Las hojas de cálculo son herramientas fundamentales para las organizaciones de todos los sectores, pero también presentan importantes riesgos operativos, financieros y normativos cuando no se controlan adecuadamente.
A medida que aumenta la complejidad de las herramientas informáticas de usuario final (EUC), como las hojas de cálculo, también lo hace el riesgo de error. Un estudio reciente revela que hasta el 94 % de las hojas de cálculo utilizadas para tomar decisiones empresariales contienen errores críticos.
A medida que las organizaciones siguen confiando en las herramientas EUC, aumenta la posibilidad de que se produzcan errores, lo que conlleva pérdidas financieras, problemas de cumplimiento y daños a la reputación. Una de las formas más eficaces de combatir este problema es mediante una auditoría exhaustiva de EUC.
¿Qué es una auditoría EUC?
Una auditoría EUC(End-User Computing) es un proceso estructurado que evalúa los riesgos, controles y prácticas de gobierno en torno a las aplicaciones de usuario final, normalmente hojas de cálculo y otras herramientas creadas fuera de la supervisión de TI. Estas herramientas a menudo soportan funciones empresariales clave como la elaboración de informes financieros, la gestión de riesgos, la previsión y el seguimiento del cumplimiento.
Una auditoría EUC suele incluir los siguientes objetivos:
- Identificación de las EUC críticas en todos los departamentos
- Evaluar los niveles de riesgo en función de la complejidad, el uso y la sensibilidad de los datos.
- Evaluación de controles como las restricciones de acceso, el control de versiones y la gestión de errores.
- Recomendación de mejoras u oportunidades de automatización
¿Por qué es necesaria una auditoría EUC para el cumplimiento?
Los reguladores son cada vez más conscientes de los riesgos que plantean las herramientas de EUC no controladas. No gestionar estos riesgos puede dar lugar a infracciones de la normativa, informes financieros inexactos y daños a la reputación. La realización periódica de auditorías de EUC ayuda a las organizaciones a cumplir una lista cada vez mayor de marcos normativos, entre los que se incluyen:
- Ley Sarbanes-Oxley(SOX): Exige controles internos sobre los informes financieros. Las hojas de cálculo utilizadas en los procesos financieros deben documentarse, controlarse y auditarse.
- Reglamento General de Protección de Datos(RGPD): Ordena fuertes controles sobre el tratamiento y almacenamiento de datos personales, que pueden residir en EUC.
- Autoridad de Conducta Financiera del Reino Unido(FCA): Exige a las empresas que gestionen el riesgo operativo, incluidos los riesgos que plantean las herramientas de EUC que respaldan operaciones empresariales críticas.
- Normas y directrices de la SEC: La Comisión del Mercado de Valores de Estados Unidos espera que las empresas que utilicen herramientas de EUC en la divulgación de información o en la elaboración de informes financieros apliquen sólidas prácticas de gestión de riesgos.
La auditoría de su entorno EUC garantiza que las hojas de cálculo y otras herramientas creadas por los usuarios sean precisas y seguras y se ajusten a estas expectativas normativas.
Cómo realizar una auditoría EUC
1. Crear un inventario
Empiece por identificar todos los EUC críticos de la organización. Esto puede hacerse manualmente mediante encuestas o, más eficazmente, a través de un sistema de gestión de inventarios de EUC. Disponer de un inventario actualizado es esencial para cumplir la SOX.
2. Clasificación de riesgos de los EUC
Aplicar una metodología estándar de clasificación de riesgos basada en factores como:
- Frecuencia de uso
- Impacto financiero u operativo
- Complejidad de fórmulas y enlaces
Las herramientas con funciones integradas de evaluación de riesgos pueden acelerar este proceso.
3. Evaluar los controles de acceso y seguridad
Determine quién tiene acceso a cada archivo EUC, especialmente los almacenados en unidades compartidas. Para los archivos que contengan datos sensibles o regulados, aplique protección por contraseña y active el cifrado.
4. Revisar los controles de entrada
Evalúe cómo se introducen los datos. ¿Existen normas de validación? ¿Impiden las entradas la introducción de formatos incorrectos (por ejemplo, aplicando campos de sólo texto)?
5. Validar cálculos y fórmulas
Revise todos los cálculos por separado para verificar su exactitud. Compruebe si hay errores de coherencia, lógica y duplicación en varias hojas o enlaces.
6. Evaluación de resultados y distribución
Confirmar si los informes generados a partir del EUC son precisos. Compruebe quién recibe los resultados, asegurándose de que la distribución se ajusta a las necesidades empresariales o de cumplimiento.
7. Revisar el control de cambios y versiones
Identifique cómo se realiza el seguimiento de los cambios. Utilice herramientas que supervisen las versiones y destaquen las alteraciones para que las actualizaciones puedan probarse, aprobarse y desplegarse de forma segura.
Mejores prácticas de gestión de EUC en curso
Llevar a cabo una auditoría EUC eficaz es una habilidad vital para reducir el riesgo. En términos de gestión continuada, también se puede hacer mucho para minimizar la amenaza para su organización. A continuación exponemos las estrategias de gestión que debe emplear para mantener a salvo sus datos y procesos.
Centralizar el almacenamiento
Asegúrese de que todos los EUC críticos para la empresa se almacenan en una ubicación compartida, segura y centralizada a la que puedan acceder los equipos pertinentes. Considere la posibilidad de segmentar por departamento o función para controlar el acceso.
Simplificar la documentación
Utilice plantillas normalizadas e integre los requisitos de documentación en los flujos de trabajo cotidianos. Esto anima a los usuarios finales a seguir las mejores prácticas de mitigación de riesgos sin fricciones añadidas.
Recopilar datos para cuantificar el riesgo EUC
Con datos objetivos y cuantificables, puede evaluar cada EUC por separado, comprendiendo los niveles de riesgo en las distintas áreas de la organización.
Recopilar datos mensurables sobre cada EUC, como:
- Número de hojas de trabajo
- Enlaces de datos externos
- Uso de macros o fórmulas complejas
También puede recopilar información mediante cuestionarios a los usuarios (por ejemplo, "¿Se utiliza este archivo en informes externos?" o "¿Contiene información personal identificable?").
Aprovechar la tecnología existente para mitigar los riesgos
Aproveche las soluciones dedicadas para ayudarle a reunir pruebas y mejorar su gestión general de EUC. Los componentes clave para proporcionar una mitigación inmediata del riesgo pueden incluir:
- Cifrado : proteja las unidades EUC compartidas de accesos no autorizados.
- Exploración - Identificar y evaluar la complejidad de las hojas de cálculo.
- Prevención de la pérdida de datos (DLP): evite que la información confidencial se comparta accidentalmente fuera de la organización.
Automatizar la gestión de riesgos EUC
Aunque se apliquen las mejores prácticas, el error humano es inevitable. La automatización de la supervisión, el control de versiones y la gestión de accesos de EUC reduce la dependencia de la supervisión manual y garantiza una aplicación coherente de los controles de riesgos.
Próximos pasos: Proteja su organización de los riesgos de las hojas de cálculo
La dependencia de herramientas EUC como las hojas de cálculo no va a desaparecer, ni tampoco el riesgo para su organización. Una auditoría exhaustiva de EUC mitiga estos riesgos y ayuda a mantener el cumplimiento normativo. La creación de un proceso de gestión de EUC estructurado, automatizado y bien documentado puede reducir la exposición, mejorar la integridad de los datos y generar confianza en las operaciones críticas de su organización. Programe una demostración con nuestro equipo de expertos hoy mismo para ver cómo Mitratech puede ayudarle a salvaguardar sus operaciones y automatizar la gestión de riesgos EUC.
