La reciente carta de la Autoridad de Regulación Prudencial del Reino Unido (PRA) a los directores generales de los bancos y sociedades de crédito hipotecario británicos hace hincapié en el uso de la gestión del riesgo de modelo (MRM) en el proceso de elaboración de informes. ¿Qué significa esto?
Los modelos predictivos son un elemento básico de muchos marcos reguladores para calcular los resultados en un entorno empresarial sometido a tensión. Las entidades cuentan con equipos de modelización que gestionan los modelos con arreglo al marco de gestión del riesgo de modelo (MRM) SS3/18 de la PRA. Sin embargo, la naturaleza fragmentada de la información reglamentaria significa que es probable que haya muchos modelos con aplicaciones reglamentarias que queden fuera del alcance y el control de los equipos de MRM.
La investigación de la PRA identificó la falta de controles aplicados a los modelos. Sin controles adecuados, pueden realizarse cambios sin dejar constancia, lo que aumenta el riesgo de que se presenten informes erróneos. La falta de controles también puede apuntar a procesos de gestión subóptimos en otros ámbitos de la gestión de modelos, como la supervisión, la documentación y la aplicación coherente de las políticas de GRM en toda la empresa.
MRM en la banca
Los modelos bancarios son muy variados.
Las hojas de cálculo pueden ser aplicaciones EUC, en las que los usuarios utilizan la potencia y flexibilidad de las hojas de cálculo para crear aplicaciones de software fuera del control y la influencia de la función de TI corporativa. El uso de EUC en las empresas no es inusual.
Las hojas de cálculo pueden utilizarse como fuentes de datos de referencia, recopilando información de una serie de sistemas básicos de todo el banco; como calculadoras para generar los datos utilizados para rellenar los informes; como modelos para ayudar a crear los resultados requeridos en algunos informes; o pueden utilizarse en el proceso de conciliación para recopilar, revisar y modificar los resultados reglamentarios finales, ya que las empresas aplican su juicio experto en sus "informes finales kilométricos".
Sin embargo, la falta de controles y de transparencia inherente a las hojas de cálculo hace que los datos puedan sobrescribirse sin previo aviso, que se pasen por alto errores en los datos o que se rompan los enlaces a otras aplicaciones y fuentes de datos sin que nadie se dé cuenta. En la elaboración de informes reglamentarios, el riesgo de presentar a la PRA un informe erróneo causado por estos errores es significativo.
También son populares otros modelos EUC basados en plataformas como SAS, MATLAB y Python.
Es probable que en el futuro la PRA centre su escrutinio en estos modelos más inseguros basados en EUC. Entonces, ¿qué puede hacer un equipo de MRM para responder positivamente a las expectativas de la PRA?
La naturaleza fragmentada de la información reglamentaria significa que es probable que haya muchos modelos con aplicaciones reglamentarias que queden fuera del alcance y el control de los equipos de modelización.
Cómo gestionar sus modelos EUC
El primer paso es crear un inventario centralizado de modelos, que proporciona la base para una gestión y un control eficaces de los modelos. Un inventario le proporciona un marco de modelos que supervisa proactivamente los modelos. Proporciona un repositorio de los documentos que definen el uso, el diseño y la propiedad de un modelo. Proporciona la base para el proceso de aprobación del flujo de trabajo, que es un elemento crucial de la gestión del cambio que la PRA esperará ver.
La siguiente etapa es supervisión proactiva de sus modelos. Los procesos periódicos de certificación permiten a los usuarios confirmar el estado de sus modelos y poner de relieve cualquier cambio o novedad que deba señalarse a los equipos de gestión, riesgo y cumplimiento, así como a la PRA. Las empresas deben no Al ignorar los modelos basados en hojas de cálculo en este proceso de supervisión y control de cambios, las empresas pueden aprovechar la automatización para ver dónde los problemas, los errores y la falta de datos pueden afectar a su capacidad de ofrecer resultados reglamentarios precisos a la PRA. Estas alertas constituyen la base de los informes que proporcionan visibilidad a los equipos de riesgo, cumplimiento y gestión que la PRA señaló que necesitaban mejoras.
Una vez establecidos el inventario y los controles, la fase final es descubrimiento, garantizar la veracidad del inventario para asegurarse de que recoge todos los modelos en uso, en particular los gestionados por los usuarios finales (por ejemplo, modelos de hojas de cálculo). Las mejores prácticas -lo que espera la PRA- exigirán que los bancos busquen en todo el parque informático, en ordenadores, particiones de archivos, sitios SharePoint o entornos de computación en nube. Los riesgos de perder un modelo que podría ser una hoja de cálculo clave son demasiado significativos. El uso generalizado de modelos EUC en todos los procesos de negocio requiere capacidades de búsqueda potentes, escalables y sólidas.
Mitratech ofrece una gama de soluciones de gestión de riesgos de hojas de cálculo EUC y soluciones MRM líderes en el mercado, probadas y utilizadas por algunas de las instituciones más exigentes. Nuestras soluciones son potentes, escalables y rápidas de implementar, ofreciendo a las instituciones una forma práctica de abordar las necesidades del negocio y de la PRA.
Gestione sus hojas de cálculo de Shadow IT
Con ClusterSeven, tome el control de los activos informáticos de usuario final ocultos en su empresa que pueden crear riesgos ocultos.
