Gestión de riesgos en hojas de cálculo: Un enfoque basado en las mejores prácticas
Vivimos en un mundo en el que todo está en línea, disponible al instante en cualquier lugar y en cualquier momento. Todo es ágil y fluido.
Sin embargo, a pesar de que las aplicaciones están fácilmente disponibles en línea, la hoja de cálculo Excel sigue siendo muy utilizada, a pesar de ser una tecnología de hace 40 años.
Existen numerosas historias de empresas que han sido sorprendidas utilizando hojas de cálculo sin los controles adecuados, ya sea obligando a las empresas a reformular sus beneficios tras un anuncio a los mercados financieros o teniendo un impacto material en la lucha contra la pandemia del COVID.
Sin embargo, la gente sigue utilizando Excel para gestionar una serie de asuntos y procesos empresariales. Para ser justos, la gente no es tonta; sigue habiendo muchas razones excelentes para utilizarlo.
Es un formato de datos ampliamente aceptado, que permite intercambiar datos de forma rápida y sencilla. No se requieren conocimientos técnicos complejos o escasos para enriquecer o utilizar los datos de una hoja de cálculo Excel. Puede integrarse en toda una serie de aplicaciones y es tan potente que los usuarios pueden crear sus propias aplicaciones empresariales -aplicaciones informáticas para usuarios finales (EUC)- cuando necesitan resolver problemas más rápido de lo que su departamento informático puede ayudarles.
El valor de Excel -y sus defectos- no han pasado desapercibidos para la alta dirección, las partes interesadas de las empresas y los reguladores del sector. Las expectativas sobre cómo deben gestionarse las hojas de cálculo de Excel están aumentando rápidamente, y las empresas pueden ser penalizadas si no observan las mejores prácticas del sector en la gestión de sus hojas de cálculo.
La gestión de las mejores prácticas del sector en hojas de cálculo de Excel ha sido dirigida a menudo por contables, que en muchas ocasiones son los usuarios avanzados de Excel en una empresa. Comprenden las implicaciones empresariales de los resultados de baja calidad creados por hojas de cálculo defectuosas.
Directrices del ICAEW para el uso de hojas de cálculo
El Instituto de Censores Jurados de Cuentas de Inglaterra y Gales (ICAEW) defiende desde hace tiempo el uso de hojas de cálculo en empresas de todos los tamaños. Recientemente ha publicado un documento titulado "How to Review a Spreadsheet" (Cómo revisar una hoja de cálculo) en el que se explica cómo los usuarios de todos los niveles pueden evaluar y gestionar mejor sus hojas de cálculo empresariales más importantes.
El ICAEW recomienda múltiples sub-revisiones como parte de una revisión global exhaustiva del expediente. Plantea una serie de preguntas en cada fase, entre ellas:
Revisión inicial:
- ¿Para qué sirven las hojas de cálculo?
- ¿Cuál es el nivel de riesgo asociado a la hoja de cálculo?
- ¿Hasta qué punto es competente el autor?
- ¿Se ha sometido la hoja de cálculo a revisiones previas?
- ¿Cuál es el ciclo de vida de la hoja de cálculo?
- ¿Qué controles se han utilizado?
Revisión estructural:
- ¿Es adecuada la hoja de cálculo?
- ¿Existe documentación que respalde la hoja de cálculo?
- ¿Hay hojas clave en la hoja de cálculo?
- ¿Utiliza fuentes externas?
- ¿Es complejo?
Revisión de datos:
- ¿Son válidos los datos?
- ¿Es necesario comprobar los datos de la hoja de cálculo?
- ¿Cuál es el impacto de los datos estresados en los resultados? ¿Es razonable?
Revisión analítica:
- ¿Parecen razonables los resultados globales?
- ¿Qué tendencias muestran los datos?
- ¿Cuáles son los resultados del análisis de ratios?
- ¿Son similares los resultados del cálculo paralelo?
Revisión detallada:
- ¿Se han probado las fórmulas?
- ¿Se ha revisado la hoja de cálculo de forma independiente?
El modelo de revisión de ICEAW también pone de relieve la necesidad de herramientas de diagnóstico que pongan de relieve los errores y omisiones en una hoja de cálculo para poder subsanarlos rápidamente.
¿Cómo puede la tecnología mitigar el riesgo de las hojas de cálculo?
Pocos usuarios, auditores, consejeros o reguladores discutirían estos puntos.
El reto para las empresas es cómo implantar mejor un marco de gestión de riesgos de las hojas de cálculo que respalde este tipo de revisiones. Dada la forma en que se utilizan las hojas de cálculo -normalmente sin revisión- y los controles de gestión que suelen encontrarse en las aplicaciones informáticas de las empresas, esto resulta muy difícil si no se dispone de los conjuntos de herramientas adecuados.
Algunos de estos puntos requieren que un usuario compruebe la cordura de una hoja de cálculo que recibe por primera vez. Otras cuestiones requieren capacidades tecnológicas que garanticen la precisión, calidad e integridad de las hojas de cálculo críticas para la empresa.
Las capacidades tecnológicas permiten a los usuarios y gestores comprobar sistemáticamente las hojas de cálculo en busca de problemas como documentación adecuada, datos que faltan, errores de cálculo o fórmulas defectuosas. En las organizaciones en las que las hojas de cálculo se utilizan ampliamente en diversas aplicaciones, su comprobación a escala es esencial si se quieren aplicar las mejores prácticas esperadas por directivos y reguladores.
Las funciones tecnológicas permiten a los usuarios y gestores comprobar sistemáticamente las hojas de cálculo en busca de problemas como documentación adecuada, datos que faltan, errores de cálculo o fórmulas defectuosas.
¿Cómo se crea esta arquitectura tecnológica?
El primer paso es crear un inventario en una hoja de cálculo. Esto proporciona una base para centralizar la gestión, revisión y visibilidad del estado crítico de las hojas de cálculo utilizadas en la empresa. También proporciona un repositorio para la documentación esencial para definir y controlar las principales hojas de cálculo utilizadas en una empresa.
La siguiente fase - descubrimiento - es donde las empresas encuentran las hojas de cálculo fundamentales que necesitan gestionar en la empresa.
La clave aquí es encontrar la hoja de cálculo más significativa utilizada, definida por una serie de parámetros, como quién utiliza un archivo, con qué frecuencia se modifica, a qué otras aplicaciones y fuentes de datos está vinculado y otros criterios relevantes. Evidentemente, aquí también se pueden incluir las aportaciones de los usuarios.
La última fase es la supervisión proactiva de las hojas de cálculo críticas de modo que puedan detectarse y resolverse los problemas relacionados con la falta de datos, los cálculos y fórmulas erróneos o los datos obsoletos.
Esta capacidad proporciona una sólida base técnica para la gestión del riesgo de las hojas de cálculo y complementará los aspectos cualitativos de la gestión de las hojas de cálculo, como ilustran las directrices sobre mejores prácticas del ICAEW.
Mitratech ofrece una potente y probada solución de gestión de riesgos en hojas de cálculo que ayuda a mitigar los riesgos y problemas señalados por el ICAEW. Obtenga más información aquí.
Gestione sus hojas de cálculo de Shadow IT
Con ClusterSeven, tome el control de los activos informáticos de usuario final ocultos en su empresa que pueden crear riesgos ocultos.
