Blog invitado de Parimal Patel, Schroders
Las empresas de gestión de activos hacen cada vez más hincapié en el capital de riesgo operacional. El riesgo operacional siempre ha estado en el radar, pero en los últimos años el impacto de los factores económicos mundiales, la evolución de las situaciones políticas y las vulnerabilidades sistémicas de las empresas han hecho que este riesgo sea especialmente complejo de gestionar.
El riesgo informático del usuario final, que emana de aplicaciones de usuario final como hojas de cálculo, bases de datos y herramientas de modelización financiera, es uno de los principales factores que contribuyen al riesgo operativo. Debido a la naturaleza inherente de estas aplicaciones de usuario final y a su ubicuidad en cualquier negocio de gestión de activos para realizar cálculos complejos, mitigar el riesgo operativo relacionado con la EUC requiere una política de gestión de riesgos concertada, exhaustiva y estrictamente aplicable.
Cumplimiento y gobernanza de una política de EUC
Las organizaciones de gestión de activos que deseen instituir políticas de informática de usuario final como parte de su estrategia general de gestión de riesgos operativos harán bien en tener en cuenta lo siguiente:
Alcance - Asegúrese de que la política se aplica y cubre todas las EUC críticas para el negocio. Cada una de ellas debe cumplir también las normas más generales de gobierno de datos y modelos de EUC de la empresa y viceversa.
Definir - Es imperativo que la definición de una EUC se entienda claramente. Por ejemplo, ¿qué tipo de aplicaciones empresariales entran en la categoría de "EUC", en qué programas de software están integradas (por ejemplo, Excel, Access, Python, etc.), etc.? A continuación, es fundamental articular los criterios para determinar qué hace que una EUC sea "crítica para la empresa". Como ejemplo de política informática de usuario final, si el resultado de la EUC se comparte con los clientes, se consideraría crítico para la empresa. Del mismo modo, si el resultado de la aplicación se introduce en bases de datos y modelos de otras áreas de negocio, se consideraría crítico para la empresa.
Propietarios y validadores - Sin propietarios, es imposible aplicar cualquier política. Asigne propietarios individuales a cada uno de los EUC críticos para la empresa; de este modo, los hará responsables de los resultados de la aplicación empresarial a lo largo de su ciclo de vida, desde la creación hasta el desmantelamiento y la sustitución. Esto garantizará que el propietario supervise todos los puntos de control de la exactitud e integridad de los datos. Del mismo modo, designe a un validador para garantizar que las aplicaciones se someten a las pruebas adecuadas y se aprueban las modificaciones estructurales durante la vida útil de cada archivo.
Inventario - La visibilidad completa del panorama de las aplicaciones empresariales es vital. Establezca dónde se registrará el inventario de las EUC críticas para la empresa y bajo qué persona de la organización. Por ejemplo, ¿debería ser responsabilidad del propietario de la aplicación o de los jefes de departamento o equipo?
Control del riesgo residual - Asignar al propietario la responsabilidad de determinar el riesgo residual. Esto garantizará que cualquier caso de alto riesgo residual se comunique a las autoridades superiores y a Gestión de Riesgos de manera oportuna para que puedan tomarse medidas preventivas, si fuera necesario.
Evaluación anual - Asignar a los Jefes de Departamento la responsabilidad de realizar al menos una evaluación anual del panorama de la EUC. Una revisión simultánea de los controles también ayudará a confirmar que la política de EUC se ha cumplido satisfactoriamente.
Acceso al asesoramiento - Identificar a las personas de los departamentos de TI y Riesgos a las que se puede acudir para pedir consejo sobre las mejores prácticas y consultas ad hoc. Esto es esencial para garantizar la correcta aplicación de la política de EUC.
Automatice - Ejecutar manualmente una política de informática de usuario final es difícil y lleva mucho tiempo. La mejor manera de aplicar una política de EUC para gestionar el riesgo que presentan estas aplicaciones es automatización. Garantiza controles y equilibrios de forma rutinaria, para que los usuarios puedan centrarse en sus tareas principales en lugar de preocuparse por cumplir la política.
El riesgo EUC es un componente clave del riesgo operativo
El riesgo EUC es uno de los componentes clave del riesgo operativo. Aunque muchos de los factores que influyen en el riesgo operativo escapan a menudo al control de las organizaciones, el riesgo EUC es gestionable. De hecho, la gestión de EUC no sólo mitiga el riesgo, sino que aporta valor empresarial. El conocimiento del panorama puede impulsar mejoras en la eficiencia operativa y mejorar las normas internas, lo cual es fundamental para las empresas actuales, preocupadas por los costes y centradas en el cliente.
Descubra PolicyHub
Es la solución de gestión de políticas fácil de usar, para que puedas reforzar el cumplimiento normativo.
