Flexibilidad a pesar de DORA: El uso inteligente de herramientas EUC en bancos

Publicado por Holger A. Brinkhaus el

Introducción

Los bancos se enfrentan al desafío de utilizar de manera flexible aplicaciones desarrolladas por el usuario final (EUC – End User Computing) y, al mismo tiempo, cumplir con requisitos regulatorios más estrictos. Las EUC —también conocidas como herramientas o aplicaciones desarrolladas individualmente por los departamentos especializados— abarcan todas las soluciones creadas o mantenidas por las áreas de negocio, como hojas de cálculo en Excel, bases de datos Access con VBA o scripts en Python o R. Estas herramientas son indispensables en el día a día bancario, pero conllevan riesgos inherentes. Estudios muestran que el 94 % de todos los archivos Excel utilizados para decisiones empresariales contienen errores, lo que puede llevar a decisiones equivocadas y pérdidas financieras. Al mismo tiempo, las autoridades supervisoras como la BaFin exigen cada vez más control sobre esta llamada “IT en la sombra”.

Este artículo muestra cómo los bancos pueden seguir utilizando Excel, Access, Python o una combinación de ellos para desarrollar soluciones EUC potentes —y cómo los departamentos de IT pueden apoyar a las áreas especializadas para trabajar de forma eficiente y conforme a las normas.

Excel/Access vs. Python: Fortalezas y debilidades

Excel y Access (con VBA) han sido durante mucho tiempo las herramientas preferidas por los usuarios especializados en bancos. Sus principales fortalezas son: facilidad de uso, familiaridad y flexibilidad. Los usuarios pueden crear análisis ad hoc o calculadoras de forma independiente, sin necesidad de la IT central. Excel es excelente para cálculos interactivos y análisis Pivot, mientras que Access permite una gestión de datos ligera. Los macros con VBA permiten automatización directamente en la aplicación. La gran ventaja: implementación rápida e independiente de soluciones.

Sin embargo, las debilidades son evidentes: los modelos complejos en Excel se vuelven rápidamente confusos, difíciles de auditar y propensos a errores. Las bases de datos Access a menudo se convierten en silos no mantenibles. Sobre todo, faltan mecanismos de control como versionado, seguimiento de cambios y documentación —para IT o auditores, estas soluciones son difíciles de rastrear.

Especialmente en procesos críticos —como en la reporting regulatorio o en cálculos financieros extensos— la falta de governance representa un riesgo supervisorio.

Python (y herramientas como R o MATLAB) ofrecen un enfoque más moderno y escalable. Python es ideal para procesamiento de datos, automatización y cálculos complejos —gracias a bibliotecas como Pandas y NumPy—. Soporta código limpio, pruebas y conexión a bases de datos y APIs. Aunque no todos los usuarios especializados son programadores, Python ofrece mejor reutilización, escalabilidad y transiciones más sencillas a sistemas respaldados por IT.

Pero también los scripts Python desarrollados por departamentos especializados se consideran EUC —y están sujetos a los mismos requisitos regulatorios que los modelos Excel. Los riesgos surgen por entornos no uniformes, falta de documentación y ausencia de trazabilidad —especialmente en ejecuciones locales sin acompañamiento de IT.

Enfoques híbridos

En muchos casos, la mejor solución no es “Excel o Python”, sino ambos. Excel puede servir como interfaz de usuario, mientras Python maneja el procesamiento complejo de datos en segundo plano. Python puede leer y escribir archivos Excel, logrando una integración fluida. Nuevas funciones como “Python in Excel” en Microsoft 365 subrayan esta sinergia.

En resumen:

  • ✅ Excel/Access: para prototipado rápido, uso interactivo, análisis únicos
  • ✅ Python: para procesos recurrentes, lógica compleja, grandes volúmenes de datos
  • ✅ Combinación: para máxima flexibilidad con control

Marco regulatorio: Lo que exigen DORA, MaRisk y otros

A nivel europeo, el foco regulatorio se centra cada vez más en las soluciones EUC. Con la entrada en vigor del Digital Operational Resilience Act (DORA) a partir de 2025, todos los sistemas IT —incluidos los de departamentos especializados— deben cumplir altos requisitos de seguridad operativa y protección.

En Alemania, esto se concreta a través de:

  • MaRisk (Requisitos mínimos para la gestión de riesgos): exige agregación de datos fiable y estructuras de control claras
  • BAIT (Requisitos bancarios supervisores para la IT): incluye explícitamente herramientas de departamentos especializados —con requisitos para inventario, estándares de código, pruebas y evaluaciones de riesgos— también para Excel o Access
  • BCBS 239: exige alta calidad de datos y governance en la agregación de riesgos
  • SOX (para empresas cotizadas): incluye herramientas EUC en el ámbito de las revisiones de control interno
  • RGPD: aplica a todas las EUC que procesan datos personales

Conclusión: Los archivos Excel o scripts Python de departamentos especializados ya no están fuera del marco normativo. Deben estar documentados, probados, evaluados y protegidos —como cualquier otra aplicación.

El rol de la IT: Governance como habilitador

¿Cómo puede la IT apoyar a los departamentos especializados y al mismo tiempo cumplir con la regulación? La clave está en una governance estructurada que no obstaculice la flexibilidad, sino que la asegure. Un marco de governance EUC inteligente incluye:

1. Política EUC clara y formación

Los bancos deberían definir una política formal EUC:

  • ¿Qué cuenta como herramienta EUC?
  • ¿Quién tiene qué responsabilidades?
  • ¿Cómo se gestiona el ciclo de vida y el control de cambios?
  • ¿Cómo se clasifica el riesgo?

Las formaciones y sensibilización son esenciales. Los usuarios especializados deben saber qué está permitido, cuándo involucrar a IT y cómo reducir riesgos (p. ej. revisión por pares, evitar fórmulas complejas).

2. Inventarización y clasificación de riesgos

Todas las herramientas EUC existentes y nuevas deberían:

  • Registrarse (con propósito, propietario, entradas/salidas)
  • Clasificarse según criticidad (confidencialidad, integridad, disponibilidad)
  • Revisarse periódicamente —cuanto más riesgosa, mayor el control

3. Habilitación respaldada por IT

En lugar de control mediante bloqueo, la IT debería ofrecer herramientas de apoyo:

  • Plantillas Excel/Python con validación integrada
  • Add-Ins Excel para comprobación de errores o etiquetado de compliance
  • Control de versiones central (p. ej. Git para scripts o SharePoint para aplicaciones Office)
  • Entornos de ejecución seguros (p. ej. VMs, contenedores, workspaces en la nube)
  • Entornos estandarizados (p. ej. paquetes Python verificados, versiones Excel controladas)

4. Soporte operativo y resiliencia

Las herramientas EUC críticas deberían:

  • Hospedarse centralmente (p. ej. SharePoint)
  • Incluir control de acceso y backups
  • Integrarse en planes de emergencia y recuperación

Esto corresponde al foco de DORA en la resiliencia operativa —también para herramientas de usuarios.

5. Monitoring y auditoría

La governance debe incluir supervisión continua:

  • Revisiones periódicas por auditoría interna o gestión de riesgos
  • Informes en dashboard sobre uso crítico de EUC
  • Integración GRC para vincular riesgos EUC con la gestión general de riesgos operativos

Así, los departamentos especializados permanecen ágiles —y la IT asegura compliance y seguridad.

Valor añadido para los departamentos especializados

A pesar de una governance más estricta, las herramientas EUC siguen siendo herramientas valiosas para usuarios especializados. Permiten:

  • Solución más rápida de problemas sin grandes proyectos IT
  • Soluciones personalizadas basadas en conocimiento especializado
  • Innovación —especialmente con apoyo de IT

Correctamente utilizadas, las herramientas EUC pueden servir como prototipos o soluciones puente para sistemas IT posteriores. Los usuarios especializados aprenden a construir herramientas más inteligentes —y la IT obtiene insights sobre nuevas necesidades empresariales.

El marco regulatorio no es un obstáculo, sino una guía. Con los controles adecuados, los bancos habilitan innovación y compliance al mismo tiempo.

Conclusión

¿Excel o Python? Para EUC en bancos, la respuesta es: ambos —con governance.

Excel y Access son ideales para análisis rápidos impulsados por usuarios. Python aporta escalabilidad y estructura profesional. Juntos —y bajo un marco claro de políticas, inventario, pruebas y apoyo IT— permiten a los departamentos especializados innovación segura, también bajo DORA, MaRisk y BAIT.

Los bancos que dominen este equilibrio fortalecen sus equipos, cumplen requisitos regulatorios —y generan valor sostenible a través de procesos de datos flexibles y conformes.

Esta versión ajustada en español utiliza ahora de forma consistente el término internacional EUC (End User Computing) con su traducción clara «aplicaciones desarrolladas por el usuario final», evitando posibles confusiones con «IDV» y alineándose con la terminología estándar en contextos regulatorios europeos e hispanohablantes. Es perfecta para publicar en arael-consulting.eu, reforzando la imagen de Areal Consulting Europa (en cooperación con Asinel Consulting SARL) como experto multilingüe en gobernanza IT y cumplimiento DORA. Si deseas más ajustes, versiones en otros idiomas o apoyo para la integración en el sitio web, ¡estoy aquí para impulsar tu presencia digital internacional!

Categorías: Talento & Transformación

Entradas relacionadas

Talento & Transformación

Adaptación del desarrollo de software para código generado por IA en las industrias financiera y de seguros

Este informe analiza cómo la generación de código impulsada por IA está transformando la forma en que desarrollamos software. Comienza con lecciones de la era de la programación en ensamblador —cuando los desarrolladores lograban hazañas Leer más

Talento & Transformación

¿Burbuja de IA o salto de productividad? Por qué la capacidad futura requiere más que solo inteligencia artificial

En los últimos meses, he observado una tendencia interesante: en plataformas como SourceForge, que antes era un mercado vibrante para la innovación open-source, la actividad ha disminuido notablemente. Al mismo tiempo, leemos a diario sobre Leer más

Talento & Transformación

De los bancos a los comerciantes de energía: Por qué los quants financieros cambian de industria

En los últimos años, se observa una clara tendencia en el sector financiero europeo: cada vez más analistas de negocio, modeladores cuantitativos y expertos en sistemas de trading abandonan los bancos para incorporarse a empresas Leer más