Por qué las hojas de cálculo críticas son en realidad modelos (y requieren gobernanza del riesgo)

Con modelos que abarcan tantos escenarios, las entidades financieras experimentan una serie de dificultades relacionados con su gobernanza, lo que sugiere que tal vez no estén equipados para gestionar la carga que impone la disciplina. Cosas como un inventario incompleto de modelos, incoherencias en los enfoques de la modelización, un seguimiento y control de versiones deficientes de los modelos, una validación inadecuada, una precisión deficiente de los modelos, múltiples sistemas de aplicación, etc. son obstaculizar la buena gobernanza del riesgo de modelo.

Además, las aplicaciones informáticas de usuario final (EUC), como los modelos basados en hojas de cálculo y las calculadoras que alimentan los modelos también son "modelos y así requieren gobernanza. Según RE 11-7"el término modelo se refiere a un método, sistema o enfoque cuantitativo que aplica teorías, técnicas e hipótesis estadísticas, económicas, financieras o matemáticas para procesar datos de entrada y convertirlos en estimaciones cuantitativas".

Una creciente necesidad de visibilidad

Con algunos inventarios que se acercan ya a los 3.000 modelos, las entidades financieras se esfuerzan por obtener una visibilidad completa de estas aplicaciones, mientras que los reguladores esperan que las organizaciones apliquen los mismos principios de gobierno de modelos a todos los tipos de modelos, incluidas las hojas de cálculo críticas para el negocio. En la actualidad, el gobierno de las hojas de cálculo y los EUC figura específicamente en numerosos marcos normativos, como las pruebas de resistencia de la Ley Dodd-Frank, la Ley Sarbanes Oxley, la BCBS239, la Prudential Practice Guide y muchos más.

Además, el alcance del MRM se ha ampliado desde la validación histórica del modelo -es decir, si se comprenden, prueban y documentan la estructura, el diseño y la función del modelo- hasta la gobernanza integral de los modelos, incluido el control de cambios, el control de acceso, la auditabilidad y la elaboración de informes.

Por supuesto, los sistemas GRC están muy extendidos en las instituciones financieras reguladas, pero no siempre pueden cumplir los estrictos requisitos normativos. Estos sistemas suelen falta de flexibilidad adaptarse. La introducción de cambios en los sistemas GRC tradicionales suele requerir la intervención del proveedor de las soluciones de terceros o del departamento de TI. Los plazos son largos y los gastos, considerables.

Así que, para superarlo, las instituciones suelen recurrir a procesos manuales (por ejemplo, utilizar el correo electrónico para las confirmaciones de cambios/aprobaciones), creando más problemas a los usuarios y a la administración. El problema se intensifica ya que los modelos, las herramientas y las calculadoras utilizan datos y recursos del entorno informático corporativo controlado, así como el panorama menos controlado de la EUC, que es operado principalmente de forma independiente por las propias unidades de negocio individuales. Todo ello combinado limita gravemente la eficacia y el cumplimiento de los programas de GRM en las instituciones.

Formular preguntas críticas

Para lograr una transparencia total y un enfoque integral de la GRM, las entidades financieras deben cuadrar el círculo con automatización. Este enfoque global debe incluir desde la creación, el mantenimiento y la validación del inventario de modelos (en toda la empresa), la armonización de la GRM con las directrices de supervisión y regulación, hasta la supervisión de las normas de política y documentación y el intercambio de información totalmente auditable.

Este tipo de enfoque de la GRM basado en la tecnología garantiza que las normas aplicadas a todos modelos de la institución sean coherentes, precisos y se consigan de forma rentable. Pueden determinar el linaje de datos y la interdependencia de datos de los modelos, herramientas y calculadoras en toda la empresa. También ayuda a mantener la precisión e integridad de las aplicaciones, ya que los modelos se desarrollan, revisan y desmantelan casi constantemente. La MRM no es un proceso o ejercicio aislado.

Para poner en marcha este enfoque de la GRM, quizá las instituciones financieras deberían empezar por hacerse preguntas críticas como:

• ¿Cómo afecta la normativa a los planes de MRM de la organización?
• ¿Dispone la empresa de la flexibilidad y agilidad necesarias para adaptarse a la evolución de los requisitos normativos?
• En caso de error en los procesos de regulación y cumplimiento, ¿cuál es el impacto potencial para la empresa desde el punto de vista operativo, financiero y de reputación, tanto a corto plazo como en el futuro?

Con este tipo de conocimiento y comprensión en profundidad, las instituciones financieras pueden trazar una estrategia de MRM bien afinada y trazar un curso de acción para satisfacer los requisitos de la empresa de la manera más eficiente y productiva posible, minimizando al mismo tiempo el riesgo.