Las hojas de cálculo son una herramienta fantástica pero pueden suponer un riesgo


Solo tenemos que retroceder unos meses atrás para encontrar el caso de un renombrado banco de inversión que, debido a algunos supuestos errores en el proceso de cortar y pegar y a otros de formulación, subestimó gravemente el riesgo de una cartera de crédito sintético. Las perdidas fueron mil millonarias.

La creación y utilización de hojas de cálculo es una habilidad clave para cualquier gestor de fondos (y también para muchos otros profesionales de los ESI’s, Directores Financieros, de Compliance, Dealing etc). Los beneficios de su uso son conocidos por todos y no trato de denostar la hoja de cálculo, sino avisar sobre los riesgos de su uso y sugerir una solución para mitigarlos.

Las hojas de cálculo son conocidas como End User Applications (EUC’s) o programas desarrollados por usuarios finales y, por lo tanto, suelen escapar de los habituales circuitos de control empleados en el despliegue de un sistema centralizado.

¿Cuáles son los riesgos?

Identificación de las hojas críticas. En primer lugar, las organizaciones asumen más riesgo de lo que deberían, dado que pueden desconocer cuál es la población total de EUC’s críticas en su interior. No existe un inventario actualizado de qué hojas de cálculo son críticas en la toma de decisiones y se desconocen los vínculos y dependencias existentes entre hojas. En definitiva: desconocimiento total del riesgo. Pregúntele a su director de sistemas si puede identificar los sistemas críticos y lo sabrá. Después pregúntele sobre las hojas de cálculo y se quedará sorprendido por la respuesta.

Control sobre la aplicación. El control de accesos, de versionado, de cambios, de recuperación y de respaldo, así como un buen audit trail, son controles básicos que se exigen a un sistema de información, pero con frecuencia no existen este tipo de controles para las hojas de cálculo.

El diseño de la propia hoja de cálculo, incluyendo las macros, no suele realizarse mediante un proceso de desarrollo robusto, como sucede con el resto de sistemas. Cuanto más compleja es la hoja en cuestión, más probabilidad de error existirá. Un buen ejemplo son los conocidos como “numero mágicos” en las formulas (números enteros introducidos discrecionalmente en una celda o una fórmula), empleados frecuentemente en el desarrollo de modelos o para cuadrar cálculos. En una hoja de 10 pestañas, quizás no sea del todo fácil recordar dónde ser introdujo un número mágico y, como auditor, es aún más difícil detectar ese tipo de fallos, sobre todo si ha de hacerse de manera manual.

Control sobre los datos. Los modelos generados en hojas de cálculo pocas veces son modelos aislados y, casi siempre, dependen de un vínculo con otra o varias hojas o sistemas de información, interna y externa. La rotura de esos vínculos, o la no actualización de los datos, puede afectar enormemente al resultado deseado. En sistemas más estables existen workflows o cadenas de revisión y aprobación, así como la posibilidad de segregar funciones. El proceso de toma de decisiones con hojas de cálculo suele obviar, en muchos casos, esta necesidad. ¿Cómo puedo estar seguro de que la hoja de cálculo que me presenta mi subordinado está completa y que no ha cambiado la formulación desde el mes pasado?

Los 4 pasos para gestionar los riesgos de sus hojas de cálculo:

1.     Desarrollo y documentación de las políticas y procedimientos, enfocados a asegurar el correcto funcionamiento y minimización del riesgo del universo de hojas de cálculo de la organización, en función de su grado de sensibilidad

2.     Creación de un inventario de hojas de cálculo para regular y facilitar su auditoría y control y clasificación de los diferentes elementos en base a un nivel de riesgo predeterminado.

3.     Desarrollar controles mínimos manuales sobre el acceso, versionado y cambio, así como sobre los elementos básicos de seguridad. Monitorización manual.

Automatizar, mediante software especializado, la auditoría, el control y la monitorización continua de las hojas de cálculo críticas.

Noticias relacionadas

Lo más leído