Les EUC sont des applications développées par des « utilisateurs finaux » dans Excel ou Access, mais qui n’utilisent pas nécessairement de normes de codage et ne disposent pas nécessairement d’une formation informatique formelle. Le personnel des opérations/BAU développe les EUC et non le service informatique. Les applications informatiques de l’utilisateur final sont également utilisées dans les bases de données, les requêtes, les scripts ou les sorties des outils de reporting. Les sociétés financières disposent d’un nombre élevé d’EUC complexes. Les EUC non gérés représentent un risque important pour les entreprises, en particulier celles du secteur financier telles que les banques et les compagnies d’assurance. Cet article examine la Réduire les risques commerciaux grâce à une politique EUC et comment la mettre en œuvre.
Les banques centrales examinent le risque de modèle et les EUC
La Banque d’Angleterre a publié la déclaration de surveillance SS1/23 – Principes de gestion des risques de modèle pour les banques, qui définit les attentes de la PRA et de l’organisme de réglementation en matière de gestion du risque de modèle par les banques. Les banques centrales du monde entier devraient désormais s’intéresser aux banques, aux assureurs et aux autres institutions financières de leur pays pour s’assurer que les normes EUC sont suffisamment élevées pour limiter les erreurs financières, les atteintes à la réputation et les erreurs de déclaration des banques centrales.
Il couvre une grande variété de méthodes de calcul quantitatif, de systèmes, d’approches, d’applications informatiques pour utilisateurs finaux (EUC) et de calculateurs utilisés dans les opérations quotidiennes des entreprises, c’est-à-dire que les résultats soutiennent les décisions prises en relation avec les activités commerciales générales, les décisions stratégiques, la tarification, les aspects financiers. , gestion ou rapports des risques, du capital et des liquidités, et autres activités bancaires opérationnelles. La date limite pour respecter ces normes était le 17 mai 2024. Il s’agit d’un signal d’alarme pour les entreprises qui doivent réduire les risques commerciaux grâce à une politique EUC.
Les feuilles de calcul Monster Excel représentent un risque majeur pour votre entreprise
Les feuilles de calcul Excel sont aujourd’hui utilisées dans la plupart des activités de banque et d’assurance. Des applications complexes peuvent être développées relativement rapidement. Cependant, de nombreux utilisateurs laissés à eux-mêmes peuvent transformer des feuilles de calcul en « monstres » Excel. Cela se produit généralement là où il n’y a pas de politique EUC, et les utilisateurs « font ce qu’ils veulent ». impact sur l’exposition opérationnelle et financière de l’entreprise en question. Si les choses tournent mal, ces outils peuvent également nuire à la réputation. Mon article explique comment réduire les risques commerciaux grace a une politique EUC, et comment le faire.
Les feuilles de calcul Excel trop complexes à comprendre présentent un risque élevé et nécessitent une correction EUC (voir ci-dessous). Certaines fonctionnalités des EUC incluent :
manque de visibilité de l’entreprise
• documentation insuffisante
• mauvaise conception et manque de normes de codage
• Piste d’audit médiocre ou inexistante
• pas entièrement testé / non validé
• les applications financières nécessitent une diligence extrême/ont un impact important sur l’entreprise
• manque de visibilité de l’entreprise
Questions de réflexion :
• Comment pouvez-vous auditer des EUC complexes ?
• Comment un utilisateur de BAU peut-il l’utiliser pour ses tâches quotidiennes s’il ne le comprend pas ?
• Pourquoi sommes-nous désorientés par les grandes feuilles de calcul encombrantes ?
Millers Threshold concerne notre « mémoire de travail » ou mémoire à court terme. C’est la capacité du cerveau à contenir plusieurs informations en même temps. Cela implique également notre capacité à prendre des décisions en utilisant ces informations. La loi de Miller affirme que la mémoire des gens est limitée à sept éléments d’information. Miller dit que pousser le nombre de « bits » d’information au-dessus de ce seuil a provoqué de la confusion, conduisant à des décisions incorrectes.
Par conséquent, les feuilles de calcul Excel doivent être conçues de manière à éviter toute confusion. J’ai rencontré de nombreux monstres Excel au cours de mes 25 années de travail dans le secteur bancaire et des compagnies d’assurance. La réaction habituelle de la direction et du service informatique lorsqu’ils découvrent ces « monstres » est la panique et l’effroi, surtout s’il s’agit d’un EUC critique pour l’entreprise. Ensuite, ils feraient normalement appel à un expert en feuilles de calcul pour effectuer la correction EUC et trier le problème.
Dans cet article, je présenterai des études de cas réels, les techniques de correction des feuilles de calcul, la politique EUC et discuterai brièvement d’Office 365. Ces bombes à retardement peuvent être trouvées n’importe où dans votre entreprise.
Savez-vous où se trouvent les feuilles de calcul Monster dans votre entreprise ?
Étude de cas 1
Une société de gestion de fonds de premier plan m’a fait appel pour corriger et gérer un modèle Excel clé de gestion de fonds EUC avec des dérivés intégrés que personne ne comprenait, à l’exception de la personne qui l’a développé. C’était totalement sur-conçu et instable. Les grands modèles Excel peuvent être corrompus à tout moment, puis ils disparaissent.
Le travail de remédiation de l’EUC comprenait sa réingénierie pour utiliser moins d’onglets, moins de formules et réduire la taille de la feuille de calcul Excel d’environ 100 Mo à environ 25 Mo. C’était alors « hors de danger ». J’ai ensuite automatisé certaines étapes manuelles à l’aide de VBA. L’une des choses critiques que j’ai découvertes était que les résultats du modèle « étaient erronés », avec de graves implications pour l’entreprise, qui aurait pu avoir des ennuis avec la PRA/l’organisme de réglementation pour des rapports incorrects. Après une réingénierie et l’ajout de calculs plus solides, les résultats étaient alors corrects. Le problème était qu’Excel « abandonnait » le calcul car il y avait trop de dépendances.
Étude de cas 2
Une grande société de réassurance m’a fait appel à moi pour corriger et redévelopper un outil de feuille de calcul Excel de reporting PRA. Après quelques analyses, j’ai conclu qu’il n’était pas « adapté à son objectif ». Pourquoi ? Il utilisait des liens de fichiers lourds, plusieurs types de code VBA mal écrits (certains enregistrés) et il ne cessait de tomber. De plus, les résultats étaient parfois erronés/impossibles (ce qui n’est pas vraiment surprenant). Ma solution consistait à développer un outil propre, validé et piloté par des données paramétriques, qui produisait efficacement et précisément les rapports PRA requis en un seul clic. C’est ce que la remédiation EUC peut faire pour votre entreprise.
Étude de cas 3
Une grande compagnie d’assurance m’a fait appel pour corriger et redévelopper un outil de rapprochement de bilan basé sur Excel. C’était un « monstre » de 100 Mo avec plusieurs onglets, avec 100 000 enregistrements sur chaque onglet (avec 100 000 lignes de formule), un tableau croisé dynamique rapportant plus de 50 000 lignes et ils se plaignaient qu’il continuait de tomber et de manquer de mémoire. Avec presque aucune exigence, j’ai converti les lignes de formule en valeurs, les ai divisées en deux modèles, les tableaux croisés dynamiques étant répartis dans un modèle distinct, ainsi qu’une version codée en dur des données requises. Les corrections EUC incluent l’automatisation des processus manuels à l’aide d’applications Visual Basic avec d’importantes réductions de la mémoire et de la taille des fichiers, ainsi qu’une augmentation de la vitesse. Laissé sans surveillance, je suis sûr qu’il aurait été corrompu et que le modèle serait devenu irrécupérable.
Comment les erreurs s’insinuent
La qualité des rapports réglementaires est compromise par de mauvais contrôles au niveau des données sources et par un manque de volonté de la part de la direction de faire quoi que ce soit à ce sujet. Les entreprises doivent comprendre à quel point les contrôles de qualité sont importants au niveau le plus bas. Les erreurs introduites dans les données sources remontent vers la direction de niveau supérieur et les rapports de la banque centrale.
Astuce : capturez les erreurs au niveau le plus bas possible.
Un exemple dans un système de gestion d’hypothèses sur lequel j’ai travaillé, des erreurs apparaissaient dans le système SQL Server plus haut dans la chaîne en raison d’erreurs de données sources. Pour résoudre ce problème, j’ai écrit une validation des données sur les fichiers sources EUC pour détecter les erreurs et les corriger. Un autre exemple sur un système Solvabilité II consistait à ajouter des contrôles garantissant que la répartition entre les classes d’actifs s’ajoutait à 100 % et à signaler les exceptions.
Lorsqu’on traite un demi-million de dossiers, ces vérifications sont essentielles.
Lorsque les résultats des EUC sujets aux erreurs sont soumis à la banque centrale/au régulateur, la présence d’erreurs dans la déclaration constitue un problème grave.
Techniques de correction EUC utiles pour réparer les « monstres » Excel présentant un risque de corruption
Enregistrez le modèle au format binaire (compresse le fichier au format XML)
• Dans les onglets de grands ensembles de données avec des formules intégrées, conservez la formule de la ligne supérieure, copiez-la et collez-la en tant que valeurs (n’oubliez pas de recalculer d’abord !)
• Sur les tableaux croisés dynamiques, effacez le cache des données (peut utiliser une énorme quantité de mémoire)
• Divisé en deux modèles ou plus (diviser les données des calculs)
• Mise à niveau vers Excel/Office 365 64 bits (peut gérer jusqu’à 8 téraoctets (To) de mémoire)
• Pour les modèles corrompus, copiez les feuilles dans un classeur vide et reconstruisez-les à partir de zéro (pas pour les âmes sensibles)
• Supprimez les onglets redondants, les plages de noms, les liens de fichiers orphelins et les connexions de données.
• Effacer la plage utilisée pour chaque onglet (effectué via le module de classe d’onglets et la fenêtre de débogage)
• Supprimez ou remplacez les formules Excel « volatiles » telles que now(), rand() etc.
• Examinez toutes les fonctions de feuille de calcul personnalisée.
• Vérifiez quelles bibliothèques VBA sont utilisées.
Office 365 et 32 bits à 64 bits, etc.
Excel 365 est livré avec un tas de nouvelles fonctions utiles telles que concat, textjoin, ifs et xlookup qui peuvent remplacer la fonctionnalité index/match (peut effectuer une recherche sur le côté gauche). Les choses à surveiller dans Excel 365 sont les appels API qui nécessitent désormais la syntaxe prtsafe/prtlong pour gérer le 32 et le 64 bits. J’ai également remarqué que le comportement de workbook_open avait changé et j’ai donc dû trouver une solution de contournement pour cela. Je ferai un autre article sur Excel 365 qui approfondira.
Politique de la CUE
Les banques ont tendance à avoir une approche plus disciplinée que les compagnies d’assurance en ce qui concerne la politique EUC, mais les compagnies d’assurance s’améliorent lentement. Des banques telles que Lloyds Banking Group réduire les risques commerciaux grace a une politique EUC – et disposent désormais d’une politique EUC bien développée et solide. Les caractéristiques d’une bonne politique EUC comprennent :
• Un inventaire de toutes les feuilles de calcul Excel et bases de données Access critiques pour l’entreprise.
• Une analyse/notation de complexité
• Une analyse/notation des Risques Métiers
• Le propriétaire de l’entreprise EUC
• Le propriétaire technique de l’EUC
• Documentation complète, y compris le journal des modifications, le guide de l’utilisateur, le guide système, le guide technique
• Système d’enregistrement/départ pour les modifications, par ex. depuis Sharepoint
Qu’est-ce qu’un EUC critique ?
• Est-il suffisamment complexe en termes de code VBA, de compléments, de formules et d’autres fonctionnalités ?
• Est-ce important sur le plan opérationnel et/ou a-t-il un impact important sur les rapports financiers ?
Si la réponse est Oui, il s’agit d’un EUC critique et doit être conforme à l’EUC.
Politique EUC – Comment obtenir un « Pass »
J’ai été chargé, au sein de la compagnie d’assurance où je travaille actuellement, de mettre en œuvre la politique de gouvernance des EUC pour un groupe d’EUC, et de mettre en œuvre les contrôles supplémentaires, l’automatisation VBA et la documentation pour que les EUC obtiennent également un « Pass ». informer les autres utilisateurs de l’EUC de ce qu’ils doivent faire pour obtenir un laissez-passer. Un registre d’inventaire EUC des EUC critiques est un élément clé de la politique EUC. Les corrections correctes sont la méthode pour obtenir un laissez-passer, pour chaque EUC. Il doit y avoir un minimum de travaux de remédiation EUC pour ajouter des contrôles et de la documentation afin d’obtenir une réussite. Les développeurs et le personnel de BAU doivent travailler ensemble pour définir les exigences, développer, tester et mettre en œuvre des solutions. Parfois, un changement dans les processus métiers est nécessaire parce qu’un problème de risque a été soulevé.
Corrections EUC
Vous vous demandez peut-être quelles mesures correctives sont nécessaires pour qu’un EUC réponde à une bonne norme de politique EUC ? En règle générale, un EUC Excel d’une importance cruciale nécessiterait de vérifier que les données source sont les mêmes que celles réellement chargées. Vérifie que les données (en-têtes de champ) dans les fichiers d’entrée n’ont pas changé : un gros drapeau rouge, des vérifications de type de données, un journal de contrôle des modifications/versions, une protection, une conception d’onglets pour simplifier les choses et un guide de l’utilisateur et une documentation système/technique. . Ce serait le minimum requis. En règle générale, plus une feuille de calcul est complexe, plus une correction EUC est nécessaire pour la rendre suffisamment « robuste » pour obtenir un laissez-passer. La liste de contrôle que j’ai introduite dans le modèle d’audit identifie les faiblesses et les lacunes qui nécessitent une correction par l’EUC.
Modèle d’audit des politiques de l’EUC et liste de contrôle
J’ai développé un modèle Excel pour déterminer la complexité de l’EUC et la « criticité de l’entreprise », en d’autres termes « est-il dans la portée d’un EUC critique ? L’outil est destiné aux EUC de moyenne à très complexes qui ont un impact opérationnel, fonctionnel ou externe/PRA substantiel et qui doivent être inscrits au registre EUC. Il s’agit d’une liste de contrôle très utile, que je parcoure à la recherche de mesures correctives appropriées pour rendre un EUC robuste, compréhensible et disposer de bons contrôles avec la documentation. Cela rend l’utilisation de BAU sûre.
Mise en œuvre de la politique EUC au niveau des cadres supérieurs
Même lorsqu’il existe une politique EUC officielle, il y a parfois un manque de volonté pour mettre réellement en œuvre ces contrôles. Certains managers prennent la politique EUC très au sérieux, d’autres non. Ceux qui prennent cela au sérieux sont généralement ceux qui ont eu l’expérience ou la peur des feuilles de calcul « malveillantes », par exemple, qui ont reçu un appel du service de réglementation de la Banque centrale en raison d’une erreur de déclaration, et qui sont « motivés » à ne pas faire le travail. deux fois les mêmes erreurs.
Je souligne aux managers quels contrôles EUC sont requis, par exemple la validation des données, les contrôles VBA, le guide de l’utilisateur et le guide système, le journal des modifications/le contrôle de version, etc. et il est important que les managers consacrent du temps à ce travail dans leurs plans.
Audit de la Banque centrale
Les sociétés financières doivent disposer d’une politique EUC « robuste » pour se conformer à la norme SS1/23 au Royaume-Uni et en confier la responsabilité au conseil d’administration. C’est quelque chose que la Banque d’Angleterre et d’autres banques centrales examinent de très près, donc si vous n’en avez pas déjà une, il est temps de mettre en œuvre une politique EUC dans votre entreprise, avant que votre banque centrale ne procède à un audit. Protégez vos EUC et faites plaisir à votre conseil d’administration, vos actionnaires et vos régulateurs. Faites vérifier, corriger et mettre à niveau vos EUC critiques dès maintenant.
Richard G Mann FMAAT, MIAP, MBCS est un développeur EUC, un expert en remédiation EUC et en politique EUC et travaille dans le secteur des services financiers, dans le domaine de la réglementation et des risques, depuis plus de 25 ans. Il se spécialise dans le développement EUC, principalement Excel VBA, le développement de bases de données Access et SQL Server. Il est comptable professionnellement qualifié et également membre de la British Computer Society et de l’Institut des analystes et programmeurs.
Contactez-nous dès maintenant pour obtenir de l’aide sur la réduction des risques commerciaux grâce à une politique EUC.
#EUCRemédiation #ExcelHorreurHistoires #ExcelRemédiation #RéduirelerisqueEUCRemédiation
#CoûtDeRemédiationEUC #LogicielDeCorrectionEUC #ExemplesDeCorrectionEUC #RemédiationEUCpdf
Contact
Maison