Desarrolladas por “usuarios finales” en Excel o Access, pero no necesariamente utilizan estándares de codificación ni cuentan con capacitación formal en TI. El personal de operaciones/BAU está desarrollando el EUC y no el departamento de TI. Las aplicaciones informáticas de usuario final también se utilizan en bases de datos, consultas, scripts o resultados de herramientas de informes. Las empresas financieras tienen una gran cantidad de EUC complejas. Los EUC no administrados representan un gran riesgo para las empresas, especialmente aquellas del sector financiero, como bancos y compañías de seguros. Esta publicación analiza la reducción del riesgo empresarial al tener una política EUC y cómo implementarla. También es importante saber cómo realizar correcciones EUC. Es muy importante que toda empresa reduzca el riesgo empresarial teniendo una política UEC.

Riesgo del modelo de banco central y EUC

El Banco de Inglaterra ha emitido la Declaración de Supervisión SS1/23 – Principios de gestión de riesgos de modelos para bancos que establecen las expectativas de la PRA para la gestión de riesgos de modelos por parte de los bancos. Los bancos centrales de todo el mundo ahora deberían observar a los bancos, aseguradoras y otras instituciones financieras de sus países para garantizar que los estándares EUC sean lo suficientemente altos como para limitar los errores financieros, el daño a la reputación y los errores en los informes de los bancos centrales. Cubre una amplia variedad de métodos, sistemas, enfoques, aplicaciones informáticas de usuario final (EUC) y calculadoras de cálculo cuantitativo utilizadas en las operaciones diarias de las empresas, es decir, la producción respalda las decisiones tomadas en relación con las actividades comerciales generales, las decisiones estratégicas, la fijación de precios, las finanzas. , gestión o informes de riesgos, capital y liquidez, y otras actividades operativas bancarias. La fecha límite para cumplir con estos estándares era el 17 de mayo de 2024. Esta es

https://www.bankofengland.co.uk/prudential-regulation/publication/2023/may/model-risk-management-principles-for-banks-ss

Las hojas de cálculo de Monster Excel son un riesgo importante para su negocio

Las hojas de cálculo de Excel se utilizan hoy en día en la mayoría de las empresas bancarias y de seguros. Se pueden desarrollar aplicaciones complejas con relativa rapidez. Sin embargo, muchos usuarios abandonados a su suerte pueden convertir hojas de cálculo en “monstruos” de Excel. Esto suele ocurrir cuando no existe una política de EUC y los usuarios “hacen sus propias cosas”. impacto en la exposición operativa y financiera de la empresa en cuestión. Si las cosas van mal, estas herramientas también pueden causar daños a la reputación. Mi artículo analiza cómo reducir esos riesgos y cómo realizar soluciones EUC.

Las hojas de cálculo de Excel que son demasiado complejas para que las personas las entiendan son de alto riesgo y requieren corrección de EUC (ver más abajo).Algunas características de los EUC incluyen:

falta de visibilidad corporativa

• documentación insuficiente

• diseño deficiente y falta de estándares de codificación

• pista de auditoría deficiente o inexistente

• no completamente probado/no validado

• las aplicaciones financieras requieren extrema diligencia/tienen un gran impacto corporativo

• falta de visibilidad corporativa Preguntas para reflexionar:

• Cómo se pueden auditar EUC complejos?

• Cómo puede un usuario de BAU utilizarlo para tareas cotidianas si no lo entiende?

• Por qué nos confunden las hojas de cálculo grandes y difíciles de manejar?

Preguntas para reflexionar:

Limitaciones humanas – Umbral de Miller

Millers Threshold se ocupa de nuestra “memoria de trabajo” o memoria a corto plazo. Es la capacidad del cerebro para retener múltiples datos al mismo tiempo. También implica nuestra capacidad para tomar decisiones utilizando esa información. La Ley de Miller afirma que la capacidad de memoria de las personas se limita a siete datos. Miller dice que llevar la cantidad de “bits” de información por encima de este umbral causó confusión, lo que llevó a que se tomaran decisiones incorrectas.

Por lo tanto, las hojas de cálculo de Excel deben diseñarse de tal manera que eviten cualquier confusión. Me he encontrado con muchos monstruos de Excel a lo largo de mis más de 25 años trabajando en banca y compañías de seguros. La reacción habitual de la alta dirección y de TI cuando se enteran de estos “monstruos” es de pánico y miedo, especialmente si se trata de un EUC crítico para el negocio. Luego, normalmente llamaban a un experto en hojas de cálculo para que lo solucionara. En este artículo, describiré estudios de casos de la vida real, técnicas para la corrección de hojas de cálculo, políticas de EUC y analizaré brevemente Office 365. Estas bombas de tiempo se pueden encontrar en cualquier parte de su negocio.

Sabes dónde se encuentran las Hojas de Cálculo Monster en tu negocio? Estudio de caso 1

Una importante empresa de gestión de fondos me contrató para remediar y gestionar un modelo clave de Excel de gestión de fondos de EUC con derivados integrados que nadie entendía, excepto la persona que lo desarrolló. Fue totalmente sobrediseñado e inestable. Los modelos grandes de Excel pueden corromperse en cualquier momento y luego desaparecen.

Después de algunos análisis, lo rediseñé para usar menos pestañas y reduje el tamaño de aproximadamente 100 MB a aproximadamente 25 MB. Entonces estaba “fuera de peligro”. Luego automaticé algunos de los pasos manuales. Una de las cosas críticas que encontré fue que los resultados del modelo “eran erróneos” con graves implicaciones para la empresa, que podría haberse metido en problemas con la PRA por informes incorrectos. Después de realizar una reingeniería y agregar cálculos más sólidos, los resultados fueron correctos. El problema fue que Excel “se rindió” en el cálculo porque había demasiadas dependencias.

Estudio de caso 2

Una importante empresa de reaseguros me contrató para remediar y volver a desarrollar una herramienta de hoja de cálculo de Excel para informes PRA. Después de algunos análisis, llegué a la conclusión de que no era “adecuado para su propósito”. ¿Por qué? Utilizaba enlaces de archivos difíciles de manejar, varios tipos de código VBA mal escritos (algunos grabados) y seguía cayendo. Además, los resultados a veces eran incorrectos o no se podía confiar en ellos (en realidad, no es sorprendente). Mi solución fue desarrollar una herramienta limpia, validada por datos y basada en datos de parámetros que produjera de manera eficiente y precisa los informes PRA requeridos con solo hacer clic en unos pocos botones.

Estudio de caso 3

Una compañía de seguros líder me contrató para remediar y volver a desarrollar una herramienta de conciliación de balances basada en Excel. Era un “monstruo” de múltiples pestañas de 100 MB, con 100.000 registros en cada pestaña (con 100.000 filas de fórmula), la tabla dinámica informaba más de 50.000 filas y se quejaban de que seguía fallando y quedándose sin memoria. Casi sin requisitos, convertí las filas de la fórmula en valores, las dividí en dos modelos, con las tablas dinámicas divididas en un modelo separado, junto con una versión codificada de los datos requeridos. Mi solución de EUC incluyó la automatización de procesos manuales utilizando aplicaciones de Visual Basic con grandes reducciones en la memoria y el tamaño de los archivos, y un aumento en la velocidad. Si no se hubiera atendido, estoy seguro de que se habría estropeado y el modelo habría quedado irrecuperable.

Cómo aparecen los errores

La calidad de los informes regulatorios se ve comprometida por controles deficientes a nivel de datos de origen y una falta de voluntad a nivel gerencial para hacer algo al respecto. Las empresas deben apreciar la importancia de los buenos controles de calidad al nivel más bajo. Los errores introducidos en los datos de origen se transmiten a los niveles superiores de gestión y a los informes del banco central. Esto explica por qué toda empresa debería reducir el riesgo empresarial teniendo una política UEC.

Sugerencia: capture los errores al nivel más bajo posible

Un ejemplo en un sistema de gestión de suposiciones en el que trabajé, aparecían errores en el sistema SQL Server más arriba en la cadena debido a errores en los datos de origen. Para solucionar este problema, escribí validación de datos en archivos fuente EUC para detectar errores y corregirlos. Otro ejemplo en un sistema Solvencia II fue agregar controles que aseguraran que la asignación entre clases de activos sumara el 100% e informar excepciones.

Cuando se procesan medio millón de registros, estas comprobaciones son fundamentales.

Cuando los resultados de las EUC propensas a errores se presentan al Banco Central/Regulador, es un asunto grave si hay errores en la presentación de informes.

Técnicas de remediación útiles para repara r los ‘monstruos’ de Excel que corren riesgo de corrupción

Guarde el modelo en formato binario (comprime el archivo en formato xml)

• En pestañas de conjuntos de datos grandes con fórmulas incrustadas, conserve la fórmula de la fila superior, cópiela y péguela como valores (¡no olvide volver a calcular primero!)

• En las tablas dinámicas, borre el caché de datos (puede usar una gran cantidad de memoria)

• Dividir en dos o más modelos (dividir datos de los cálculos)

• Actualice a Excel/Office 365 de 64 bits (puede gestionar hasta 8 terabytes (TB) de memoria)

• Para modelos corruptos, copie las hojas en un libro vacío y reconstrúyalas desde cero (no apto para personas tímidas)

• Eliminar pestañas redundantes, rangos de nombres, enlaces de archivos huérfanos y conexiones de datos.

• Borrar el rango utilizado para cada pestaña (realizado a través del módulo de clase de pestaña y la ventana de depuración)

Eliminar o reemplazar fórmulas de Excel “volátiles” como now(), rand(), etc.

• Revisar las funciones personalizadas de la hoja de trabajo

• Revisar qué bibliotecas VBA se están utilizando

Office 365 y de 32 bits a 64 bits, etc.

Excel 365 viene con un montón de funciones nuevas y útiles como concat, textjoin, ifs y xlookup que pueden reemplazar la funcionalidad de índice/coincidencia (puede realizar una búsqueda en el lado izquierdo). Lo que hay que tener en cuenta en Excel 365 son las llamadas API que ahora requieren la sintaxis prtsafe/prtlong para administrar 32 y 64 bits. También noté que el comportamiento de workbook_open había cambiado, por lo que tuve que solucionarlo. Haré otro artículo sobre Excel 365 que profundice más.

Política de la UEC

Los bancos tienden a tener un enfoque más disciplinado que las compañías de seguros con respecto a la política EUC, pero las compañías de seguros están mejorando lentamente. Bancos como Lloyds Banking Group están reduciendo el riesgo empresarial al contar con una política EUC, y ahora cuentan con una política EUC sólida y bien desarrollada. Las características de una buena política de EUC incluyen:

Un inventario de todas las hojas de cálculo de Excel y bases de datos de Access fundamentales para el negocio.

• Un análisis/calificación de Complejidad

• Un análisis/calificación del Riesgo Empresarial

• El propietario de la empresa EUC

• El propietario técnico de EUC

• Documentación completa, incluido el registro de cambios, guía del usuario, guía del sistema y guía técnica.

• Sistema de registro de entrada/salida para cambios, p.e. desde Sharepoint

Qué es un EUC crítico?

• ¿Tiene suficiente complejidad en términos de código vba, complementos, fórmulas y otras funciones?

• ¿Es importante desde el punto de vista operativo y/o tiene un gran impacto en los informes financieros?

Si la respuesta es Sí, entonces es un EUC crítico y debe cumplir con el EUC.

Política EUC: cómo obtener un “pase”

En la empresa de seguros donde trabajo actualmente, se me asignó la tarea de implementar la Política de gobernanza de EUC, para un grupo de EUC, e implementar controles adicionales, automatización de VBA y documentación para que los EUC obtengan un “Pase”. informar a otros usuarios de EUC lo que deben hacer para obtener un pase. Un registro de inventario de EUC de EUC críticos es un componente clave de la política de EUC. Las soluciones correctas son el método para obtener un pase, para cada EUC. Debe haber una cantidad mínima de trabajo para agregar controles y documentación para lograr un aprobado. Los desarrolladores y el personal de BAU deben trabajar juntos para obtener requisitos, desarrollar, probar e implementar soluciones. A veces se requiere un cambio en los procesos de negocio porque se ha planteado un problema de riesgo.

Remediaciones EUC

Quizás se pregunte qué medidas correctivas se requieren para que una EUC cumpla con un buen estándar de política de EUC. Normalmente, un EUC de Excel de importancia crítica necesitaría comprobaciones de que los datos de origen sean los mismos que realmente se cargan. Verificaciones para garantizar que los datos (encabezados de campo) en los archivos de entrada no hayan cambiado: una gran señal de alerta, verificaciones de tipos de datos, un registro de control de versiones/cambios, protección, diseño de pestañas para simplificarlo y una guía del usuario y documentación técnica/del sistema. . Este sería el mínimo requerido. Generalmente, cuanto más compleja es una EUC, más remediación se requiere para hacerla lo suficientemente “robusta” como para aprobarla. La lista de verificación que presenté en el Modelo de Auditoría identifica debilidades y brechas en la EUC que necesitan remediación.

Modelo y lista de verificación de auditoría de políticas de EUC

Desarrollé un modelo de Excel para determinar la complejidad de EUC y la “criticidad empresarial”, en otras palabras, “¿está dentro del alcance como EUC crítico?” La herramienta está dirigida a EUC de complejidad media a alta que tienen un impacto operativo, funcional o externo/PRA sustancial y deben inscribirse en el Registro de EUC. Es una lista de verificación muy útil, que escaneo en busca de soluciones adecuadas para que un EUC sea sólido, comprensible y tenga buenos controles con la documentación. Esto hace que el uso de BAU sea Seguro.

Implementación de la política EUC a nivel de gerente senior

Incluso cuando existe una política oficial de EUC, a veces hay falta de voluntad para implementar esos controles. Algunos directivos se toman muy en serio

la política EUC, otros no. Los que se lo toman en serio son normalmente los que han tenido experiencia o miedo con las hojas de cálculo “deshonestas”, por ejemplo, recibieron una llamada del departamento regulatorio del Banco Central y están “motivados” a no cometer los mismos errores dos veces.

Resalto a los gerentes qué controles EUC se requieren, por ejemplo, validación de datos, controles VBA, guía del usuario y guía del sistema, registro de cambios/control de versiones, etc., y es importante que los gerentes dediquen tiempo a este trabajo en sus planes.

Auditoría del Banco Central

Las empresas financieras deben tener una política EUC “sólida” para cumplir con SS1/23 en el Reino Unido y hacer que la junta sea responsable de ello. Esto es algo que el Banco de Inglaterra y otros bancos centrales están analizando muy de cerca, por lo que si aún no tiene una, es hora de implementar una política EUC en su empresa, antes de que su banco central realice una auditoría. Haga que revisemos y actualicemos sus EUC críticos ahora.

Richard G Mann FMAAT, MIAP, MBCS es un desarrollador de EUC y experto en políticas de EUC y ha trabajado en el sector de servicios financieros, en el espacio regulatorio y de riesgo, durante más de 25 años. Se especializa en desarrollo EUC, principalmente Excel VBA, desarrollo de bases de datos Access y SQL Server. Es un contador profesionalmente cualificado y también miembro de la Sociedad Británica de Computación y del Instituto de Analistas y Programadores.

Póngase en contacto ahora para obtener ayuda con la reducción del riesgo empresarial mediante una política EUC.

Contacto

https://euc-solutions.com/contact

Hogar

https://euc-solutions.com/