NORMATIVAS QUE RESPALDAN UN PROGRAMA DE CALIDAD DE DATOS

Una nueva sesión del grupo de calidad de datos nos deja reflexiones muy interesantes sobre qué argumentos podemos poner sobre la mesa para respaldar un programa de gestión de la calidad de la información.

El framework de DAMA lista una serie de Business Drivers dentro del capítulo 13 dedicado a la gestión de la calidad: aumentar el valor de los datos de la organización, conseguir mayores oportunidades de negocio, reducir riesgos o mejorar la eficiencia.

Podríamos cuestionar si es necesario añadir más elementos a esta lista, pero los existentes son incuestionables, y el primer ejemplo nos lo traen los compañeros Manuel Mendiola y Pablo Barrachina.

En esta ocasión, Manuel y Pablo han recapitulado diversas normativas y marcos de referencia que respaldan la función de la gestión de la calidad y que pueden servir como impulsores del programa dentro de distintos tipos de organizaciones: Risk Data Aggregation (RDA), GDPR, Basilea II y III, Solvencia II, MiFID o SOX entre otras

Ambos coinciden en que las distintas normativas que han analizado no establecen la necesidad de gestionar la calidad de forma directa, aunque sí de forma indirecta solicitan que se garantice la calidad de la información.

Por otra parte, podemos encontrar distintas normativas ISO como por ejemplo ISO 25.012 que es específica de calidad del producto de datos, ISO 8.000 para gestión de calidad de datos o ISO 9.001 para sistemas de gestión de la calidad

A nivel de calidad, Solvencia II y Basilea no son demasiados precisas, aunque sí entran al detalle sobre cómo debe ser el reporting. Estas normas exigen que haya ciertos elementos de calidad, aunque no especifican cuales; sin embargo, sí que indican que, si un dato se reporta de forma incorrecta, la responsabilidad legal es de la empresa.

“SI UN DATO SE REPORTA DE FORMA INCORRECTA, LA RESPONSABILIDAD LEGAL ES DE LA EMPRESA”

Solvencia es algo más concreta, indica que hay que disponer de datos completos con suficiente información histórica para todos los tipos de riesgos que disponga la compañía; que deben ser precisos, es decir, libres de errores; que se deben poder comparar los distintos periodos de forma coherente; que la información debe estar disponible a tiempo y que deben ser apropiados, es decir, coherentes, con suficiente volumen para poder reportar la información y deben haber sido recopilados de forma correcta.

Como reflexión basada en su experiencia profesional, Pablo nos contó que generalmente las empresas grandes cuentan con herramientas y procesos para garantizar que lo que Solvencia demanda se realiza correctamente. Sin embargo, las empresas más pequeñas habitualmente generan un reporting muy básico, no disponen de herramientas, ni conocimiento, ni saben qué medidas pueden aplicar para realizar esos controles de calidad. Por ello, Pablo considera que es necesario definir un conjunto de indicadores para medir volúmenes de datos históricos, si se dispone de suficiente información para reportar al organismo regulador, poder detectar desviaciones y hacer seguimiento de forma automatizada independientemente del tamaño de la organización.

“Hace falta encontrar métodos para detectar inconsistencias en los datos o sobre cómo otorgar garantías sobre los datos históricos ya que, generalmente, en los datos históricos con más de 4 años de antigüedad, la calidad suele ser muy deficiente.”

Por otra parte, RDA es una norma orientada a mejorar la capacidad de los bancos para generar información correcta y relevante sobre sus principales riesgos. Aunque en su forma no es una norma como tal, de facto es obligatoria para entidades financieras sistémicas y se prevé que lo sea en breve para las no sistémicas. Y, al igual que Solvencia, es muy detallado en cuanto a lo que hay que conseguir y, sin embargo, tampoco proporciona unas métricas que faciliten su aplicación.

Consta de 14 principios, 11 de los cuales deben ser cumplidos por los bancos y los otros 3 aplican a los organismos supervisores.

Entre los 11 que aplican a los bancos, podemos encontrar los principios de gobernanza, la arquitectura de datos e infraestructura de TI, es decir, cómo debe estar montada y qué garantías debe proporcionar. En cuanto a calidad, menciona la exactitud e integridad, la completitud, prontitud, adaptabilidad, exactitud, exhaustividad, claridad y utilidad, frecuencia, distribución de los datos.

En resumen, los 11 principios están muy ligados a la calidad de la información y, aunque están enfocados a ámbito de informes, son bastante amplios en cuanto a lo qué hay que abarcar.

Manuel que se dedica a la auditoría informática nos contó como fue su experiencia realizando las Asset Quality Review, revisiones que comenzaron cuando el Banco Central Europeo (BCE) pasó a supervisar la actividad de las entidades financieras a nivel europeo y tenían como objetivo evaluar la capacidad de resistencia y la exposición de capital de 170 bancos a nivel internacional.

Dentro de la metodología que establecía el BCE, uno de los puntos a evaluar era específico de calidad de la información, por el cual, se evaluaba el proceso de creación de las cintas que contenía los datos que se iban a utilizar en el conjunto del proyecto, pruebas sobre la calidad consistencia e integridad de la información de las cintas, validación cualitativa de la distribución de frecuencia del conjunto del campos y una validación de la clasificación de los clientes en el segmento que les correspondía.

Una vez identificado el alcance, se seguía una metodología consistente en:

  • Pruebas de consistencia, por las que se verificaba que cada campo de cada tabla tenía información consistente
  • Pruebas de coherencia, comparar campos con otros, por ejemplo, que la fecha de alta fuera siempre anterior a fecha de baja
  • Pruebas de integridad, por ejemplo, que no hubiera movimientos sin cliente asociado
  • Aplicación de un conjunto de reglas de negocio, por ejemplo, para garantizar que el cliente se clasificaba en el segmento correcto

En total realizaron entre 250 y 300 pruebas de validez en un total de 4 meses de trabajo, en los que se detectaron distintas incidencias solamente en el proceso de preparación y homogenización de los datos para su posterior auditoría, entre las que destacaron:

  • Retrasos en las entregas de las cintas con la información
  • Se necesitaron generar un mínimo de 4 versiones por cinta para tener datos con un volumen bajo de errores para poder empezar a analizar el contenido
  • Fechas de generación de las cintas incorrectas que hacían difícil cuadrar los datos
  • Falta de definiciones exactas sobre los campos que imposibilitaban conocer el funcionamiento del mismo
  • Errores en los modelos de datos

Los detalles de otra regulación clave como patrocinador de un programa de gestión de la calidad de la información los aportó Luis Martinez, esta vez, de la mano de la GDPR y su predecesora, la LOPD.

La LOPD era más explícita que GDPR en materia de calidad. Según el artículo 4 de la LOPD, los datos de carácter personal deberán ser exactos y puestos al día, deben responder con veracidad a la posición del afectado y, si son inexactos o están incompletos, los datos deberán ser cancelados y sustituidos por los correspondientes datos rectificados.

Según la experiencia de Luis, esto es muy importante y nos trajo un ejemplo: “muchas veces los departamentos de legal alegan que los datos de cliente que aparecen en un contrato firmado por ambas partes no pueden ser modificados unilateralmente. Sin embargo, según la LOPD, no solamente puedes, sino que debes hacerlo”

La GDPR no es tan explícita, pero también indica en el artículo 5 relativo a la exactitud que los datos personales deberán ser exactos y si fuera necesario actualizados, y que se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación aquellos datos personales que sean inexactos.

Con toda esta valiosa información, los compañeros nos proporcionaron un interesante foro de debate en el que se compartieron distintas experiencias dentro del sector banca y seguros y se abrió otro interesante debate, ¿cómo respaldar el programa de calidad en aquellos sectores que carecen de regulación en materia de calidad?

Si están interesado en participar en este tipo de foros de debate, afíliate a DAMA y pregunta por el grupo de Calidad de datos.

Autores:

  • Manuel Mendiola Antona
  • Pablo Barrachina Pastor
  • Luis Martínez

Deja un comentario