Las hojas de cálculo son herramientas fundamentales para las organizaciones de todos los sectores, pero también presentan riesgos operativos, financieros y normativos importantes cuando no se controlan adecuadamente.
A medida que aumenta la complejidad de las herramientas informáticas para usuarios finales (EUC), como las hojas de cálculo, también lo hace el riesgo de error. Un estudio reciente revela que hasta el 94 % de las hojas de cálculo utilizadas para tomar decisiones empresariales contienen errores críticos.
A medida que las organizaciones siguen dependiendo de las herramientas EUC, aumenta la posibilidad de que se produzcan errores, lo que conlleva pérdidas económicas, problemas de cumplimiento normativo y daños a la reputación. Una de las formas más eficaces de combatir este problema es mediante una auditoría EUC exhaustiva.
¿Qué es una auditoría EUC?
Una auditoría EUC (informática para usuarios finales) es un proceso estructurado que evalúa los riesgos, los controles y las prácticas de gobernanza relacionados con las aplicaciones para usuarios finales, normalmente hojas de cálculo y otras herramientas creadas fuera de la supervisión del departamento de TI. Estas herramientas suelen dar soporte a funciones empresariales clave, como la elaboración de informes financieros, la gestión de riesgos, la previsión y el seguimiento del cumplimiento normativo.
Una auditoría de EUC suele incluir los siguientes objetivos:
- Identificación de EUC críticos en todos los departamentos
- Evaluación de los niveles de riesgo en función de la complejidad, el uso y la sensibilidad de los datos.
- Evaluación de controles tales como restricciones de acceso, control de versiones y gestión de errores.
- Recomendar mejoras u oportunidades de automatización.
¿Por qué es necesaria una auditoría EUC para el cumplimiento normativo?
Los reguladores son cada vez más conscientes de los riesgos que plantean las herramientas EUC no controladas. No gestionar estos riesgos puede dar lugar a incumplimientos normativos, informes financieros inexactos y daños a la reputación. La realización de auditorías EUC periódicas ayuda a las organizaciones a cumplir con una lista cada vez mayor de marcos normativos, entre los que se incluyen:
- Ley Sarbanes-Oxley (SOX): Exige controles internos sobre la información financiera. Las hojas de cálculo utilizadas en los procesos financieros deben estar documentadas, controladas y ser auditables.
- Reglamento General de Protección de Datos (RGPD): exige controles estrictos sobre el tratamiento y almacenamiento de datos personales, que pueden residir en EUC.
- Autoridad de Conducta Financiera del Reino Unido (FCA): Exige a las empresas que gestionen el riesgo operativo, incluidos los riesgos que plantean las herramientas EUC que dan soporte a operaciones comerciales críticas.
- Normas y directrices de la SEC: La Comisión de Bolsa y Valores de Estados Unidos espera que las empresas que utilizan herramientas EUC en sus divulgaciones o informes financieros apliquen prácticas sólidas de gestión de riesgos.
La auditoría de su entorno EUC garantiza que las hojas de cálculo y otras herramientas creadas por los usuarios sean precisas y seguras, y que cumplan con estas expectativas normativas.
Cómo realizar una auditoría de EUC
1. Crear un inventario
Comience por identificar todos los EUC críticos en toda la organización. Esto se puede hacer manualmente mediante encuestas o, de forma más eficaz, a través de un sistema de gestión de inventario de EUC. Contar con un inventario actualizado es esencial para el cumplimiento de la ley SOX.
2. Clasificación de riesgos de los EUC
Aplicar una metodología estándar de clasificación de riesgos basada en factores como:
- Frecuencia de uso
- Impacto financiero u operativo
- Complejidad de las fórmulas y los enlaces
Las herramientas con capacidades integradas de evaluación de riesgos pueden acelerar este proceso.
3. Evaluar los controles de acceso y seguridad
Determine quién tiene acceso a cada archivo EUC, especialmente aquellos almacenados en unidades compartidas. Para los archivos que contengan datos confidenciales o regulados, aplique protección con contraseña y habilite el cifrado.
4. Revisar los controles de entrada
Evalúa cómo se introducen los datos. ¿Existen reglas de validación? ¿Las entradas impiden la introducción de formatos incorrectos (por ejemplo, imponiendo campos solo de texto)?
5. Validar cálculos y fórmulas
Revise todos los cálculos por separado para verificar su exactitud. Compruebe la coherencia, la lógica y los errores de duplicación en varias hojas o enlaces.
6. Evaluar los resultados y la distribución
Confirme si los informes generados desde el EUC son precisos. Compruebe quién recibe los resultados y asegúrese de que la distribución se ajusta a las necesidades empresariales o de cumplimiento normativo.
7. Revisión de cambios y control de versiones
Identifique cómo se realiza el seguimiento de los cambios. Utilice herramientas que supervisen las versiones y destaquen las modificaciones para que las actualizaciones puedan probarse, aprobarse e implementarse de forma segura.
Mejores prácticas de gestión continua de EUC
Llevar a cabo una auditoría EUC eficaz es una habilidad vital para reducir el riesgo. En términos de gestión continuada, también se puede hacer mucho para minimizar la amenaza para su organización. A continuación exponemos las estrategias de gestión que debe emplear para mantener a salvo sus datos y procesos.
Centralizar el almacenamiento
Asegúrese de que todos los EUC críticos para el negocio se almacenen en una ubicación compartida, segura y centralizada a la que puedan acceder los equipos pertinentes. Considere la posibilidad de segmentarlos por departamento o función para controlar el acceso.
Simplificar la documentación
Utilice plantillas estandarizadas e incorpore los requisitos de documentación en los flujos de trabajo cotidianos. Esto anima a los usuarios finales a seguir las mejores prácticas de mitigación de riesgos sin añadir fricciones.
Recopilar datos para cuantificar el riesgo de EUC
Con datos objetivos y cuantificables, puede evaluar cada EUC de forma comparativa y comprender los niveles de riesgo en las diferentes áreas de la organización.
Recopile datos cuantificables sobre cada EUC, tales como:
- Número de hojas de cálculo
- Enlaces a datos externos
- Uso de macros o fórmulas complejas
También puede recopilar información a través de cuestionarios para los usuarios (por ejemplo, «¿Se utiliza este archivo en informes externos?» o «¿Contiene información de identificación personal?»).
Aprovechar la tecnología existente para mitigar los riesgos
Aproveche las soluciones específicas para ayudarle a recopilar pruebas y mejorar la gestión general de EUC. Los componentes clave para proporcionar una mitigación inmediata del riesgo pueden incluir:
- Cifrado:proteja las unidades EUC compartidas contra el acceso no autorizado.
- Escaneo:identificar y evaluar la complejidad de las hojas de cálculo.
- Prevención de pérdida de datos (DLP): evita que la información confidencial se comparta accidentalmente fuera de la organización.
Automatizar la gestión de riesgos de EUC
Incluso con las mejores prácticas implementadas, los errores humanos son inevitables. La automatización de la supervisión de EUC, el control de versiones y la gestión de accesos reduce la dependencia de la supervisión manual y garantiza la aplicación coherente de los controles de riesgo.
Próximos pasos: proteja su organización del riesgo que suponen las hojas de cálculo
La dependencia de herramientas EUC como las hojas de cálculo no va a desaparecer, ni tampoco el riesgo para su organización. Una auditoría EUC exhaustiva mitiga estos riesgos y ayuda a mantener el cumplimiento normativo. La creación de un proceso de gestión EUC estructurado, automatizado y bien documentado puede reducir la exposición, mejorar la integridad de los datos y generar confianza en las operaciones críticas de su organización. Solicite hoy mismo una demostración con nuestro equipo de expertos para ver cómo Mitratech puede ayudarle a proteger sus operaciones y automatizar la gestión de riesgos EUC.
