparencia (Mena, 2006). Partiendo de
esta mirada, la rendición transparente de cuentas viene a ser un requisito indispensable para
alcanzar un ambiente de seguridad razonable. No resulta casual que se identifiquen la rendición
de cuentas y la transparencia entre los principios de gestión documental generalmente aceptados
para la gobernanza de la información (Arma, 2014).
La seguridad razonable refleja dos nociones: la incertidumbre y el riesgo relacionado a un futuro
no predecible y la reducción de los riesgos en torno al logro de los objetivos a un nivel aceptable
(Protiviti&Institute of Management Accountants, 2014). Ciertamente la seguridad, en materia de
control interno, no es posible pensarla de manera absoluta, puesto que las organizaciones
conviven en un mercado complejo, indeterminado e impredecible, donde tienen lugar
acontecimientos que pueden afectar el curso de los objetivos propuestos y que están fuera de todo
pronóstico, con independencia de lo efectivo que pueda ser el sistema de control interno.
Experiencias internacionales de control interno: el modelo COSO
A partir del reconocimiento del valor estratégico del control interno en la gestión administrativa,
salieron a la luz, en los años noventa del siglo pasado, algunos modelos entre los que se
distinguen el del Committee of SponsoringOrganizations de la TreadwayCommission, reconocido
como informe COSO de Estados Unidos de América, el Criteria of Control (COCO) de Canadá,
el Cadbury del Reino Unido, el Vienot de Francia, el Marco Integrado de Control Interno de
Latinoamérica (MICIL), entre otros. En este acápite se abordará el COSO por ser uno de los que
mayor éxito ha tenido.
En 1992 se publica un nuevo marco conceptual sobre control interno (Internal Control
Integrated Framework) como resultado del trabajo realizado por la TreadwayCommission,
NationalCommissiononFraudulentFinancialReporting, creada en 1985 en los Estados Unidos de
América bajo la sigla COSO y respaldada y financiada por cinco importantes organizaciones
financieras: American AccountingAssociation (AAA), la American Institute of
CertifiedPublicAccountants (AICPA), el FinancialExecutiveInstitute (FEI), el Institute of
InternalAuditors (IIA) y el Institute of Management Accountants (IMA) (McNally, 2013).
En el año 2004 sale a la luz el segundo informe COSO: Enterprise Risk Management
Integrated Framework, orientado a los riesgos para el logro de los objetivos de la organización
(COSO, 2004). Para el año 2012 se publica una actualización del informe de control interno
(COSO, 2012). El aporte más significativo de esta edición fue la articulación de 17 principios con
cada uno de sus componentes, (Protiviti&Institute of Management Accountants, 2014). En total
presenta cinco componentes:
Ambiente de Control: Se refiere al ambiente interno de la organización. Lo conforman el
conjunto de normas, procesos y estructuras que son la base para el control interno.
Incluye la manera en que se estructura y regula el funcionamiento de una entidad. Este
componente influye en los otros.
Evaluación de Riesgo: Es un proceso dinámico e interactivo, orientado a la identificación
y análisis de los riesgos en torno al logro de los objetivos de la organización.
Actividades de Control: acciones establecidas por medio de políticas y procedimientos
que contribuyen a la mitigación de los riesgos con respecto al logro de los objetivos
organizacionales.
Información y Comunicación: Relacionado con la creación, obtención, utilización y
comunicación de información relevante y de calidad.
Monitoreo de las actividades: evaluaciones continuas y por separado para valorar la
efectividad de la aplicación de los principios en cada componente.
Los principios de gestión documental generalmenteaceptados de ARMA International y
surelación con los components del marco COSO de control interno
La gobernanza de la información (GI), noción a partir de la cual se han creado varios modelos y
marcos de referencia para medir y evaluar la madurez de la gobernanza y la gestión de la
información (Hagmann , 2013), es uno de los pilares para una gestión administrativa responsable.
ARMA international propuso los GenerallyAcceptedRecordkeepingPrinciples, (GARP). En tal
sentido desarrolló ocho principios a partir de los cuales se crea un marco de buenas prácticas de
alto nivel para todo tipo de organización de la administración pública y privada. Ellos tienen
como propósito asegurar un buen gobierno de la información y minimizar los riesgos
relacionados con el manejo de la información (ARMA, 2014).
El cumplimiento de estos principios es un requisito para mantener un entorno de seguridad
razonable. Estos presentan una relación muy estrecha con cada uno de los componentes del
marco COSO (2012) de control interno, como se muestra en los ejemplos siguientes.
Principio de rendición de cuentas
Se basa en la supervisión del programa de gobernanza de la información por parte de un
ejecutivo, y la adopción de políticas y procedimientos para orientar al personal y garantizar que el
programa pueda ser auditado.
Este principio tiene una estrecha relación con el componente Ambiente de Control, toda vez que
las políticas y procedimientos que se establezcan para el buen gobierno de la información
constituirán la columna vertebral del control interno. Estas herramientas normativas crean las
bases para un buen desempeño del resto de los componentes.
Asimismo, la Evaluación de Riesgos y Actividades de Control están presente en los controles al
programa de gobernanza de la información, pues, como se ha explicado en acápites anteriores, los
riesgos relacionados con la información y los documentos influyen, en gran medida, en el
cumplimiento de los objetivos organizacionales.
Principio de transparencia
Se sustenta en la documentación de forma abierta y verificable de todas las actividades de la
organización, quedando a disposición de todo el personal y las partes interesadas, toda la
evidencia documental.
Uno de los factores que afecta la seguridad razonable es, sin duda, una relación de opacidad y de
asimetría informacional en cualquier entorno administrativo. Un entorno de transparencia es un
requisito para garantizar un Ambiente de Control y por consiguiente un sistema de control interno
como se establece en el marco COSO.
Uno de los componentes más importantes es el de Monitoreo de las Actividades, que permite
conocer la situación de la organización y el cumplimiento del control interno. Sin embargo, no
resulta posible determinar con objetividad cuáles son las posibles debilidades o deficiencias si la
información no se gestiona de antemano con transparencia y responsabilidad.
Principio de Integridad
Se basa en la capacidad que tenga el programa de gobernanza de la información, de garantizar la
autenticidad y confiabilidad razonable de la información generada por la organización.
Este principio está relacionado con uno de los principales propósitos del componente
Información y Comunicación: apoyar el funcionamiento del resto de los componentes de control
interno y apoyar el logro de los objetivos de la organización por medio del uso de información de
calidad. En tal sentido, la efectividad del sistema de control interno estadeterminada por la
capacidad que tenga la organización de garantizar el cumplimiento de este principio.
Protección
Este principio está orientado a garantizar protección de los documentos y la información privada,
confidencial, privilegiada, secreta, clasificada, aquella que resultaesencialpara los procesos de la
organización.
Al igual que el principio anterior, este tiene una influencia directa en el control interno y, por
consiguiente, en la efectiva realización de los objetivos organizacionales. Por lo tanto, se hace
necesario tomarlo en cuenta en las Actividades de Control, con acciones orientadas a minimizar
los riesgos de acceso y uso indebido de información. Es por ello que uno de los factores de los
que depende la calidad de la información, según se establece desde el componente Información y
Comunicación, se basa en la confidencialidad de la información, sobre la base del acceso
restringido al personal autorizado.
Cumplimiento
Este principio se encamina al estricto cumplimiento de las disposiciones jurídicas y políticas
vigentes de cada organización o entorno. Para ello la organización debe implementar políticas de
cumplimiento y acciones de gestión de información y documentos para su realización. Además,
este principio implica el constante monitoreo para controlar el cumplimiento de las disposiciones,
a partir de los distintos niveles de responsabilidad respecto a la información, la cual se gestionará
de forma sistemática, según los requisitos establecidos de antemano.
La manera en que este principio tributa a uno de los componentes más importantes del control
interno, como es el Ambiente de Control, se hace evidente toda vez que no resulta posible saber
si la organización cumple con los requerimientos legales establecidos, si no se registra y gestiona
de manera sistemática la información sobre las operaciones diarias, para lo cual se hace necesario
establecer políticas, normas y regulaciones de gestión documental.
Disponibilidad
La disponibilidad es la garantía de que los documentos y la información se mantiene de forma tal
que permite su recuperación y acceso de forma eficiente, oportuna y precisa.
La disponibilidad, al igual que los otros principios, coadyuva al cumplimiento de los
componentes del sistema de control interno. En el Ambiente de Control, por ejemplo, se hace
necesario que los implicados en determinado proceso administrativo tengan pleno acceso a las
disposiciones jurídicas y normativas que lo regulan, de manera tal que permita garantizar el
compromiso con una actuación íntegra, sobre la base de los valores institucionales. Así, la
Evaluación de Riesgos requiere que se registre la información de manera que pueda ser
recuperable y usable, lo cual adquiere un alto grado de complejidad en el ambiente digital cuando
se trata de preservarla a mediano y largo plazo.
Retención
Se trata de un principio muy que tiene un enorme impacto sobre la capacidad de una organización
de rendición de cuentas, toda vez que establece el mantenimiento de la información el tiempo
necesario, de manera que esta pueda cumplir con los requisitos legales, reglamentarios, fiscales,
operativos e históricos.
El incumplimiento de este principio conlleva al fracaso del sistema de control interno, por la
incapacidad de cumplir con los principios de cada uno de sus componentes. En tal sentido se hace
necesario que las organizaciones tengan la capacidad de retener la información el tiempo
necesario para poder determinar si la organización cumple con el marco regulatorio establecido,
delimitar responsabilidades sobre las transacciones diarias, minimizar los riesgos relacionados
con la ausencia de evidencia documental, controlar y evaluar las operaciones para el
cumplimiento de los objetivos organizacionales.
Eliminación
Se basa en la eliminación segura de la información que no sea de valor o utilidad para la
organización.
Uno de los factores que más afecta la efectividad del control interno es la acumulación de
documentos innecesarios en las oficinas, lo cual contribuye a crear un entorno de opacidad
administrativa. Este principio permite cumplir con los requisitos informacionales del componente
Información y Comunicación, toda vez que tributa a la utilización y comunicación de
información relevante y de calidad.
Sobre la base de los ejemplos expuestos es posible afirmar que estos principios de gestión
documental generalmente aceptados, crean un ambiente propicio para la efectiva aplicación de
los componentes de control interno.
Conclusiones
Las definiciones de Gestión Documental evolucionaron en su propósito y objetivos de contribuir
a la eficacia, eficiencia y bajos costos en el manejo de los documentos de las organizaciones en
los años 50 del siglo XX, a identificarse a partir de las primeras décadas del siglo XXI con
procesos de captura y mantenimiento de evidencias de actos y transacciones de negocios para la
creación de capacidades organizacionales de rendición de cuentas, transparencia, responsabilidad,
toma de decisiones e identificación de riesgos con información de calidad. Ello estuvo
determinado entre otros aspectos por la profunda crisis de capacidad de rendición de cuentas
transparente y responsable ocurrida en los años 2000 que mostró la estrecha relación entre los
fraudes y quiebres de importantes empresas con la capacidad que los sistemas de información
electrónicos ofrecían para el maquillaje y manipulación de la información que ellas generaban.
La literatura especializada que exploró desde esa época la relación entre Gestión Documental y
Gestión de Riesgos identificó que los documentos (información evidencial o prueba de actos y
transacciones de negocios) son tanto fuentes de información para la identificación de riesgos,
como fuente de riesgos en sí mismos, ya que el mantenimiento de su calidad o cualidades de
veracidad, confiabilidad, autenticidad, integridad y accesibilidad resultan esenciales para
necesaria garantía de confianza en la información con que las organizaciones toman decisiones,
rinden cuentas y son transparentes. Este hecho se fundamenta en la naturaleza de la información
objeto de la Gestión Documental, información documental en tanto instrumento y subproducto
del registro de actos y transacciones de negocios que funcionan como evidencia o prueba de su
ocurrencia.
En consecuencia se reconoce hoy que los riesgos asociados a la falta de calidad de la información
evidencial para las organizaciones son de tipo legal, financiero, de reputación, ambientales y
operacionales o transaccionales. Es por ello que se considera que el establecimiento de Sistemas
de Gestión Documental ayuda a las organizaciones a gestionar el efecto de incertidumbre en
relación con el fracaso en la creación y control de los documentos de calidad, por el impacto
negativo que esto tiene en la capacidad de la organización para lograr sus objetivos de toma de
decisiones, transparencia, rendición de cuentas, mejora de los procesos de negocio, eficacia y
eficiencia en los costos, e incluso en las relaciones con las partes interesadas.
Es en este sentido que se considerara que un Sistema de Gestión Documental es un sistema de
Gestión de Riesgos, en el que es esencial la determinación de requisitos de Gestión Documental
para la identificación y mitigación de riesgos organizacionales derivados de información como
evidencia de actos y transacciones de negocios. Algunos de estos requisitos han sido aportados
por las normas ISO de Gestión Documental y se enfocan en los procesos de creación y control de
documentos, partiendo de la identificación de áreas de incertidumbre en relación con el contexto,
los sistemas y los procesos de Gestión Documental.
Bibliografía
Akotia, P. (1996). The management of public sector financial records: The implications for good
government. Legon: University of Ghana.
Ambira, C. &. (2011). Records management and risk management at Kenya Commercial Bank
Limited, Nairobi. SA Journal of Information Management, 13(1).
ARMA International. (2013). Generally Accepted Recordkeeping Principles: Information
Governance maturity Model. ARMA International.
Bearman, D. (1994). Electronic evidence: strategies for managing records in contemporary
organizations. Pittsburgh: Archives & Museum Informatics.
Clifford, C. (2002). Clifford, Cary. “Scary Records Management Stories. Records Management
Bulletin, 22 - 26.
Committee of Sponsoring Organizations of the Treadway Commission. (2004). Enterprise Risk
Management Integrated Framework: Executive Summary. PricewaterhouseCoopers.
Delgado, A. (2011). Archivar en la nube: reglas de producción del documento contemporáneo.
Parte I: Indicadores tecnológicos. El profesional de la información, 20(4), 406 - 416.
Dietel, J. E. (2003). Recordkeeping Integrity: Assessing Records; Content After Enron. The
Information Management Journal.
Duranti, L. (1989). The Odyssey of Records Managers Part I: From the Dawn of Civilization to
the fall of the Roman Empire. ARMA Records Management Quarterly, 23(3).
Duranti, L. (1994). Registros documentais contemporâneos como provas de ação. Estudos
Históricos, 7(13), 49-64.
Duranti, L. (2001). The impact of digital technology on archival science. Archival Science. 1, 39-
55.
Ebaid, I. (2011). Internal audit function: An exploratory study from Egyptian listed firms.
International Journal of Law and Management, 53(2), 108128.
Fraser, I., & Henry, W. (2007). Embedding risk management: Structures and approaches.
Managerial Auditing Journal, 22(4), 392-409.
Gilliland-Swetland, A. (2000). Enduring Paradigm, New Opportunities: The Value of the
Archival Perspective in the Digital Environment. Washington, D.C: Council on Library
and Information Resources.
Hagmann, J. (2013). Information governance beyond the buzz. Records Management Journal,
23(3), pp. 228 240.
ISO 15489-1. (2001). Information and documentation. Records Management.Ginebra: ISO.
ISO 30300. (2011). Información y Documentación. Sistemas de Gestión para los Documentos.
Fundamentos y vocabulario.
ISO 30301. (2011). Información y Documentación. Sistemas de Gestión para Documentos.
Requisitos.
ISO/TR 15489-2. (2001). Information and documentation. Records Management. Ginebra: ISO.
ISO/TR 18128. (2014). Información y Documentación. Apreciación del riesgo en procesos y
sistemas de gestión.
Lemieux, V. (2001). Competitive Viability, Accountability and Record Keeping: A Theoretical
and Empirical Exploration Using A Case Study of Jamaican Commercial Bank Failures.
London : University College London. 2001.
Lemieux, V. (2004). Two Approaches to Managing Information Risks. The Information
Management Journal, 56-62.
Lemieux, V. (2010). The records-risk nexus: exploring the relationship between records and risk.
Records Management Journal, 20(2), 199-216.
MacNeil, H. (2000). Trusting records: legal, historical and diplomatic perspectives. Kluwer
Acadamic Publishers.
Mat Isa, A. (2009). Records Management and the Accountability of Governance.(Doctorado).
University of Glasgow. Faculty of Arts. Obtenido de
tttp://theses.gla.ac.uk/1421/1/2009matisaphd.pdf
McKemmish, S. (1998). The smoking gun: recordkeeping and accountability. 22nd Annual
Conference of the Archives and Records Association of New Zealand: Records and
Archives Now. Dunedin.
Ngoepe, M. (2014). The role of records management as a tool to identify risks in the public sector
in South Africa. Journal of Information Management, 16(1), 1- 8.
Palmer, M. (2000). Records management and accountability versus corruption, fraud and mal
administration. Records Management Journal, 10(2), 6172., 10(2), 6172.
Queensland State Archives . (2010). Guideline for the planning of an electronic Document and
Records Management System (eDRMS).
Reed, B. (2010). Managing record keeping risk. Obtenido de Keeping good companies :
http://www.naa.gov.au/records-management/strategic-
information/linking/Recordkeepingrisks.aspx
Ricks, A. (1985). La gestión de documentos como una función archivística. En A. L. Ricks, La
administración moderna de archivos y la gestión de documentos.(págs. 179 - 189). París :
UNESCO.
Risk & Bisiness Cpnsulting. Internal Audit (protiviti). (2013). The Updated COSO Internal
Control Framework. Frequently Asked Questions.
Sampson, K. (2002). Value Added Records Management: Protecting Corporate Assets, Reducing
Business Risks . Connecticut: Quorum Books.
SOX. (200). Sarbanes-Oxley Act. Obtenido de www.ereinsure.com/docs/SOX404eRewhitepaper.
Stephens, D. O. (2005). The Sarbanes-Oxley Act. Records management implications. Records
Management Journal, 15(2), 98 - 103.
Walne, P. (1988). Dictionary of archival terminology. München, New York, Paris : Saur.
Weber, M. (1964). Economía y sociedad. México D.F.: Fondo de Cultura Económica.
Wolf, A. (2003). La responsabilidad dentro de la Administración Pública. México: Instituto
Nacional de Administración Pública. México.
ResearchGate has not been able to resolve any citations for this publication.
Article
Full-text available
Background: This paper reported empirical research findings of an MPhil in Information Sciences (Records and Archives Management) study conducted at Moi University in Eldoret, Kenya between September 2007 and July 2009.Objectives: The aim of the study was to investigate records management and risk management at Kenya Commercial Bank (KCB) Ltd, in the Nairobi area and propose recommendations to enhance the functions of records and risk management at KCB. The specific objectives of the study were to, (1) establish the nature and type of risks to which KCB is exposed, (2) conduct business process analysis and identify the records generated by KCB, (3) establish the extent to which records management is emphasised within KCB as a tool to managing risk, (4) identify which vital records of KCB need protection because of their nature and value to the bank and (5) make recommendations to enhance current records management practices to support the function of risk management in KCB.Method: The study was qualitative. Data were collected through face-to-face interviews. The theoretical framework of the study involved triangulation of the records continuum model by Frank Upward (1980) and the integrated risk management model by the Government of Canada (2000).Results: The key findings of the study were, (1) KCB is exposed to a wide range of risks by virtue of its business, (2) KCB generates a lot of records in the course of its business activities and (3) there are inadequate records management practices and systems, the lack of which undermines the risk management function.Conclusion: The findings of this study have revealed the need to strengthen records management as a critical success factor in risk mitigation within KCB and, by extension, the Kenyan banking industry. A records management model was proposed to guide the management of records within an enterprise-wide risk management framework in the bank.
Article
Full-text available
Background: Records management is a vital element in the identification of risks. However, there is a consensus amongst scholars that the relationship between records management and risk identification has not been clearly articulated. As a result, risks associated with records are often dealt with via internal audits, legal processes and information technology.Objectives: The study utilised the King III report on corporate governance in South Africa as a framework to investigate the role of records management in identifying risks in the public sector, with a view to entrench the synergy between records management and risk management.Method: Quantitative data were collected through questionnaires distributed to records managers, risk managers and auditors in governmental bodies in South Africa. Provisions of the King III report, guided the research objectives.Results: Even though the study established that there is a reciprocal relationship between risk identification and records management, most governmental bodies in South Africa lack records management and risk-mitigating frameworks or strategy. Furthermore, records management did not feature in most governmental bodies’ risk registers. It has been established that most governmental bodies have established risk committees that do not include records management practitioners. In most governmental bodies, risk management resides within internal audit functions.Conclusion: The study concludes by arguing that a strong records management regime can be one of an organisation’s primary tools in identifying risks and implementing proper risk management. Therefore, records management should be integrated with risk management processes for organisations to benefit from the synergy.
Article
Full-text available
Purpose ‐ This paper aims to discuss the still immature concept of information governance (IG) from a records and information management (RIM) perspective and attempts to identify some critical aspects, essential elements and challenges, drawing on lessons learned from corporate experience in a global setup.Design/methodology/approach ‐ After a critical consideration of the notion "information governance" the paper reports some issues which turned out to be major barriers to success during IG implementation within a given organisation.Findings ‐ Practical experience highlights the importance of carefully scoping IG frameworks in larger organisations; in particular, balancing the representation of all relevant stakeholders (especially lines of business) and targeting investment in initiatives that foster an information management culture. Equally critical to success is corporate communication which truly values information as a corporate asset and highlights the importance of information lifecycle management rather than technology under the motto "putting the 'I' into IT".Research limitations/implications ‐ This paper draws on experience from a single case study to discuss some of the cultural factors that influence the design and implementation of IG in general. However, more empirical research is needed in order to broaden the understanding of the impact of IG programmes in real-world organisations.Practical implications ‐ When implementing IG programmes in global organisations it should not be limited to an IT perspective alone. The biggest challenge is the fact that no department or discipline alone can achieve the desired results. Success is only possible in an orchestrated scenario with clear value propositions for specific business functions.Originality/value ‐ Based on a small selection of professional literature on the IG approach, the paper presents findings about issues and pitfalls when setting up and implementing an IG programme. It is hoped that it will inspire more exploratory research of this kind from members of the records management community to encourage them to raise the need for IG in their own organisations.
Article
Full-text available
Purpose – This paper seeks to explore the nexus between records and risks. It briefly traces different conceptualizations and the historical evolution of risk and risk management and analyzes discourse on risk and the use of risk management in the field of records management and allied disciplines such as archives and information science. Design/methodology/approach – The methodological approach involves searching for and extracting for analysis references to “risk” in articles from well-known journals and subjecting the 248 references to a visual analysis. Findings – The visual analysis reveals 15 distinct, and in some cases conceptually related topics or categories of articles on risk. These are analysed further to create a typology of seven distinct topics of discourse defining the records-risk nexus in the sampled literature. Originality/value – This paper contributes an analysis of the literature on records and risk that defines the nexus between the two subjects, presents a typology of discourse on the records-risk nexus, and demonstrates the use of an innovative methodology (visual analysis) for analysis of large sets of bibliographic data.
Thesis
This study seeks to explore the relationships among competitive viability, accountability and record keeping in private sector entities. These relationships are explored both theoretically and empirically using a case study of Jamaican commercial bank failures. The study builds upon earlier research on the relationship between record keeping and public sector reform initiatives in Africa, which found that poor record keeping has undermined the success of these initiatives. The study aims to show how poor record keeping similarly can undermine the competitive viability of private sector entities and thereby economic development initiatives dependent on the private sector. The study employs a Grounded Theory-based methodology using data on Jamaican commercial bank failures to develop a theoretical argument for linkages among competitive viability, accountability and record keeping. The study argues that effective records accountabilities and controls are critical to the operation of accountability systems that provide the basis for internal control and sound decision-making in private sector entities. When accountability systems are weakened because of ineffective record keeping, management is unable to access information needed to maintain operational control and make sound decisions. This leaves the business weakened and vulnerable to collapse. The study illustrates this dynamic with reference to the failure of several Jamaican commercial banks, showing how an absence of effective records controls undermined the quality and availability of accounting and management information in these banks which, in turn, weakened the systems of accountability that the banks' directors, managers and supervisors relied upon to manage and control the banks balance sheets and business risks. The study concludes by drawing out general managementle ssonsf rom the experienceo f the failed banks and offering policies and strategies to strengthen records accountabilities and controls.
Article
In this text we codify some indicators about how information and records are currently produced, exploring social circumstances under which information is produced. Results are a general scenario, based upon a transdisciplinary point of view, which allows us to envisage a new model for archiving processes.
Article
Purpose – The purpose of this article is to examine the potential of The Sarbanes-Oxley Act on financial accounting systems in publicly-held companies. Design/methodology/approach – This article examines the Public Company Accounting Reform and Investor Protection Act 2002, commonly referred to as The Sarbanes-Oxley Act, enacted by the US Congress in the wake of a series of business scandals in the USA. The focus is on the records management implications of the act. Findings – The Sarbanes-Oxley clearly has the potential to elevate the records management function to a new and higher level than it has ever enjoyed in the life of US business corporations. Future developments must be watched to see whether this proves to be the case. Originality/value – This article will be helpful to those with more than just a passing interest in the significant happenings affecting records management in the USA.
Article
Purpose – The paper aims to report research into ways by which companies identify risks and embed risk management and control procedures and also to report on interactions between internal audit and audit committees and their contributions to risk management. Design/methodology/approach – The first section of the paper comprises a review of the literature on risk management and the roles played by internal audit and audit committees. The paper then reports the results of a series of interviews with officers in UK plcs and external auditors on the issues identified from the literature. Findings – There was agreement that, while parent boards have ultimate responsibility, the ownership of risks must reside with management at lower levels. Companies tended to adopt a multi‐procedural approach to developing consistent risk management procedures. Internal auditors were believed to have a role to play but concerns were expressed about expertise and independence. The paper recommends a split of the internal audit and risk management functions to preserve internal audit independence and clarify internal audit roles. Audit committees are increasingly involved in risk management but there are doubts as to whether they have the time and expertise to undertake more than high level risk reviews. The paper, therefore, recommends that separate risk committees should be established to direct risk management, with audit committees adopting a watching brief over the process. Originality/value – The Turnbull Report emerged against a background of growing demand for assurance on risk management and control effectiveness and the approach adopted has been endorsed by the Turnbull Review Group. This paper is a timely evaluation of the work being done by UK plcs in this area and indicates that there are issues to be resolved before risk management is fully embedded in company operations.