Auditor Bancario

¿Qué es Transformación Digital?

Transformación Digital (TD) es la integración de la tecnología digital en todas las áreas de negocio, fundamentalmente en cambiar la manera de cómo opera el negocio y cómo se entrega valor a los clientes. Dicha integración consiste en la utilización de tecnologías digitales para rehacer un proceso y volverlo más eficiente y efectivo, transformarlo en algo mucho mejor, incluso más allá de replicarlo digitalmente, pues involucra cambios a los procesos de negocio y a la cultura corporativa para poder tener éxito.

Si bien la TD es una de las frases más utilizadas en el mundo de las tecnologías de información, lo que todos coinciden es que la transformación digital involucra cambios importantes a la cultura organizacional. Algunas veces, este cambio significa dejar atrás procesos que existen desde hace mucho tiempo, sobre los cuales se fundó la organización, y cambiarlos por nuevas prácticas que aún están siendo definidas, nuevos liderazgos en los componentes de la organización, y nuevas maneras de pensar, promover, innovar e implementar modelos de negocio, etc. No todas las compañías van a transformarse digitalmente si no cuentan con un ambiente adecuado, sobre todo interno, para adaptarse a los cambios y realizar la transformación.

Acelerar la velocidad del desarrollo es muy duro, y normalmente la TD se ve como un arte oscuro y profano que solo pocos expertos entienden, y muchas organizaciones tradicionales buscan llenar el conocimiento que necesitan con consultores muy bien pagados que solo presentan la euforia de la TD en lugar de entregar un valor de negocio medible y comparable. Estas organizaciones tradicionales son muy lentas por naturaleza porque buscan cumplir más con sus políticas y procedimientos, y menos con la entrega de valor de negocios a sus clientes.

¿Qué es un proyecto de Transformación Digital?

Un proyecto de transformación digital genuino involucra fundamentalmente volver a pensar, diseñar y hacer todos los procesos y modelos de negocio. Esto es más que la simple implementación de nuevos sistemas y servicios tecnológicos, pues se trata de crear algo nuevo que puede ser una mejoría a la experiencia del cliente, una reducción de tiempos en la cadena de valor, o simplemente encontrando mejores maneras de utilizar datos del negocio para ofrecer nuevos productos.

¿Cómo hacer un proyecto de Transformación Digital?

La transformación digital comienza con el cliente, y dependiendo de las circunstancias, con las partes interesadas de la organización: ¿Cómo podemos conocer mejor nuestras partes interesadas?, ¿Cómo podemos mejorar nuestros niveles de servicio y mejorar su experiencia? A partir de allí, el proceso puede extenderse a una o más áreas: operaciones, productos y servicios, y la organización en sí misma.

• Digitalizar y empoderar al cliente y partes interesadas:

o Mercadeo digital.

o Canales de comunicación e interacción.

o Conocimiento del cliente.

• Digitalizar productos y servicios:

o Productos conectados.

o Pagos por uso.

o Uso predictivo.

• Digitalizar operaciones:

o Plataformas centradas en el cliente.

o Metodologías ágiles para el trabajo.

o Conectividad a toda hora, en todo lugar y en todo dispositivo.

• Digitalizar y automatizar los procesos de la organización:

o Colaboración e innovación digital.

o Habilidades digitales y fuerza de trabajo virtual.

o Ecosistemas dinámicos con socios de negocio.

Esquema de un proyecto de Transformación Digital

Para llevar a cabo la Transformación Digital, se debe transitar por las siguientes cinco (5) etapas:

Iniciar por darse cuenta de la necesidad de transformar y mejorar un proceso de la organización, y crear la visión de hasta dónde llegará la organización.
Crear una idea para mejorar el proceso existente u ofrecer un nuevo producto. Éste será el camino para alcanzar ese futuro digital.
Elaborar el diseño de esa idea, llevando al papel cada aspecto de la idea, desde el producto hasta el proceso, la estructura organizacional, la información, los sistemas y aplicaciones, y las personas.
Implementar la idea dentro de la organización, comenzando así a recorrer el camino trazado.
Operar la idea, manteniendo un enfoque de mejora continua porque la TD no es estática, es un viaje en sí misma.

Factores de éxito

Primer factor de éxito: Una estrategia clara

Es necesario comenzar aterrizando con claridad la estrategia y visión de la organización, identificando entre los funcionarios la plataforma para comenzar a realizar los cambios, pues dicha claridad es lo que permite que los funcionarios respondan a la pregunta “cómo mi trabajo impacta la línea base de la organización”, y con el liderazgo adecuado, fomentará la producción de ideas innovadoras.

Las organizaciones exitosas operan con una dirección de negocios clara, utilizando una visión y una hoja de ruta que define el camino a seguir. Sin estos instrumentos estratégicos, la organización solo estaría enfocada en resolver los problemas del día a día, y fracasaría en entregar valor a sus partes interesadas.

No se puede emprender a la ligera sin tener un norte claro, pues la realidad de los negocios y los costos se encargarán de frenar los esfuerzos del proyecto. Están de ejemplos General Electric y Ford, donde hace dos años estaban emprendiendo en el mundo digital, y hoy por hoy, no hablan del tema, están reestructurando departamentos, servicios, productos, y recortando costos.

Segundo factor de éxito: Liderazgo flexible apoyado en una buena gestión de cambio

La generación de nuevas ideas no es un problema para las organizaciones, pero muchas fracasan cuando se trata de implementar nuevos modelos de negocios. La resistencia al cambio es una condición (y una realidad) humana, y en un proyecto de TD, se puede presentar de muchas maneras, siendo la más común la creación de un clima organizacional en donde existan dos bandos: los que quieren que la organización sea más ágil, incluso si eso no agrega ningún valor al negocio, y el bando de los que quieren que todo siga tal como está, porque así es su cultura.

Sin una adecuada gerencia de cambio y un buen plan de comunicación, la resistencia al cambio puede esparcirse por todos los niveles y afectar de manera muy adversa al proyecto de TD, por lo que es muy importante obtener una aprobación de todos los niveles y superar los escepticismos durante el inicio de proyecto, y compartiendo tempranamente los resultados obtenidos. La TD requiere de un enfoque ágil y flexible en el liderazgo.

Es importante tener en cuenta que todos los funcionarios pueden innovar, y de hecho, la organización debe estar empoderada para innovar. Eso no significa que los funcionarios deban estar horas de horas soñando el futuro, pero si enfocarse en la mejora continua de su trabajo.

Tercer factor de éxito: Dejar atrás las aplicaciones y sistemas obsoletos

El resultado de un proyecto de TD puede estar donde la organización quiere estar, pero eso no significa que los líderes de TI deban olvidarse de las inversiones realizadas en infraestructura tecnológica para poder innovar. Los sistemas y aplicaciones obsoletas suelen convertirse en la primera traba al momento de diseñar e implementar los proyectos de TD, porque su sustitución por otras aplicaciones más modernas es tan solo una de las bases para el cambio en los procesos de negocios, en lugar del proceso de transformación digital en sí mismo.

Es importante considerar que las mejoras pequeñas a aplicaciones y procesos existentes no son consideradas transformación digital, pues para hacerla, se debe crear un modelo nuevo e innovador que reemplace el modelo existente.

En vez de diseñar una aplicación para cubrir partes específicas de un proceso o que se monte sobre aplicaciones existentes que no se hablan entre sí para luego consolidar su información, no es transformación digital, pero sí lo es cuando se redefine el proceso, y que no solo se adopta un sistema que lo cubre de principio a fin, sino que también satisface las necesidades de información que existen actualmente.

Cuarto factor de éxito: Alinear la gente con las necesidades de la organización

Para los proyectos de TD, es importante que las personas estén organizadas en equipos optimizados para satisfacer las necesidades de los clientes del departamento de TI que, en este caso, comprenden las áreas de negocio y las partes interesadas, incluyendo la dirección de la organización.

Si su organigrama tiene cinco (5) años de antigüedad para el momento en que se está iniciando un proyecto de TD, entonces la organización se está moviendo a un ciclo de innovación cada cinco (5) años. Dado que la innovación requiere agilidad, los organigramas deben revisarse cada 12 a 18 meses, para evaluar si es necesario realinear los equipos de trabajo y unidades organizacionales con los proyectos más importantes que se están llevando a cabo. Pero ¿por qué se habla de 18 meses?

La organización necesita de una visión estratégica y de metas y objetivos para guiar su camino. Parte de esas metas y valores pueden ser permanentes y nunca cambiar en el tiempo, pero otras pueden cambiar en la medida que se presenten las oportunidades, y para aprovecharlas al máximo, la organización debe cambiar su estructura de manera acorde.

De esta manera, los equipos de trabajo estarán alineados con las expectativas de las partes interesadas y los planes estratégicos de la organización. Si dentro de la organización se dice “Se necesita hacer esto”, entonces los equipos de trabajo deben estar alineados para hacer lo que se necesita hacer.

Quinto factor de éxito: No se puede tercerizar la innovación

Las compañías ya no están creando y manteniendo sistemas y aplicaciones para ahorrar costos, lo hacen para entregar valor de negocio, una razón del por qué las TI se han convertido en el primer motor de innovación, y en el caso de TD, es importante destacar que la innovación nace desde los empleados y colabores, no de un tercero ajeno a los procesos, productos y servicios de la organización. El tercero puede en algún momento ofrecer una idea, una guía o incluso una nueva perspectiva para ver las cosas, pero innovar, le corresponde a quienes integran a la organización.

El cambio de mentalidad necesario para innovar ocurre cuando se saca a al equipo de TI del modo operativo de “vamos a ejecutar unas aplicaciones empaquetadas para que podamos resaltar” a “vamos a crear nuevas capacidades que antes no existían”.

Para TI es posible tercerizar por completo o hasta cierto nivel la gestión de un centro de datos, la operación de redes, y la operación de servidores, pero cuando se trata de TD, en donde hay que crear algo que antes no existía y que sea sumamente nuevo e innovador para la organización o un proceso de ésta, la tercerización no es la vía más adecuada. Los proyectos de TD son la oportunidad para forjar los conocimientos y habilidades necesarias en el departamento de TI no sólo para soportar mejor los sistemas y aplicaciones que en los cuales los nuevos procesos se apoyan, sino también que obtendrán una visión más completa del proceso que están apoyando, un elemento demasiado valioso para que quede en manos de un tercero.

Sexto Factor de Éxito: Un adecuado sistema de compensación (incluido el monetario)

Comenzar asegurando que el presupuesto de tecnología esté alineado con el plan estratégico y las metas de TI es un paso importante, y aterrizar el plan estratégico y las metas de TI a los paquetes de compensación y remuneración es el siguiente gran paso para asegurar el éxito de los proyectos de TD.

Alienar al personal con las metas de la organización desde metas individuales a través de paquetes de compensación es esencial para lograr el cambio al paso que se necesita hoy en día en tecnología. En la medida que el personal logra los quick-wins en el proceso de TD, y que estos quick-wins se vean reflejados en compensación monetaria, es un elemento motivacional importante para asegurar que el departamento de TI se mueva a la velocidad deseada y que el personal siga mejorando continuamente su trabajo.

Otro elemento de un buen paquete de compensación es el plan de capacitación. En la medida que el plan de capacitación esté alineado a las metas de TI y al plan estratégico de la organización, incentiva al personal a alinearse aún más a las tareas más intensas de su trabajo porque siente que está aprendiendo, que se está preparando, y mejor aún, que está siendo apoyado por la organización para que se desempeñe mejor en su trabajo.

Además, de acuerdo con las últimas encuestas de Gardner, la falta de talento tecnológico es el mayor impedimento para realizar la transformación digital. Más que habilidades y conocimientos existentes, se necesitan habilidades frescas, porque los viejos conceptos de análisis de información no son suficientes para trabajar con información en tiempo real, computación móvil, redes sociales, etc. Es por eso que un plan de capacitación debe incluir gestión de proyectos, análisis de información de negocios, análisis y mejora de procesos, etc., de manera que el equipo de TI pueda apoyar al negocio no solo a mejorar los procesos sino también entregar un mayor valor al negocio con su labor.

Séptimo Factor de Éxito: Usar métricas adecuadas para medir el progreso

Si bien una adecuada gestión de proyectos es importante, la mejor manera de medir el progreso de proyectos de TD es utilizando métricas con contexto de negocios, porque éstas son mas interesantes y están dirigidas a una audiencia específica: los dueños del negocio.

No es difícil seleccionar las métricas correctas para medir el progreso de TD: solo hay que mantener simples indicadores que puedan influenciar la toma de decisiones, y para ello se deben seleccionar indicadores que:

Tengan una relación causal con un resultado esperado del negocio.
Midan el progreso, no los retrasos.
Estén dirigidos a una audiencia concreta y específica.
Sean entendibles por una audiencia no técnica.
Definan acciones asociadas al avance (o retroceso) de las mismas

Y para ello, nuestros indicadores deben responder las siguientes preguntas (para todas las audiencias).

¿Qué es lo que estamos midiendo?
¿Dónde estamos hoy?
¿A dónde queremos llegar? ¿Cuál es nuestra meta?
¿Cuál es el resultado de negocios esperado?
¿Cuál es nuestro punto de equilibro? ¿A partir de qué punto nos estaríamos sobre digitalizando?

En conclusión…

La TD es uno de los tantos caminos al éxito, pero para implementarla en la organización, se debe contar con el ambiente propicio para que se dé la transformación, y para ello, se debe asegurar como mínimo lo siguiente:

Claridad de la estrategia y visión del negocio en todos los niveles de la organización.
Foco en las partes interesadas de la organización, siendo la entrega de valor de negocios el fin último de todo el proceso.
Empoderar a los empleados y colaboradores para poder innovar mediante la búsqueda de mejora continua de su trabajo.
Contar con un liderazgo flexible que integre y oriente todos los niveles de la organización.
Existencia de cultura de cambio, responsabilidad, pertenencia y rendición de cuentas.
Contar con un Plan de Comunicación robusto que fluya a través de todos los niveles, para asegurar una gestión de cambio exitosa.
Contar con personal capacitado tanto en tecnología como en optimización de procesos de negocio.

La TD es un esfuerzo de mejora continua que nunca termina. Es un viaje y no un destino, pues consiste en repensar y encontrar nuevas e inesperadas formas de entregar valor a la organización y a sus clientes, para evitar quedar detrás de los competidores que respondan rápido a los cambios.

Referencias bibliográficas

What is digital transformation? https://enterprisersproject.com/what-is-digital-transformation
Digital transformation: online guide to digital business transformation. https://www.i-scoop.eu/digital-transformation/
What is digital transformation? Everything you need to know about how technology is reshaping business. By Mark Samuels. May 22, 2018. https://www.zdnet.com/article/what-is-digital-transformation-everything-you-need-to-know-about-how-technology-is-reshaping/
What absolutely won’t work when it comes to digital transformation up. By Minda Zetlin. March 27, 2017. https://enterprisersproject.com/article/2017/3/what-absolutely-won-t-work-when-it-comes-digital-transformation
The Nine Elements of Digital Transformation. George Westerman, Didier Bonnet, and Andrew McAfee. January 07, 2014. https://sloanreview.mit.edu/article/the-nine-elements-of-digital-transformation/
Digital transformation: 3 strategies to manage change. By Jon Rauschenberger . May 30, 2017. https://enterprisersproject.com/article/2017/5/digital-transformation-3-strategies-manage-change
Gartner: Tech talent biggest hurdle to digital transformation. By Justine Brown. Published Oct. 18, 2016. https://www.ciodive.com/news/gartner-tech-talent-biggest-hurdle-to-digital-transformation/428466/
Digital transformation: online guide to digital business transformation. https://www.i-scoop.eu/digital-transformation/#Digital_transformation_in_banking
How to Measure Digital Transformation Progress. https://www.gartner.com/smarterwithgartner/how-to-measure-digital-transformation-progress/

Toda profesión y trabajo relacionado con la auditoría está sujeto a un cumplimiento estricto de normas emitidas por distintas instituciones, dependiendo del trabajo o revisión a realizar. Entre dichas normas están las Declaraciones de Normas de Auditoria (Statements Of Auditing Standards) del Instituto Americano de Contadores Públicos Certificados (AICPA), las Normas de Auditoria Interna emitidas por el Instituto de Auditores Internos (IIA), y las Declaraciones de Normas de Auditoria (DNA) y las Declaraciones de Normas de Auditoria Interna (DNAI) de la Federación de Colegios de Contadores Públicos.

En el caso que nos compete, por tratarse de Auditoria de Sistemas, las normas aplicables son los Estándares de Auditoria de Sistemas de Información, emitidas por la Asociación de Auditoría y Controles de Sistemas de Información (ISACA). A continuación se detallan cada uno de dichos estándares a manera resumida.

El Estatuto de Auditoria

El Estatuto de Auditoría es el documento que crea formalmente la figura del auditor dentro de la organización, y puede estar representado por un documento interno para el caso de auditoria interna, o un contrato de servicios cuando se trata de un auditor externo. Dicho estatuto debe señalar los objetivos, alcance, autoridad y rendición de cuentas de la función de auditoria de sistemas dentro de la organización, y debe estar aprobado por los niveles apropiados de la gerencia.

Independencia Profesional

El auditor debe ser independiente, tanto del auditado como del área o función sujeta a revisión dentro de la auditoria, tanto en apariencia como en actitud, a fin de proveer de una conclusión objetiva.

Ética Profesional

El auditor debe cumplir con el código de ética profesional de ISACA, y cumplir con los estándares de auditoria aplicables al trabajo a realizar.

Competencia Profesional

El auditor de sistemas de información debe ser competente para realizar las labores asignadas y deberá mantener una educación profesional y capacitación continua. Esto con el fin de mantenerse al día en temas de actualidad, y poseer los conocimientos necesarios para realizar el trabajo asignado de manera correcta y adecuada.

Uso de la Evaluación de Riesgos

Se debe utilizar una técnica apropiada de evaluación y administración de riesgos, a fin de identificar y evaluar los riesgos relevantes al área bajo revisión, determinar las prioridades y asignar adecuadamente los recursos a cada revisión.

Gobierno de TI

El auditor debe revisar y evaluar que la función de Sistemas de Información (o Tecnología de Información) esté alineada con los objetivos y estrategias de la organización, y deberá tener una declaración escrita del desempeño esperado en sus procesos administrativos y eficacia de los recursos. Igualmente, el auditor debe utilizar un enfoque basado en riesgos durante el proceso de auditoría para:

Identificar los riesgos adversos al ambiente de TI, y
Identificar los riegos producto del incumplimiento de requisitos legales, fiduciarios, seguridad y calidad.

Controles Internos de TI

El auditor de sistemas de información debe revisar, evaluar y supervisar los controles de tecnologías de información que forman parte del ambiente de control interno de la organización. Igualmente, el auditor debe asistir a la gerencia aconsejando sobre el diseño, implementación, operación y mejora de dichos controles.

Planificación del Trabajo de Auditoría

Se debe planificar el trabajo de auditoria detallando los objetivos, plazos, alcances, procedimientos y recursos para completar la auditoria. Adicionalmente, dicha planificación debe realizarse de forma que cumpla con las leyes y regulaciones aplicables al trabajo a realizar, y utilizando un enfoque de auditoria basado en riesgos.

Trabajo de Auditoría

Supervisión

El auditor de sistemas debe ser supervisado para asegurar que se alcanzarán los objetivos planteados en el trabajo a realizar, y que se cumplan las normativas y regulaciones aplicables al trabajo de auditoria.

Evidencia

El auditor de sistemas debe asegurar la recolección de evidencia suficiente, competente y apropiada para sustentar el trabajo realizado y respaldar las observaciones, hallazgos y recomendaciones que señale en su informe.

Documentación

El auditor de sistemas de información deberá documentar adecuadamente su trabajo a fin de respaldar las observaciones, hallazgos y recomendaciones de su informe.

Evidencia de Auditoría

Se deben obtener evidencias suficientes, apropiadas y competentes, no solo para llegar a conclusiones razonables del trabajo de auditoria, sino también que respalden el trabajo realizado para llegar a dichas conclusiones.

Reporte de Auditoría

El Informe de Auditoría debe estar en el formato apropiado, firmado y fechado, y debidamente respaldado con la evidencia apropiada, indicando: Alcance de la Auditoría. Objetivos de la Auditoría. Períodos Cubiertos. Extensión de las labores realizadas. Hallazgos. Conclusiones y recomendaciones. Reservas, Calificaciones y Limitaciones. Dicho informe debe ser distribuido en los términos establecidos en la carta de compromiso y/o estatuto de auditoria.

Seguimiento de Auditoría

El auditor debe obtener información suficiente para formarse una opinión sobre si la gerencia tomó las acciones y/o cursos de acción acordados de manera oportuna.

Uso del Trabajo de Otros Expertos

Se debe considerar el uso del trabajo de otros expertos para realizar la auditoria, debiendo satisfacerse de las credenciales, competencias, experiencias, recursos, independencia y procesos de control y calidad de dichos expertos. El auditor debe evaluar, revisar y calificar el trabajo realizado por otros expertos, y aplicar procedimientos de auditoria adicionales que permitan obtener evidencia suficiente para emitir una conclusión. El informe de auditoria debe señalar, de forma apropiada, las limitaciones al alcance encontradas para encontrar evidencia suficiente cuando se utiliza el trabajo de otros expertos.

Materialidad

La materialidad del compromiso debe determinarse al mismo tiempo que se determinan los plazos y alcance de los procedimientos de auditoria. Se debe tomar en consideración la posibilidad de encontrar debilidades y/o ausencia de controles que puedan ocasionar debilidades y/o deficiencias materiales, bien sea de manera individual o en conjunto. El informe debe señalar los controles ineficaces y/o ausencia de los controles, junto con el significado de las deficiencias encontradas.

Comercio Electrónico

Se deben cotejar, revisar y evaluar los riesgos y controles aplicables al momento de revisar los entornos de comercio electrónico. Igualmente, se debe asegurar que las transacciones de comercio electrónico están debidamente controladas.

Ilícitos e Irregularidades

Se debe tener conocimiento del ambiente de control interno de la organización, y verificar que existan controles diseñados para evitar irregularidades y actos ilegales. Se debe tener en cuenta el riesgo de ocurrencia de irregularidades y actos ilegales, debido a declaraciones materialmente incorrectas. Obtener al menos una vez al año una declaración de la gerencia:

Reconocimiento de responsabilidad de la gerencia en el diseño y puesta en marcha de controles.
Resultados de la evaluación de riesgos cuando puedan existir declaraciones incorrectas.
Conocimiento de irregularidades, hechos y actos ilegales que puedan estar afectando la organización.
Documentar todas las actividades relacionadas con irregularidades, actos y/o hechos ilegales.

Al encontrar una irregularidad, hecho o acción ilegal se debe:

Comunicarlo al nivel apropiado de la gerencia.
Comunicarlo al gobierno corporativo.
Comunicarlo al comité de auditoria.
Comunicarlo a quienes celebraron el contrato de auditoria.
Retirarse del contrato de auditoria si es necesario, tomando en cuenta la responsabilidad legal y profesional aplicable.
Recomendar al nivel apropiado de la gerencia sobre debilidades materiales en el diseño e implantación de controles.